组织 Organizations-应用Organizations云服务对多帐号进行管理:绑定服务控制策略(SCP)
绑定服务控制策略(SCP)
现在您已搭建好了组织结构,并已邀请帐号加入,在本节将介绍如何使用服务控制策略(Service control policies,以下简称SCP)管理组织中帐号的权限。例如只有研发部下属的帐号可以修改和删除资源合规规则,其余帐号如财务部帐号不能。目前支持SCP策略的服务请参见支持SCP的华为云服务。
- 确定所需策略。
查看SCP系统策略列表,查找到需要设置的权限(若无匹配策略,可选择自定义策略)。此处使用自定义策略进行权限管控,策略语法请参考策略语法。
策略内容如下:
{ "Version": "5.0", "Statement": [ { "Effect": "Deny", "Action": [ "rms:policyAssignments:update", "rms:policyAssignments:delete" ], "Resource": [ "*" ] } ]}
- 以管理帐号Company A的身份登录华为云,进入Organizations控制台。
- 在组织管理列表中,选中要绑定策略的OU,当前场景为禁止财务部修改和删除合规规则,所以SCP策略的绑定对象为“财务部”。
- 在“财务部”的组织单元信息页,选择“策略”页签。
- 单击服务控制策略前端的,单击“绑定”按钮。
图10 绑定策略
- 在弹框中选择步骤1中确定的策略,单击“绑定”,完成策略绑定。此时您能在“财务部”OU的服务控制策略列表中查看到已绑定的策略。