检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
ition)。 如何使用这些元素编辑SCP自定义策略,请参考创建SCP。 操作(Action) 操作(Action)即为SCP中支持的授权项。 “访问级别”列描述如何对操作进行分类(list、read和write等)。此分类可帮助您了解在SCP中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。
ition)。 如何使用这些元素编辑SCP自定义策略,请参考创建SCP。 操作(Action) 操作(Action)即为SCP中支持的授权项。 “访问级别”列描述如何对操作进行分类(list、read和write等)。此分类可帮助您了解在SCP中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。
ition)。 如何使用这些元素编辑SCP自定义策略,请参考创建SCP。 操作(Action) 操作(Action)即为SCP中支持的授权项。 “访问级别”列描述如何对操作进行分类(list、read和write等)。此分类可帮助您了解在SCP中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。
ition)。 如何使用这些元素编辑SCP自定义策略,请参考创建SCP。 操作(Action) 操作(Action)即为SCP中支持的授权项。 “访问级别”列描述如何对操作进行分类(list、read和write等)。此分类可帮助您了解在SCP中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。
ition)。 如何使用这些元素编辑SCP自定义策略,请参考创建SCP。 操作(Action) 操作(Action)即为SCP中支持的授权项。 “访问级别”列描述如何对操作进行分类(list、read和write等)。此分类可帮助您了解在SCP中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。
ition)。 如何使用这些元素编辑SCP自定义策略,请参考创建SCP。 操作(Action) 操作(Action)即为SCP中支持的授权项。 “访问级别”列描述如何对操作进行分类(list、read和write等)。此分类可帮助您了解在SCP中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。
绑定到组织单元或者成员账号时,则账号下的IAM用户、用户组、委托均会受到SCP和IAM策略的权限控制影响。IAM策略授予权限的有效性受SCP限制,只有在SCP允许范围内的权限才能生效。SCP禁止的权限操作,即便授予IAM用户权限,用户也不能执行相关操作。 作用效果不同。SCP是指
计算 弹性云服务器 ECS 裸金属服务器 BMS 镜像服务 IMS 弹性伸缩 AS 父主题: SCP授权参考
当前账号需开通企业中心并成为企业主账号,详情请参见:开通企业中心功能。 操作步骤 您可通过控制台和创建组织API接口来创建组织。此处介绍如何通过控制台创建组织: 登录华为云,进入华为云Organizations控制台。 开通Organizations云服务。进入开通页,单击“立即开通”。 图1
创建SCP 本章为您介绍如何创建自定义SCP,SCP常用示例请参见:SCP示例。 操作步骤 以组织管理员或管理账号的身份登录管理控制台,进入Organizations控制台。 进入策略管理页,单击“服务控制策略”,进入SCP管理页。 图1 进入SCP管理页 单击“创建”,进入SCP创建页面。
} } } ] } 禁止访问指定区域的资源 如下SCP表示禁止用户访问“regionid1”区域的ECS服务的全部资源。您可以根据需要修改SCP语句中的操作(Action)、资源类型(Resource)和条件(Condition)。
g:CalledVia 字符串数组 用于控制跨服务访问。当身份主体向云服务发起访问时,该服务可能会转发身份主体的访问请求至其他服务,g:CalledVia包含服务转发访问的请求链中代表身份主体发出请求的服务列表。如服务转发身份主体的访问时,此条件键存在;如身份主体直接访问,则此条件键不存在。示例参见1。
启用和禁用可信服务 组织管理员禁用某个云服务的可信访问后,此云服务便不能给成员账号创建此服务的服务关联委托。 组织管理员关闭组织或成员账号离开组织后,Organizations服务会清理掉本服务的服务关联委托。 禁用AOM可信服务前,请先在AOM界面删除多账号实例,然后再在Organization
该子OU的账号以及以下层级的账号,均无法使用权限C。 用户在发起访问请求时,鉴权规则如下: 图3 系统鉴权逻辑图 用户发起访问请求。 系统优先寻找Deny指令。如果找到一个适用的Deny指令,系统将返回Deny决定。 如果没有找到Deny指令,系统将寻找适用于请求的任何Allow
关于IAM的详细介绍,请参见IAM产品介绍。 系统权限 默认情况下,管理员创建的IAM用户没有任何权限,需要将其加入用户组,并给用户组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。 Organizations服务为
企业项目ID:输入企业项目ID。 访问密钥ID:输入访问密钥ID(包含临时访问凭证和永久访问密钥)。 时间范围:可选择查询最近1小时、最近1天、最近1周的操作事件,也可以自定义最近7天内任意时间段的操作事件。 您可以参考云审计服务应用示例,来学习如何查询具体的事件。 在事件列表页面
IAM身份中心(IdentityCenter) IAM身份中心为用户提供基于组织的多账号统一身份管理与访问控制。可以统一管理企业中使用华为云的用户,一次性配置企业的身份管理系统与华为云的单点登录,以及所有用户对组织下账号状态为“正常”的账号的访问权限。 是 什么是IAM身份中心 云日志服务(LTS)
联多个子组织单元或者成员账号。如何管理组织单元请参见OU管理。 服务控制策略 服务控制策略 (Service Control Policy,SCP) 是一种基于组织的访问控制策略。组织管理账号可以使用SCP指定组织中成员账号的权限边界,限制账号内用户的操作。服务策略可以关联到组织
nter,标签键不指定,则后续校验规则以costcenter为准。 策略值:一个或多个可接受标签值的列表。如果标签策略没有为标签键指定标签值,则任何值(包括没有值)都将视为合规。 强制执行:表示阻止对指定服务和资源执行任何不合规标记操作。如未指定任何服务和资源类型,则此标签策略不会对任何资源生效。
修改和删除标签策略 本章为您介绍如何修改和删除已创建的标签策略。 只有组织管理员才可以修改或删除标签策略,委托管理员无法执行此操作。 修改标签策略 以组织管理员或管理账号的身份登录管理控制台,进入Organizations控制台。 进入策略管理页,单击“标签策略”,进入标签策略列表。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
