检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
服务控制策略 服务控制策略 (Service Control Policy,以下简称SCP) 是一种基于组织的访问控制策略。组织管理账号可以使用SCP指定组织中成员账号的权限边界,限制账号内用户的操作。服务控制策略可以关联到组织、组织单元和成员账号。当服务控制策略关联到组织或组织单
消委托管理员。 在组织中创建账号时默认创建的IAM委托,账号离开组织后并不会自动删除,组织管理账号可继续通过此委托访问成员账号的数据,如需终止组织管理账号的此访问权限,需成员账号手动删除委托。 在组织中创建的账号离开组织后,不会改变该账号与组织管理账号的财务托管模式。邀请加入组织
管理员创建空间托管时,可以选择组织下的一个或多个账号进行托管。 是 创建托管 访问分析(AccessAnalyzer) 访问分析提供组织级的访问分析功能,组织管理员或委托管理员可以在组织内创建和管理访问分析器,用于识别组织内与外部共享的资源等。 是 暂无 云运维中心 (COC)
Organizations会在成员账号内创建服务关联委托,该委托是云服务委托,委托权限为“OrganizationsServiceLinkedAgencyPolicy”系统权限,授权范围为所有资源。 新加入组织的成员账号权限将会受到服务控制策略和标签策略的影响。附加到根或包含新的成员账号的OU
组织单元管理 账号管理 邀请管理 可信服务管理 委托管理员管理 策略管理 标签管理 其他接口 权限和授权项 常见问题 了解更多常见问题、案例和解决方案 热门案例 IAM与Organizations权限访问控制的区别 SCP常见问题 技术专题 技术、观点、课程专题呈现 云小课合集 云计算知识哪家强,云上小课来开讲!
号。 服务控制策略 服务控制策略 (Service Control Policy,SCP) 是一种基于组织的访问控制策略。组织管理账号可以使用SCP指定组织中成员账号的权限边界,限制账号内用户的操作。服务策略可以关联到组织、组织单元和成员账号。当服务策略关联到组织或组织单元时,该
启用和禁用可信服务 组织管理员禁用某个云服务的可信访问后,此云服务便不能给成员账号创建此服务的服务关联委托。 组织管理员关闭组织或成员账号离开组织后,Organizations服务会清理掉本服务的服务关联委托。 禁用AOM可信服务前,请先在AOM界面删除多账号实例,然后再在Org
warning:表示操作失败。 incident:表示比操作失败更严重的情况,例如引起其他故障等。 企业项目ID:输入企业项目ID。 访问密钥ID:输入访问密钥ID(包含临时访问凭证和永久访问密钥)。 时间范围:可选择查询最近1小时、最近1天、最近1周的操作事件,也可以自定义最近7天内任意时间段的操作事件。
创建一个账号,生成的账号将自动成为调用此接口的账号所属组织的成员。此操作只能由组织的管理账号调用。组织云服务将在新账号中创建所需的服务关联委托和账号访问委托。 调试 您可以在API Explorer中调试该接口,支持自动认证鉴权。API Explorer可以自动生成SDK代码示例,并提供SDK代码示例调试功能。
assume-role token. 升级权限失败 请稍后重试,如果再次失败请联系管理员。 403 Organizations.1007 Policy doesn't allow '{0}' to be performed. 细粒度鉴权失败 请检查用户有接口访问权限。 400 Organizations
进入策略管理页,单击“服务控制策略”操作列的“启用”。 在弹窗中勾选确认框,然后单击“确定”,完成SCP功能启用。 图1 启用SCP 禁用SCP 如果您不想再使用SCP管理组织权限,可以禁用SCP,且只能使用组织的管理账号禁用SCP。 禁用SCP后,所有SCP会自动从组织中的所有实体解绑,包括所有OU和账号,但是策略本身不会被删除。
说明 注册作为服务委托管理员 指定成员账号能够管理指定服务的组织功能。此接口授予委托管理员对组织服务数据的只读访问权限。委托管理员账号中的IAM用户仍需要IAM权限才能访问和管理服务。此操作只能由组织的管理账号调用。 注销服务的委托管理员 删除指定成员账号作为指定服务的委托管理员。此操作只能由组织的管理账号调用。
AM用户权限没有任何更改。 对成员账号的影响 成员账号将成为独立账号。您可以继续将它作为独立账号使用,也可以使用它创建不同的组织,它也可以作为成员账号接受其他组织的邀请。 删除组织后,组织的成员账号将不再受到服务控制策略(SCP)的影响,成员账号及成员账号的IAM用户权限可能会发生改变。
安全令牌服务 STS 资源编排服务 RFS IAM身份中心 组织 Organizations 资源访问管理 RAM 企业项目管理 EPS 标签管理服务 TMS 配置审计 Config 访问分析 IAM Access Analyzer 云审计服务 CTS 资源治理中心 RGC 应用运维管理
组织管理员最多可以同时创建成员账号的数量 5个 无 组织管理员在30天内最多支持关闭的成员账号数量 10%、最多200个 无 组织管理员最多可以同时关闭成员账号的数量 3个 无 24小时内可以执行的最大邀请尝试次数 20次 无 24小时内可移出组织的账号数量 5 无 邀请有效期 14天 无 邀请记录在列表中保留的时间
账号的权限。例如只有研发部下属的账号可以修改和删除资源合规规则,其余账号如财务部账号无法进行这些操作。目前支持SCP的服务请参见支持SCP的云服务。 确定所需策略。 查看SCP系统策略列表,查找到需要设置的权限(若无匹配策略,可选择自定义策略)。此处使用自定义策略进行权限管控,策略语法请参考SCP语法介绍。
SCP系统策略列表 现有华为云预置的SCP系统策略如下表所示: 表1 华为云SCP系统策略 策略名 描述 FullAccess 允许所有资源的所有权限。 每个根、OU和账号必须始终绑定至少一个SCP。 父主题: 服务控制策略管理
添加条件 (可选)单击“添加新语句”,可添加Statement元素的对象。 Statement元素的值可以是多个对象组成的数组,表示不同的权限约束。 图6 添加新语句 (可选)为策略添加标签。在标签栏目下,输入标签键和标签值,单击“添加”。 图7 为SCP添加标签 单击右下角“保
service_principal 是 String 服务主体名称。 account_id 是 String 账号的唯一标识符(ID)。 响应参数 无 请求示例 注销服务的委托管理员 POST https://{endpoint}/v1/organizations/delegated-ad
如果正在使用临时安全凭据,则此header是必需的,该值是临时安全凭据的安全令牌(会话令牌)。 响应参数 无 请求示例 离开当前组织 POST https://{endpoint}/v1/organizations/leave 响应示例 无 状态码 状态码 描述 200 Successful. 错误码 请参见错误码。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
