检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
授予从提供的列表获取一组资源共享,或获取具有指定状态的资源共享的权限。 read - g:TagKeys ram:resourceShares:update 授予更新资源共享属性的权限。 write resourceShare * g:ResourceTag/<tag-key> ram:AllowExternalPrincipals
read policy * g:ResourceTag/<tag-key> organizations:policies:update 授予更新策略的权限。 write policy * g:ResourceTag/<tag-key> organizations:policies:delete
t={offset}&limit={limit}&tags={key}={value} rds:instance:get - GET https://{Endpoint}/v3/{project_id}/quotas rds:instance:listQuotas - POST
应用运维管理服务(AOM) 应用运维管理服务提供多账号聚合类型Prometheus实例的创建功能。 当同组织下多个成员账号均已接入云服务指标时,组织管理员或AOM服务的委托管理员可以通过该功能统一监控同一组织下多个成员账号的云服务指标。 是 Prometheus实例 for 多账号聚合实例 云备份服务(CBR)
s 授予权限以查询总览任务状态。 read - - dbss::updateAuditInstancesSummaryInfo 授予权限以更新所有审计实例总览信息。 write - - dbss:auditInstance:setReporterConfig 授予权限以更改报表的计划任务配置信息。
具体的企业项目时,如该API所对应授权项(Action)支持g:EnterpriseProjectId,则此条件键存在。此条件键为鉴权场景下使用的条件键,并非过滤条件,即不会过滤出符合该条件键所指定的企业项目下的资源。示例参见3。 g:MFAPresent 布尔值 指是否使用MFA多因素认证方式获取STS
组织单元是可以理解为成员账号的容器或分组单元,通常可以映射为企业的部门、子公司或者项目组等。组织单元可以嵌套,一个组织单元只能有一个父组织单元,一个组织单元下可以关联多个子组织单元或者成员账号。如何管理组织单元请参见OU管理。 服务控制策略 服务控制策略 (Service Control Policy,SCP)
查看账号名、账号ID、用户名、用户ID、项目名称、项目ID 调用API获取用户ID、项目ID 获取用户ID请参考:管理员查询IAM用户列表。 获取项目ID请参考:查询指定条件下的项目列表。 获取用户组名称和ID 登录华为云,进入IAM控制台,选择“用户组”页签。 单击需要查询的用户组前的下拉框,即可查询用户组名称、用户组ID。
且可由子策略继承。 子控制运算符 默认情况下,允许所有运算符 (@@all)。 "@@operators_allowed_for_child_policies":["@@all"]表示:子OU和账号可以在策略中使用任何运算符。默认情况下,子策略中允许使用所有运算符。 "@@ope
云数据库 TaurusDB Organizations服务中的服务控制策略(Service Control Policy,以下简称SCP)也可以使用这些授权项元素设置访问控制策略。 SCP不直接进行授权,只划定权限边界。将SCP绑定到组织单元或者成员账号时,并没有直接对组织单元或
进入华为云Organizations控制台,进入组织管理页面。 在左侧导航栏,选择“组织管理”。 单击选中组织的根、OU或账号,组织结构树右侧即可展示详细信息。 在右侧详细信息下,选择“策略”页签。 展开“标签策略”列表,单击列表上方的“查看有效标签策略”,在JSON视图查看有效标签策略内容。 图1 查看有效标签策略
在策略内容右侧可以使用策略编辑器进行编辑自定义策略的操作、资源和条件。 添加操作:单击“+”号,可以选择服务的操作项进行添加,添加成功的操作项会自动显示在Action元素下。如图3所示。 图3 添加操作 添加资源:仅支持资源级授权的服务可添加。单击“+”号,选择操作对应的服务,在选择资源类型,根据实际情况填写URN。如图4所示。
C。右侧椭圆表示子OU(或账号)绑定SCP允许的权限,子OU(或账号)允许权限C、D和E。由于附加到父OU的SCP不允许D或E,因此父OU下的所有子OU和账号都不能使用它们,即使子OU的SCP明确允许D和E,它们最终仍然会被父OU的SCP阻止。子OU(或账号)的SCP不允许A或B,因此,
] } ] } 如上示例无法进一步压缩到带一个元素的Statement中,因为两个元素具有不同的作用(Effect)。通常情况下,您只能在每个语句中的Effect和Resource元素相同时组合语句。 多个Statement元素 如下示例中的错误看起来可能是上一节中错
规则。 以组织管理员账号或者Config服务的委托管理员账号登录管理控制台。 单击页面左上角的图标,在弹出的服务列表中,选择“管理与监管”下的“配置审计 Config”。 单击左侧的“资源合规”,进入“资源合规”页面。 选择“组织规则”页签,单击“添加规则”。 进入“基础配置”页
禁止组织内账号给组织外的账号进行聚合授权 使用以下SCP禁止本组织内账号给组织外的账号进行聚合授权。此SCP建议绑定至组织的根OU,使组织外账号无法获取组织内账号下的资源清单信息。您也可以将此SCP绑定给接受授权的账号(源账号),禁止该账号接受来自聚合器账号的授权请求。 { "Version": "5
义最近7天内任意时间段的操作事件。 在事件列表页面,您还可以导出操作记录文件、刷新列表、设置列表展示信息等。 在搜索框中输入任意关键字,按下Enter键,可以在事件列表搜索符合条件的数据。 单击“导出”按钮,云审计服务会将查询结果以.xlsx格式的表格文件导出,该.xlsx文件包
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
