检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
使用Organizations管理多账号。 本示例需在Config服务创建组织合规规则,由于仅被资源记录器收集的资源可参与资源评估,因此创建组织合规规则之前您需要开启资源记录器。 为账号充值。 Organizations服务为免费服务,使用Organizations服务的相关功能不收取任何费用。
cts:tracker:create 授予创建追踪器的权限。 write - - cts:tracker:list 授予查询追踪器权限。 list - - cts:tracker:update 授予更新追踪器的权限。 write tracker - cts:tracker:delete 授予删除追踪器的权限。 write
costCenter:costAnomalyDetection:deleteMonitor 授予删除监视器的权限。 write - - costCenter:costAnomalyDetection:configMonitor 授予新增、编辑监控器的权限。 write - - costCenter:costAnom
单击标签策略操作列的“编辑”,进入编辑标签策略页面。 图1 编辑标签策略 可根据需要修改“策略名称”和“策略描述”。 按需修改策略内容。可通过“可视化编辑器”和“JSON”两种方式进行修改。 单击右下角“保存”后,如跳转到标签策略列表,则标签策略修改成功。 删除标签策略 如果当前标签策略已与组织
进入编辑策略页面,按需修改“策略名称”和“策略描述”。如#org_03_0036/fig977144619493所示。 按需修改策略内容。可使用语句编辑器进行修改,策略语法请参考SCP语法介绍。 单击右下角“保存”后,系统会自动校验语法,如跳转到策略列表,则SCP编辑成功;如系统提示策略内容有误,则请按照语法规范进行修改。
e 授予修改服务器组的权限。 write serverGroup * g:ResourceTag/<tag-key> g:EnterpriseProjectId workspace:serverGroup:getServerState 授予查询指定服务器组内服务器状态的权限。 read
授予共享版仓库创建触发器的权限。 Write repo * - swr:repo:deleteTrigger 授予共享版仓库删除触发器的权限。 Write repo * - swr:repo:listTriggers 授予共享版仓库获取镜像仓库下的触发器列表的权限。 List repo
5.0,不可修改。 当作用(Effect)为Allow时,不能有Condition元素,即无法添加条件键。 在策略内容右侧可以使用策略编辑器进行编辑自定义策略的操作、资源和条件。 添加操作:单击“+”号,可以选择服务的操作项进行添加,添加成功的操作项会自动显示在Action元素下。如图3所示。
rms:aggregators:create 授予权限创建聚合器聚合指定租户资源。 write - - rms:aggregators:update 授予权限更新已存在的聚合器。 write aggregators * - rms:aggregators:delete 授予权限删除指定聚合器并删除被聚合的租户资源。 write
lts:logStream:getAggr 授予权限以查询快速分析聚合器。 read - - lts:logStream:createAggr 授予权限以创建快速分析聚合器。 write - - lts:logStream:deleteAggr 授予权限以删除快速分析聚合器。 write - - lts:log
alTask 授予调度器-打开调度器操作权限。 write cluster * g:ResourceTag/<tag-key> g:EnterpriseProjectId dws:cluster:stopOperationalTask 授予调度器-关闭调度器操作权限。 write
单击“服务控制策略”,进入SCP管理页。 单击“创建”,进入创建策略页面。 在策略内容左侧单击策略语句中的“Effect”或“Action”,然后在右侧的策略编辑器中单击“添加操作”后的“+”号。 在弹窗中选择RAM服务的“ram:resourceShares:delete”操作,单击“确定”。 单击“
定至组织的根OU,使组织外账号无法获取组织内账号下的资源清单信息。您也可以将此SCP绑定给接受授权的账号(源账号),禁止该账号接受来自聚合器账号的授权请求。 { "Version": "5.0", "Statement": [ { "Effect": "Deny"
如果系统策略无法满足授权要求,管理账号可以根据各服务支持的授权项,自行创建和修改自定义策略。自定义策略是对系统策略的扩展和补充。目前Organizations云服务支持策略编辑器和JSON视图两种自定义策略配置方式。 权限控制原理 划定权限边界 SCP不直接进行授权,只划定权限边界。将SCP绑定到组织单元或者成员账号
customLine * - dns:nameserver:list 授予列出名称服务器的权限。 list - - dns:nameserver:getZoneNameServer 授予查询公网域名的DNS服务器的权限。 read - - dns:quota:list 授予列出租户配额的权限。
as:VpcSubnetId String 多值 限制虚拟机使用的子网 ID。 as:ElbPoolId String 多值 限制虚拟机加入的ELB后端服务器组ID。 as:MaxInstanceSize Integer 单值 限制伸缩组的最大实例数。 as:MinInstanceSize Integer
授予权限以查询负载通道后端服务器组列表。 list instance * g:ResourceTag/<tag-key> apig:vpcChannels:get apig:loadBalanceChannel:createServerGroup 授予权限以添加或更新VPC通道后端服务器组。 write
g:EnterpriseProjectId cfw:instance:listDomainParseServers 授予查询域名解析服务器列表的权限。 list instance * g:ResourceTag/<tag-key> g:EnterpriseProjectId c
cc:EnterpriseRouterId string 单值 根据指定的企业路由器资源ID过滤访问。 cc:MultipleEnterpriseRouterIds string 多值 根据指定的多个企业路由器资源ID过滤访问。 cc:BandwidthPackageId string
evs:ChargingMode string 单值 根据云硬盘的计费模式过滤访问。 evs:ServerServiceType string 单值 根据云服务器服务类型过滤访问。 evs:VolumeId string 单值 根据云硬盘ID过滤访问。 父主题: 存储
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
