检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
组织级相关能力的华为云服务。管理账号可以在组织中开启某个云服务为可信服务。成为可信服务后,云服务可以获取组织中的组织单元及成员账号信息,并基于此信息提供组织级的管理能力。如何管理可信服务请参见可信服务管理。 URN 统一资源标识(Uniform Resource Name,URN),用于唯一标识云服务资源。
如果系统预置的Organizations云服务权限,不满足您的授权要求,可以创建自定义策略。自定义策略中可以添加的授权项(Action)请参考权限及授权项说明。 目前华为云支持以下两种方式创建自定义策略: 可视化视图创建自定义策略:无需了解策略语法,按可视化视图导航栏选择云服务、操作、资源、条件等策略内容,可自动生成策略。
可信服务概述 什么是可信服务 可信服务是指可与Organizations服务集成,提供组织级相关能力的华为云服务。管理账号可以在组织中开启某个云服务为可信服务。成为可信服务后,云服务可以获取组织中的组织单元及成员账号信息,并基于此信息提供组织级的管理能力。例如,开启CTS云审计为
基于可信服务提供组织级能力 操作场景 可信服务是指可与Organizations服务集成,提供组织级相关能力的华为云服务。管理账号可以在组织中开启某个云服务为可信服务。成为可信服务后,云服务可以获取组织中的组织单元及成员账号信息,并基于此信息提供组织级的管理能力。 本章节以启用C
时,上下层策略将直接合并为一个有效的标签策略。 本章为您介绍如何在控制台上查看绑定在组织的根、OU和账号上的有效标签策略。 操作步骤 进入华为云Organizations控制台,进入组织管理页面。 在左侧导航栏,选择“组织管理”。 单击选中组织的根、OU或账号,组织结构树右侧即可展示详细信息。
若禁用SCP后再重新启用SCP,则组织中的所有实体将恢复到只绑定FullAccess的状态。实体与其他SCP的绑定关系将丢失,如需恢复则需要用户重新绑定。 以组织管理员或管理账号的身份登录管理控制台,进入Organizations控制台。 进入策略管理页,单击“服务控制策略”操作列的“禁用”。 图2
务和支持SCP的区域。 通过API方式获取Token后,使用该Token访问支持SCP的云服务的API,在大多数场景下将不受SCP限制。 华为云移动端APP版本低于v3.30.0,将不受SCP限制。 父主题: 服务控制策略介绍
根据适用范围,分为全局级条件键和服务级条件键。 全局级条件键(前缀为g:)适用于所有操作,在鉴权过程中,云服务不需要提供用户身份信息,系统将自动获取并鉴权。详情请参见:全局条件键。 服务级条件键(前缀通常为服务缩写,如dns:)仅适用于对应服务的操作,详情请参见表4。 单值/多
* g:ResourceTag/<tag-key> - g:EnterpriseProjectId scm:cert:upload 授予权限上传证书。 write cert * - - g:EnterpriseProjectId scm:cert:download 授予权限下载证书。
根据适用范围,分为全局级条件键和服务级条件键。 全局级条件键(前缀为g:)适用于所有操作,在鉴权过程中,云服务不需要提供用户身份信息,系统将自动获取并鉴权。详情请参见:全局条件键。 服务级条件键(前缀通常为服务缩写,如cc:)仅适用于对应服务的操作,详情请参见表4。 单值/多值
g:ResourceTag/<tag-key> g:EnterpriseProjectId dws:cluster:getObsHotStorage 授予查询存算分离集群OBS数据使用情况操作权限。 read cluster * g:ResourceTag/<tag-key> g:EnterpriseProjectId
局级条件键和服务级条件键。 全局级条件键(前缀为g:)适用于所有操作,在鉴权过程中,云服务不需要提供用户身份信息,系统将自动获取并鉴权。详情请参见:请参考全局条件键。 服务级条件键(前缀通常为服务缩写,如pca:)仅适用于对应服务的操作,详情请参见表 PCA支持的服务级条件键。
snapshots servicestage:app:getComponent - GET /v2/{project_id}/cas/jobs/{job_id} servicestage:app:listApplication - POST /v3/{project_id}/cas/environments
coc:ticket:uploadFile 为事件单上传附件的权限。 write - - coc:ticket:create 创建事件单的权限。 write - - coc:contingencyPlan:uploadFile 为应急预案上传附件的权限。 write contingencyPlan
rs 授予权限以查询所有驱动文件。 list - - DataArtsStudio:instance:uploadDriver 授予权限以上传驱动文件。 write - - DataArtsStudio:instance:deleteDriver 授予权限以删除驱动文件。 write
授予解锁指定任务的目的端服务器权限 write server g:EnterpriseProjectId sms:server:collectLog 授予上传迁移任务的日志权限 write server g:EnterpriseProjectId sms:server:getTaskPassphrase
nces/export-job dcs:instance:exportListFile - GET /v2/{project_id}/jobs/{job_id} dcs:job:get - PUT /v2/{project_id}/migration-task/{task_id}
g:EnterpriseProjectId hss:container:listJobs 授予权限以查询kubernetes普通任务列表。 list - g:EnterpriseProjectId hss:container:listCronJobs 授予权限以查询Kubernetes定时任务列表。 list
/v2/{project_id}/firewall cfw:instance:createInstance - GET /v3/{project_id}/jobs/{job_id} cfw:instance:listInstance - 资源类型(Resource) 资源类型(Resource)表示
write cluster * cce:ClusterId g:EnterpriseProjectId cce:chart:upload 授予上传应用模板的权限。 write - - cce:chart:delete 授予删除应用模板的权限。 write - - cce:chart:update
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
