检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
数据安全中心 DSC Organizations服务中的服务控制策略(Service Control Policies,以下简称SCP)可以使用这些授权项元素设置访问控制策略。 SCP不直接进行授权,只划定权限边界。将SCP绑定到组织单元或者成员账号时,并没有直接对组织单元或成员
企业项目管理 EPS Organizations服务中的服务控制策略(Service Control Policies,以下简称SCP)可以使用以下这些授权项元素设置访问控制策略。 SCP不直接进行授权,只划定权限边界。将SCP绑定到组织单元或者成员账号时,并没有直接对组织单元或
流水线 Codearts Pipeline Organizations服务中的服务控制策略(Service Control Policy,以下简称SCP)可以使用以下授权项元素设置访问控制策略。 SCP不直接进行授权,只划定权限边界。将SCP绑定到组织单元或者成员账号时,并没有直
根据适用范围,分为全局级条件键和服务级条件键。 全局级条件键(前缀为g:)适用于所有操作,在鉴权过程中,云服务不需要提供用户身份信息,系统将自动获取并鉴权。详情请参见:全局条件键。 服务级条件键(前缀通常为服务缩写,如scm:)仅适用于对应服务的操作,详情请参见表4。 单值/多
软件开发生产线 CodeArts Organizations服务中的服务控制策略(Service Control Policy,以下简称SCP)可以使用以下授权项元素设置访问控制策略。 SCP不直接进行授权,只划定权限边界。将SCP绑定到组织单元或者成员账号时,并没有直接对组织单
应用管理与运维平台 ServiceStage Organizations服务中的服务控制策略(Service Control Policy,以下简称SCP)可以使用以下授权项元素设置访问控制策略。 SCP不直接进行授权,只划定权限边界。将SCP绑定到组织单元或者成员账号时,并没有
原生基础防护 Anti-DDoS Organizations服务中的服务控制策略(Service Control Policies,以下简称SCP)可以使用这些授权项元素设置访问控制策略。 SCP不直接进行授权,只划定权限边界。将SCP绑定到组织单元或者成员账号时,并没有直接对组
内容分发网络 CDN Organizations服务中的服务控制策略(Service Control Policy,以下简称SCP)可以使用以下授权项元素设置访问控制策略。 SCP不直接进行授权,只划定权限边界。将SCP绑定到组织单元或者成员账号时,并没有直接对组织单元或成员账号
可信服务概述 什么是可信服务 可信服务是指可与Organizations服务集成,提供组织级相关能力的华为云服务。管理账号可以在组织中开启某个云服务为可信服务。成为可信服务后,云服务可以获取组织中的组织单元及成员账号信息,并基于此信息提供组织级的管理能力。例如,开启CTS云审计为
大数据 数据湖探索 DLI 数据治理中心 DataArts Studio 数据仓库服务 GaussDB(DWS) MapReduce服务 MRS 云搜索服务 CSS 父主题: SCP授权参考
将管理账号的组织管理权限进行拆分,根据用户职能给用户分配不同的访问和管理权限,以达到用户之间的权限隔离。例如管理账号有两个IAM用户,一个IAM用户可以创建和删除组织单元,一个IAM用户只能查看组织单元。 给管理账号中不同职能部门的员工创建IAM用户,让员工拥有唯一和独立安全凭证访问华为云,并使用Or
apig:<region>:<account-id>:instance:<instance-id> 条件(Condition) apig服务不支持在SCP中的条件键中配置服务级的条件键。apig可以使用适用于所有服务的全局条件键,请参考全局条件键。 父主题: 应用中间件
默认情况下,管理员创建的IAM用户没有任何权限,需要将其加入用户组,并给用户组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。 Organizations服务为全局服务。授权时,“授权范围”需要选择“全局服务资源”。 权限根据授权精细程度分为角色和策略。
根据适用范围,分为全局级条件键和服务级条件键。 全局级条件键(前缀为g:)适用于所有操作,在鉴权过程中,云服务不需要提供用户身份信息,系统将自动获取并鉴权。详情请参见:全局条件键。 服务级条件键(前缀通常为服务缩写,如cc:)仅适用于对应服务的操作,详情请参见表4。 单值/多值
可信服务是指可与Organizations服务集成,提供组织级管理能力的华为云服务。启用华为云服务为可信服务后,可信服务会在成员账号中创建一个服务关联委托,该委托允许可信服务在成员账号中拥有执行可信服务文档中所述任务的权限,相当于云服务能力在多账号组织场景下的拓展。目前支持的可信服务请参见:已对接组织的可信服务列表。
息头,从而通过身份认证。 AK(Access Key ID):访问密钥ID。与私有访问密钥关联的唯一标识符;访问密钥ID和私有访问密钥一起使用,对请求进行加密签名。 SK(Secret Access Key):与访问密钥ID结合使用的密钥,对请求进行加密签名,可标识发送方,并防止请求被修改。
默认值:无。 Connection 指明与服务器的连接是长连接还是短连接。 类型:String 有效值:keep-alive | close。 默认值:无。 Date 服务器响应的时间。 类型:String 默认值:无。 X-Request-Id 由服务创建来唯一确定本次请求的值,可以通过该值来定位问题。
但是子OU的SCP允许权限A、B,拒绝权限C,则该子OU的账号以及以下层级的账号,均无法使用权限C。 用户在发起访问请求时,鉴权规则如下: 图3 系统鉴权逻辑图 用户发起访问请求。 系统优先寻找Deny指令。如果找到一个适用的Deny指令,系统将返回Deny决定。 如果没有找到
以组织管理员或管理账号的身份登录管理控制台,进入Organizations控制台。 进入策略管理页,单击“服务控制策略”,进入SCP管理页。 单击自定义SCP操作列的“删除”。 在弹窗中单击“确定”,完成SCP删除。 图2 删除SCP 父主题: 服务控制策略管理
的操作、资源和条件。 添加操作:单击“+”号,可以选择服务的操作项进行添加,添加成功的操作项会自动显示在Action元素下。如图3所示。 图3 添加操作 添加资源:仅支持资源级授权的服务可添加。单击“+”号,选择操作对应的服务,在选择资源类型,根据实际情况填写URN。如图4所示。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
