操作步骤 登录iDME控制台。 在左侧导航栏中，单击“组织管理”，进入组织管理页面。 在“我的组织”页签下，单击“创建组织”，弹出创建组织窗口。 输入组织名称，单击“下一步”。 设置组织的 域名 。 输入组织简称，可使用2~30位字母、数字或它们的组合，如abc，后缀名为固定的.orgid.top，如图1所示。单击“下一步”。 图1 设置组织域名 设置组织域名后，管理员为组织创建成员时，成员的管理式华为账号会默认带有固定域名后缀，具体显示为填写信息+固定组织域名后缀。如设置的组织域名为abc.orgid.top，输入的成员账号为“zhangsan01”，那么创建成功的账号名为“zhangsan01@abc.orgid.top”。OrgID支持使用自有域名，可在域名管理中添加域名并在创建成员时选择账号后缀的域名。 阅读“管理式华为账号”相关声明，单击“同意”。 组织创建成功，关闭弹窗。

操作场景 当Config提供的系统内置预设策略不能满足检测资源合规性的需求时，您可以通过编写函数代码，添加组织类型的自定义策略来完成复杂场景的资源审计。 自定义策略是一个用户开发并发布在 函数工作流 FunctionGraph上的函数。将合规规则和函数相关联，函数接收Config发布的事件，从事件中接收到规则参数和Config服务收集到的资源属性；函数评估该规则下资源的合规性并通过Config的Open API回传Config服务合规评估结果。合规规则的事件发送因触发类型为配置变更或周期执行而异。要了解如何使用FunctionGraph函数以及如何开发它们，请参阅《FunctionGraph用户指南》。 本章节指导您如何通过自定义策略来添加组织类型的合规规则，主要包含如下步骤： 创建FunctionGraph函数； 共享FunctionGraph函数； 添加自定义组织合规规则； 触发规则评估。

约束与限制 每个账号最多可以添加500个合规规则。 添加、修改组织合规规则和触发规则评估需要开启资源记录器，资源记录器处于关闭状态时，组织合规规则仅支持查看和删除操作。 非组织成员账号无法在Config控制台的“资源合规”页面中看到“组织规则”页签。 仅被资源记录器收集的资源可参与资源评估，为保证资源合规规则的评估结果符合预期，强烈建议您保持资源记录器的开启状态，不同场景的说明如下： 如您未开启资源记录器，则资源合规规则无法评估任何资源数据。历史的合规规则评估结果依然存在。 如您已开启资源记录器，但仅在资源记录器监控范围内勾选部分资源，则资源合规规则仅会评估所选择的资源数据。 关于如何开启并配置资源记录器请参见：配置资源记录器。

添加自定义组织合规规则 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击左侧的“资源合规”，进入“资源合规”页面。 选择“组织规则”页签，单击“添加规则”，进入“基础配置”页面。 “策略类型”选择“自定义策略”，配置相关参数后单击“下一步”。 图4 基础配置 表1 基础配置参数说明 参数 说明 策略类型 策略类型选择“自定义策略”。 允许用户通过自定义策略来创建合规规则。 规则名称 合规规则的名称，不能与已存在的合规规则名称重复。 合规规则名称仅支持数字、字母、下划线和中划线。 规则简介 合规规则的简介，目前对合规规则简介的内容不做限制。 FunctionGraph函数 用户自定义策略执行函数的URN。 创建FunctionGraph函数请参见创建FunctionGraph函数。 进入“规则参数”页面，规则参数配置完成后，单击“下一步”。 图5 规则参数 表2 合规规则参数说明 参数 说明 触发类型 用于触发资源合规规则。 触发类型有： 配置变更：在指定的云资源发生更改时触发规则评估。 周期执行：按照您设定的频率运行。 过滤器类型 用于指定资源类型参与规则评估。 过滤器类型分为： 指定资源：指定资源类型下的所有资源均参与规则评估。 所有资源：账号下的所有资源均参与规则评估。 仅当“触发类型”选择“配置变更”时需配置此参数。 指定资源范围 过滤器类型选择“指定资源”后，需选择指定资源范围。 服务：选择资源所属的服务； 资源类型：选择对应服务下的资源类型； 区域：选择资源所在的区域。 仅当“触发类型”选择“配置变更”时需配置此参数。 过滤范围 使用过滤范围可指定资源类型下的某个具体资源参与规则评估。 过滤范围开启后您可通过资源ID或标签指定过滤范围。 仅当“触发类型”选择“配置变更”时需配置此参数。 周期频率 设置合规规则周期执行的频率。 仅当“触发类型”选择“周期执行”时需配置此参数。 规则参数 自定义策略的规则参数最多可以设置10个，由您自行配置。 目标 目标决定了此组织合规规则配置的部署位置。 组织：将策略部署到您组织内的所有成员账号中。 当前账号：将策略部署到当前登录的账号中。 创建组织类型的资源合规规则时请选择“组织”。 排除账号 输入需要排除的组织内的部分账号ID，使得该组织合规规则不在排除的账号中部署。 仅当“目标”选择“组织”时可配置此参数。 进入“确认规则”页面，确认规则信息无误后，单击“提交”按钮，完成自定义组织合规规则的创建。

组织策略概述 云备份服务支持基于组织的统一策略管理能力，组织管理员或CBR服务的委托管理员可以通过创建组织策略，为组织内成员账号统一设置组织策略，成员账号可以使用创建的组织策略。 管理账号在创建组织策略的时候，会默认启用CBR为可信服务。开启CBR为可信服务后，CBR可以获取组织中的组织单元及成员账号信息，基于此信息提供组织级的管理能力，统一为整个组织提供云备份服务，记录组织中所有账号的操作。 组织策略分为组织备份策略和组织复制策略。 组织备份策略：当企业需要为组织内成员账号统一设置备份策略时，可以通过组织的管理账号创建组织备份策略来实现该功能，成员账号可以使用创建的组织备份策略。 组织复制策略：当企业需要为组织内成员账号统一设置复制策略时，可以通过组织的管理账号创建组织复制策略来实现该功能，成员账号可以使用创建的组织复制策略。 父主题： 管理组织策略

操作步骤 以RGC管理账号的身份登录华为云，进入华为云RGC控制台。 进入组织管理页，单击需要查看OU的名称。 图1 查看OU 在基本信息中，可以查看OU的状态、父组织单元、已纳管的账号数、已启用的控制策略、已注册的组织单元数、外部SCP。 图2 查看OU基本信息 选择“不合规资源”页签，将会显示当前OU下存在的不合规资源，以及不合规资源ID、类型、服务和所在区域等。 图3 查看不合规资源 选择“已启用控制策略”页签，将会显示当前OU下已启用的控制策略。 如需了解控制策略详情，请参考查看控制策略详情。 图4 查看已启用控制策略 选择“直系组织单元”页签，将会显示当前OU下的直系OU信息，包括各OU的注册状态、已注册的直系OU以及已纳管的账号。 图5 查看直系OU 选择“直系子账号”页签，将会显示当前OU下的直系子账号信息，包括子账号的名称和纳管状态。 图6 查看直系子账号

创建组织策略 进入“组织策略管理”页面。 选择“全部策略”页签。 单击“创建策略”，进入“创建策略”页面。 设置策略相关信息。 JSON语法介绍请参见策略语法。 通过完全新建的方式创建策略 输入策略名称、策略描述等基本信息。 设置策略效果。 组织策略权限集效果： 拒绝：指定的操作拒绝，其他操作都允许。 允许：指定的操作允许，其他操作都拒绝。 组织策略实现原理： 企业中心添加子账号，子账号默认权限是所有操作都允许做。企业中心增加组织策略，组织策略对子账号的权限做约束。对于拒绝策略，实现时使用的是拒绝指定操作；对于允许策略，实现时使用的是拒绝所有操作，仅仅对允许做的操作不拒绝。 由策略的实现可知当子账号有多条拒绝策略时，每条拒绝策略都会生效。当子账号有多条允许策略时，只会有一条允许策略生效，其他允许策略不生效。因此建议您设置允许策略时，将子账号的所有允许操作都配置到一条策略中。 选择需要进行权限控制的云服务以及权限项。 单击“确认”。 通过复制现有策略的方式创建策略 输入策略名称、策略描述等基本信息。 单击“复制现有策略”。 系统弹出“复制现有策略”对话框。 选择需要的策略。 单击“确定”，已选策略的Action将在策略内容中显示。 根据实际需要修改策略内容中的Action。 单击“校验语法”。 系统提示“未发现语法问题，校验通过”。 单击“确认”。

组织人员默认权限说明 管理员为组织人员分配权限时，系统也将为该角色自动添加默认权限。 表1 表1 默认权限说明 合作伙伴身份 角色默认权限 总经销商伙伴/云经销商伙伴/解决方案提供商伙伴 主页 账号 账户信息 查看账户余额 充值 提现 设置余额预警 伙伴信息 基本信息 查看公司信息 查看个人信息 查看账号信息 修改账号信息 管理我的凭证 支持 查看新闻动态 查看实名认证信息 软件合作伙伴/服务合作伙伴/数字化转型咨询与系统集成合作伙伴/学习与赋能合作伙伴 主页 账号 伙伴信息 基本信息 查看公司信息 查看个人信息 查看账号信息 修改账号信息 管理我的凭证 支持 方案 查看新闻动态 查看实名认证信息 父主题： 组织成员

操作（Action） 操作（Action）即为SCP中支持的授权项。 “访问级别”列描述如何对操作进行分类（list、read和write等）。此分类可帮助您了解在SCP中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。 资源类型支持通配符号*表示所有。如果此列没有值（-），则必须在SCP语句的Resource元素中指定所有资源类型（“*”）。 如果该列包含资源类型，则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号（*）标识，表示使用此操作必须指定该资源类型。 关于LTS定义的资源类型的详细信息请参见资源类型（Resource）。 “条件键”列包括了可以在SCP语句的Condition元素中支持指定的键值。 如果该授权项资源类型列存在值，则表示条件键仅对列举的资源类型生效。 如果该授权项资源类型列没有值（-），则表示条件键对整个授权项生效。 如果此列条件键没有值（-），表示此操作不支持指定条件键。 关于LTS定义的条件键的详细信息请参见条件（Condition）。 您可以在SCP语句的Action元素中指定以下LTS的相关操作。 表1 LTS支持的授权项 授权项 描述 访问级别 资源类型（*为必须） 条件键 lts:logGroup:deleteLogGroup 授予权限以删除指定日志组。 write logGroup * - lts:logGroup:listLogGroup 授予权限以查询日志组列表。 list - - lts:logGroup:createLogGroup 授予权限以创建日志组。 write - - lts:logGroup:updateLogGroup 授予权限以修改指定日志组。 write logGroup * - lts:logStream:listLogStream 授予权限以查询日志流列表。 list logGroup * - lts:logStream:deleteLogStream 授予权限以删除指定日志流。 write logStream * - lts:logStream:createLogStream 授予权限以创建日志流。 write logGroup * - lts:logStream:searchLog 授予权限以查询日志。 list logStream * - lts:logStream:searchStructLog 授予权限以查询结构化日志。 list logStream * - lts:logStream:searchLogHistogram 授予权限以查询日志直方图。 list logStream * - lts:transfer:createTransfer 授予权限以创建转储任务。 write - - lts:transfer:deleteTransfer 授予权限以删除转储任务。 write transfer * - lts:transfer:listTransfer 授予权限以查询日志转储任务列表。 list - - lts:transfer:updateTransfer 授予权限以修改转储任务。 write transfer * - lts:transfer:registerDmsKafkaInstance 授予权限以注册DmsKafka实例。 write - - lts:configCenter:updateOverCollectSwitch 授予权限以修改超额采集开关。 write - - lts:structConfig:createStructConfig 授予权限以创建LTS结构化配置。 write logStream * - lts:structConfig:deleteStructConfig 授予权限以删除LTS结构化配置。 write logStream * - lts:structConfig:getStructConfig 授予权限以查询LTS结构化配置。 read logStream * - lts:structConfig:listStructTemplate 授予权限以查询结构化模板列表。 list - - lts:structConfig:updateStructConfig 授予权限以修改LTS结构化配置。 write logStream * - lts:mappingRule:create 授予权限以创建映射规则。 write - - lts:mappingRule:delete 授予权限以删除映射规则。 write - - lts:mappingRule:get 授予权限以查看映射规则详情。 read - - lts:mappingRule:list 授予权限以查询映射规则列表。 list - - lts:mappingRule:update 授予权限以修改映射规则。 write - - lts:logStream:getHistorySql 授予权限以查看日志流历史sql。 read logStream * - lts:alarmRule:createSqlAlarmRule 授予权限以创建sql告警规则的规则。 write - - lts:alarmRule:deleteSqlAlarmRule 授予权限以删除sql告警规则。 write alarmRule * - lts:alarmRule:updateSqlAlarmRule 授予权限以修改sql告警规则。 write alarmRule * - lts:alarmRule:listSqlAlarmRule 授予权限以查看sql告警规则。 list - - lts:alarmRule:createWordAlarmRule 授予权限以创建关键词告警规则。 write - - lts:alarmRule:deleteWordAlarmRule 授予权限以删除关键词告警规则。 write alarmRule * - lts:alarmRule:updateWordAlarmRule 授予权限以修改关键词告警规则。 write alarmRule * - lts:alarmRule:listWordAlarmRule 授予权限以查看关键词告警规则。 list - - lts:alarm:cleanAlarm 授予权限以删除告警。 write - - lts:alarm:listAlarm 授予权限以查看警列表。 list - - lts:logStream:listChart 授予权限以查询日志流图表。 list - - lts:alarmNoticeTemplate:create 授予权限以创建告警通知模板。 write - - lts:alarmNoticeTemplate:update 授予权限以修改告警通知模板。 write - - lts:alarmNoticeTemplate:delete 授予权限以删除告警通知模板。 write - - lts:alarmNoticeTemplate:list 授予权限以查询告警通知模板列表。 list - - lts:alarmNoticeTemplate:get 授予权限以查询告警通知模板详情。 read - - lts:hostGroup:create 授予权限以创建主机组。 write - - lts:hostGroup:delete 授予权限以删除主机组。 write hostGroup * - lts:host:list 授予权限以查询主机列表。 list - - lts:hostGroup:list 授予权限以查询主机组列表。 list accessConfig * - lts:hostGroup:update 授予权限以修改主机组。 write hostGroup * - lts:accessConfig:create 授予权限以创建日志接入。 write logStream * - lts:accessConfig:delete 授予权限以删除日志接入。 write accessConfig * - lts:accessConfig:list 授予权限以查询日志接入列表。 list - - lts:accessConfig:update 授予权限以修改日志接入。 write accessConfig * - hostGroup - lts:tag:create 授予权限以创建标签。 write - - lts:tag:delete 授予权限以删除标签。 write - - lts:logStream:createQuickQuery 授予权限以创建快速查询。 write logStream * - lts:logStream:deleteQuickQuery 授予权限以删除快速查询。 write logStream * - lts:logStream:listQuickQuery 授予权限以查询快速查询列表。 list logGroup * - lts:logFavorite:create 授予权限以创建日志收藏。 write logStream * - lts:logFavorite:delete 授予权限以删除日志收藏。 write - - lts:dashboardGroup:create 授予权限以创建仪表盘分组。 write - - lts:dashboard:create 授予权限以创建仪表盘。 write - - lts:trafficStatistic:get 授予权限以获取资源统计详情。 read - - lts:tokenizer:get 授予权限以获取已配置的分词符。 read - - lts:tokenizer:create 授予权限以保存分词符。 write - - lts:tokenizer:preview 授予权限以预览分词符。 read - - lts:usageAlarm:update 授予权限以打开或者关闭使用量预警。 write - - lts:csvTable:list 授予权限以获取关联数据源配置信息表。 list - - lts:csvTable:upload 授予权限以上传csv文件。 write - - lts:csvTable:get 授予权限以预览关联数据和查看关联数据源信息。 read - - lts:csvTable:create 授予权限以创建关联数据源。 write - - lts:csvTable:update 授予权限以更新关联数据源。 write - - lts:csvTable:delete 授予权限以删除关联数据源。 write - - lts:scheduledSql:create 授予权限以创建定时sql。 write - - lts:scheduledSql:delete 授予权限以删除定时sql。 write - - lts:scheduledSql:update 授予权限以修改定时sql。 write - - lts:scheduledSql:list 授予权限以获取定时sql列表。 list - - lts:scheduledSql:get 授予权限以获取定时sql详情。 read - - lts:scheduledSql:retry 授予权限以重试执行实例。 write - - lts:transfer:getDisList 授予权限以获取Dis通道列表。 list - - lts:transfer:listKafkaInstance 授予权限以获取kafka列表。 list - - lts:transfer:updateKafkaInstance 授予权限以更新kafka信息。 write - - lts:transfer:deleteKafkaInstance 授予权限以删除kafka信息。 write - - lts:transfer:listKafkaAuthorization 授予权限以查询用户配置kafka授权列表。 list - - lts:transfer:createKafkaAuthorization 授予权限以增加用户配置kafka授权列表。 write - - lts:transfer:deleteKafkaAuthorization 授予权限以删除用户配置kafka授权列表。 write - - lts:transfer:getTransfer 授予权限以获取转储任务的信息。 read transfer * - lts:transfer:getDwsInfo 授予权限以查询租户的dws信息。 read - - lts:transfer:registerDwsCluster 授予权限以注册dws集群。 write - - lts:hostGroup:getHost 授予权限以通过查询条件获取所有主机。 read - - lts:hostGroup:get 授予权限以通过查询条件获取单个主机组加入的所有配置。 read - - lts:accessConfig:get 授予权限以获取单个采集配置。 read accessConfig * - lts:logFavorite:list 授予权限以获取收藏列表。 list - - lts:logFavorite:update 授予权限以修改收藏。 write logStream * - lts:logGroup:getLogGroup 授予权限以查询日志组。 read logGroup * - lts:IndexConfig:list 授予权限以查询索引。 list logGroup * - lts:IndexConfig:create 授予权限以创建索引。 write logGroup * - lts:structConfig:listStructConfig 授予权限以获取日志流结构化信息。 list logStream * - lts:logStream:updateLogStream 授予权限以修改日志流。 write logStream * - lts:logStream:getRealtimeLog 授予权限以获取实时日志。 read logStream * - lts:logStream:getLogStream 授予权限以查询日志流信息。 read logStream * - lts:logStream:createLogFilterRules 授予权限以创建日志清洗规则。 write logStream * - lts:logStream:updateLogFilterRules 授予权限以修改日志清洗规则。 write logStream * - lts:logStream:deleteLogFilterRules 授予权限以删除日志清洗规则。 write logStream * - lts:logStream:listLogFilterRules 授予权限以查询日志清洗规则。 list logStream * - lts:logStream:getQuickQuery 授予权限以查看快速查询。 list logStream * - lts:logStream:updateQuickQuery 授予权限以修改快速查询。 write logStream * - lts:logStream:searchLogContext 授予权限以查询日志上下文。 read logStream * - lts:structConfig:getCustomTemplate 授予权限以查询用户自定义模板。 read - - lts:structConfig:createCustomTemplate 授予权限以创建用户自定义模板。 write - - lts:structConfig:updateCustomTemplate 授予权限以修改用户自定义模板。 write - - lts:structConfig:deleteCustomTemplate 授予权限以删除用户自定义模板。 write - - lts:structConfig:listCustomTemplate 授予权限以查询用户自定义模板列表。 read - - lts:structConfig:smartExtra 授予权限以智能提取结构化字段。 write - - lts:logStream:getAggrResult 授予权限以获取快速分析结果。 read logStream * - lts:logStream:getAggr 授予权限以查询快速分析聚合器。 read - - lts:logStream:createAggr 授予权限以创建快速分析聚合器。 write - - lts:logStream:deleteAggr 授予权限以删除快速分析聚合器。 write - - lts:logStream:getQuickAnalysisAggValue 授予权限以获取数值类型的快速分析结果。 read logStream * - lts:logStream:getWordFreqConfig 授予权限以查询用户已创建的快速分析字段。 read logStream * - lts:logStream:refreshWordFreqConfig 授予权限以修改快速分析字段。 write logStream * - lts:logCrux:list 授予权限以查询日志聚类信息。 list - - lts:logCrux:get 授予权限以获取日志聚类开关信息。 read - - lts:logCrux:enable 授予权限以开启日志聚类开关。 write - - lts:logCrux:disable 授予权限以关闭日志聚类开关。 write - - lts:logStream:updateChart 授予权限以更新用户日志看板。 write - - lts:logStream:createChart 授予权限以创建用户日志看板。 write - - lts:logStream:deleteChart 授予权限以删除用户日志看板。 write logStream * - lts:logStream:getChart 授予权限以获取用户日志看板。 read logStream * - lts:dashboard:deleteChart 授予权限以删除图表。 write dashboard * - lts:dashboard:listCharts 授予权限以展示仪表盘层级的图表。 list - - lts:dashboard:updateChart 授予权限以移动图表。 write dashboard * - lts:dashboard:getDashboard 授予权限以查询用户日志仪表盘。 read - - lts:dashboardGroup:getDashboardsGroup 授予权限以查询用户日志仪表盘分组。 read - - lts:dashboardGroup:updateDashboardsGroup 授予权限以修改用户日志仪表盘分组。 write - - lts:dashboardGroup:deleteDashboardsGroup 授予权限以更新用户日志仪表盘分组。 write - - lts:dashboard:CreateDashBoard 授予权限以根据日志仪表盘模板批量创建仪表盘。 write - - lts:dashboard:CreateDashBoardTemplate 授予权限以创建用户日志仪表盘模板。 write - - lts:dashboard:getDashBoardTemplate 授予权限以查询用户日志仪表盘模板。 read - - lts:dashboard:updateDashBoardTemplate 授予权限以修改用户日志仪表盘模板。 write - - lts:dashboard:deleteDashBoardTemplate 授予权限以删除用户日志仪表盘模板。 write - - lts:dashboardGroup:createLogDashboardTemplateGroup 授予权限以创建仪表盘模板分组。 write - - lts:dashboardGroup:updateLogDashboardTemplateGroup 授予权限以修改仪表盘模板分组。 write - - lts:dashboardGroup:deleteLogDashboardTemplateGroup 授予权限以删除用户日志仪表盘模板分组。 write - - lts:dashboard:listFilter 授予权限以查询仪表盘过滤器。 list dashboard * - lts:dashboard:createFilter 授予权限以创建仪表盘过滤器。 write dashboard * - lts:dashboard:updateFilter 授予权限以修改仪表盘过滤器。 write dashboard * - lts:dashboard:deleteFilter 授予权限以删除仪表盘过滤器。 write dashboard * - lts:alarmRule:listAlarmRules 授予权限以查询告警规则列表。 list - - lts:alarmRule:getKeywordsAlarmRule 授予权限以查询关键词告警规则。 read alarmRule * - lts:alarmRule:getSqlAlarmRule 授予权限以查询sql告警规则。 read alarmRule * - lts:alarm:listAlarmStatistic 授予权限以查询sql告警数据。 list - - lts:dashboard:update 授予权限以修改用户日志仪表盘。 write - - lts:dashboard:delete 授予权限以删除用户日志仪表盘。 write - - lts:logSearch:list 授予权限以获取集群列表，命名空间，组件，实例，日志，节点，日志文件页面组件列表，文件列表。 list - - lts:logSearch:getTime 授予权限以获取后端节点当前时间。 read - - lts:logSearch:getLogContext 授予权限以获取日志上下文。 read - - lts:logSearch:exportLogs 授予权限以下载日志。 write - - lts:ageingTime:get 授予权限以获取配额管理。 list - - lts:ageingTime:update 授予权限以修改配额管理。 write - - lts:logConfigPath:list 授予权限以查询VM日志路径配置。 list - - lts:logConfigPath:create 授予权限以新建VM日志路径配置。 write - - lts:structRule:get 授予权限以获取结构化规则。 read - - lts:structRule:create 授予权限以创建结构化规则。 write - - lts:structRule:delete 授予权限以删除结构化规则。 write - - lts:structRule:regex 授予权限以结构化提取。 write - - lts:logPail:list 授予权限以查询日志桶、桶内日志和日志柱状图。 list - - lts:structSql:list 授予权限以查询结构化日志。 list - - lts:logPail:create 授予权限以添加日志桶。 write - - lts:logPail:update 授予权限以修改日志桶。 list - - lts:logPail:delete 授予权限以删除日志桶。 write - - lts:storageRelation:list 授予权限以查询当前租户下的转储关系。 list - - lts:storageRelation:delete 授予权限以删除当前租户下的转储关系。 write - - lts:storage:batchAction 授予权限以周期性批量启停。 write - - lts:logPailDump:create 授予权限以添加日志转储。 write - - lts:statisticsRule:list 授予权限以查询统计规则。 list - - lts:statisticsRule:create 授予权限以创建统计规则。 write - - lts:statisticsRule:update 授予权限以修改统计规则。 write - - lts:statisticsRule:delete 授予权限以删除统计规则。 write - - lts:transfer:listKafkaInstanceTopic 授予权限以获取用户kafka所有topic。 list - - lts:logPackage:create 授予权限以购买资源包。 write - - lts:consumerGroup:create 授予权限以创建消费组。 write - - lts:consumerGroup:delete 授予权限以删除消费组。 write - - lts:consumerGroup:list 授予权限以查询消费组列表。 list - - lts:consumerGroup:get 授予权限以查询消费组详情。 read - - lts:consumerGroup:update 授予权限以修改消费组。 write - - lts:logStream:get 授予权限以获取日志流详情。 read - - lts:agency:listGroupAndStream 授予权限以获取委托方日志组日志流列表。 list - - lts:agency:listEps 授予权限以获取委托方EPS列表。 list - - lts:agency:listStructConfig 授予权限以获取委托方结构化配置。 list - - lts:logConverge:get 授予权限以获取多账号日志汇聚配置。 read - - lts:logConverge:update 授予权限以更新多账号日志汇聚配置。 write - - lts:logManager:createAggr 授予权限以创建快速分析聚合器。 write logStream * - lts:logManager:createAggrs 授予权限以批量创建快速分析聚合器。 write logStream * - lts:logManager:deleteAggr 授予权限以删除快速分析聚合器。 write logStream * - lts:logManager:deleteAggrs 授予权限以批量删除快速分析聚合器。 write logStream * - lts:logmanager:createLogFilter 授予权限以创建日志清洗规则。 write logStream * - lts:logmanager:listLogFilters 授予权限以查看日志清洗规则。 read logStream * - lts:logmanager:updateLogFilters 授予权限以修改日志清洗规则。 write logStream * - lts:logmanager:deleteLogFilters 授予权限以删除日志清洗规则。 write logStream * - lts:structConfig:regex 授予权限以正则结构化示例日志。 write - - LTS的API通常对应着一个或多个授权项。表2展示了API与授权项的关系，以及该API需要依赖的授权项。 表2 API与授权项的关系 API 对应的授权项 依赖的授权项 POST /v2/{project_id}/groups lts:logGroup:createLogGroup - DELETE /v2/{project_id}/groups/{log_group_id} lts:logGroup:deleteLogGroup - GET /v2/{project_id}/groups lts:logGroup:listLogGroup - POST /v2/{project_id}/groups/{log_group_id} lts:logGroup:updateLogGroup - POST /v2/{project_id}/groups/{log_group_id}/streams lts:logStream:createLogStream - PUT /v2/{project_id}/groups/{log_group_id}/streams-ttl/{log_stream_id} lts:logStream:updateLogStream - DELETE /v2/{project_id}/groups/{log_group_id}/streams/{log_stream_id} lts:logStream:deleteLogStream - GET /v2/{project_id}/groups/{log_group_id}/streams lts:logStream:listLogStream - GET /v2/{project_id}/log-streams lts:logStream:listLogStream - POST /v2/{project_id}/lts/keyword-count lts:logStream:searchLogHistogram - POST /v2/{project_id}/groups/{log_group_id}/streams/{log_stream_id}/content/query lts:logStream:searchLog - POST /v2/{project_id}/groups/{log_group_id}/streams/{log_stream_id}/struct-content/query lts:logStream:searchStructLog - POST /v2/{project_id}/streams/{log_stream_id}/struct-content/query lts:logStream:searchStructLog - POST /v2/{project_id}/log-dump/obs lts:transfer:createTransfer obs:bucket:PutBucketAcl obs:bucket:GetBucketAcl obs:bucket:HeadBucket POST /v2/{project_id}/transfers lts:transfer:createTransfer obs:bucket:PutBucketAcl obs:bucket:GetBucketAcl obs:bucket:GetEncryptionConfiguration obs:bucket:HeadBucket dis:streams:list dis:streamPolicies:list DELETE /v2/{project_id}/transfers lts:transfer:deleteTransfer - GET /v2/{project_id}/transfers lts:transfer:listTransfer - POST /v2/{project_id}/lts/dms/kafka-instance lts:transfer:registerDmsKafkaInstance dms:instance:list PUT /v2/{project_id}/transfers lts:transfer:updateTransfer obs:bucket:PutBucketAcl obs:bucket:GetBucketAcl obs:bucket:GetEncryptionConfiguration obs:bucket:HeadBucket dis:streams:list dis:streamPolicies:list POST /v2/{project_id}/collection/disable lts:configCenter:updateOverCollectSwitch - POST /v2/{project_id}/collection/enable lts:configCenter:updateOverCollectSwitch - POST /v3/{project_id}/lts/struct/template lts:structConfig:createStructConfig - POST /v2/{project_id}/lts/struct/template lts:structConfig:createStructConfig - DELETE /v2/{project_id}/lts/struct/template lts:structConfig:deleteStructConfig - GET /v3/{project_id}/lts/struct/customtemplate/list lts:structConfig:listStructTemplate - GET /v3/{project_id}/lts/struct/customtemplate lts:structConfig:listStructTemplate - GET /v2/{project_id}/lts/struct/template lts:structConfig:getStructConfig - PUT /v3/{project_id}/lts/struct/template lts:structConfig:updateStructConfig - PUT /v2/{project_id}/lts/struct/template lts:structConfig:updateStructConfig - POST /v2/{project_id}/lts/aom-mapping lts:mappingRule:create - DELETE /v2/{project_id}/lts/aom-mapping lts:mappingRule:delete - GET /v2/{project_id}/lts/aom-mapping/{rule_id} lts:mappingRule:get - GET /v2/{project_id}/lts/aom-mapping lts:mappingRule:list - PUT /v2/{project_id}/lts/aom-mapping lts:mappingRule:update - GET /v2/{project_id}/lts/notifications/topics lts:alarmNoticeTemplate:list smn:topic:list POST /v2/{project_id}/lts/alarms/sql-alarm-rule lts:alarmRule:createSqlAlarmRule - DELETE /v2/{project_id}/lts/alarms/sql-alarm-rule/{sql_alarm_rule_id} lts:alarmRule:deleteSqlAlarmRule - GET /v2/{project_id}/lts/alarms/sql-alarm-rule lts:alarmRule:listSqlAlarmRule - PUT /v2/{project_id}/lts/alarms/status lts:alarmRule:updateSqlAlarmRule - PUT /v2/{project_id}/lts/alarms/sql-alarm-rule lts:alarmRule:updateSqlAlarmRule - POST /v2/{project_id}/lts/alarms/keywords-alarm-rule lts:alarmRule:createWordAlarmRule - DELETE /v2/{project_id}/lts/alarms/keywords-alarm-rule/{keywords_alarm_rule_id} lts:alarmRule:deleteWordAlarmRule - GET /v2/{project_id}/lts/alarms/keywords-alarm-rule lts:alarmRule:listWordAlarmRule - PUT /v2/{project_id}/lts/alarms/keywords-alarm-rule lts:alarmRule:updateWordAlarmRule - POST /v2/{project_id}/{domain_id}/lts/alarms/sql-alarm/clear lts:alarm:cleanAlarm - POST /v2/{project_id}/{domain_id}/lts/alarms/sql-alarm/query lts:alarm:listAlarm - GET /v2/{project_id}/groups/{log_group_id}/streams/{log_stream_id}/charts lts:logStream:listChart - POST /v2/{project_id}/{domain_id}/lts/events/notification/templates lts:alarmNoticeTemplate:create - DELETE /v2/{project_id}/{domain_id}/lts/events/notification/templates lts:alarmNoticeTemplate:delete - POST /v2/{project_id}/{domain_id}/lts/events/notification/templates/view lts:alarmNoticeTemplate:list - GET /v2/{project_id}/{domain_id}/lts/events/notification/templates lts:alarmNoticeTemplate:list - GET /v2/{project_id}/{domain_id}/lts/events/notification/template/{template_name} lts:alarmNoticeTemplate:get - PUT /v2/{project_id}/{domain_id}/lts/events/notification/templates lts:alarmNoticeTemplate:update - POST /v3/{project_id}/lts/host-group lts:hostGroup:create - DELETE /v3/{project_id}/lts/host-group lts:hostGroup:delete - POST /v3/{project_id}/lts/host-list lts:host:list aom:icmgr:get aom:icmgr:list POST /v3/{project_id}/lts/host-group-list lts:hostGroup:list - PUT /v3/{project_id}/lts/host-group lts:hostGroup:update - POST /v3/{project_id}/lts/access-config lts:accessConfig:create - DELETE /v3/{project_id}/lts/access-config lts:accessConfig:delete - POST /v3/{project_id}/lts/access-config-list lts:accessConfig:list - PUT /v3/{project_id}/lts/access-config lts:accessConfig:update - POST /v1/{project_id}/{resource_type}/{resource_id}/tags/action lts:tag:create - POST /v1.0/{project_id}/groups/{group_id}/topics/{topic_id}/search-criterias lts:logStream:createQuickQuery - DELETE /v1.0/{project_id}/groups/{group_id}/topics/{topic_id}/search-criterias lts:logStream:deleteQuickQuery - GET /v1.0/{project_id}/groups/{group_id}/topics/{topic_id}/search-criterias lts:logStream:listQuickQuery - GET /v2/{project_id}/lts/history-sql lts:logStream:getHistorySql - GET /v1.0/{project_id}/lts/groups/{group_id}/search-criterias lts:logStream:listQuickQuery - POST /v1.0/{project_id}/lts/favorite lts:logFavorite:create - DELETE /v1.0/{project_id}/lts/favorite/{fav_res_id} lts:logFavorite:delete - POST /v2/{project_id}/dashboard lts:dashboard:create - POST /v2/{project_id}/lts/dashboard-group lts:dashboardGroup:create - POST /v2/{project_id}/lts/timeline-traffic-statistics lts:trafficStatistic:get - POST /v2/{project_id}/lts/topn-traffic-statistics lts:trafficStatistic:get -

条件（Condition） 条件键（Condition）是SCP生效的特定条件，包括条件键条件键和运算符运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：全局条件键全局条件键。 服务级条件键（前缀通常为服务缩写，如workspace:）仅适用于对应服务的操作，详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个 VPC终端节点 发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：运算符运算符。 云桌面 定义了以下可以在SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 云桌面支持的服务级条件键 服务级条件键 类型 单值/多值 说明 workspace:AccessMode string 多值 根据请求参数中指定的接入方式过滤访问，有效的条件值应为INTERNET、DEDICATED、BOTH。 workspace:CreateOrderType string FALSE 根据请求参数中指定的创建订单类型过滤访问，有效的条件值应为createDesktops、addVolumes、createDehHosts、rebuildDesktops、createDesktopPool、expandDesktopPool、applyDesktopsInternet、createExclusiveHosts、subscribeUserSharer、createApps。 workspace:ChangeOrderType string FALSE 根据请求参数中指定的变更订单类型过滤访问，有效的条件值应为resizeDesktops、expandVolumes、meteredToPeriod、ADD_VOLUME、EXTEND_VOLUME、RESIZE、CHANGE_IMAGE、ADD_SUB_RESOUR CES 、DELETE_SUB_RESOURCES。 workspace:AssociatePublicIp boolean FALSE 按照关联eip开关值筛选桌面绑定eip的权限。

操作（Action） 操作（Action）即为SCP中支持的授权项。 “访问级别”列描述如何对操作进行分类（list、read和write等）。此分类可帮助您了解在SCP中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。 资源类型支持通配符号*表示所有。如果此列没有值（-），则必须在SCP语句的Resource元素中指定所有资源类型（“*”）。 如果该列包含资源类型，则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号（*）标识，表示使用此操作必须指定该资源类型。 关于COC定义的资源类型的详细信息请参见资源类型（Resource）。 “条件键”列包括了可以在SCP语句的Condition元素中支持指定的键值。 如果该授权项资源类型列存在值，则表示条件键仅对列举的资源类型生效。 如果该授权项资源类型列没有值（-），则表示条件键对整个授权项生效。 如果此列条件键没有值（-），表示此操作不支持指定条件键。 关于COC定义的条件键的详细信息请参见条件（Condition）。 您可以在SCP语句的Action元素中指定以下COC的相关操作。 表1 COC支持的授权项 授权项 描述 访问级别 资源类型（*为必须） 条件键 coc:customDashboard:update 修改自定义看板的权限 write - - coc:customDashboard:get 查询自定义看板的权限。 read - - coc:document:create 创建文档 write document - coc:document:listRunbookAtomics 查看作业原子能力列表 list document - coc:document:getRunbookAtomicDetails 查询作业原子能力详情 read document - coc:document:list 查询文档列表 list document - coc:document:delete 删除文档 write document - coc:document:update 修改文档 write document - coc:document:get 查看文档 read document - coc:document:analyzeRisk 分析文档风险 read document - coc:systemConfig:get 获取系统配置详情的权限。 write - - coc:systemConfig:create 创建系统配置的权限。 read - - coc:job:list 查询工单详情 write job - coc:job:action 操作工单 write job - coc:instance:autoBatchInstances 实例自动化分批 list instance - coc:instance:executeDocument 在弹性云服务器上执行文档 write instance - coc:quota:get 查询配额 write - - coc:job:get 查询工单详情 write job - coc:schedule:list 查询定时任务列表的权限。 read schedule - coc:schedule:enable 启用定时任务的权限。 read schedule - coc:schedule:update 更新定时任务的权限。 list schedule - coc:schedule:disable 禁用定时任务列表的权限。 write schedule - coc:schedule:approve 审批定时任务列表的权限。 write schedule - coc:schedule:create 创建定时任务列表的权限。 write schedule - coc:schedule:delete 删除定时任务的权限。 write schedule - coc:schedule:count 查询定时任务数量的权限。 write schedule - coc:schedule:get 查询定时任务的权限。 write schedule - coc:schedule:getHistories 查询定时任务执行历史的权限。 read schedule - coc:parameter:list 查询参数列表的权限。 read parameter - coc:parameter:delete 删除参数的权限。 read parameter - coc:parameter:update 更新参数的权限。 list parameter - coc:parameter:create 创建参数的权限。 write parameter - coc:parameter:get 查询参数详情的权限 write parameter - coc:complianceReport:list 查询合规性报告列表权限。 write - - coc:patchBaseline:list 查询补丁基线列表的权限。 read - - coc:patchBaseline:get 查询补丁基线详情的权限。 list - - coc:patchBaseline:update 更新补丁基线的权限。 list - - coc:patchBaseline:registerDefault 设置默认补丁基线的权限。 write - - coc:patchBaseline:delete 删除补丁基线的权限。 write - - coc:patchBaseline:create 创建补丁基线的权限。 write - - coc:patchBaseline:getDefault 查询默认补丁基线的权限。 write - - coc:patchBaseline:opsSystemGet 查看补丁操作系统基线的权限。 write - - coc:complianceReport:get 查询合规性报告详情的权限。 read - - coc:instance:scanOSCompliance 服务器操作系统补丁扫描的权限。 read instance - coc:instance:installPatches 为弹性云服务器安装补丁的权限。 read instance - coc:patchBaseline:updateCustomBaseline 更新自定义基线的权限。 read - - coc:instance:startRDSInstance 启用RDS实例的权限。 write instance - coc:instance:stopRDSInstance 停止RDS实例的权限。 write instance - coc:instance:restartRDSInstance 重启RDS实例的权限。 write instance - coc:instance:start 启动云服务器的权限。 write instance - coc:instance:reboot 重启云服务器的权限。 write instance - coc:instance:stop 关闭云服务器的权限。 write instance - coc:serverResourcesDetail:get 获取ESC资源信息的权限。 write - - coc:instance:reinstallOS 重装弹性云服务器操作系统的权限。 write instance - coc:account:get 查询主机上已纳管的账号列表的权限 write - - coc:accountPasswordChangePolicy:get 查询已开启的改密策略的权限 write - - coc:accountEncryptionKey:list 查询已添加的DEW密钥的权限 write - - coc:accountBaseline:list 查询账号基线列表的权限 list accountBaseline - coc:accountAutoManagement:getRelations 查询已开启自动纳管的组件信息的权限 list - - coc:accountEncryptionKey:listDEWKeys 查询已拥有的DEW密钥的权限 list - - coc:accountBaseline:get 查询基线内的账号列表的权限 list accountBaseline - coc:accountBaseline:create 创建账号基线的权限 list accountBaseline - coc:accountBaseline:deleteAccount 删除基线中的账号的权限 list accountBaseline - coc:account:add 导入主机上的账号的权限 list - - coc:instance:resetPassword 重置主机的账号密码的权限 write instance - coc:accountBaseline:delete 删除账号基线的权限 write accountBaseline - coc:accountAutoManagement:updateStatus 更新自动纳管的状态的权限 write - - coc:accountAutoManagement:addRelations 按组件粒度开启自动纳管的权限 write - - coc:accountBaseline:update 修改账号基线的权限 write accountBaseline - coc:accountPasswordChangePolicy:disable 禁用改密策略的权限 write - - coc:accountAutoManagement:deleteRelations 按组件粒度关闭自动纳管的权限 write - - coc:accountPasswordChangePolicy:enable 启用改密策略的权限 write - - coc:accountEncryptionKey:add 添加加密密钥的权限 write - - coc:account:sync 同步主机上的账号的权限 write - - coc:account:getManagedStatus 查询纳管步骤状态的权限 write - - coc:account:getPassword 查询主机的账号密码的权限 write - - coc:accountAutoManagement:getStatus 查询自动纳管的开启状态的权限 write - - coc:hostiAccount:describe 账号自己的托管服务账号的信息。 read - - coc:vendorAccount:update 更新云厂商账户的权限。 read - - coc:application:GetDiagnosisTaskDetails 查询应用资源诊断任务的权限。 read application - coc:application:CreateDiagnosisTask 创建应用诊断任务的权限。 write application - coc:vendorAccount:list 查询云厂商账户列表的权限。 list - - coc:vendorAccount:create 创建云厂商账户的权限。 write - - coc:vendorAccount:delete 删除云厂商账户的权限。 list - - coc:customApplication:get 查询自定义应用详情的权限。 write application - coc:site:list 查询局点列表的权限。 write - - coc:instance:listResources 查询资源列表的权限。 list instance - coc:application:listResources 查询应用资源列表的权限。 list application - coc:application:list 查询应用列表的权限。 list application - coc:customApplication:list 查询自定义应用列表的权限。 list application - coc:application:listGroups 查询指定应用分组列表的权限。 list application - coc:region:list 查询region列表的权限。 list - - coc:application:deleteGroup 删除应用分组的权限。 list application - coc:application:updateResources 修改应用资源的权限。 list application - coc:application:create 创建应用的权限。 write application - coc:application:addResources 为应用添加资源的权限。 write application - coc:application:createGroup 创建应用分组的权限。 write application - coc:instance:syncResources 同步资源列表的权限。 write instance - coc:application:removeResources 移除应用资源的权限。 write application - coc:application:delete 删除应用的权限。 write application - coc:application:update 修改应用的权限。 write application - coc:application:updateGroup 修改应用分组的权限。 write application - coc:contingencyPlan:list 查询应急预案列表的权限。 write contingencyPlan - coc:contingencyPlan:delete 删除应急预案的权限。 write contingencyPlan - coc:contingencyPlan:create 创建应急预案的权限。 write contingencyPlan - coc:contingencyPlan:update 修改应急预案的权限。 list contingencyPlan - coc:wechatkey:create 创建企业微信应用密钥的权限。 write - - coc:wechatkey:delete 删除企业微信应用密钥的权限。 write - - coc:appkey:update 更新移动应用密钥的权限。 write - - coc:wechatkey:update 修改企业微信管理企业密钥的权限。 write - - coc:appkey:create 创建移动应用密钥的权限。 write - - coc:appkey:delete 删除移动应用密钥的权限。 write - - coc:appkey:get 查看移动应用密钥的权限。 write - - coc:wechatkey:get 查看企业微信应用密钥的权限。 write - - coc:systemConfig:update 修改系统配置的权限。 write - - coc:hostAccount:delete 托管sre账号刪除托管账号。 read - - coc:hostAccount:update 托管sre账号编辑托管账号。 read - - coc:hostAccount:disable 账号取消托管服务。 list - - coc:hostAccount:create 添加托管账号。 read - - coc:hostAccount:list 托管sre账号查询托管账号。 write - - coc:hostAccount:enable 账号开通托管服务。 write - - coc:systemConfig:list 获取系统配置列表的权限。 write - - coc:agency:create 创建租户委托的权限。 write - - coc:agency:get 查询租户下的委托信息。 read - - coc:notificationRule:get 查询通知规则详情的权限。 write - - coc:notification:listTypes 查询通知类型的权限。 write - - coc:notification:listTemplates 查询通知模板列表的权限。 read - - coc:notification:listModes 查询通知方式的权限。 list - - coc:notificationRule:list 查询通知规则列表的权限。 list - - coc:notificationRule:update 更新通知规则的权限。 list - - coc:notificationRule:delete 删除通知规则的权限。 list - - coc:notificationRule:create 创建通知规则的权限。 list - - coc:notificationRule:disable 停用通知规则的权限。 write - - coc:ticket:get 查询事件单详情的权限。 write - - coc:contingencyPlan:getHistories 查询应急预案历史的权限。 write contingencyPlan - coc:ticket:listEnumTypes 查询事件单枚举类型列表的权限。 write - - coc:ticket:listEnumValues 查询事件单枚举值列表的权限。 write - - coc:ticket:getOperationHistories 查询事件单操作历史的权限。 list - - coc:ticket:listActions 查询可以执行操作列表的权限。 list - - coc:ticket:getEnumValues 查询事件单枚举值详情的权限。 list - - coc:ticket:list 查询事件单列表的权限。 list - - coc:ticket:update 修改事件单的权限。 list - - coc:contingencyPlan:downloadFile 从应急预案下载附件的权限。 list contingencyPlan - coc:ticket:delete 删除事件单的权限。 list - - coc:ticket:downloadFile 为事件单下载附件的权限。 list - - coc:ticket:action 处理事件单的权限。 write - - coc:ticket:uploadFile 为事件单上传附件的权限。 write - - coc:ticket:create 创建事件单的权限。 write - - coc:contingencyPlan:uploadFile 为应急预案上传附件的权限。 write contingencyPlan - coc:ticket:getEnumTypes 查询事件单枚举类型详情的权限。 write - - coc:personnel:list 查询人员列表的权限。 write - - coc:personnel:update 更新人员信息的权限。 write - - coc:personnel:add 添加人员的权限。 write - - coc:personnel:remove 移除人员的权限。 read - - coc:notificationRule:confirm 确认通知规则的权限。 list - - coc:instance:changeOS 切换弹性云服务器操作系统的权限。 write instance - coc:oncall:listPersonnels 查询oncall排班人员列表的权限。 write - - coc:oncall:listScenes 查看oncall排班场景的权限。 write - - coc:oncall:listRoles 查询oncall排班角色的权限。 write - - coc:oncall:updatePersonnels 更新oncall排班人员的权限。 list - - coc:oncall:updateScene 更新oncall排班场景的权限。 list - - coc:oncall:removePersonnels 移除oncall排班人员的权限。 list - - coc:oncall:updateRole 更新oncall排班角色的权限。 write - - coc:oncall:createRole 创建oncall排班角色的权限。 write - - coc:oncall:deleteScene 删除oncall排班场景的权限。 write - - coc:oncall:deleteRole 删除oncall排班角色的权限。 write - - coc:oncall:addPersonnels 添加oncall排班人员的权限。 write - - coc:oncall:createScene 创建oncall排班场景的权限。 write - - coc:transferRule:get 查询流转规则详情的权限。 write - - coc:transferRule:list 查询流转规则列表的权限。 write - - coc:transferRule:delete 删除流转规则的权限。 write - - coc:transferRule:disable 停用流转规则的权限。 list - - coc:transferRule:enable 启用流转规则的权限。 list - - coc:transferRule:create 创建流转规则的权限。 write - - coc:transferRule:update 更新流转规则的权限。 write - - coc:notificationRule:enable 启用通知规则的权限。 write - - coc:transferRule:getHistory 查询流转最近事件消息的权限。 write - - coc:quotas:list 查询已购买配额列表的权限。 write - - coc:orders:change 更新coc订单的权限。 read - - coc:orders:create 创建coc订单的权限。 list - - coc:integration:list 查询集成配置列表的权限。 write - - coc:integration:get 查询集成配置详情的权限。 write - - coc:integration:getHistory 查询集成配置历史事件消息的权限。 list - - coc:integration:update 修改集成配置的权限。 list - - coc:integration:enable 启用集成配置的权限。 list - - coc:integration:disable 停用集成配置的权限。 write - - coc:integration:access 接入集成配置的权限。 write - - coc:integration:remove 移除集成配置的权限。 write - - coc:attackTargetRecord:list 查看攻击目标的执行记录列表的权限。 write attackTargetRecord - coc:drillPlan:list 查询演练规划列表的权限。 write drillPlan - coc:attackRecord:list 查看攻击记录列表的权限。 list attackRecord - coc:faultMode:list 查询故障模式列表的权限。 list faultMode - coc:monitorMetricRecord:list 查询监控指标数据列表的权限。 list - - coc:attackTask:list 查看攻击任务列表的权限。 list attackTask - coc:attackTarget:listCcePods 查询cce类型的攻击目标的pods列表的权限。 list - - coc:improvementTask:list 查询改进事项列表的权限。 list - - coc:drillTask:list 查看演练任务列表的权限。 list drillTask - coc:attackTarget:listCceWorkloads 查询cce类型的攻击目标的工作负载列表的权限。 list - - coc:attackTarget:listCceNamespaces 查询cce类型的攻击目标的命名空间列表的权限。 list - - coc:drillPlan:listDelay 查询演练规划延期列表的权限。 list drillPlan - coc:monitorMetric:list 查询监控指标列表的权限。 list - - coc:faultMode:delete 删除故障模式的权限。 list faultMode - coc:faultMode:update 更新故障模式的权限。 list faultMode - coc:drillTask:create 创建演练任务的权限。 write drillTask - coc:attackTargetRecord:operate 对攻击目标执行记录进行重试的权限。 write attackTargetRecord - coc:drillReport:create 创建演练报告的权限。 write - - coc:drillTask:delete 删除演练任务的权限。 write drillTask - coc:faultMode:create 创建故障模式的权限。 write faultMode - coc:drillRecord:create 启动演练的权限。 write drillRecord - coc:drillPlan:create 创建演练规划的权限。 write drillPlan - coc:drillReport:update 更新演练报告的权限。 write - - coc:application:CreateResourceTopo 创建资源topo的权限。 write application - coc:drillTask:update 修改演练任务的权限。 write drillTask - coc:improvementTask:create 创建改进事项的权限。 write - - coc:drillPlan:update 更新演练规划的权限。 write drillPlan - coc:attackRecord:changeMetricType 修改某个攻击记录下指标类型的权限。 write attackRecord - coc:improvementTask:update 处理改进事项的权限。 write - - coc:attackTask:create 创建攻击任务的权限。 write attackTask - coc:drillPlan:countStatus 查询指定演练规划状态数量的权限。 write drillPlan - coc:faultMode:get 查询指定故障模式详情的权限 read faultMode - coc:contingencyPlan:get 查询应急预案详情的权限。 read contingencyPlan - coc:drillRecord:get 查询演练记录详情的权限。 read drillRecord - coc:drillTask:get 查询演练任务详情的权限。 read drillTask - coc:drillPlan:countDelay 查询指定演练规划延期数量的权限。 read drillPlan - coc:improvementTask:get 查询改进事项详情的权限。 read - - coc:drillReport:get 查询演练报告详情的权限。 read - - coc:drillPlan:get 查询指定演练规划详情的权限 read drillPlan - coc:attackTask:get 查看攻击任务详情的权限。 read attackTask - coc:alarm:listHandleHistories 查询告警处理历史列表的权限。 read - - coc:alarm:list 查询告警列表的权限。 list - - coc:alarm:createAlarmLinkedIncident 创建告警关联事件的权限。 list - - coc:alarm:clear 清除告警的权限。 write - - coc:instance:getAlarms 查看某个资源的告警列表的权限。 write instance - coc:alarm:get 查询告警信息的权限。 read - - coc:alarm:count 查询告警数量的权限。 read - - coc:instance:listAlarms 查询全部资源的告警列表的权限。 read instance - coc:task:list 查询运维事务列表的权限。 list - - coc:task:create 创建运维事务的权限 list - - coc:task:complete 结束运维事务的权限。 write - - coc:task:cancel 取消运维事务的权限。 write - - coc:task:accept 受理运维事务的权限 write - - coc:task:get 查询运维事务详情的权限 write - - coc:task:count 查询运维事务列表的权限。 read - - coc:warroom:get 查询warroom详情的权限。 read - - coc:warroom:listConfigurations 查询warroom公共枚举配置的权限。 list - - coc:warroom:list 查询warroom列表的权限。 write - - coc:warroom:listNotificationTemplates 查询warroom通告模板列表的权限。 list - - coc:warroom:listMeetings 查询warroom会议列表的权限。 list - - coc:warroom:listRoles 查询warroom角色列表的权限。 list - - coc:warroom:listAffectedApplications 查询warroom受影响应用列表的权限。 list - - coc:warroomMeetingRule:list 查询warroom起会规则列表的权限。 list - - coc:warroom:getOperationHistory 查询warroom操作历史的权限。 list - - coc:warroom:addRolePersonnels 在warroom中添加角色用户的权限。 list - - coc:warroom:modifyBasicInformation 修改warroom基本信息的权限。 list - - coc:warroomMeetingRule:delete 删除warroom起会规则的权限。 list - - coc:warroom:addAffectedApplications 在warroom中添加受影响应用的权限。 write - - coc:warroom:addPersonnels 在warroom中添加人员的权限。 write - - coc:warroomMeetingRule:update 更新warroom起会规则的权限。 write - - coc:warroom:removeAffectedApplications 在warroom中移除受影响应用的权限。 write - - coc:warroom:sendNotification 在warroom中更新/发送通告的权限。 write - - coc:warroom:removePersonnels 在warroom中移除人员的权限。 write - - coc:warroom:create 创建warroom的权限。 write - - coc:warroom:sendNotificationBriefing 在warroom中发送通知简报的权限。 write - - coc:warroom:updateAffectedApplications 在warroom中更新受影响应用的权限。 write - - coc:warroomMeetingRule:create 创建warroom起会规则的权限。 write - - coc:slo:list 查询slo列表的权限。 write - - coc:slo:listSli 查询sli列表的权限。 write - - coc:slo:update 修改slo的权限。 write - - coc:slo:delete 删除slo的权限。 list - - coc:slo:updateSli 更新sli列表的权限。 list - - coc:slo:listInterruptRecords 查询中断记录列表的权限。 write - - coc:slo:listInterruptRecordsChangeHistory 创建中断记录修改历史的权限。 write - - coc:slo:updateInterruptRecords 更新中断记录的权限。 write - - coc:slo:createInterruptRecords 创建中断记录的权限。 list - - coc:slaTemplate:list 查询sla模板列表的权限。 list slaTemplate - coc:slaRecord:list 查询sla工单列表的权限。 write - - coc:slo:get 查询slo详情的权限。 write - - coc:slaTemplate:update 修改sla模板的权限。 list slaTemplate - coc:slaTemplate:enable 启用sla模板的权限。 list slaTemplate - coc:slaTemplate:delete 删除sla模板的权限。 list slaTemplate - coc:slaTemplate:disable 禁用sla模板的权限。 write slaTemplate - coc:slaTemplate:create 创建sla模板的权限。 write slaTemplate - coc:slo:create 创建slo的权限。 write - - coc:slaTemplate:get 查询sla模板详情的权限。 write slaTemplate - coc:slaRecord:get 查询sla工单详情的权限。 write - - coc:prrTemplate:list 查看prr模板列表的权限。 write - - coc:prrReview:list 查看prr评审列表的权限。 read - - coc:prrCheckItem:list 查看prr检查项列表的权限。 read - - coc:prrTemplate:create 创建prr模板的权限。 list - - coc:prrReview:create 发起prr评审的权限。 list - - coc:prrReview:addImprovementTask 添加PRR改进事项的权限。 list - - coc:prrReview:update 继续发起prr评审的权限。 write - - coc:prrTemplate:delete 删除prr模板的权限。 write - - coc:prrTemplate:update 修改prr模板的权限。 write - - coc:prrReview:auditResult 录入prr审核结论的权限。 write - - coc:prrReview:delete 撤销prr评审的权限。 write - - coc:prrReview:recordSummary 录入prr评审纪要的权限。 write - - coc:prrTemplate:get 查询prr模板详情的权限。 write - - coc:prrReview:get 查询prr评审详情的权限。 write - - coc:tag:list 查询标签列表的权限。 write - - coc:tag:create 创建标签的权限。 read - - coc:*:listSSHKeypairs 查询SSH秘钥列表的权限。 read - - COC的API通常对应着一个或多个授权项。表2 API与授权项的关系展示了API与授权项的关系，以及该API需要依赖的授权项。 表2 API与授权项的关系 API 对应的授权项 依赖的授权项 GET /v1/patch/instance/compliant coc:instance:scanOSCompliance - GET /v1/patch/instance/compliant/{instance_compliant_id} coc:instance:scanOSCompliance - POST /v1/job/scripts coc:document:create - DELETE /v1/job/scripts/{script_uuid coc:document:delete - POST /v1/job/scripts/{script_uuid} coc:instance:executeDocument - GET /v1/job/scripts/{script_uuid} coc:document:get - GET /v1/job/scripts coc:document:list - PUT /v1/job/scripts/{script_uuid} coc:document:update - GET /v1/job/script/orders/{execute_uuid}/batches/{batch_index} coc:instance:autoBatchInstances - GET /v1/job/script/orders/{execute_uuid} coc:job:get - GET /v1/job/script/orders/{execute_uuid}/statistics coc:job:get - GET /v1/job/script/orders/{execute_uuid}/batches coc:instance:autoBatchInstances - GET /v1/job/script/orders coc:job:list - PUT /v1/job/script/orders/{execute_uuid}/operation coc:job:action - GET /v1/resources coc:instance:countResources - POST https://coc-intl.myhuaweicloud.com/v1/resources/sync coc:instance:syncResources - GET https://coc-intl.myhuaweicloud.com/v1/applications coc:application:countResourceRelations -

管理组织的待处理邀请 登录到管理账号后，您可以查看和管理组织创建的邀请，具体步骤如下。 以组织管理员或管理账号的身份登录华为云，进入华为云Organizations控制台，进入账号管理页面。 选择“邀请记录”页签，此页面展示组织发送的所有邀请及当前状态。 单击邀请记录操作列的“取消邀请” ，在弹框中单击“确定”可完成邀请取消。您只能取消“邀请中”的账号。 取消邀请后，邀请的状态将从“邀请中”更改为 “已取消”。邀请取消后若要再次邀请当前账号，则必须重新发出邀请，才能让其加入您的组织。 图3 取消邀请

向账号发送邀请 您可通过以下步骤，邀请其他账号加入组织，成为组织的成员账号。注意，邀请进入组织的成员账号会默认放置到根OU中，更换所属OU请参见移动账号。 以组织管理员或管理账号的身份登录华为云，进入华为云Organizations控制台，进入组织管理页面。 单击组织结构树上方的“添加”，单击“添加账号”。 图1 添加账号 在弹窗中，选择“邀请现有账号”，输入邀请账号的账号名或账号ID。 如何获取账号名和账号ID请参见：获取账号名和ID。 图2 邀请现有账号 （可选）为账号添加标签。 标签以键值对的形式表示，用于标识账号，便于对账号进行分类和搜索。一个账号最多添加20个标签。 标签的设置说明如表1所示。 表1 标签说明 参数 说明 举例 键 输入标签的键，同一个账号标签的键不能重复。键可以自定义，也可以选择预先在标签管理服务（TMS）创建好的标签的键。 键命名规则如下： 不能为空。 长度为1~128个字符。 由英文字母、数字、下划线、中划线、UNICODE字符（\u4E00-\u9FFF）组成。 Key_0001 值 输入标签的值，标签的值可以重复，并且可以为空。 标签值的命名规则如下： 可以为空。 长度为1~225个字符。 由英文字母、数字、下划线、点、中划线、UNICODE字符（\u4E00-\u9FFF）组成。 Value_0001 单击“确定”，即可向受邀账号发出邀请。

接受或拒绝来自组织的邀请 您的账号可能会收到加入某个组织的邀请，您可以接受或拒绝邀请。 一个账号只能加入一个组织。如果您收到多个加入组织邀请，只能接受其中一个。如果当前您已加入组织，则需要退出当前组织后，才能再次接受组织邀请。 以受邀成员账号的身份登录华为云，进入华为云Organizations控制台。 此时界面会向你展示邀请列表。接受邀请则单击对应邀请操作列的“接受”，拒绝邀请则单击对应邀请操作列的“拒绝”。 图4 接受或拒绝邀请

运算符 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，策略才能生效。运算符可以增加后缀“IfExists”，表示对应请求值为空或满足条件的请求值均使策略生效，如“StringEqualsIfExists”表示请求值为空或请求值等于条件值均使策略生效。运算符为字符串型运算符，表格中如未增加说明，不区分大小写。 String类型 表3 String类型运算符 类型 运算符 说明 String StringEquals 请求值与任意一个条件值相同（区分大小写）。 StringNotEquals 请求值与所有条件值都不同（区分大小写）。 StringEqualsIgnoreCase 请求值与任意一个条件值相同。 StringNotEqualsIgnoreCase 请求值与所有条件值都不同。 StringMatch 请求值符合任意一个条件值的正则表达式（区分大小写，正则表达式仅支持*和?）。 StringNotMatch 请求值不符合所有条件值的正则表达式（区分大小写，正则表达式仅支持*和?）。 示例：禁止用户名为ZhangSan的请求者删除和修改资源共享实例。 { "Version": "5.0", "Statement": [ { "Effect": "Deny", "Action": [ "ram:resourceShares:delete", "ram:resourceShares:update" ], "Condition": { "StringEquals": { "g:DomainName": [ "ZhangSan" ] } } } ] } Number类型 表4 Number类型运算符 类型 运算符 说明 Number NumberEquals 请求值等于任意一个条件值。 NumberNotEquals 请求值不等于所有条件值。 NumberLessThan 请求值小于任意一个条件值。 NumberLessThanEquals 请求值小于或等于任意一个条件值。 NumberGreaterThan 请求值大于任意一个条件值。 NumberGreaterThanEquals 请求值大于或等于任意一个条件值。 Date类型 表5 Date类型运算符 类型 运算符 说明 Date DateLessThan 请求值早于任意一个条件值。 DateLessThanEquals 请求值早于或等于任意一个条件值。 DateGreaterThan 请求值晚于任意一个条件值。 DateGreaterThanEquals 请求值晚于或等于任意一个条件值。 示例：请求者禁止在2022年8月1日前访问 RAM 服务。 { "Version": "5.0", "Statement": [ { "Effect": "Deny", "Action": [ "ram:*:*" ], "Condition": { "DateLessThan": { "g:CurrentTime": [ "2022-08-01T00:00:00Z" ] } } } ] } Bool类型 表6 Bool类型运算符 类型 运算符 说明 Bool Bool 条件值可选值：true、false。请求值等于条件值。 Null类型 表7 Null类型运算符 类型 运算符 说明 Null Null 条件值可选值：true、false。条件值为true，要求请求值不存在或者值为null；条件值为false，要求请求值必须存在且值不为null。 IP类型 表8 IP类型运算符 类型 运算符 说明 IP IpAddress 指定IP地址或者IP范围。 NotIpAddress 指定IP地址或者IP范围之外的所有IP地址。 示例：拒绝IP地址在10.27.128.0到10.27.128.255范围内的请求修改指定的永久访问密钥。 { "Version": "5.0", "Statement": [ { "Effect": "Deny", "Action": [ "iam:credentials:updateCredentialV5" ], "Condition": { "IpAddress": { "g:SourceIp": [ "10.27.128.0/24" ] } } } ] } “IfExists”运算符后缀 除Null运算符以外，您可以在任何条件运算符名称的末尾添加IfExists，例如：StringEqualsIfExists。如果请求的内容中存在条件键，则依照策略所述来进行匹配。如果该键不存在，则该条件元素的匹配结果将为true。