华为云用户手册

回收代金券 企业主账号回收给子账号发放的代金券时，仅可以回收在有效期内的、剩余的代金券金额。 进入“资金拨款与开票”页面。 选择主账号下需要回收代金券的子账号。 单击操作列的“回收”。 进入“回收”页面。 单击“代金券”选项框。 进入“代金券回收”页面。 选择待回收的代金券，单击“确定”。 系统提示“资金安全验证”弹窗。 进行身份二次验证。 选择验证方式。 单击“获取验证码”后，在输入框中填写正确的验证码。 单击“确定”。 系统提示提交操作成功信息。 进入企业中心“总览”页面，可以开通或关闭资金安全验证功能。如您已经在“总览”页面打开开关才会执行该步骤，如未开启，则不需要。开通或关闭该功能，请参考设置资金安全。 单击“继续回收”进入“回收”页面或单击“返回资金拨款与开票”返回“资金拨款与开票”页面。

企业项目财务管理 企业项目财务管理为企业提供按项目进行财务管理的能力。 您可以根据自己的企业结构创建主账号和子账号，并添加子账号与主账号进行关联，在子账号下可以创建企业项目，对这些企业项目进行财务管理，进而可以实现对这些主账号、子账号的财务管理需求。 如何管理企业项目群 如何进入企业项目财务信息管理页面 如何管理企业项目的订单 如何管理企业项目的账单 如何管理企业项目下资源的资费 如何设置企业项目的资金配额 父主题： 项目管理

云服务权限说明 在 统一身份认证 服务为用户或用户组基于企业项目授予相应的云服务权限，实现基于企业项目对云服务权限的管理，目前企业项目管理支持的云服务详见企业项目管理支持的云服务， 各云服务的策略权限说明请参见系统权限。 当这些云服务与暂时不支持企业项目管理的云服务存在关联业务时，这部分关联业务需要依赖其他权限才能成功操作。云服务依赖策略的配置方法主要分为以下两种： 在统一身份认证服务中为用户组添加云服务系统策略，具体操作请参见创建用户组并授权。 如果系统策略不满足授权要求，您还可以在统一身份认证服务中创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制，自定义策略是对系统策略的扩展和补充，具体操作请参见创建自定义策略。 父主题： 权限说明

操作步骤 进入“组织和账号”页面。 选择待创建子账号的企业或组织，单击操作列的“添加子账号”。 选择“新建子账号”。 进入“新建子账号”页面。 设置新建子账号的“账号名”、“手机号码”和“密码”，单击“下一步”。 账号名设置的规则为：6-32个字符，可以包含字母、数字、下划线或减号；必须以字母开头，不能以数字开头；不能以hw_或hwid_或hid_开头（不区分大小写）；不支持设置中文 。 子账号密码设置的规则为：8-32位字符；必须包含字母和数字，不能包含空格；不能包含3个及以上连续相同的字符；不能包含特殊字符；不能与账号名或倒叙的账号名相同（不区分大小写） 。 当选择“使用主账号手机号码”时，需设置子账号的信息如下图所示。 当选择“使用其他手机号码”时，需设置子账号的信息如下图所示。 设置“子账号显示名”、“关联类型”和“权限要求”。 单击“从属组织”后的“修改”，即可修改上级组织。 主账号新建的子账号会继承主账号实名认证的信息，新创建的子账号和主账号只支持“同一法人”的关联类型。 如果当前账号为经销商代售子客户，由经销商伙伴为您开具发票。 单击“下一步”。 系统显示添加子账号的确认信息。 单击“提交”。 系统提示成功创建子账号信息。 单击“完成”。

财务托管模式 由企业主账号统一管理子账号的资金、账单及发票，子账号的消费统一由企业主账号支付。华为云统一开票给企业主账号。华为云的交易主体是企业主账号。 共享商务：企业主子账号间商务实现默认共享，避免客户重复申请企业子账号商务，大大降低客户成本。 统一支付：企业子账号无须通过企业主账号手工划拨现金、信用和代金券的方式进行消费，企业子账号消费统一由企业主账号支付，极大降低了客户的财务操作负担。同时支持费用可追溯能力，支撑客户财务安全合规诉求。 一站式账单管理：企业主账号可以查询所有子账号的账单，也支持将多个子账号账单合并至一个账单。 统一发票：企业主账号可针对单个企业子账号的消费开票，也可以所有企业子账号的费用合并开票，同时还支持按指定金额开票。 统一成本管理：支持企业主账号在组织内的统一管理所有企业子账号成本，提升集团企业客户的的成本管理效率。 统一预算管理：企业主账号可统一设置整个组织的消费预算，也可以针对企业子账号设置消费预算和阈值预警，实时统计消费并对企业主账号进行预警。同时提供限制子账号新购的能力，可以控制超预算企业子账号的消费。 统一成本预测：企业主账号可统一查看整个组织的成本预测，也可以查看名下某个企业子账号的成本预测。 统一成本分析：企业主账号可统一分析整个组织的成本和用量情况，也可以分析名下某个企业子账号的成本和用量情况。 统一成本监控：企业主账号可统一监控整个组织的成本异常情况，也可以监控某个企业子账号的成本异常情况。 统一成本优化：企业主账号可获取整个组织的成本优化建议，方便企业主账号全局优化各企业子账号的成本费用。

操作场景 开通企业项目的客户，可以为企业项目设置资金配额，用于控制企业项目合理使用资金。 当企业项目资金配额不足时，客户可以设置控制新订购包年/包月云资源和新开通按需云资源。对于已存在的资源不进行控制，包括按需资源的消费、自动续订包年/包月资源、手工续订包年/包月资源、按需转包年/包月、资源修改配置等。 在企业项目财务信息管理页面，可以查看企业项目的资金配额信息，设置资金配额限制的开启或关闭、设置余额预警的开启或关闭等。 为企业项目设置资金配额仅用于控制企业项目合理使用资金。企业项目的客户在购买云资源时，仍然从客户的华为云账户扣钱，同时扣减企业项目的资金配额。

设置余额预警 余额预警是指当资金配额余额低于设置的值时，系统会发送短信和邮件通知预警接收人。 进入“配额管理”页面。 如果余额预警开关是关闭状态，请先开启余额预警开关；如果资金余额预警开关已经开启，直接执行3。 关闭配额余额预警开关后，您将无法收到相关的预警通知。 设置资金配额的余额预警信息。 单击“警报阈值”后的“修改”按钮，修改警报阈值。 单击“ 消息通知 ”后的“消息接收配置”，设置预警消息的告警接收人。

设置资金配额限制 在企业项目管理页面，单击企业项目操作列的“查看消费 ”。 进入“费用账单”页面。 单击左侧的“配额管理”，进入“企业项目资金配额设置”页面。 缺省（default）企业项目的资金配额不可设置。 如果资金配额限制开关是关闭状态，请先开启资金配额限制开关；如果资金配额限制开关已经开启，直接执行5。 关闭资金配额限制开关后，该项目消费将不受配额限制。 在“配额余额设置”页面勾选当配额余额不足时的处理策略，设置配额余额。 配额余额不足是指当您的包年/包月资源或者按需资源开通时所需的费用高于您的配额余额，配额余额不足时的处理策略主要包括以下两种： 允许按需资源新开通和包周期资源新购：当企业项目配额余额不足时，允许按需资源新开通和包年/包月资源新购。 禁止按需资源新开通，禁止包周期资源新购：当企业项目配额余额不足时，限制按需资源新开通和包年/包月资源新购。由于按需资源为后扣费模式，会延迟一天扣除配额。因此在消费配额抵扣为负数的前一天，仍允许按需资源新开通。 单击“确定”。 系统提示提交设置操作成功信息。 单击“当前配额余额”后的“调整”即可修改当前的配额余额。 单击“配额调整记录”后的“查看”即可查看配额调整的历史记录。

子账号的账号类型为个人账号，企业主账号不允许关联该子账号，怎么办？ 企业主账号需通知子账号变更账号类型为企业账号并进行实名认证，再与该子账号进行关联。子账号变更账号类型有以下两种情况： 如果子账号仅在“基本信息”页面将账号类型设置为个人账号，并未完成个人实名认证，则子账号需在“基本信息”页面，单击“企业名称”后面的“修改”，将账号类型更改为企业账号，并补充企业名称。 如果子账号已完成个人实名认证，则子账号需进行重新实名认证，将个人账号变更为企业账号，具体操作方法请参见如何变更为企业账号。 父主题： 公共

使用企业管理Java Python SDK获取不到企业项目的排查方式 使用企业管理Java Python SDK获取不到企业项目，请按照如下方式排查： 检查 获取Token 的方式是否为DomainToken，企业管理是全局服务，因此需要使用DomainToken。 若通过AK/SK方式使用SDK，同步骤1，需要检查认证方式是否为Domain级别，AK/SK在经过API Gateway时，API Gateway会将AK/SK转成响应Token，来调用EPS服务。 检查请求企业管理（EPS）HTTP接口 域名 是否正确，可以通过打印详细日志查看，设置打印日志语句放在调用接口之前。 Java版本打印日志通过如下方法： OSFactory.enableHttpLoggingFilter(true); Python版本打印日志通过如下方法： utils.enable_logging(debug=True,stream=sys.stdout) 企业管理（EPS）公有云域名唯一，Endpoint为：https://eps.myhuaweicloud.com/v1.0。 若步骤3请求EPS的HTTP接口域名不正确，请按照如下方式设置企业管理（EPS）的正确Endpoint： Java版本，大部分代码SDK Demo已经呈现，请重点关注注释部分: //生成endpoint解析器 OverridableEndpointURLResolver endpointResolver = new OverridableEndpointURLResolver(); endpointResolver.addOverrideEndpoint(ServiceType.EPS, "https://eps.myhuaweicloud.com/v1.0"); String user = "xxxxx"; String password = "******"; String userDomainId = "yyyyyyyyyyy"; String authUrl = "https://iam.xxxx.com/v3"; //设置打印日志 OSFactory.enableHttpLoggingFilter(true); //生成config对象 Config config = Config.newConfig().withEndpointURLResolver(endpointResolver); //请求客户端使用config对象 OSClient.OSClientV3 osclient = OSFactory.builderV3().endpoint(authUrl).withConfig(config) .credentials(user, password, Identifier.byId(userDomainId)).scopeToDomain(Identifier.byId(userDomainId)).authenticate(); Python版本: os.environ.setdefault('OS_EPS_ENDPOINT_OVERRIDE', 'https://eps.myhuaweicloud.com/v1.0') 调用接口报500类错误，请联系EPS服务客服。 老版本的SDK使用起来较为繁琐，推荐使用新版本Union SDK。 父主题： 常见问题

操作步骤 在企业项目管理页面，单击企业项目操作列的“查看消费 ”。 进入“费用账单”页面。 单击左侧“退订与变更”，选择“云服务退订”。 选择资源进行退订。 退订使用中的资源，请参见退订使用中的资源。 退订未生效的资源，请参见退订未生效的资源。 退订续费周期，请参见退订续费周期。 如果要退订创建/变更失败的资源，请参见退订创建/变更失败的资源。 如果要查看退订记录，请单击页面右上角的“退订记录”。

创建用户组 管理员可以参考以下操作分别创建用户组Test_E CS _A和Test_ECS_B。 登录华为云，在右上角单击“控制台”。 在控制台页面，鼠标移动至右上方的用户名，在下拉列表中选择“统一身份认证”。 在左侧导航窗格中，选择“用户组”页签，单击右上方的“创建用户组”。 图1 创建用户组 在“创建用户组”界面，输入“用户组名称”，例如“Test_ECS_A”。 图2 输入用户组名称 单击“确定”。 用户组创建完成后，用户组列表中会显示新创建的用户组。 具体请参见创建用户组并授权。 父主题： 快速入门

为用户组添加 IAM 用户 管理员可以参考以下操作将IAM用户Test_User_A和Test_User_B分别添加至用户组Test_ECS_A和Test_ECS_B。 登录华为云，在右上角单击“控制台”。 在控制台页面，鼠标移动至右上方的用户名，在下拉列表中选择“统一身份认证”。 在左侧导航窗格中，单击“用户组”。 在用户组列表中，单击新建的用户组“Test_ECS_A”右侧的“用户组管理”。 图1 用户组管理 在“可选用户”中选择需要添加至用户组中的用户。 图2 为用户组添加用户 单击“确定”，完成添加。 父主题： 快速入门

支持 云审计 的关键操作列表 表1 云审计服务支持的企业中心操作列表 操作名称 资源类型 事件名称 创建子账号 enterpriseCenter createMemberAccount 邀请子账号 enterpriseCenter inviteExistingAccount 解除关联子账号 enterpriseCenter dissassociateMemberAccount 权限变更请求 enterpriseCenter permissionChangeRequest 接受权限变更请求 enterpriseCenter permissionChangeAccept 拒绝权限变更请求 enterpriseCenter permissionChangeReject 信用额度划拨 enterpriseCenter creditAllocate 账户余额划拨 enterpriseCenter debitAllocate 代金券划拨 enterpriseCenter couponAllocate 信用额度回收 enterpriseCenter creditRetrieve 账户余额回收 enterpriseCenter debitRetrieve 代金券回收 enterpriseCenter couponRetrieve

不同关联模式下，企业主子账号财务管理方案有哪些差异？ 针对直销客户或顾问销售类子客户，不同关联模式下企业主子账号财管管理方案差异说明如下表所示： 对比维度 财务托管（新模式） 财务独立（新模式） 关联还款（旧模式） 适用条件 相同实名认证企业主体的主子账号 相同实名认证主体的主子账号（可由主账号再次分配授信） 不同实名认证主体的主子账号（主子单独申请授信） 相同实名认证企业主体的主子账号 适用场景 相同企业内，主账号统一负责对接华为云还款，无需关注各子账号内部请款和还款顺序 企业内部财务独立 或 母/子/分公司间财务独立，每个子账号的对接人不同，自行开票内部请款后还款（自己请的款自己用，不得给其他子账号用） 不推荐 资金账户 各子账号没有独立的资金账户，统一在主账号设置资金账户 各子账号有资金账户，分别记账（账本） 各子账号有资金账户，分别记账（账本） 授信 主账号统一授信，不划拨；各财务托管的子账号共享 主账号统一授信，可再分配到相同实名认证的子账号。 主账号统一授信，划拨到子账号。 测试类代金券 模式1：统一发放到主账号，各财务托管的子账号共享 模式2：统一发放到主账号（但限制仅某个被托管的子账号消费抵扣） 模式1：统一发放到主账号，划拨到相同实名认证的子账号； 模式2：单独发放到子账号。 模式1：统一发放到主账号，划拨到相同实名认证的子账号； 模式2：单独发放到子账号。 商务类代金券 只会发放给主账号 模式1：各子账号单独申请商务，单独发放商务代金券； 模式2：各子账号继承主账号商务，只会给主账号发放商务代金券，主账号可自行决定是否划拨给相同实名认证的子账号使用。 模式1：各子账号单独申请商务，单独发放商务代金券； 模式2：各子账号继承主账号商务，只会给主账号发放商务代金券，主账号可自行决定是否划拨给相同实名认证的子账号使用。 商务优惠 若主账号已获得商务优惠时，统一使用主账号中的商务优惠。 模式1：各子账号单独申请商务优惠； 模式2：各子账号继承主账号商务优惠（相同实名认证时，主子自行决定；不同实名认证主体需经过华为云审批）。 模式1、各子账号单独申请商务优惠； 模式2、各子账号继承主账号商务优惠（相同实名认证时，主子自行决定；不同实名认证主体需经过华为云审批）。 支付 通过主账号中的信用额度支付； 通过主账号中的现金余额支付； 通过主账号中的代金券余额抵扣。 子账号分别用划拨的信用额度支付； 子账号独立充值支付； 子账号独立获得的代金券抵扣 （单独发放到子账号 或 由主账号划拨到子账号）。 各子账号分别支付： 使用划拨的信用额度支付； 使用划拨的代金券支付。 资源包 模式1：主子账号分别购买，分别使用资源包用量。 模式2：主账号购买，共享给子账号资源包用量。 主、子账号分别购买，分别使用资源包用量。 主、子账号分别购买，分别使用资源包用量。 出账 仅为主账号生成“主子账号消费”的盖电子章的账单（仅后付费时生成盖电子章的PDF账单）； 子账号仅可以查询消费明细，无电子章账单。 分别为主子账号生成盖电子章的账单（仅后付费时生成盖电子章的PDF账单）； 主账号账单不含子账号的消费。 分别为主子账号生成账单（仅后付费时生成盖电子章的PDF账单）； 主账号账单中可以列出子账号的消费。 消费查询 主账号可以查询自身和子账号的消费（无需特别权限）； 子账号可以查询自身消费。 主账号可以查询自身和子账号的消费（需勾选生效查询子账号消费权限）； 子账号可以查询自身的消费。 主账号可以查询自身和子账号的消费（需勾选生效查询子账号消费权限）； 子账号可以查询自身的消费。 开票 按所有财务托管主子账号实际消费累计开给主账号。 按各子账号实际消费，分别开给每个子账号。 按各子账号实际消费，分别开给每个子账号。 还款 统一向主账号的专属银行账号充值，自动核销。 模式1：各子账号往各自的专属银行账号充值（或在线充值）还款； 模式2：统一向主账号的专属银行账号充值，由主账号划拨充值余额到子账号还款。 向主账号充值，自动关联还款各个子账号。 统一按照先逾期，再按出账早晚顺序还款，无法指定各子账号账单核销顺序。 成本管理 企业主账号：统一管理企业主账号+企业子账号的成本，包括统一成本分析、统一预算跟踪、统一异常监控、统一成本建议等。 企业子账号：只能管理企业子账号本身在财务托管期间产生的成本，包括预算跟踪、异常监控、成本建议等。企业子账号取消关联成为普通客户后，仅可以管理非财务托管期间产生的成本。 企业主子账号各自管理各自账号下的成本，包括成本分析、预算跟踪、异常监控、成本建议等。 如果企业子账号向企业主账号授权了查看消费信息，则企业主账号也可以统一分析企业主账号+企业子账号的成本。 企业主子账号各自管理各自账号下的成本，包括成本分析、预算跟踪、异常监控、成本建议等。 如果企业子账号向企业主账号授权了查看消费信息，则企业主账号也可以统一分析企业主账号+企业子账号的成本。 与LandingZone解决方案关系 可配套LandingZone解决方案提供 云财务管理 能力。 LandingZone解决方案中，组织服务创建的账号缺省启用财务托管，创建的账号是资源账号，与官网注册的账号体验上有差别。 可配套LandingZone解决方案提供云财务管理能力。 LandingZone解决方案中，组织服务可邀请财务独立子账号，统一纳管资源。 不支持 父主题： 公共

企业项目人员管理 企业项目可以授权给一个或多个用户组进行管理，通过创建用户组，并给用户组授予权限（角色或策略），然后将用户加入用户组，使得用户组中的用户获得相应的权限来管理企业项目和企业项目中的资源。 人员管理，即以企业项目为单位，对这些用户和用户组进行管理，包括查看、添加、移除企业项目用户/用户组。 关于“权限”、“角色”、“策略”概念请参见《统一身份认证服务 IAM用户指南》。 IAM预置了各服务的常用权限，例如管理员权限、只读权限，管理员可以直接使用这些系统权限给用户组授权，授权后，用户就可以基于权限对云服务进行操作。 查看企业项目授权记录 如何管理企业项目用户组 如何管理企业项目用户 父主题： 项目管理

授予IAM用户Agent Operator权限 登录华为云，在右上角单击“控制台”。 在控制台页面，鼠标移动至右上方的账号名，在下拉列表中选择“统一身份认证”。 在统一身份认证服务，左侧导航菜单中，单击“用户组”。 在用户组列表中，单击IAM用户所在用户组右侧的“权限配置”。 在用户组权限页签中，单击列表左上方的“配置权限”。 选择作用范围为“全局服务”。 勾选需要授予用户组的Agent Operator权限，单击“确定”，完成用户组授权。

授予IAM用户BSS Administrator、BSS Operator或BSS Finance权限 登录华为云，在右上角单击“控制台”。 在控制台页面，鼠标移动至右上方的账号名，在下拉列表中选择“统一身份认证”。 在统一身份认证服务，左侧导航菜单中，单击“用户组”。 在用户组列表中，单击IAM用户所在用户组右侧的“权限配置”。 在用户组权限页签中，单击列表左上方的“配置权限”。 选择作用范围为“区域级项目”，并选择目标区域项目进行授权。 勾选需要授予用户组的BSS Administrator、BSS Operator或BSS Finance权限，单击“确定”，完成用户组授权。

审计与日志 云审计服务（Cloud Trace Service， CTS ），是华为 云安全 解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 开通云审计服务后，CTS可记录企业项目管理服务的操作事件用于审计。 CTS的详细介绍和开通配置方法，请参见CTS快速入门。 查看审计日志的详细操作请参考查看审计事件。 企业项目管理服务支持审计的操作事件请参见表1。 表1 云审计服务支持的EPS操作列表 操作名称 资源类型 事件名称 创建企业项目 enterpriseProject createEnterpriseProject 修改企业项目 enterpriseProject modifyEnterpriseProject 停用企业项目 enterpriseProject disableEnterpriseProject 启用企业项目 enterpriseProject enableEnterpriseProject 资源迁移 说明： 此操作当前仅支持通过API接口触发，EPS控制台暂无相关功能会触发此操作。 enterpriseProjectResource migrate 资源关联迁出 enterpriseProjectResource associatedMigrateOut 资源关联迁入 enterpriseProjectResource associatedMigrateIn 资源迁入 enterpriseProjectResource migrateIn 资源迁出 enterpriseProjectResource migrateOut 父主题： 安全

操作步骤 创建用户组 在管理控制台统一身份认证服务（IAM）页面，分别创建用户组UserGroup B和UserGroup C。 创建用户组并授权详见创建用户组并授权。 图1 创建用户组 将用户添加至用户组 将用户User B和User C分别添加至用户组UserGroup B和UserGroup C。 创建用户并加入用户组详见创建IAM用户。 图2 将用户添加至用户组 为用户组授权 为用户组UserGroup B和UserGroup C分别添加策略ELB FullAccess。 以用户组UserGroup B为例，在目标用户组所在行的操作列，单击“授权”。 选择策略，单击“下一步”。 此处选择“ELB FullAccess” 选择授权范围，单击“确定”。 此处选择“指定企业项目资源”，企业项目选择“EnterpriseProjectB”。 图3 选择授权范围 单击“完成”。 重复1~4，为用户组UserGroup C添加策略ELB FullAccess。

创建IAM用户 管理员可以参考以下操作分别创建IAM用户Test_User_A和Test_User_B。 登录华为云，在右上角单击“控制台”。 在控制台页面，鼠标移动至右上方的用户名，在下拉列表中选择“统一身份认证”。 在左侧导航窗格中，选择“用户”，单击右上方的“创建用户”。 图1 创建用户 在“创建用户”界面配置用户基本信息。 图2 配置用户基本信息 单击右下角的“下一步”，进入“加入用户组（可选）”界面。 此步骤为可选步骤，可将该用户加入用户组Test_ECS_A，也可暂时不将用户添加至用户组。 单击右下角的“创建用户”，用户创建成功。 具体请参见创建IAM用户。 父主题： 快速入门

场景介绍 账号A下有两个子用户和两个企业项目，子用户分别是User B和User C，企业项目分别是EnterpriseProjectB和EnterpriseProjectC。 需要实现： 用户User B只能查看和操作企业项目EnterpriseProjectB下的资源，不能查看和操作企业项目EnterpriseProjectC下的资源。 用户User C只能查看和操作企业项目EnterpriseProjectC下的资源，不能查看和操作企业项目EnterpriseProjectB下的资源。

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的IaaS、PaaS和SaaS类云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。华为云租户的安全责任在于对使用的IaaS、PaaS和SaaS类云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、 虚拟主机 和访客虚拟机的操作系统，虚拟防火墙、API网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

创建组织策略 进入“组织策略管理”页面。 选择“全部策略”页签。 单击“创建策略”，进入“创建策略”页面。 设置策略相关信息。 JSON语法介绍请参见策略语言说明。 通过完全新建的方式创建策略 输入策略名称、策略描述等基本信息。 设置策略效果。 组织策略权限集效果： 拒绝：指定的操作拒绝，其他操作都允许。 允许：指定的操作允许，其他操作都拒绝。 组织策略实现原理： 企业中心添加子账号，子账号默认权限是所有操作都允许做。企业中心增加组织策略，组织策略对子账号的权限做约束。对于拒绝策略，实现时使用的是拒绝指定操作；对于允许策略，实现时使用的是拒绝所有操作，仅仅对允许做的操作不拒绝。 由策略的实现可知当子账号有多条拒绝策略时，每条拒绝策略都会生效。当子账号有多条允许策略时，只会有一条允许策略生效，其他允许策略不生效。因此建议您设置允许策略时，将子账号的所有允许操作都配置到一条策略中。 选择需要进行权限控制的云服务以及权限项。 单击“确认”。 通过复制现有策略的方式创建策略 输入策略名称、策略描述等基本信息。 单击“复制现有策略”。 系统弹出“复制现有策略”对话框。 选择需要的策略。 单击“确定”，已选策略的Action将在策略内容中显示。 根据实际需要修改策略内容中的Action。 单击“校验语法”。 系统提示“未发现语法问题，校验通过”。 单击“确认”。

资源迁入/迁出企业项目会影响资源所在的VPC和网段吗？ 不会。 企业项目发生变化可能会影响其关联的用户的权限，但其下的资源所关联的VPC和网段不会变化。 资源从一个企业项目迁移到另一个企业项目，不会影响资源本身。例如：资源实例不会重启、网络配置不会变更、资源所有者不会变更等。 但是，如果您有基于企业项目范围的授权策略，则资源所属企业项目发生变更，可能会导致用户对资源访问权限的变更。例如：您给项目A的成员授予企业项目A范围的操作权限，此时成员可以访问企业项目A内的资源。 当资源从企业项目A迁移到企业项目B时，由于成员只有企业项目A的权限，则此时成员将不再具有此资源的操作权限。 父主题： 常见问题

解决方案 针对需求1：当前华为云提供的企业项目管理服务（EPS）和统一身份认证服务（IAM），均可实现项目之间的资源隔离，但两种服务的实现逻辑及功能不同。 企业项目管理服务：在企业项目管理服务中创建企业项目，企业项目之间的资源是逻辑隔离，针对企业不同项目间的资源进行分组和管理，一个企业项目中可以包含多个区域的资源。企业项目内的资源可以动态的迁入和迁出。 统一身份认证服务：在统一身份认证服务中创建IAM项目可以实现资源之间的物理隔离，针对同一个区域内的资源进行分组和隔离，一个IAM项目中只能包含一个区域中的资源。 综上，企业项目管理服务能够实现项目间跨区域的资源隔离，隔离逻辑更加灵活，因此，推荐A公司使用企业项目管理服务进行项目资源管理，以下需求将基于企业项目管理服务提出解决方案。如需了解更多IAM项目和企业项目的区别，请参见：IAM项目和企业项目的区别。 针对需求2：A公司需要配合使用企业项目管理服务和统一身份认证服务，在统一身份认证服务中创建用户组、为每个员工创建IAM用户并加入用户组，再将用户组添加至需求1创建的企业项目，并按照表1为各企业项目中的用户组授予相应的资源使用权限。 图1 A公司人员配置模型 表1 A公司各用户组权限配置模型 用户组 职责 所需权限 描述 财务组 负责管理项目费用的使用情况。 Enterprise Project BSS FullAccess 企业项目费用的管理权限。 开发组 负责使用资源进行项目开发。 ECS FullAccess 弹性云服务器（ECS）的所有执行权限。 OBS FullAccess 对象存储服务 （OBS）的所有执行权限。 ELB FullAccess 弹性负载均衡（ELB）的所有执行权限。 安全维护组 负责项目的安全运维。 ECS CommonOperations 弹性云服务器（ECS）的普通操作权限。 CAD Administrator DDoS高防服务 （AAD）的所有执行权限。 运营组 负责所有项目的总体运营。 EPS FullAccess 企业项目管理服务的所有执行权限，包括修改、启用、停用、查看企业项目。 如需了解华为云所有云服务的系统权限，请参见：系统权限。

支持的授权项 策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应，授权项列表说明如下： 权限：允许或拒绝某项操作。 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。 授权范围：自定义策略的授权范围，包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目，表示此授权项对应的自定义策略，可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目，不支持企业项目，表示仅能在IAM中给用户组授权并生效，如果在企业管理中授权，则该自定义策略不生效。关于IAM项目与企业项目的区别，详情请参见：IAM与企业项目的区别。 对应API接口：自定义策略实际调用的API接口。

创建组织策略 进入“组织策略管理”页面。 选择“全部策略”页签。 单击“创建策略”，进入“创建策略”页面。 设置策略相关信息。 JSON语法介绍请参见策略语法。 通过完全新建的方式创建策略 输入策略名称、策略描述等基本信息。 设置策略效果。 组织策略权限集效果： 拒绝：指定的操作拒绝，其他操作都允许。 允许：指定的操作允许，其他操作都拒绝。 组织策略实现原理： 企业中心添加子账号，子账号默认权限是所有操作都允许做。企业中心增加组织策略，组织策略对子账号的权限做约束。对于拒绝策略，实现时使用的是拒绝指定操作；对于允许策略，实现时使用的是拒绝所有操作，仅仅对允许做的操作不拒绝。 由策略的实现可知当子账号有多条拒绝策略时，每条拒绝策略都会生效。当子账号有多条允许策略时，只会有一条允许策略生效，其他允许策略不生效。因此建议您设置允许策略时，将子账号的所有允许操作都配置到一条策略中。 选择需要进行权限控制的云服务以及权限项。 单击“确认”。 通过复制现有策略的方式创建策略 输入策略名称、策略描述等基本信息。 单击“复制现有策略”。 系统弹出“复制现有策略”对话框。 选择需要的策略。 单击“确定”，已选策略的Action将在策略内容中显示。 根据实际需要修改策略内容中的Action。 单击“校验语法”。 系统提示“未发现语法问题，校验通过”。 单击“确认”。

企业需求 需求1：A公司需要同时在“华北-北京四”和“华东-上海一”多地域购买多种资源，A公司希望将资源按需分配给两个项目团队，某些服务可实现指定资源的分配，例如某一台ECS服务器只分配给指定IAM用户使用，且两个项目中的资源相互隔离。 需求2：每个项目团队的成员只能访问其所在项目团队的资源，且仅拥有能够完成工作的资源使用最小权限。 需求3：A公司希望两个项目团队能够独立核算成本，项目费用一目了然。

系统限制 在企业管理中组织数、组织策略数、企业项目数等有一定的限制，各限制项默认的最大值如表3所示。 如果下面的系统限制无法满足您的使用场景诉求，请将此问题反馈给您的客户经理。 表3 限制说明 限制项 最大值 说明 企业主账号关联企业子账号数 32 企业主账号默认可关联企业子账号的数量。 组织层数 5 最多支持创建的组织层级数，例如：主账号\组织1\组织2\组织3\组织4\组织5。 组织数 100 最多支持创建的组织数量。 组织策略数 10 组织最多支持配置的组织策略数量。 企业项目群层数 1 一个账号下最多支持创建的项目群层级数，例如：账号\项目群1。 企业项目群数 100 一个账号下最多支持创建的企业项目群数量。 企业项目数 100 一个账号下最多支持创建的企业项目数量。 企业项目关联用户组数 10 一个账号下企业项目最多支持关联的用户组数量。 用户组数 10 一个账号下最多支持创建的用户组数量。 用户数 50 一个账号下最多支持创建的用户数量。