检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
IAM与Organizations权限访问控制的区别 作用对象的不同,IAM可以对账号下的IAM用户、IAM用户组、IAM委托进行授权。组织服务则是对根组织单元、组织单元和成员账号进行权限控制。 权限控制范围有所区别且有所关联,如果账号已经加入Organizations服务成为成
n)、资源(Resource)和条件(Condition)。 如何使用这些元素编辑SCP自定义策略,请参考创建SCP。 操作(Action) 操作(Action)即为SCP中支持的授权项。 “访问级别”列描述如何对操作进行分类(list、read和write等)。此分类可帮助您了解在SCP中相应操作对应的访问级别。
g:TagKeys eip:globalEips:getTags 授予查询全域弹性IP资源标签权限。 read globalEip * - eip:globalEips:listTags 授予查询项目里所有全域弹性IP资源标签权限。 list globalEip * - eip:globalEips:deleteTags
tResource - POST /v1/shared-principals/search-distinct-principal ram:sharedPrincipals:searchDistinctPrincipal - GET /v1/resource-shares/quotas
d waf:ipgroup:list 授予查询IP地址组列表的权限。 list - g:EnterpriseProjectId waf:ipgroup:create 授予创建IP地址组的权限。 write - g:EnterpriseProjectId waf:ipgroup:get
cdn:configuration:queryIpAcl 授予权限查询ip黑白名单。 list domain * g:ResourceTag/<tag-key> g:EnterpriseProjectId cdn:configuration:modifyIpAcl 授予权限修改ip黑白名单。 write
NoSQL) 实例(instance) 统一身份认证服务(IAM) 委托(agency) 用户(user) 镜像服务(IMS) 镜像(image) 设备接入 IoTDA 实例(instance) 密钥管理服务(KMS) 用户主密钥(cmk) 云日志服务(LTS) 日志接入(accessConfig)
启用和禁用可信服务 组织管理员禁用某个云服务的可信访问后,此云服务便不能给成员账号创建此服务的服务关联委托。 组织管理员关闭组织或成员账号离开组织后,Organizations服务会清理掉本服务的服务关联委托。 禁用AOM可信服务前,请先在AOM界面删除多账号实例,然后再在Org
dns:endpoint:createIpaddress 授予为终端节点绑定ip地址的权限。 write endpoint * - dns:endpoint:deleteIpaddress 授予为终端节点解绑ip地址的权限。 write endpoint * - dns:endpoint:listIpaddresses
Group:<domainGroup-id> ipGroup cfw:<region>:<account-id>:ipGroup:<ipGroup-id> eip cfw:<region>:<account-id>:eip:<eip-id> 条件(Condition) 条件(Co
启用和禁用标签策略 只有组织管理账号才可以启用或禁用标签策略,委托管理员无法执行此操作。 启用标签策略 在创建标签策略并将其附加到组织单元和账号之前,必须先启用标签策略,且只能使用组织的管理账号启用标签策略。 以组织管理员或管理账号的身份登录管理控制台,进入Organizations控制台。
查看根、OU和账号标签 操作场景 本章节指导用户查看根、OU和账号的标签。 操作步骤 查看根、OU和账号标签的方法类似,以OU为例,说明查看标签的方法。 以组织管理员或管理账号的身份登录华为云,进入华为云Organizations控制台,进入组织管理页面。 选中要查看标签的OU,
ga:ipgroup:addIps 授予为IP地址组批量添加IP权限。 write ipgroup * - ga:ipgroup:removeIps 授予为IP地址组批量删除IP权限。 write ipgroup * - ga:ipgroup:associateListener 授予为IP地址组绑定监听器权限。
启用和禁用SCP功能 启用SCP 在创建SCP并将其附加到组织单元和账号之前,必须先启用SCP,且只能使用组织的管理账号启用SCP。启用SCP后,组织将自动给所有OU和账号绑定FullAccess策略,默认允许所有操作。 以组织管理员或管理账号的身份登录管理控制台,进入Organizations控制台。
修改和删除标签策略 本章为您介绍如何修改和删除已创建的标签策略。 只有组织管理员才可以修改或删除标签策略,委托管理员无法执行此操作。 修改标签策略 以组织管理员或管理账号的身份登录管理控制台,进入Organizations控制台。 进入策略管理页,单击“标签策略”,进入标签策略列表。
阻止成员账号退出组织 阻止根用户的服务访问 禁止创建带有指定标签的资源 禁止访问指定区域的资源 禁止共享到组织外 禁止共享指定类型的资源 禁止组织内账号给组织外的账号进行聚合授权 禁止根用户使用除IAM之外的云服务 阻止IAM用户和委托进行某些修改 阻止IAM用户和委托进行某些修改,但指定的账号除外
codeartspipeline:pipelinetemplate:create 授予权限以创建流水线模板。 write - - codeartspipeline:pipelinetemplate:update 授予权限以更新流水线模板。 write - - codeartspipelin
/v1/cnad/protected-ips/tags aad:protectedIp:put - GET /v1/cnad/protected-ips aad:protectedIp:list - POST /v1/cnad/packages/{package_id}/protected-ips aad:package:put
注册作为服务委托管理员 功能介绍 指定成员账号能够管理指定服务的组织功能。此接口授予委托管理员对组织服务数据的只读访问权限。委托管理员账号中的IAM用户仍需要IAM权限才能访问和管理服务。此操作只能由组织的管理账号调用。 调试 您可以在API Explorer中调试该接口,支持自动认证鉴权。API
修改和删除SCP 本章为您介绍如何修改和删除已创建的自定义SCP。 修改SCP 以组织管理员或管理账号的身份登录管理控制台,进入Organizations控制台。 进入策略管理页,单击“服务控制策略”,进入SCP管理页。 单击自定义SCP操作列的“编辑”,在弹窗中输入“确认”,单击“确定”。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
