检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
如果您删除组织,则无法恢复它。如果您在组织内创建了服务控制策略,则也将删除这些策略,并且将不能恢复。 操作步骤 以组织管理员或管理账号的身份登录华为云,进入华为云Organizations控制台,进入控制面板页面。 在删除组织栏目下,单击“删除组织”,在弹窗中单击“确定”,完成删除组织。 图1
服务控制策略,为组织或者组织单元设置权限边界,阻止组织内的成员账号对相应服务的控制台或API的访问。 与其他华为云服务集成:Organizations服务通过和其他华为云服务的集成(可信服务),使用户可以在其他服务上执行组织级别的相关能力。可信服务及其相关能力的具体详情,请参考已对接组织的可信服务。
创建OU 您可以在组织的根下创建OU。OU最深可嵌套至5层。创建OU请执行以下步骤。 以组织管理员或管理账号的身份登录华为云,进入华为云Organizations控制台,进入组织管理页面。 在组织结构树中选中父OU的名称(而不是展开框)。如您是首次创建OU,则需选中根OU的名称(即Root)。
String 账号加入组织的日期。 name String 账号名称 mobile_phone String 手机号码 intl_number_prefix String 手机号前缀。 email String 与此账号关联的电子邮件地址。 description String 描述信息。
swr:repo:deleteAutoSyncRepoJob 授予共享版仓库删除镜像自动同步任务的权限。 Write repo * - swr:repo:listAutoSyncRepoJobs 授予共享版仓库获取镜像自动同步任务列表的权限。 List repo * - swr:repo:getSyncRepoJobInfo
jectInfo 授予查询用户选择的同步映射关系的权限。 list job g:EnterpriseProjectId g:ResourceTag/<tag-key> drs:migrationJob:cloneJobs 授予克隆mysql同步任务的权限。 write - - d
String 账号加入组织的日期。 name String 账号名称 mobile_phone String 手机号码 intl_number_prefix String 手机号前缀。 email String 与此账号关联的电子邮件地址。 description String 描述信息。
String 账号加入组织的日期。 name String 账号名称 mobile_phone String 手机号码 intl_number_prefix String 手机号前缀。 email String 与此账号关联的电子邮件地址。 description String 描述信息。
如果系统预置的Organizations云服务权限,不满足您的授权要求,可以创建自定义策略。自定义策略中可以添加的授权项(Action)请参考权限及授权项说明。 目前华为云支持以下两种方式创建自定义策略: 可视化视图创建自定义策略:无需了解策略语法,按可视化视图导航栏选择云服务、操作、资源、条件等策略内容,可自动生成策略。
SCP原理介绍 SCP分类 SCP按照策略创建者可分为两类,分别是系统策略和自定义策略。 系统策略 华为云服务在组织预置了常用SCP,称为系统策略。组织管理员给组织单元或账号绑定SCP时,可以直接使用这些策略。系统策略只能使用,不能修改。现有的SCP系统策略请参见:SCP系统策略列表。
是一种基于组织的访问控制策略。组织管理账号可以使用SCP指定组织中成员账号的权限边界,限制账号内用户的操作。服务策略可以关联到组织、组织单元和成员账号。当服务策略关联到组织或组织单元时,该组织或组织单元下所有账号受到该策略影响。如何管理SCP请参见服务控制策略介绍。 标签策略 标签策略
g:EnterpriseProjectId hss:container:listJobs 授予权限以查询kubernetes普通任务列表。 list - g:EnterpriseProjectId hss:container:listCronJobs 授予权限以查询Kubernetes定时任务列表。 list
基于可信服务提供组织级能力 操作场景 可信服务是指可与Organizations服务集成,提供组织级相关能力的华为云服务。管理账号可以在组织中开启某个云服务为可信服务。成为可信服务后,云服务可以获取组织中的组织单元及成员账号信息,并基于此信息提供组织级的管理能力。 本章节以启用C
Control Policy,以下简称SCP)可以使用以下授权项元素设置访问控制策略。 SCP不直接进行授权,只划定权限边界。将SCP绑定到组织单元或者成员账号时,并没有直接对组织单元或成员账号授予操作权限,而是规定了成员账号或组织单元包含的成员账号的授权范围。IAMSCP授予权
nfo 授予同步跨region备份集群信息操作权限。 write cluster * g:ResourceTag/<tag-key> g:EnterpriseProjectId dws:cluster:syncCrossRegionBackupConfig 授予同步跨区域快照配置操作权限。
sub-jobs workspace:jobs:listSubJobs - POST /v1/{project_id}/app-server-sub-jobs/actions/batch-delete workspace:jobs:batchDeleteSubJobs - GET
授予列举指定用户所属虚拟MFA设备的权限。 list - - - iam:users:createVirtualMFADevice 授予创建虚拟MFA设备密钥的权限。 write - - - iam:users:deleteVirtualMFADevice 授予删除虚拟MFA设备的权限。 write
lts:groups:create obs:bucket:CreateBucket obs:bucket:HeadBucket obs:bucket:GetLifecycleConfiguration obs:bucket:PutLifecycleConfiguration obs:bucket:GetBucketAcl
Control Policy,以下简称SCP)可以使用以下授权项元素设置访问控制策略。 SCP不直接进行授权,只划定权限边界。将SCP绑定到组织单元或者成员账号时,并没有直接对组织单元或成员账号授予操作权限,而是规定了成员账号或组织单元包含的成员账号的授权范围。 本章节介绍组织服
s css:IKThesaurus:load obs:bucket:listAllMyBuckets obs:bucket:getBucketLocation obs:bucket:getBucketStoragePolicy obs:object:getObject GET /v1
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
