检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
权限和授权项 权限和授权项说明 策略授权参考
通过IAM,您可以通过授权控制主体(IAM用户、用户组、IAM委托)对华为云资源的访问范围。 账号下的IAM用户发起API请求时,该IAM用户必须具备调用该接口所需的权限,否则,API请求将调用失败。每个接口所需要的权限,与各个接口所对应的授权项相对应,只有发起请求的用户被授予授权项所对应的策略,该用户才能成功调用该接口。
Policies,以下简称SCP)也可以使用这些授权项元素设置访问控制策略。 SCP是一种基于组织的访问控制策略。组织管理账号可以使用SCP指定组织中成员账号的权限边界,限制账号内用户的操作。服务策略可以关联到组织、组织单元和成员账号。当服务策略关联到组织或组织单元时,该组织或组织单元下所
邮箱地址不可以与IAM身份中心其他用户所使用的邮箱地址相同。该邮箱将用于在IAM身份中心创建RGC管理员,该IAM身份中心用户拥有管理员权限。 不开通IAM身份中心:如果不希望RGC在IAM身份中心创建RGC管理员身份的用户以及其他用户组、权限集等资源,则选择不开通IAM身份中心。
当前账号需要先开启企业中心服务。 入门流程 图1为RGC服务入门使用流程。 图1 RGC服务入门使用流程 搭建Landing Zone 以企业主账号身份登录的华为云。 单击“”,选择“管理与监管 > 资源治理中心 RGC”。 在服务开通页,单击“立即开通”。 图2 开通RGC 设置RGC的主区域,该区域是Landing
RGC-GR_CONFIG_ECS_INSTANCE_NO_PUBLIC_IP ECS资源具有公网IP,视为“不合规”。 限制网络访问 中 compute:::instance 不涉及 RGC-GR_CONFIG_ECS_MULTIPLE_PUBLIC_IP_CHECK ECS资源具有多个公网IP,视为“不合规”。
l_status_id} 请求方法 HTTP请求方法(也称为操作或动词),它告诉服务你正在请求什么类型的操作。 GET:请求服务器返回指定资源。 PUT:请求服务器更新指定资源。 POST:请求服务器新增资源或执行特殊操作。 DELETE:请求服务器删除指定资源,如删除对象等。 HEAD:请求服务器资源头部。
终端节点 终端节点即调用API的请求地址,不同服务不同区域的终端节点不同,您可以从地区和终端节点中查询服务的终端节点。 基本概念 账号 用户注册华为云时的账号,账号对其所拥有的资源及云服务具有完全的访问权限,可以重置用户密码、分配用户权限等。由于账号是付费主体,为了确保账号安全,建
规”。 优化成本 中 ecs:::instanceV1ecs:::instanceV1 是 RGC-GR_CONFIG_ECS_ATTACHED_HSS_AGENTS_CHECK ECS实例未绑定HSS代理并启用防护,视为“不合规”。 管理漏洞 中 ecs:::instanceV1
身份权限:精细化的权限分配与统一的身份管理,消减过度授权风险。 网络规划:公共网络资源集中管理,保障网络安全和高可用。 安全合规:相关数据介质正确加密,主机与数据落地安全保护。 合规审计:完整收集并设置日志的长期留存,保障审计的有效性。 数据边界:正确设置权限边界,预防非预期的访问操作。 财务治理:精细化的财务管理,无浪费或异常成本。
纳管账号失败 问题描述 用户在将邀请进组织的账号进行纳管操作时,提示纳管失败。 可能原因 邀请进组织的账号未包含相关的委托。 解决方法 以纳管账号的身份登录华为云,进入华为云IAM控制台。 在左侧导航窗格中,选择“委托”页签,单击右上方的“创建委托”。 图1 创建委托 设置“委托名称”为“
在授权的确认弹窗中,单击“立即授权”。 勾选以下三个需要授予委托的权限,分别是:Security Administrator、FullAccess和Tenant Guest。 图3 需要授予委托的权限 单击“下一步”,选择权限的作用范围。 单击“确定”,委托创建完成。RGC管理账号即可
中心创建RGC管理员,该IAM身份中心用户拥有管理员权限。若IAM身份中心已连接外部身份源,则RGC默认创建的IAM身份中心用户无法登录。 不开通IAM身份中心:如果不希望RGC在IAM身份中心创建RGC管理员身份的用户以及其他用户组、权限集等资源,则选择不开通IAM身份中心。 更新告警邮箱:
必选:这部分策略在开启RGC服务并设置Landing Zone后,便在核心OU和核心账号上强制自动生效,而且无法禁用。 强烈推荐:基于华为云治理最佳实践强烈推荐的合规遵从管控策略,大部分企业用户在云上治理多账号环境时大概率会涉及相关场景和服务,建议Landing Zone搭建完成之后,企业用户自主启用。
} } } ] } RGC-GR_SMN_SUBSCRIPTION_CHANGE_PROHIBITED 名称:不允许订阅RGC设置的SMN通知 实现:SCP 类型:预防性控制策略 功能:防止更改RGC设置的SMN主题订阅,此订阅用于触发配置规则合规性更改的通知。 { "Version":
membership. 用户组绑定用户失败。 请稍后重试。 400 RGC.1016 bad request for create group. 创建用户组失败。 请稍后重试。 400 RGC.1017 bad request for create user. 创建IIC用户失败。 请稍后重试。
json、zip包文件格式,用于描述您的云资源。 控制策略 为持续治理云上多账号环境而提供的预定义规则。 服务控制策略 服务控制策略 (Service Control Policy,SCP) 是一种基于组织的访问控制策略。组织管理账号可以使用SCP指定组织中成员账号的权限边界,限制
在客户端提供认证信息后,返回该状态码,表明服务端指出客户端所提供的认证信息不正确或非法。 402 Payment Required 保留请求。 403 Forbidden 请求被拒绝访问。 返回该状态码,表明请求能够到达服务端,且服务端能够理解用户请求,但是拒绝做更多的事情,因为该请求被设置为拒绝访问,建议直接修改该请求,不要重试该请求。
模板概述 模板简介 模板是一个HCL语法文本描述文件,支持tf、tf.json、zip包文件格式,用于描述您的云资源。模板中可以定义大批量、不同服务、不同规格的资源实例,通过编写模板即可完成应用设计与资源的规划,实现众多资源的自动化部署或销毁操作,使业务的组织和管理变得轻松。且同
以RGC管理账号的身份登录华为云,进入华为云RGC控制台。 进入组织管理页,单击需要注册OU所在行“操作”列的“注册”。 图1 注册OU 确认子账号和OU上控制策略的信息。确认无误后,勾选“我了解重新注册组织单元的相关风险,并且我同意RGC服务将必要的角色和权限应用于我的组织单元和账号。”。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
