检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
离开当前组织 功能介绍 此操作只能由组织的成员账号调用。只有当组织账号配置了作为独立账号运行所需的信息时,您才能作为成员账号离开组织。要离开的账号不能是组织启用的任何服务的委托管理员账号。 调试 您可以在API Explorer中调试该接口,支持自动认证鉴权。API Explor
可信服务的委托管理员。否则多账号实例将会继续获取成员账号的指标数据。 取消LTS可信服务的委托管理员前,请先在LTS界面删除多账号日志汇聚配置,然后再在Organizations控制台界面取消LTS可信服务的委托管理员。否则多账号日志汇聚将会继续汇聚成员账号的日志数据。 添加委托管理员
非您将其替换为具有允许操作的自定义策略,否则不应解绑该策略。当您确定需要解绑“FullAccess”并且配置具有允许操作的自定义策略时,除配置业务需要的授权项外,必须额外配置iamToken::*和signin::*。 如果解绑Root的“FullAccess”策略,则整个组织内
移除指定的账号 功能介绍 从组织中移除指定的账号。移除的账号将成为一个独立账号,该账号不是任何组织的成员。此操作只能由组织的管理账号调用。只有当账号配置了作为独立账号运行所需的信息时,您才能从组织中移除账号。注意,要移除的账号不能是组织启用的任何服务的委托管理员账号。 调试 您可以在API
ist 授予查询Anti-DDoS配置可选范围权限。 list - - anti-ddos:logConfig:update 授予更新云日志服务配置权限。 write - - anti-ddos:logConfig:get 授予查询云日志服务配置权限。 read - - anti
资源编排服务 RFS IAM身份中心 组织 Organizations 资源访问管理 RAM 企业项目管理 EPS 标签管理服务 TMS 配置审计 Config 访问分析 IAM Access Analyzer 云审计服务 CTS 资源治理中心 RGC 应用运维管理 AOM 云监控服务
mConfig 授予权限以配置告警信息。 write dbss:<region>:<account-id>:auditInstance:<instance-id> - dbss:auditInstance:configAlarmEmail 授予权限以配置告警邮件信息。 write
A作为管理账号,对下属部门的账号进行管理。管理诉求有: 对标公司组织架构,对下属账号进行分组,进行结构化管理。 实现账号的权限管理,比如只有研发部下的成员账号可以使用“配置审计Config”添加和删除资源合规规则。
rs 授予查询任务的参数配置列表信息。 list job g:EnterpriseProjectId g:ResourceTag/<tag-key> drs:configuration:getJobParametersHistory 授予查询任务的参数配置修改历史。 list job
Organizations服务可以主动拦截不符合要求的行为,预防违规行为发生。 图3 使用策略管控各账号行为 提供多种企业级的治理能力 配置审计 Config等多个云服务与Organizations服务集成,为客户提供在同一资源架构下集中式的资源审计、操作审计、多业务共享资源等企业级能力。
只能在账号自己的事件列表页面去查看,或者到组织追踪器配置的OBS桶中查看,也可以到组织追踪器配置的CTS/system日志流下面去查看。 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录,您必须配置转储到对象存储服务(OBS)或云日志服务(LTS),
ns控制台界面禁用AOM可信服务。否则多账号实例将会继续获取成员账号的指标数据。 禁用LTS可信服务前,请先在LTS界面删除多账号日志汇聚配置,然后再在Organizations控制台界面禁用LTS可信服务。否则多账号日志汇聚将会继续获取成员账号的日志数据。 启用可信服务 以组织
e 授予创建弹性伸缩配置的权限。 write - - as:scalingConfig:delete 授予删除弹性伸缩配置的权限。 write scalingConfig* - as:scalingConfig:batchDelete 授予批量删除弹性伸缩配置的权限。 write
aad:dashboard:delete 授予删除报表日志配置的权限。 write - - aad:dashboard:get 授予获取报表数据和日志配置的权限。 read - - aad:dashboard:set 授予修改报表日志配置的权限。 write - - aad:domain:create
privateTemplate * - rf:stack:create 授予权限创建堆栈。 write stack * - rf:stack:deploy 授予权限部署堆栈。 write stack * - rf:stack:list 授予权限查询堆栈列表。 list stack * - rf:stack:getMetadata
资源类型(*为必须) 条件键 cse:config:upload 授予上传微服务配置权限 write - g:EnterpriseProjectId cse:config:download 授予下载微服务配置权限 write - g:EnterpriseProjectId cse:namespace:list
- - waf:alert:get 授予查询告警通知的配置的权限。 list - - waf:alert:put 授予更新告警通知配置的权限。 write - - waf:consoleConfig:get 授予查询页面配置信息的权限。 read - - WAF的API通常对应着
Zone可更新状态的权限。 read - - rgc:landingZoneConfiguration:get 授予获取Landing Zone配置信息的权限。 read - - rgc:landingZoneIdentityCenter:get 授予获取当前客户的Identity Center用户信息的权限。
onfiguration 授予用户查看应用配置权限 read app g:ResourceTag g:EnterpriseProjectId servicestage:app:deleteConfiguration 授予用户删除应用配置权限 write app g:EnterpriseProjectId
SCP的Resource元素中使用通配符号*,表示SCP将应用到所有资源。 条件(Condition) 账号中心不支持在SCP中的条件键中配置服务级的条件键。账号中心可以使用适用于所有服务的全局条件键,请参考全局条件键。 父主题: 用户服务
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
