检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
绑定和解绑标签策略 支持标签策略的云服务 支持标签策略的区域 可信服务管理 可信服务概述 启用和禁用可信服务 已对接组织的可信服务 添加、查看和取消委托管理员 标签管理 添加标签 修改标签 查看标签 删除标签 02 入门 如果您首次使用Organizations服务,如下步骤可帮助您快速使用
数据复制服务 DRS Organizations服务中的服务控制策略(Service Control Policy,以下简称SCP)可以使用以下授权项元素设置访问控制策略。 SCP不直接进行授权,只划定权限边界。将SCP绑定到组织单元或者成员账号时,并没有直接对组织单元或成员账号
启用和禁用可信服务 组织管理员禁用某个云服务的可信访问后,此云服务便不能给成员账号创建此服务的服务关联委托。 组织管理员关闭组织或成员账号离开组织后,Organizations服务会清理掉本服务的服务关联委托。 禁用AOM可信服务前,请先在AOM界面删除多账号实例,然后再在Org
请求发送以后,您会收到响应,包含状态码、响应消息头和消息体。 状态码 状态码是一组从1xx到5xx的数字代码,状态码表示了请求响应的状态,完整的状态码列表请参见状态码。 对于查询所属组织信息接口,如果调用后返回状态码为“200”,则表示请求成功。 响应消息头 对应请求消息头,响应同样也有消息头,如“Content-type”。
员工拥有唯一和独立安全凭证访问华为云,并使用Organizations云服务资源,提高账号安全性。 将Organizations云服务资源委托给更专业、高效的其他华为云账号或者云服务,这些华为云账号或者云服务可以根据权限进行代运维。 如果华为账号或华为云账号已经能满足您的要求,不
根据适用范围,分为全局级条件键和服务级条件键。 全局级条件键(前缀为g:)适用于所有操作,在鉴权过程中,云服务不需要提供用户身份信息,系统将自动获取并鉴权。详情请参见:全局条件键。 服务级条件键(前缀通常为服务缩写,如sts:)仅适用于对应服务的操作,详情请参见表3。 单值/多
数据仓库服务 GaussDB(DWS) Organizations服务中的服务控制策略(Service Control Policy,以下简称SCP)可以使用以下授权项元素设置访问控制策略。 SCP不直接进行授权,只划定权限边界。将SCP绑定到组织单元或者成员账号时,并没有直接对
如果系统预置的Organizations云服务权限,不满足您的授权要求,可以创建自定义策略。自定义策略中可以添加的授权项(Action)请参考权限及授权项说明。 目前华为云支持以下两种方式创建自定义策略: 可视化视图创建自定义策略:无需了解策略语法,按可视化视图导航栏选择云服务、操作、资源、条件等策略内容,可自动生成策略。
登录华为云,进入华为云Organizations控制台。 开通Organizations云服务。进入开通页,单击“立即开通”。 图1 开通Organizations云服务 开通Organizations云服务后,系统会自动创建组织和根组织单元,并将开通服务的账号设置为管理账号。 现在,您可以邀请现有账号加入组织或
被授予的权限对云服务进行操作。 Organizations服务为全局服务。授权时,“授权范围”需要选择“全局服务资源”。 权限根据授权精细程度分为角色和策略。 角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,提供有限的服务相关角色用于授权
swr:repo:createAutoSyncRepoJob 授予共享版仓库创建镜像自动同步任务的权限。 Write repo * - - swr:TargetRegion swr:repo:createManualSyncRepoJob 授予共享版仓库手动同步镜像的权限。 Write repo * - - swr:TargetRegion
全局级条件键和服务级条件键。 全局级条件键(前缀为g:)适用于所有操作,在鉴权过程中,云服务不需要提供用户身份信息,组织将自动获取并鉴权。详情请参见:全局条件键。 服务级条件键(前缀通常为服务缩写,如DEW:)仅适用于对应服务的操作,详情请参见表 DEW支持的服务级条件键。 单值
支持审计的关键操作 通过云审计服务,您可以记录与组织云服务相关的操作事件,便于日后的查询、审计和回溯。 表1 云审计支持的Organizations操作列表 操作名称 资源类型 事件名称 创建组织 Organization createOrganization 关闭组织 Organization
求地址,不同服务不同区域的终端节点不同,您可以从地区和终端节点中查询所有服务的终端节点。 Organizations的终端节点如表1所示。Organizations是全局级服务,数据全局一份,在全局项目中存储,Organizations所有的API都可以使用全局服务的Endpoint调用。
根据适用范围,分为全局级条件键和服务级条件键。 全局级条件键(前缀为g:)适用于所有操作,在鉴权过程中,云服务不需要提供用户身份信息,系统将自动获取并鉴权。详情请参见:全局条件键。 服务级条件键(前缀通常为服务缩写,如IoTDA:)仅适用于对应服务的操作,详情请参见表4。 单值/
进入可信服务页,在列表中单击云服务操作列的“查看委托管理员”。 系统将弹窗展示该云服务的委托管理员信息。 图2 查看委托管理员 取消委托管理员 以组织管理员或管理账号的身份登录管理控制台,进入Organizations控制台。 进入可信服务页,在列表中单击云服务操作列的“查看委托管理员”。
根据适用范围,分为全局级条件键和服务级条件键。 全局级条件键(前缀为g:)适用于所有操作,在鉴权过程中,云服务不需要提供用户身份信息,系统将自动获取并鉴权。详情请参见:全局条件键。 服务级条件键(前缀通常为服务缩写,如ga:)仅适用于对应服务的操作,详情请参见表4。 单值/多值
xx 请求消息体(可选) 请求消息体通常以结构化格式发出,与请求消息头中Content-type对应,传递除请求消息头之外的内容。若请求消息体中参数支持中文,则中文字符必须为UTF-8编码。 每个接口的请求消息体内容不同,也并不是每个接口都需要有请求消息体(或者说消息体为空),G
vault * g:ResourceTag/<tag-key> g:EnterpriseProjectId cbr:vaults:sync 授予同步备份还原点权限。 write vault * g:ResourceTag/<tag-key> g:EnterpriseProjectId cbr:vaults:create
云监控服务 CES Organizations服务中的服务控制策略(Service Control Policy,以下简称SCP)可以使用以下授权项元素设置访问控制策略 SCP不直接进行授权,只划定权限边界。将SCP绑定到组织单元或者成员账号时,并没有直接对组织单元或成员账号授予
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
