检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
云日志服务 LTS Organizations服务中的服务控制策略(Service Control Policy,以下简称SCP)可以使用以下授权项元素设置访问控制策略。 SCP不直接进行授权,只划定权限边界。将SCP绑定到组织单元或者成员账号时,并没有直接对组织单元或成员账号授
SCP原理介绍 SCP分类 SCP按照策略创建者可分为两类,分别是系统策略和自定义策略。 系统策略 华为云服务在组织预置了常用SCP,称为系统策略。组织管理员给组织单元或账号绑定SCP时,可以直接使用这些策略。系统策略只能使用,不能修改。现有的SCP系统策略请参见:SCP系统策略列表。
如果您邀请现有账号或创建新账号加入组织后,Organizations将自动对新的成员账号进行如下更改: Organizations会在成员账号内创建服务关联委托,该委托是云服务委托,委托权限为“OrganizationsServiceLinkedAgencyPolicy”系统权限,授权范围为所有资源。 新加入组织
API的访问。 与其他华为云服务集成:Organizations服务通过和其他华为云服务的集成(可信服务),使用户可以在其他服务上执行组织级别的相关能力。可信服务及其相关能力的具体详情,请参考已对接组织的可信服务。 表1 Organizations云服务功能概览 功能 功能描述 参考链接
参见标签策略。 可信服务 可信服务是指可与Organizations服务集成,提供组织级相关能力的华为云服务。管理账号可以在组织中开启某个云服务为可信服务。成为可信服务后,云服务可以获取组织中的组织单元及成员账号信息,并基于此信息提供组织级的管理能力。如何管理可信服务请参见可信服务管理。
条件键表示SCP语句的Condition元素中的键值。根据适用范围,分为全局级条件键和服务级条件键。 全局级条件键(前缀为g:)适用于所有操作,在鉴权过程中,云服务不需要提供用户身份信息,组织将自动获取并鉴权。详情请参见:全局条件键。 服务级条件键(前缀为服务缩写,如DDS:)仅适用于对应服务的操作,详情请参见表4。
等。支持的全部操作请参见API概览。 在调用Organizations云服务API之前,请确保已经充分了解组织的相关概念,详细信息请参见什么是Organizations云服务。 Organizations云服务提供了REST(Representational State Tran
] } } } ] } 禁止根用户使用除IAM之外的云服务 使用以下SCP禁止根用户使用除IAM之外的云服务。 { "Version": "5.0", "Statement": [ { "Effect":
条件键表示SCP语句的Condition元素中的键值。根据适用范围,分为全局级条件键和服务级条件键。 全局级条件键(前缀为g:)适用于所有操作,在鉴权过程中,云服务不需要提供用户身份信息,系统将自动获取并鉴权。详情请参见:全局条件键。 服务级条件键(前缀通常为服务缩写,如bms:)仅适用于对应服务的操作,详情请参见表4。
微服务引擎 CSE Organizations服务中的服务控制策略(Service Control Policies,以下简称SCP)也可以使用这些授权项元素设置访问控制策略。 SCP不直接进行授权,只划定权限边界。将SCP绑定到组织单元或者成员账号时,并没有直接对组织单元或成员
进入可信服务页,在列表中单击云服务操作列的“设置委托管理员”。 在弹窗中选择要设置为委托管理员的账号,单击“确定”,完成委托管理员设置。 图1 设置委托管理员 查看委托管理员 以组织管理员或管理账号的身份登录管理控制台,进入Organizations控制台。 进入可信服务页,在列表中单击云服务操作列的“查看委托管理员”。
MapReduce服务 MRS Organizations服务中的服务控制策略(Service Control Policy,以下简称SCP)可以使用以下授权项元素设置访问控制策略。 SCP不直接进行授权,只划定权限边界。将SCP绑定到组织单元或者成员账号时,并没有直接对组织单元
创建账号 功能介绍 创建一个账号,生成的账号将自动成为调用此接口的账号所属组织的成员。此操作只能由组织的管理账号调用。组织云服务将在新账号中创建所需的服务关联委托和账号访问委托。 调试 您可以在API Explorer中调试该接口,支持自动认证鉴权。API Explorer可以自
登录华为云,进入华为云Organizations控制台。 开通Organizations云服务。进入开通页,单击“立即开通”。 图1 开通Organizations云服务 开通Organizations云服务后,系统会自动创建组织和根组织单元,并将开通服务的账号设置为管理账号。 现在,您
g:ResourceTag/<tag-key> g:EnterpriseProjectId dws:cluster:closeAccessLts 授予关闭云服务日志操作权限。 write cluster * g:ResourceTag/<tag-key> g:EnterpriseProjectId
chTaskLog 授予批量获取迁移日志的权限。 list - - drs:migrationJob:getCountdown 授予查询云服务倒计时信息的权限。 list - - drs:migrationJob:getDrsJobByRdsInstanceId 授予查询rds实例相关的迁移任务的权限。
使用Organizations管理多账号 操作场景 组织(以下简称Organizations)云服务为企业用户提供多账号关系的管理能力。当您的企业拥有多个分公司、部门或者不同的业务应用,通过Organizations服务,企业可以在云上构建符合自身管理和工作方式的多层级资源结构,
条件键表示SCP语句的Condition元素中的键值。根据适用范围,分为全局级条件键和服务级条件键。 全局级条件键(前缀为g:)适用于所有操作,在鉴权过程中,云服务不需要提供用户身份信息,系统将自动获取并鉴权。 详情请参见:全局条件键。 服务级条件键(前缀通常为服务缩写,如dcs:)仅适用于对应服务的操作,详情请参见表4。
条件键表示SCP语句的Condition元素中的键值。根据适用范围,分为全局级条件键和服务级条件键。 全局级条件键(前缀为g:)适用于所有操作,在鉴权过程中,云服务不需要提供用户身份信息,系统将自动获取并鉴权。详情请参见:全局条件键。 服务级条件键(前缀通常为服务缩写,如sfsturbo:)仅适用于对应服务的操作,详情请参见表4。
对象存储迁移服务 OMS Organizations服务中的服务控制策略(Service Control Policy,以下简称SCP)可以使用以下授权项元素设置访问控制策略。 SCP不直接进行授权,只划定权限边界。将SCP绑定到组织单元或者成员账号时,并没有直接对组织单元或成员
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
