正在生成
详细信息:
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
Organizations服务中的服务控制策略(Service Control Policies,以下简称SCP)可以使用这些授权项元素设置访问控制策略。 SCP不直接进行授权,只划定权限边界。将SCP绑定到组织单元或者成员账号时,并没有直接对组织单元或成员账号授予操作权限,而是规定了成员
Organizations服务中的服务控制策略(Service Control Policies,以下简称SCP)可以使用这些授权项元素设置访问控制策略。 SCP不直接进行授权,只划定权限边界。将SCP绑定到组织单元或者成员账号时,并没有直接对组织单元或成员账号授予操作权限,而是规定了成员
Organizations服务中的服务控制策略(Service Control Policy,以下简称SCP)可以使用以下授权项元素设置访问控制策略。 SCP不直接进行授权,只划定权限边界。将SCP绑定到组织单元或者成员账号时,并没有直接对组织单元或成员账号授予操作权限,而是规定了成员账号或组织单元包含的成员账号的授权范围。
tTags 授予TMS用户查询应用资源标签列表权限 read - - servicestage:pipeline:get 授予用户查看流水线权限 read pipeline - servicestage:pipeline:create 授予用户创建流水线权限 write pipeline
服务控制策略概述 概述 服务控制策略 (Service Control Policy,SCP) 是一种基于组织的访问控制策略。组织管理账号可以使用SCP指定组织中成员账号的权限边界,限制账号内用户的操作。服务策略可以关联到组织、OU和成员账号。当服务策略关联到组织或OU时,该组织或OU下所有账号受到该策略影响。
根据适用范围,分为全局级条件键和服务级条件键。 全局级条件键(前缀为g:)适用于所有操作,在鉴权过程中,云服务不需要提供用户身份信息,系统将自动获取并鉴权。详情请参见:全局条件键。 服务级条件键(前缀通常为服务缩写,如cc:)仅适用于对应服务的操作,详情请参见表4。 单值/多值
务时,该服务可以请求Organizations在其成员账号中创建服务关联委托,可信服务按需异步执行此操作。此服务关联委托具有预定义的IAM权限,允许可信服务在成员账号中拥有执行可信服务文档中所述任务的权限,相当于云服务能力在多账号组织场景下的拓展。当前支持的可信服务及其功能简介请参见:已对接组织的可信服务。
re 授予权限以获取实例支持的特性列表。 list instance * g:ResourceTag/<tag-key> g:EnterpriseProjectId - apig:instance:importMicroservice 授予权限以导入微服务到专享版实例。 write
PI的访问。 与其他华为云服务集成:Organizations服务通过和其他华为云服务的集成(可信服务),使用户可以在其他服务上执行组织级别的相关能力。可信服务及其相关能力的具体详情,请参考已对接组织的可信服务。 表1 Organizations云服务功能概览 功能 功能描述 参考链接
支持SCP的云服务 当前支持使用SCP的云服务如下表所示: 支持SCP的云服务同时也支持IAM的身份策略。 计算 序号 服务名称 相关文档 1 弹性云服务器(ECS) 弹性云服务器 ECS 2 裸金属服务(BMS) 裸金属服务器 BMS 3 镜像服务(IMS) 镜像服务 IMS 4
局条件键和服务条件键。 全局级条件键(前缀为g:)适用于所有操作,在鉴权过程中,云服务不需要提供用户身份信息,组织将自动获取并鉴权。详情请参见:通用全局条件键。 服务级条件键(前缀为服务缩写,如rms:)仅适用于对应服务的操作。详情请参见SCP授权参考中各服务支持的服务级条件键。
在客户端提供认证信息后,返回该状态码,表明服务端指出客户端所提供的认证信息不正确或非法,请确认用户名和密码是否正确。 402 Payment Required 保留请求。 403 Forbidden 请求被拒绝访问。 返回该状态码,表明请求能够到达服务端,且服务端能够理解用户请求,但是拒绝做更多的事
NoSQL) 实例(instance) 统一身份认证服务(IAM) 委托(agency) 用户(user) 镜像服务(IMS) 镜像(image) 设备接入 IoTDA 实例(instance) 密钥管理服务(KMS) 用户主密钥(cmk) 云日志服务(LTS) 日志接入(accessConfig)
略授予权限的有效性受SCP限制,只有在SCP允许范围内的权限才能生效。SCP禁止的权限操作,即便授予IAM用户权限,用户也不能执行相关操作。 比如成员账号A绑定了某一条SCP,SCP允许操作A的权限,拒绝操作B的权限。那么成员账号A可以给自己名下的IAM用户授予操作A的权限,不能
启用和禁用可信服务 组织管理员禁用某个云服务的可信访问后,此云服务便不能给成员账号创建此服务的服务关联委托。 组织管理员关闭组织或成员账号离开组织后,Organizations服务会清理掉本服务的服务关联委托。 禁用AOM可信服务前,请先在AOM界面删除多账号实例,然后再在Org
阻止成员账号退出组织 阻止根用户的服务访问 禁止创建带有指定标签的资源 禁止访问指定区域的资源 禁止共享到组织外 禁止共享指定类型的资源 禁止组织内账号给组织外的账号进行聚合授权 禁止根用户使用除IAM之外的云服务 阻止IAM用户和委托进行某些修改 阻止IAM用户和委托进行某些修改,但指定的账号除外
当同组织下多个成员账号均已接入云服务指标时,组织管理员或AOM服务的委托管理员可以通过该功能统一监控同一组织下多个成员账号的云服务指标。 是 Prometheus实例 for 多账号聚合实例 云备份服务(CBR) 云备份服务支持基于组织的统一策略管理能力,组织管理员或CBR服务的委托管理员可
类型:String 默认值:无。 Connection 指明与服务器的连接是长连接还是短连接。 类型:String 有效值:keep-alive | close。 默认值:无。 Date 服务器响应的时间。 类型:String 默认值:无。 X-Request-Id 由服务创建来唯一确定本次请求的值,可以通过该值来定位问题。
计算 弹性云服务器 ECS 裸金属服务器 BMS 镜像服务 IMS 弹性伸缩 AS 父主题: SCP授权参考
通过IAM身份中心登录创建的账号 账号创建完成后,可以将其与IAM身份中心的用户和权限集进行关联,关联后即可通过IAM身份中心的用户门户URL登录控制台,登录后可以访问组织下账号的资源。资源具体的访问权限由IAM身份中心权限集控制。 账号关联用户/组和权限集。 登录创建的账号并访问资源。 父主题: