检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
g:EnterpriseProjectId elb:pools:list 授予查询后端服务器组列表的权限。 list pool * - - g:EnterpriseProjectId elb:pools:show 授予获取后端服务器组详情的权限。 read pool * g:EnterpriseProjectId
evs:volumes:listResourcesByTag 授予通过标签查询云硬盘实例列表的权限。 list - g:TagKeys evs:volumes:use 授予ECS、BMS使用磁盘的权限。 write - g:EnterpriseProjectId EVS的API通常对应着一个或多个授权项。表2展示了
"Statement": [ { "Effect": "Deny", "Action": [ "ecs:*:*" ], "Resource": [ "*" ], "Condition":
已对接组织的可信服务列表 服务名称 功能简介 是否支持委托管理员 相关文档 配置审计(Config) 配置审计服务支持基于组织创建合规规则、合规规则包、资源聚合器等功能,组织管理员或Config服务的委托管理员可以统一进行配置并直接作用于组织内账号状态为“正常”的成员账号中。 是 组织合规规则
理与监管”下的“配置审计 Config”。 单击左侧的“资源合规”,进入“资源合规”页面。 选择“组织规则”页签,单击“添加规则”。 进入“基础配置”页面,在预设策略列表中选择“IAM用户在指定时间内有登录行为”,单击“下一步”。 进入“规则参数”页面,规则部署目标默认为“组织”无需修改,单击“下一步”。
应用场景 依据企业业务关系构建云上资源结构 企业拥有多个分公司、部门或者不同的业务应用,通过Organizations服务,企业可以在云上构建符合自身管理和工作方式的多层级资源结构。 图1 依据企业业务关系构建云上资源结构 集中管理企业多个云账号 企业拥有多个华为云账号,企业希望
kps:SSHKeyPair:bind ecs:cloudServers:createServers ecs:cloudServers:deleteServers ecs:cloudServers:showServer ecs:cloudServers:attach ecs:cloudServer
ns控制台界面禁用AOM可信服务。否则多账号实例将会继续获取成员账号的指标数据。 禁用LTS可信服务前,请先在LTS界面删除多账号日志汇聚配置,然后再在Organizations控制台界面禁用LTS可信服务。否则多账号日志汇聚将会继续获取成员账号的日志数据。 启用可信服务 以组织
n>:<account-id>:<type-name>:<resource-path> service-name:云服务简称,小写,例如ecs。填入的云服务简称必须存在,无法使用通配。 region:资源所在的区域,例如cn-north-1。如果是全局服务的资源,填空或者用*填充。
服务为企业用户提供多账号关系的管理能力。当您的企业拥有多个分公司、部门或者不同的业务应用,通过Organizations服务,企业可以在云上构建符合自身管理和工作方式的多层级资源结构,同时将多个分散的华为云账号,纳入到构建的多层级组织单元中,实现对多账号的集中和结构化管理。 本章
scm:cert:enableAutoDeploy 授予权限自动部署证书。 write cert * g:ResourceTag/<tag-key> - g:EnterpriseProjectId scm:cert:listAutoDeployedResources 授予权限查询自动部署的证书列表。 list cert
可信服务的委托管理员。否则多账号实例将会继续获取成员账号的指标数据。 取消LTS可信服务的委托管理员前,请先在LTS界面删除多账号日志汇聚配置,然后再在Organizations控制台界面取消LTS可信服务的委托管理员。否则多账号日志汇聚将会继续汇聚成员账号的日志数据。 添加委托管理员
css:configurations:modify 授予权限更新参数配置。 write cluster * g:EnterpriseProjectId g:ResourceTag/<tag-key> css:configurations:get 授予权限列举参数配置列表。 list cluster * g:EnterpriseProjectId
资源编排服务 RFS IAM身份中心 组织 Organizations 资源访问管理 RAM 企业项目管理 EPS 标签管理服务 TMS 配置审计 Config 访问分析 IAM Access Analyzer 云审计服务 CTS 资源治理中心 RGC 应用运维管理 AOM 云监控服务
非您将其替换为具有允许操作的自定义策略,否则不应解绑该策略。当您确定需要解绑“FullAccess”并且配置具有允许操作的自定义策略时,除配置业务需要的授权项外,必须额外配置iamToken::*和signin::*。 如果解绑Root的“FullAccess”策略,则整个组织内
"Statement": [ { "Effect": "Allow", "Action": [ "ecs:*:*" ], "Resource": [ "*" ] } ] } {
如果要在成员账号级别允许使用某个云服务的操作,则必须在账号和根组织单元之间的每个层级上允许该操作。这意味着,必须在根组织单元和账号之间的每个层级,附加允许该操作的SCP。您可以使用下列任一策略执行此操作: 添加拒绝策略。拒绝策略会使用默认附加到每个OU和账号上的FullAccess SCP。此SCP将覆盖默认的
ons 授予查询企业版实例配置的权限。 Read instance * g:ResourceTag/<tag-key> g:EnterpriseProjectId swr:instance:updateConfigurations 授予更新企业版实例配置的权限。 Write instance
eip:publicIps:update eip:publicIps:list GET /v2/{project_id}/cbs/instance/ecs-quota cbh::getEcsQuota ecs:cloudServerFlavors:get GET /v2/{project_id}/cbs/instance/quota
region:domainId:资源类型:资源路径”, 资源类型支持通配符号*,通配符号*表示所有。 示例:"ecs:*:*:instance:*":表示所有的ECS实例。 SCP中不支持以下元素: Principal NotPrincipal NotResource 条件键
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
