更新时间:2024-03-05 GMT+08:00

管理组织策略

客户可以通过设置组织策略决定子账号的云服务访问权限,比如可以通过组织权限控制是否允许某个子账号购买VPC服务。

注意事项

  • 当组织不设置任何策略时,表示该组织以及子组织下面的所有账号默认具有全部操作权限。
  • 当组织添加策略后,组织策略将作用于组织以及子组织下面的所有账号。
  • 按组织策略的限制,账号只能做限定的云服务操作或不能做限定的云服务操作。
  • 建议先在试验用的组织上完成测试,测试通过后再应用到生产用的组织上,以免对您正在运行的业务造成影响。

创建组织策略

  1. 进入“组织策略管理”页面。
  2. 选择“全部策略”页签。
  3. 单击“创建策略”,进入“创建策略”页面。

  4. 设置策略相关信息。

    JSON语法介绍请参见策略语言说明

    • 通过完全新建的方式创建策略
      1. 输入策略名称、策略描述等基本信息。
      2. 设置策略效果。
        • 组织策略权限集效果:
          1. 拒绝:指定的操作拒绝,其他操作都允许。
          2. 允许:指定的操作允许,其他操作都拒绝。
        • 组织策略实现原理:
          1. 企业中心添加子账号,子账号默认权限是所有操作都允许做。企业中心增加组织策略,组织策略对子账号的权限做约束。对于拒绝策略,实现时使用的是拒绝指定操作;对于允许策略,实现时使用的是拒绝所有操作,仅仅对允许做的操作不拒绝。
          2. 由策略的实现可知当子账号有多条拒绝策略时,每条拒绝策略都会生效。当子账号有多条允许策略时,只会有一条允许策略生效,其他允许策略不生效。因此建议您设置允许策略时,将子账号的所有允许操作都配置到一条策略中。
      3. 选择需要进行权限控制的云服务以及权限项。
      4. 单击“确认”。
    • 通过复制现有策略的方式创建策略
      1. 输入策略名称、策略描述等基本信息。
      2. 单击“复制现有策略”。

        系统弹出“复制现有策略”对话框。

      3. 选择需要的策略。
      4. 单击“确定”,已选策略的Action将在策略内容中显示。
      5. 根据实际需要修改策略内容中的Action。
      6. 单击“校验语法”。

        系统提示“未发现语法问题,校验通过”。

      7. 单击“确认”。

为组织添加策略

  1. 进入“组织策略管理”页面。
  2. 选择“按组织管理”页签。
  3. 在左侧组织树中,选中需要添加策略的组织。

    在页面右侧显示选中组织已添加的策略以及继承的策略。

  4. 单击“添加策略”。
  5. 选中所有需要添加的策略。
  6. 单击“确认”。

    • 单击“策略名称”前的,即可查看该策略的策略内容。
    • 单击“操作”列的“取消应用”,即可将解除该策略与组织的应用关系。

后续操作

修改组织策略

  1. 进入“组织策略管理”页面。
  2. 选择“全部策略”页签。
  3. 选择一条待修改的策略,单击“操作”列的“修改”。
  4. 修改策略名称、策略描述、策略内容。
  5. 单击“确认”。

删除组织策略

  1. 进入“组织策略管理”页面。
  2. 选择“全部策略”页签。
  3. 选择一条待删除的策略,单击“操作”列的“删除”。
  4. 单击“确认”。