权限策略管理

相关参考 Reference

  • 文档有奖反馈活动
  • 文档有奖反馈2
  • 功能发布记录
  • 捉虫活动获奖名单
  • 鉴权认证机制
    • 常见签名认证错误排查
    • 简介
    • 在URL中包含认证字符串
    • 在Header中包含认证字符串
    • 签名流程
    • Sample-Code
    • 生成V2认证字符串
    • 错误码
    • 生成认证字符串
  • SDK入门指南
    • Python-SDK帮助指南
    • PHP-SDK入门指南
    • Java-SDK入门指南
  • 区域选择说明
    • 区域
    • 可用区
  • API SDK
    • Java-SDK
  • 证书管理
    • 多用户访问控制
    • 管理证书
    • 格式转换
    • 简介
    • Python-SDK
    • GO-SDK
    • 上传证书
    • 证书和私钥
    • API参考
    • 常见问题
    • 第三方机构创建证书
    • 证书替换
    • JAVA-SDK
  • 企业组织
    • 退出组织
    • 账户联合认证(SSO)
    • 权限策略管理
    • 子账户管理
    • 产品介绍
    • 财务管理
    • 常见问题
    • 企业组织vs多用户访问控制
    • 权限评估逻辑
    • 创建企业组织
    • 系统限制
    • 组织单元
    • API参考
      • 通用说明
      • 企业组织管理接口
      • 邀请管理接口
      • 策略管理接口
      • 简介
      • 单元管理接口
      • 账户管理接口
      • 数据类型
  • API Key
    • 操作手册
    • 简介
    • API参考
  • 获取AKSK
    • 简介
    • 如何获取AKSK
  • 术语表
    • B
    • Z
    • F
    • G
    • C
    • H
    • P
    • L
    • T
    • M
    • I
    • Q
    • N
    • V
    • J
    • R
    • K
    • S
    • O
    • W
    • D
    • X
    • A
    • Y
    • E
所有文档
menu
没有找到结果,请重新输入

相关参考 Reference

  • 文档有奖反馈活动
  • 文档有奖反馈2
  • 功能发布记录
  • 捉虫活动获奖名单
  • 鉴权认证机制
    • 常见签名认证错误排查
    • 简介
    • 在URL中包含认证字符串
    • 在Header中包含认证字符串
    • 签名流程
    • Sample-Code
    • 生成V2认证字符串
    • 错误码
    • 生成认证字符串
  • SDK入门指南
    • Python-SDK帮助指南
    • PHP-SDK入门指南
    • Java-SDK入门指南
  • 区域选择说明
    • 区域
    • 可用区
  • API SDK
    • Java-SDK
  • 证书管理
    • 多用户访问控制
    • 管理证书
    • 格式转换
    • 简介
    • Python-SDK
    • GO-SDK
    • 上传证书
    • 证书和私钥
    • API参考
    • 常见问题
    • 第三方机构创建证书
    • 证书替换
    • JAVA-SDK
  • 企业组织
    • 退出组织
    • 账户联合认证(SSO)
    • 权限策略管理
    • 子账户管理
    • 产品介绍
    • 财务管理
    • 常见问题
    • 企业组织vs多用户访问控制
    • 权限评估逻辑
    • 创建企业组织
    • 系统限制
    • 组织单元
    • API参考
      • 通用说明
      • 企业组织管理接口
      • 邀请管理接口
      • 策略管理接口
      • 简介
      • 单元管理接口
      • 账户管理接口
      • 数据类型
  • API Key
    • 操作手册
    • 简介
    • API参考
  • 获取AKSK
    • 简介
    • 如何获取AKSK
  • 术语表
    • B
    • Z
    • F
    • G
    • C
    • H
    • P
    • L
    • T
    • M
    • I
    • Q
    • N
    • V
    • J
    • R
    • K
    • S
    • O
    • W
    • D
    • X
    • A
    • Y
    • E
  • 文档中心
  • arrow
  • 相关参考Reference
  • arrow
  • 企业组织
  • arrow
  • 权限策略管理
本页目录
  • 概述
  • 先决条件
  • 操作指南
  • 创建自定义策略
  • 为子账户授权
  • 为组织单元授权
  • 删除自定义策略
  • 相关信息

权限策略管理

更新时间:2025-08-22

概述

企业组织为云上多账户提供了集中的权限管理能力,权限的管理和限制通过服务控制策略(SCP)来进行。你可以根据企业内业务团队的实际管理诉求,将云账号统一组织到组织单元树内,并通过为组织单元、子账户授予合适的SCP,来实现组织内云账户的权限管控。

本文主要介绍如何管理服务控制策略,以及具体授权的操作,主要包含如下内容:

  1. 自定义服务控制策略;
  2. 为子账户授权;
  3. 为组织单元授权;
  4. 删除自定义策略

如需了解什么是服务控制策略,以及服务控制策略如何作用到子账户,从而实现子账户的最大权限控制,请参考文档权限评估逻辑。

先决条件

在做权限策略管理之前,当前操作人需要满足如下条件:

  1. 拥有百度智能云主账号,或为主账户下的子用户管理员,或是拥有IAM管理权限;
  2. 当前账号已经按照文档创建企业组织描述步骤,完成企业组织的创建。

操作指南

服务控制策略(SCP)与多用户访问控制权限策略类似,区分为系统策略和自定义策略。其中:

  • 系统策略:为系统预设的权限策略,不可编辑和修改。比如FullAcceeScp,代表所有资源的访问权限。
  • 自定义策略:由管理员用户创建的策略统称为自定义策略。用户可以根据实际的业务需要,配置特定产品服务,当前自定义的服务控制策略仅可支持到服务级别,暂不支持资源级或是操作级别的权限配置。相比系统策略,自定义策略能够更灵活地配置权限组合。比如,你可以将服务BCC和CDS的管理权限配置在一条SCP中。

创建自定义策略

  1. 登录百度智能云控制台,在导航栏进入企业 > 企业组织 > 权限策略,点击创建策略按钮。

image.png

  1. 填写策略名称、描述,在权限配置部分进行服务权限的配置。一条服务控制策略可以添加多个服务的权限。

image.png

  1. 下拉点击确定按钮,即可完成服务控制策略的创建。你也可以在创建时即为子账户、组织单元授权,详细操作见如下配置。

为子账户授权

1.方式一:创建自定义策略时,在授权部分,选择授权到成员账户页签,选择需要被授权的子账户,即可完成授权。

image.png

2.方式二:登录百度智能云控制台,在导航栏进入企业 > 企业组织 > 权限策略,在列表页,选择需要授权的权限策略,点击授权按钮,在弹窗中选择需要授权的子账户,即可完成授权。

image.png

3.方式三:在子账户管理列表页,完成对应子账户的授权。详细可以参考文档子账户管理

为组织单元授权

1.方式一:创建自定义策略时,在授权部分,选择授权到组织单元页签,选择需要被授权的子账户,即可完成授权。

2.方式二:登录百度智能云控制台,在导航栏进入企业 > 企业组织 > 权限策略,在列表页,选择需要授权的权限策略,点击授权按钮,在弹窗中选择需要授权的组织单元,即可完成授权。

3.方式三:在组织单元列表页,完成对应组织单元的授权。详细可以参考文档组织单元

删除自定义策略

注意:删除自定义策略可能会带来已被授权服务的中断,请谨慎操作。

登录百度智能云控制台,在导航栏进入企业 > 企业组织 > 权限策略,在列表页选择需要被删除的策略,点击删除,在弹窗中确认,即可完成自定义SCP的删除。

image.png

相关信息

服务控制策略可以被授权到子账户、组织单元,而组织单元又存在多个层级,因此权限评估和生效逻辑相对比较复杂,在我们的最佳实践中,在大多数企业多账户管理的场景下,仅用到子账户的权限+财务管理,已经足够为企业提供安全、合规且高效的账户和资源管理。在做具体的管理规划和设计时,请参考文档权限评估逻辑。

上一篇
账户联合认证(SSO)
下一篇
子账户管理