检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
企业应用 云解析服务 DNS 云桌面 Workspace 父主题: SCP授权参考
SCP系统策略列表 现有华为云预置的SCP系统策略如下表所示: 表1 华为云SCP系统策略 策略名 描述 FullAccess 允许所有资源的所有权限。 每个根、OU和账号必须始终绑定至少一个SCP。 父主题: 服务控制策略管理
修改和删除标签策略 本章为您介绍如何修改和删除已创建的标签策略。 只有组织管理员才可以修改或删除标签策略,委托管理员无法执行此操作。 修改标签策略 以组织管理员或管理账号的身份登录管理控制台,进入Organizations控制台。 进入策略管理页,单击“标签策略”,进入标签策略列表。
绑定和解绑标签策略 管理账号可以为根、OU和账号绑定和解绑标签策略。 约束与限制 一个账号最多可以绑定10个标签策略。 只有组织管理员才可以绑定或解绑标签策略,委托管理员无法执行此操作。 标签策略完成绑定后将在30分钟内生效。 绑定标签策略 方式一: 以组织管理员或管理账号的身份
若禁用SCP后再重新启用SCP,则组织中的所有实体将恢复到只绑定FullAccess的状态。实体与其他SCP的绑定关系将丢失,如需恢复则需要用户重新绑定。 以组织管理员或管理账号的身份登录管理控制台,进入Organizations控制台。 进入策略管理页,单击“服务控制策略”操作列的“禁用”。
(Service Control Policy,SCP) 是一种基于组织的访问控制策略。组织管理账号可以使用SCP指定组织中成员账号的权限边界,限制账号内用户的操作。SCP可以关联到组织、OU和成员账号。当SCP关联到组织或OU时,该组织或OU下所有账号均受该策略影响。 本节将从以下几方面为您介绍SCP:
启用和禁用可信服务 组织管理员禁用某个云服务的可信访问后,此云服务便不能给成员账号创建此服务的服务关联委托。 组织管理员关闭组织或成员账号离开组织后,Organizations服务会清理掉本服务的服务关联委托。 禁用AOM可信服务前,请先在AOM界面删除多账号实例,然后再在Org
安全与合规 DDoS防护 AAD 数据加密服务 DEW 企业主机安全 HSS 安全云脑 SecMaster 云防火墙 CFW 数据安全中心 DSC 私有证书管理 PCA SSL证书管理 SCM 云堡垒机 CBH 数据库安全服务 DBSS Web应用防火墙 WAF 父主题: SCP授权参考
kms:EncryptionContext kms::generateRandom 授予生成安全随机字符串的权限。 write - kms:RecipientAttestation kms:cmk:sign 授予为生成数字签名的权限。 write KeyId * kms:KeyOrigin kms:KeySpec
eAssociation 授予查询账号、权限集关联的所有用户或用户组的权限。 read - - IdentityCenter:accountAssignment:disassociationProfile 授予解除用户或用户组绑定的所有授权的权限。 write - - Ident
条件键表示SCP语句的Condition元素中的键值。根据适用范围,分为全局级条件键和服务级条件键。 全局级条件键(前缀为g:)适用于所有操作,在鉴权过程中,云服务不需要提供用户身份信息,系统将自动获取并鉴权。详情请参见:全局条件键。 服务级条件键(前缀为服务缩写,如evs:)仅适用于对应服务的操作,详情请参见表4。
添加根、OU和账号标签 操作场景 本章节指导用户为已有的根、OU和账号添加标签。 操作步骤 为根、OU和账号添加标签的方法类似,以OU为例,说明添加标签的方法。 以组织管理员或管理账号的身份登录华为云,进入华为云Organizations控制台,进入组织管理页面。 选中要添加标签
Zone配置信息的权限。 read - - rgc:landingZoneIdentityCenter:get 授予获取当前客户的Identity Center用户信息的权限。 read - - rgc:operation:list 授予获取注册组织单元或纳管账号的当前操作状态的权限。
云专线 DC Organizations服务中的服务控制策略(Service Control Policy,以下简称SCP)也可以使用这些授权项元素设置访问控制策略。 SCP不直接进行授权,只划定权限边界。将SCP绑定到组织单元或者成员账号时,并没有直接对组织单元或成员账号授予操
和E,它们最终仍然会被父OU的SCP阻止。子OU(或账号)的SCP不允许A或B,因此, 子OU(或账号)将阻止这些权限。最终,子OU的权限是父OU权限和子OU(或账号)绑定SCP的权限交集,即下图中的权限C。 如果椭圆右侧是一个成员账号,则交集是授予该账号中的用户和用户组的最大权
ims:images:list 查看所有镜像列表。 list - g:EnterpriseProjectId ims:images:get 查看用户指定镜像详情。 read image * - ims:images:create 创建镜像元数据。 write - g:RequestTag/<tag-key>
账号管理 IAM身份中心(IdentityCenter) IAM身份中心为用户提供基于组织的多账号统一身份管理与访问控制。可以统一管理企业中使用华为云的用户,一次性配置企业的身份管理系统与华为云的单点登录,以及所有用户对组织下账号状态为“正常”的账号的访问权限。 是 什么是IAM身份中心
CDN与智能边缘 内容分发网络 CDN 父主题: SCP授权参考
条件键表示SCP语句的Condition元素中的键值。根据适用范围,分为全局级条件键和服务级条件键。 全局级条件键(前缀为g:)适用于所有操作,在鉴权过程中,云服务不需要提供用户身份信息,系统将自动获取并鉴权。详情请参见:全局条件键。 服务级条件键(前缀为服务缩写,如organizations:)仅适用于对应服务的操作,详情请参见表4。
条件键表示SCP语句的Condition元素中的键值。根据适用范围,分为全局级条件键和服务级条件键。 全局级条件键(前缀为g:)适用于所有操作,在鉴权过程中,云服务不需要提供用户身份信息,系统将自动获取并鉴权。详情请参见:全局条件键。 服务级条件键(前缀为服务缩写,如as:)仅适用于对应服务的操作,详情请参见表4。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
