检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
云容器引擎 CCE Organizations服务中的服务控制策略(Service Control Policy,以下简称SCP)可以使用以下授权项元素设置访问控制策略。 SCP不直接进行授权,只划定权限边界。将SCP绑定到组织单元或者成员账号时,并没有直接对组织单元或成员账号授
微服务引擎 CSE Organizations服务中的服务控制策略(Service Control Policies,以下简称SCP)也可以使用这些授权项元素设置访问控制策略。 SCP不直接进行授权,只划定权限边界。将SCP绑定到组织单元或者成员账号时,并没有直接对组织单元或成员
略参数。 测试SCP的影响 针对SCP对账号的影响,强烈建议您在生产环境应用SCP前,使用测试账号、测试环境、测试用例开展充分且彻底的系统设计和系统测试,避免对生产环境中服务资源的使用产生不必要的影响。在测试环境充分验证之后,且需要在生产环境应用时,您可以先创建一个OU,并每次移
资源结构,同时将多个分散的华为云账号,纳入到构建的多层级组织单元中,实现对多账号的集中和结构化管理。 本章节为您介绍创建组织、组织单元以及邀请账号加入组织的操作,指导您使用组织对多账号进行结构化管理。 操作流程 操作步骤 说明 准备工作 注册华为账号并开通华为云且完成企业实名认证。
标签概述 标签简介 标签用于标识云资源,可通过标签实现对云资源的分类和搜索。您可以向以下组织资源添加标签: 组织的根 组织单元(Organizational Unit,以下简称OU) 账号 服务控制策略(Service Control Policy,以下简称SCP) 标签策略 您可以在以下时间添加标签:
企业拥有多个华为云账号,企业希望能够集中管理多个账号及账号中的资源。Organizations服务能够将多个分散的华为云账号,纳入到Organizations构建的组织中,实现对账号和资源的集中管理。 图2 集中管理企业多个云账号 预防各业务的违规行为 企业可以根据内外部要求,为不同的部门、业务环境(生产、测试或
或OU时,该组织或OU下所有账号均受该策略影响。 本章节以创建一个简单的SCP并将其绑定至成员账号为例,帮助您快速了解和使用SCP。 操作流程 操作步骤 说明 准备工作 已创建组织并加入一个成员账号。 为账号充值,确保账号未因欠费受限冻结。 步骤一:启用并创建SCP 启用并创建自定义SCP。
若您需要对除Organizations云服务之外的其它服务授权,IAM支持服务的所有权限请参见系统权限。 示例流程 图1 给用户授予Organizations权限流程 创建用户组并授权 在IAM控制台创建用户组,授予Organizations云服务只读权限“Organizations
本节将介绍使用华为云账号作为管理账号来创建组织。创建组织之后,您可以通过邀请现有账号或创建账号的方式向您的组织添加账号,可以通过创建OU来为您的组织添加OU实现账号的结构化管理。 前提条件 当前账号没有加入组织。已经加入组织的账号,不能创建组织,请退出已加入的组织后再进行创建组织操作,退出组织操作步骤请参见成员账号退出组织。
本章节以启用Config为可信服务并创建组织合规规则“IAM用户在指定时间内有登录行为”为例,为您展示可信服务功能的具体使用场景。 操作流程 操作步骤 说明 准备工作 已创建组织并加入一个成员账号。 在Config服务开启资源记录器。 为账号充值,确保账号未因欠费受限冻结。 步骤一:启用可信服务
secmaster:workflow:list 授予权限查询流程列表。 list workflow * - secmaster:workflow:get 授予权限获取流程的详情。 read workflow * - secmaster:workflow:delete 授予权限删除流程。 write workflow
启用与组织共享资源 云审计(CTS) 云审计服务支持基于组织配置组织追踪器功能,组织管理员或CTS服务的委托管理员可以配置组织追踪器作用于整个组织,实现多账号安全审计等云审计能力。 是 组织追踪器 应用运维管理服务(AOM) 应用运维管理服务提供多账号聚合类型Prometheus实例的创建功能。
当您需要对组织中的标签进行标准化管理时,可以通过创建标签策略来制定标签创建的规则。 本章节以创建一个简单的标签策略并将其绑定至成员账号为例,帮助您快速了解和使用标签策略。 操作流程 操作步骤 说明 准备工作 已创建组织并加入一个成员账号。 为账号充值,确保账号未因欠费受限冻结。 步骤一:启用并创建标签策略 启用并创建标签策略。
授权项:自定义策略中支持的Action,在自定义策略中的Action中写入授权项,可以实现授权项对应的权限功能。 依赖的授权项:部分Action存在对其他Action的依赖,需要将依赖的Action同时写入授权项,才能实现对应的权限功能。 IAM项目(Project)/企业项目(Enterprise
支持标签策略的云服务 当前支持使用标签策略的云服务和资源类型如下表所示: 表1 支持标签策略的云服务和资源类型 服务名称 资源类型 DDoS原生基础防护服务(Anti-DDoS) 公网IP(ip) DDoS防护服务(AAD) 实例(instance) 应用运维管理(AOM) 告警规则(alarmRule)
管理账号可以在组织中,启用或禁用某个云服务为可信服务,并设置成员账号为可信服务委托管理员。 可信服务 标签管理 标签用于标识云资源,可通过标签实现对云资源的分类和搜索。支持添加标签的组织资源包括:组织的根、组织单元(OU)、账号、服务控制策略(SCP) 标签管理
Web应用防火墙 WAF Organizations服务中的服务控制策略(Service Control Policy,以下简称SCP)可以使用以下授权项元素设置访问控制策略。 SCP不直接进行授权,只划定权限边界。将SCP绑定到组织单元或者成员账号时,并没有直接对组织单元或成员
"Resource": [ "*" ] } ] } 但是,您可以通过使用正确的策略语法来实现上面示例的意图,将两个数据块合并到单个Statement元素中,而不是包含两个完整的策略对象(每个都有自己的Statement元素)。St
启用和禁用标签策略 只有组织管理账号才可以启用或禁用标签策略,委托管理员无法执行此操作。 启用标签策略 在创建标签策略并将其附加到组织单元和账号之前,必须先启用标签策略,且只能使用组织的管理账号启用标签策略。 以组织管理员或管理账号的身份登录管理控制台,进入Organizations控制台。
查看有效的标签策略 标签策略可以绑定到组织的根、OU和账号。当绑定到根和OU时,所有子OU和子账号都继承该标签策略。账号继承的所有标签策略和直接绑定到账户上的所有标签策略,根据继承运算符最终聚合为有效标签策略。 有效标签策略生效的逻辑规则如下: 为同层级绑定标签策略时: 单值运算
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
