检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
如果该列包含资源类型,则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号(*)标识,表示使用此操作必须指定该资源类型。 关于apig定义的资源类型的详细信息请参见资源类型(Resource)。 “条件键”列包括了可以在SCP语句的Condition元素中支持指定的键值。 如果该
授予修改裸金属服务器网卡属性的权限。 write instance* g:EnterpriseProjectId g:ResourceTag/<tag-key> BMS的API通常对应着一个或多个授权项。表2展示了API与授权项的关系,以及该API需要依赖的授权项。 表2 API与授权项的关系 API
ECS的API通常对应着一个或多个授权项。表2展示了API与授权项的关系,以及该API需要依赖的授权项。 表2 API与授权项的关系 API 对应的授权项 依赖的授权项 POST /v1.1/{project_id}/cloudservers ecs:cloudServers:createServers eip:publicIps:create
个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键,表示请求中携带的所有标签的key组成的列表,当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句,当请求信息满足该条件时,SCP才能生效。支持的运算符请参见:运算符。
通过IAM身份中心登录创建的账号 约束与限制 组织管理员最多可以同时创建5个账号。 在组织中创建的账号仅支持通过委托切换角色和IAM身份中心进行登录。 通过组织云服务创建的账号,财务默认托管于组织管理账号。 创建账号时请确保输入的手机号的正确性。 创建账号 以组织管理员或管理账号的身份登录华为云,
hV5 授予设置临时令牌非对称签名开关状态的权限。 write - - - IAM的API通常对应着一个或多个授权项。表2展示了API与授权项的关系,以及该API需要依赖的授权项。 表2 API与操作项的关系 API 对应的操作项 依赖的操作项 GET /v3.0/OS-CREDENTIAL/credentials
ions服务能够将多个分散的华为云账号,纳入到Organizations构建的组织中,实现对账号和资源的集中管理。 图2 集中管理企业多个云账号 预防各业务的违规行为 企业可以根据内外部要求,为不同的部门、业务环境(生产、测试或开发)等设置云上的行为边界,Organization
ID、组织的URN、管理账号名称及管理账号ID等信息。 图1 管理账号查看组织信息 管理账号查看根信息 以组织管理员或管理账号的身份登录华为云,进入华为云Organizations控制台,进入组织管理页面。 单击选中组织的根,组织结构树右侧即可展示根的详细信息,包括根的ID、创建时间、URN以及根绑定的策略、标签。
支持SCP的区域 当前支持使用SCP的区域如下表所示: 支持SCP的区域与支持IAM身份策略的区域相同。 表1 支持SCP的区域 区域名称 区域代码 亚太-新加坡 ap-southeast-3 亚太-曼谷 ap-southeast-2 亚太-雅加达 ap-southeast-4 华东-上海一
支持审计的关键操作 通过云审计服务,您可以记录与组织云服务相关的操作事件,便于日后的查询、审计和回溯。 表1 云审计支持的Organizations操作列表 操作名称 资源类型 事件名称 创建组织 Organization createOrganization 关闭组织 Organization
在组织中创建的账号离开组织后,不会改变该账号与组织管理账号的财务托管模式。邀请加入组织的账号离开组织后,不会改变该账号原有的财务关系。如需调整请参见解除关联子账号。 当某个成员账号离开组织后,组织策略施加的权限限制将不再影响该账号,这意味着该账号可能拥有比之前更多的权限。当组织已启用可信服务
授予ECS、BMS使用磁盘的权限。 write - g:EnterpriseProjectId EVS的API通常对应着一个或多个授权项。表2展示了API与授权项的关系,以及该API需要依赖的授权项。 表2 API与授权项的关系 API 对应的授权项 依赖的授权项 POST /v2
ims:images:listImageTags 查询项目标签。 list - - IMS的API通常对应着一个或多个授权项。表2展示了API与授权项的关系,以及该API需要依赖的授权项。 表2 API与授权项的关系 API 对应的授权项 依赖的授权项 GET /v2/cloudimages ims:images:list
rsions 授予获取RAM指定权限所有版本的权限。 list - - RAM的API通常对应着一个或多个授权项。表2展示了API与授权项的关系,以及该API需要依赖的授权项。 表2 API与授权项的关系 API 对应的授权项 依赖的授权项 GET /v1/permissions
topic * - SMN的API通常对应着一个或多个授权项。表2展示了API与授权项的关系,以及该API需要依赖的授权项。 表2 API与授权项的关系 API 对应的授权项 依赖的授权项 POST /v2/{project_id}/notifications/topics smn:topic:create
务为企业用户提供多账号关系的管理能力。当您的企业拥有多个分公司、部门或者不同的业务应用,通过Organizations服务,企业可以在云上构建符合自身管理和工作方式的多层级资源结构,同时将多个分散的华为云账号,纳入到构建的多层级组织单元中,实现对多账号的集中和结构化管理。 本章节
* - - g:TagKeys DataArts Studio的API通常对应着一个或多个授权项。表2展示了API与授权项的关系,以及该API需要依赖的授权项。 表2 API与授权项的关系 API 对应的授权项 依赖的授权项 GET /v1/{project_id}/workspaces/{instance_id}
SCP系统策略列表 现有华为云预置的SCP系统策略如下表所示: 表1 华为云SCP系统策略 策略名 描述 FullAccess 允许所有资源的所有权限。 每个根、OU和账号必须始终绑定至少一个SCP。 父主题: 服务控制策略管理
签,每个标签都包含您定义的一个“键”和一个“值”,一个标签使用键为“团队”,另一个使用键为“环境”,每个标签都拥有相关的值。 图1 标签示例 您可以根据为云资源添加的标签快速搜索和筛选特定的云资源。例如,您可以为账号中的资源定义一组标签,以跟踪每个云资源的所有者和用途,使资源管理变得更加轻松高效。
SCP示例 本章节为您介绍SCP的常用示例,包含如下内容: 阻止成员账号退出组织 阻止根用户的服务访问 禁止创建带有指定标签的资源 禁止访问指定区域的资源 禁止共享到组织外 禁止共享指定类型的资源 禁止组织内账号给组织外的账号进行聚合授权 禁止根用户使用除IAM之外的云服务 阻止IAM用户和委托进行某些修改
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
