检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
cnad:protectedIp:create 授予绑定防护IP到实例的权限。 write - - cnad:protectedIp:list 授予查询防护IP列表的权限。 list - - cnad:protectedIpDropList:list 授予查询防护IP下拉列表的权限。 list
图2 集中管理企业多个云账号 预防各业务的违规行为 企业可以根据内外部要求,为不同的部门、业务环境(生产、测试或开发)等设置云上的行为边界,Organizations服务可以主动拦截不符合要求的行为,预防违规行为发生。 图3 使用策略管控各账号行为 提供多种企业级的治理能力 配置审计
时请求可以包含多个值。例如:g:SourceVpce是单值条件键,表示仅允许通过某个VPC终端节点发起请求访问某资源,一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键,表示请求中携带的所有标签的key组成的列表,当用户在调用API请求时传入标签可以传入多个值。
/v1/cnad/protected-ips/tags aad:protectedIp:put - GET /v1/cnad/protected-ips aad:protectedIp:list - POST /v1/cnad/packages/{package_id}/protected-ips aad:package:put
d waf:ipgroup:list 授予查询IP地址组列表的权限。 list - g:EnterpriseProjectId waf:ipgroup:create 授予创建IP地址组的权限。 write - g:EnterpriseProjectId waf:ipgroup:get
secmaster:pipe:list 授予权限查询数据管道列表。 list pipe * - secmaster:pipe:create 授予权限创建数据管道。 write pipe * - secmaster:pipe:get 授予权限查询数据管道详情。 read pipe * - s
授予查询已录入全部信息的权限。 list - - drs:configuration:getPublicIp 授予查询EIP列表或者Eip信息的权限。 list - - drs:configuration:getVpcs 授予查询VPC列表的权限。 list - - drs:configuration:listSubnets
tity_store_id}/group-memberships/retrieve-group-membership-id IdentityCenter:groupMembership:getGroupMembershipId organizations:delegatedAdministrators:list
时请求可以包含多个值。例如:g:SourceVpce是单值条件键,表示仅允许通过某个VPC终端节点发起请求访问某资源,一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键,表示请求中携带的所有标签的key组成的列表,当用户在调用API请求时传入标签可以传入多个值。
支持审计的关键操作 通过云审计服务,您可以记录与组织云服务相关的操作事件,便于日后的查询、审计和回溯。 表1 云审计支持的Organizations操作列表 操作名称 资源类型 事件名称 创建组织 Organization createOrganization 关闭组织 Organization
Policy,以下简称SCP)可以使用以下授权项元素设置访问控制策略。 SCP不直接进行授权,只划定权限边界。将SCP绑定到组织单元或者成员账号时,并没有直接对组织单元或成员账号授予操作权限,而是规定了成员账号或组织单元包含的成员账号的授权范围。 本章节介绍组织服务中SCP使用的元素,这些元素
Policy,以下简称SCP)可以使用以下授权项元素设置访问控制策略。 SCP不直接进行授权,只划定权限边界。将SCP绑定到组织单元或者成员账号时,并没有直接对组织单元或成员账号授予操作权限,而是规定了成员账号或组织单元包含的成员账号的授权范围。 本章节介绍组织服务中SCP使用的元素,这些元素
使用CTS审计组织操作事件 支持审计的关键操作 在CTS事件列表查看云审计事件
符。 DLI定义了以下可以在自定义SCP的Condition元素中使用的条件键,您可以使用这些条件键进一步细化SCP语句应用的条件。 表5 DLI支持的服务级条件键 服务级条件键 类型 单值/多值 说明 dli:VpcId string 单值 根据虚拟网络ID筛选访问权限。 父主题:
时间范围:可选择查询最近1小时、最近1天、最近1周的操作事件,也可以自定义最近7天内任意时间段的操作事件。 您可以参考云审计服务应用示例,来学习如何查询具体的事件。 在事件列表页面,您还可以导出操作记录文件、刷新列表、设置列表展示信息等。 在搜索框中输入任意关键字,按下Enter键,可以在事件列表搜索符合条件的数据。
在创建OU、账号、SCP和标签策略时,可以添加标签。 根、OU、账号、SCP和标签策略创建完成后,可以在各自的详情页面添加、修改、查看、删除标签。 标签的基本知识 标签用于标识资源,当您拥有相同类型的许多云资源时,可以使用标签按各种维度(例如用途、所有者或环境)对云资源进行分类。 标签的工作方式
Policy,以下简称SCP)可以使用以下授权项元素设置访问控制策略。 SCP不直接进行授权,只划定权限边界。将SCP绑定到组织单元或者成员账号时,并没有直接对组织单元或成员账号授予操作权限,而是规定了成员账号或组织单元包含的成员账号的授权范围。 本章节介绍组织服务中SCP使用的元素,这些元素
servicestage:pipeline:get 授予用户查看流水线权限 read pipeline - servicestage:pipeline:create 授予用户创建流水线权限 write pipeline - servicestage:pipeline:modify 授予用户更新流水线权限
Policy,以下简称SCP)可以使用以下授权项元素设置访问控制策略。 SCP不直接进行授权,只划定权限边界。将SCP绑定到组织单元或者成员账号时,并没有直接对组织单元或成员账号授予操作权限,而是规定了成员账号或组织单元包含的成员账号的授权范围。 本章节介绍组织服务中SCP使用的元素,这些元素
IAM与Organizations权限访问控制的区别 作用对象的不同,IAM可以对账号下的IAM用户、IAM用户组、IAM委托进行授权。组织服务则是对根组织单元、组织单元和成员账号进行权限控制。 权限控制范围有所区别且有所关联,如果账号已经加入Organizations服务成为成
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
