检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
RGC服务不支持在SCP中的资源中指定资源进行权限控制。如需允许访问RGC服务,请在SCP的Resource元素中使用通配符号*,表示策略将应用到所有资源。 条件(Condition) RGC服务不支持在SCP中的条件键中配置服务级的条件键。 RGC可以使用适用于所有服务的全局条件键,请参考全局条件键。
如果该列包含资源类型,则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号(*)标识,表示使用此操作必须指定该资源类型。 关于AOM定义的资源类型的详细信息请参见资源类型(Resource)。 “条件键”列包括了可以在SCP语句的Condition元素中支持指定的键值。 如果该
表示请求中携带的所有标签的key组成的列表,当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句,当请求信息满足该条件时,SCP才能生效。支持的运算符请参见:条件键。 CC定义了以下可以在SCP的Condition元素中使用的条件键,
示请求中携带的所有标签的key组成的列表,当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句,当请求信息满足该条件时,SCP才能生效。支持的运算符请参见:运算符。 BMS定义了以下可以在SCP的Condition元素中使用的条件键,
policy_id 是 String 策略的唯一标识符(ID)。 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Security-Token 否 String 如果正在使用临时安全凭据,则此header是必需的,该值是临时安全凭据的安全令牌(会话令牌)。 表3 请求Body参数
String 组织管理账号的唯一标识符(ID)。 management_account_name String 组织管理账号的名称。 organization_id String 组织的唯一标识符(ID)。 notes String 给收件账号所有者的邮件中的附加信息。 target
SCP,且只能使用组织的管理账号禁用SCP。 禁用SCP后,所有SCP会自动从组织中的所有实体解绑,包括所有OU和账号,但是策略本身不会被删除。 若禁用SCP后再重新启用SCP,则组织中的所有实体将恢复到只绑定FullAccess的状态。实体与其他SCP的绑定关系将丢失,如需恢复则需要用户重新绑定。
policy_id 是 String 策略的唯一标识符(ID)。 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Security-Token 否 String 如果正在使用临时安全凭据,则此header是必需的,该值是临时安全凭据的安全令牌(会话令牌)。 表3 请求Body参数
指定标签键的允许值。 勾选此项后单击“添加值”,为标签键指定的一个或多个允许值,表示此标签键仅允许使用此处指定的值,否则为不合规。如不勾选此项或勾选后未添加标签值,则此标签键使用任何值(包括没有值)都将视为合规。 图2 添加标签键的允许值 指定执行标签策略检查的资源类型。 勾
用户被授予的策略中,一个授权项的作用如果同时存在Allow和Deny,则遵循Deny优先原则。 如果您给用户授予OrganizationsFullAccess的系统策略,但不希望用户拥有OrganizationsFullAccess中定义的删除OU、移除成员账号的权限,您可以创
account_id 是 String 账号的唯一标识符(ID)。 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Security-Token 否 String 如果正在使用临时安全凭据,则此header是必需的,该值是临时安全凭据的安全令牌(会话令牌)。 响应参数
参数 是否必选 参数类型 描述 X-Security-Token 否 String 如果正在使用临时安全凭据,则此header是必需的,该值是临时安全凭据的安全令牌(会话令牌)。 响应参数 状态码: 200 表3 响应Body参数 参数 参数类型 描述 tags Array of TagsDTO
重复,同一个key中values不能重复。返回包含所有标签的资源列表,key之间是与的关系,key-value结构中value是或的关系。无tag过滤条件时返回全量数据。 matches 否 Array of Match objects 要绑定到新创建的账号的标签列表。 表5 TagsDTO
重复,同一个key中values不能重复。返回包含所有标签的资源列表,key之间是与的关系,key-value结构中value是或的关系。无tag过滤条件时返回全量数据。 matches 否 Array of Match objects 要绑定到新创建的账号的标签列表。 表4 TagsDTO
SCP授权参考 计算 存储 网络 容器 大数据 CDN与智能边缘 数据库 安全与合规 IoT物联网 应用中间件 开发与运维 企业应用 管理与监管 用户服务 迁移
安全云脑 SecMaster 云防火墙 CFW 数据安全中心 DSC 私有证书管理 PCA SSL证书管理 SCM 云堡垒机 CBH 数据库安全服务 DBSS Web应用防火墙 WAF 父主题: SCP授权参考
禁用根中的策略类型 禁用根中的策略类型。只有在根中启用了特定类型的策略,才能将该类型的策略绑定到根中的实体。执行此操作后,您不能再将指定类型的策略绑定到该根或该根中的任何组织单元或账号。这是在后台执行的异步请求。您可以使用ListRoots查看指定根的策略类型的状态。此操作只能由组织的管理账号调用。
如上示例无法进一步压缩到带一个元素的Statement中,因为两个元素具有不同的作用(Effect)。通常情况下,您只能在每个语句中的Effect和Resource元素相同时组合语句。 多个Statement元素 如下示例中的错误看起来可能是上一节中错误的变体,但是从语法上来看,它是一种不同类型的错误。如
SCP示例 本章节为您介绍SCP的常用示例,包含如下内容: 阻止成员账号退出组织 阻止根用户的服务访问 禁止创建带有指定标签的资源 禁止访问指定区域的资源 禁止共享到组织外 禁止共享指定类型的资源 禁止组织内账号给组织外的账号进行聚合授权 禁止根用户使用除IAM之外的云服务 阻止IAM用户和委托进行某些修改
对应API接口:自定义策略实际调用的API接口。 授权项:自定义策略中支持的Action,在自定义策略中的Action中写入授权项,可以实现授权项对应的权限功能。 依赖的授权项:部分Action存在对其他Action的依赖,需要将依赖的Action同时写入授权项,才能实现对应的权限功能。 IAM
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
