操作（Action） 操作（Action）即为SCP中支持的授权项。 “访问级别”列描述如何对操作进行分类（list、read和write等）。此分类可帮助您了解在SCP中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。 资源类型支持通配符号*表示所有。如果此列没有值（-），则必须在SCP语句的Resource元素中指定所有资源类型（“*”）。 如果该列包含资源类型，则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号（*）标识，表示使用此操作必须指定该资源类型。 关于BSS定义的资源类型的详细信息请参见资源类型（Resource）。 “条件键”列包括了可以在SCP语句的Condition元素中支持指定的键值。 如果该授权项资源类型列存在值，则表示条件键仅对列举的资源类型生效。 如果该授权项资源类型列没有值（-），则表示条件键对整个授权项生效。 如果此列条件键没有值（-），表示此操作不支持指定条件键。 关于BSS定义的条件键的详细信息请参见表1。 您可以在SCP语句的Action元素中指定以下BSS的相关操作。 表1 BSS 支持的授权项 授权项 描述 访问级别 资源类型（*为必须） 条件键 billing:contract:viewDiscount 授予查看商务折扣的权限 read - - billing:balance:view 授予查看收支明细，付款历史记录，消费配额，调账记录，欠费查询的权限 list - - billing:coupon:view 授予查看优惠券、储值卡、激活代金券的权限 read - - billing:order:view 授予查看订单信息、查看按需套餐包的权限 list - - billing:order:pay 授予支付订单的权限 write - - billing:subscription:renew 授予续费、设置自动续费、设置到期策略、按需转包年/包月的权限 write billing:subscription:unsubscribe 授予查看可退订资源，退订资源，取消发货，硬件退换货的权限 write - - billing:resourcePackages:view 授予查看资源包，剩余量汇总，使用明细查询/导出的权限 list - - billing:billDetail:view 授予查看账单明细的权限 read - - billing:bill:view 授予查看账单、本月消费、近7天扣费资源，消费走势的权限 list - - costCenter:costAnalysis:listCosts 授予查看成本分析的权限 read - - Billing::activeEPFinance 授予开通企业项目功能的权限 write - - businessUnitCenter:businessUnit:view 授予查看组织与账号的权限 read - - businessUnitCenter:businessUnitFinance:view 授予查看企业组织财务信息的权限 read - - businessUnitCenter:businessUnit:update 授予修改企业组织与子账号的权限 write - - businessUnitCenter:businessUnitFinance:update 授予修改企业组织财务信息的权限 write - - Billing::updateEPFundQuota 授予开通企业项目功能的权限 write - - Billing::viewEPFundQuota 授予查询企业项目资金配额的权限 read - - Billing::activeEPFundQuota 授予开通/关闭企业项目资金配额功能的权限 write - - BSS的API通常对应着一个或多个授权项。表2展示了API与授权项的关系，以及该API需要依赖的授权项。 表2 API与授权项的关系（当前API均无需要依赖的授权项） 场景 子场景 接口名称 接口URL 授权项 授权项描述 管理产品 查询商品价格 查询按需产品价格 POST /v2/bills/ratings/on-demand-resources billing:contract:viewDiscount 查看折扣、价格信息。 查询包年/包月产品价格 POST /v2/bills/ratings/period-resources/subscribe-rate billing:contract:viewDiscount 查看折扣、价格信息 查询待续订包年/包月资源的续订金额 POST /v2/bills/ratings/period-resources/renew-rate billing:contract:viewDiscount 查看折扣、价格信息。 管理产品 查询商品价格 查询待退订包年/包月资源的退订金额 POST /v2/bills/ratings/period-resources/unsubscribe-rate billing:contract:viewDiscount 查看折扣、价格信息。 管理账户 管理账户 查询账户余额 GET /v2/accounts/customer-accounts/balances billing:balance:view 查看账户信息。 查询储值卡列表 GET /v2/promotions/benefits/stored-value-cards billing:coupon:view 查看优惠券、现金券、代金券。 查询收支明细 GET /v2/accounts/customer-accounts/account-change-records billing:balance:view 查看账户信息。 管理交易 管理优惠券 查询优惠券列表 GET /v2/promotions/benefits/coupons billing:coupon:view 查看优惠券、现金券、代金券。 管理包年/包月订单 查询订单列表 GET /v2/orders/customer-orders billing:order:view 查看订单信息。 查询订单详情 GET /v2/orders/customer-orders/details/{order_id} billing:order:view 查看订单信息。 支付包年/包月产品订单 POST /v2/orders/customer-orders/pay billing:order:pay 订单支付。 查询订单可用优惠券 GET /v2/orders/customer-orders/order-coupons billing:order:view 查看订单信息。 查询订单可用折扣 GET /v2/orders/customer-orders/order-discounts billing:contract:viewDiscount 查看折扣、价格信息。 支付包年/包月产品订单 POST /v3/orders/customer-orders/pay billing:order:pay 订单支付。 查询退款订单的金额详情 GET /v2/orders/customer-orders/refund-orders billing:order:view 查看订单信息。 管理包年/包月资源 查询客户包年/包月资源列表 POST /v2/orders/suscriptions/resources/query billing:order:view 查看订单信息。 续订包年/包月资源 POST /v2/orders/subscriptions/resources/renew billing:subscription:renew 下单、取消订单、修改收货地址。 退订包年/包月资源 POST /v2/orders/subscriptions/resources/unsubscribe billing:subscription:unsubscribe 下单、取消订单、修改收货地址。 云服务粒度退订鉴权常见问题. 设置包年/包月资源自动续费 POST /v2/orders/subscriptions/resources/autorenew/** billing:subscription:renew 下单、取消订单、修改收货地址。 取消包年/包月资源自动续费 DELETE /v2/orders/subscriptions/resources/autorenew/{resource_id} billing:subscription:renew 下单、取消订单、修改收货地址。 设置或取消包年/包月资源到期转按需 POST /v2/orders/subscriptions/resources/to-on-demand billing:subscription:renew 下单、取消订单、修改收货地址。 管理资源包 查询资源包列表 POST /v3/payments/free-resources/query billing:resourcePackages:view 查看账单、月度成本、用量明细、成本管理、收支以及总览页面的费用走势。 查询资源包使用明细 GET /v2/bills/customer-bills/free-resources-usage-records billing:billDetail:view 查看消费明细、资源消费、账单分析、付款历史记录。 查询资源包使用量 POST /v2/payments/free-resources/usages/details/query billing:resourcePackages:view 查看账单、月度成本、用量明细、成本管理、收支以及总览页面的费用走势。 管理账单 管理账单 查询资源详单 POST /v2/bills/customer-bills/res-records/query billing:billDetail:view 查看消费明细、资源消费、账单分析、付款历史记录。 查询汇总账单 GET /v2/bills/customer-bills/monthly-sum billing:bill:view 查看账单、月度成本、用量明细、成本管理、收支以及总览页面的费用走势。 查询资源消费记录 GET /v2/bills/customer-bills/res-fee-records billing:bill:view 查看账单、月度成本、用量明细、成本管理、收支以及总览页面的费用走势。 查询流水账单 GET /v2/bills/customer-bills/fee-records billing:bill:view 查看账单、月度成本、用量明细、成本管理、收支以及总览页面的费用走势。 查询95计费资源用量 查询95计费资源用量明细 GET /v2/bills/customer-bills/resources/usage/details billing:billDetail:view 查看消费明细、资源消费、账单分析、付款历史记录。 查询95计费资源用量汇总 GET /v2/bills/customer-bills/resources/usage/summary billing:resourcePackages:view 查看账单、月度成本、用量明细、成本管理、收支以及总览页面的费用走势。 管理账单 管理账单 查询资源消费记录（for 爱奇艺） GET /v2/bills/customer-bills/res-fee-details billing:bill:view 查看账单、月度成本、用量明细、成本管理、收支以及总览页面的费用走势。 查询整机资源详单 GET /v2/bills/customer-bills/res-merge-records billing:billDetail:view 查看消费明细、资源消费、账单分析、付款历史记录。 查询客户资源按天消费汇总 POST /v1.0/{domain_id}/customer/account-mgr/bill/resource-daily billing:bill:view 查看账单、月度成本、用量明细、成本管理、收支以及总览页面的费用走势。 管理成本 管理成本 查询月度成本 GET /v2/costs/cost-analysed-bills/monthly-breakdown costCenter:costAnalysis:listCosts 查看成本分析。 查询成本数据 POST /v4/costs/cost-analysed-bills/query costCenter:costAnalysis:listCosts 查看成本分析。 管理成本 管理成本 查询成本数据分析结果 POST /v3/costs/cost-analysed-bills/query costCenter:costAnalysis:listCosts 查看成本分析。 查询成本数据分析结果 POST /v2/costs/cost-analysed-bills/query costCenter:costAnalysis:listCosts 查看成本分析。 管理企业 管理企业项目 开通客户企业项目权限 POST /v2/enterprises/enterprise-projects/authority Billing::activeEPFinance 开通企业项目功能。 管理企业多账号 查询企业子账号列表 GET /v2/enterprises/multi-accounts/sub-customers businessUnitCenter:businessUnit:view 企业中心组织与账号查看权限。 查询企业组织结构 GET /v2/enterprises/multi-accounts/enterprise-organizations businessUnitCenter:businessUnit:view 企业中心组织与账号查看权限。 查询企业主的可拨款余额 GET /v2/enterprises/multi-accounts/transfer-amount businessUnitCenter:businessUnitFinance:view 查看企业组织财务信息。 查询企业子账号可回收余额 GET /v2/enterprises/multi-accounts/retrieve-amount businessUnitCenter:businessUnitFinance:view 查看企业组织财务信息。 创建企业子账号 POST /v2/enterprises/multi-accounts/sub-customers businessUnitCenter:businessUnit:view 修改企业组织与子账号 企业主账号向企业子账号拨款 POST /v2/enterprises/multi-accounts/transfer-amount businessUnitCenter:businessUnitFinance:update 修改企业组织财务信息。 企业主账号从企业子账号回收余额 POST /v2/enterprises/multi-accounts/retrieve-amount businessUnitCenter:businessUnitFinance:update 修改企业组织财务信息。 查询企业主账号可拨款优惠券列表 GET /v2/enterprises/multi-accounts/transfer-coupons businessUnitCenter:businessUnitFinance:view 查看企业组织财务信息 查询企业子账号可回收优惠券列表 GET /v2/enterprises/multi-accounts/retrieve-coupons businessUnitCenter:businessUnitFinance:view 查看企业组织财务信息 企业主账号向企业子账号拨款优惠券 POST v2/enterprises/multi-accounts/transfer-coupon businessUnitCenter:businessUnitFinance:update 修改企业组织财务信息 企业主账号从企业子账号回收优惠券 POST /v2/enterprises/multi-accounts/retrieve-coupon businessUnitCenter:businessUnitFinance:update 修改企业组织财务信息 管理企业 管理企业多账号 修改企业项目资金配额 PUT /v1.0/{domain_id}/customer/enterprise-project/fund-quotas Billing::updateEPFundQuota 修改企业项目资金配额财务。 查询企业项目资金配额 POST /v1.0/{domain_id}/customer/enterprise-project/fund-quotas/batch-query Billing::viewEPFundQuota 查询企业项目资金配额。 关闭企业项目资金配额 DELETE /v1.0/{domain_id}/customer/enterprise-project/fund-quotas Billing::activeEPFundQuota 修改企业项目资金配额。 开通企业项目资金配额 POST /v1.0/{domain_id}/customer/enterprise-project/fund-quotas Billing::activeEPFundQuota 修改企业项目资金配额。

条件（Condition） 条件键（Condition）是SCP生效的特定条件，包括条件键条件键和运算符运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：全局条件键全局条件键。 服务级条件键（前缀通常为服务缩写，如workspace:）仅适用于对应服务的操作，详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个 VPC终端节点 发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：运算符运算符。 云桌面 定义了以下可以在SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 云桌面支持的服务级条件键 服务级条件键 类型 单值/多值 说明 workspace:AccessMode string 多值 根据请求参数中指定的接入方式过滤访问，有效的条件值应为INTERNET、DEDICATED、BOTH。 workspace:CreateOrderType string FALSE 根据请求参数中指定的创建订单类型过滤访问，有效的条件值应为createDesktops、addVolumes、createDehHosts、rebuildDesktops、createDesktopPool、expandDesktopPool、applyDesktopsInternet、createExclusiveHosts、subscribeUserSharer、createApps。 workspace:ChangeOrderType string FALSE 根据请求参数中指定的变更订单类型过滤访问，有效的条件值应为resizeDesktops、expandVolumes、meteredToPeriod、ADD_VOLUME、EXTEND_VOLUME、RESIZE、CHANGE_IMAGE、ADD_SUB_RESOUR CES 、DELETE_SUB_RESOURCES。 workspace:AssociatePublicIp boolean FALSE 按照关联eip开关值筛选桌面绑定eip的权限。

条件（Condition） 条件键概述 条件（Condition）是SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：全局条件键。 服务级条件键（前缀通常为服务缩写，如SWR仅适用于对应服务的操作，详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个VPC终端节点发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：运算符。 SWR支持的服务级条件键 SWR定义了以下可以在SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 SWR支持的服务级条件键 服务级条件键 类型 单值/多值 说明 swr:TargetOrgPath string 单值 按照共享目标账号所处的组织路径进行权限控制。 swr:TargetOrgId string 单值 按照共享目标账号所处的组织Id进行权限控制。 swr:TargetAccountId string 单值 按照共享目标账号Id进行权限控制。 swr:VpcId string 单值 按照用户VPC ID进行权限控制。 swr:SubnetId string 单值 按照用户Subnet ID进行权限控制。 swr:EnablePublicNameSpace boolean 单值 限制企业仓库是否允许创公开组织。 swr:EnableObsEncrypt boolean 单值 限制企业版实例是否必须使用加密桶。 swr:AllowPublicAccess boolean 单值 对镜像是否可以公开进行权限控制。 swr:TargetRegion string 单值 根据目标区域进行权限控制。

使用限制 单账号跟踪的事件可以通过 云审计 控制台查询。多账号的事件只能在账号自己的事件列表页面去查看，或者到组织追踪器配置的OBS桶中查看，也可以到组织追踪器配置的 CTS /system日志流下面去查看。 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录，您必须配置转储到 对象存储服务 (OBS)或 云日志 服务(LTS)，才可在OBS桶或LTS日志组里面查看历史事件信息。否则，您将无法追溯7天以前的操作记录。 云上操作后，1分钟内可以通过云审计控制台查询管理类事件操作记录，5分钟后才可通过云审计控制台查询数据类事件操作记录。 CTS新版事件列表不显示数据类审计事件，您需要在旧版事件列表查看数据类审计事件。

条件（Condition） 条件键（Condition）是SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，组织将自动获取并鉴权。详情请参见：全局条件键。 服务级条件键（前缀通常为服务缩写，如DEW:）仅适用于对应服务的操作，详情请参见表 DEW支持的服务级条件键。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个VPC终端节点发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：运算符。 DEW定义了以下可以在SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 KPS服务不支持在身份策略中的条件键中配置服务级的条件键。 表9 DEW支持的服务级条件键 服务级条件键 类型 单值/多值 说明 kms:EncryptionAlgorithm string 单值 根据请求中的加解密算法的值过滤对加解密操作的访问。 kms:GranteePrincipalType string 单值 根据请求中的授权主体类型约束过滤对CreateGrant操作的访问。 kms:GrantOperations string 多值 根据需要授权的操作过滤对CreateGrant操作的访问权限。 kms:GranteePrincipal string 单值 根据授权中的被授权方主体过滤对CreateGrant操作的访问权限。 kms:KeyOrigin string 单值 根据创建或使用操作KMS密钥的origin属性过滤对API操作的访问。 kms:KeySpec string 单值 根据创建或使用操作KMS密钥的key_spec属性过滤对API操作的访问。 kms:KeyUsage string 单值 根据创建或使用操作KMS密钥的key_usage属性过滤对API操作的访问。 kms:MessageType string 单值 根据请求中的message_type参数的值过滤对签名和验证签名操作的访问。 kms:RetiringPrincipal string 单值 根据授权中的retiring_principal筛选对CreateGrant操作的访问。 kms:SigningAlgorithm string 单值 根据请求中的signing_algorithm过滤对签名和验证操作的访问。 kms:ExpirationTime date 单值 根据请求中的expiration_time参数的值过滤对ImportKeyMaterial操作的访问。 kms:WrappingAlgorithm string 单值 根据请求中的wrapping_algorithm参数的值过滤对CreateParametersForImport操作的访问。 kms:RecipientAttestation string 单值 根据请求中证明文档的平台配置寄存器（PCR）值控制CreateDatakey、DecryptData、DecryptDatakey和CreateRandom操作的访问。 kms:MacAlgorithm string 单值 根据请求中的mac_algorithm过滤对生成/校验消息验证码操作的访问。 csms:Type string 单值 根据凭据的类型筛选访问权限。

条件（Condition） 条件（Condition）是SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：请参考全局条件键。 服务级条件键（前缀通常为服务缩写，如scm:）仅适用于对应服务的操作，详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个VPC终端节点发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：运算符。 SCM定义了以下可以在SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 SCM支持的服务级条件键 服务级条件键 类型 单值/多值 说明 scm:DomainNames string 多值 根据请求参数中的 域名 过滤访问。 scm:ValidationMethod string 单值 根据请求参数中的验证方式过滤访问。 scm:KeyAlgorithm string 单值 根据请求参数中的密钥算法过滤访问。

条件（Condition） 条件（Condition）是SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：全局条件键。 服务级条件键（前缀通常为服务缩写，如SWR仅适用于对应服务的操作，详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个VPC终端节点发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：运算符。 SWR定义了以下可以在SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 SWR支持的服务级条件键 服务级条件键 类型 单值/多值 说明 swr:TargetOrgPath string 单值 按照共享目标账号所处的组织路径进行权限控制。 swr:TargetOrgId string 单值 按照共享目标账号所处的组织Id进行权限控制。 swr:TargetAccountId string 单值 按照共享目标账号Id进行权限控制。

操作（Action） 操作（Action）即为身份策略中支持的授权项。 “访问级别”列描述如何对操作进行分类（list、read和write等）。此分类可帮助您了解在身份策略中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。 资源类型支持通配符号*表示所有。如果此列没有值（-），则必须在身份策略语句的Resource元素中指定所有资源类型（“*”）。 如果该列包含资源类型，则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号（*）标识，表示使用此操作必须指定该资源类型。 关于 GaussDB (for MySQL)定义的资源类型的详细信息请参见资源类型（Resource）。 “条件键”列包括了可以在身份策略语句的Condition元素中支持指定的键值。 如果该授权项资源类型列存在值，则表示条件键仅对列举的资源类型生效。 如果该授权项资源类型列没有值（-），则表示条件键对整个授权项生效。 如果此列条件键没有值（-），表示此操作不支持指定条件键。 关于GaussDB(for MySQL)定义的条件键的详细信息请参见条件（Condition）。 您可以在SCP语句的Action元素中指定以下GaussDB(for MySQL)的相关操作。 表1 GaussDB(for MySQL)支持的授权项 授权项 描述 访问级别 资源类型（*为必须） 条件键 gaussdbformysql:backup:modifyPolicy 授予设置自动备份策略的权限。 permission_management - - gaussdbformysql:param:delete 授予删除参数组的权限。 permission_management - - gaussdbformysql:instance:switchover 授予手动主备切换的权限。 permission_management instance * g:EnterpriseProjectId gaussdbformysql:auditlog:list 授予实例获取审计日志列表的权限。 list instance * g:EnterpriseProjectId gaussdbformysql:backup:create 授予创建手动备份权限。 write - - gaussdbformysql:backup:delete 授予删除备份的权限。 write - - gaussdbformysql:backup:getRestoreTime 授予获取实例可恢复时间点的权限。 read instance * g:EnterpriseProjectId gaussdbformysql:backup:list 授予获取备份列表的权限。 list - - gaussdbformysql:backup:listPolicy 授予获取备份策略的权限。 list instance * g:EnterpriseProjectId gaussdbformysql:database:create 授予实例创建数据库的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:database:delete 授予实例删除数据库的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:database:list 授予实例查询数据库列表的权限。 list instance * g:EnterpriseProjectId gaussdbformysql:database:modify 授予修改数据库相关信息的权限。 permission_management instance * g:EnterpriseProjectId gaussdbformysql:instance:getSecondLevelMonitoringConfig 授予查询秒级监控配置的权限。 read instance * g:EnterpriseProjectId gaussdbformysql:instance:addReadOnlyNodes 授予添加只读节点的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:instance:create 授予创建实例的权限。 write - g:EnterpriseProjectId gaussdbformysql:instance:delete 授予删除实例的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:instance:deleteSqlFilterRules 授予删除Sql限流规则的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:instance:get 授予获取实例详情的权限。 read instance * g:EnterpriseProjectId gaussdbformysql:instance:getDcc 授予获取专属资源池详情的权限。 read - - gaussdbformysql:instance:getSqlFilterRule 授予获取SQL限流规则的权限。 read instance * g:EnterpriseProjectId gaussdbformysql:instance:getSqlFilterStatus 授予获取SQL限流开关状态的权限。 read instance * g:EnterpriseProjectId gaussdbformysql:instance:list 授予获取实例列表的权限。 list - - gaussdbformysql:proxy:list 授予获取数据库代理列表的权限。 list instance * g:EnterpriseProjectId gaussdbformysql:proxy:listSpec 授予获取数据库代理规格列表的权限。 list - - gaussdbformysql:instance:listDcc 授予获取专属资源列表的权限。 list - - gaussdbformysql:instance:listEngine 授予查询引擎信息的权限。 list - - gaussdbformysql:instance:listSpec 授予查询规格列表的权限。 list - - gaussdbformysql:auditlog:operate 授予开启关闭审计日志的权限。 permission_management instance * g:EnterpriseProjectId gaussdbformysql:instance:bindPublicIp 授予实例绑定公网IP的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:instance:deleteReadOnlyNodes 授予实例删除只读节点的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:instance:modifyVip 授予实例修改读写内网地址的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:instance:modifyMaintenanceWindow 授予修改实例运维时间窗的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:instance:modifySecondLevelMonitorPolicy 授予修改实例秒级监控频率的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:instance:modifyPassword 授予修改实例密码的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:instance:modifyPort 授予修改实例端口的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:instance:modifySecurityGroup 授予修改实例安全组的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:instance:modifySSL 授予修改SSL开关的权限。 permission_management instance * g:EnterpriseProjectId gaussdbformysql:instance:modifyStorageSize 授予实例磁盘扩缩容的权限。 permission_management instance * g:EnterpriseProjectId gaussdbformysql:instance:rename 授予修改实例名称的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:instance:unbindPublicIp 授予实例解绑公网IP的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:instance:upgrade 授予实例升级内核版本的权限。 permission_management instance * g:EnterpriseProjectId gaussdbformysql:user:create 授予实例创建数据库用户的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:proxy:addNodes 授予数据库代理节点扩容的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:proxy:create 授予开启数据库代理的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:proxy:delete 授予关闭数据库代理的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:proxy:modifySpec 授予数据库代理规格变更的权限。 permission_management instance * g:EnterpriseProjectId gaussdbformysql:proxy:modifyWeight 授予修改数据库代理权重的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:instance:modifySpec 授予变更实例规格的权限。 permission_management instance * g:EnterpriseProjectId gaussdbformysql:instance:restart 授予重启实例的权限。 permission_management instance * g:EnterpriseProjectId gaussdbformysql:instance:restoreInPlace 授予备份恢复到已有实例的权限。 permission_management - - gaussdbformysql:instance:setSqlFilterRules 授予设置SQL限流规则的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:instance:setSqlFilterStatus 授予开启/关闭SQL限流的权限。 permission_management instance * g:EnterpriseProjectId gaussdbformysql:instance:tableRestore 授予PITR库表级恢复的权限。 permission_management instance * g:EnterpriseProjectId gaussdbformysql:tag:deal 授予添加/删除资源标签的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:log:getErrorLogs 授予获取错误日志的权限。 read instance * g:EnterpriseProjectId gaussdbformysql:log:getSlowLogs 授予获取慢日志的权限。 read instance * g:EnterpriseProjectId gaussdbformysql:param:apply 授予应用参数组的权限。 permission_management - - gaussdbformysql:param:create 授予创建参数组的权限。 write - - gaussdbformysql:param:get 授予获取参数组详情的权限。 read - - gaussdbformysql:param:list 授予获取参数组列表的权限。 list - - gaussdbformysql:param:update 授予修改参数组的权限。 write - - gaussdbformysql:proxy:modifyConsistency 授予修改数据库代理会话一致性的权限。 permission_management instance * g:EnterpriseProjectId gaussdbformysql:proxy:modifyTransactionSplit 授予开启/关闭数据库代理事务拆分的权限。 permission_management instance * g:EnterpriseProjectId gaussdbformysql:quota:list 授予查询配额的权限。 read - - gaussdbformysql:quota:modify 授予修改配额的权限。 write - - gaussdbformysql:tag:list 授予查询标签列表的权限。 list - - gaussdbformysql:task:delete 授予删除任务的权限。 write - - gaussdbformysql:task:list 授予获取任务列表的权限。 list - - gaussdbformysql:user:delete 授予删除数据库用户的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:user:grantPrivilege 授予修改数据库用户的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:user:list 授予查询数据库用户列表的权限。 list instance * g:EnterpriseProjectId gaussdbformysql:user:modify 授予查询数据库用户备注的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:user:revokePrivilege 授予删除数据库用户权限的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:user:updatePassWord 授予修改数据库用户密码的权限。 write instance * g:EnterpriseProjectId gaussdbformysql:proxy:switchConnectionPoolType 授予更改数据库代理连接池类型的权限。 permission_management instance * g:EnterpriseProjectId GaussDB(for MySQL)的API通常对应着一个或多个授权项。表2展示了API与授权项的关系，以及该API需要依赖的授权项。 表2 API与授权项的关系 API 对应的授权项 依赖的授权项 GET /v3/{project_id}/datastores/{database_name} gaussdbformysql:instance:listEngine - GET /v3/{project_id}/flavors/{database_name} gaussdbformysql:instance:listSpec - POST /v3/{project_id}/instances gaussdbformysql:instance:create - GET /v3.1/{project_id}/instances gaussdbformysql:instance:list - POST /v3/{project_id}/instances/{instance_id}/restart gaussdbformysql:instance:restart - DELETE /v3/{project_id}/instances/{instance_id} gaussdbformysql:instance:delete - GET /v3.1/{project_id}/instances/{instance_id} gaussdbformysql:instance:get - GET /v3.1/{project_id}/instances/details gaussdbformysql:instance:get - POST /v3/{project_id}/instances/{instance_id}/nodes/enlarge gaussdbformysql:instance:addReadOnlyNodes - DELETE /v3/{project_id}/instances/{instance_id}/nodes/{node_id} gaussdbformysql:instance:deleteReadOnlyNodes - POST /v3/{project_id}/instances/{instance_id}/volume/extend gaussdbformysql:instance:modifyStorageSize - PUT /v3/{project_id}/instances/{instance_id}/backups/policy/update gaussdbformysql:backup:modifyPolicy - PUT /v3/{project_id}/instances/{instance_id}/name gaussdbformysql:instance:rename - POST /v3/{project_id}/instances/{instance_id}/password gaussdbformysql:instance:modifyPassword - POST /v3/{project_id}/instances/{instance_id}/action gaussdbformysql:instance:modifySpec - GET /v3/{project_id}/dedicated-resources gaussdbformysql:instance:listDcc - GET /v3/{project_id}/dedicated-resource/{dedicated_resource_id} gaussdbformysql:instance:getDcc - POST /v3/{project_id}/instances/{instance_id}/proxy gaussdbformysql:proxy:create - DELETE /v3/{project_id}/instances/{instance_id}/proxy gaussdbformysql:proxy:delete - GET /v3/{project_id}/instances/{instance_id}/proxies gaussdbformysql:proxy:list - GET /v3/{project_id}/instances/{instance_id}/proxy/flavors gaussdbformysql:proxy:listSpec - POST /v3/{project_id}/instances/{instance_id}/proxy/enlarge gaussdbformysql:proxy:addNodes - PUT /v3/{project_id}/instances/{instance_id}/proxy/{proxy_id}/flavor gaussdbformysql:proxy:modifySpec - PUT /v3/{project_id}/instances/{instance_id}/proxy/{proxy_id}/weight gaussdbformysql:proxy:modifyWeight - POST /v3/{project_id}/instances/{instance_id}/proxy/transaction-split gaussdbformysql:proxy:modifyTransactionSplit - POST /v3.1/{project_id}/instances/{instance_id}/error-logs gaussdbformysql:log:getErrorLogs - POST /v3.1/{project_id}/instances/{instance_id}/slow-logs gaussdbformysql:log:getSlowLogs - GET /v3/{project_id}/project-quotas gaussdbformysql:quota:list - GET /v3/{project_id}/quotas gaussdbformysql:quota:list - POST /v3/{project_id}/quotas gaussdbformysql:quota:modify - PUT /v3/{project_id}/quotas gaussdbformysql:quota:modify - POST /v3/{project_id}/backups/create gaussdbformysql:backup:create - GET /v3/{project_id}/backups gaussdbformysql:backup:list - GET /v3/{project_id}/instances/{instance_id}/backups/policy gaussdbformysql:backup:listPolicy - GET /v3/{project_id}/configurations gaussdbformysql:param:list - POST /v3/{project_id}/configurations gaussdbformysql:param:create - DELETE /v3/{project_id}/configurations/{configuration_id} gaussdbformysql:param:delete - GET /v3/{project_id}/configurations/{configuration_id} gaussdbformysql:param:get - PUT /v3/{project_id}/configurations/{configuration_id} gaussdbformysql:param:update - PUT /v3/{project_id}/configurations/{configuration_id}/apply gaussdbformysql:param:apply - GET /v3/{project_id}/instances/{instance_id}/tags gaussdbformysql:tag:list - GET /v3/{project_id}/tags gaussdbformysql:tag:list - POST /v3/{project_id}/instances/{instance_id}/tags/action gaussdbformysql:tag:deal - PUT /v3/{project_id}/instances/{instance_id}/monitor-policy gaussdbformysql:instance:modifySecondLevelMonitorPolicy - GET /v3/{project_id}/instances/{instance_id}/monitor-policy gaussdbformysql:instance:getSecondLevelMonitoringConfig - POST /v3/{project_id}/instances/{instance_id}/nodes/{node_id}/restart gaussdbformysql:instance:restart - POST /v3/{project_id}/instance/{instance_id}/audit-log/switch gaussdbformysql:auditlog:operate - GET /v3/{project_id}/instance/{instance_id}/audit-log/switch-status gaussdbformysql:auditlog:list - GET /v3/{project_id}/jobs gaussdbformysql:task:list - POST /v3/{project_id}/instances/{instance_id}/db-users gaussdbformysql:user:create - GET /v3/{project_id}/instances/{instance_id}/db-users gaussdbformysql:user:list - DELETE /v3/{project_id}/instances/{instance_id}/db-users gaussdbformysql:user:delete - PUT /v3/{project_id}/instances/{instance_id}/db-users/comment gaussdbformysql:user:modify - PUT /v3/{project_id}/instances/{instance_id}/db-users/password gaussdbformysql:user:updatePassWord - POST /v3/{project_id}/instances/{instance_id}/db-users/privilege gaussdbformysql:user:grantPrivilege - DELETE /v3/{project_id}/instances/{instance_id}/db-users/privilege gaussdbformysql:user:revokePrivilege - GET /v3/{project_id}/instances/{instance_id}/databases/charsets gaussdbformysql:database:list - POST /v3/{project_id}/instances/{instance_id}/databases gaussdbformysql:database:create - GET /v3/{project_id}/instances/{instance_id}/databases gaussdbformysql:database:list - DELETE /v3/{project_id}/instances/{instance_id}/databases gaussdbformysql:database:delete - PUT /v3/{project_id}/instances/{instance_id}/databases/comment gaussdbformysql:database:modify - POST /v3/{project_id}/instances/{instance_id}/sql-filter/switch gaussdbformysql:instance:setSqlFilterStatus - GET /v3/{project_id}/instances/{instance_id}/sql-filter/switch gaussdbformysql:instance:getSqlFilterStatus - PUT /v3/{project_id}/instances/{instance_id}/sql-filter/rules gaussdbformysql:instance:setSqlFilterRules - GET /v3/{project_id}/instances/{instance_id}/sql-filter/rules gaussdbformysql:instance:getSqlFilterRule - DELETE /v3/{project_id}/instances/{instance_id}/sql-filter/rules gaussdbformysql:instance:deleteSqlFilterRules - PUT /v3/{project_id}/instances/{instance_id}/proxy/{proxy_id}/session-consistence gaussdbformysql:proxy:modifyConsistency - GET /v3/{project_id}/immediate-jobs gaussdbformysql:task:list - GET /v3/{project_id}/scheduled-jobs gaussdbformysql:task:list - DELETE /v3/{project_id}/scheduled-jobs gaussdbformysql:task:delete - DELETE /v3/{project_id}/jobs/{job_id} gaussdbformysql:task:delete - POST /v3/{project_id}/instances/{instance_id}/db-upgrade gaussdbformysql:instance:upgrade - PUT /v3/{project_id}/instances/{instance_id}/ssl-option gaussdbformysql:instance:modifySSL - PUT /v3/{project_id}/instances/{instance_id}/public-ips/bind gaussdbformysql:instance:bindPublicIp - PUT /v3/{project_id}/instances/{instance_id}/public-ips/unbind gaussdbformysql:instance:unbindPublicIp - PUT /v3/{project_id}/instances/{instance_id}/switchover gaussdbformysql:instance:switchover - PUT /v3/{project_id}/instances/{instance_id}/ops-window gaussdbformysql:instance:modifyMaintenanceWindow - PUT /v3/{project_id}/instances/{instance_id}/security-group gaussdbformysql:instance:modifySecurityGroup - PUT /v3/{project_id}/instances/{instance_id}/internal-ip gaussdbformysql:instance:modifyVip - PUT /v3/{project_id}/instances/{instance_id}/port gaussdbformysql:instance:modifyPort - PUT /v3/{project_id}/instances/{instance_id}/alias gaussdbformysql:instance:rename - DELETE /v3/{project_id}/backups/{backup_id} gaussdbformysql:backup:delete - POST /v3.1/{project_id}/instances/{instance_id}/restore/tables gaussdbformysql:instance:tableRestore - POST /v3/{project_id}/instances/restore gaussdbformysql:instance:restoreInPlace - GET /v3/{project_id}/instances/{instance_id}/restore-time gaussdbformysql:backup:getRestoreTime - PUT /v3/{project_id}/instances/{instance_id}/proxy/{proxy_id}/connection-pool-type gaussdbformysql:proxy:switchConnectionPoolType -

注册华为账号 并实名认证 如果您已有一个华为账号，请跳到下一个任务。如果您还没有华为账号，请参考以下步骤创建。 打开https://www.huaweicloud.com/，单击“注册”。 根据提示信息完成注册，详细操作请参见“如何注册华为云管理控制台的用户？”。 注册成功后，系统会自动跳转至您的个人信息界面。 参考“企业实名认证”完成企业账号实名认证。 因为Organizations云服务为免费服务，因此无需为账号充值。

绑定服务控制策略（SCP） 现在您已搭建好了组织结构，并已邀请账号加入，在本节将介绍如何使用服务控制策略（Service Control Policy，以下简称SCP）管理组织中账号的权限。例如只有研发部下属的账号可以修改和删除资源合规规则，其余账号如财务部账号无法进行这些操作。目前支持SCP的服务请参见支持SCP的云服务。 确定所需策略。 查看SCP系统策略列表，查找到需要设置的权限（若无匹配策略，可选择自定义策略）。此处使用自定义策略进行权限管控，策略语法请参考SCP语法介绍。 策略内容如下： { "Version": "5.0", "Statement": [ { "Effect": "Deny", "Action": [ "rms:policyAssignments:update", "rms:policyAssignments:delete" ], "Resource": [ "*" ] } ] } 以管理账号Company A的身份登录华为云，进入Organizations控制台。 在组织管理列表中，选中要绑定策略的OU，当前场景为禁止财务部修改和删除合规规则，所以SCP的绑定对象为“财务部”。 在“财务部”的组织单元信息页，选择“策略”页签。 单击服务控制策略前方的，单击“绑定”按钮。 图10 绑定SCP 在弹框中选择步骤1中确定的策略，单击“绑定”，完成策略绑定。此时您可以在“财务部”OU的服务控制策略列表中查看到已绑定的策略。

创建组织单元 用户可以按各种维度（例如业务范围、账号所有者或账号使用环境）对账号进行分组，相同分组的账号可以使用组织单元（Organizational Units，以下简称OU）进行归类和结构化管理。 例如按照公司A 4个账号的业务范围进行分类，Account y是开发团队的账号，归属于开发团队OU，Account z是运维团队的账号，归属于运维团队OU。开发团队和运维团队同属于公司研发部，因此可建立研发部OU，包含开发团队OU和运维团队OU。以此类推，Account x是财务部账号归属于财务部OU，Company A账号是整个公司的管理账号位于根组织单元中。最终组织结构如图2所示。 图2 组织单元结构 依照图3，可按照如下步骤创建组织单元： 以管理账号Company A的身份登录华为云，进入Organizations控制台。 在组织管理页面中，选中要创建OU的父节点，此处选择根OU。单击“添加”，单击“添加组织单元”。 图3 创建组织单元 在弹窗中填写OU名称，此处填写“研发部”，单击“确定”完成OU创建。以同样的方法，创建“财务部”OU。 图4 添加组织单元 选中研发部组织单元，参考以上步骤，创建“开发团队”和“运维团队”组织单元。最终组织结构如下图所示。 图5 组织结构

邀请账号加入组织 您已拥有一个组织，并搭建好了组织结构，现在您可以开始向其中填充账号。 邀请其他成员账号加入组织，要求成员账号需要完成实名认证，详情参见：实名认证。 邀请加入组织的成员账号，原财务关系不会调整，保留原有企业主子账号之间的财务模式。 以管理账号Company A的身份登录华为云，进入Organizations控制台。 在组织管理页面中，单击“添加”，单击“添加账号”。 图6 添加账号 在弹窗中，选择“邀请现有账号”，输入邀请账号的账号名或账号ID。此处示例为开发团队账号Account y的账号ID。如何获取账号名和账号ID请参见：获取账号名和ID。单击“确定”，向账号发出邀请。 图7 邀请账号 登录Account y账号，进入Organizations控制台，单击“接受”，开发团队账号Account y成功加入组织。 图8 接受邀请加入组织 登录Company A账号，进入Organizations控制台，在左侧导航栏选择组织管理，在组织结构中找到新加入的账号，单击选中新加入的账号。 单击“管理”，单击“移动账号”。 图9 移动账号 在弹窗中单击选择要加入的OU，此处选择“开发团队”。单击“确定”，完成账号移动。 参考以上步骤邀请财务部账号Account x和运维团队账号Account z加入组织。

示例场景 假设A公司有两个部门，分别是研发部，财务部，研发部又分为开发团队和运维团队，公司A的组织结构如图1所示。 图1 A公司组织架构 A公司及下属的财务部、开发团队、运维团队各自拥有一个账号，如表1所示。 表1 A公司账号 用户 账号名 A公司 Company A 财务部 Account x 开发团队 Account y 运维团队 Account z A公司希望使用Company A作为管理账号，对下属部门的账号进行管理。管理诉求有： 对标公司组织架构，对下属账号进行分组，进行结构化管理。 实现账号的权限管理，比如只有研发部下的成员账号可以使用“配置审计Config”添加和删除资源合规规则。

组织的组成元素 组织 为管理多账号关系而创建的实体。一个组织由管理账号、成员账号、根组织单元、组织单元（Organizational Unit，以下简称OU）四个部分组成。一个组织有且仅有一个管理账号，若干个成员账号，以及由一个根组织单元和多层级组织单元组成的树状结构。成员账号可以关联在根组织单元或任一层级的组织单元。 根组织单元 当您开通Organizations云服务并创建组织后，系统会为您自动生成根组织单元。根组织单元位于整个组织树的顶端，组织由根组织单元向下关联组织单元和账号。 组织单元 组织单元是可以理解为成员账号的容器或分组单元，通常可以映射为企业的部门、子公司或者项目组等。组织单元可以嵌套，一个组织单元只能有一个父组织单元，一个组织单元下可以关联多个子组织单元或者成员账号。 管理账号 管理账号是标准的华为云账号。企业管理员在管理账号中，使用Organizations服务创建组织，并管理组织中其他账号。在管理账号中还可以管理整个组织的相关策略和可信服务。 成员账号 当启用Organizations服务后，通过Organizations服务邀请加入或直接创建的账号称为成员账号。成员账号可以关联在根组织单元或者任一个组织单元下。 邀请 邀请其他账号加入组织的过程。邀请只能由管理账号发出，被邀请账号只有接受邀请后，才会加入组织。通过邀请加入组织的账号，原财务关系不会调整，保留原有企业主子账号之间的财务模式。

组织策略 服务控制策略 服务控制策略 (Service Control Policy，以下简称SCP) 是一种基于组织的访问控制策略。组织管理账号可以使用SCP指定组织中成员账号的权限边界，限制账号内用户的操作。服务控制策略可以关联到组织、组织单元和成员账号。当服务控制策略关联到组织或组织单元时，该组织或组织单元下所有账号受到该策略影响。详情可参考服务控制策略介绍。 标签策略 标签策略是策略的一种类型，可帮助您在组织账号中对资源添加的标签进行标准化管理。标签策略可以关联到组织、组织单元和成员账号。标签策略对未添加标签的资源或未在标签策略中定义的标签不会生效。