正在生成
详细信息:
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
操作步骤 以组织管理员或管理账号的身份登录华为云,进入华为云Organizations控制台。 进入策略管理页,单击“标签策略”,进入标签策略页面。 图1 进入标签策略管理页 单击“创建”,进入创建标签策略页面。 编辑策略名称。系统会自动生成策略名称,您可根据需要自行修改。
目前华为云支持以下两种方式创建自定义策略: 可视化视图创建自定义策略:无需了解策略语法,按可视化视图导航栏选择云服务、操作、资源、条件等策略内容,可自动生成策略。
可信服务概述 什么是可信服务 可信服务是指可与Organizations服务集成,提供组织级相关能力的华为云服务。管理账号可以在组织中开启某个云服务为可信服务。成为可信服务后,云服务可以获取组织中的组织单元及成员账号信息,并基于此信息提供组织级的管理能力。
系统策略 华为云服务在组织预置了常用SCP,称为系统策略。组织管理员给组织单元或账号绑定SCP时,可以直接使用这些策略。系统策略只能使用,不能修改。现有的SCP系统策略请参见:SCP系统策略列表。
创建账号 以组织管理员或管理账号的身份登录华为云,进入华为云Organizations控制台,进入组织管理页面。 单击组织结构树上方的“添加”,单击“添加账号”。 图1 添加账号 在弹窗中,选择“创建新账号”。 输入账号名称和手机号,账号描述根据需要选择输入。
操作步骤 进入华为云Organizations控制台,进入组织管理页面。 在左侧导航栏,选择“组织管理”。 单击选中组织的根、OU或账号,组织结构树右侧即可展示详细信息。 在右侧详细信息下,选择“策略”页签。
华为云移动端APP版本低于v3.30.0,将不受SCP限制。 父主题: 服务控制策略介绍
list - - dns:recordset:getPrivateRecordSetImport 授予查询内网RecordSet导入任务的权限。
ims:Encrypted boolean 单值 根据镜像是否加密对镜像导入和复制等操作进行控制。 ims:TargetBucketOrgPaths string 多值 根据指定的目标桶owner账号的 Organizations Path 过滤访问。
注册。
write transfer * - lts:transfer:registerDmsKafkaInstance 授予权限以注册DmsKafka实例。
write job g:EnterpriseProjectId g:ResourceTag/<tag-key> drs:migrationJob:uploadDbObjectTemplate 授予对象选择导入数据的权限。
list - - organizations:delegatedAdministrators:register 授予注册作为服务委托管理员的权限。
read - - IdentityCenter:instance:registerRegion 授予注册region的权限。
write agent * - cbr:agents:register 授予注册客户端权限。 write agent * - cbr:agents:delete 授予移除客户端权限。
read ca * g:ResourceTag/<tag-key> - g:EnterpriseProjectId pca:ca:import 授予权限导入证书作为私有CA证书。
list resource * - secmaster:resource:import 授予权限导入资源。 write resource * - secmaster:resource:getTemplate 授予权限获取资源导入模板。
read instance * g:ResourceTag/<tag-key> g:EnterpriseProjectId cfw:acl:getImportStatus 授予查询acl规则导入状态的权限。
read - workspace:users:importUser 授予导入用户列表的权限。 write - workspace:users:uploadTemplate 授予导入桌面用户列表的权限。
write cert * g:ResourceTag/<tag-key> - g:EnterpriseProjectId scm:cert:import 授予权限导入证书。