检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
IAM与Organizations权限访问控制的区别 作用对象的不同,IAM可以对账号下的IAM用户、IAM用户组、IAM委托进行授权。组织服务则是对根组织单元、组织单元和成员账号进行权限控制。 权限控制范围有所区别且有所关联,如果账号已经加入Organizations服务成为成
Access 授予检查更新后的策略是否有新的访问权限。 Read - - 资源类型(Resource) 资源类型(Resource)表示SCP所作用的资源。如表3中的某些操作指定了可以在该操作指定的资源类型,则必须在具有该操作的SCP语句中指定该资源的URN,SCP仅作用于此资源
请求中携带的所有标签的key组成的列表,当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句,当请求信息满足该条件时,SCP才能生效。支持的运算符请参见:运算符。 RAM定义了以下可以在SCP的Condition元素中使用的条件键,您
表1 EIP支持的授权项 授权项 描述 访问级别 资源类型(*为必须) 条件键 eip:publicIps:create 授予申请弹性公网IP的权限。 write publicip * - - g:EnterpriseProjectId eip:publicIps:batchCreate
启用和禁用可信服务 组织管理员禁用某个云服务的可信访问后,此云服务便不能给成员账号创建此服务的服务关联委托。 组织管理员关闭组织或成员账号离开组织后,Organizations服务会清理掉本服务的服务关联委托。 禁用AOM可信服务前,请先在AOM界面删除多账号实例,然后再在Org
列出组织中的根、组织单元和账号 功能介绍 列出组织中包含的所有根、组织单元和账号。此操作只能由组织的管理账号或作为服务委托管理员的成员账号调用。您可以通过指定父ID和子ID参数来过滤实体。 调试 您可以在API Explorer中调试该接口,支持自动认证鉴权。API Explor
获取项目ID请参考:查询指定条件下的项目列表。 获取用户组名称和ID 登录华为云,进入IAM控制台,选择“用户组”页签。 单击需要查询的用户组前的下拉框,即可查询用户组名称、用户组ID。 图3 查询用户组名称、用户组ID 获取区域ID 登录华为云,进入IAM控制台,选择“项目”页签。 “项目”列的内容即为所属区域对应的ID。
启用和禁用标签策略 只有组织管理账号才可以启用或禁用标签策略,委托管理员无法执行此操作。 启用标签策略 在创建标签策略并将其附加到组织单元和账号之前,必须先启用标签策略,且只能使用组织的管理账号启用标签策略。 以组织管理员或管理账号的身份登录管理控制台,进入Organizations控制台。
支持标签策略的云服务 当前支持使用标签策略的云服务和资源类型如下表所示: 表1 支持标签策略的云服务和资源类型 服务名称 资源类型 DDoS原生基础防护服务(Anti-DDoS) 公网IP(ip) DDoS防护服务(AAD) 实例(instance) 应用运维管理(AOM) 告警规则(alarmRule)
string 多值 根据指定的网络ACL资源ID过滤访问。 vpc:PrivateIpId string 多值 根据指定的私有IP资源ID过滤访问。 vpc:PortId string 多值 根据指定的端口资源ID过滤访问。 vpc:SubNetworkInterfaceId string
本章节为您介绍SCP的常用示例,包含如下内容: 阻止成员账号退出组织 阻止根用户的服务访问 禁止创建带有指定标签的资源 禁止访问指定区域的资源 禁止共享到组织外 禁止共享指定类型的资源 禁止组织内账号给组织外的账号进行聚合授权 禁止根用户使用除IAM之外的云服务 阻止IAM用户和委托进行某些修改
默认情况下,新建的IAM用户没有任何权限,您需要将其加入用户组,并给用户组授予策略或角色,才能使用户组中的用户获得相应的权限,这一过程称为授权。授权后,用户就可以基于已有权限对云服务进行操作。 权限根据授权的精细程度,分为角色和策略。角色以服务为粒度,是IAM最初提供的一种根据用户的工作职
AK/SK签名认证方式仅支持消息体大小12MB以内,12MB以上的请求请使用Token认证。 AK/SK既可以使用永久访问密钥中的AK/SK,也可以使用临时访问密钥中的AK/SK,但使用临时访问密钥的AK/SK时需要额外携带“X-Security-Token”字段,字段值为临时访问密钥的security_token。
不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。多数细粒度策略以API接口为粒度
授予删除终端节点的权限。 write endpoint * - dns:endpoint:createIpaddress 授予为终端节点绑定ip地址的权限。 write endpoint * - dns:endpoint:deleteIpaddress 授予为终端节点解绑ip地址的权限。 write
注册作为服务委托管理员 功能介绍 指定成员账号能够管理指定服务的组织功能。此接口授予委托管理员对组织服务数据的只读访问权限。委托管理员账号中的IAM用户仍需要IAM权限才能访问和管理服务。此操作只能由组织的管理账号调用。 调试 您可以在API Explorer中调试该接口,支持自动认证鉴权。API
)。 您可以在自定义SCP语句的Action元素中指定以下CodeartsPipeline的相关操作。 表1 CodeartsPipeline支持的操作项 操作项 描述 访问级别 资源类型(*为必须) 条件键 codeartspipeline:pipelinetemplate:create
uota 授予权限查询当前用户域名、刷新文件、刷新目录和预热的配额。 list - - CDN的API通常对应着一个或多个授权项。表2展示了API与授权项的关系,以及该API需要依赖的授权项。 表2 API与授权项的关系 API 对应的授权项 依赖的授权项 GET /v1.0/cdn/domains
修改和删除SCP 本章为您介绍如何修改和删除已创建的自定义SCP。 修改SCP 以组织管理员或管理账号的身份登录管理控制台,进入Organizations控制台。 进入策略管理页,单击“服务控制策略”,进入SCP管理页。 单击自定义SCP操作列的“编辑”,在弹窗中输入“确认”,单击“确定”。
操作(Action)即为SCP策略中支持的授权项。 “访问级别”列描述如何对操作进行分类(list、read和write等)。此分类可帮助您了解在SCP策略中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。 资源类型支持通配符号*表示所有。如果此列没有值(-),则必须在SCP策略语句的Res