操作步骤 开通OrgID并创建组织 开通OrgID。 创建组织。 添加部门及成员 （可选）添加部门，完善组织架构。 添加成员 创建成员，添加只属于该组织的成员。 邀请成员，将已拥有个人华为账号的成员添加进组织。 创建并授权应用 创建应用，使用OAuth2方式进行认证集成，并为成员授权，具体操作请参见创建自建应用。 授权后，成员可访问该应用。 应用创建后，在“通用配置”页面获取Client_id、ClientSecret，如图1所示。 图1 接口认证凭证 在“登录配置”页面复制该应用的首页URL，如图2所示，并在应用的“登录配置”页面的首页URL地址中获取code（基于OAuth协议，OrgID给用户颁发的code）。 图2 首页URL 应用侧登录对接OrgID 调用获取AccessToken接口，使用code获取access_token，接口Body参数如表1所示。 表1 Body参数说明 参数名称 说明 grant_type 授权方式。该参数为固定值authorization_code。 code 授权码。使用3.c中获取的code。 client_id 创建应用后OrgID提供的client_id。使用3.b中获取的client_id。 client_secret 创建应用后OrgID提供的client_secret。使用3.b中获取的client_secret。 redirect_uri 配置code的接收地址，即创建自建应用时配置的首页URL。 调用获取用户信息接口，根据access_token获取登录用户的用户信息，其中接口Body的Authorization参数为4.a获取的access_Token。 调用/oauth/logout接口登出OrgID和应用，需要带上service参数（应用的登出地址），OrgID登出后会重定向到service地址。 调用/oauth/logout接口需在前端调用，在前端进行重定向至应用登出地址。

操作（Action） 操作（Action）即为SCP中支持的授权项。 “访问级别”列描述如何对操作进行分类（list、read和write等）。此分类可帮助您了解在SCP中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。 资源类型支持通配符号*表示所有。如果此列没有值（-），则必须在SCP语句的Resource元素中指定所有资源类型（“*”）。 如果该列包含资源类型，则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号（*）标识，表示使用此操作必须指定该资源类型。 关于BSS定义的资源类型的详细信息请参见资源类型（Resource）。 “条件键”列包括了可以在SCP语句的Condition元素中支持指定的键值。 如果该授权项资源类型列存在值，则表示条件键仅对列举的资源类型生效。 如果该授权项资源类型列没有值（-），则表示条件键对整个授权项生效。 如果此列条件键没有值（-），表示此操作不支持指定条件键。 关于BSS定义的条件键的详细信息请参见表1。 您可以在SCP语句的Action元素中指定以下BSS的相关操作。 表1 BSS 支持的授权项 授权项 描述 访问级别 资源类型（*为必须） 条件键 billing:contract:viewDiscount 授予查看商务折扣的权限 read - - billing:balance:view 授予查看收支明细，付款历史记录，消费配额，调账记录，欠费查询的权限 list - - billing:coupon:view 授予查看优惠券、储值卡、激活代金券的权限 read - - billing:order:view 授予查看订单信息、查看按需套餐包的权限 list - - billing:order:pay 授予支付订单的权限 write - - billing:subscription:renew 授予续费、设置自动续费、设置到期策略、按需转包年/包月的权限 write billing:subscription:unsubscribe 授予查看可退订资源，退订资源，取消发货，硬件退换货的权限 write - - billing:resourcePackages:view 授予查看资源包，剩余量汇总，使用明细查询/导出的权限 list - - billing:billDetail:view 授予查看账单明细的权限 read - - billing:bill:view 授予查看账单、本月消费、近7天扣费资源，消费走势的权限 list - - costCenter:costAnalysis:listCosts 授予查看成本分析的权限 read - - Billing::activeEPFinance 授予开通企业项目功能的权限 write - - businessUnitCenter:businessUnit:view 授予查看组织与账号的权限 read - - businessUnitCenter:businessUnitFinance:view 授予查看企业组织财务信息的权限 read - - businessUnitCenter:businessUnit:update 授予修改企业组织与子账号的权限 write - - businessUnitCenter:businessUnitFinance:update 授予修改企业组织财务信息的权限 write - - Billing::updateEPFundQuota 授予开通企业项目功能的权限 write - - Billing::viewEPFundQuota 授予查询企业项目资金配额的权限 read - - Billing::activeEPFundQuota 授予开通/关闭企业项目资金配额功能的权限 write - - BSS的API通常对应着一个或多个授权项。表2展示了API与授权项的关系，以及该API需要依赖的授权项。 表2 API与授权项的关系（当前API均无需要依赖的授权项） 场景 子场景 接口名称 接口URL 授权项 授权项描述 管理产品 查询商品价格 查询按需产品价格 POST /v2/bills/ratings/on-demand-resources billing:contract:viewDiscount 查看折扣、价格信息。 查询包年/包月产品价格 POST /v2/bills/ratings/period-resources/subscribe-rate billing:contract:viewDiscount 查看折扣、价格信息 查询包年/包月资源的续订金额 POST /v2/bills/ratings/period-resources/renew-rate billing:contract:viewDiscount 查看折扣、价格信息。 管理产品 查询商品价格 查询待退订包年/包月资源的退订金额 POST /v2/bills/ratings/period-resources/unsubscribe-rate billing:contract:viewDiscount 查看折扣、价格信息。 管理账户 管理账户 查询账户余额 GET /v2/accounts/customer-accounts/balances billing:balance:view 查看账户信息。 查询储值卡列表 GET /v2/promotions/benefits/stored-value-cards billing:coupon:view 查看优惠券、现金券、代金券。 查询收支明细 GET /v2/accounts/customer-accounts/account-change-records billing:balance:view 查看账户信息。 管理交易 管理优惠券 查询优惠券列表 GET /v2/promotions/benefits/coupons billing:coupon:view 查看优惠券、现金券、代金券。 管理包年/包月订单 查询订单列表 GET /v2/orders/customer-orders billing:order:view 查看订单信息。 查询订单详情 GET /v2/orders/customer-orders/details/{order_id} billing:order:view 查看订单信息。 支付包年/包月产品订单 POST /v2/orders/customer-orders/pay billing:order:pay 订单支付。 查询订单可用优惠券 GET /v2/orders/customer-orders/order-coupons billing:order:view 查看订单信息。 查询订单可用折扣 GET /v2/orders/customer-orders/order-discounts billing:contract:viewDiscount 查看折扣、价格信息。 支付包年/包月产品订单 POST /v3/orders/customer-orders/pay billing:order:pay 订单支付。 查询退款订单的金额详情 GET /v2/orders/customer-orders/refund-orders billing:order:view 查看订单信息。 管理包年/包月资源 查询客户包年/包月资源列表 POST /v2/orders/suscriptions/resources/query billing:subscription:view billing:order:view（待下线） 查看订单信息。 续订包年/包月资源 POST /v2/orders/subscriptions/resources/renew billing:subscription:renew 下单、取消订单、修改收货地址。 退订包年/包月资源 POST /v2/orders/subscriptions/resources/unsubscribe billing:subscription:unsubscribe 下单、取消订单、修改收货地址。 云服务粒度退订鉴权常见问题. 设置包年/包月资源自动续费 POST /v2/orders/subscriptions/resources/autorenew/** billing:subscription:renew 下单、取消订单、修改收货地址。 取消包年/包月资源自动续费 DELETE /v2/orders/subscriptions/resources/autorenew/{resource_id} billing:subscription:renew 下单、取消订单、修改收货地址。 设置或取消包年/包月资源到期转按需 POST /v2/orders/subscriptions/resources/to-on-demand billing:subscription:renew 下单、取消订单、修改收货地址。 管理资源包 查询资源包列表 POST /v3/payments/free-resources/query billing:resourcePackages:view 查看账单、月度成本、用量明细、成本管理、收支以及总览页面的费用走势。 查询资源包使用明细 GET /v2/bills/customer-bills/free-resources-usage-records billing:resourcePackages:view billing:billDetail:view（待下线） 查看消费明细、资源消费、账单分析、付款历史记录。 查询资源包使用量 POST /v2/payments/free-resources/usages/details/query billing:resourcePackages:view 查看账单、月度成本、用量明细、成本管理、收支以及总览页面的费用走势。 管理账单 管理账单 查询资源详单 POST /v2/bills/customer-bills/res-records/query billing:billDetail:view 查看消费明细、资源消费、账单分析、付款历史记录。 查询汇总账单 GET /v2/bills/customer-bills/monthly-sum billing:bill:view 查看账单、月度成本、用量明细、成本管理、收支以及总览页面的费用走势。 查询资源消费记录 GET /v2/bills/customer-bills/res-fee-records billing:billDetail:view billing:bill:view（待下线） 查看账单、月度成本、用量明细、成本管理、收支以及总览页面的费用走势。 查询流水账单 GET /v2/bills/customer-bills/fee-records billing:billDetail:view billing:bill:view（待下线） 查看账单、月度成本、用量明细、成本管理、收支以及总览页面的费用走势。 查询95计费资源用量 查询95计费资源用量明细 GET /v2/bills/customer-bills/resources/usage/details billing:billDetail:view 查看消费明细、资源消费、账单分析、付款历史记录。 查询95计费资源用量汇总 GET /v2/bills/customer-bills/resources/usage/summary billing:resourcePackages:view 查看账单、月度成本、用量明细、成本管理、收支以及总览页面的费用走势。 管理账单 管理账单 查询资源消费记录（for 爱奇艺） GET /v2/bills/customer-bills/res-fee-details billing:bill:view 查看账单、月度成本、用量明细、成本管理、收支以及总览页面的费用走势。 查询整机资源详单 GET /v2/bills/customer-bills/res-merge-records billing:billDetail:view 查看消费明细、资源消费、账单分析、付款历史记录。 查询客户资源按天消费汇总 POST /v1.0/{domain_id}/customer/account-mgr/bill/resource-daily billing:bill:view 查看账单、月度成本、用量明细、成本管理、收支以及总览页面的费用走势。 管理成本 管理成本 查询月度成本 GET /v2/costs/cost-analysed-bills/monthly-breakdown costCenter:costDetail:listCostDetails costCenter:costAnalysis:listCosts（待下线） 查看成本分析。 查询成本数据 POST /v4/costs/cost-analysed-bills/query costCenter:costAnalysis:listCosts 查看成本分析。 管理成本 管理成本 查询成本数据分析结果 POST /v3/costs/cost-analysed-bills/query costCenter:costAnalysis:listCosts 查看成本分析。 查询成本数据分析结果 POST /v2/costs/cost-analysed-bills/query costCenter:costAnalysis:listCosts 查看成本分析。 管理企业 管理企业项目 开通客户企业项目权限 POST /v2/enterprises/enterprise-projects/authority Billing::activeEPFinance 开通企业项目功能。 管理企业多账号 查询企业子账号列表 GET /v2/enterprises/multi-accounts/sub-customers businessUnitCenter:businessUnit:view 企业中心组织与账号查看权限。 查询企业组织结构 GET /v2/enterprises/multi-accounts/enterprise-organizations businessUnitCenter:businessUnit:view 企业中心组织与账号查看权限。 查询企业主的可拨款余额 GET /v2/enterprises/multi-accounts/transfer-amount businessUnitCenter:businessUnitFinance:view 查看企业组织财务信息。 查询企业子账号可回收余额 GET /v2/enterprises/multi-accounts/retrieve-amount businessUnitCenter:businessUnitFinance:view 查看企业组织财务信息。 创建企业子账号 POST /v2/enterprises/multi-accounts/sub-customers businessUnitCenter:businessUnit:view 修改企业组织与子账号 企业主账号向企业子账号拨款 POST /v2/enterprises/multi-accounts/transfer-amount businessUnitCenter:businessUnitFinance:update 修改企业组织财务信息。 企业主账号从企业子账号回收余额 POST /v2/enterprises/multi-accounts/retrieve-amount businessUnitCenter:businessUnitFinance:update 修改企业组织财务信息。 查询企业主账号可拨款优惠券列表 GET /v2/enterprises/multi-accounts/transfer-coupons businessUnitCenter:businessUnitFinance:view 查看企业组织财务信息 查询企业子账号可回收优惠券列表 GET /v2/enterprises/multi-accounts/retrieve-coupons businessUnitCenter:businessUnitFinance:view 查看企业组织财务信息 企业主账号向企业子账号拨款优惠券 POST v2/enterprises/multi-accounts/transfer-coupon businessUnitCenter:businessUnitFinance:update 修改企业组织财务信息 企业主账号从企业子账号回收优惠券 POST /v2/enterprises/multi-accounts/retrieve-coupon businessUnitCenter:businessUnitFinance:update 修改企业组织财务信息 管理企业 管理企业多账号 修改企业项目资金配额 PUT /v1.0/{domain_id}/customer/enterprise-project/fund-quotas Billing::updateEPFundQuota 修改企业项目资金配额财务。 查询企业项目资金配额 POST /v1.0/{domain_id}/customer/enterprise-project/fund-quotas/batch-query Billing::viewEPFundQuota 查询企业项目资金配额。 关闭企业项目资金配额 DELETE /v1.0/{domain_id}/customer/enterprise-project/fund-quotas Billing::activeEPFundQuota 修改企业项目资金配额。 开通企业项目资金配额 POST /v1.0/{domain_id}/customer/enterprise-project/fund-quotas Billing::activeEPFundQuota 修改企业项目资金配额。

条件（Condition） 条件键（Condition）是SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：全局条件键。 服务级条件键（前缀通常为服务缩写，如workspace:）仅适用于对应服务的操作，详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个 VPC终端节点 发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：运算符。 云桌面 定义了以下可以在SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 云桌面支持的服务级条件键 服务级条件键 类型 单值/多值 说明 workspace:AccessMode string 多值 根据请求参数中指定的接入方式过滤访问，有效的条件值应为INTERNET、DEDICATED、BOTH。 workspace:CreateOrderType string FALSE 根据请求参数中指定的创建订单类型过滤访问，有效的条件值应为createDesktops、addVolumes、createDehHosts、rebuildDesktops、createDesktopPool、expandDesktopPool、applyDesktopsInternet、createExclusiveHosts、subscribeUserSharer、createApps。 workspace:ChangeOrderType string FALSE 根据请求参数中指定的变更订单类型过滤访问，有效的条件值应为resizeDesktops、expandVolumes、meteredToPeriod、ADD_VOLUME、EXTEND_VOLUME、RESIZE、CHANGE_IMAGE、ADD_SUB_RESOUR CES 、DELETE_SUB_RESOURCES。 workspace:AssociatePublicIp boolean FALSE 按照关联eip开关值筛选桌面绑定eip的权限。

操作（Action） 操作（Action）即为SCP中支持的操作项。 “访问级别”列描述如何对操作进行分类（list、read和write等）。此分类可帮助您了解在SCP中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。 资源类型支持通配符号*表示所有。如果此列没有值（-），则必须在SCP语句的Resource元素中指定所有资源类型（“*”）。 如果该列包含资源类型，则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号（*）标识，表示使用此操作必须指定该资源类型。 关于CodeartsPipeline定义的资源类型的详细信息请参见资源类型（Resource）。 “条件键”列包括了可以在SCP语句的Condition元素中支持指定的键值。 如果该操作项资源类型列存在值，则表示条件键仅对列举的资源类型生效。 如果该操作项资源类型列没有值（-），则表示条件键对整个操作项生效。 如果此列没有值（-），表示此操作不支持指定条件键。 关于CodeartsPipeline定义的条件键的详细信息请参见条件（Condition）。 您可以在自定义SCP语句的Action元素中指定以下CodeartsPipeline的相关操作。 表1 CodeartsPipeline支持的操作项 操作项 描述 访问级别 资源类型（*为必须） 条件键 codeartspipeline:pipelinetemplate:create 授予权限以创建流水线模板。 write - - codeartspipeline:pipelinetemplate:update 授予权限以更新流水线模板。 write - - codeartspipeline:pipelinetemplate:delete 授予权限以删除流水线模板。 write - - codeartspipeline:pipelinetemplate:get 授予权限以查看流水线模板。 read - - codeartspipeline:pipelinetemplate:list 授予权限以查看流水线模板列表。 list - - codeartspipeline:rule:create 授予权限以创建规则。 write - - codeartspipeline:rule:update 授予权限以更新规则。 write - - codeartspipeline:rule:delete 授予权限以删除规则。 write - - codeartspipeline:rule:get 授予权限以查看规则。 read - - codeartspipeline:rule:list 授予权限以查看规则列表。 list - - codeartspipeline:strategy:create 授予权限以创建策略。 write - - codeartspipeline:strategy:update 授予权限以更新策略。 write - - codeartspipeline:strategy:delete 授予权限以删除策略。 write - - codeartspipeline:strategy:get 授予权限以查看策略。 read - - codeartspipeline:strategy:list 授予权限以查看策略列表。 list - - codeartspipeline:extension:create 授予权限以创建插件。 write - - codeartspipeline:extension:update 授予权限以更新插件。 write - - codeartspipeline:extension:delete 授予权限以删除插件。 write - - codeartspipeline:extension:get 授予权限以查看插件。 read - - codeartspipeline:extension:list 授予权限以查看插件列表。 list - - CodeartsPipeline的API通常对应着一个或多个操作项。表2展示了API与操作项的关系，以及该API需要依赖的操作项。 表2 API与操作项的关系 API 对应的操作项 依赖的操作项 POST /v5/{tenant_id}/api/pipeline-templates codeartspipeline:pipelinetemplate:create - PUT /v5/{tenant_id}/api/pipeline-templates/{template_id} codeartspipeline:pipelinetemplate:update - DELETE /v5/{tenant_id}/api/pipeline-templates/{template_id} codeartspipeline:pipelinetemplate:delete - GET /v5/{tenant_id}/api/pipeline-templates/{template_id} codeartspipeline:pipelinetemplate:get - POST /v5/{tenant_id}/api/pipeline-templates/list codeartspipeline:pipelinetemplate:list - POST /v2/{domain_id}/rules/create codeartspipeline:rule:create - PUT /v2/{domain_id}/rules/{rule_id}/update codeartspipeline:rule:update - DELETE /v2/{domain_id}/rules/{rule_id}/delete codeartspipeline:rule:delete - GET /v2/{domain_id}/rules/{rule_id}/detail codeartspipeline:rule:get - GET /v2/{domain_id}/rules/query codeartspipeline:rule:list - POST /v2/{domain_id}/tenant/rule-sets/create codeartspipeline:strategy:create - PUT /v2/{domain_id}/tenant/rule-sets/{rule_set_id}/update codeartspipeline:strategy:update - DELETE /v2/{domain_id}/tenant/rule-sets/{rule_set_id}/delete codeartspipeline:strategy:delete - GET /v2/{domain_id}/tenant/rule-sets/{rule_set_id}/detail codeartspipeline:strategy:get - GET /v2/{project_id}/rule-sets/{rule_set_id}/gray/detail codeartspipeline:strategy:get - GET /v2/{domain_id}/tenant/rule-sets/query codeartspipeline:strategy:list - GET /v2/{project_id}/rule-sets/query codeartspipeline:strategy:list - PUT /v2/{domain_id}/tenant/rule-sets/{rule_set_id}/switch codeartspipeline:strategy:update - POST /v1/{domain_id}/agent-plugin/create codeartspipeline:extension:create - POST /v1/{domain_id}/agent-plugin/create-draft codeartspipeline:extension:create - POST /v1/{domain_id}/publisher/create codeartspipeline:extension:create - POST /v1/{domain_id}/agent-plugin/edit-draft codeartspipeline:extension:update - POST /v1/{domain_id}/agent-plugin/publish-draft codeartspipeline:extension:update - POST /v1/{domain_id}/agent-plugin/update-info codeartspipeline:extension:update - POST /v1/{domain_id}/agent-plugin/publish-plugin-bind codeartspipeline:extension:update - POST /v1/{domain_id}/agent-plugin/publish-plugin codeartspipeline:extension:update - POST /v1/{domain_id}/common/upload-plugin-icon codeartspipeline:extension:update - POST /v1/{domain_id}/common/upload-publisher-icon codeartspipeline:extension:update - DELETE /v1/{domain_id}/agent-plugin/delete-draft codeartspipeline:extension:delete - GET /v1/{domain_id}/publisher/query-all codeartspipeline:extension:list - GET /v1/{domain_id}/publisher/optional-publisher codeartspipeline:extension:list - POST /v1/{domain_id}/relation/stage-plugins codeartspipeline:extension:list - GET /v1/{domain_id}/relation/plugin/single codeartspipeline:extension:list - POST /v1/{domain_id}/agent-plugin/query-all codeartspipeline:extension:list - POST /v1/{domain_id}/agent-plugin/plugin-metrics codeartspipeline:extension:get - POST /v1/{domain_id}/agent-plugin/plugin-input codeartspipeline:extension:get - POST /v1/{domain_id}/agent-plugin/plugin-output codeartspipeline:extension:get - GET /v1/{domain_id}/agent-plugin/query codeartspipeline:extension:list - GET /v1/{domain_id}/agent-plugin/detail codeartspipeline:extension:get - GET /v1/{domain_id}/agent-plugin/all-version codeartspipeline:extension:list - DELETE /v1/{domain_id}/publisher/delete codeartspipeline:extension:delete - POST /v1/{domain_id}/publisher/detail codeartspipeline:extension:get - POST /v3/{domain_id}/extension/info/add codeartspipeline:extension:create - POST /v3/{domain_id}/extension/info/update codeartspipeline:extension:update - DELETE /v3/{domain_id}/extension/info/delete codeartspipeline:extension:delete - POST /v3/{domain_id}/extension/upload codeartspipeline:extension:update - GET /v3/{domain_id}/extension/detail codeartspipeline:extension:get - POST /v1/{domain_id}/relation/plugins codeartspipeline:extension:list -

条件（Condition） 条件（Condition）是SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：全局条件键。 服务级条件键（前缀为服务缩写，如DataArtsStudio:）仅适用于对应服务的操作，详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个VPC终端节点发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：运算符。 DataArts Studio 定义了以下可以在SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 DataArts Studio支持的服务级条件键 服务级条件键 类型 单值/多值 说明 DataArtsStudio:EnablePublicAccess boolean 单值 是否开启公网访问。

条件（Condition） 条件（Condition）是SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：全局条件键。 服务级条件键（前缀通常为服务缩写，如SWR仅适用于对应服务的操作，详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个VPC终端节点发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：运算符。 SWR定义了以下可以在SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 SWR支持的服务级条件键 服务级条件键 类型 单值/多值 说明 swr:TargetOrgPath string 单值 按照共享目标账号所处的组织路径进行权限控制。 swr:TargetOrgId string 单值 按照共享目标账号所处的组织Id进行权限控制。 swr:TargetAccountId string 单值 按照共享目标账号Id进行权限控制。 swr:VpcId string 单值 按照用户VPC ID进行权限控制。 swr:SubnetId string 单值 按照用户Subnet ID进行权限控制。 swr:EnablePublicNameSpace boolean 单值 限制企业仓库是否允许创公开组织。 swr:EnableObsEncrypt boolean 单值 限制企业版实例是否必须使用加密桶。 swr:AllowPublicAccess boolean 单值 对镜像是否可以公开进行权限控制。 swr:TargetRegion string 单值 根据目标区域进行权限控制。

条件（Condition） 条件（Condition）是SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：全局条件键。 服务级条件键（前缀为服务缩写，如as:）仅适用于对应服务的操作，详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个VPC终端节点发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：运算符。 AS定义了以下可以在SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 AS支持的服务级条件键 服务级条件键 类型 单值/多值 说明 as:ScalingConfigId String 单值 指定特定伸缩配置创建虚拟机。 as:VpcId String 单值 限制虚拟机使用的VPC ID。 as:VpcSubnetId String 多值 限制虚拟机使用的子网 ID。 as:ElbPoolId String 多值 限制虚拟机加入的ELB后端服务器组ID。 as:MaxInstanceSize Integer 单值 限制伸缩组的最大实例数。 as:MinInstanceSize Integer 单值 限制伸缩组的最小实例数。 as:EcsInstanceId String 单值 限制指定已有实例创建伸缩配置。 as:EcsInstanceType String 单值 限制创建虚拟机的类型：竞价or按需。 as:EcsFlavorId String 多值 限制创建虚拟机使用的规格Id。 as:ImageId String 单值 限制创建虚拟机使用的镜像Id。 as:ImsDiskImageId String 多值 限制创建虚拟机使用的磁盘镜像Id。 as:CbrDiskSnapshotId String 多值 限制创建虚拟机使用的磁盘云备份ID。 as:EcsServerGroupId String 单值 限制创建虚拟机使用的云服务器组ID。 as:EvsEncrypted Boolean 单值 限制是否支持磁盘加密。 as:KmsKeyId String 多值 限制磁盘加密使用的密钥ID。 as:EvsVolumeType String 多值 限制创建虚拟机使用的磁盘类型。 as:KpsSSHKeyPairName String 单值 限制创建虚拟机使用的keypair名称。 as:AssociatePublicIp Boolean 单值 限制虚拟机使用eip。

使用限制 单账号跟踪的事件可以通过 云审计 控制台查询。多账号的事件只能在账号自己的事件列表页面去查看，或者到组织追踪器配置的OBS桶中查看，也可以到组织追踪器配置的 CTS /system日志流下面去查看。 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录，您必须配置转储到 对象存储服务 (OBS)或 云日志 服务(LTS)，才可在OBS桶或LTS日志组里面查看历史事件信息。否则，您将无法追溯7天以前的操作记录。 云上操作后，1分钟内可以通过云审计控制台查询管理类事件操作记录，5分钟后才可通过云审计控制台查询数据类事件操作记录。 CTS新版事件列表不显示数据类审计事件，您需要在旧版事件列表查看数据类审计事件。

配置应用授权 登录管理中心。 选择左侧导航栏的“应用管理”。 在“全部应用”页签，单击待修改的应用操作列的“配置”。 单击“授权管理”，进入“授权管理”页签。 单击“授权设置”，在“授权设置”界面中选择被授权成员信息，单击“下一步”。 选择可用成员范围，可勾选“全员可用”或“自定义人员范围”，勾选“自定义人员范围”后可以指定成员、部门或者用户组，然后单击“确认”。 设置后，应用授权范围中会显示授权部门、授权人员或授权用户组信息。同时，授权用户列表中也会展示授权账号的详细情况（包括姓名、账号名、应用侧角色、来源、更新时间和同步状态），支持按照账号名进行过滤查询。

使用对象 OrgID使用对象分为超级管理员、组织管理员、部门管理员和普通用户四种，不同对象的操作权限请参见常见操作与系统角色的关系。 超级管理员：是开通OrgID后拥有创建组织权限的用户。创建组织后，自动成为组织创建者，是组织内的超级管理员。 组织管理员：是超级管理员创建组织后在组织管理中心的“权限管理”页面添加为组织管理员的用户。 部门管理员：是超级管理员或组织管理员在组织管理中心的“权限管理”页面添加为部门管理员的用户。 普通用户：指具体使用OrgID的用户，由管理员在管理中心添加或邀请的用户。添加的用户会自动开通管理式华为账号，可登录并访问OrgID用户中心，邀请的用户账号也可以登录并访问OrgID用户中心。

使用账号 OrgID使用账号分为个人华为账号、管理式华为账号和第三方认证源账号。 个人华为账号：是由个人在华为集团账号系统申请获得，包括使用终端设备、华为云渠道、消费者应用等获取。该类账号归属于个人，可以通过邀请方式加入组织，也可以自己开通OrgID并创建组织。 管理式华为账号：是由组织的管理员创建生成，该类账号只归属于本组织所有，不可以加入其他组织。 第三方认证源账号：是指登录认证由第三方认证源提供，鉴权认证通过后，将登录OrgID进行后续业务操作，具体支持的认证源及认证操作请参见认证源管理。 管理式华为账号归属于组织，个人华为账号归属于个人。这两种账号在使用中是有区分的，管理员可以为管理式账号重置密码，但无法为个人账号重置密码。

开通与使用流程 租户需要先在华为云开通OrgID服务，才能进一步登录并使用OrgID服务。OrgID的开通与使用流程如图1所示。 图1 开通与使用流程 开通OrgID： 登录华为云OrgID控制台：租户使用个人华为账号登录华为云OrgID控制台，如果没有个人华为账号请先 注册华为账号 并完成实名认证。 创建组织：单击“创建组织”，系统会判断是否是首次创建组织。 首次创建组织：需要申请加入OrgID白名单，加入白名单后阅读并同意服务声明，然后可以开始创建组织。 非首次创建组织：进入OrgID业务面开始创建组织。 使用OrgID： 在华为云OrgID控制台开通OrgID后，才能开始使用OrgID。 个人华为账号直接访问OrgID管理控制台，可以创建组织，并进入组织的管理中心进行组织管理等操作，相关操作请参见管理中心介绍。 登录华为云后可以免登录访问OrgID管理控制台进行组织管理等操作，相关操作请参见管理中心介绍。

登录场景介绍 用户可以使用个人华为账号或管理式华为账号登录OrgID，用户可根据账号类型，选择不同的登录方式。另外，也支持个人华为账号、管理式华为账号或第三方认证源账号通过OrgID访问某个注册在OrgID的应用；或者登录OrgID后，在用户中心免登录访问应用列表中的应用或华为云服务。 表1 OrgID登录场景 登录场景 使用账号 操作步骤 操作说明 登录OrgID 个人华为账号 访问OrgID。 输入账号名和密码，账号名处也可以输入手机号码或者邮箱地址，单击“登录”。 首次登录后显示OrgID管理控制台，后续登录默认进入最近访问的OrgID组织用户中心。 登录后可以创建组织，具体请参见创建组织。创建完成后，该华为账号会自动成为该组织的超级管理员，拥有该组织的所有管理权限。可以访问该组织的用户中心，可切换至该组织的管理中心，并进行组织管理。 管理式华为账号 访问OrgID。 输入账号名和密码，仅支持输入账号名，单击“登录”。 成功登录后，根据账号的权限不同，界面的呈现和可执行的操作不同，具体如下： 组织管理员：登录后显示用户中心，可切换至组织的管理中心，除不能进行创建组织和解散组织的操作外，其余权限与组织创建者一致。 部门管理员：登录后显示用户中心，可切换至组织的管理中心，拥有查看组织信息、管理成员部门、管理应用的操作权限。 普通用户：登录后只能访问组织的用户中心，支持的操作可参见用户中心介绍。 通过OrgID访问某个注册在OrgID的应用 个人华为账号 管理式华为账号 通过管理员获取某个注册在OrgID的应用URL或者该应用的登录地址。 访问该地址，页面显示OrgID登录页。 输入账号名及密码，单击“登录”。 登录成功后，系统自动回调到应用首页，应用能够获取到用户授权的个人信息。 OrgID会给应用发放授权码，通过授权码，应用获取相关TOKEN，并根据TOKEN调用获取用户信息接口，获取的用户信息。 第三方认证源账号 使用第三方认证源账号登录OrgID前，需组织创建者或组织管理员在OrgID中配置第三方认证源，具体请参见认证源管理。 通过管理员获取某个注册在OrgID的应用URL或者该应用的登录地址。 访问该地址，页面显示OrgID登录页。 切换认证源，展示第三方认证源的登录页面。 输入第三方认证源账号名和密码，单击“登录”。 成功登录后显示应用首页。 免登录访问用户中心界面的应用或华为云服务 个人华为账号 管理式华为账号 第三方认证源账号 访问OrgID。 输入账号名及密码，单击“登录”。 成功登录后，进入用户中心首页。 单击最近使用或者全部应用中的应用/华为云服务，免登录进入该应用/华为云服务系统。 该应用/华为云服务会获取到用户授权的个人信息。 -

更多操作 部门添加成功后，您还可以进行以下操作。 表1 部门管理 操作名称 操作步骤 编辑部门 单击待修改部门所在行“操作”列下的“编辑部门”。 组织创建成功后，会默认生成一个一级部门，该一级部门不支持编辑。 修改部门信息，单击“更新”。 添加子部门 单击待添加子部门的部门所在行“操作”列下的“添加子部门”。 输入部门名称、设置部门CODE（可选），单击“确认”。 删除部门 单击待删除部门所在行“操作”列下的“删除”。 一级部门不支持删除。删除部门后，数据无法恢复，请谨慎操作。 单击“确认”。

（可选）同步集成配置 当需要同步应用的数据给第三方系统时，可开启同步集成开关，详细的同步数据请参见联营Kit接口描述联营Kit接口描述。 配置相关参数，参数说明如表2所示。 表2 同步集成配置参数说明 参数名称 参数说明 回调URL 用于同步该应用的数据给其他第三方系统的URL。 签名密钥 用于对回调消息体内容签名。 加密密钥 用于传输ClientSecret的加密公钥。 摘要算法 选择加密算法，如：SHA256或SHA1。 SHA1安全强度不高，不建议使用。