检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
则账号下的IAM用户、用户组、委托均会受到SCP和IAM策略的权限控制影响。IAM策略授予权限的有效性受SCP限制,只有在SCP允许范围内的权限才能生效。SCP禁止的权限操作,即便授予IAM用户权限,用户也不能执行相关操作。 作用效果不同。SCP是指定了组织中成员账号的权限边界,
列出被添加到标签策略强制执行的资源类型 功能介绍 列出被添加到标签策略强制执行的资源类型。 调试 您可以在API Explorer中调试该接口,支持自动认证鉴权。API Explorer可以自动生成SDK代码示例,并提供SDK代码示例调试功能。 URI GET https://{
列出绑定到指定资源类型的标签 功能介绍 列出绑定到指定资源类型的标签。您可以将标签附加到组织中的账号、组织单元、根和策略。此操作只能由组织的管理账号或作为服务委托管理员的成员账号调用。 调试 您可以在API Explorer中调试该接口,支持自动认证鉴权。API Explorer
素中指定所有资源类型(“*”)。 如果该列包含资源类型,则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号(*)标识,表示使用此操作必须指定该资源类型。 关于IAM Access Analyzer定义的资源类型的详细信息请参见资源类型(Resource)。
禁用根中的策略类型 功能介绍 禁用根中的策略类型。只有在根中启用了特定类型的策略,才能将该类型的策略绑定到根中的实体。执行此操作后,您不能再将指定类型的策略绑定到该根或该根中的任何组织单元或账号。这是在后台执行的异步请求。您可以使用ListRoots查看指定根的策略类型的状态。此操作只能由组织的管理账号调用。
rce元素中指定所有资源类型(“*”)。 如果该列包含资源类型,则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号(*)标识,表示使用此操作必须指定该资源类型。 关于RAM定义的资源类型的详细信息请参见资源类型(Resource)。 “条件键”列包括
为指定资源类型添加标签 功能介绍 向指定的资源类型添加一个或多个标签。目前,您可以将标签附加到组织中的账号、组织单元、根和策略。此操作只能由组织的管理账号调用。 调试 您可以在API Explorer中调试该接口,支持自动认证鉴权。API Explorer可以自动生成SDK代码示例,并提供SDK代码示例调试功能。
ey之间是与的关系,key-value结构中value是或的关系。无tag过滤条件时返回全量数据。 matches 否 Array of Match objects 要绑定到新创建的账号的标签列表。 表4 TagsDTO 参数 是否必选 参数类型 描述 key 是 String
含所有标签的资源列表,key之间是与的关系,key-value结构中value是或的关系。无tag过滤条件时返回全量数据。 matches 否 Array of Match objects 要绑定到新创建的账号的标签列表。 表5 TagsDTO 参数 是否必选 参数类型 描述 key
从指定资源类型中删除指定主键标签 功能介绍 从指定资源类型中删除具有指定主键的任何标签。您可以将标签绑定到组织中的账号、组织单元、根和策略。此操作只能由组织的管理账号调用。 调试 您可以在API Explorer中调试该接口,支持自动认证鉴权。API Explorer可以自动生成
在根中启用策略类型 功能介绍 在根中启用策略类型。在根中启用策略类型后,您可以将该类型的策略绑定到根、或该根中的任何组织单元和账号。这是在后台执行的异步请求。您可以使用ListRoots查看指定根的策略类型的状态。此操作只能由组织的管理账号调用。 调试 您可以在API Explo
您可以: 将管理账号的组织管理权限进行拆分,根据用户职能给用户分配不同的访问和管理权限,以达到用户之间的权限隔离。例如管理账号有两个IAM用户,一个IAM用户可以创建和删除组织单元,一个IAM用户只能查看组织单元。 给管理账号中不同职能部门的员工创建IAM用户,让员工拥有唯一和独
SCP示例 本章节为您介绍SCP的常用示例,包含如下内容: 阻止成员账号退出组织 阻止根用户的服务访问 禁止创建带有指定标签的资源 禁止访问指定区域的资源 禁止共享到组织外 禁止共享指定类型的资源 禁止组织内账号给组织外的账号进行聚合授权 禁止根用户使用除IAM之外的云服务 阻止IAM用户和委托进行某些修改
支持标签策略的云服务 当前支持使用标签策略的云服务和资源类型如下表所示: 表1 支持标签策略的云服务和资源类型 服务名称 资源类型 DDoS原生基础防护服务(Anti-DDoS) 公网IP(ip) DDoS防护服务(AAD) 实例(instance) 应用运维管理(AOM) 告警规则(alarmRule)
rce元素中指定所有资源类型(“*”)。 如果该列包含资源类型,则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号(*)标识,表示使用此操作必须指定该资源类型。 关于IoTDA定义的资源类型的详细信息请参见资源类型(Resource)。 “条件键”列
rce元素中指定所有资源类型(“*”)。 如果该列包含资源类型,则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号(*)标识,表示使用此操作必须指定该资源类型。 关于OMS定义的资源类型的详细信息请参见资源类型(Resource)。 “条件键”列包括
步骤一:启用并创建SCP 例如您希望组织内的某一成员账号无法删除RAM服务的资源共享实例,可以参考如下示例创建SCP。 如下步骤仅针对示例中的关键参数进行设置和介绍,其他参数保存默认,更多SCP的详细信息请参见创建SCP。 以组织管理员或管理账号的身份登录管理控制台,进入Organizations控制台。
AK/SK签名认证方式仅支持消息体大小12MB以内,12MB以上的请求请使用Token认证。 AK/SK既可以使用永久访问密钥中的AK/SK,也可以使用临时访问密钥中的AK/SK,但使用临时访问密钥的AK/SK时需要额外携带“X-Security-Token”字段,字段值为临时访问密钥的security_token。
为您华为云账号中的资源进行付费。 关于IAM的详细介绍,请参见IAM产品介绍。 系统权限 默认情况下,管理员创建的IAM用户没有任何权限,需要将其加入用户组,并给用户组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。
不受SCP限制的任务 您无法使用SCP来限制以下任务: 组织管理账号及其IAM用户执行的任何操作。 使用服务关联委托执行的任何操作。 由不支持SCP的云服务对支持SCP的云服务发起的API调用请求,将不受SCP限制。当前支持SCP的云服务和区域请参见:支持SCP的云服务和支持SCP的区域。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
