检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
zations控制台,进入组织管理页面。 选中要查看标签的OU,在右侧的组织单元信息页,选择“标签”页签,进入标签列表页面。 在标签列表中,可查看此组织单元已添加的全部标签信息。 父主题: 查看标签
创建组织 本节将介绍使用华为云账号作为管理账号来创建组织。创建组织之后,您可以通过邀请现有账号或创建账号的方式向您的组织添加账号,可以通过创建OU来为您的组织添加OU实现账号的结构化管理。 前提条件 当前账号没有加入组织。已经加入组织的账号,不能创建组织,请退出已加入的组织后再进行
进入Organizations控制台。 进入策略管理页,单击服务控制策略,进入SCP管理页。 在列表中单击自定义策略的名称,进入策略详情页。 选择“标签”页签,可查看此SCP已添加的全部标签信息。 父主题: 查看标签
显式Deny始终优先于Allow。具有拒绝策略的OU层级以下的任何账号都不能使用被拒绝的操作,也无法在组织结构中较低的层级中添加该权限。 添加允许策略。添加允许策略并删除默认附加到每个OU和账号的FullAccess SCP后,除非策略中明确允许,否则任何OU和账号都不允许任何操
用户组。 用户登录并验证权限 使用新创建的用户登录控制台,能正常进入组织服务并可查看组织的相关信息,然后尝试添加组织单元报错,报错信息提示“权限不足,请联系管理员处理”,表示“Organizations ReadOnlyAccess”已生效,您只有组织的查看权限。 父主题: 权限管理
何创建多层级OU,OU最深可嵌套至5层。 在Organizations控制台的“组织管理”页面中,选中根OU(Root),单击“添加”,然后单击“添加组织单元”。 在弹窗中填写OU名称,此处填写“OU1”,单击“确定”完成OU创建。 选中组织单元“OU1”,参考以上步骤,为“OU
无法代表您对组织中的任何新账号执行操作。在服务完成从组织中的清理之前,服务仍可以在旧账号中执行操作。此接口只能由组织的管理账号调用。 列出组织的可信服务列表 返回启用与组织集成的可信服务列表。此操作只能由组织的管理账号或作为服务委托管理员的成员账号调用。 委托管理员管理 表6 接口说明
20221107T020014Z。 Host:表明主机地址,必选,如organizations.myhuaweicloud.com。 API支持使用AK/SK认证,AK/SK认证是使用SDK对请求进行签名,签名过程会自动往请求中添加Authorization(签名认证信息)和X-
“资源类型”列指每个操作是否支持资源级权限。 资源类型支持通配符号*表示所有。如果此列没有值(-),则必须在SCP语句的Resource元素中指定所有资源类型(“*”)。 如果该列包含资源类型,则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号(*)标识,表示使用此操作必须指定该资源类型。
受到该策略影响。如何管理SCP请参见服务控制策略介绍。 标签策略 标签策略是策略的一种类型,可帮助您在组织账号中对资源添加的标签进行标准化管理。标签策略对未添加标签的资源或未在标签策略中定义的标签不会生效。如何管理标签策略请参见标签策略。 可信服务 可信服务是指可与Organiz
1/zones/{zone_id}/recordsets dns:recordset:list - GET /v2.1/zones/{zone_id}/recordsets/{recordset_id} dns:recordset:get - PUT /v2.1/zones/{zone_id}/recordsets/{recordset_id}
支持审计的关键操作 通过云审计服务,您可以记录与组织云服务相关的操作事件,便于日后的查询、审计和回溯。 表1 云审计支持的Organizations操作列表 操作名称 资源类型 事件名称 创建组织 Organization createOrganization 关闭组织 Organization
授予删除报表日志配置的权限。 write - - aad:dashboard:get 授予获取报表数据和日志配置的权限。 read - - aad:dashboard:set 授予修改报表日志配置的权限。 write - - aad:domain:create 授予添加防护域名的权限。
绑定和解绑标签策略 支持标签策略的云服务 支持标签策略的区域 可信服务管理 可信服务概述 启用和禁用可信服务 已对接组织的可信服务 添加、查看和取消委托管理员 标签管理 添加标签 修改标签 查看标签 删除标签 02 入门 如果您首次使用Organizations服务,如下步骤可帮助您快速使用O
理控制台。 单击页面左上角的图标,在弹出的服务列表中,选择“管理与监管”下的“配置审计 Config”。 单击左侧的“资源合规”,进入“资源合规”页面。 选择“组织规则”页签,单击“添加规则”。 进入“基础配置”页面,在预设策略列表中选择“IAM用户在指定时间内有登录行为”,单击“下一步”。
进入账号管理页,选择“账号列表”页签。 在列表中可查看组织中的全部账号及其相关信息。 在列表中单击账号名,可查看账号的详细信息。 在列表中的操作列,可对账号进行移动、移除、关闭操作。 邀请加入组织的账号不支持关闭操作。 在列表左上方单击“添加”,可进行邀请现有账号和创建新账号加入组织的操作。
“资源类型”列指每个操作是否支持资源级权限。 资源类型支持通配符号*表示所有。如果此列没有值(-),则必须在SCP语句的Resource元素中指定所有资源类型(“*”)。 如果该列包含资源类型,则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号(*)标识,表示使用此操作必须指定该资源类型。
右侧的策略编辑器中单击“添加操作”后的“+”号。 在弹窗中选择RAM服务的“ram:resourceShares:delete”操作,单击“确定”。 单击“添加资源”后的“+”号,在弹窗中选择RAM服务的“所有资源”,单击“确定”。 最终的策略内容如下,表示禁止删除RAM服务的资源共享实例:
在右侧详情页,选择策略页签。展开“标签策略”列表,单击列表上方的“绑定”。 在弹窗中选择要添加的策略后,单击“确定”,完成策略绑定。 图1 绑定标签策略 方式二: 在Organizations控制台,进入策略管理页。 单击“标签策略”,进入标签策略列表。 单击标签策略操作列的“绑定”,选中要绑定标签策略的OU或者账号。
值。 如果该授权项资源类型列存在值,则表示条件键仅对列举的资源类型生效。 如果该授权项资源类型列没有值(-),则表示条件键对整个授权项生效。 如果此列条件键没有值(-),表示此操作不支持指定条件键。 关于BSS定义的条件键的详细信息请参见表1。 您可以在SCP语句的Action元素中指定以下BSS的相关操作。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
