检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
用*填充。 account-id:账号ID。“system”表示系统公共资源,例如系统策略。 type-name:资源类型,需要使用小驼峰命名。 resource-path:资源路径,格式由云服务自定义。
图1 启用标签策略 在弹窗中勾选确认框,然后单击“确定”,完成标签策略功能启用。 禁用标签策略 如果您不想再使用标签策略管理组织的标签规则,可以禁用标签策略,但只有组织的管理账号才可以禁用标签策略。 禁用标签策略后,所有标签策略会自动从组织中的所有实体解绑,包括所有OU和账号,但是策略本身不会被删除。
号都继承该标签策略。账号继承的所有标签策略和直接绑定到账户上的所有标签策略,根据继承运算符最终聚合为有效标签策略。 有效标签策略生效的逻辑规则如下: 为同层级绑定标签策略时: 单值运算符:如果绑定多个标签策略,策略中@@assign运算符最早设置的策略将会生效。 多值运算符:如果
授予权限以查询私网NAT网关DNAT规则列表。 list privateDnatRule * g:EnterpriseProjectId nat:privateNatDnatRules:create 授予权限以创建私网NAT网关DNAT规则。 write privateGateway
cks:list 授予权限查询组织合规规则包列表。 list - - rms:conformancePacks:create 授予权限创建合规规则包。 write - - rms:conformancePacks:get 授予权限查看合规规则包。 read conformancePacks
授予查询告警规则列表的权限。 list alarm g:EnterpriseProjectId ces:alarms:create 授予创建告警规则的权限。 write alarm g:EnterpriseProjectId ces:alarms:put 授予更新告警规则的权限。 write
范。标签策略对未添加标签的资源或未在标签策略中定义的标签不会生效。 例如:标签策略规定为某资源添加的标签A,需要遵循标签策略中定义的大小写规则和标签值。若标签A使用的大小写、标签值不符合标签策略,则资源将会被标记为不合规。 标签策略当前的应用方式为事前拦截:标签策略开启强制执行后
dsc:scanRuleGroup:list 授予权限以查询扫描规则组列表。 list - - dsc:scanRuleGroup:create 授予权限以创建扫描规则组。 write - - dsc:scanRuleGroup:delete 授予权限以删除扫描规则组。 write - - dsc:scanRule:list
的全小写形式,即便标签键有大写也会使用全部小写进行校验。例如标签键为CostCenter,勾选此项后,后续检验规则以CostCenter为准;不勾选此项,则后续校验规则以costcenter为准。 指定标签键的允许值。 勾选此项后单击“添加值”,为标签键指定的一个或多个允许值,表
选中要修改的OU,在右侧的组织单元信息页,单击组织单元名称后方的。 图1 修改OU名称 在编辑框中修改OU名称,然后单击保存,完成OU重命名。 父主题: OU管理
配置审计(Config) 配置审计服务支持基于组织创建合规规则、合规规则包、资源聚合器等功能,组织管理员或Config服务的委托管理员可以统一进行配置并直接作用于组织内账号状态为“正常”的成员账号中。 是 组织合规规则 组织合规规则包 资源聚合器 资源访问管理(RAM) 资源访问管理服
codeartspipeline:rule:create 授予权限以创建规则。 write - - codeartspipeline:rule:update 授予权限以更新规则。 write - - codeartspipeline:rule:delete 授予权限以删除规则。 write - - codeartspipeline:rule:get
cnad:schedule:list 授予查询调度规则列表的权限。 list schedule * - cnad:schedule:get 授予查询调度规则的权限。 read schedule * - cnad:schedule:delete 授予删除调度规则的权限。 write schedule
y隶属于OU3,Account y的权限边界是由继承自Root,OU1和OU3的SCP与Account y绑定的SCP共同决定。 图2 SCP继承规则 如果要在成员账号级别允许使用某个云服务的操作,则必须在账号和根组织单元之间的每个层级上允许该操作。这意味着,必须在根组织单元和账号之间的
授予创建安全组规则权限。 write securityGroupRule * - securityGroup * g:EnterpriseProjectId vpc:SecurityGroupId vpc:securityGroupRules:get 授予查询安全组规则详情权限。 read
Rule 授予权限查询域名缓存规则。 list domain * g:ResourceTag/<tag-key> g:EnterpriseProjectId cdn:configuration:modifyCacheRule 授予权限修改域名缓存规则。 write domain *
查询有关组织单元的信息 查询有关组织单元的信息。此操作只能由组织的管理账号或作为服务委托管理员的成员账号调用。 更改组织单元名称 重命名指定的组织单元。重命名后组织单元ID不变,下属子组织单元和下属账号不变,组织单元绑定的策略不变。此操作只能由组织的管理账号调用。 删除组织单元 从根或
rgc:configRuleCompliance:list 授予列出纳管账号的Config规则合规性信息的权限。 list - - rgc:externalConfigRuleCompliance:list 授予列出纳管账号的外部Config规则合规性信息的权限。 list - - rgc:driftDetail:list
mrs:<region>:<account-id>:cluster:<cluster-id> mrs:cluster:updateClusterName 授予权限以重命名集群。 write mrs:<region>:<account-id>:cluster:<cluster-id> mrs:cluster:listTags
s 授予查询弹性文件系统权限规则列表的权限。 list shares * g:ResourceTag/<tag-key> g:EnterpriseProjectId sfsturbo:shares:showPermRule 授予查询弹性文件系统权限规则详情的权限。 read shares
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
