检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
理与监管”下的“配置审计 Config”。 单击左侧的“资源合规”,进入“资源合规”页面。 选择“组织规则”页签,单击“添加规则”。 进入“基础配置”页面,在预设策略列表中选择“IAM用户在指定时间内有登录行为”,单击“下一步”。 进入“规则参数”页面,规则部署目标默认为“组织”无需修改,单击“下一步”。
css:configurations:modify 授予权限更新参数配置。 write cluster * g:EnterpriseProjectId g:ResourceTag/<tag-key> css:configurations:get 授予权限列举参数配置列表。 list cluster * g:EnterpriseProjectId
region:domainId:资源类型:资源路径”, 资源类型支持通配符号*,通配符号*表示所有。 示例:"ecs:*:*:instance:*":表示所有的ECS实例。 SCP中不支持以下元素: Principal NotPrincipal NotResource 条件键
列出所有可以与组织服务集成的云服务 功能介绍 列出所有可以与组织服务集成的云服务。集成后云服务将成为组织的可信服务。 调试 您可以在API Explorer中调试该接口,支持自动认证鉴权。API Explorer可以自动生成SDK代码示例,并提供SDK代码示例调试功能。 URI GET
ons 授予查询企业版实例配置的权限。 Read instance * g:ResourceTag/<tag-key> g:EnterpriseProjectId swr:instance:updateConfigurations 授予更新企业版实例配置的权限。 Write instance
nfig 授予更新云防火墙告警配置的权限。 write instance * g:ResourceTag/<tag-key> g:EnterpriseProjectId cfw:instance:getAlarmConfig 授予查询云防火墙告警配置的权限。 read instance
scm:cert:enableAutoDeploy 授予权限自动部署证书。 write cert * g:ResourceTag/<tag-key> - g:EnterpriseProjectId scm:cert:listAutoDeployedResources 授予权限查询自动部署的证书列表。 list cert
权限管理 如果您要为管理账号中不同的用户,根据职能设置不同的访问权限,以达到不同员工之间的权限隔离,您可以使用统一身份认证服务(Identity and Access Management,简称IAM)进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全的控制华为云资源的访问。
行创建和修改自定义策略。自定义策略是对系统策略的扩展和补充。目前Organizations云服务支持策略编辑器和JSON视图两种自定义策略配置方式。 权限控制原理 划定权限边界 SCP不直接进行授权,只划定权限边界。将SCP绑定到组织单元或者成员账号时,并没有直接对组织单元或成员
"Statement": [ { "Effect": "Allow", "Action": [ "ecs:*:*" ], "Resource": [ "*" ] } ] } {
customLine * - dns:nameserver:list 授予列出名称服务器的权限。 list - - dns:nameserver:getZoneNameServer 授予查询公网域名的DNS服务器的权限。 read - - dns:quota:list 授予列出租户配额的权限。
dws:event:listSpec 授予查询事件配置权限。 list - - dws:event:listSubscription 授予查询订阅事件权限。 read - - dws:event:createSpec 授予创建事件配置权限。 write - - dws:event:deleteSpec
eip:publicIps:update eip:publicIps:list GET /v2/{project_id}/cbs/instance/ecs-quota cbh::getEcsQuota ecs:cloudServerFlavors:get GET /v2/{project_id}/cbs/instance/quota
cbr:vaults:create ecs:cloudServers:listServersDetails evs:volumes:list POST /v3/{project_id}/vaults/order cbr:vaults:create ecs:cloudServers:listServersDetails
使用SCP控制成员账号的权限 操作场景 服务控制策略 (Service Control Policy,SCP) 是一种基于组织的访问控制策略。组织管理账号可以使用SCP指定组织中成员账号的权限边界,限制账号内用户的操作。SCP可以关联到组织、OU和成员账号。当SCP关联到组织或O
授予权限以修改负载通道健康检查配置。 write instance * g:ResourceTag/<tag-key> apig:vpcChannels:update apig:loadBalanceChannel:listServerGroup 授予权限以查询负载通道后端服务器组列表。 list
ces:events:list 授予查询事件列表的权限。 list - - ces:agent:listTaskInvocations 授予批量查询指定服务器的agent任务的权限。 list - - ces:agent:createAgentInvocations 授予批量创建agent任务的权限。
创建账号 功能介绍 创建一个账号,生成的账号将自动成为调用此接口的账号所属组织的成员。此操作只能由组织的管理账号调用。组织云服务将在新账号中创建所需的服务关联委托和账号访问委托。 调试 您可以在API Explorer中调试该接口,支持自动认证鉴权。API Explorer可以自
表1 AOM支持的授权项 授权项 描述 访问级别 资源类型(*为必须) 条件键 aom:metric:delete 授予权限以删除监控配置信息。 write - - aom:icmgr:get 授予权限以获取采集组件版本信息。 read - - aom:agency:get 授予权限以查询委托权限。
可查看消息接收配置和语音接收配置信息。 read * - messageCenter:omMsg:view 可查看和操作运维分类消息。 可查看消息接收配置和语音接收配置信息。 read * - messageCenter:omMsg:subscribe 可查看消息接收配置和语音接收配置信息。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
