检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
如果正在使用临时安全凭据,则此header是必需的,该值是临时安全凭据的安全令牌(会话令牌)。 表3 请求Body参数 参数 是否必选 参数类型 描述 source_parent_id 是 String 要移出账号的根或组织单元的唯一标识符(ID)。 destination_parent_id
SCP示例 本章节为您介绍SCP的常用示例,包含如下内容: 阻止成员账号退出组织 阻止根用户的服务访问 禁止创建带有指定标签的资源 禁止访问指定区域的资源 禁止共享到组织外 禁止共享指定类型的资源 禁止组织内账号给组织外的账号进行聚合授权 禁止根用户使用除IAM之外的云服务 阻止IAM用户和委托进行某些修改
查询有效的策略 功能介绍 查询指定策略类型和账号的有效策略信息。当前此接口不支持查询服务控制策略(service_control_policy)。此操作只能由组织的管理账号或作为服务委托管理员的成员账号调用。 调试 您可以在API Explorer中调试该接口,支持自动认证鉴权。API
支持SCP的区域 当前支持使用SCP的区域如下表所示: 支持SCP的区域与支持IAM身份策略的区域相同。 表1 支持SCP的区域 区域名称 区域代码 亚太-新加坡 ap-southeast-3 亚太-曼谷 ap-southeast-2 亚太-雅加达 ap-southeast-4 华东-上海一
支持标签策略的区域 当前支持使用标签策略的区域如下表所示: 表1 支持标签策略的区域 区域名称 区域代码 亚太-新加坡 ap-southeast-3 亚太-曼谷 ap-southeast-2 亚太-雅加达 ap-southeast-4 华东-上海一 cn-east-3 华东-上海二
指定标签键的允许值。 勾选此项后单击“添加值”,为标签键指定的一个或多个允许值,表示此标签键仅允许使用此处指定的值,否则为不合规。如不勾选此项或勾选后未添加标签值,则此标签键使用任何值(包括没有值)都将视为合规。 图2 添加标签键的允许值 指定执行标签策略检查的资源类型。 勾
下层进行计算,计算时根据子控制运算符的不同类型来判断生效,最终形成一个有效的标签策略;当上下层标签策略中的标签键不同时,上下层策略将直接合并为一个有效的标签策略。 本章为您介绍如何在控制台上查看绑定在组织的根、OU和账号上的有效标签策略。 操作步骤 进入华为云Organizations控制台,进入组织管理页面。
object 包含有关新创建的组织单元的详细信息的结构。 表5 OrganizationalUnitDto 参数 参数类型 描述 id String 与组织单元关联的唯一标识符(ID)。 urn String 组织单元的统一资源名称。 name String 组织单元的名称。 created_at
支持SCP的云服务 当前支持使用SCP的云服务如下表所示: 支持SCP的云服务同时也支持IAM的身份策略。 计算 序号 服务名称 相关文档 1 弹性云服务器(ECS) 弹性云服务器 ECS 2 裸金属服务(BMS) 裸金属服务器 BMS 3 镜像服务(IMS) 镜像服务 IMS 4
e String 组织管理账号的名称。 organization_id String 组织的唯一标识符(ID)。 notes String 给收件账号所有者的邮件中的附加信息。 target TargetDto object 要邀请加入组织的账号的标识符(ID)。 status String
列出租户的组织配额 功能介绍 列出租户的组织配额。此操作只能由组织的管理账号或作为服务委托管理员的成员账号调用。 调试 您可以在API Explorer中调试该接口,支持自动认证鉴权。API Explorer可以自动生成SDK代码示例,并提供SDK代码示例调试功能。 URI GET
e String 组织管理账号的名称。 organization_id String 组织的唯一标识符(ID)。 notes String 给收件账号所有者的邮件中的附加信息。 target TargetDto object 要邀请加入组织的账号的标识符(ID)。 status String
AccountDto object 包含组织成员的账号的有关信息。 表5 AccountDto 参数 参数类型 描述 id String 账号的唯一标识符(ID)。 urn String 账号的统一资源名称。 join_method String 账号加入组织的方式。invited:邀请加入,created:创建加入。
则账号下的IAM用户、用户组、委托均会受到SCP和IAM策略的权限控制影响。IAM策略授予权限的有效性受SCP限制,只有在SCP允许范围内的权限才能生效。SCP禁止的权限操作,即便授予IAM用户权限,用户也不能执行相关操作。 作用效果不同。SCP是指定了组织中成员账号的权限边界,
列出组织的根 功能介绍 列出当前组织的根。此接口只能由组织的管理账号或作为服务委托管理员的成员账号调用。 调试 您可以在API Explorer中调试该接口,支持自动认证鉴权。API Explorer可以自动生成SDK代码示例,并提供SDK代码示例调试功能。 URI GET ht
如果正在使用临时安全凭据,则此header是必需的,该值是临时安全凭据的安全令牌(会话令牌)。 X-Language 否 String 选择接口返回的信息的语言 响应参数 状态码: 200 表3 响应Body参数 参数 参数类型 描述 policy PolicyDto object 包含有关策略的详细信息的结构。 表4
禁用根中的策略类型 功能介绍 禁用根中的策略类型。只有在根中启用了特定类型的策略,才能将该类型的策略绑定到根中的实体。执行此操作后,您不能再将指定类型的策略绑定到该根或该根中的任何组织单元或账号。这是在后台执行的异步请求。您可以使用ListRoots查看指定根的策略类型的状态。此操作只能由组织的管理账号调用。
values不能重复。返回包含所有标签的资源列表,key之间是与的关系,key-value结构中value是或的关系。无tag过滤条件时返回全量数据。 matches 否 Array of Match objects 要绑定到新创建的账号的标签列表。 表4 TagsDTO 参数 是否必选
列出关闭账号的状态 功能介绍 列出组织中指定状态的账号关闭请求。此操作只能由组织的管理账号或作为服务委托管理员的成员账号调用。 调试 您可以在API Explorer中调试该接口,支持自动认证鉴权。API Explorer可以自动生成SDK代码示例,并提供SDK代码示例调试功能。
列出组织中的账号 功能介绍 列出组织中的账号。此操作只能由组织的管理账号或作为服务委托管理员的成员账号调用。如果指定父级组织单元,则将获得作为父级直系子级的所有账号的列表。 调试 您可以在API Explorer中调试该接口,支持自动认证鉴权。API Explorer可以自动生成
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
