华为云用户手册

操作（Action） 操作（Action）即为SCP中支持的授权项。 “访问级别”列描述如何对操作进行分类（list、read和write等）。此分类可帮助您了解在SCP中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。 资源类型支持通配符号*表示所有。如果此列没有值（-），则必须在SCP语句的Resource元素中指定所有资源类型（“*”）。 如果该列包含资源类型，则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号（*）标识，表示使用此操作必须指定该资源类型。 关于DDS定义的资源类型的详细信息请参见资源类型（Resource）。 “条件键”列包括了可以在SCP语句的Condition元素中支持指定的键值。 如果该授权项资源类型列存在值，则表示条件键仅对列举的资源类型生效。 如果该授权项资源类型列没有值（-），则表示条件键对整个授权项生效。 如果此列条件键没有值（-），表示此操作不支持指定条件键。 关于DDS定义的条件键的详细信息请参见条件（Condition）。 您可以在SCP语句的Action元素中指定以下DDS的相关操作。 表1 DDS支持的授权项 授权项 描述 访问级别 资源类型（*为必须） 条件键 dds:instance:setSsl 授予切换SSL开关的权限。 permission_management instance - dds:instance:unbindEIP 授予解绑弹性公网IP的权限。 write - - dds:instance:migrateAz 授予实例迁移可用区的权限。 write - - dds:instance:listMigrateAz 授予查询实例可迁移的可用区列表的权限。 list - - dds:instance:updateIp 授予修改内网IP地址的权限。 write instance - dds:instance:bindEIP 授予绑定弹性公网IP的权限。 write - - dds:instance:resetPassword 授予重置数据库用户密码的权限。 write instance - dds:instance:checkPassword 授予检查数据库密码的权限。 read instance - dds:instance:updatePort 授予修改数据库端口的权限。 write instance - dds:backup:download 授予下载备份文件的权限。 read instance - dds:instance:setAuditLogPolicy 授予设置审计日志策略的权限。 permission_management instance - dds:instance:getAuditLogPolicy 授予查看审计日志策略的权限。 list instance - dds:instance:listAuditLog 授予查看审计日志的权限。 list instance - dds:instance:listSlowLog 授予查看慢日志的权限。 list instance - dds:instance:downloadSlowLog 授予下载慢日志的权限。 read instance - dds:instance:listErrorLog 授予查看错误日志的权限。 list instance - dds:instance:downloadErrorLog 授予下载错误日志的权限。 read instance - dds:configuration:delete 授予删除参数组的权限。 write - g:EnterpriseProjectId dds:configuration:update 授予修改参数组中参数值的权限。 write - g:EnterpriseProjectId dds:backup:listAll 授予查询备份列表的权限。 list - - dds:instance:updateConfiguration 授予修改实例或实例节点的参数组配置的权限。 write instance - dds:instance:applyConfiguration 授予应用参数配置到实例或实例节点的权限。 write - - dds:instance:createIp 授予创建IP的权限。 write - - dds:backup:delete 授予删除备份的权限。 write - - dds:instance:updateSecurityGroup 授予变更实例安全组的权限。 write instance - dds:configuration:listAll 授予查询参数组列表的权限。 list - g:EnterpriseProjectId dds:instance:getConfiguration 授予查询实例参数配置的权限。 read instance - dds:configuration:get 授予查询参数配置详情的权限。 read - g:EnterpriseProjectId dds:instance:updateSpec 授予变更实例规格的权限。 write instance - dds:instance:getSecondLevelMonitoringConfig 授予查询秒级监控配置的权限。 read instance - dds:instance:setSecondLevelMonitoringConfig 授予开启秒级监控的权限。 write instance - dds:instance:switchover 授予切换主备节点的权限。 write instance - dds:instance:extendVolume 授予扩容实例存储容量的权限。 write instance - dds:instance:listAll 授予查询数据库实例列表的权限。 list - - dds:instance:setRecyclePolicy 授予设置实例回收备份策略的权限。 write - - dds:instance:getRecyclePolicy 授予查看实例回收备份策略的权限。 read - - dds:instance:listRecycleInstances 授予查询回收站实例列表的权限。 list - - dds:instance:getUpgradeDuration 授予查询数据库补丁升级预估时长的权限。 read instance - dds:instance:getDiskUsage 授予查询磁盘使用率的权限。 read instance - dds:configuration:listAppliedHistory 授予查询参数模板被应用历史的权限。 list - - dds:configuration:listUpdatedHistory 授予查询参数模板修改历史的权限。 list - - dds:configuration:compare 授予比较两个参数模板之间差异的权限。 read - - dds:configuration:copy 授予复制参数模板的权限。 write - - dds:configuration:reset 授予重置参数模板的权限。 write - - dds:instance:getSslCertDownloadAddress 授予获取下载ssl证书地址的权限。 read instance - dds:instance:addNode 授予扩容实例节点数量的权限。 write instance - dds:instance:deleteEnlargeFailedNode 授予删除扩容失败的实例节点的权限。 write instance - dds:task:listAll 授予查询任务列表的权限。 list - - dds:task:getDetail 授予查询任务详情的权限。 read - - dds:instance:restart 授予重启数据库实例的权限。 write instance - dds:instance:deleteAuditLog 授予删除审计日志的权限。 write instance - dds:instance:delete 授予删除数据库实例的权限。 write instance - dds:instance:updateName 授予修改实例名称的权限。 write instance - dds:instance:updateRemark 授予修改实例备注的权限。 write instance - dds:instance:setTag 授予批量添加或删除指定实例标签的权限。 tagging instance - dds:instance:listTags 授予查询指定实例的标签信息的权限。 read - - dds:instance:setBackupPolicy 授予设置自动备份策略的权限。 write - dds:BackupEnabled dds:instance:getBackupPolicy 授予查询自动备份策略的权限。 read - - dds:configuration:create 授予创建参数组的权限。 write - g:EnterpriseProjectId dds:instance:setSlowLogPlaintextStatus 授予切换慢日志明文显示开关的权限。 permission_management instance - dds:instance:getSlowLogPlaintextStatus 授予查看慢日志明文开关状态的权限。 read instance - dds:instance:downloadAuditLog 授予下载审计日志的权限。 read instance - dds:instance:create 授予创建数据库实例的权限。 write - dds:Encrypted dds:BackupEnabled dds:instance:restore 授予备份恢复原实例的权限。 write - - dds:backup:getRestoreTimeList 授予查询实例可恢复时间段的权限。 read - - dds:backup:getRestoreCollections 授予获取可恢复的数据库集合列表的权限。 list - - dds:backup:getRestoreDatabases 授予获取可恢复的数据库列表的权限。 list - - dds:instance:getConnectionStatistics 授予查询实例连接数统计信息的权限。 read instance - dds:instance:getQuotas 授予查询配额的权限。 read - - dds:instance:createDatabaseUser 授予创建数据库用户的权限。 write instance - dds:instance:getDatabaseUser 授予查询数据库用户列表的权限。 read instance - dds:instance:deleteDatabaseUser 授予删除数据库用户的权限。 write instance - dds:instance:createDatabaseRole 授予创建数据库角色的权限。 write instance - dds:instance:deleteDatabaseRole 授予删除数据库角色的权限。 write instance - dds:instance:getDatabaseRole 授予查询数据库角色列表的权限。 read instance - dds:instance:setSourceSubnet 授予网段配置的权限。 write instance - dds:instance:upgradeDatabaseVersion 授予升级数据库版本的权限。 write instance - dds:backup:create 授予创建数据库实例手动备份的权限。 write - - dds:instance:deleteSession 授予删除节点会话的权限。 write - - dds:instance:listSession 授予查询节点会话列表的权限。 list - - dds:instance:getShardingBalancer 授予查询集群实例负载均衡的权限。 read instance - dds:instance:setShardingBalancer 授予设置集群实例负载均衡的权限。 write instance - dds:instance:setBalancerWindow 授予设置集群均衡活动时间窗的权限。 write instance - dds:instance:updateOpsWindow 授予设置实例可维护时间窗的权限。 write instance - dds:instance:listFlavors 授予查询规格列表的权限。 read - - dds:instance:listStorageType 授予查询数据库磁盘类型的权限。 read - - dds:instance:listDatabaseVersion 授予查询数据库版本信息的权限。 read - - dds:tag:listAll 授予查询项目下所有标签信息的权限。 list - - dds:instance:reduceNode 授予缩容集群实例的节点数量的权限。 write instance - dds:instance:createDomainName 授予创建DNS的权限。 write - - dds:instance:updateDomainName 授予修改DNS名称的权限。 write - - dds:instance:updateReplicaSetName 授予修改数据库复制集名称的权限。 write instance - dds:instance:getDetail 授予查询实例详情的权限。 read instance - dds:instance:getNodeList 授予查询实例节点列表的权限。 read instance - dds:instance:updateTag 授予修改实例标签的权限。 tagging instance - dds:instance:deleteTag 授予删除实例标签的权限。 tagging instance - dds:backup:get 授予查询备份信息的权限。 read - - dds:offsiteBackup:listRegion 授予获取指定实例异地备份区域的权限。 read - - dds:offsiteBackup:listInstance 授予获取异地备份实例的权限。 read - - dds:offsiteBackup:listAll 授予获取异地备份列表的权限。 read - - dds:instance:saveLogConfig 授予批量保存日志配置的权限。 write - - dds:instance:deleteLogConfig 授予批量删除日志配置的权限。 write - - DDS的API通常对应着一个或多个授权项。表2展示了API与授权项的关系，以及该API需要依赖的授权项。 表2 API与授权项的关系 API 对应的授权项 依赖的授权项 POST /v3/{project_id}/instances dds:instance:create vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get - GET /v3/{project_id}/instances?id={id}&name={name}&mode={mode}&datastore_type={datastore_type}&vpc_id={vpc_id}&subnet_id={subnet_id}&offset={offset}&limit={limit} dds:instance:listAll - DELETE /v3/{project_id}/instances/{instance_id} dds:instance:delete - POST /v3/{project_id}/instances/{instance_id}/restart dds:instance:restart - POST /v3/{project_id}/instances/{instance_id}/enlarge-volume dds:instance:extendVolume - POST /v3/{project_id}/instances/{instance_id}/enlarge dds:instance:addNode vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get - POST /v3/{project_id}/instances/{instance_id}/resize dds:instance:updateSpec - POST /v3/{project_id}/instances/{instance_id}/switchover dds:instance:switchover - POST/v3/{project_id}/instances/{instance_id}/switch-ssl dds:instance:setSSL - PUT /v3/{project_id}/instances/{instance_id}/modify-name dds:instance:updateName - POST /v3/{project_id}/instances/{instance_id}/modify-port dds:instance:updatePort - POST /v3/{project_id}/instances/{instance_id}/modify-security-group dds:instance:updateSecurityGroup - POST /v3/{project_id}/nodes/{node_id}/bind-eip dds:instance:bindEIP - POST /v3/{project_id}/nodes/{node_id}/unbind-eip dds:instance:unbindEIP - POST /v3/{project_id}/instances/{instance_id}/modify-internal-ip dds:instance:updateIp - POST /v3/{project_id}/instances/{instance_id}/create-ip dds:instance:createIp - GET /v3/{project_id}/instances/{instance_id}/migrate/az dds:instance:listMigrateAz - POST /v3/{project_id}/instances/{instance_id}/migrate dds:instance:migrateAz - GET /v3/{project_id}/nodes/{node_id}/sessions dds:instance:lisSession - POST /v3/{project_id}/nodes/{node_id}/session dds:instance:deleteSession - GET /v3/{projectId}/instances/{instance_id}/conn-statistics dds:instance:getConnectionStatistics - POST /v3/{project_id}/backups dds:backup:create - DELETE /v3/{project_id}/backups/{backups_id} dds:backup:delete - GET /v3/{project_id}/backups?instance_id={instance_id}&backup_id={backup_id}&backup_type={backup_type}&offset={offset}&limit={limit}&begin_time={begin_time}&end_time={end_time}&mode={mode} dds:backup:listAll - GET /v3/{project_id}/instances/{instance_id}/backups/policy dds:instance:getBackupPolicy - PUT /v3/{project_id}/instances/{instance_id}/backups/policy dds:instance:setBackupPolicy - POST /v3/{project_id}/instances dds:instance:create vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get - GET /v3/{projectId}/backups/download-file dds:backup:download - GET /v3/{project_id}/instances/{instance_id}/restore-time dds:backup:getRestoreTimeList - GET /v3/{project_id}/instances/{instance_id}/restore-database dds:backup:getRestoreDatabases - GET /v3/{project_id}/instances/{instance_id}/restore-collection dds:backup:getRestoreCollections - POST /v3/{project_id}/instances/recovery dds:backup:restore - POST /v3/{project_id}/instances/{instance_id}/restore/collections dds:backup:restore - GET /v3/{project_id}/configurations dds:configuration:listAll - PUT /v3/{project_id}/configurations dds:configuration:create - DELETE /v3/{project_id}/configurations/{config_id} dds:configuration:delete - GET /v3/{projectId}/configurations/{configId} dds:configuration:get - PUT /v3/{project_id}/configurations/{config_id} dds:configuration:update - PUT /v3/{project_id}/configurations/{config_id}/apply dds:instance:applyConfiguration - GET /v3/{project_id}/instances/{instance_id}/configurations dds:instance:getConfiguration - PUT /v3/{project_id}/instances/{instance_id}/configurations dds:instance:updateConfiguration - GET /v3/{project_id}/instances/{instance_id}/slowlog dds:instance:listSlowLog - POST /v3/{project_id}/instances/{instance_id}/slowlog-download dds:instance:downloadSlowLog - GET /v3/{project_id}/instances/{instance_id}/errorlog dds:instance:listErrorLog - POST /v3/{project_id}/instances/{instance_id}/errorlog-download dds:instance:downloadErrorLog - POST /v3/{project_id}/instances/{instance_id}/auditlog-policy dds:instance:setAuditLogPolicy - GET /v3/{project_id}/instances/{instance_id}/auditlog-policy dds:instance:getAuditLogPolicy - GET /v3/{project_id}/instances/{instance_id}/auditlog dds:instance:listAuditLog - POST /v3/{project_id}/instances/{instance_id}/auditlog-links dds:instance:downloadAuditLog - POST /v3/{project_id}/instances/{instance_id}/tags/action dds:instance:setTag - GET /v3/{project_id}/instances/{instance_id}/tags dds:instance:listTags - POST /v3/{project_id}/instances/{instance_id}/db-user dds:instance:createDatabaseUser - POST /v3/{project_id}/instances/{instance_id}/db-role dds:instance:createDatabaseRole - DELETE /v3/{project_id}/instances/{instance_id}/db-user dds:instance:deleteDatabaseUser - DELETE /v3/{project_id}/instances/{instance_id}/db-role dds:instance:deleteDatabaseRole - PUT /v3/{project_id}/instances/{instance_id}/reset-password dds:instance:resetPasswd - GET /v3/{project_id}/instances/{instance_id}/db-user/detail? offset ={offset}&limit={limit}&user_name={user_name }&db_name={db_name} dds:instance:getDatabaseUser - GET /v3/{project_id}/instances/{instance_id}/db-roles?role_name={role_name}&db_name={db_name}&offset={offset}&limit={limit} dds:instance:getDatabaseRole - GET /v3/{project_id}/instances/{instance_id}/balancer dds:instance:getShardingBalancer - PUT /v3/{project_id}/instances/{instance_id}/balancer/{action} dds:instance:setShardingBalancer - PUT /v3/{project_id}/instances/{instance_id}/balancer/active-window dds:instance:setBalancerWindow -

条件（Condition） 条件（Condition）是SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：全局条件键。 服务级条件键（前缀通常为服务缩写，如rds:）仅适用于对应服务的操作，详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个 VPC终端节点 发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：运算符。 RDS定义了以下可以在SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 RDS支持的服务级条件键 服务级条件键 类型 单值/多值 说明 rds:Encrypted Boolean 单值 按照请求参数中传递的是否开启磁盘加密标签键筛选访问权限。 rds:BackupEnabled Boolean 单值 按照请求参数中传递的是否开启备份策略标签键筛选访问权限。

条件（Condition） 条件（Condition）是SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：全局条件键。 服务级条件键（前缀通常为服务缩写，如SWR仅适用于对应服务的操作，详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个VPC终端节点发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：运算符。 SWR定义了以下可以在SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 SWR支持的服务级条件键 服务级条件键 类型 单值/多值 说明 swr:TargetOrgPath string 单值 按照共享目标账号所处的组织路径进行权限控制。 swr:TargetOrgId string 单值 按照共享目标账号所处的组织Id进行权限控制。 swr:TargetAccountId string 单值 按照共享目标账号Id进行权限控制。 swr:VpcId string 单值 按照用户VPC ID进行权限控制。 swr:SubnetId string 单值 按照用户Subnet ID进行权限控制。 swr:EnablePublicNameSpace boolean 单值 限制企业仓库是否允许创公开组织。 swr:EnableObsEncrypt boolean 单值 限制企业版实例是否必须使用加密桶。 swr:AllowPublicAccess boolean 单值 对镜像是否可以公开进行权限控制。 swr:TargetRegion string 单值 根据目标区域进行权限控制。

条件（Condition） 条件（Condition）是SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：全局条件键。 服务级条件键（前缀通常为服务缩写，如cce:）仅适用于对应服务的操作，详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个VPC终端节点发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：运算符。 CCE定义了以下可以在SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 CCE支持的服务级条件键 服务级条件键 类型 单值/多值 说明 cce:ClusterId string 单值 按照在请求中传递的集群ID筛选访问权限。 cce:nodeTransferSourceCluster string 单值 按照节点迁移的源集群ID筛选访问权限。 cce:nodeTransferTargetCluster string 单值 按照节点迁移的目的集群ID筛选访问权限。 cce:AssociatePublicIp string 单值 根据创建E CS 是否涉及自动创建EIP操作筛选访问权限。如果要限制集群绑定或解绑EIP操作权限，则需要使用cce:cluster:eipBinding这个action进行管控。 cce:VpcId string 单值 按照集群创建所选择的VPC筛选访问权限。 cce:SubnetId string 单值 按照集群/节点/节点池创建所选择的子网筛选访问权限。 cce:Subnets array 单值 按照节点池创建/更新所选择的多子网筛选访问权限。 cce:KmsKeys string 单值 按照节点/节点池创建所选择的磁盘加密KMS密钥筛选访问权限。

条件（Condition） 条件（Condition）是SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：全局条件键。 服务级条件键（前缀为服务缩写，如vpcep:）仅适用于对应服务的操作，详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个VPC终端节点发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：运算符。 VPCEP定义了以下可以在SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 VPCEP支持的服务级条件键 服务级条件键 类型 单值/多值 说明 vpcep:VpceServiceName string 单值 按照终端节点服务名称进行筛选。 vpcep:VpceServiceOwner string 单值 按照终端节点服务所有者进行筛选。 vpcep:VpceServicePrivateDnsName string 单值 按您传入的终端节点服DNS名称筛选访问权限。 vpcep:VpceServiceOrgPath string 单值 按照终端节点服务所有者的组织路径进行筛选。 vpcep:VpceEndpointOrgPath string 单值 按照终端节点所有者的组织路径进行筛选。 vpcep:VpceEndpointOwner string 单值 按照终端节点所有者的账号进行筛选。 vpcep:VpcId string 多值 根据指定的虚拟私有云资源ID过滤访问。

条件（Condition） 条件（Condition）是SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：全局条件键。 服务级条件键（前缀通常为服务缩写，如elb:）仅适用于对应服务的操作，详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个VPC终端节点发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：条件键。 ELB定义了以下可以在SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 ELB支持的服务级条件键 服务级条件键 类型 单值/多值 说明 elb:AssociatePublicips boolean 单值 根据创建或修改负载均衡器时是否涉及创建或绑定公网操作筛选访问权限。若要完全限制弹性负载均衡器的公网访问，则需要同时使用弹性公网IP的相关Action进行策略管理。

条件（Condition） 条件（Condition）是SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：全局条件键。 服务级条件键（前缀为服务缩写，如vpc:）仅适用于对应服务的操作，详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个VPC终端节点发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：运算符。 vpc定义了以下可以在SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 vpc支持的服务级条件键 服务级条件键 类型 单值/多值 说明 vpc:VpcId string 多值 根据指定的虚拟私有云资源ID过滤访问。 vpc:SubnetId string 多值 根据指定的子网资源ID过滤访问。 vpc:SecurityGroupId string 多值 根据指定的安全组资源ID过滤访问。 vpc:PeeringId string 多值 根据指定的对等连接资源ID过滤访问。 vpc:AccepterVpcId string 多值 根据指定的接收方VPC资源ID过滤访问。 vpc:AccepterVpcOrgPath string 多值 根据指定的对等连接接收方VPC资源所有者的OrgPath过滤访问。 vpc:AccepterVpcOwner string 多值 根据指定的对等连接接收方VPC资源所有者的账号ID过滤访问。 vpc:RequesterVpcOrgPath string 多值 根据指定的对等连接请求方VPC资源所有者的OrgPath过滤访问。 vpc:RequesterVpcOwner string 多值 根据指定的对等连接请求方VPC资源所有者的账号ID过滤访问。 vpc:RequesterVpcId string 多值 根据指定的请求方VPC资源ID过滤访问。 vpc:RouteTableId string 多值 根据指定的路由表资源ID过滤访问。 vpc:FlowLogId string 多值 根据指定的流日志资源ID过滤访问。 vpc:AddressGroupId string 多值 根据指定的IP地址组资源ID过滤访问。 vpc:FirewallId string 多值 根据指定的网络ACL资源ID过滤访问。 vpc:PrivateIpId string 多值 根据指定的私有IP资源ID过滤访问。 vpc:PortId string 多值 根据指定的端口资源ID过滤访问。 vpc:SubNetworkInterfaceId string 多值 根据指定的辅助弹性网卡资源ID过滤访问。 vpc:FirewallRuleDirection string 多值 根据指定的网络ACL规则方向过滤访问，有效的条件值应为ingress、egress。 vpc:FirewallRuleProtocol string 多值 根据指定的网络ACL规则协议过滤访问，有效的条件值应为tcp、udp、icmp、icmpv6、any。 vpc:FirewallRuleAction string 多值 根据指定的网络ACL规则策略过滤访问，有效的条件值应为allow、deny。 vpc:FirewallRuleSourcePort numeric 多值 根据指定的网络ACL规则源端口过滤访问。 vpc:FirewallRuleDestinationPort numeric 多值 根据指定的网络ACL规则目的端口过滤访问。 vpc:FirewallOperationType string 多值 根据指定的网络ACL操作类型过滤访问，有效的条件值应为updateAcl、associateSubnet、disassociateSubnet、insertRule、updateRule、removeRule。

条件（Condition） 条件（Condition）是SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见全局条件键。 服务级条件键（前缀通常为服务缩写，如cbr:）仅适用于对应服务的操作，详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个VPC终端节点发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：运算符。 cbr定义了以下可以在自定义SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 cbr支持的服务级条件键 服务级条件键 类型 单值/多值 说明 cbr:TargetOrgPaths string 单值 cbr服务添加备份成员API请求中指定的目标账号所属的组织路径。 cbr:VaultId string 单值 根据请求参数中指定的存储库ID过滤访问。 cbr:PolicyId string 单值 根据请求参数中指定的策略ID过滤访问。 cbr:EnabledPolicy boolean 单值 根据策略是否开启过滤访问。

条件（Condition） 条件（Condition）是SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：全局条件键。 服务级条件键（前缀为服务缩写，如ims:）仅适用于对应服务的操作，详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个VPC终端节点发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：运算符。 IMS定义了以下可以在SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 ims支持的服务级条件键 服务级条件键 类型 单值/多值 说明 ims:TargetOrgPaths string 多值 根据指定的共享账号的 Organizations Path 过滤访问。 ims:Encrypted boolean 单值 根据镜像是否加密对镜像导入和复制等操作进行控制。 ims:TargetBucketOrgPaths string 多值 根据指定的目标桶owner账号的 Organizations Path 过滤访问。 ims:OriginBucketOrgPaths string 多值 根据指定的源桶owner账号账号的 Organizations Path 过滤访问。

条件（Condition） 条件（Condition）是SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：全局条件键。 服务级条件键（前缀通常为服务缩写，如bms:）仅适用于对应服务的操作，详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个VPC终端节点发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：运算符。 BMS定义了以下可以在SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 BMS支持的服务级条件键 服务级条件键 类型 单值/多值 说明 bms:KmsKeyId string 多值 根据请求参数中指定的加密密钥ID过滤访问。 bms:Flavorld string 多值 根据请求参数中指定的规格ID过滤访问。 bms:VpcId string 多值 根据请求参数中指定的网络ID过滤访问。 bms:SubnetId string 多值 根据请求参数中指定的子网ID过滤访问。 bms:ImageId string 单值 根据请求参数中指定的镜像ID过滤访问。 bms:SSHKeyPairName string 单值 按请求中的keyName参数筛选访问。 bms:AvailabilityZone string 单值 按请求中的availabilityZone参数筛选访问。 bms:VolumeType string 多值 根据云硬盘的类型过滤访问。 bms:VolumeId string 单值 根据指定的卷ID过滤访问。

条件（Condition） 条件键（Condition）是SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：全局条件键。 服务级条件键（前缀通常为服务缩写，如ecs:）仅适用于对应服务的操作，详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个VPC终端节点发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：运算符。 ECS定义了以下可以在SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 ECS支持的服务级条件键 服务级条件键 类型 单值/多值 说明 ecs:imageID string 多值 根据请求参数中指定的镜像ID过滤访问。 ecs:FlavorId string 多值 根据请求参数中指定的规格ID过滤访问。 ecs:VpcId string 多值 根据请求参数中指定的网络ID过滤访问。 ecs:SubnetId string 多值 根据请求参数中指定的子网ID过滤访问。 ecs:KmsKeyId string 多值 根据请求参数中指定的加密密钥ID过滤访问。 ecs:ServerId string 单值 根据云服务器ID过滤访问。 ecs:SSHKeyPairName string 单值 根据请求参数中指定的SSH密钥对的名称过滤访问。 ecs:AvailabilityZone string 单值 根据请求参数中指定的可用区名称过滤访问。 ecs:PortId string 多值 根据请求参数中指定的portId过滤访问。 ecs:SupportAgentType string 多值 根据请求中指定的agent类型过滤访问。 ecs:ImageSupportAgentType string 多值 根据请求中指定的镜像支持的agent类型过滤访问。 ecs:VolumeId string 单值 根据请求中指定的卷ID过滤访问。 ecs:ImageType string 单值 根据请求中指定镜像的类型过滤访问（如：公共镜像、私有镜像、共享镜像、市场镜像）。 ecs:OsType string 单值 根据请求中指定镜像的操作系统类型过滤访问（如：Linux、Windows）。 ecs:OsVersion string 单值 根据请求中指定镜像的操作系统版本过滤访问（如：CentOS 7.3 64bit）。 ecs:ImagePlatform string 单值 根据请求中指定镜像的平台过滤访问（如：Windows、Ubuntu、Red Hat、SUSE、CentOS）。

查看账号列表 以组织管理员或管理账号的身份登录管理控制台，进入Organizations控制台。 进入账号管理页，选择“账号列表”页签。 在列表中可查看组织中的全部账号及其相关信息。 在列表中单击账号名，可查看账号的详细信息。 在列表中的操作列，可对账号进行移动、移除、关闭操作。 邀请加入组织的账号不支持关闭操作。 在列表左上方单击“添加”，可进行邀请现有账号和创建新账号加入组织的操作。 图1 账号列表

支持标签策略的区域 当前支持使用标签策略的区域如下表所示： 表1 支持标签策略的区域 区 域名 称 区域代码 亚太-新加坡 ap-southeast-3 亚太-曼谷 ap-southeast-2 亚太-雅加达 ap-southeast-4 华东-上海一 cn-east-3 华东-上海二 cn-east-2 中国-香港 ap-southeast-1 华北-北京一 cn-north-1 华北-北京四 cn-north-4 华南-广州 cn-south-1 华南-广州-友好用户环境 cn-south-4 华北-乌兰察布-汽车一 cn-north-11 华北-乌兰察布一 cn-north-9 西南-贵阳一 cn-southwest-2 华东-青岛 cn-east-5 土耳其-伊斯坦布尔 tr-west-1 非洲-约翰内斯堡 af-south-1 拉美-墨西哥城一 na-mexico-1 拉美-墨西哥城二 la-north-2 拉美-圣保罗一 sa-brazil-1 拉美-圣地亚哥 la-south-2 中东-利雅得 me-east-1 父主题： 标签策略管理

支持SCP的区域 当前支持使用SCP的区域如下表所示： 支持SCP的区域与支持 IAM 身份策略的区域相同。 表1 支持SCP的区域 区域名称 区域代码 亚太-新加坡 ap-southeast-3 亚太-曼谷 ap-southeast-2 亚太-雅加达 ap-southeast-4 华东-上海一 cn-east-3 华东-上海二 cn-east-2 中国-香港 ap-southeast-1 华北-北京一 cn-north-1 华北-北京四 cn-north-4 华南-广州 cn-south-1 华南-广州-友好用户环境 cn-south-4 华北-乌兰察布-汽车一 cn-north-11 华北-乌兰察布一 cn-north-9 西南-贵阳一 cn-southwest-2 华东-青岛 cn-east-5 土耳其-伊斯坦布尔 tr-west-1 非洲-约翰内斯堡 af-south-1 拉美-墨西哥城一 na-mexico-1 拉美-墨西哥城二 la-north-2 拉美-圣保罗一 sa-brazil-1 拉美-圣地亚哥 la-south-2 中东-利雅得 me-east-1 非洲-开罗 af-north-1 华东二 cn-east-4 父主题： 服务控制策略管理

禁止创建带有指定标签的资源 如下SCP表示禁止用户创建带有 {"team": "engineering"} 标签的资源共享实例。您可以根据需要修改SCP语句中的操作（Action）、资源类型（Resource）和条件（Condition）。 { "Version":"5.0", "Statement":[ { "Effect":"Deny", "Action":["ram:resourceShares:create"], "Resource":["*"], "Condition":{ "StringEquals":{ "g:RequestTag/team":"engineering" } } } ] }

禁止根用户使用除IAM之外的云服务 使用以下SCP禁止根用户使用除IAM之外的云服务。 { "Version": "5.0", "Statement": [ { "Effect": "Deny", "NotAction": [ "iam:*:*" ], "Resource": [ "*" ], "Condition": { "Bool": { "g:PrincipalIsRootUser": [ "true" ] } } } ] }

阻止IAM用户和委托进行某些修改 使用此SCP阻止IAM用户和委托对组织内所有账号创建的资源共享进行修改。 { "Version": "5.0", "Statement": [ { "Effect": "Deny", "Action": [ "ram:resourceShares:update", "ram:resourceShares:delete", "ram:resourceShares:associate", "ram:resourceShares:disassociate", "ram:resourceShares:associatePermission", "ram:resourceShares:disassociatePermission" ], "Resource": [ "ram::*:resourceShare:resource-id" ] } ] }

阻止IAM用户和委托进行某些修改，但指定的账号除外 使用此SCP阻止IAM用户和委托对组织内所有账号创建的资源共享进行修改，但指定的账号除外。 { "Version": "5.0", "Statement": [ { "Effect": "Deny", "Action": [ "ram:resourceShares:update", "ram:resourceShares:delete", "ram:resourceShares:associate", "ram:resourceShares:disassociate", "ram:resourceShares:associatePermission", "ram:resourceShares:disassociatePermission" ], "Resource": [ "ram::*:resourceShare:resource-id" ], "Condition": { "StringNotEquals": { "g:DomainId": [ "account-id"【备注：此处需填写排除账号的ID】 ] } } } ] }

禁止访问指定区域的资源 如下SCP表示禁止用户访问“regionid1”区域的ECS服务的全部资源。您可以根据需要修改SCP语句中的操作（Action）、资源类型（Resource）和条件（Condition）。 此SCP仅适用于区域级服务，SCP中的“regionid1”仅为区域示例，使用时请填入具体区域ID。 { "Version":"5.0", "Statement":[ { "Effect":"Deny", "Action":["ecs:*:*"], "Resource":["*"], "Condition":{ "StringEquals":{ "g:RequestedRegion":"regionid1" } } } ] }

禁止共享到组织外 使用以下SCP禁止本组织内的账号给组织外账号共享资源。此SCP建议绑定至组织的根OU，使其对整个组织生效。 { "Version": "5.0", "Statement": [ { "Effect": "Deny", "Action": [ "ram:resourceShares:create", "ram:resourceShares:associate" ], "Resource": [ "*" ], "Condition": { "ForAnyValue:StringNotLike": { "ram:TargetOrgPaths": [ "organization_id/root_id/ou_id"【备注：此处需填写组织的路径ID】 ] } } } ] }

禁止共享指定类型的资源 使用以下SCP禁止用户共享VPC子网资源。您可以根据需要修改SCP语句条件键（Condition）元素中的资源类型。 { "Version": "5.0", "Statement": [ { "Effect": "Deny", "Action": [ "ram:resourceShares:create" ], "Resource": [ "*" ], "Condition": { "ForAnyValue:StringEquals": { "ram:RequestedResourceType": [ "vpc:subnet"【备注：可根据需要修改此处的资源类型】 ] } } } ] }

禁止组织内账号给组织外的账号进行聚合授权 使用以下SCP禁止本组织内账号给组织外的账号进行聚合授权。此SCP建议绑定至组织的根OU，使组织外账号无法获取组织内账号下的资源清单信息。您也可以将此SCP绑定给接受授权的账号（源账号），禁止该账号接受来自聚合器账号的授权请求。 { "Version": "5.0", "Statement": [ { "Effect": "Deny", "Action": [ "rms:aggregationAuthorizations:create" ], "Resource": [ "*" ], "Condition": { "StringNotMatch": { "rms:AuthorizedAccountOrgPath": [ "organization_id/root_id/ou_id"【备注：此处需填写组织的路径ID】 ] } } } ] }

阻止成员账号退出组织 使用以下SCP阻止成员账号主动退出组织。 { "Version": "5.0", "Statement": [ { "Effect": "Deny", "Action": [ "organizations:organizations:leave" ], "Resource": [ "*" ] } ] }

阻止根用户的服务访问 使用以下SCP禁止成员账号使用根用户执行指定的操作。您可以根据需要修改SCP语句中的操作（Action）和资源类型（Resource）。 { "Version": "5.0", "Statement": [ { "Effect": "Deny", "Action": [ "ecs:*:*" ], "Resource": [ "*" ], "Condition": { "BoolIfExists": { "g:PrincipalIsRootUser": "true" } } } ] }

约束与限制 只有创建的账号才可以关闭，无法关闭邀请的账号。 创建的账号如已转为云账号则无法关闭。 已设置为委托管理员的账号无法关闭，如需关闭请先取消委托管理员。 管理账号在30天内仅可以关闭组织中10%的成员账号，最多支持关闭200个成员账号，最多可以同时关闭3个成员账号。 创建新账号时，不能使用关闭中状态的账号所关联的手机号、邮箱。 如果账号中存在预付费资源（一般为包年/包月计费模式，先付费后使用）则无法关闭，请提前确认并退订相关包年/包月资源后，再进行关闭账号操作。如何退订资源请参见退订使用中的资源。 如果账号中存在欠费资源则无法关闭，请及时进行充值还款后，再进行关闭账号操作。如何充值还款请参见充值还款。

支持标签策略的云服务 当前支持使用标签策略的云服务和资源类型如下表所示： 表1 支持标签策略的云服务和资源类型 服务名称 资源类型 DDoS原生基础防护服务（Anti-DDoS） 公网IP（ip） DDoS防护服务（AAD） 实例（instance） 应用运维管理 （ AOM ） 告警规则（alarmRule） API网关（APIG） 实例（instance） 弹性伸缩（AS） 弹性伸缩组（scalingGroup） 裸金属服务器（BMS） 实例（instance） 云堡垒机 （CBH） 实例（instance） 云备份（CBR） 存储库（vault） 云连接（CC） 带宽包（bandwidthPackage） 中心网络（centralNetwork） 云连接（cloudConnection） 云容器引擎（CCE） 集群（cluster） 云容器实例 CCI 命名空间（namespace） 内容分发网络（CDN） 域名（domain） 云监控服务 （ CES ） 告警规则（alarm） 云防火墙 （CFW） 实例（instance） DDoS原生高级防护（CNAD） 防护包（package） 微服务引擎（CSE） 引擎（engine） 云凭据管理服务（C SMS ） 凭据（secret） 云搜索服务 （ CSS ） 集群（cluster） 日志流（logstream） 存储库（repository） 云审计 服务（ CTS ） 追踪器（tracker） 数据治理中心 （ DataArts Studio ） 实例（instance） 工作空间（workspace） 数据库安全服务（DBSS） 审计实例（auditInstance） 云专线（DCAAS） 物理连接（directconnect） 全球专线接入网关（gdgw） 链路聚合组（lag） 虚拟网关（vgw） 虚拟接口（vif） 分布式缓存服务（DCS） 实例（instance） 文档数据库服务（DDS） 实例名称（instanceName） 专属加密（DHSM） 硬件安全模块（hsm） 数据湖探索 （ DLI ） 数据库（database） 增强型跨源连接（edsconnection） 弹性资源池（elasticresourcepool） 作业（jobs） 队列（queue） 资源（resource） 分布式消息服务（DMS） Kafka实例（kafka） RabbitMQ实例（rabbitmq） RocketMQ实例（rocketmq） 云解析服务（DNS） 反向解析记录（ptr） 域名（zone） 数据复制服务 （DRS） 任务（job） 数据仓库 服务（DWS） 集群（cluster） 弹性云服务器（ECS） 实例（instance） 弹性负载均衡（ELB） 监听器（listener） 负载均衡器（loadbalancer） 企业路由器（ER） 连接（attachments） 实例（instances） 路由表（routeTables） 云硬盘（EVS） 磁盘（volume） 函数工作流 （FunctionGraph） 函数（function） 全球加速（GA） 加速器实例（accelerator） 监听器（listener） 云数据库 GaussDB 实例（instance） 云数据库 GaussDB(for MySQL) 实例（instance） 云数据库 GeminiDB（原 云数据库 GaussDB for NoSQL） 实例（instance） 统一身份认证 服务（IAM） 委托（agency） 用户（user） 镜像服务 （IMS） 镜像（image） 设备接入 IoTDA 实例（instance） 密钥管理服务（KMS） 用户主密钥（cmk） 云日志 服务（LTS） 日志接入（accessConfig） 主机组（hostGroup） 日志组（logGroup） 日志流（logStream） AI开发平台 ModelArts Notebook实例（notebook） 资源池（pool） 服务（service） 训练作业（trainJob） MapReduce服务 （ MRS ） 集群（cluster） NAT网关（NAT） 组织（Organizations） 账号（account） 组织单元（ou） 策略（policy） 根（root） 私有证书管理服务（PCA） 私有CA（ca） 资源访问管理 （ RAM ） 资源共享实例（resourceShare） 云数据库（RDS） 实例 (instances) 配置审计 （Config）（原 资源管理服务 RMS ） 合规规则（policyAssignments） SSL证书管理服务（SCM） 证书（cert） 安全云脑 （SecMaster） 工作空间（workspace） 应用管理与运维平台（ServiceStage） 应用（app） 环境（environment） 高性能弹性文件服务（SFS Turbo） SFS Turbo（shares） 消息通知 服务（ SMN ） 主题（topic） 虚拟私有云（VPC） 弹性公网IP（publicip） 子网（subnet） 虚拟私有云（vpc） VPC终端节点（VPCEP） 终端节点服务（endpointServices） 终端节点（endpoints） 虚拟专用网络 （VPN） 对端网关（customerGateways） VPN连接（vpnConnections） VPN网关（vpnGateways） Web应用防火墙 （WAF） 高级实例（premiumlnstance） 父主题： 标签策略管理

禁用标签策略 如果您不想再使用标签策略管理组织的标签规则，可以禁用标签策略，但只有组织的管理账号才可以禁用标签策略。 禁用标签策略后，所有标签策略会自动从组织中的所有实体解绑，包括所有OU和账号，但是策略本身不会被删除。 若禁用标签策略后再重新启用标签策略，实体与其他标签策略的绑定关系将丢失，如需恢复则需要管理账号重新绑定。 以组织管理员或管理账号的身份登录管理控制台，进入Organizations控制台。 进入策略管理页，单击标签策略操作列的“禁用”。 图2 禁用标签策略 在弹窗中单击“确定”，完成标签策略禁用。

解绑标签策略 方式一： 以组织管理员或管理账号的身份登录华为云，进入华为云Organizations控制台，进入组织管理页面。 选中要解绑标签策略的OU或者账号。 在右侧详情页，选策略页签，展开“标签策略”列表，在列表中单击要解绑的标签策略操作列的“解绑”。 图3 解绑标签策略 在弹窗中单击“解绑”，完成策略解绑。 方式二： 在Organizations控制台，进入策略管理页。 单击“标签策略”，进入标签策略列表。 单击标签策略的名称，选择“目标”页签。 单击需要解绑的OU或账号操作列的“解绑”。 单击“确定”，完成策略解绑。 图4 解绑标签策略

绑定标签策略 方式一： 以组织管理员或管理账号的身份登录华为云，进入华为云Organizations控制台，进入组织管理页面。 选中要绑定标签策略的OU或者账号。 在右侧详情页，选择策略页签。展开“标签策略”列表，单击列表上方的“绑定”。 在弹窗中选择要添加的策略后，单击“确定”，完成策略绑定。 图1 绑定标签策略 方式二： 在Organizations控制台，进入策略管理页。 单击“标签策略”，进入标签策略列表。 单击标签策略操作列的“绑定”，选中要绑定标签策略的OU或者账号。 单击“确定”，完成策略绑定。 图2 绑定标签策略

修改标签策略 以组织管理员或管理账号的身份登录管理控制台，进入Organizations控制台。 进入策略管理页，单击“标签策略”，进入标签策略列表。 单击标签策略操作列的“编辑”，进入编辑标签策略页面。 图1 编辑标签策略 可根据需要修改“策略名称”和“策略描述”。 按需修改策略内容。可通过“可视化编辑器”和“JSON”两种方式进行修改。 单击右下角“保存”后，如跳转到标签策略列表，则标签策略修改成功。