正在生成
详细信息:
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
云监控服务 CES Organizations服务中的服务控制策略(Service Control Policy,以下简称SCP)可以使用以下授权项元素设置访问控制策略 SCP不直接进行授权,只划定权限边界。将SCP绑定到组织单元或者成员账号时,并没有直接对组织单元或成员账号授予
入门流程 图1为Organizations云服务入门使用流程。 图1 Organizations云服务入门使用流程
SCP系统策略列表 现有华为云预置的SCP系统策略如下表所示: 表1 华为云SCP系统策略 策略名 描述 FullAccess 允许所有资源的所有权限。 每个根、OU和账号必须始终绑定至少一个SCP。 父主题: 服务控制策略管理
应用Organizations云服务对多账号进行管理 本节将按照入门流程中的顺序,依次为您介绍如何创建组织,并使用组织对多账号进行结构化管理。 本章节包含如下内容: 创建组织 创建组织单元 邀请账号加入组织 绑定服务控制策略(SCP) 测试SCP 创建组织 以Company A的身份登录华为云。
SCP按照策略创建者可分为两类,分别是系统策略和自定义策略。 系统策略 华为云服务在组织预置了常用SCP,称为系统策略。组织管理员给组织单元或账号绑定SCP时,可以直接使用这些策略。系统策略只能使用,不能修改。现有的SCP系统策略请参见:SCP系统策略列表。 自定义策略 如果系统策略无法满足授权要求
若您需要对除Organizations云服务之外的其它服务授权,IAM支持服务的所有权限请参见系统权限。 示例流程 图1 给用户授予Organizations权限流程 创建用户组并授权 在IAM控制台创建用户组,授予Organizations云服务只读权限“Organizations ReadOnlyAccess”。
BR服务的委托管理员可以通过创建组织备份策略和组织复制策略,为组织内成员账号统一设置备份策略和复制策略。 是 组织策略管理 云监控服务(CES) 云监控服务支持基于组织跨账号查看我的看板功能,组织管理员或CES服务的委托管理员可以查看其组织下所有账号的看板。 是 跨账号查看我的看板
我的配额”。 系统进入“服务配额”页面。 图1 我的配额 您可以在“服务配额”页面,查看各项资源的总配额及使用情况。 如果当前配额不能满足业务要求,请参考后续操作,申请扩大配额。 如何申请扩大配额? 登录管理控制台。 在页面右上角,选择“资源 > 我的配额”。 系统进入“服务配额”页面。
错误码 当您调用API时,如果遇到“APIGW”开头的错误码,请参见API网关错误码进行处理。 更多服务错误码请参见API错误中心。 状态码 错误码 错误信息 描述 处理措施 401 Organizations.1001 This operation can be called only
在CTS事件列表查看云审计事件 操作场景 用户进入云审计服务创建管理类追踪器后,系统开始记录云服务资源的操作。在创建数据类追踪器后,系统开始记录用户对OBS桶中数据的操作。云审计服务管理控制台会保存最近7天的操作记录。 本节介绍如何在云审计服务管理控制台查看或导出最近7天的操作记录:
配置审计 Config 访问分析 IAM Access Analyzer 云审计服务 CTS 资源治理中心 RGC 应用运维管理 AOM 云监控服务 CES 云运维中心 COC 父主题: SCP授权参考
规范,添加“abc”、“Abc”等其他大小写形式的标签则为不合规,标签策略将阻止不合规标签的添加操作。 添加执行标签策略的资源类型,例如云监控服务的告警规则(ces:alarm),表示此标签策略仅对组织成员账号这一资源类型生效。当前支持标签策略的云服务和资源类型请参见:支持标签策略的云服务。
scm::createDomainMonitor 授予权限创建需要监控的域名。 write - - scm::updateDomainMonitor 授予权限更新需要监控的域名。 write - - scm::updateDomainMonitorSwitch 授予权限打开或关闭域名的监控开关。 write - -
ion:configMonitorAlert 授予设置异常成本监控提醒的权限。 write - - costCenter:costAnomalyDetection:viewMonitorAlert 授予查看异常成本监控提醒的权限。 read - - costCenter:cost
分析文档风险 read document - coc:systemConfig:get 获取系统配置详情的权限。 write - - coc:systemConfig:create 创建系统配置的权限。 read - - coc:job:list 查询工单详情 write job -
、测试用例开展充分且彻底的系统设计和系统测试,避免对生产环境中服务资源的使用产生不必要的影响。在测试环境充分验证之后,且需要在生产环境应用时,您可以先创建一个OU,并每次移入一个账号或少量账号,以确保不会意外中断服务资源的使用。 对于系统预置的SCP系统策略“FullAccess
云审计服务 CTS 14 资源治理中心(RGC) 资源治理中心 RGC 15 应用运维管理(AOM) 应用运维管理 AOM 16 云监控服务 (CES) 云监控服务 CES 17 云运维中心(COC) 云运维中心 COC 用户服务 序号 服务名称 相关文档 1 费用中心 费用中心 2 成本中心
] } } } } 策略键:唯一标识策略语句的策略键。它必须与标签键的值相匹配,除了大小写处理。 标签键:值必须跟策略键一致,但可以有多种大小写形式。如果不指定标签键,则默认为全部小写,即便策略键有大写也会使用全部小写指定。例如策略
拒绝策略需要同时配合其他策略使用,否则没有实际作用。如果没有主动授权某一操作,则系统默认Deny。用户被授予的策略中,一个授权项的作用如果同时存在Allow和Deny,则遵循Deny优先原则。 如果您给用户授予OrganizationsFullAccess的系统策略,但不希望用户拥有OrganizationsF
授予DMS-查询主机网络监控权限。 list - - dws:monitor:listMonitorIndicatorData 授予DMS-查询主机历史监控信息权限。 list - - dws:monitor:listMonitorIndicators 授予DMS-查询性能监控指标权限。 list