检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
请求Header参数 参数 是否必选 参数类型 描述 X-Security-Token 否 String 如果正在使用临时安全凭据,则此header是必需的,该值是临时安全凭据的安全令牌(会话令牌)。 响应参数 状态码: 200 表3 响应Body参数 参数 参数类型 描述 accounts
请求Header参数 参数 是否必选 参数类型 描述 X-Security-Token 否 String 如果正在使用临时安全凭据,则此header是必需的,该值是临时安全凭据的安全令牌(会话令牌)。 表2 请求Body参数 参数 是否必选 参数类型 描述 name 是 String 账号名称
管理与监管 消息通知服务 SMN 云日志服务 LTS 统一身份认证 IAM 安全令牌服务 STS 资源编排服务 RFS IAM身份中心 组织 Organizations 资源访问管理 RAM 企业项目管理 EPS 标签管理服务 TMS 配置审计 Config 访问分析 IAM Access
请求Header参数 参数 是否必选 参数类型 描述 X-Security-Token 否 String 如果正在使用临时安全凭据,则此header是必需的,该值是临时安全凭据的安全令牌(会话令牌)。 响应参数 状态码: 200 表3 响应Body参数 参数 参数类型 描述 handshakes
请求Header参数 参数 是否必选 参数类型 描述 X-Security-Token 否 String 如果正在使用临时安全凭据,则此header是必需的,该值是临时安全凭据的安全令牌(会话令牌)。 响应参数 状态码: 200 表3 响应Body参数 参数 参数类型 描述 handshakes
追踪器(tracker) 数据治理中心(DataArts Studio) 实例(instance) 工作空间(workspace) 数据库安全服务(DBSS) 审计实例(auditInstance) 云专线(DCAAS) 物理连接(directconnect) 全球专线接入网关(gdgw)
一个IAM用户只能查看组织单元。 给管理账号中不同职能部门的员工创建IAM用户,让员工拥有唯一和独立安全凭证访问华为云,并使用Organizations云服务资源,提高账号安全性。 将Organizations云服务资源委托给更专业、高效的其他华为云账号或者云服务,这些华为云账号或者云服务可以根据权限进行代运维。
vpc:securityGroups:create 授予创建安全组权限。 write securityGroup * - - g:EnterpriseProjectId vpc:securityGroups:get 授予查询安全组详情权限。 read securityGroup *
messageCenter:securityMsg:view 可查看和操作安全分类消息。 可查看消息接收配置和语音接收配置信息。 read * - messageCenter:securityMsg:subscribe 可查看消息接收配置和语音接收配置信息。 可修改安全分类相关的消息接收方式。 write * -
elb:security-policies:list 授予查询安全策略的权限。 list securityPolicy * - - g:EnterpriseProjectId elb:security-policies:show 授予获取安全策略详情的权限。 read securityPolicy
职能定义权限的粗粒度授权机制。策略以API接口为粒度进行权限拆分,授权更加精细,可以精确到某个操作、资源和条件,能够满足企业对权限最小化的安全管控要求。 如果您要允许或是禁止某个接口的操作权限,请使用策略。 账号具备所有接口的调用权限,如果使用账号下的IAM用户发起API请求时,
sms:server:getTaskPassphrase 授予查询指定任务ID的安全传输通道的证书passphrase权限 read server g:EnterpriseProjectId sms:server:checkNetwork 授予检查网卡安全组端口是否符合要求权限 read server -
成本中心 Organizations服务中的服务控制策略(Service Control Policy,以下简称SCP)可以使用以下授权项元素设置访问控制策略。 SCP不直接进行授权,只划定权限边界。将SCP绑定到组织单元或者成员账号时,并没有直接对组织单元或成员账号授予操作权限
e 授予安全认证信息更新权限。 write datasourceauth * - dli:datasourceauth:create 授予安全认证信息创建权限。 write datasourceauth * - dli:datasourceauth:delete 授予安全认证信息删除权限。
g:Referer 字符串 指请求携带的HTTP referer header,注意由于该属性是由客户端指定的,故不推荐使用它作为访问控制的安全依赖。 g:RequestedRegion 字符串 指请求的目标区域(Region)。请求的目标云服务是区域级服务时,设置为对应的区域ID
服务控制策略概述 概述 服务控制策略 (Service Control Policy,SCP) 是一种基于组织的访问控制策略。组织管理账号可以使用SCP指定组织中成员账号的权限边界,限制账号内用户的操作。SCP可以关联到组织、OU和成员账号。当SCP关联到组织或OU时,该组织或OU下所有账号均受该策略影响。
DataArtsStudio:instance:configureDataSecurityAdministrator 授予权限以配置数据安全管理员。 Write instance * g:ResourceTag/<tag-key> - DataArtsStudio:instan
g:EnterpriseProjectId g:ResourceTag/<tag-key> css:cluster:modifySecurityGroup 授予权限修改集群安全组。 write cluster * g:EnterpriseProjectId g:ResourceTag/<tag-key> css:configurations:list
应用场景 依据企业业务关系构建云上资源结构 企业拥有多个分公司、部门或者不同的业务应用,通过Organizations服务,企业可以在云上构建符合自身管理和工作方式的多层级资源结构。 图1 依据企业业务关系构建云上资源结构 集中管理企业多个云账号 企业拥有多个华为云账号,企业希望
dds:backup:delete 授予删除备份的权限。 write - - dds:instance:updateSecurityGroup 授予变更实例安全组的权限。 write instance - dds:configuration:listAll 授予查询参数组列表的权限。 list -
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
