检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
elb:flavors:list 授予查询规格详情列表的权限。 list flavor * - elb:quotas:list 授予查询配额列表的权限。 list - - elb:quotas:show 授予查询可以创建指定类型资源的最大数量的权限。 read - - elb:availability-zones:list
ete 授予权限以删除资源标签。 write - - tms:resources:list 授予权限以查询资源列表。 list - - tms:tagKeys:list 授予权限以查询标签key列表。 list - - tms:tagValues:list 授予权限以查询标签values列表。
est 授予权限以进行倒换测试。 write vif * - dcaas:vif:listSwitchoverTestRecord 授予权限以获取倒换测试执行记录。 list vif * - dcaas:vif:getSwitchoverTestRecord 授予权限以获取单条倒换测试执行记录。
cts:trace:list 授予查询审计事件权限。 list - - cts:tracker:create 授予创建追踪器的权限。 write - - cts:tracker:list 授予查询追踪器权限。 list - - cts:tracker:update 授予更新追踪器的权限。 write tracker
e 授予权限以创建流水线模板。 write - - codeartspipeline:pipelinetemplate:update 授予权限以更新流水线模板。 write - - codeartspipeline:pipelinetemplate:delete 授予权限以删除流水线模板。
Policy,以下简称SCP)可以使用以下授权项元素设置访问控制策略。 SCP不直接进行授权,只划定权限边界。将SCP绑定到组织单元或者成员账号时,并没有直接对组织单元或成员账号授予操作权限,而是规定了成员账号或组织单元包含的成员账号的授权范围。 本章节介绍组织服务中SCP使用的元素,
Policy,以下简称SCP)可以使用以下授权项元素设置访问控制策略。 SCP不直接进行授权,只划定权限边界。将SCP绑定到组织单元或者成员账号时,并没有直接对组织单元或成员账号授予操作权限,而是规定了成员账号或组织单元包含的成员账号的授权范围。 本章节介绍组织服务中SCP使用的元素,
授予解封IP的权限。 write - - cnad:blockade:list 授予查询封堵记录列表的权限。 list - - cnad:blockade:get 授予查询封堵记录的权限。 read - - cnad:alarmConfig:update 授予修改告警通知的权限。 write
evs:recycle_policy:get 授予查询回收站策略的权限。 read - - evs:recycle_policy:update 授予更新回收站策略的权限。 write - - evs:volumes:changeChargeMode 授予变更云硬盘计费模式的权限。 write volume *
授予查询弹性文件系统权限规则列表的权限。 list shares * g:ResourceTag/<tag-key> g:EnterpriseProjectId sfsturbo:shares:showPermRule 授予查询弹性文件系统权限规则详情的权限。 read shares
sms:template:list 授予查询模板列表权限 list template - sms:template:create 授予新增模板信息权限 write template - sms:template:batchDelete 授予批量删除指定ID的模板权限 write template -
范围内的权限才能生效。SCP禁止的权限操作,即便授予IAM用户权限,用户也不能执行相关操作。 比如成员账号A绑定了某一条SCP,SCP允许操作A的权限,拒绝操作B的权限。那么成员账号A可以给自己名下的IAM用户授予操作A的权限,不能授予操作B的权限,即便授予了操作B的权限,也无法生效。
前更多的权限。当组织已启用可信服务,成员账号离开组织后将无法再使用该服务与组织集成的相关功能。 当成员账号离开组织时,所有附加到该账号的标签都将被删除。 移除账号 登录组织的管理账号后,您可以从组织中移除不再需要的成员账号,步骤如下。注意,以下步骤仅适用于移除成员账号,要移除管理账号,您必须删除组织。
创建账号,并根据企业的管理或工作方式将账号进行分层分组。 集中控制每个账号可执行的操作:管理员通过使用服务控制策略,为组织或者组织单元设置权限边界,阻止组织内的成员账号对相应服务的控制台或API的访问。 与其他华为云服务集成:Organizations服务通过和其他华为云服务的集
约束与限制 使用约束 使用Organizations云服务之前,需要先开启企业中心服务。 只能使用企业中心的主账号创建组织。 组织的管理账号无法邀请与自身不同类型的账号加入组织。例如中国站的组织管理账号无法邀请国际站账号,国际站的组织管理账号也无法邀请中国站账号。 功能规格 表1
查看账号记录 服务控制策略管理 服务控制策略介绍 启用和禁用SCP 创建SCP 修改和删除SCP 绑定和解绑SCP SCP示例 SCP系统策略列表 支持SCP的云服务 支持SCP的区域 SCP授权参考 标签策略管理 标签策略概述 标签策略语法 启用和禁用标签策略 创建标签策略 查看有效标签策略
服务控制策略 (Service Control Policy,SCP) 是一种基于组织的访问控制策略。组织管理账号可以使用SCP指定组织中成员账号的权限边界,限制账号内用户的操作。服务策略可以关联到组织、组织单元和成员账号。当服务策略关联到组织或组织单元时,该组织或组织单元下所有账号受到该
启用可信服务 功能介绍 启用服务(由service_principal指定的服务)与组织的集成。启用可信服务后,允许指定的可信服务对组织中的所有账号创建服务关联委托。这允许可信服务代表您在组织及其账号中执行操作。此接口只能由组织的管理账号调用。 调试 您可以在API Explor
启用和禁用标签策略 只有组织管理账号才可以启用或禁用标签策略,委托管理员无法执行此操作。 启用标签策略 在创建标签策略并将其附加到组织单元和账号之前,必须先启用标签策略,且只能使用组织的管理账号启用标签策略。 以组织管理员或管理账号的身份登录管理控制台,进入Organizations控制台。
汇聚将会继续获取成员账号的日志数据。 启用可信服务 以组织管理员或管理账号的身份登录管理控制台,进入Organizations控制台。 进入可信服务页,在列表中单击云服务操作列的“启用”。 在弹窗中单击“确定”,完成可信服务启用。 图1 启用可信服务 禁用可信服务 登录到组织的管
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
