检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
organization. 组织的管理账号或管理员账号不能离开组织 请检查离开组织的账号是否是组织的管理账号或管理员账号。 400 Organizations.1305 Quota exceeded for account. 组织中的账号超出配额 请检查组织中的账号是否超出配额。 409
禁用服务(由service_principal指定的服务)与组织的集成。禁用可信服务后,指定服务将不可以在组织中的新账号中创建服务关联委托。这意味着该服务无法代表您对组织中的任何新账号执行操作。在服务完成从组织中的清理之前,服务仍可以在旧账号中执行操作。此接口只能由组织的管理账号调用。 调试 您可以在API
启用可信服务 功能介绍 启用服务(由service_principal指定的服务)与组织的集成。启用可信服务后,允许指定的可信服务对组织中的所有账号创建服务关联委托。这允许可信服务代表您在组织及其账号中执行操作。此接口只能由组织的管理账号调用。 调试 您可以在API Explorer中调试该接口,支持自动认证鉴权。API
开启企业中心服务。 只能使用企业中心的主账号创建组织。 组织的管理账号无法邀请与自身不同类型的账号加入组织。例如中国站的组织管理账号无法邀请国际站账号,国际站的组织管理账号也无法邀请中国站账号。 功能规格 表1 Organizations服务的约束与限制 规格项 默认配额 申请更多配额
启用和禁用可信服务 组织管理员禁用某个云服务的可信访问后,此云服务便不能给成员账号创建此服务的服务关联委托。 组织管理员关闭组织或成员账号离开组织后,Organizations服务会清理掉本服务的服务关联委托。 禁用AOM可信服务前,请先在AOM界面删除多账号实例,然后再在Org
请求带标签) × × 列出创建账号的状态 GET /v1/organizations/create-account-statuses organizations:createAccountStatuses:list × × 查询有关创建账号状态的信息 GET /v1/organi
ions服务能够将多个分散的华为云账号,纳入到Organizations构建的组织中,实现对账号和资源的集中管理。 图2 集中管理企业多个云账号 预防各业务的违规行为 企业可以根据内外部要求,为不同的部门、业务环境(生产、测试或开发)等设置云上的行为边界,Organization
务为企业用户提供多账号关系的管理能力。当您的企业拥有多个分公司、部门或者不同的业务应用,通过Organizations服务,企业可以在云上构建符合自身管理和工作方式的多层级资源结构,同时将多个分散的华为云账号,纳入到构建的多层级组织单元中,实现对多账号的集中和结构化管理。 本章节
中所述任务的权限,相当于云服务能力在多账号组织场景下的拓展。目前支持的可信服务请参见:已对接组织的可信服务列表。 委托管理员账号 委托管理员账号是一个组织中有特殊权限的成员账号。管理账号可指定某个成员账号成为某个可信服务的委托管理员账号。成为委托管理员账号后,该账号下的用户可以使用对应可信服务的组织级管理能力。
创建账号和完成请求的日期和时间。 created_at String 请求创建账号的日期和时间。 id String 请求的唯一标识符(ID)。您可以从创建账号的初始CreateAccount请求的响应中获得此值。 state String 创建账号的异步请求的状态,in_pro
注册作为服务委托管理员 功能介绍 指定成员账号能够管理指定服务的组织功能。此接口授予委托管理员对组织服务数据的只读访问权限。委托管理员账号中的IAM用户仍需要IAM权限才能访问和管理服务。此操作只能由组织的管理账号调用。 调试 您可以在API Explorer中调试该接口,支持自动认证鉴权。API
其他 查询有效的策略 列出组织中的根、组织单元和账号 列出所有可以与组织服务集成的云服务 列出被添加到标签策略强制执行的资源类型 列出租户的组织配额 父主题: API
请求中携带的所有标签的key组成的列表,当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句,当请求信息满足该条件时,SCP才能生效。支持的运算符请参见:运算符。 STS定义了以下可以在SCP的Condition元素中使用的条件键,您
离开当前组织 功能介绍 此操作只能由组织的成员账号调用。只有当组织账号配置了作为独立账号运行所需的信息时,您才能作为成员账号离开组织。要离开的账号不能是组织启用的任何服务的委托管理员账号。 调试 您可以在API Explorer中调试该接口,支持自动认证鉴权。API Explor
除组织。 删除组织的影响 对管理账号的影响 管理账号将成为独立账号。您可以继续将此账号作为独立账号使用,也可以使用它创建不同的组织,它也可以作为成员账号接受其他组织的邀请。 组织的管理账号从来不受服务控制策略(SCP)的影响,所以组织删除后,管理账号及管理账号的IAM用户权限没有任何更改。
用户被授予的策略中,一个授权项的作用如果同时存在Allow和Deny,则遵循Deny优先原则。 如果您给用户授予OrganizationsFullAccess的系统策略,但不希望用户拥有OrganizationsFullAccess中定义的删除OU、移除成员账号的权限,您可以创
在策略内容右侧可以使用策略编辑器进行编辑自定义策略的操作、资源和条件。 添加操作:单击“+”号,可以选择服务的操作项进行添加,添加成功的操作项会自动显示在Action元素下。如图3所示。 图3 添加操作 添加资源:仅支持资源级授权的服务可添加。单击“+”号,选择操作对应的服务,在选择资源类型,根据实际情况填写URN。如图4所示。
标签管理 列出绑定到指定资源的标签 为指定资源添加标签 从指定资源中删除指定主键标签 列出绑定到指定资源类型的标签 为指定资源类型添加标签 从指定资源类型中删除指定主键标签 根据资源类型及标签信息查询实例列表 根据资源类型及标签信息查询实例数量 查询资源标签 父主题: API
列出策略 功能介绍 列出组织中的所有策略。如果指定了资源ID,例如组织单元ID或账号ID,则将获得该资源已绑定的策略列表。此操作只能由组织的管理账号或作为服务委托管理员的成员账号调用。 调试 您可以在API Explorer中调试该接口,支持自动认证鉴权。API Explorer
修改和删除SCP 本章为您介绍如何修改和删除已创建的自定义SCP。 修改SCP 以组织管理员或管理账号的身份登录管理控制台,进入Organizations控制台。 进入策略管理页,单击“服务控制策略”,进入SCP管理页。 单击自定义SCP操作列的“编辑”,在弹窗中输入“确认”,单击“确定”。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
