检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
列出绑定到指定资源的标签 功能介绍 列出绑定到指定资源的标签。您可以将标签附加到组织中的账号、组织单元、根和策略。此操作只能由组织的管理账号或作为服务委托管理员的成员账号调用。 调试 您可以在API Explorer中调试该接口,支持自动认证鉴权。API Explorer可以自动生成SDK代码示例,并提供SDK代码示例调试功能。
启用和禁用SCP功能 启用SCP 在创建SCP并将其附加到组织单元和账号之前,必须先启用SCP,且只能使用组织的管理账号启用SCP。启用SCP后,组织将自动给所有OU和账号绑定FullAccess策略,默认允许所有操作。 以组织管理员或管理账号的身份登录管理控制台,进入Organizations控制台。
指定成员账号能够管理指定服务的组织功能。此接口授予委托管理员对组织服务数据的只读访问权限。委托管理员账号中的IAM用户仍需要IAM权限才能访问和管理服务。此操作只能由组织的管理账号调用。 调试 您可以在API Explorer中调试该接口,支持自动认证鉴权。API Explorer可以自动生成SDK代码示例,并提供SDK代码示例调试功能。
更改组织单元名称 功能介绍 重命名指定的组织单元。重命名后组织单元ID不变,下属子组织单元和下属账号不变,组织单元绑定的策略不变。此操作只能由组织的管理账号调用。 调试 您可以在API Explorer中调试该接口,支持自动认证鉴权。API Explorer可以自动生成SDK代码示例,并提供SDK代码示例调试功能。
列出跟指定策略绑定的所有实体 功能介绍 列出跟指定策略绑定的所有根、组织单元和账号。此操作只能由组织的管理账号或作为服务委托管理员的成员账号调用。 调试 您可以在API Explorer中调试该接口,支持自动认证鉴权。API Explorer可以自动生成SDK代码示例,并提供SDK代码示例调试功能。
查询有效的策略 功能介绍 查询指定策略类型和账号的有效策略信息。当前此接口不支持查询服务控制策略(service_control_policy)。此操作只能由组织的管理账号或作为服务委托管理员的成员账号调用。 调试 您可以在API Explorer中调试该接口,支持自动认证鉴权。API
或成员账号授予操作权限,而是规定了成员账号或组织单元包含的成员账号的授权范围。 本章节介绍组织服务中SCP使用的元素,这些元素包含了操作(Action)、资源(Resource)和条件(Condition)。 如何使用这些元素编辑SCP自定义策略,请参考创建SCP。 操作(Action)
Control Policy,SCP) 是一种基于组织的访问控制策略。组织管理账号可以使用SCP指定组织中成员账号的权限边界,限制账号内用户的操作。SCP可以关联到组织、OU和成员账号。当SCP关联到组织或OU时,该组织或OU下所有账号均受该策略影响。 本节将从以下几方面为您介绍SCP:
条件(Condition)是SCP生效的特定条件,包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围,分为全局级条件键和服务级条件键。 全局级条件键(前缀为g:)适用于所有操作,在鉴权过程中,云服务不需要提供用户身份信息,系统将自动获取并鉴权。详情请参见:全局条件键。
是一种基于组织的访问控制策略。组织管理账号可以使用SCP指定组织中成员账号的权限边界,限制账号内用户的操作。SCP可以关联到组织、OU和成员账号。当SCP关联到组织或OU时,该组织或OU下所有账号均受该策略影响。 本章节以创建一个简单的SCP并将其绑定至成员账号为例,帮助您快速了解和使用SCP。 操作流程 操作步骤
Units,以下简称OU)进行归类和结构化管理。如下步骤以一个简单的示例来说明如何创建多层级OU,OU最深可嵌套至5层。 在Organizations控制台的“组织管理”页面中,选中根OU(Root),单击“添加”,然后单击“添加组织单元”。 在弹窗中填写OU名称,此处填写“OU1”,单击“确定”完成OU创建。
启用标签策略 在弹窗中勾选确认框,然后单击“确定”,完成标签策略功能启用。 禁用标签策略 如果您不想再使用标签策略管理组织的标签规则,可以禁用标签策略,但只有组织的管理账号才可以禁用标签策略。 禁用标签策略后,所有标签策略会自动从组织中的所有实体解绑,包括所有OU和账号,但是策略本身不会被删除。
调用。 删除策略 从组织中删除指定的策略。在执行此操作之前,必须首先将策略跟所有组织单元、根和账号解绑。此操作只能由组织的管理账号调用。 在根中启用策略类型 在根中启用策略类型。在根中启用策略类型后,您可以将该类型的策略绑定到根、或该根中的任何组织单元和账号。这是在后台执行的异步
可查看消息接收配置和语音接收配置信息。 read * - messageCenter:omMsg:view 可查看和操作运维分类消息。 可查看消息接收配置和语音接收配置信息。 read * - messageCenter:omMsg:subscribe 可查看消息接收配置和语音接收配置信息。
签都包含您定义的一个“键”和一个“值”,一个标签使用键为“团队”,另一个使用键为“环境”,每个标签都拥有相关的值。 图1 标签示例 您可以根据为云资源添加的标签快速搜索和筛选特定的云资源。例如,您可以为账号中的资源定义一组标签,以跟踪每个云资源的所有者和用途,使资源管理变得更加轻松高效。
果同时支持IAM项目和企业项目,表示此授权项对应的自定义策略,可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目,不支持企业项目,表示仅能在IAM中给用户组授权并生效,如果在企业管理中授权,则该自定义策略不生效。管理员可以在授权项列表中查看授权项是否支持IA
理工作。 用户 由账号在IAM中创建的用户,是云服务的使用人员,具有身份凭证(密码和访问密钥)。 在我的凭证下,您可以查看账号ID和IAM用户ID。通常在调用API的鉴权过程中,您需要用到账号、用户和密码等信息。 区域(Region) 从地理位置和网络时延维度划分,同一个Regi
策略中的显式Deny始终优先于Allow。具有拒绝策略的OU层级以下的任何账号都不能使用被拒绝的操作,也无法在组织结构中较低的层级中添加该权限。 添加允许策略。添加允许策略并删除默认附加到每个OU和账号的FullAccess SCP后,除非策略中明确允许,否则任何OU和账号都不
ement中,因为两个元素具有不同的作用(Effect)。通常情况下,您只能在每个语句中的Effect和Resource元素相同时组合语句。 多个Statement元素 如下示例中的错误看起来可能是上一节中错误的变体,但是从语法上来看,它是一种不同类型的错误。如下示例中只有一个策略对象,如最外层的“{
设置添加到有效策略中。只能将此运算符用于多值设置。 此运算符将指定的值添加到继承数组中的任何值。 @@remove 从有效策略中删除指定的继承设置(如果存在)。只能将此运算符用于多值设置。 此运算符仅从继承自父策略的值数组中删除指定值。其他值可以继续存在于数组中,并且可由子策略继承。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
