检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
开发与运维 应用管理与运维平台 ServiceStage 软件开发生产线 CodeArts 流水线 Codearts Pipeline 开源治理服务 CodeArts Governance 性能测试 CodeArts PerfTest 父主题: SCP授权参考
组织的管理账号无法邀请与自身不同类型的账号加入组织。例如中国站的组织管理账号无法邀请国际站账号,国际站的组织管理账号也无法邀请中国站账号。 功能规格 表1 Organizations服务的约束与限制 规格项 默认配额 申请更多配额 一个账号允许创建的组织数量 1个 说明: 成员账号无法创建组织
账号概述 组织中的账号 账号中包含了您的华为云资源,账号是构成组织的最小单位。组织中的账号分为管理账号和成员账号。 表1 账号分类 账号分类 功能 配额 管理账号 管理账号是创建组织的账号,使用Organizations服务创建组织,并管理组织中的组织单元(Organizational
如果华为账号或华为云账号已经能满足您的要求,不需要创建独立的IAM用户,您可以跳过本章节,不影响您使用Organizations云服务的其它功能。 本章节为您介绍创建IAM用户并对IAM用户授权的方法,操作流程如图1所示。 前提条件 给用户组授权之前,请您了解用户组可以添加的Org
限限制将不再影响该账号,这意味着该账号可能拥有比之前更多的权限。当组织已启用可信服务,成员账号离开组织后将无法再使用该服务与组织集成的相关功能。 当成员账号离开组织时,所有附加到该账号的标签都将被删除。 移除账号 登录组织的管理账号后,您可以从组织中移除不再需要的成员账号,步骤如
如果此列条件键没有值(-),表示此操作不支持指定条件键。 您可以在SCP语句的Action元素中指定以下账号中心的相关操作。 表1 支持的授权项 授权项 功能说明 访问级别 资源类型 条件键 account:accountInfo:update 更新账号信息,包括实名认证、基本信息、首选项等。 write
应用场景 依据企业业务关系构建云上资源结构 企业拥有多个分公司、部门或者不同的业务应用,通过Organizations服务,企业可以在云上构建符合自身管理和工作方式的多层级资源结构。 图1 依据企业业务关系构建云上资源结构 集中管理企业多个云账号 企业拥有多个华为云账号,企业希望
自定义策略 如果系统预置的Organizations云服务权限,不满足您的授权要求,可以创建自定义策略。自定义策略中可以添加的授权项(Action)请参考权限及授权项说明。 目前华为云支持以下两种方式创建自定义策略: 可视化视图创建自定义策略:无需了解策略语法,按可视化视图导航栏
支持SCP的云服务 当前支持使用SCP的云服务如下表所示: 支持SCP的云服务同时也支持IAM的身份策略。 计算 序号 服务名称 相关文档 1 弹性云服务器(ECS) 弹性云服务器 ECS 2 裸金属服务(BMS) 裸金属服务器 BMS 3 镜像服务(IMS) 镜像服务 IMS 4
云专线(DCAAS) 物理连接(directconnect) 全球专线接入网关(gdgw) 链路聚合组(lag) 虚拟网关(vgw) 虚拟接口(vif) 分布式缓存服务(DCS) 实例(instance) 文档数据库服务(DDS) 实例名称(instanceName) 专属加密(DHSM)
Instance:<instance-id> - dbss:auditInstance:switchBackup 授予权限以开启或关闭备份功能。 write dbss:<region>:<account-id>:auditInstance:<instance-id> - dbss::downloadLicense
如果此列条件键没有值(-),表示此操作不支持指定条件键。 您可以在SCP语句的Action元素中指定以下消息中心的相关操作。 表1 支持的授权项 授权项 功能说明 访问级别 资源类型 条件键 messageCenter:financeMsg:view 可查看和操作财务分类消息。 可查看消息接收配置和语音接收配置信息。
css:cluster:closeLogSetting 授予权限关闭日志功能。 write cluster * g:EnterpriseProjectId g:ResourceTag/<tag-key> css:cluster:openLogSetting 授予权限开启日志功能。 write cluster * g
Organizations.1007 Policy doesn't allow '{0}' to be performed. 细粒度鉴权失败 请检查用户有接口访问权限。 400 Organizations.1008 Bad request for checking permission. 细粒度鉴权请求错误
vpcep::listVersionDetails 授予权限查询VPC终端节点接口版本列表。 list - - vpcep::listSpecifiedVersion 授予权限查询指定VPC终端节点接口版本信息。 list - - VPCEP的API通常对应着一个或多个授权项。表
标签策略语法 标签策略基本语法 以下标签策略显示了基本标签策略语法: { "tags": { "costcenter": { <!-- 策略键 --> "tag_key": {
{queue_name}/connection-test dli:queue:checkConnection - GET /v1.0/{project_id}/queues/{queue_name}/connection-test/{task_id} dli:queue:getConnection
g:EnterpriseProjectId hss:antiransomware:startRansomwareBackupSingle 授予权限以开启单台服务器备份功能。 write host * g:EnterpriseProjectId hss:antiransomware:startRansomwareProtection
aom:alarmRule:delete 说明: 该授权项的资源类型“alarmRule ”仅对DELETE /v4/{project_id}/alarm-rules接口适用。 - POST /v1/{project_id}/uniagent-console/mainview/batch-import ao
授予工作负载管理-获得工作负载功能开关状态操作权限。 read cluster * g:ResourceTag/<tag-key> g:EnterpriseProjectId dws:cluster:setFunctionStatusForWLM 授予工作负载管理-设置工作负载功能开关状态操作权限。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
