检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
支持指定条件键。 关于Web应用防火墙(WAF)定义的条件键的详细信息请参见条件(Condition)。 您可以在SCP语句的Action元素中指定以下WAF的相关操作。 表1 waf支持的授权项 授权项 描述 访问级别 资源类型(*为必须) 条件键 waf:host:list 授予查询防护域名列表的权限。
授予更新云防火墙IPS状态的权限。 write instance * g:ResourceTag/<tag-key> g:EnterpriseProjectId cfw:instance:updateEwProtectedStatus 授予更新云防火墙东西向防火墙防护状态的权限。
安全云脑 SecMaster Organizations服务中的服务控制策略(Service Control Policy,以下简称SCP)可以使用以下授权项元素设置访问控制策略。 SCP不直接进行授权,只划定权限边界。将SCP绑定到组织单元或者成员账号时,并没有直接对组织单元或
密钥管理服务(KMS) 云凭据管理服务(CSMS) 密钥对管理服务(KPS) 专属加密(DHSM) 数据加密服务 DEW 5 主机安全服务(HSS) 主机安全服务 HSS 6 安全云脑(SecMaster) 安全云脑 SecMaster 7 云防火墙(CFW) 云防火墙 CFW 8 数据安全中心(DSC)
域名(domain) 云监控服务(CES) 告警规则(alarm) 云防火墙(CFW) 实例(instance) DDoS原生高级防护(CNAD) 防护包(package) 微服务引擎(CSE) 引擎(engine) 云凭据管理服务(CSMS) 凭据(secret) 云搜索服务(CSS)
AAD 数据加密服务 DEW 企业主机安全 HSS 安全云脑 SecMaster 云防火墙 CFW 数据安全中心 DSC 私有证书管理 PCA SSL证书管理 SCM 云堡垒机 CBH 数据库安全服务 DBSS Web应用防火墙 WAF 父主题: SCP授权参考
/v1/{project_id}/waf/event/timeline aad:dashboard:get - GET /v1/{project_id}/waf/event/request/peak aad:dashboard:get - GET /v1/{project_id}/waf/event/attack/type
应用场景 依据企业业务关系构建云上资源结构 企业拥有多个分公司、部门或者不同的业务应用,通过Organizations服务,企业可以在云上构建符合自身管理和工作方式的多层级资源结构。 图1 依据企业业务关系构建云上资源结构 集中管理企业多个云账号 企业拥有多个华为云账号,企业希望能够集中
SCP系统策略列表 现有华为云预置的SCP系统策略如下表所示: 表1 华为云SCP系统策略 策略名 描述 FullAccess 允许所有资源的所有权限。 每个根、OU和账号必须始终绑定至少一个SCP。 父主题: 服务控制策略管理
gaussdbformysql:proxy:list 授予获取数据库代理列表的权限。 list instance * g:EnterpriseProjectId gaussdbformysql:proxy:listSpec 授予获取数据库代理规格列表的权限。 list - - gaussdbfo
g:ResourceTag/<tag-key> g:EnterpriseProjectId dns:zone:setProxyPattern 授予设置内网域名递归解析代理的权限。 write zone * g:ResourceTag/<tag-key> g:EnterpriseProjectId dns:zone:transfer
已对接组织的可信服务 以组织管理员或管理账号的身份登录华为云,进入华为云Organizations控制台,进入可信服务页,即可查看可信服务列表。 下表列出了可与华为云Organizations一起使用的云服务。 表1 已对接组织的可信服务列表 服务名称 功能简介 是否支持委托管理员
vpc:vpcs:create 授予创建虚拟私有云权限。 write vpc * - - g:EnterpriseProjectId g:RequestTag/<tag-key> g:TagKeys vpc:vpcs:get 授予查询虚拟私有云详情权限。 read vpc * g:EnterpriseProjectId
g:EnterpriseProjectId g:ResourceTag/<tag-key> rds:instance:getDBProxy 授予查询数据库代理信息的权限。 read instance g:EnterpriseProjectId g:ResourceTag/<tag-key> rd
Acceptable 服务器生成的响应无法被客户端所接受。 407 Proxy Authentication Required 用户必须首先使用代理服务器进行验证,这样请求才会被处理。 408 Request Timeout 请求超出了服务器的等待时间。 409 Conflict 由于冲突,请求无法被完成。
anted_eps时,其接口行为是查询当前用户所有企业项目绑定的虚拟私有云。此时如用户已配置如上策略,接口将不会列出用户在策略中编写的g:EnterpriseProjectId所对应的企业项目下的虚拟私有云列表。 g:MFAPresent g:MFAPresent仅在STS Security
以组织管理员或管理账号身份登录华为云,进入华为云Organizations控制台,进入控制面板页,即可查看组织ID、组织的URN、管理账号名称及管理账号ID等信息。 图1 管理账号查看组织信息 管理账号查看根信息 以组织管理员或管理账号的身份登录华为云,进入华为云Organizations控制台,进入组织管理页面。
标签概述 标签简介 标签用于标识云资源,可通过标签实现对云资源的分类和搜索。您可以向以下组织资源添加标签: 组织的根 组织单元(Organizational Unit,以下简称OU) 账号 服务控制策略(Service Control Policy,以下简称SCP) 标签策略 您可以在以下时间添加标签:
mrs:cluster:getAgencyMapping 授予权限以获取用户代理信息。 read mrs:<region>:<account-id>:cluster:<cluster-id> mrs:cluster:updateAgencyMapping 授予权限以更新用户代理信息。 write mrs:<regio
然日。 在组织中创建的账号被移除组织或主动退出组织时,需先将其转换为华为云账号。如何转换请参见将资源账号转为云账号。 邀请加入组织的账号为华为云账号时才支持移除组织或主动退出组织,详情请参见资源账号与华为云账号的差异。 已设置为委托管理员的账号无法从组织中移除或主动退出组织,需先取消委托管理员。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
