NCP原理介绍

NCP分类

NCP按照策略创建者可分为两类，分别是系统策略和自定义策略。

• 系统策略

华为云服务在组织预置了NCPFullAccess，称为系统策略。组织管理员给组织单元或账号绑定NCP时，可以直接使用系统策略。系统策略只能使用，不能修改。现有的NCP系统策略请参见：NCP系统策略列表。

• 自定义策略

如果系统策略无法满足授权要求，管理账号可以根据各服务支持的授权项，自行创建和修改自定义策略。自定义策略是对系统策略的扩展和补充。目前Organizations云服务支持策略编辑器和JSON视图两种自定义策略配置方式。

权限控制原理

• 逐层检查权限

  如果要允许通过成员账号内VPC EP可访问的云服务操作，在从组织的Root到账号直接路径中的每个OU（包括目标账号本身），每个层级都必须有显示允许该操作。

  图1 在Root、OU 和账号y 处附加 Allow 语句的组织结构示例
  

  如果要拒绝特定账号获取权限，在从组织的Root到账号直接路径中的每个OU（包括目标账号本身），任何NCP都可以拒绝该权限。

  图2 OU 中附加了 Deny 语句的组织结构示例及其对账号 y 的影响
  

• 默认允许

  组织启用NCP时，默认会为所有OU和账号附加全部权限（NCPFullAccess策略），默认允许所有操作。除非您为OU或账号附加其他的明确拒绝策略。