云服务器内容精选
-
支持SCP的云服务 当前支持使用SCP的云服务如下表所示: 支持SCP的各云服务相关文档中列出的授权项仅支持在SCP中使用。 表1 支持SCP的云服务 服务名称 相关文档 标签管理服务(TMS) 标签管理服务 TMS 资源访问管理(RAM) 资源访问管理 RAM 安全令牌服务(STS) 安全令牌服务 STS 配置审计(Config)(原 资源管理服务 RMS) 配置审计 Config 组织(Organizations) 组织 Organizations 文档数据库服务(DDS) 文档数据库服务 DDS 云数据库(RDS) 云数据库 RDS 企业主机安全服务(HSS) 主机安全服务 HSS 容器镜像服务(SWR) 容器镜像服务 SWR 弹性公网IP(EIP) 弹性公网IP EIP 镜像服务(IMS) 镜像服务 IMS 裸金属服务(BMS) 裸金属服务器 BMS 消息通知服务(SMN) 消息通知服务 SMN 虚拟私有云(VPC) 虚拟私有云 VPC 弹性云服务器(ECS) 弹性云服务器 ECS 安全云脑(SecMaster) 安全云脑 SecMaster 弹性负载均衡(ELB) 弹性负载均衡 ELB 分布式缓存服务(DCS) 分布式缓存服务 DCS NAT网关(NAT) NAT网关 NAT 内容分发网络(CDN) 内容分发网络 CDN 云容器引擎(CCE) 云容器引擎 CCE VPC终端节点(VPCEP) VPC终端节点 VPCEP 云日志服务(LTS) 云日志服务 LTS IAM身份中心(IdentityCenter) IAM身份中心 原生基础防护(Anti-DDoS) 原生基础防护 Anti-DDoS DDoS高防(AAD) DDoS高防 AAD 企业项目管理服务 (EPS) 企业项目管理 EPS SSL证书管理服务(SCM) SSL证书管理服务 SCM 私有证书管理服务(PCA) 私有证书管理服务 PCA 统一身份认证(IAM) 统一身份认证 IAM 设备接入(IoTDA) 设备接入 IoTDA 应用管理与运维平台(Servicestage) 应用管理与运维平台 ServiceStage 资源编排服务(RFS) 资源编排服务 RFS 访问分析(AccessAnalyzer) 访问分析 IAM Access Analyzer 云审计服务(CTS) 云审计服务 CTS 云防火墙(CFW) 云防火墙 CFW 云专线(DC) 云专线 DC 流水线(CodeArts Pipeline) 流水线 Codearts Pipeline 软件开发生产线(CodeArts) 软件开发生产线 CodeArts 微服务引擎(CSE) 微服务引擎 CSE 数据湖探索(DLI) 数据湖探索 DLI 父主题: 服务控制策略管理
-
阻止IAM用户和委托进行某些修改,但指定的账号除外 使用此SCP阻止IAM用户和委托对组织内所有账号创建的资源共享进行修改,但指定的账号除外。 { "Version": "5.0", "Statement": [ { "Effect": "Deny", "Action": [ "ram:resourceShares:update", "ram:resourceShares:delete", "ram:resourceShares:associate", "ram:resourceShares:disassociate", "ram:resourceShares:associatePermission", "ram:resourceShares:disassociatePermission" ], "Resource": [ "ram::*:resourceShare:resource-id" ], "Condition": { "StringNotEquals": { "g:DomainId": [ "account-id"【备注:此处需填写排除账号的ID】 ] } } } ] }
-
禁止访问指定区域的资源 如下SCP表示禁止用户访问“regionid1”区域的ECS服务的全部资源。您可以根据需要修改SCP语句中的操作(Action)、资源类型(Resource)和条件(Condition)。 此SCP仅适用于项目级服务,SCP中的“regionid1”仅为区域示例,使用时请填入具体区域ID。 { "Version":"5.0", "Statement":[ { "Effect":"Deny", "Action":["ecs:*:*"], "Resource":["*"], "Condition":{ "StringEquals":{ "g:RequestedRegion":"regionid1" } } } ] }
-
禁止共享到组织外 使用以下SCP禁止本组织内的账号给组织外账号共享资源。此SCP建议绑定至组织的根OU,使其对整个组织生效。 { "Version": "5.0", "Statement": [ { "Effect": "Deny", "Action": [ "ram:resourceShares:create", "ram:resourceShares:associate" ], "Resource": [ "*" ], "Condition": { "ForAnyValue:StringNotLike": { "ram:TargetOrgPaths": [ "organization_id/root_id/ou_id"【备注:此处需填写组织的路径ID】 ] } } } ] }
-
禁止共享指定类型的资源 使用以下SCP禁止用户共享VPC子网资源。您可以根据需要修改SCP语句条件键(Condition)元素中的资源类型。 { "Version": "5.0", "Statement": [ { "Effect": "Deny", "Action": [ "ram:resourceShares:create" ], "Resource": [ "*" ], "Condition": { "ForAnyValue:StringEquals": { "ram:RequestedResourceType": [ "vpc:subnet"【备注:可根据需要修改此处的资源类型】 ] } } } ] }
-
禁止组织内账号给组织外的账号进行聚合授权 使用以下SCP禁止本组织内账号给组织外的账号进行聚合授权。此SCP建议绑定至组织的根OU,使组织外账号无法获取组织内账号下的资源清单信息。您也可以将此SCP绑定给接受授权的账号(源账号),禁止该账号接受来自聚合器账号的授权请求。 { "Version": "5.0", "Statement": [ { "Effect": "Deny", "Action": [ "rms:aggregationAuthorizations:create" ], "Resource": [ "*" ], "Condition": { "StringNotMatch": { "rms:AuthorizedAccountOrgPath": [ "organization_id/root_id/ou_id"【备注:此处需填写组织的路径ID】 ] } } } ] }
-
阻止根用户的服务访问 使用以下SCP禁止成员账号使用根用户执行指定的操作。您可以根据需要修改SCP语句中的操作(Action)和资源类型(Resource)。 { "Version": "5.0", "Statement": [ { "Effect": "Deny", "Action": [ "ecs:*:*" ], "Resource": [ "*" ], "Condition": { "BoolIfExists": { "g:PrincipalIsRootUser": "true" } } } ] }
-
阻止成员账号退出组织 使用以下SCP阻止成员账号主动退出组织。 { "Version": "5.0", "Statement": [ { "Effect": "Deny", "Action": [ "organizations:organizations:leave" ], "Resource": [ "*" ] } ] }
-
禁止创建带有指定标签的资源 如下SCP表示禁止用户创建带有 {"team": "engineering"} 标签的资源共享实例。您可以根据需要修改SCP语句中的操作(Action)、资源类型(Resource)和条件(Condition)。 { "Version":"5.0", "Statement":[ { "Effect":"Deny", "Action":["ram:resourceShares:create"], "Resource":["*"], "Condition":{ "StringEquals":{ "g:RequestTag/team":"engineering" } } } ] }
-
禁止根用户使用除IAM之外的云服务 使用以下SCP禁止根用户使用除IAM之外的云服务。 { "Version": "5.0", "Statement": [ { "Effect": "Deny", "NotAction": [ "iam:*:*" ], "Resource": [ "*" ], "Condition": { "Bool": { "g:PrincipalIsRootUser": [ "true" ] } } } ] }
-
阻止IAM用户和委托进行某些修改 使用此SCP阻止IAM用户和委托对组织内所有账号创建的资源共享进行修改。 { "Version": "5.0", "Statement": [ { "Effect": "Deny", "Action": [ "ram:resourceShares:update", "ram:resourceShares:delete", "ram:resourceShares:associate", "ram:resourceShares:disassociate", "ram:resourceShares:associatePermission", "ram:resourceShares:disassociatePermission" ], "Resource": [ "ram::*:resourceShare:resource-id" ] } ] }
-
控制策略类型介绍 预防性控制策略:策略主体为SCP服务控制策略,任何在策略中显性拒绝的操作都会被拦截。预防性控制策略在指定OU上生效之后,该OU所有直系子级账号均会继承该策略。 检测性控制策略:策略主体为Config合规规则,不合规的资源配置会被检测发现并反馈给用户,用户可以在资源治理中心服务控制台查看不合规的资源列表。检测性控制策略在指定OU上生效后,该OU所有直系子级账号均会根据规则要求检测不合规配置的发生。
-
实施类型 必选:这部分策略在开启RGC服务并设置Landing Zone后,便在核心OU和核心账号上强制自动生效,而且无法禁用。 强烈推荐:基于华为云治理最佳实践强烈推荐的合规遵从管控策略,大部分企业用户在云上治理多账号环境时大概率会涉及相关场景和服务,建议Landing Zone搭建完成之后,企业用户自主启用。 可选:企业云上治理过程中,部分企业用户可能会涉及相关控制策略,可以根据具体情况灵活选用相关策略。
-
概述 流量控制可限制单位时间内API的被调用次数,保护后端服务。为了提供持续稳定的服务,您可以创建流控策略,对绑定策略的API进行流量控制。 流量控制策略和API本身是相互独立的,只有将API绑定流量控制策略后,流量控制策略才对API生效。 同一个API在同一个环境中只能绑定一个流控策略,一个流控策略可以绑定多个API。 若API被触发流量控制,则流控期间该API的所有调用请求都将被丢弃,并向调用方返回失败响应。
-
概述 客户端配额可限制单位时间内客户端调用API的总次数,保护后端服务。您可以创建客户端配额策略,对绑定策略的客户端进行调用次数限制。 客户端配额策略和客户端本身是相互独立的,只有将客户端绑定客户端配额策略后,客户端配额策略才对客户端生效。 仅具有Tenant Administrator权限的用户才可查看和配置客户端配额策略。 同一个客户端只能绑定一个客户端配额策略,一个客户端配额策略可以绑定多个客户端。
更多精彩内容
CDN加速
GaussDB
文字转换成语音
免费的服务器
如何创建网站
域名网站购买
私有云桌面
云主机哪个好
域名怎么备案
手机云电脑
SSL证书申请
云点播服务器
免费OCR是什么
电脑云桌面
域名备案怎么弄
语音转文字
文字图片识别
云桌面是什么
网址安全检测
网站建设搭建
国外CDN加速
SSL免费证书申请
短信批量发送
图片OCR识别
云数据库MySQL
个人域名购买
录音转文字
扫描图片识别文字
OCR图片识别
行驶证识别
虚拟电话号码
电话呼叫中心软件
怎么制作一个网站
Email注册网站
华为VNC
图像文字识别
企业网站制作
个人网站搭建
华为云计算
免费租用云托管
云桌面云服务器
ocr文字识别免费版
HTTPS证书申请
图片文字识别转换
国外域名注册商
使用免费虚拟主机
云电脑主机多少钱
鲲鹏云手机
短信验证码平台
OCR图片文字识别
SSL证书是什么
申请企业邮箱步骤
免费的企业用邮箱
云免流搭建教程
域名价格
