更新时间:2024-10-28 GMT+08:00
管理组织策略
客户可以通过设置组织策略决定子账号的云服务访问权限,比如可以通过组织权限控制是否允许某个子账号购买VPC服务。
注意事项
- 当组织不设置任何策略时,表示该组织以及子组织下面的所有账号默认具有全部操作权限。
- 当组织添加策略后,组织策略将作用于组织以及子组织下面的所有账号。
- 按组织策略的限制,账号只能做限定的云服务操作或不能做限定的云服务操作。
- 建议先在试验用的组织上完成测试,测试通过后再应用到生产用的组织上,以免对您正在运行的业务造成影响。
创建组织策略
- 进入“组织策略管理”页面。
- 选择“全部策略”页签。
- 单击“创建策略”,进入“创建策略”页面。
- 设置策略相关信息。
JSON语法介绍请参见策略语言说明。
- 通过完全新建的方式创建策略
- 输入策略名称、策略描述等基本信息。
- 设置策略效果。
- 组织策略权限集效果:
- 拒绝:指定的操作拒绝,其他操作都允许。
- 允许:指定的操作允许,其他操作都拒绝。
- 组织策略实现原理:
- 企业中心添加子账号,子账号默认权限是所有操作都允许做。企业中心增加组织策略,组织策略对子账号的权限做约束。对于拒绝策略,实现时使用的是拒绝指定操作;对于允许策略,实现时使用的是拒绝所有操作,仅仅对允许做的操作不拒绝。
- 由策略的实现可知当子账号有多条拒绝策略时,每条拒绝策略都会生效。当子账号有多条允许策略时,只会有一条允许策略生效,其他允许策略不生效。因此建议您设置允许策略时,将子账号的所有允许操作都配置到一条策略中。
- 组织策略权限集效果:
- 选择需要进行权限控制的云服务以及权限项。
- 单击“确认”。
- 通过复制现有策略的方式创建策略
- 通过完全新建的方式创建策略
为组织添加策略
- 进入“组织策略管理”页面。
- 选择“按组织管理”页签。
- 在左侧组织树中,选中需要添加策略的组织。
在页面右侧显示选中组织已添加的策略以及继承的策略。
- 单击“添加策略”。
- 选中所有需要添加的策略。
- 单击“确认”。
- 单击“策略名称”前的,即可查看该策略的策略内容。
- 单击“操作”列的“取消应用”,即可将解除该策略与组织的应用关系。
父主题: 组织管理