检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
号安全性。 将Organizations云服务资源委托给更专业、高效的其他华为云账号或者云服务,这些华为云账号或者云服务可以根据权限进行代运维。 如果华为账号或华为云账号已经能满足您的要求,不需要创建独立的IAM用户,您可以跳过本章节,不影响您使用Organizations云服务的其它功能。
策略完成绑定后将在30分钟内生效。 步骤三:验证标签策略 本步骤对标签策略的标签规范管理效果进行验证。 以绑定该标签策略的成员账号登录管理控制台,进入云监控服务控制台,创建告警规则并为其添加标签,验证标签策略是否生效。 为告警规则添加标签“ABC”,标签添加成功。 为告警规则添加标签“abc”
SCP系统策略列表 现有华为云预置的SCP系统策略如下表所示: 表1 华为云SCP系统策略 策略名 描述 FullAccess 允许所有资源的所有权限。 每个根、OU和账号必须始终绑定至少一个SCP。 父主题: 服务控制策略管理
indow 授予修改实例运维时间窗的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:instance:modifySecondLevelMonitorPolicy 授予修改实例秒级监控频率的权限。 write instance
SCP按照策略创建者可分为两类,分别是系统策略和自定义策略。 系统策略 华为云服务在组织预置了常用SCP,称为系统策略。组织管理员给组织单元或账号绑定SCP时,可以直接使用这些策略。系统策略只能使用,不能修改。现有的SCP系统策略请参见:SCP系统策略列表。 自定义策略 如果系统策略无法满足授权要求
g:ResourceTag/<tag-key> rds:instance:enableSecondLevelMonitoring 授予开启秒级监控的权限。 permission_management instance g:EnterpriseProjectId g:ResourceTag/<tag-key>
dds:instance:getSecondLevelMonitoringConfig 授予查询秒级监控配置的权限。 read instance - dds:instance:setSecondLevelMonitoringConfig 授予开启秒级监控的权限。 write instance - dds:instance:switchover
messageCenter:omMsg:view 可查看和操作运维分类消息。 可查看消息接收配置和语音接收配置信息。 read * - messageCenter:omMsg:subscribe 可查看消息接收配置和语音接收配置信息。 可修改运维分类相关的消息接收方式。 write * - m
我的配额”。 系统进入“服务配额”页面。 图1 我的配额 您可以在“服务配额”页面,查看各项资源的总配额及使用情况。 如果当前配额不能满足业务要求,请参考后续操作,申请扩大配额。 如何申请扩大配额? 登录管理控制台。 在页面右上角,选择“资源 > 我的配额”。 系统进入“服务配额”页面。
在CTS事件列表查看云审计事件 操作场景 用户进入云审计服务创建管理类追踪器后,系统开始记录云服务资源的操作。在创建数据类追踪器后,系统开始记录用户对OBS桶中数据的操作。云审计服务管理控制台会保存最近7天的操作记录。 云审计控制台对用户的操作事件日志保留7天,过期自动删除,不支持人工删除。
hss:event:addSystemUserWhiteList 授予权限以添加系统用户白名单。 write - g:EnterpriseProjectId hss:event:updateSystemUserWhiteList 授予权限以修改系统用户白名单。 write - g:EnterpriseProjectId
tance:<instance-id> - dbss:auditInstance:listMonitorInfos 授予权限以查询审计实例监控信息。 list dbss:<region>:<account-id>:auditInstance:<instance-id> - dbs
sfsturbo:shares:getQuota 授予查询弹性文件系统配额的权限。 read - - sfsturbo:shares:getFlavors 授予查询弹性文件系统规格的权限。 read - - sfsturbo:shares:checkShareName 授予检查弹性文件系统名称的权限。 read - -
GET /v3.0/OS-CREDENTIAL/credentials iam::listAccessKeys - POST /v3.0/OS-CREDENTIAL/credentials iam::createAccessKey - GET /v3.0/OS-CREDENTIA
服务的所有系统权限。 表1 Organizations服务系统权限 系统角色/策略名称 描述 类别 依赖关系 Organizations FullAccess 拥有该权限的用户可以执行Organizations服务支持的所有功能,包括创建、更改、删除、查询等操作。 系统策略 无 Organizations
g:ResourceTag/tag-key g:RequestTag/tag-key g:TagKeys - cbh:instance:getOmUrl 授予获取堡垒机内资产运维链接的权限。 Read instance * g:EnterpriseProjectId g:ResourceTag/<tag-key>
、测试用例开展充分且彻底的系统设计和系统测试,避免对生产环境中服务资源的使用产生不必要的影响。在测试环境充分验证之后,且需要在生产环境应用时,您可以先创建一个OU,并每次移入一个账号或少量账号,以确保不会意外中断服务资源的使用。 对于系统预置的SCP系统策略“FullAccess
拒绝策略需要同时配合其他策略使用,否则没有实际作用。如果没有主动授权某一操作,则系统默认Deny。用户被授予的策略中,一个授权项的作用如果同时存在Allow和Deny,则遵循Deny优先原则。 如果您给用户授予OrganizationsFullAccess的系统策略,但不希望用户拥有OrganizationsF
3所示。 按需修改策略内容。可使用语句编辑器进行修改,策略语法请参考SCP语法介绍。 单击右下角“保存”后,系统会自动校验语法,如跳转到策略列表,则SCP编辑成功;如系统提示策略内容有误,则请按照语法规范进行修改。 删除SCP 如果当前SCP已与组织单元或账号绑定,则无法删除。组
region:资源所在的区域,例如cn-north-1。如果是全局服务的资源,填空或者用*填充。 account-id:账号ID。“system”表示系统公共资源,例如系统策略。 type-name:资源类型,需要使用小驼峰命名。 resource-path:资源路径,格式由云服务自定义。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
