云服务器内容精选
-
SCP分类 SCP按照策略创建者可分为两类,分别是系统策略和自定义策略。 系统策略 华为云服务在组织预置了常用SCP,称为系统策略。组织管理员给组织单元或账号绑定SCP时,可以直接使用这些策略。系统策略只能使用,不能修改。如需查看所有云服务的华为云系统策略,请参见:SCP系统策略列表。 自定义策略 如果系统策略无法满足授权要求,管理账号可以根据各服务支持的授权项,自行创建和修改自定义策略。自定义策略是对系统策略的扩展和补充。目前Organizations云服务支持策略编辑器和JSON视图两种自定义策略配置方式。
-
权限控制原理 划定权限边界 SCP不直接进行授权,只划定权限边界。将SCP绑定到组织单元或者成员账号时,并没有直接对组织单元或成员账号授予操作权限,而是规定了成员账号或组织单元包含的成员账号的授权范围。IAM策略授予权限的有效性受SCP限制,只有在SCP允许范围内的权限才能生效。SCP禁止的权限操作,即便授予IAM用户权限,用户也不能执行相关操作。 比如成员账号A绑定了某一条SCP,SCP允许操作A的权限,拒绝操作B的权限。那么成员账号A可以给自己名下的IAM用户授予操作A的权限,不能授予操作B的权限,即便授予了操作B的权限,也无法生效。 交集有效 权限边界的叠加遵从交集有效准则,父OU的SCP与子OU(或账号)的SCP共同允许的权限,作为子OU的最终权限边界。 如下图所示,左侧的椭圆表示附加到父OU的SCP,它允许权限A、B和C。右侧椭圆表示子OU(或账号)绑定SCP允许的权限,子OU(或账号)允许权限C、D和E。由于附加到父OU的SCP不允许D或E,因此父OU下的所有子OU和账号都不能使用它们,即使子OU的SCP明确允许D和E,它们最终仍然会被父OU的SCP阻止。子OU(或账号)的SCP不允许A或B,因此, 子OU(或账号)将阻止这些权限。最终,子OU的权限是父OU权限和子OU(或账号)绑定SCP的权限交集,即下图中的权限C。 如果椭圆右侧是一个成员账号,则交集是授予该账号中的用户和用户组的最大权限集合。如果椭圆右侧是OU,则交集是该子OU可继承的最大权限集合。 图1 SCP原理图 筛选继承 组织单元或账号绑定的SCP包括两部分,直接绑定的策略和继承的策略。某组织单元绑定的SCP,会继承给该组织单元下的所有子级OU和账号。账号和组织单元的权限边界,由所有上级OU的SCP和自身直接绑定的SCP共同决定。如下图所示,Account y隶属于OU3,Account y的权限边界是由继承自Root,OU1和OU3的SCP与Account y绑定的SCP共同决定。 图2 SCP继承规则 如果要在成员账号级别允许使用某个云服务的操作,则必须在账号和根组织单元之间的每个层级上允许该操作。这意味着,必须在根组织单元和账号之间的每个层级,附加允许该操作的SCP。您可以使用下列任一策略执行此操作: 添加拒绝策略。拒绝策略会使用默认附加到每个OU和账号上的FullAccess SCP。此SCP将覆盖默认的隐式Deny,并明确允许所有权限从根组织单元传递到每个账号,除非创建并附加到相应OU或账号的其他SCP明确了拒绝权限。策略中的显式Deny始终优先于Allow。具有拒绝策略的OU层级以下的任何账号都不能使用被拒绝的操作,也无法在组织结构中较低的层级中添加该权限。 添加允许策略。添加允许策略并删除默认附加到每个OU和账号的FullAccess SCP后,除非策略中明确允许,否则任何OU和账号都不允许任何操作权限。要允许使用某个云服务的操作,必须创建SCP并将它们附加到账号及其层级之上的每个OU,直至附加到根组织单元为止(包括根组织单元)。层次结构中的每个SCP(从根组织单元开始)必须明确允许在OU及其下面的账号中使用该操作。SCP中的显式Allow会覆盖隐式Deny。 拒绝优先 当组织单元和账号绑定多条SCP时,账号权限优先遵从拒绝语句。比如成员账号A同时绑定了两条SCP,分别是允许全部操作和禁止查看账单操作。此时执行查看账单操作,鉴权规则会优先遵从拒绝操作,即成员账号A不能查看账单。详细说明请参考显式拒绝和隐式拒绝的区别。 默认允许 组织启用SCP时,默认会为所有OU和账号附加全部权限(FullAccess策略),默认允许所有操作。除非您为OU或账号附加其他的明确拒绝策略。
-
显式拒绝和隐式拒绝的区别 Effect(效果)包含两种:Allow(允许)和Deny(拒绝),分别表示允许或拒绝执行某操作的权限。 当没有策略设置权限为Allow和Deny时,默认情况即为Deny权限,称为隐式拒绝。当有策略授权Allow权限,且没有其他策略Deny该权限时,Allow的权限才能生效。 如果策略设置权限为Deny,则为显式拒绝。显式的Deny始终优先于Allow。例如,父OU的SCP,它允许权限A、B和C,但是子OU的SCP允许权限A、B,拒绝权限C,则该子OU的账号以及以下层级的账号,均无法使用权限C。 用户在发起访问请求时,鉴权规则如下: 图3 系统鉴权逻辑图 用户发起访问请求。 系统优先寻找Deny指令。如果找到一个适用的Deny指令,系统将返回Deny决定。 如果没有找到Deny指令,系统将寻找适用于请求的任何Allow指令。如果找到一个Allow指令,系统将返回Allow决定。 如果找不到Allow指令,最终决定为Deny,鉴权结束。
-
服务关联委托 Organizations使用IAM服务的委托信任功能,使可信服务能够在您组织的成员账号中代表您执行任务。当您启用某个服务为可信服务时,该服务可以请求Organizations在其成员账号中创建服务关联委托,可信服务按需异步执行此操作。此服务关联委托具有预定义的IAM权限,允许可信服务在成员账号中拥有执行可信服务文档中所述任务的权限,相当于云服务能力在多账号组织场景下的拓展。当前支持的可信服务及其功能简介请参见:已对接组织的可信服务。 当您在组织中创建账号或邀请现有账号加入组织时,Organizations会在成员账号内创建服务关联委托,该委托是云服务委托,委托权限为“OrganizationsServiceLinkedAgencyPolicy”系统权限,授权范围为所有资源。仅Organizations服务本身可以承担此委托,该委托具有允许Organizations为其他云服务创建服务关联委托的权限。 Organizations的SCP不会影响服务关联委托,使用服务关联委托执行的任何操作将免受SCP限制。
-
什么是可信服务 可信服务是指可与Organizations服务集成,提供组织级相关能力的华为云服务。管理账号可以在组织中开启某个云服务为可信服务。成为可信服务后,云服务可以获取组织中的组织单元及成员账号信息,并基于此信息提供组织级的管理能力。例如,开启CTS云审计为可信服务后,CTS可以获取组织单元及成员账号信息,统一为整个组织提供云审计服务,记录组织中所有账号的操作。能与组织搭配使用的云服务列表参见:已对接组织的云服务列表。
-
修改OU标签 添加OU标签 以组织管理员或管理账号的身份登录华为云,进入华为云Organizations控制台,进入组织管理页面。 选中要修改的OU,在右侧的组织单元信息页,选择“标签”页签,单击“添加”。 图2 添加组织单元标签 在弹窗中,填写标签键和标签值,单击“添加”。可重复本步骤添加多个标签,已添加的标签总数不能超过20个。 图3 添加标签 单击“确定”,完成标签添加。 删除OU标签 以组织管理员或管理账号的身份登录华为云,进入华为云Organizations控制台,进入组织管理页面。 选中要修改的OU,在右侧的组织单元信息页,选择“标签”页签。 单击标签操作列的“删除”,在弹窗中单击“确定”,完成标签删除。 图4 删除标签 修改OU标签键值 以组织管理员或管理账号的身份登录华为云,进入华为云Organizations控制台,进入组织管理页面。 选中要修改的OU,在右侧的组织单元信息页,选择“标签”页签。 单击标签操作列的“编辑”,在弹窗中填写新的标签值,单击“确定”完成标签的修改。 图5 修改标签
-
修改OU策略 绑定策略 以组织管理员或管理账号的身份登录华为云,进入华为云Organizations控制台,进入组织管理页面。 选中要修改的OU,在右侧的组织单元信息页,选择“策略”页签。 选择要修改的策略类型,此处以“服务控制策略”为例,单击服务控制策略前方的,展开策略列表,单击“绑定”。 图6 绑定策略 在弹窗中选择要添加的策略,单击“绑定”,完成策略绑定。 图7 完成绑定 解绑策略 以组织管理员或管理账号的身份登录华为云,进入华为云Organizations控制台,进入组织管理页面。 选中要修改的OU,在右侧的组织单元信息页,选择“策略”页签。 选择要修改的策略类型,此处以“服务控制策略”为例,单击服务控制策略前方的,展开策略列表。 单击要解绑策略操作列的“解绑”,在弹窗中单击“确认”,完成策略解绑。 图8 解绑策略
-
JSON视图创建SCP 以组织管理员或管理账号的身份登录华为云,进入华为云Organizations控制台。 进入策略管理页,单击“服务控制策略”,进入SCP管理页。 图1 进入SCP管理页 单击“创建”,进入SCP创建页面。 图2 创建策略 输入策略名称。新创建的策略名称不能与已有策略名称重复。 (可选)输入策略描述。 在策略内容左侧可以直接编写JSON格式的策略内容。 关于如何编写JSON格式的策略语句可参考SCP语法介绍和SCP示例。 自定义策略版本号(Version)固定为5.0,不可修改。 当作用(Effect)为Allow时,不能有Condition元素,即无法添加条件键。 在策略内容右侧可以使用策略编辑器进行编辑自定义策略的操作、资源和条件。 添加操作:单击“+”号,可以选择服务的操作项进行添加,添加成功的操作项会自动显示在Action元素下。如图3所示。 图3 添加操作 添加资源:仅支持资源级授权的服务可添加。单击“+”号,选择操作对应的服务,在选择资源类型,根据实际情况填写URN。如图4所示。 图4 添加资源 添加条件(可选):单击“+”号,添加条件键和运算符,规定策略生效的条件。如图5所示。 图5 添加条件 (可选)单击“添加新语句”,可添加Statement元素的对象。 Statement元素的值可以是多个对象组成的数组,表示不同的权限约束。 图6 添加新语句 (可选)为策略添加标签。在标签栏目下,输入标签键和标签值,单击“添加”。 图7 为SCP添加标签 单击右下角“保存”后,系统会自动校验语法,如跳转到策略列表,则SCP创建成功;如系统提示策略内容有误,则请按照语法规范进行修改。
-
条件(Condition) 条件(Condition)是SCP生效的特定条件,包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围,分为全局级条件键和服务级条件键。 全局级条件键(前缀为g:)适用于所有操作,在鉴权过程中,云服务不需要提供用户身份信息,系统将自动获取并鉴权。详情请参见:全局条件键。 服务级条件键(前缀通常为服务缩写,如cce:)仅适用于对应服务的操作,详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值,多值条件键在API调用时请求可以包含多个值。例如:g:SourceVpce是单值条件键,表示仅允许通过某个VPC终端节点发起请求访问某资源,一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键,表示请求中携带的所有标签的key组成的列表,当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句,当请求信息满足该条件时,SCP才能生效。支持的运算符请参见:运算符。 CCE定义了以下可以在SCP的Condition元素中使用的条件键,您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 CCE支持的服务级条件键 服务级条件键 类型 单值/多值 说明 cce:ClusterId string 单值 按照在请求中传递的集群ID筛选访问权限。 cce:nodeTransferSourceCluster string 单值 按照节点迁移的源集群ID筛选访问权限。 cce:nodeTransferTargetCluster string 单值 按照节点迁移的目的集群ID筛选访问权限。
-
解绑标签策略 方式一: 以组织管理员或管理账号的身份登录华为云,进入华为云Organizations控制台,进入组织管理页面。 选中要解绑标签策略的OU或者账号。 在右侧详情页,选策略页签,展开“标签策略”列表,在列表中单击要解绑的标签策略操作列的“解绑”。 图3 解绑标签策略 在弹窗中单击“解绑”,完成策略解绑。 方式二: 在Organizations控制台,进入策略管理页。 单击“标签策略”,进入标签策略列表。 单击标签策略的名称,选择“目标”页签。 单击需要解绑的OU或账号操作列的“解绑”。 图4 解绑标签策略 单击“确认”,完成策略解绑。
-
绑定标签策略 方式一: 以组织管理员或管理账号的身份登录华为云,进入华为云Organizations控制台,进入组织管理页面。 选中要绑定标签策略的OU或者账号。 在右侧详情页,选择策略页签。展开“标签策略”列表,单击列表上方的“绑定”。 图1 绑定标签策略 在弹窗中选择要添加的策略后,单击“绑定”,完成策略绑定。 方式二: 在Organizations控制台,进入策略管理页。 单击“标签策略”,进入标签策略列表。 单击标签策略操作列的“绑定”,选中要绑定标签策略的OU或者账号。 图2 绑定标签策略 单击“确定”,完成策略绑定。
-
查看账号列表 以组织管理员或管理账号的身份登录华为云,进入华为云Organizations控制台。 进入账号管理页,选择“账号列表”页签。 在列表中可查看组织中的全部账号及其相关信息。 图1 查看账号列表 在列表中单击账号名,可查看账号的详细信息。 在列表中的操作列,可对账号进行移动、移除、关闭操作。 邀请加入组织的账号可执行移动和移除操作,在组织中创建的账号可执行移动和关闭操作。 在列表左上方单击“添加”,可进行邀请现有账号和创建新账号加入组织的操作。 图2 账号相关操作
-
条件(Condition) 条件(Condition)是SCP生效的特定条件,包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围,分为全局级条件键和服务级条件键。 全局级条件键(前缀为g:)适用于所有操作,在鉴权过程中,云服务不需要提供用户身份信息,系统将自动获取并鉴权。详情请参见:全局条件键。 服务级条件键(前缀为服务缩写,如ims:)仅适用于对应服务的操作,详情请参见表3。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值,多值条件键在API调用时请求可以包含多个值。例如:g:SourceVpce是单值条件键,表示仅允许通过某个VPC终端节点发起请求访问某资源,一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键,表示请求中携带的所有标签的key组成的列表,当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句,当请求信息满足该条件时,SCP才能生效。支持的运算符请参见:运算符。 IMS定义了以下可以在SCP的Condition元素中使用的条件键,您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 ims支持的服务级条件键 服务级条件键 类型 单值/多值 说明 ims:TargetOrgPaths string 多值 根据指定的共享账号的 Organizations Path 过滤访问。 ims:Encrypted boolean 单值 根据镜像是否加密对镜像导入和复制等操作进行控制。 ims:TargetBucketOrgPaths string 多值 根据指定的目标桶owner账号的 Organizations Path 过滤访问。 ims:OriginBucketOrgPaths string 多值 根据指定的源桶owner账号账号的 Organizations Path 过滤访问。
-
操作步骤 以组织管理员或管理账号的身份登录华为云,进入华为云Organizations控制台。 在组织中启用标签策略。 创建标签策略。 首次使用建议创建一个简单的标签策略,例如: 定义标签键为“ABC”。 使用标签键的大小写形式来定义合规性,也就是说为资源添加的标签的键为“ABC”则符合规范,添加“abc”、“Abc”等其他大小写形式的标签则为不合规,标签策略将阻止不合规标签的添加操作。 添加执行标签策略的资源类型,例如云监控服务的告警规则(ces:alarm),表示此标签策略仅对组织成员账号这一资源类型生效。当前支持标签策略的云服务和资源类型请参见:支持标签策略的云服务。 当您为此资源添加不合规的标签时,标签策略将阻止此操作,您必须将标签修改至符合标签策略规范才可以添加成功。 图1 创建标签策略 将创建的标签策略绑定至一个资源较少的可用于测试的成员账号中,具体请参见绑定标签策略。 图2 绑定标签策略 使用此成员账号登录华为云,进入云监控服务控制台,创建告警规则并为其添加标签,验证标签策略是否生效。 为告警规则添加标签“ABC”,标签添加成功。 为告警规则添加标签“abc”,界面提示此标签校验不合规,需修改后再次提交,表示标签策略已生效且验证无误。 图3 添加不合规标签 当您在创建资源时添加不合规的标签,标签策略将阻止标签添加操作,同时资源也无法创建成功; 当您为已创建的资源添加不合规标签时,标签策略仅会阻止标签添加操作,不会对资源产生影响。
-
支持审计的关键操作 通过云审计服务,您可以记录与Organizations云服务相关的操作事件,便于日后的查询、审计和回溯。 表1 云审计支持的Organizations操作列表 操作名称 资源类型 事件名称 创建组织 Organizations CreateOrganizations 关闭组织 Organizations DeleteOrganizations 退出组织 Organizations LeaveOrganizations 创建组织单元 OrganizationsUnit CreateOrganizationsalUnit 修改组织单元 OrganizationsUnit UpdateOrganizationsalUnit 删除组织单元 OrganizationsUnit DeleteOrganizationsalUnit 邀请账号 Account InviteAccount 移动账号 Account MoveAccount 移除账号 Account RemoveAccount 接受邀请 Handshake AcceptHandshake 拒绝邀请 Handshake DeclineHandshake 取消邀请 Handshake CancelHandshake 启用可信服务 TrustedService EnableTrustedService 禁用可信服务 TrustedService DisableTrustedService 设置委托管理员 DelegatedAdministrator RegisterDelegatedAdministrator 取消委托管理员 DelegatedAdministrator DeregisterDelegatedAdministrator 创建策略 Policy CreatePolicy 修改策略 Policy UpdatePolicy 删除策略 Policy DeletePolicy 启用策略类型 Policy EnablePolicyType 禁用策略类型 Policy DisablePolicyType 绑定策略 Policy AttachPolicy 解绑策略 Policy DetachPolicy 添加标签 Tag TagResource 删除标签 Tag UntagResource 父主题: 审计
更多精彩内容
CDN加速
GaussDB
文字转换成语音
免费的服务器
如何创建网站
域名网站购买
私有云桌面
云主机哪个好
域名怎么备案
手机云电脑
SSL证书申请
云点播服务器
免费OCR是什么
电脑云桌面
域名备案怎么弄
语音转文字
文字图片识别
云桌面是什么
网址安全检测
网站建设搭建
国外CDN加速
SSL免费证书申请
短信批量发送
图片OCR识别
云数据库MySQL
个人域名购买
录音转文字
扫描图片识别文字
OCR图片识别
行驶证识别
虚拟电话号码
电话呼叫中心软件
怎么制作一个网站
Email注册网站
华为VNC
图像文字识别
企业网站制作
个人网站搭建
华为云计算
免费租用云托管
云桌面云服务器
ocr文字识别免费版
HTTPS证书申请
图片文字识别转换
国外域名注册商
使用免费虚拟主机
云电脑主机多少钱
鲲鹏云手机
短信验证码平台
OCR图片文字识别
SSL证书是什么
申请企业邮箱步骤
免费的企业用邮箱
云免流搭建教程
域名价格
