华为云用户手册

为什么某些云服务的资源存在标签，但无法在Config中使用该资源的标签进行相关的业务操作，例如在“资源清单”中无法通过标签搜索到相应资源？ 部分云服务资源（如OBS桶）的标签信息暂未上传至Config服务，“资源清单”页面无法获取相关的标签信息则会认为该资源无标签，因此无法通过标签搜索到相应资源。 另外，Config服务的高阶能力基于“资源清单”收集到的数据来进行分析，部分云服务资源（如OBS桶）的标签信息未上传至Config，还会导致相关资源涉及标签场景的资源合规评估结果可能出现误差。 Config服务将跟踪并持续推动相关云服务资源同步的完整性。

为什么云服务资源发生了变化，“资源清单”中相应资源未发生变化？ 资源数据同步到Config存在延迟。 对于已开启资源记录器且在监控范围内的资源，Config会在24小时内校正资源数据。如您未开启资源记录器，或相关资源不在资源记录器配置的监控范围内，则Config不会校正这些资源的数据。 另外，并非已对接Config的云服务资源发生的所有变化都会被Config收集，这取决与各对接服务向Config上报的资源属性，例如 IAM 用户的SK（SecretAccessKey ）属性未上报Config，那么SK字段的变化Config不会感知。

如何获取各对接云服务上报Config的资源属性？ 获取各对接云服务上报Config的资源属性有如下两种方式： 通过Config管理控制台的高级查询功能，进入查询编辑器即可在界面左侧获取，如下步骤仅为进入查询编辑器的其中一种方式。 登录管理控制台。 进入Config服务的高级查询界面。 在“预设查询”列表中单击任一查询操作列的“使用查询”。 图1 使用查询 进入查询编辑器，界面左侧显示各对接云服务资源类型的详细属性，并支持输入资源类型名称进行搜索。 图2 查看资源类型详细属性 通过“列举高级查询Schema”接口获取，其中type字段为资源类型，schema字段为此资源类型上报Config的资源属性。

为什么开启并配置资源记录器后，将数据转储至当前账号或其他账号的OBS桶时报错？ 如果界面出现“Failed to write the ConfigWritabilityCheckFile file to the OBS bucket because the OBS bucket or the IAM agency is invalid.”报错，则需要确认如下场景： 资源记录器使用的IAM委托权限中，需要具有OBS服务的“obs:object:PutObject”权限； 将数据存储至当前账号的OBS桶时，桶策略不能显式Deny掉来自IAM委托的PutObject操作（Action）；如果是跨账号存储场景，桶策略需要显式Allow来自IAM委托的PutObject操作（Action），具体请参见跨账号授权，关于桶策略的权限判断逻辑请参见桶策略参数说明； 用于存储的OBS桶是否开启服务端加密。如果已开启服务端加密，则还需要配置KMS的权限，具体请参见资源变更消息和资源快照转储至OBS加密桶。

约束与限制 以下为使用配置审计（Config）服务的主要约束与限制： 表1 Config约束与限制 描述 限制值 资源数据同步周期 说明： 已对接Config的服务的资源数据同步到Config存在延迟，不同服务的延迟时间并不相同。 对于已开启资源记录器且在监控范围内的资源，Config会在24小时内校正资源数据。如未开启资源记录器，或相关资源不在资源记录器配置的监控范围内，则Config不会校正这些资源的数据。 24小时 资源快照存储周期 24小时 资源变更消息存储周期 6小时 每个账号最多可以添加的合规规则数（包括组织合规规则） 500个 每个账号最多可以添加的合规规则包数（包括组织合规规则包） 50个 每个账号最多能创建的账号类型的资源聚合器数 30个 单个资源聚合器最多能聚合的源账号数 30个 单个账号类型资源聚合器每7天添加、更新和删除的最大源账号数 1000个 单个账号最多能创建的组织类型的资源聚合器数 1个 单个账号每天最多能创建的组织类型资源聚合器次数 1次 每个账号最多能创建的高级查询数 200个 单个高级查询语句返回的结果条数 4000条 资源记录器收集到的资源配置信息数据的保留周期 7年 Config服务的相关功能均依赖于资源记录器收集的资源数据，不开启资源记录器将会影响其他功能的正常使用，例如资源清单页面无法获取资源最新数据、合规规则无法创建、修改、启用和触发规则评估、资源聚合器无法聚合源账号的资源数据等，因此强烈建议您保持资源记录器的开启状态。如何开启并配置资源记录器请参见配置资源记录器。

Config权限 默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略或角色，才能使用户组中的用户获得相应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 Config部署时不区分物理区域，为全局级服务。授权时，在全局级服务中设置权限，访问Config时，不需要切换区域。 具有Config服务只读权限的用户具有查看“资源清单”页面的权限，可以查看用户账号下的全部资源，不需要用户具有相应云服务的只读权限。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云服务平台各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。多数细粒度策略以API接口为粒度进行权限拆分，权限的最小粒度为API授权项（action），Config支持的API授权项请参见《配置审计接口参考》中的“权限策略及授权项说明”章节。 如表1 Config系统权限所示，包括了Config的所有系统权限。 表1 Config系统权限 系统策略名称 描述 依赖关系 RMS ConsoleFullAccess 配置审计 服务控制台使用所有权限，包含查看资源，以及资源记录器、资源合规、高级查询、资源聚合器、合规规则包的查看和操作权限。 RF FullAccess RMS FullAccess 配置审计服务所有权限，包含查看资源，以及资源记录器、资源合规、高级查询、资源聚合器、合规规则包的查看和操作权限。 RF FullAccess RMS ReadOnlyAccess 配置审计服务只读权限，包含查看资源，以及资源记录器、资源合规、高级查询、资源聚合器、合规规则包的查看权限。 无 当添加了RMS ConsoleFullAccess权限的IAM用户或IAM身份中心用户在控制台对资源记录器、合规规则和合规规则包进行操作时仍提示没有操作权限，是因为相关功能需要特定权限的IAM委托，因此需要您单独添加操作IAM委托的权限。具体详情如下： 您在对资源记录器、合规规则和合规规则包进行操作时会提示需要创建委托并添加相应权限，创建委托需要您先添加iam:agencies:createAgency（创建委托），iam:permissions:grantRoleToAgency（为委托授予指定权限）权限，其中iam:permissions:grantRoleToAgency需根据不同的操作授予指定权限。 表2列出了Config常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。“√”表示支持，“×”表示暂不支持。 表2 常用操作与系统权限的关系 操作 RMS ConsoleFullAccess RMS FullAccess RMS ReadOnlyAccess 查看所有资源列表 √ √ √ 查看单个资源详情 √ √ √ 筛选资源 √ √ √ 导出资源列表 √ √ √ 查看资源合规 √ √ √ 查看资源关系 √ √ √ 查看资源历史 √ √ √ 查看资源记录器 √ √ √ 开启/配置/修改资源记录器 √ √ x 关闭资源记录器 √ √ x 查看合规策略定义 √ √ √ 更新合规规则 √ √ x 创建合规规则 √ √ x 查看合规规则 √ √ √ 删除合规规则 √ √ x 创建组织合规规则 √ √ x 修改组织合规规则 √ √ x 查看组织合规规则 √ √ √ 删除组织合规规则 √ √ x 查看合规规则结果 √ √ √ 触发合规规则评估 √ √ x 更新合规评估结果 √ √ x 创建合规修正配置 √ √ x 查看合规修正配置 √ √ √ 修改合规修正配置 √ √ x 删除合规修正配置 √ √ x 查看合规修正执行状态 √ √ √ 执行合规修正 √ √ x 添加合规修正例外 √ √ x 删除合规修正例外 √ √ x 查看合规修正例外列表 √ √ √ 运行高级查询 √ √ x 新建高级查询 √ √ x 查看高级查询 √ √ √ 列举高级查询 √ √ √ 更新高级查询 √ √ x 删除高级查询 √ √ x 创建资源聚合器 √ √ x 查看资源聚合器 √ √ √ 修改资源聚合器 √ √ x 删除资源聚合器 √ √ x 查看聚合的合规规则 √ √ √ 查看聚合的资源 √ √ √ 授权资源聚合器账号 √ √ x 删除资源聚合器账号授权 √ √ x 删除资源聚合器的待授权请求 √ √ x 查看资源聚合器的待授权列表 √ √ √ 运行资源聚合器高级查询 √ √ x 查看授权列表 √ √ √ 创建合规规则包 √（依赖RF FullAccess） √（依赖RF FullAccess） x 查看合规规则包 √ √ √ 列举合规规则包 √ √ √ 删除合规规则包 √（依赖RF FullAccess） √（依赖RF FullAccess） x 更新合规规则包 √（依赖RF FullAccess） √（依赖RF FullAccess） x 列举合规规则包示例模板 √ √ √ 创建组织合规规则包 √ √ x 查看组织合规规则包 √ √ √ 列举组织合规规则包 √ √ √ 删除组织合规规则包 √ √ x 更新组织合规规则包 √ √ x

示例模板概述 配置审计服务提供合规规则包的示例模板，帮助用户通过示例模板快速创建合规规则包，每个合规规则包的示例模板中包含都多个合规规则，也就是配置审计服务的预设策略，每个预设策略的具体说明请参见系统内置预设策略。您可以通过列举预定义合规规则包模板接口查看所有的合规规则包示例模板。 配置审计服务控制台当前提供如下合规规则包的示例模板： 等保三级2.0规范检查的标准合规包 适用于金融行业的合规实践 华为云网络安全合规实践 适用于 统一身份认证 服务（IAM）的最佳实践 适用于 云监控服务 （ CES ）的最佳实践 适用于计算服务的最佳实践 适用于弹性云服务器（E CS ）的最佳实践 适用于弹性负载均衡（ELB）的最佳实践 适用于管理与监管服务的最佳实践 适用于云数据库（RDS）的最佳实践 适用于弹性伸缩（AS）的最佳实践 适用于 云审计 服务（ CTS ）的最佳实践 适用于人工智能与机器学习场景的合规实践 适用于自动驾驶场景的合规实践 资源开启公网访问最佳实践 适用于日志和监控的最佳实践 适用于空闲资产管理的最佳实践 华为云架构可靠性最佳实践 适用于中国香港金融管理局的标准合规包 适用于中小企业的ENISA的标准合规包 适用于SWIFT CSP的标准合规包 适用于德国云计算合规标准目录的标准合规包 适用于PCI-DSS的标准合规包 适用于医疗行业的合规实践 网络及数据安全最佳实践 适用于Landing Zone基础场景的最佳实践 架构安全支柱运营最佳实践 网络和内容交付服务运营最佳实践 适用于空闲资产管理的最佳实践 多可用区架构最佳实践 资源稳定性最佳实践 适用于API网关（APIG）的最佳实践 适用于云容器引擎（CCE）的最佳实践 适用于内容分发网络（CDN）的最佳实践 适用于 函数工作流 （FunctionGraph）的最佳实践 适用于云数据库（ GaussDB ）的最佳实践 适用于云数据库（GeminiDB）的最佳实践 适用于 MapReduce服务 （ MRS ）的最佳实践 父主题： 合规规则包示例模板

URI POST /v1/organizations/{resource_type}/{resource_id}/tags/delete 表1 路径参数 参数 是否必选 参数类型 描述 resource_type 是 String 资源类型。枚举值：organizations:policies（服务策略）、organizations:ous（组织OU）、organizations:accounts（账号信息） 、organizations:roots：（根）。 resource_id 是 String 根、组织单元、账号或策略的唯一标识符（ID）。 最大长度：130

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Security-Token 否 String 如果正在使用临时安全凭据，则此header是必需的，该值是临时安全凭据的安全令牌（会话令牌）。 最小值：1 表3 请求Body参数 参数 是否必选 参数类型 描述 tags 是 Array of TagDto objects 要添加到指定资源的标签列表。 数组长度：1 - 20 表4 TagDto 参数 是否必选 参数类型 描述 key 是 String 标签键的密钥标识符或名称。 最小长度：1 最大长度：128 value 是 String 与标签键关联的字符串值。您可以将标签的值设置为空字符串，但不能将标签的值设置为NULL。 最小长度：0 最大长度：255

响应参数 状态码： 200 表3 响应Body参数 参数 参数类型 描述 handshake HandshakeDto object 两个账号（发起者和接收者）之间为了能安全地建立关系，所需要交换的信息。例如，当管理账号（发起者）邀请另一个账号（接收者）加入其组织时，两个账号一系列邀请（握手）请求和响应交换信息。 表4 HandshakeDto 参数 参数类型 描述 id String 邀请（握手）的唯一标识符（ID）。源账号在发起邀请（握手）时创建ID。 最大长度：34 urn String 邀请（握手）的统一资源名称。 最小长度：1 最大长度：1500 updated_at String 邀请（握手）请求被接受、取消、拒绝或到期的日期和时间。 created_at String 提出邀请（握手）请求的日期和时间。 expired_at String 邀请（握手）过期的日期和时间。 management_account_id String 组织管理账号的唯一标识符（ID）。 最大长度：64 management_account_name String 组织管理账号的名称。 最大长度：64 organization_id String 组织的唯一标识符（ID）。 最大长度：34 notes String 给收件账号所有者的邮件中的附加信息。 最大长度：1024 target TargetDto object 要邀请加入组织的账号的标识符（ID）。 status String 邀请（握手）的当前状态, pending：邀请中；accepted：接受邀请；cancelled：取消邀请；declined：拒绝邀请；expired：邀请过期。 最小长度：1 最大长度：64 表5 TargetDto 参数 参数类型 描述 type String 目标类型，account：账户id，name：账户名称。 最小长度：1 最大长度：64 entity String 如果指定 'type:account'，则必须提供账号ID作为实体。如果指定 'type:name'，则必须指定账号名称作为实体。 最小长度：1 最大长度：100

响应示例 状态码： 200 Successful. { "handshake" : { "id" : "h-awjp43m7bz3b8jgy5v61jrfwakt3og8w", "urn" : "organizations::0a6d25d23900d45c0faac010e0fb4de0:handshake:o-fhkmi6mek7wlqdp6nideqhb47qwtjdsv/h-awjp43m7bz3b8jgy5v61jrfwakt3og8w", "updated_at" : "2022-08-25T08:11:53Z", "created_at" : "2022-08-25T08:11:20Z", "expired_at" : "2022-09-08T08:11:20Z", "management_account_id" : "0a6d25d23900d45c0faac010e0fb4de0", "management_account_name" : "paas_iam_573331", "organization_id" : "o-fhkmi6mek7wlqdp6nideqhb47qwtjdsv", "notes" : "test-notes", "target" : { "type" : "account", "entity" : "05c734152f00d4200f2bc0179ac6c5e0" }, "status" : "cancelled" } }

响应参数 状态码： 200 表3 响应Body参数 参数 参数类型 描述 entities Array of EntityDto objects 组织中的根、组织单元和账号的列表。 page_info PageInfoDto object 分页信息 表4 EntityDto 参数 参数类型 描述 name String 实体的名称。 最小长度：1 最大长度：64 id String 实体的唯一标识符（ID）。 最大长度：100 type String 实体的类型。account：账号；organizational_unit：组织单元；root：根。 最小长度：1 最大长度：64 表5 PageInfoDto 参数 参数类型 描述 next_marker String 如果存在，则表示可用的输出比当前响应中包含的输出多。在对操作的后续调用中，在标签请求参数中使用此值，以获取输出的下一部分。您应该重复此操作，直到next_marker响应元素返回为null。 current_count Integer 本页返回条目数量 最小值：1 最大值：2000

URI GET /v1/organizations/entities 表1 Query参数 参数 是否必选 参数类型 描述 parent_id 否 String 父节点（根或组织单元）的唯一标识符（ID）。 最大长度：100 child_id 否 String 子节点（组织单元）的唯一标识符（ID）。 最大长度：100 limit 否 Integer 页面中最大结果数量。 最小值：1 最大值：2000 缺省值：200 marker 否 String 分页标记。 最小长度：4 最大长度：400

响应参数 状态码： 200 表3 响应Body参数 参数 参数类型 描述 handshakes Array of HandshakeDto objects 邀请（握手）对象的列表，其中包含与指定账号关联的每个邀请（握手）的详细信息。 page_info PageInfoDto object 分页信息 表4 HandshakeDto 参数 参数类型 描述 id String 邀请（握手）的唯一标识符（ID）。源账号在发起邀请（握手）时创建ID。 最大长度：34 urn String 邀请（握手）的统一资源名称。 最小长度：1 最大长度：1500 updated_at String 邀请（握手）请求被接受、取消、拒绝或到期的日期和时间。 created_at String 提出邀请（握手）请求的日期和时间。 expired_at String 邀请（握手）过期的日期和时间。 management_account_id String 组织管理账号的唯一标识符（ID）。 最大长度：64 management_account_name String 组织管理账号的名称。 最大长度：64 organization_id String 组织的唯一标识符（ID）。 最大长度：34 notes String 给收件账号所有者的邮件中的附加信息。 最大长度：1024 target TargetDto object 要邀请加入组织的账号的标识符（ID）。 status String 邀请（握手）的当前状态, pending：邀请中；accepted：接受邀请；cancelled：取消邀请；declined：拒绝邀请；expired：邀请过期。 最小长度：1 最大长度：64 表5 TargetDto 参数 参数类型 描述 type String 目标类型，account：账户id，name：账户名称。 最小长度：1 最大长度：64 entity String 如果指定 'type:account'，则必须提供账号ID作为实体。如果指定 'type:name'，则必须指定账号名称作为实体。 最小长度：1 最大长度：100 表6 PageInfoDto 参数 参数类型 描述 next_marker String 如果存在，则表示可用的输出比当前响应中包含的输出多。在对操作的后续调用中，在标签请求参数中使用此值，以获取输出的下一部分。您应该重复此操作，直到next_marker响应元素返回为null。 current_count Integer 本页返回条目数量 最小值：1 最大值：2000

响应示例 状态码： 200 Successful. { "handshakes" : [ { "id" : "h-2tnfkrhe64qokwripd2kqrhd7d3079u5", "urn" : "organizations::0a6d25d23900d45c0faac010e0fb4de0:ou:o-fhkmi6mek7wlqdp6nideqhb47qwtjdsv/ou-fi0rv9jbjgc6nifokh65jjo8c24fnujv", "updated_at" : "2022-09-23T07:38:15Z", "created_at" : "2022-09-23T07:38:15Z", "management_account_id" : "0a6d25d23900d45c0faac010e0fb4de0", "management_account_name" : "paas_iam_573331", "organization_id" : "o-fhkmi6mek7wlqdp6nideqhb47qwtjdsv", "notes" : "test-notes", "target" : { "type" : "account", "entity" : "644c579bea6d473e8ce386e0e8ec449d" }, "status" : "cancelled" } ], "page_info" : { "next_marker" : "ou-taowxgy4xbme6m4x3c2iijbxw7yj8fcw", "current_count" : 100 } }

响应示例 状态码： 200 Successful. { "accounts" : [ { "id" : "05261f923e80d3890f33c0056e9b3f80", "urn" : "organizations::0a6d25d23900d45c0faac010e0fb4de0:account:o-fhkmi6mek7wlqdp6nideqhb47qwtjdsv/05261f923e80d3890f33c0056e9b3f80", "join_method" : "invited", "joined_at" : "2022-08-24T06:41:15Z", "name" : "paas_iam_573331", "status" : "active", "mobile_phone" : "null,", "intl_number_prefix" : "null,", "email" : null } ], "page_info" : { "next_marker" : "ou-taowxgy4xbme6m4x3c2iijbxw7yj8fcw", "current_count" : 100 } }

URI GET /v1/organizations/accounts 表1 Query参数 参数 是否必选 参数类型 描述 parent_id 否 String 父节点（根或组织单元）的唯一标识符（ID）。 最大长度：100 with_register_contact_info 否 Boolean 是否返回账号邮箱、手机号信息。缺省值为False，若此参数为True时，Limit最多200。 limit 否 Integer 页面中最大结果数量。 最小值：1 最大值：2000 缺省值：200 marker 否 String 分页标记。 最小长度：4 最大长度：400

响应参数 状态码： 200 表3 响应Body参数 参数 参数类型 描述 accounts Array of AccountDto objects 组织中的账号列表。 page_info PageInfoDto object 分页信息 表4 AccountDto 参数 参数类型 描述 id String 账号的唯一标识符（ID）。 最大长度：64 urn String 账号的统一资源名称。 最小长度：1 最大长度：1500 join_method String 账号加入组织的方式。invited：邀请加入，created：创建加入。 最小长度：1 最大长度：64 status String 账号当前的状态。active：有效； suspended：已关闭； pending_closure：关闭中。 最小长度：1 最大长度：64 joined_at String 账号加入组织的日期。 name String 账号名称 最大长度：64 mobile_phone String 手机号码 最小长度：1 最大长度：32 intl_number_prefix String 手机号前缀。 最小长度：1 最大长度：10 email String 与此账号关联的电子邮件地址。 最大长度：64 description String 描述信息。 最小长度：1 最大长度：128 表5 PageInfoDto 参数 参数类型 描述 next_marker String 如果存在，则表示可用的输出比当前响应中包含的输出多。在对操作的后续调用中，在标签请求参数中使用此值，以获取输出的下一部分。您应该重复此操作，直到next_marker响应元素返回为null。 current_count Integer 本页返回条目数量 最小值：1 最大值：2000

响应示例 状态码： 200 Successful. { "policy" : { "content" : "{\"Version\":\"5.0\",\"Statement\":[{\"Sid\":\"Statement1\",\"Effect\":\"Allow\",\"Action\":[\"*\"],\"Resource\":[\"*\"]}]}", "policy_summary" : { "is_builtin" : false, "description" : "auto0923161647582JIeTPolicydesc", "id" : "p-scnsbv8byvfjp612ooojkdamzcgtp6l9", "urn" : "organizations::0a6d25d23900d45c0faac010e0fb4de0:policy:o-fhkmi6mek7wlqdp6nideqhb47qwtjdsv/service_control_policy/p-b4wpejd02o66g0pvfinvsatp4t9krfum", "name" : "auto0923161647583CXosPolicyName", "type" : "service_control_policy" } } }

响应参数 状态码： 200 表3 响应Body参数 参数 参数类型 描述 policy PolicyDto object 包含有关策略的详细信息的结构。 表4 PolicyDto 参数 参数类型 描述 content String 策略的文本内容。 最小长度：0 最大长度：20000 policy_summary PolicySummaryDto object 包含有关策略的信息，但不包括内容。 表5 PolicySummaryDto 参数 参数类型 描述 is_builtin Boolean 一个布尔值，指示指定的策略是否为系统策略。如果为true，即为系统策略，则可以将策略附加到根、组织单元或账号，但不能编辑它。 description String 策略说明。 最大长度：512 id String 策略的唯一标识符（ID）。 最小长度：1 最大长度：130 urn String 策略的统一资源名称。 最小长度：1 最大长度：1500 name String 策略的名称。 最小长度：1 最大长度：64 type String 策略的类型,service_control_policy：服务控制策略；tag_policy：标签策略。 最小长度：1 最大长度：64

响应参数 状态码： 201 表4 响应Body参数 参数 参数类型 描述 policy PolicyDto object 包含有关策略的详细信息的结构。 表5 PolicyDto 参数 参数类型 描述 content String 策略的文本内容。 最小长度：0 最大长度：20000 policy_summary PolicySummaryDto object 包含有关策略的信息，但不包括内容。 表6 PolicySummaryDto 参数 参数类型 描述 is_builtin Boolean 一个布尔值，指示指定的策略是否为系统策略。如果为true，即为系统策略，则可以将策略附加到根、组织单元或账号，但不能编辑它。 description String 策略说明。 最大长度：512 id String 策略的唯一标识符（ID）。 最小长度：1 最大长度：130 urn String 策略的统一资源名称。 最小长度：1 最大长度：1500 name String 策略的名称。 最小长度：1 最大长度：64 type String 策略的类型,service_control_policy：服务控制策略；tag_policy：标签策略。 最小长度：1 最大长度：64

响应示例 状态码： 201 Successful. { "policy" : { "content" : "{\"Version\":\"5.0\",\"Statement\":[{\"Sid\":\"Statement1\",\"Effect\":\"Allow\",\"Action\":[\"*\"],\"Resource\":[\"*\"]}]}", "policy_summary" : { "is_builtin" : false, "description" : "auto0923160642938XHxSPolicydesc", "id" : "p-b4wpejd02o66g0pvfinvsatp4t9krfum", "urn" : "organizations::0a6d25d23900d45c0faac010e0fb4de0:policy:o-fhkmi6mek7wlqdp6nideqhb47qwtjdsv/service_control_policy/p-b4wpejd02o66g0pvfinvsatp4t9krfum", "name" : "auto092316064293806EYPolicyName", "type" : "service_control_policy" } } }

请求示例 创建策略 POST https://{hostname}/v1/organizations/policies { "content" : "{\"Version\":\"5.0\",\"Statement\":[{\"Sid\":\"Statement1\",\"Effect\":\"Allow\",\"Action\":[\"*\"],\"Resource\":[\"*\"]}]}", "description" : "auto0923160642938XHxSPolicydesc", "name" : "auto092316064293806EYPolicyName", "type" : "service_control_policy", "tags" : [ { "key" : "keystring", "value" : "valuestring" } ] }

请求参数 表1 请求Header参数 参数 是否必选 参数类型 描述 X-Security-Token 否 String 如果正在使用临时安全凭据，则此header是必需的，该值是临时安全凭据的安全令牌（会话令牌）。 最小值：1 X-Language 否 String 选择接口返回的信息的语言 表2 请求Body参数 参数 是否必选 参数类型 描述 content 是 String 要添加到新策略的策略文本内容。 最小长度：0 最大长度：20000 description 是 String 要分配给策略的可选说明。 最小长度：0 最大长度：512 name 是 String 要分配给策略的名称。 最小长度：1 最大长度：64 type 是 String 要创建的策略类型,service_control_policy服务控制策略；tag_policy：标签策略。 tags 否 Array of TagDto objects 要附加到新创建的策略的标签列表。 数组长度：0 - 20 表3 TagDto 参数 是否必选 参数类型 描述 key 是 String 标签键的密钥标识符或名称。 最小长度：1 最大长度：128 value 是 String 与标签键关联的字符串值。您可以将标签的值设置为空字符串，但不能将标签的值设置为NULL。 最小长度：0 最大长度：255

响应参数 状态码： 200 表4 响应Body参数 参数 参数类型 描述 attached_entities Array of EntityDto objects 结构列表，每个结构都包含有关指定策略附加到的实体的详细信息。 page_info PageInfoDto object 分页信息 表5 EntityDto 参数 参数类型 描述 name String 实体的名称。 最小长度：1 最大长度：64 id String 实体的唯一标识符（ID）。 最大长度：100 type String 实体的类型。account：账号；organizational_unit：组织单元；root：根。 最小长度：1 最大长度：64 表6 PageInfoDto 参数 参数类型 描述 next_marker String 如果存在，则表示可用的输出比当前响应中包含的输出多。在对操作的后续调用中，在标签请求参数中使用此值，以获取输出的下一部分。您应该重复此操作，直到next_marker响应元素返回为null。 current_count Integer 本页返回条目数量 最小值：1 最大值：2000

响应示例 状态码： 200 Successful. { "attached_entities" : [ { "name" : "paas_iam_573331", "id" : "05261f923e80d3890f33c0056e9b3f80", "type" : "account" } ], "page_info" : { "next_marker" : "ou-taowxgy4xbme6m4x3c2iijbxw7yj8fcw", "current_count" : 100 } }

URI GET /v1/organizations/policies/{policy_id}/attached-entities 表1 路径参数 参数 是否必选 参数类型 描述 policy_id 是 String 策略的唯一标识符（ID）。 最大长度：130 表2 Query参数 参数 是否必选 参数类型 描述 limit 否 Integer 页面中最大结果数量。 最小值：1 最大值：2000 缺省值：200 marker 否 String 分页标记。 最小长度：4 最大长度：400

响应参数 状态码： 200 表2 响应Body参数 参数 参数类型 描述 quotas QuotasResourcesDto object 组织配额的响应体。 表3 QuotasResourcesDto 参数 参数类型 描述 resources Array of QuotaDto objects 配额信息。 表4 QuotaDto 参数 参数类型 描述 type String 配额类型。account：账号；organizational_unit：组织单元；policy：策略。 最小长度：1 最大长度：64 quota Integer 配额数量。 min Integer 最小配额。 max Integer 最大配额。 used Integer 已使用数量。

响应示例 状态码： 200 Successful. { "policies" : [ { "is_builtin" : true, "description" : "NFZ", "id" : "p-M5lVaiMgFXD6Hmq6o4dvqbGk", "urn" : "string", "name" : "9`P41WII9Yn]", "type" : "service_control_policy" } ], "page_info" : { "next_marker" : "ou-taowxgy4xbme6m4x3c2iijbxw7yj8fcw", "current_count" : 100 } }

响应参数 状态码： 200 表3 响应Body参数 参数 参数类型 描述 policies Array of PolicySummaryDto objects 组织中的策略列表。 page_info PageInfoDto object 分页信息 表4 PolicySummaryDto 参数 参数类型 描述 is_builtin Boolean 一个布尔值，指示指定的策略是否为系统策略。如果为true，即为系统策略，则可以将策略附加到根、组织单元或账号，但不能编辑它。 description String 策略说明。 最大长度：512 id String 策略的唯一标识符（ID）。 最小长度：1 最大长度：130 urn String 策略的统一资源名称。 最小长度：1 最大长度：1500 name String 策略的名称。 最小长度：1 最大长度：64 type String 策略的类型,service_control_policy：服务控制策略；tag_policy：标签策略。 最小长度：1 最大长度：64 表5 PageInfoDto 参数 参数类型 描述 next_marker String 如果存在，则表示可用的输出比当前响应中包含的输出多。在对操作的后续调用中，在标签请求参数中使用此值，以获取输出的下一部分。您应该重复此操作，直到next_marker响应元素返回为null。 current_count Integer 本页返回条目数量 最小值：1 最大值：2000