华为云用户手册

开发与运维 序号 服务名称 相关文档 1 应用管理与运维平台（Servicestage） 应用管理与运维平台 ServiceStage 2 软件开发生产线（CodeArts） 软件开发生产线 CodeArts 3 流水线（CodeArts Pipeline） 流水线 Codearts Pipeline 4 开源治理服务 CodeArts Governance 开源治理服务 CodeArts Governance 5 性能测试 CodeArts PerfTest 性能测试 CodeArts PerfTest

网络 序号 服务名称 相关文档 1 虚拟私有云（VPC） 虚拟私有云 VPC 2 弹性公网IP（EIP） 弹性公网IP EIP 3 NAT网关（NAT） NAT网关 NAT 4 弹性负载均衡（ELB） 弹性负载均衡 ELB 5 VPC终端节点 （VPCEP） VPC终端节点 VPCEP 6 云专线（DC） 云专线 DC 7 企业路由器（ER） 企业路由器 ER 8 全球加速服务（GA） 全球加速服务 GA 9 云连接（CC） 云连接 CC

安全与合规 序号 服务名称 相关文档 1 原生基础防护（Anti-DDoS） 原生基础防护 Anti-DDoS 2 DDoS原生高级防护（CNAD） 原生高级防护 CNAD 3 DDoS高防（AAD） DDoS高防 AAD 4 数据加密 服务（DEW），包含如下微服务： 密钥管理服务（KMS） 云凭据管理服务（ CS MS） 密钥对管理服务（KPS） 专属加密（DHSM） 数据加密服务 DEW 5 主机安全服务（HSS） 主机安全服务 HSS 6 安全云脑 （SecMaster） 安全云脑 SecMaster 7 云防火墙 （CFW） 云防火墙 CFW 8 数据安全中心 （DSC） 数据安全中心 DSC 9 私有证书管理服务（PCA） 私有证书管理服务 PCA 10 SSL证书管理服务（SCM） SSL证书管理服务 SCM 11 云堡垒机 （CBH） 云 堡垒机 CBH 12 数据库安全服务（DBSS） 数据库安全服务 DBSS 13 Web应用防火墙 （WAF） Web应用防火墙 WAF

使用限制 单账号跟踪的事件可以通过 云审计 控制台查询。多账号的事件只能在账号自己的事件列表页面去查看，或者到组织追踪器配置的OBS桶中查看，也可以到组织追踪器配置的 CTS /system日志流下面去查看。 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录，您必须配置转储到 对象存储服务 （OBS）或 云日志 服务（LTS），才可在OBS桶或LTS日志组里面查看历史事件信息。否则，您将无法追溯7天以前的操作记录。 云上操作后，1分钟内可以通过云审计控制台查询管理类事件操作记录，5分钟后才可通过云审计控制台查询数据类事件操作记录。 CTS新版事件列表不显示数据类审计事件，您需要在旧版事件列表查看数据类审计事件。 云审计控制台对用户的操作事件日志保留7天，过期自动删除，不支持人工删除。

支持审计的关键操作 通过云审计服务，您可以记录与组织云服务相关的操作事件，便于日后的查询、审计和回溯。 表1 云审计支持的Organizations操作列表 操作名称 资源类型 事件名称 创建组织 Organization createOrganization 关闭组织 Organization celeteOrganization 退出组织 Organization leaveOrganization 创建组织单元 OrganizationUnit createOrganizationalUnit 修改组织单元 OrganizationUnit updateOrganizationalUnit 删除组织单元 OrganizationUnit deleteOrganizationalUnit 邀请账号 Account inviteAccount 创建账号 Account createAccount 关闭账号 Account closeAccount 更新账号 Account updateAccount 移动账号 Account moveAccount 移除账号 Account removeAccount 接受邀请 Handshake acceptHandshake 拒绝邀请 Handshake declineHandshake 取消邀请 Handshake cancelHandshake 启用可信服务 TrustedService enableTrustedService 禁用可信服务 TrustedService disableTrustedService 设置委托管理员 DelegatedAdministrator registerDelegatedAdministrator 取消委托管理员 DelegatedAdministrator deregisterDelegatedAdministrator 创建策略 Policy createPolicy 修改策略 Policy updatePolicy 删除策略 Policy deletePolicy 启用策略类型 Policy enablePolicyType 禁用策略类型 Policy disablePolicyType 绑定策略 Policy attachPolicy 解绑策略 Policy detachPolicy 添加标签 Account OrganizationUnit Policy Root Tag tagResource 删除标签 Account OrganizationUnit Policy Root Tag untagResource 父主题： 使用CTS审计组织操作事件

操作步骤 为SCP自定义策略和标签策略添加标签的方法类似，以SCP为例，说明添加标签的方法。 以组织管理员或管理账号的身份登录管理控制台，进入Organizations控制台。 进入策略管理页，单击“服务控制策略”，进入SCP管理页。 在列表中单击自定义策略的名称，进入策略详情页。 选择“标签”页签，单击“添加”。 在弹窗中输入标签键和标签值， 单击“添加”，然后单击“确定”，完成标签添加。 在标签键和标签值的输入框的下拉列表中，可直接选择在TMS创建的预定义标签，具体请参见创建预定义标签。 图1 添加标签

标签的使用约束 每个标签由“标签键”和“标签值”组成，“标签键”和“标签值”的命名规则如下： “标签键”： 不能为空。 长度为1~128个字符。 由英文字母、数字、下划线、中划线、UNICODE字符（\u4E00-\u9FFF）组成。 “标签值”： 可以为空。 长度为1~225个字符。 由英文字母、数字、下划线、点、中划线、UNICODE字符（\u4E00-\u9FFF）组成。 每个云资源最多可以添加20个标签。 对于每个云资源，每个“标签键”都必须是唯一的，每个“标签键”只能有一个“标签值”。 本章将为您介绍如下内容： 添加标签，为已有的OU、账号、SCP和标签策略添加标签。 修改标签，修改OU、账号、SCP和标签策略的标签键值。 查看标签，查看OU、账号、SCP和标签策略的标签。 删除标签，删除OU、账号、SCP和标签策略的标签。

标签简介 标签用于标识云资源，可通过标签实现对云资源的分类和搜索。您可以向以下组织资源添加标签： 组织的根 组织单元（Organizational Unit，以下简称OU） 账号 服务控制策略（Service Control Policy，以下简称SCP） 标签策略 您可以在以下时间添加标签： 在创建OU、账号、SCP和标签策略时，可以添加标签。 根、OU、账号、SCP和标签策略创建完成后，可以在各自的详情页面添加、修改、查看、删除标签。

已对接组织的可信服务 以组织管理员或管理账号的身份登录华为云，进入华为云Organizations控制台，进入可信服务页，即可查看可信服务列表。 下表列出了可与华为云Organizations一起使用的云服务。 表1 已对接组织的可信服务列表 服务名称 功能简介 是否支持委托管理员 最大委托管理员支持数量 相关文档 配置审计 （Config） 配置审计服务支持基于组织创建合规规则、合规规则包、资源聚合器等功能，组织管理员或Config服务的委托管理员可以统一进行配置并直接作用于组织内账号状态为“正常”的成员账号中。 是 无限制 组织合规规则 组织合规规则包 资源聚合器 资源访问管理 （ RAM ） 资源访问管理服务支持基于组织共享资源能力，当您的账号由组织管理时，您可以与组织内的所有账号共享资源，组织内账号无需接受邀请即可使用共享资源。 是 无限制 启用与组织共享资源 云审计（CTS） 云审计服务支持基于组织配置组织追踪器功能，组织管理员或CTS服务的委托管理员可以配置组织追踪器作用于整个组织，实现多账号安全审计等云审计能力。 是 无限制 组织追踪器 应用运维管理 服务（ AOM ） 应用运维管理服务提供多账号聚合类型Prometheus实例的创建功能。 当同组织下多个成员账号均已接入云服务指标时，组织管理员或AOM服务的委托管理员可以通过该功能统一监控同一组织下多个成员账号的云服务指标。 是 无限制 Prometheus实例 for 多账号聚合实例 云备份服务（CBR） 云备份服务支持基于组织的统一策略管理能力，组织管理员或CBR服务的委托管理员可以通过创建组织备份策略和组织复制策略，为组织内成员账号统一设置备份策略和复制策略。 是 无限制 组织策略管理 云监控服务 （ CES ） 云监控 服务支持基于组织跨账号查看我的看板功能，组织管理员或CES服务的委托管理员可以查看其组织下所有账号的看板。 是 无限制 跨账号查看我的看板 云防火墙服务（CFW） 云防火墙服务具备安全可靠的跨账号数据汇聚和资源访问能力，组织管理员或CFW服务的委托管理员可以对组织内所有成员账号的EIP进行统一的资产防护。 是 无限制 多账号管理 数据安全中心（DSC） 数据安全中心服务具备安全可靠的跨账号数据汇聚和资源访问能力，组织管理员或DSC服务的委托管理员可以对组织内所有成员账号进行统一的数据安全防护，而无需登录每个成员账号。 是 无限制 多账号管理 企业主机安全 服务（HSS） 主机安全服务具备安全可靠的跨账号数据汇聚和资源访问能力，组织管理员或HSS服务的委托管理员可以对组织内所有成员账号进行统一的工作负载安全防护。 是 无限制 账号管理 IAM 身份中心（IdentityCenter） IAM身份中心为用户提供基于组织的多账号统一身份管理与访问控制。可以统一管理企业中使用华为云的用户，一次性配置企业的身份管理系统与华为云的单点登录，以及所有用户对组织下账号状态为“正常”的账号的访问权限。 是 无限制 什么是IAM身份中心 云日志服务（LTS） 云日志服务联合组织服务推出多账号日志汇聚中心，组织管理员或LTS服务的委托管理员可以在LTS将组织下指定账号的日志流复制到自己的账号中，实现多账号日志的集中存储和分析，满足安全合规、集中分析等不同场景下的诉求。 是 无限制 多账号日志汇聚中心 安全云脑（SecMaster） 安全云脑支持基于组织的多账号空间托管能力，组织管理员或安全云脑服务的委托管理员创建空间托管时，可以选择组织下的一个或多个账号进行托管。 是 无限制 创建托管 访问分析（AccessAnalyzer） 访问分析提供组织级的访问分析功能，组织管理员或委托管理员可以在组织内创建和管理访问分析器，用于识别组织内与外部共享的资源等。 是 1 暂无 云运维中心 （COC） 云运维中心基于组织的跨账号能力，支持组织管理员或服务委托管理员在云运维中心查看其组织内成员的运维态势和资源情况，并支持对资源进行跨账号的作业任务执行。 是 1 跨账号运维态势感知 跨账号资源管理 父主题： 可信服务管理

服务关联委托 Organizations使用IAM服务的委托信任功能，使可信服务能够在您组织的成员账号中代表您执行任务。当您启用某个服务为可信服务时，该服务可以请求Organizations在其成员账号中创建服务关联委托，可信服务按需异步执行此操作。此服务关联委托具有预定义的IAM权限，允许可信服务在成员账号中拥有执行可信服务文档中所述任务的权限，相当于云服务能力在多账号组织场景下的拓展。当前支持的可信服务及其功能简介请参见：已对接组织的可信服务。 当您在组织中创建账号或邀请现有账号加入组织时，Organizations会在成员账号内创建服务关联委托，该委托是云服务委托，委托权限为“OrganizationsServiceLinkedAgencyPolicy”系统权限，授权范围为所有资源。仅Organizations服务本身可以承担此委托，该委托具有允许Organizations为其他云服务创建服务关联委托的权限。 Organizations的SCP不会影响服务关联委托，使用服务关联委托执行的任何操作将免受SCP限制。

什么是可信服务 可信服务是指可与Organizations服务集成，提供组织级相关能力的华为云服务。管理账号可以在组织中开启某个云服务为可信服务。成为可信服务后，云服务可以获取组织中的组织单元及成员账号信息，并基于此信息提供组织级的管理能力。例如，开启CTS云审计为可信服务后，CTS可以获取组织单元及成员账号信息，统一为整个组织提供云审计服务，记录组织中所有账号的操作。能与组织搭配使用的云服务列表参见：已对接组织的云服务列表。

绑定SCP 方式一： 以组织管理员或管理账号的身份登录华为云，进入华为云Organizations控制台，进入组织管理页面。 选中要绑定SCP的OU或者账号。 在右侧详情页，选择策略页签，展开“服务控制策略”列表，单击列表上方的“绑定”。 图1 绑定SCP 在弹窗中选择要添加的策略后，在文本框中输入“确认”，然后单击“绑定”，完成策略绑定。 方式二： 在Organizations控制台，进入策略管理页。 单击“服务控制策略策略”，进入SCP策略列表页。 单击SCP策略操作列的“绑定”，选中要绑定SCP策略的OU或者账号。 在弹窗中输入“确认”，单击“确定”，完成策略绑定。 图2 绑定SCP

解绑SCP 方法一： 以组织管理员或管理账号的身份登录华为云，进入华为云Organizations控制台，进入组织管理页面。 选中要解绑SCP的OU或者账号。 在右侧详情页，选策略页签，展开“服务控制策略”列表，在列表单击要解绑的SCP操作列的“解绑”。 在弹窗中输入“确认”，单击“确定”，完成策略解绑。 图3 解绑SCP OU和账号至少直接绑定一个SCP，最后一个直接绑定策略，不可解绑。 方式二： 在Organizations控制台，进入策略管理页。 单击“服务控制策略策略”，进入SCP策略列表页。 单击SCP策略的名称，选择“目标”页签。 单击需要解绑的OU或账号操作列的“解绑”。 图4 解绑SCP 在弹窗中输入“确认”，单击“确定”，完成策略解绑。 图5 解绑SCP

修改SCP 以组织管理员或管理账号的身份登录管理控制台，进入Organizations控制台。 进入策略管理页，单击“服务控制策略”，进入SCP管理页。 单击自定义SCP操作列的“编辑”，在弹窗中输入“确认”，单击“确定”。 图1 修改SCP 进入编辑策略页面，按需修改“策略名称”和“策略描述”，如图2所示。 图2 修改SCP 按需修改策略内容。可使用语句编辑器进行修改，策略语法请参考SCP语法介绍。 单击右下角“保存”后，系统会自动校验语法，如跳转到策略列表，则SCP编辑成功；如系统提示策略内容有误，则请按照语法规范进行修改。

操作步骤 以组织管理员或管理账号的身份登录管理控制台，进入Organizations控制台。 进入策略管理页，单击“服务控制策略”，进入SCP管理页。 图1 进入SCP管理页 单击“创建”，进入SCP创建页面。 图2 创建SCP 输入策略名称。新创建的策略名称不能与已有策略名称重复。 （可选）输入策略描述。 在策略内容左侧可以直接编写JSON格式的策略内容。 关于如何编写JSON格式的策略语句可参考SCP语法介绍和SCP示例。 自定义策略版本号（Version）固定为5.0，不可修改。 当作用（Effect）为Allow时，不能有Condition元素，即无法添加条件键。 将光标置于策略内容左侧的statement语句中，即可在策略内容右侧使用策略编辑器进行编辑自定义策略的操作、资源和条件。 添加操作：单击号，选择或搜索要添加的服务及相应操作项，添加成功的操作项会自动显示在策略内容左侧的Action元素下。如图3所示。 图3 添加操作 添加资源：仅支持资源级授权的服务可添加。单击号，选择操作对应的服务，在选择资源类型，根据实际情况填写URN。如图4所示。 图4 添加资源 添加条件（可选）：单击号，添加条件键和运算符，规定策略生效的条件。如图5所示。 图5 添加条件 （可选）单击“添加新语句”，可添加Statement元素的对象。 Statement元素的值可以是多个对象组成的数组，表示不同的权限约束。 图6 添加新语句 （可选）为策略添加标签。在标签栏目下，输入标签键和标签值，单击“添加”。 图7 为SCP添加标签 单击右下角“保存”后，系统会自动校验语法，如跳转到策略列表，则SCP创建成功；如系统提示策略内容有误，则请按照语法规范进行修改。

启用SCP 在创建SCP并将其附加到组织单元和账号之前，必须先启用SCP，且只能使用组织的管理账号启用SCP。启用SCP后，组织将自动给所有OU和账号绑定FullAccess策略，默认允许所有操作。 以组织管理员或管理账号的身份登录管理控制台，进入Organizations控制台。 进入策略管理页，单击“服务控制策略”操作列的“启用”。 在弹窗中勾选确认框，然后单击“确定”，完成SCP功能启用。 图1 启用SCP

禁用SCP 如果您不想再使用SCP管理组织权限，可以禁用SCP，且只能使用组织的管理账号禁用SCP。 禁用SCP后，所有SCP会自动从组织中的所有实体解绑，包括所有OU和账号，但是策略本身不会被删除。 若禁用SCP后再重新启用SCP，则组织中的所有实体将恢复到只绑定FullAccess的状态。实体与其他SCP的绑定关系将丢失，如需恢复则需要用户重新绑定。 以组织管理员或管理账号的身份登录管理控制台，进入Organizations控制台。 进入策略管理页，单击“服务控制策略”操作列的“禁用”。 图2 禁用SCP 在弹窗中单击“确定”，完成SCP功能禁用。

策略参数 策略参数包含Version和Statement两部分，下面介绍策略参数详细说明。 表1 策略参数说明 参数 是否必选 含义 值 Version 必选 策略的版本。 5.0（不可自定义） Statement： 策略的授权语句 Statement Sid 可选 策略语句标识符。您可为语句数组中的每个策略语句指定Sid值。 用户自定义字符串。 Effect：作用 必选 定义Action中的操作权限是否允许执行。 Allow：允许执行。 Deny：不允许执行。 说明： 当同一个Action的Effect既有Allow又有Deny时，遵循Deny优先的原则。 当Effect为Allow时，不能有Condition元素。 Action：授权项 Allow时必选。 Deny时与NotAction二选一。 操作权限。 格式为“服务名:资源类型:操作”。授权项支持通配符号*，通配符号*表示所有。 参数中的通配符*和?只能单独使用或放在字符串结尾处。它不能出现在字符串的开头或中间部分。 例如“vpc:subnets:list”：表示查看VPC子网列表权限，其中vpc为服务名，subnets为资源类型，list为操作。 NotAction Allow时不可选。 Deny时与Action二选一。 Deny时，NotAction列出的操作或服务不受当前策略影响，即除了NotAction列表中的操作之外，其他操作deny。 格式同Action。 Condition：条件 Allow时不可选。 使策略生效的特定条件，包括条件键和运算符。 格式为“条件运算符:{条件键：[条件值1,条件值2]}”。 如果您设置多个条件，同时满足所有条件时，该策略才生效。 示例: "StringEndWithIfExists":{"g:UserName":["specialCharactor"]}：表示当用户输入的用户名以"specialCharactor"结尾时该条statement生效。 Resource：资源类型 可选 未指定时，Resource默认为“*”，策略应用到所有资源。 策略所作用的资源。 Allow时，只能为“*”。 Deny时，可选择“*”或具体资源，格式为“服务名:region:domainId:资源类型:资源路径”, 资源类型支持通配符号*，通配符号*表示所有。 示例："ecs:*:*:instance:*"：表示所有的ECS实例。 SCP中不支持以下元素： Principal NotPrincipal NotResource

运算符 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，策略才能生效。运算符可以增加后缀“IfExists”，表示对应请求值为空或满足条件的请求值均使策略生效，如“StringEqualsIfExists”表示请求值为空或请求值等于条件值均使策略生效。运算符为字符串型运算符，表格中如未增加说明，不区分大小写。 String类型 表3 String类型运算符 类型 运算符 说明 String StringEquals 请求值与任意一个条件值相同（区分大小写）。 StringNotEquals 请求值与所有条件值都不同（区分大小写）。 StringEqualsIgnoreCase 请求值与任意一个条件值相同。 StringNotEqualsIgnoreCase 请求值与所有条件值都不同。 StringMatch 请求值符合任意一个条件值的正则表达式（区分大小写，正则表达式仅支持*和?）。 StringNotMatch 请求值不符合所有条件值的正则表达式（区分大小写，正则表达式仅支持*和?）。 示例：禁止用户名为ZhangSan的请求者删除和修改资源共享实例。 { "Version": "5.0", "Statement": [ { "Effect": "Deny", "Action": [ "ram:resourceShares:delete", "ram:resourceShares:update" ], "Condition": { "StringEquals": { "g:DomainName": [ "ZhangSan" ] } } } ] } Number类型 表4 Number类型运算符 类型 运算符 说明 Number NumberEquals 请求值等于任意一个条件值。 NumberNotEquals 请求值不等于所有条件值。 NumberLessThan 请求值小于任意一个条件值。 NumberLessThanEquals 请求值小于或等于任意一个条件值。 NumberGreaterThan 请求值大于任意一个条件值。 NumberGreaterThanEquals 请求值大于或等于任意一个条件值。 Date类型 表5 Date类型运算符 类型 运算符 说明 Date DateLessThan 请求值早于任意一个条件值。 DateLessThanEquals 请求值早于或等于任意一个条件值。 DateGreaterThan 请求值晚于任意一个条件值。 DateGreaterThanEquals 请求值晚于或等于任意一个条件值。 示例：请求者禁止在2022年8月1日前访问RAM服务。 { "Version": "5.0", "Statement": [ { "Effect": "Deny", "Action": [ "ram:*:*" ], "Condition": { "DateLessThan": { "g:CurrentTime": [ "2022-08-01T00:00:00Z" ] } } } ] } Bool类型 表6 Bool类型运算符 类型 运算符 说明 Bool Bool 条件值可选值：true、false。请求值等于条件值。 Null类型 表7 Null类型运算符 类型 运算符 说明 Null Null 条件值可选值：true、false。条件值为true，要求请求值不存在或者值为null；条件值为false，要求请求值必须存在且值不为null。 IP类型 表8 IP类型运算符 类型 运算符 说明 IP IpAddress 指定IP地址或者IP范围。 NotIpAddress 指定IP地址或者IP范围之外的所有IP地址。 示例：拒绝IP地址在10.27.128.0到10.27.128.255范围内的请求修改指定的永久访问密钥。 { "Version": "5.0", "Statement": [ { "Effect": "Deny", "Action": [ "iam:credentials:updateCredentialV5" ], "Condition": { "IpAddress": { "g:SourceIp": [ "10.27.128.0/24" ] } } } ] } “IfExists”运算符后缀 除Null运算符以外，您可以在任何条件运算符名称的末尾添加IfExists，例如：StringEqualsIfExists。如果请求的内容中存在条件键，则依照策略所述来进行匹配。如果该键不存在，则该条件元素的匹配结果将为true。

SCP分类 SCP按照策略创建者可分为两类，分别是系统策略和自定义策略。 系统策略 华为云服务在组织预置了常用SCP，称为系统策略。组织管理员给组织单元或账号绑定SCP时，可以直接使用这些策略。系统策略只能使用，不能修改。现有的SCP系统策略请参见：SCP系统策略列表。 自定义策略 如果系统策略无法满足授权要求，管理账号可以根据各服务支持的授权项，自行创建和修改自定义策略。自定义策略是对系统策略的扩展和补充。目前Organizations云服务支持策略编辑器和JSON视图两种自定义策略配置方式。

权限控制原理 划定权限边界 SCP不直接进行授权，只划定权限边界。将SCP绑定到组织单元或者成员账号时，并没有直接对组织单元或成员账号授予操作权限，而是规定了成员账号或组织单元包含的成员账号的授权范围。IAM策略授予权限的有效性受SCP限制，只有在SCP允许范围内的权限才能生效。SCP禁止的权限操作，即便授予IAM用户权限，用户也不能执行相关操作。 比如成员账号A绑定了某一条SCP，SCP允许操作A的权限，拒绝操作B的权限。那么成员账号A可以给自己名下的IAM用户授予操作A的权限，不能授予操作B的权限，即便授予了操作B的权限，也无法生效。 交集有效 权限边界的叠加遵从交集有效准则，父OU的SCP与子OU（或账号）的SCP共同允许的权限，作为子OU的最终权限边界。 如下图所示，左侧的椭圆表示附加到父OU的SCP，它允许权限A、B和C。右侧椭圆表示子OU（或账号）绑定SCP允许的权限，子OU（或账号）允许权限C、D和E。由于附加到父OU的SCP不允许D或E，因此父OU下的所有子OU和账号都不能使用它们，即使子OU的SCP明确允许D和E，它们最终仍然会被父OU的SCP阻止。子OU（或账号）的SCP不允许A或B，因此， 子OU（或账号）将阻止这些权限。最终，子OU的权限是父OU权限和子OU（或账号）绑定SCP的权限交集，即下图中的权限C。 如果椭圆右侧是一个成员账号，则交集是授予该账号中的用户和用户组的最大权限集合。如果椭圆右侧是OU，则交集是该子OU可继承的最大权限集合。 图1 SCP原理图 筛选继承 组织单元或账号绑定的SCP包括两部分，直接绑定的策略和继承的策略。某组织单元绑定的SCP，会继承给该组织单元下的所有子级OU和账号。账号和组织单元的权限边界，由所有上级OU的SCP和自身直接绑定的SCP共同决定。如下图所示，Account y隶属于OU3，Account y的权限边界是由继承自Root，OU1和OU3的SCP与Account y绑定的SCP共同决定。 图2 SCP继承规则 如果要在成员账号级别允许使用某个云服务的操作，则必须在账号和根组织单元之间的每个层级上允许该操作。这意味着，必须在根组织单元和账号之间的每个层级，附加允许该操作的SCP。您可以使用下列任一策略执行此操作： 添加拒绝策略。拒绝策略会使用默认附加到每个OU和账号上的FullAccess SCP。此SCP将覆盖默认的隐式Deny，并明确允许所有权限从根组织单元传递到每个账号，除非创建并附加到相应OU或账号的其他SCP明确了拒绝权限。策略中的显式Deny始终优先于Allow。具有拒绝策略的OU层级以下的任何账号都不能使用被拒绝的操作，也无法在组织结构中较低的层级中添加该权限。 添加允许策略。添加允许策略并删除默认附加到每个OU和账号的FullAccess SCP后，除非策略中明确允许，否则任何OU和账号都不允许任何操作权限。要允许使用某个云服务的操作，必须创建SCP并将它们附加到账号及其层级之上的每个OU，直至附加到根组织单元为止（包括根组织单元）。层次结构中的每个SCP（从根组织单元开始）必须明确允许在OU及其下面的账号中使用该操作。SCP中的显式Allow会覆盖隐式Deny。 拒绝优先 当组织单元和账号绑定多条SCP时，账号权限优先遵从拒绝语句。比如成员账号A同时绑定了两条SCP，分别是允许全部操作和禁止查看账单操作。此时执行查看账单操作，鉴权规则会优先遵从拒绝操作，即成员账号A不能查看账单。详细说明请参考显式拒绝和隐式拒绝的区别。 默认允许 组织启用SCP时，默认会为所有OU和账号附加全部权限（FullAccess策略），默认允许所有操作。除非您为OU或账号附加其他的明确拒绝策略。

显式拒绝和隐式拒绝的区别 Effect（效果）包含两种：Allow（允许）和Deny（拒绝），分别表示允许或拒绝执行某操作的权限。 当没有策略设置权限为Allow和Deny时，默认情况即为Deny权限，称为隐式拒绝。当有策略授权Allow权限，且没有其他策略Deny该权限时，Allow的权限才能生效。 如果策略设置权限为Deny，则为显式拒绝。显式的Deny始终优先于Allow。例如，父OU的SCP，它允许权限A、B和C，但是子OU的SCP允许权限A、B，拒绝权限C，则该子OU的账号以及以下层级的账号，均无法使用权限C。 用户在发起访问请求时，鉴权规则如下： 图3 系统鉴权逻辑图 用户发起访问请求。 系统优先寻找Deny指令。如果找到一个适用的Deny指令，系统将返回Deny决定。 如果没有找到Deny指令，系统将寻找适用于请求的任何Allow指令。如果找到一个Allow指令，系统将返回Allow决定。 如果找不到Allow指令，最终决定为Deny，鉴权结束。

移除须知 组织管理员从组织中移除成员账号或成员账号主动退出组织之前，您需要了解以下内容： 在组织中创建的账号被移除组织或主动退出组织时，该账号创建成功的时间需大于七个自然日。 在组织中创建的账号被移除组织或主动退出组织时，需先将其转换为华为云账号。如何转换请参见将资源账号转为云账号。 邀请加入组织的账号为华为云账号时才支持移除组织或主动退出组织，详情请参见资源账号与华为云账号的差异。 已设置为委托管理员的账号无法从组织中移除或主动退出组织，需先取消委托管理员。 在组织中创建账号时默认创建的IAM委托，账号离开组织后并不会自动删除，组织管理账号可继续通过此委托访问成员账号的数据，如需终止组织管理账号的此访问权限，需成员账号手动删除委托。 在组织中创建的账号离开组织后，不会改变该账号与组织管理账号的财务托管模式。邀请加入组织的账号离开组织后，不会改变该账号原有的财务关系。如需调整请参见解除关联子账号。 当某个成员账号离开组织后，组织策略施加的权限限制将不再影响该账号，这意味着该账号可能拥有比之前更多的权限。当组织已启用可信服务，成员账号离开组织后将无法再使用该服务与组织集成的相关功能。 当成员账号离开组织时，所有附加到该账号的标签都将被删除。

移除账号 登录组织的管理账号后，您可以从组织中移除不再需要的成员账号，步骤如下。注意，以下步骤仅适用于移除成员账号，要移除管理账号，您必须删除组织。 以组织管理员或管理账号的身份登录华为云，进入华为云Organizations控制台，进入组织管理页面。 选中要移除的账号。单击组织结构树上方的管理，选择“移除账号”。 图1 移除账号 在弹窗中阅读并勾选移除账号的风险点，并输入“YES”，单击“确定”，完成成员账号移除。 图2 确认移除账号

成员账号退出组织 登录成员账号后，您可以选择从组织中退出。管理账号不能使用“退出组织”的方法离开组织，要移除管理账号，您必须删除组织。 已设置为委托管理员的账号无法退出组织，如需退出请先取消委托管理员。 以成员账号的身份登录华为云，进入华为云Organizations控制台。 在控制面板页面中的退出组织栏目下，单击“退出组织”，在弹窗中阅读退出组织的注意事项后，输入“YES”，单击“确认”，完成退出组织操作。 图3 确认退出组织

查看账号详细信息 您可以随时查看组织内账号的详细信息，具体请参见如下步骤。 以组织管理员或管理账号的身份登录华为云，进入华为云Organizations控制台，进入组织管理页。 选中要查看的账号，在界面右侧即可查看账号详细信息。包括账号名称、ID、归属组织单元、URN、加入方式、加入时间或创建时间、账号状态、手机号、账号描述，以及绑定的策略、标签、委托服务等信息。 图1 查看账号详情 父主题： 账号管理

移动账号 登录到管理账号后，您可以移动组织内的账号，将账号从当前组织单元，移动到其他的组织单元中。 以组织管理员或管理账号的身份登录华为云，进入华为云Organizations控制台，进入组织管理页面。 选中要移动的账号。单击组织结构树上方的管理，选择“移动账号”。 图1 移动账号 在弹窗中选中要移动的目标组织单元，在下方的文本框中输入“确认”，然后单击“确定”，完成账号移动。 父主题： 账号管理

管理组织的待处理邀请 登录到管理账号后，您可以查看和管理组织创建的邀请，具体步骤如下。 以组织管理员或管理账号的身份登录华为云，进入华为云Organizations控制台，进入账号管理页面。 选择“邀请记录”页签，此页面展示组织发送的所有邀请及当前状态。 单击邀请记录操作列的“取消邀请” ，在弹框中单击“确定”可完成邀请取消。您只能取消“邀请中”的账号。 取消邀请后，邀请的状态将从“邀请中”更改为 “已取消”。邀请取消后若要再次邀请当前账号，则必须重新发出邀请，才能让其加入您的组织。 图3 取消邀请

向账号发送邀请 您可通过以下步骤，邀请其他账号加入组织，成为组织的成员账号。注意，邀请进入组织的成员账号会默认放置到根OU中，更换所属OU请参见移动账号。 以组织管理员或管理账号的身份登录华为云，进入华为云Organizations控制台，进入组织管理页面。 单击组织结构树上方的“添加”，单击“添加账号”。 图1 添加账号 在弹窗中，选择“邀请现有账号”，输入邀请账号的账号名或账号ID。 如何获取账号名和账号ID请参见：获取账号名和ID。 图2 邀请现有账号 （可选）为账号添加标签。 标签以键值对的形式表示，用于标识账号，便于对账号进行分类和搜索。一个账号最多添加20个标签。 标签的设置说明如表1所示。 表1 标签说明 参数 说明 举例 键 输入标签的键，同一个账号标签的键不能重复。键可以自定义，也可以选择预先在标签管理服务（TMS）创建好的标签的键。 键命名规则如下： 不能为空。 长度为1~128个字符。 由英文字母、数字、下划线、中划线、UNICODE字符（\u4E00-\u9FFF）组成。 Key_0001 值 输入标签的值，标签的值可以重复，并且可以为空。 标签值的命名规则如下： 可以为空。 长度为1~225个字符。 由英文字母、数字、下划线、点、中划线、UNICODE字符（\u4E00-\u9FFF）组成。 Value_0001 单击“确定”，即可向受邀账号发出邀请。

接受或拒绝来自组织的邀请 您的账号可能会收到加入某个组织的邀请，您可以接受或拒绝邀请。 一个账号只能加入一个组织。如果您收到多个加入组织邀请，只能接受其中一个。如果当前您已加入组织，则需要退出当前组织后，才能再次接受组织邀请。 以受邀成员账号的身份登录华为云，进入华为云Organizations控制台。 此时界面会向您展示邀请列表。接受邀请则单击对应邀请操作列的“接受”，拒绝邀请则单击对应邀请操作列的“拒绝”。 图4 接受或拒绝邀请