检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
用户就可以基于已有权限对云服务进行操作。 权限根据授权的精细程度,分为角色和策略。角色以服务为粒度,是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。策略以API接口为粒度进行权限拆分,授权更加精细,可以精确到某个操作、资源和条件,能够满足企业对权限最小化的安全管控要求。
key 是 String 标签键的密钥标识符或名称。 value 是 String 与标签键关联的字符串值。您可以将标签的值设置为空字符串,但不能将标签的值设置为NULL。 响应参数 状态码: 201 表4 响应Body参数 参数 参数类型 描述 policy PolicyDto object
描述 key String 标签键的密钥标识符或名称。 value String 与标签键关联的字符串值。您可以将标签的值设置为空字符串,但不能将标签的值设置为NULL。 表6 PageInfoDto 参数 参数类型 描述 next_marker String 如果存在,则表示可用的
iam:groups:grantRoleOnDomain 授予为用户组授予全局服务权限的权限。 write - - iam:permissions:grantRoleToGroupOnDomain iam:groups:grantRoleOnProject 授予为用户组授予项目级服务权限的权限。 write
值。根据适用范围,分为全局级条件键和服务级条件键。 全局级条件键(前缀为g:)适用于所有操作,在鉴权过程中,云服务不需要提供用户身份信息,系统将自动获取并鉴权。详情请参见:全局条件键。 服务级条件键(前缀通常为服务缩写,如cc:)仅适用于对应服务的操作,详情请参见表4。 单值/多
DelegatedAdministratorDto 参数 参数类型 描述 delegation_enabled_at String 将账号设置为委托管理员的日期。 account_id String 账号的唯一标识符(ID)。 account_urn String 账号的统一资源名称。
key 是 String 标签键的密钥标识符或名称。 value 是 String 与标签键关联的字符串值。您可以将标签的值设置为空字符串,但不能将标签的值设置为NULL。 响应参数 无 请求示例 从指定资源类型中删除指定主键标签。 POST https://{endpoint}/v1
/SK,也可以使用临时访问密钥中的AK/SK,但使用临时访问密钥的AK/SK时需要额外携带“X-Security-Token”字段,字段值为临时访问密钥的security_token。 AK/SK认证就是使用AK/SK对请求进行签名,在请求时将签名信息添加到消息头,从而通过身份认证。
表5 PolicySummaryDto 参数 参数类型 描述 is_builtin Boolean 一个布尔值,指示指定的策略是否为系统策略。如果为true,即为系统策略,则可以将策略附加到根、组织单元或账号,但不能编辑它。 description String 策略说明。 id
请参见将资源账号转为云账号。 邀请加入组织的账号为华为云账号时才支持移除组织或主动退出组织,详情请参见资源账号与华为云账号的差异。 已设置为委托管理员的账号无法从组织中移除或主动退出组织,需先取消委托管理员。 在组织中创建账号时默认创建的IAM委托,账号离开组织后并不会自动删除,
绝和隐式拒绝的区别。 默认允许 组织启用SCP时,默认会为所有OU和账号附加全部权限(FullAccess策略),默认允许所有操作。除非您为OU或账号附加其他的明确拒绝策略。 显式拒绝和隐式拒绝的区别 Effect(效果)包含两种:Allow(允许)和Deny(拒绝),分别表示允许或拒绝执行某操作的权限。
值。根据适用范围,分为全局级条件键和服务级条件键。 全局级条件键(前缀为g:)适用于所有操作,在鉴权过程中,云服务不需要提供用户身份信息,系统将自动获取并鉴权。详情请参见:全局条件键。 服务级条件键(前缀通常为服务缩写,如sfsturbo:)仅适用于对应服务的操作,详情请参见表4。
)。 您可以在SCP策略语句的Action元素中指定以下AAD的相关操作。 表1 AAD支持的授权项 授权项 描述 访问级别 资源类型(*为必须) 条件键 aad:alarmConfig:create 授予创建告警设置的权限。 write alarmConfig * - aad:alarmConfig:put
表4 请求Body参数 参数 是否必选 参数类型 描述 without_any_tag 否 Boolean 不包含任意一个标签,该字段为true时查询所有不带标签的资源。 tags 否 Array of TagsDTO objects 包含标签,最多包含10个key,每个ke
含的输出多。在对操作的后续调用中,在标签请求参数中使用此值,以获取输出的下一部分。您应该重复此操作,直到next_marker响应元素返回为null。 current_count Integer 本页返回条目数量 请求示例 列出组织的可信服务列表 GET https://{end
含的输出多。在对操作的后续调用中,在标签请求参数中使用此值,以获取输出的下一部分。您应该重复此操作,直到next_marker响应元素返回为null。 current_count Integer 本页返回条目数量 请求示例 列出指定账号是其委托管理员的服务 GET https:/
表3 请求Body参数 参数 是否必选 参数类型 描述 without_any_tag 否 Boolean 不包含任意一个标签,该字段为true时查询所有不带标签的资源。 tags 否 Array of TagsDTO objects 包含标签,最多包含10个key,每个ke
键值。根据适用范围,分为全局级条件键和服务级条件键。 全局级条件键(前缀为g:)适用于所有操作,在鉴权过程中,云服务不需要提供用户身份信息,系统将自动获取并鉴权。详情请参见:全局条件键。 服务级条件键(前缀为服务缩写,如config:)仅适用于对应服务的操作,详情请参见表4。 单
键命名规则如下: 不能为空。 长度为1~128个字符。 由英文字母、数字、下划线、中划线、UNICODE字符(\u4E00-\u9FFF)组成。 Key_0001 值 输入标签的值,标签的值可以重复,并且可以为空。 标签值的命名规则如下: 可以为空。 长度为1~225个字符。 由英文字
JSON视图创建自定义策略:可以在选择策略模板后,根据具体需求编辑策略内容;也可以直接在编辑框内编写JSON格式的策略内容。 具体创建步骤请参见:创建自定义策略。本章为您介绍常用的Organizations云服务自定义策略样例。 Organizations自定义策略样例 示例1:授权IAM用户邀请账号加入组织、从组织中移除成员账号。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
