检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
列出被添加到标签策略强制执行的资源类型 功能介绍 列出被添加到标签策略强制执行的资源类型。 调试 您可以在API Explorer中调试该接口,支持自动认证鉴权。API Explorer可以自动生成SDK代码示例,并提供SDK代码示例调试功能。 URI GET https://{
OU(或账号)的SCP共同允许的权限,作为子OU的最终权限边界。 如下图所示,左侧的椭圆表示附加到父OU的SCP,它允许权限A、B和C。右侧椭圆表示子OU(或账号)绑定SCP允许的权限,子OU(或账号)允许权限C、D和E。由于附加到父OU的SCP不允许D或E,因此父OU下的所有子
在创建SCP并将其附加到组织单元和账号之前,必须先启用SCP,且只能使用组织的管理账号启用SCP。启用SCP后,组织将自动给所有OU和账号绑定FullAccess策略,默认允许所有操作。 以组织管理员或管理账号的身份登录管理控制台,进入Organizations控制台。 进入策略管理页,单击“服务控制策略”操作列的“启用”。
影响。IAM策略授予权限的有效性受SCP限制,只有在SCP允许范围内的权限才能生效。SCP禁止的权限操作,即便授予IAM用户权限,用户也不能执行相关操作。 作用效果不同。SCP是指定了组织中成员账号的权限边界,限制账号内用户的操作。IAM策略则是直接对IAM用户、IAM用户组、IAM委托进行授权。
策略语句标识符。您可为语句数组中的每个策略语句指定Sid值。 用户自定义字符串。 Effect:作用 必选 定义Action中的操作权限是否允许执行。 Allow:允许执行。 Deny:不允许执行。 说明: 当同一个Action的Effect既有Allow又有Deny时,遵循Deny优先的原则。 当Effe
功能介绍 禁用根中的策略类型。只有在根中启用了特定类型的策略,才能将该类型的策略绑定到根中的实体。执行此操作后,您不能再将指定类型的策略绑定到该根或该根中的任何组织单元或账号。这是在后台执行的异步请求。您可以使用ListRoots查看指定根的策略类型的状态。此操作只能由组织的管理账号调用。
功能介绍 启用服务(由service_principal指定的服务)与组织的集成。启用可信服务后,允许指定的可信服务对组织中的所有账号创建服务关联委托。这允许可信服务代表您在组织及其账号中执行操作。此接口只能由组织的管理账号调用。 调试 您可以在API Explorer中调试该接口,支持自动认证鉴权。API
效标签策略。运算符包括值设置运算符和子控制运算符。 值设置运算符 您可以使用以下值设置运算符来控制策略与其父策略交互的方式: 表1 值设置运算符 运算符 说明 @@assign 用指定设置覆盖任何继承的策略设置。如果未继承指定的设置,则此运算符会将该设置添加到有效策略中。此运算符可以应用于任何类型的任何策略设置。
FullAccess 拥有该权限的用户可以执行Organizations服务支持的所有功能,包括创建、更改、删除、查询等操作。 系统策略 无 Organizations ReadOnlyAccess 拥有该权限的用户可以对组织信息执行只读访问。它不允许用户进行任何更改。 系统策略 无 表
r为准。 指定标签键的允许值。 勾选此项后单击“添加值”,为标签键指定的一个或多个允许值,表示此标签键仅允许使用此处指定的值,否则为不合规。如不勾选此项或勾选后未添加标签值,则此标签键使用任何值(包括没有值)都将视为合规。 图2 添加标签键的允许值 指定执行标签策略检查的资源类型。
管理账号可以为根、OU和账号绑定和解绑标签策略。 约束与限制 一个账号最多可以绑定10个标签策略。 只有组织管理员才可以绑定或解绑标签策略,委托管理员无法执行此操作。 标签策略完成绑定后将在30分钟内生效。 绑定标签策略 方式一: 以组织管理员或管理账号的身份登录华为云,进入华为云Organizations控制台,进入组织管理页面。
可信服务后,指定服务将不可以在组织中的新账号中创建服务关联委托。这意味着该服务无法代表您对组织中的任何新账号执行操作。在服务完成从组织中的清理之前,服务仍可以在旧账号中执行操作。此接口只能由组织的管理账号调用。 调试 您可以在API Explorer中调试该接口,支持自动认证鉴权。API
组织管理员在30天内最多支持关闭的成员账号数量 10%、最多200个 无 组织管理员最多可以同时关闭成员账号的数量 3个 无 24小时内可以执行的最大邀请尝试次数 20次 无 24小时内可移出组织的账号数量 5 无 邀请有效期 14天 无 邀请记录在列表中保留的时间 1年 无 组织内可创建服务控制策略的数量
换为具有允许操作的自定义策略,否则不应解绑该策略。当您确定需要解绑“FullAccess”并且配置具有允许操作的自定义策略时,除配置业务需要的授权项外,必须额外配置iamToken::*和signin::*。 如果解绑Root的“FullAccess”策略,则整个组织内所有账号的
单击“标签策略”,进入标签策略管理页。 单击“创建”,进入创建标签策略页面。 参考如下说明设置标签策略内容,其他参数均可保持默认配置。 参数 示例 说明 标签键 ABC 设置标签策略定义的标签的键。 标签策略仅会对此处设置的标签生效。 标签键的大写合规性 勾选此项 指定标签键的大小写形式来定义合规性。
创建OU 您可以在组织的根下创建OU。OU最深可嵌套至5层。创建OU请执行以下步骤。 以组织管理员或管理账号的身份登录华为云,进入华为云Organizations控制台,进入组织管理页面。 在组织结构树中选中父OU的名称(而不是展开框)。如您是首次创建OU,则需选中根OU的名称(即Root)。
服务能够在您组织的成员账号中代表您执行任务。当您启用某个服务为可信服务时,该服务可以请求Organizations在其成员账号中创建服务关联委托,可信服务按需异步执行此操作。此服务关联委托具有预定义的IAM权限,允许可信服务在成员账号中拥有执行可信服务文档中所述任务的权限,相当于
集中控制每个账号可执行的操作:管理员通过使用服务控制策略,为组织或者组织单元设置权限边界,阻止组织内的成员账号对相应服务的控制台或API的访问。 与其他华为云服务集成:Organizations服务通过和其他华为云服务的集成(可信服务),使用户可以在其他服务上执行组织级别的相关能力
账号关闭申请一旦提交则无法取消,账号内数据便会开始删除且无法恢复,请谨慎操作。 账号内数据删除完成后,该账号的状态变为“已关闭”,将继续在账号列表中保留90天,之后才会彻底注销。 约束与限制 只有创建的账号才可以关闭,无法关闭邀请的账号。 创建的账号如已转为云账号则无法关闭。 已设置为委托管理员的账
has been restricted. 操作被受限,不允许访问 请检查账号是否被受限。 403 Organizations.1105 The current operation has been frozen. 操作被冻结,不允许访问 请检查账号是否被冻结。 404 Organizations
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
