检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
objects 要附加到新创建的策略的标签列表。 表3 TagDto 参数 是否必选 参数类型 描述 key 是 String 标签键的密钥标识符或名称。 value 是 String 与标签键关联的字符串值。您可以将标签的值设置为空字符串,但不能将标签的值设置为NULL。 响应参数 状态码:
objects 要添加到指定资源的标签列表。 表4 TagDto 参数 是否必选 参数类型 描述 key 是 String 标签键的密钥标识符或名称。 value 是 String 与标签键关联的字符串值。您可以将标签的值设置为空字符串,但不能将标签的值设置为NULL。 响应参数 无 请求示例
objects 要附加到新创建的组织单元的标签列表。 表3 tags 参数 是否必选 参数类型 描述 key 是 string 标签键的密钥标识符或名称。 value 是 string 与标签键关联的字符串值。您可以将标签的值设置为空字符串,但不能将标签的值设置为NULL。 响应参数 状态码:
务为企业用户提供多账号关系的管理能力。当您的企业拥有多个分公司、部门或者不同的业务应用,通过Organizations服务,企业可以在云上构建符合自身管理和工作方式的多层级资源结构,同时将多个分散的华为云账号,纳入到构建的多层级组织单元中,实现对多账号的集中和结构化管理。 本章节
delegation_enabled_at String 将账号设置为委托管理员的日期。 account_id String 账号的唯一标识符(ID)。 account_urn String 账号的统一资源名称。 join_method String 账号加入组织的方式,invited:邀请加入,created:创建加入。
标签以键值对的形式表示,用于标识账号,便于对账号进行分类和搜索。一个账号最多添加20个标签。 标签的设置说明如表1所示。 表1 标签说明 参数 说明 举例 键 输入标签的键,同一个账号标签的键不能重复。键可以自定义,也可以选择预先在标签管理服务(TMS)创建好的标签的键。 键命名规则如下:
如果正在使用临时安全凭据,则此header是必需的,该值是临时安全凭据的安全令牌(会话令牌)。 表2 请求Body参数 参数 是否必选 参数类型 描述 target 是 TargetDto object 要邀请加入组织的账号的标识符(ID)。 notes 是 String 给收件账号所有者的邮件中的附加信息。 tags
之后才会彻底注销。 约束与限制 只有创建的账号才可以关闭,无法关闭邀请的账号。 创建的账号如已转为云账号则无法关闭。 已设置为委托管理员的账号无法关闭,如需关闭请先取消委托管理员。 管理账号在30天内仅可以关闭组织中10%的成员账号,最多支持关闭200个成员账号,最多可以同时关闭3个成员账号。
禁用根中的策略类型 禁用根中的策略类型。只有在根中启用了特定类型的策略,才能将该类型的策略绑定到根中的实体。执行此操作后,您不能再将指定类型的策略绑定到该根或该根中的任何组织单元或账号。这是在后台执行的异步请求。您可以使用ListRoots查看指定根的策略类型的状态。此操作只能由组织的管理账号调用。
标签以键值对的形式表示,用于标识账号,便于对账号进行分类和搜索。一个账号最多添加20个标签。 标签的设置说明如表1所示。 表1 标签说明 参数 说明 举例 键 输入标签的键,同一个账号标签的键不能重复。键可以自定义,也可以选择预先在标签管理服务(TMS)创建好的标签的键。 键命名规则如下:
禁用服务(由service_principal指定的服务)与组织的集成。禁用可信服务后,指定服务将不可以在组织中的新账号中创建服务关联委托。这意味着该服务无法代表您对组织中的任何新账号执行操作。在服务完成从组织中的清理之前,服务仍可以在旧账号中执行操作。此接口只能由组织的管理账号调用。 调试 您可以在API
启用和禁用可信服务 组织管理员禁用某个云服务的可信访问后,此云服务便不能给成员账号创建此服务的服务关联委托。 组织管理员关闭组织或成员账号离开组织后,Organizations服务会清理掉本服务的服务关联委托。 禁用AOM可信服务前,请先在AOM界面删除多账号实例,然后再在Org
启用可信服务 功能介绍 启用服务(由service_principal指定的服务)与组织的集成。启用可信服务后,允许指定的可信服务对组织中的所有账号创建服务关联委托。这允许可信服务代表您在组织及其账号中执行操作。此接口只能由组织的管理账号调用。 调试 您可以在API Explorer中调试该接口,支持自动认证鉴权。API
organization. 组织的管理账号或管理员账号不能离开组织 请检查离开组织的账号是否是组织的管理账号或管理员账号。 400 Organizations.1305 Quota exceeded for account. 组织中的账号超出配额 请检查组织中的账号是否超出配额。 409
对应API接口:自定义策略实际调用的API接口。 授权项:自定义策略中支持的Action,在自定义策略中的Action中写入授权项,可以实现授权项对应的权限功能。 依赖的授权项:部分Action存在对其他Action的依赖,需要将依赖的Action同时写入授权项,才能实现对应的权限功能。 IAM
中所述任务的权限,相当于云服务能力在多账号组织场景下的拓展。目前支持的可信服务请参见:已对接组织的可信服务列表。 委托管理员账号 委托管理员账号是一个组织中有特殊权限的成员账号。管理账号可指定某个成员账号成为某个可信服务的委托管理员账号。成为委托管理员账号后,该账号下的用户可以使用对应可信服务的组织级管理能力。
注册作为服务委托管理员 功能介绍 指定成员账号能够管理指定服务的组织功能。此接口授予委托管理员对组织服务数据的只读访问权限。委托管理员账号中的IAM用户仍需要IAM权限才能访问和管理服务。此操作只能由组织的管理账号调用。 调试 您可以在API Explorer中调试该接口,支持自动认证鉴权。API
为防止资源滥用,平台限定了各服务资源的配额,对用户的资源数量和容量做了限制。如您最多可以创建多少个组织单元、邀请多少成员账号等。 如果当前资源配额限制无法满足使用需要,您可以申请扩大配额。 怎样查看我的配额? 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 在页面右上角,选择“资源 > 我的配额”。
开启企业中心服务。 只能使用企业中心的主账号创建组织。 组织的管理账号无法邀请与自身不同类型的账号加入组织。例如中国站的组织管理账号无法邀请国际站账号,国际站的组织管理账号也无法邀请中国站账号。 功能规格 表1 Organizations服务的约束与限制 规格项 默认配额 申请更多配额
新加入组织的成员账号权限将会受到服务控制策略和标签策略的影响。附加到根或包含新的成员账号的OU上的服务控制策略和标签策略,将应用到新的成员账号和成员账号名下的所有IAM用户中。 管理账号开启可信服务时,支持成员账号内部创建对应可信服务的服务关联委托。 本章将为您介绍如下内容,以帮助您管理组织中的账号: 邀请账号加入
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
