华为云用户手册

使用企业管理Java Python SDK获取不到企业项目的排查方式 使用企业管理Java Python SDK获取不到企业项目，请按照如下方式排查： 检查 获取Token 的方式是否为DomainToken，企业管理是全局服务，因此需要使用DomainToken。 若通过AK/SK方式使用SDK，同步骤1，需要检查认证方式是否为Domain级别，AK/SK在经过API Gateway时，API Gateway会将AK/SK转成响应Token，来调用EPS服务。 检查请求企业管理（EPS）HTTP接口 域名 是否正确，可以通过打印详细日志查看，设置打印日志语句放在调用接口之前。 Java版本打印日志通过如下方法： OSFactory.enableHttpLoggingFilter(true); Python版本打印日志通过如下方法： utils.enable_logging(debug=True,stream=sys.stdout) 企业管理（EPS）公有云域名唯一，Endpoint为：https://eps.myhuaweicloud.com/v1.0。 若步骤3请求EPS的HTTP接口域名不正确，请按照如下方式设置企业管理（EPS）的正确Endpoint： Java版本，大部分代码SDK Demo已经呈现，请重点关注注释部分: //生成endpoint解析器 OverridableEndpointURLResolver endpointResolver = new OverridableEndpointURLResolver(); endpointResolver.addOverrideEndpoint(ServiceType.EPS, "https://eps.myhuaweicloud.com/v1.0"); String user = "xxxxx"; String password = "******"; String userDomainId = "yyyyyyyyyyy"; String authUrl = "https://iam.xxxx.com/v3"; //设置打印日志 OSFactory.enableHttpLoggingFilter(true); //生成config对象 Config config = Config.newConfig().withEndpointURLResolver(endpointResolver); //请求客户端使用config对象 OSClient.OSClientV3 osclient = OSFactory.builderV3().endpoint(authUrl).withConfig(config) .credentials(user, password, Identifier.byId(userDomainId)).scopeToDomain(Identifier.byId(userDomainId)).authenticate(); Python版本: os.environ.setdefault('OS_EPS_ENDPOINT_OVERRIDE', 'https://eps.myhuaweicloud.com/v1.0') 调用接口报500类错误，请联系EPS服务客服。 老版本的SDK使用起来较为繁琐，推荐使用新版本Union SDK。 父主题： 常见问题

设置余额预警 余额预警是指当资金配额余额低于设置的值时，系统会发送短信和邮件通知预警接收人。 进入“配额管理”页面。 如果余额预警开关是关闭状态，请先开启余额预警开关；如果资金余额预警开关已经开启，直接执行3。 关闭配额余额预警开关后，您将无法收到相关的预警通知。 设置资金配额的余额预警信息。 单击“警报阈值”后的“修改”按钮，修改警报阈值。 单击“ 消息通知 ”后的“消息接收配置”，设置预警消息的告警接收人。

操作场景 开通企业项目的客户，可以为企业项目设置资金配额，用于控制企业项目合理使用资金。 当企业项目资金配额不足时，客户可以设置控制新订购包年/包月云资源和新开通按需云资源。对于已存在的资源不进行控制，包括按需资源的消费、自动续订包年/包月资源、手工续订包年/包月资源、按需转包年/包月、资源修改配置等。 在企业项目财务信息管理页面，可以查看企业项目的资金配额信息，设置资金配额限制的开启或关闭、设置余额预警的开启或关闭等。 为企业项目设置资金配额仅用于控制企业项目合理使用资金。企业项目的客户在购买云资源时，仍然从客户的华为云账户扣钱，同时扣减企业项目的资金配额。

设置资金配额限制 在企业项目管理页面，单击企业项目操作列的“查看消费 ”。 进入“费用账单”页面。 单击左侧的“配额管理”，进入“企业项目资金配额设置”页面。 缺省（default）企业项目的资金配额不可设置。 如果资金配额限制开关是关闭状态，请先开启资金配额限制开关；如果资金配额限制开关已经开启，直接执行5。 关闭资金配额限制开关后，该项目消费将不受配额限制。 在“配额余额设置”页面勾选当配额余额不足时的处理策略，设置配额余额。 配额余额不足是指当您的包年/包月资源或者按需资源开通时所需的费用高于您的配额余额，配额余额不足时的处理策略主要包括以下两种： 允许按需资源新开通和包周期资源新购：当企业项目配额余额不足时，允许按需资源新开通和包年/包月资源新购。 禁止按需资源新开通，禁止包周期资源新购：当企业项目配额余额不足时，限制按需资源新开通和包年/包月资源新购。由于按需资源为后扣费模式，会延迟一天扣除配额。因此在消费配额抵扣为负数的前一天，仍允许按需资源新开通。 单击“确定”。 系统提示提交设置操作成功信息。 单击“当前配额余额”后的“调整”即可修改当前的配额余额。 单击“配额调整记录”后的“查看”即可查看配额调整的历史记录。

操作步骤 在企业项目管理页面，单击企业项目操作列的“查看消费 ”。 进入“费用账单”页面。 单击左侧“退订与变更”，选择“云服务退订”。 选择资源进行退订。 退订使用中的资源，请参见退订使用中的资源。 退订未生效的资源，请参见退订未生效的资源。 退订续费周期，请参见退订续费周期。 如果要退订创建/变更失败的资源，请参见退订创建/变更失败的资源。 如果要查看退订记录，请单击页面右上角的“退订记录”。

不同关联模式下，企业主子账号财务管理方案有哪些差异？ 针对直销客户或顾问销售类子客户，不同关联模式下企业主子账号财管管理方案差异说明如下表所示： 对比维度 财务托管（新模式） 财务独立（新模式） 关联还款（旧模式） 适用条件 相同实名认证企业主体的主子账号 相同实名认证主体的主子账号（可由主账号再次分配授信） 不同实名认证主体的主子账号（主子单独申请授信） 相同实名认证企业主体的主子账号 适用场景 相同企业内，主账号统一负责对接华为云还款，无需关注各子账号内部请款和还款顺序 企业内部财务独立 或 母/子/分公司间财务独立，每个子账号的对接人不同，自行开票内部请款后还款（自己请的款自己用，不得给其他子账号用） 不推荐 资金账户 各子账号没有独立的资金账户，统一在主账号设置资金账户 各子账号有资金账户，分别记账（账本） 各子账号有资金账户，分别记账（账本） 授信 主账号统一授信，不划拨；各财务托管的子账号共享 主账号统一授信，可再分配到相同实名认证的子账号。 主账号统一授信，划拨到子账号。 测试类代金券 模式1：统一发放到主账号，各财务托管的子账号共享 模式2：统一发放到主账号（但限制仅某个被托管的子账号消费抵扣） 模式1：统一发放到主账号，划拨到相同实名认证的子账号； 模式2：单独发放到子账号。 模式1：统一发放到主账号，划拨到相同实名认证的子账号； 模式2：单独发放到子账号。 商务类代金券 只会发放给主账号 模式1：各子账号单独申请商务，单独发放商务代金券； 模式2：各子账号继承主账号商务，只会给主账号发放商务代金券，主账号可自行决定是否划拨给相同实名认证的子账号使用。 模式1：各子账号单独申请商务，单独发放商务代金券； 模式2：各子账号继承主账号商务，只会给主账号发放商务代金券，主账号可自行决定是否划拨给相同实名认证的子账号使用。 商务优惠 若主账号已获得商务优惠时，统一使用主账号中的商务优惠。 模式1：各子账号单独申请商务优惠； 模式2：各子账号继承主账号商务优惠（相同实名认证时，主子自行决定；不同实名认证主体需经过华为云审批）。 模式1、各子账号单独申请商务优惠； 模式2、各子账号继承主账号商务优惠（相同实名认证时，主子自行决定；不同实名认证主体需经过华为云审批）。 支付 通过主账号中的信用额度支付； 通过主账号中的现金余额支付； 通过主账号中的代金券余额抵扣。 子账号分别用划拨的信用额度支付； 子账号独立充值支付； 子账号独立获得的代金券抵扣 （单独发放到子账号 或 由主账号划拨到子账号）。 各子账号分别支付： 使用划拨的信用额度支付； 使用划拨的代金券支付。 资源包 模式1：主子账号分别购买，分别使用资源包用量。 模式2：主账号购买，共享给子账号资源包用量。 主、子账号分别购买，分别使用资源包用量。 主、子账号分别购买，分别使用资源包用量。 出账 仅为主账号生成“主子账号消费”的盖电子章的账单（仅后付费时生成盖电子章的PDF账单）； 子账号仅可以查询消费明细，无电子章账单。 分别为主子账号生成盖电子章的账单（仅后付费时生成盖电子章的PDF账单）； 主账号账单不含子账号的消费。 分别为主子账号生成账单（仅后付费时生成盖电子章的PDF账单）； 主账号账单中可以列出子账号的消费。 消费查询 主账号可以查询自身和子账号的消费（无需特别权限）； 子账号可以查询自身消费。 主账号可以查询自身和子账号的消费（需勾选生效查询子账号消费权限）； 子账号可以查询自身的消费。 主账号可以查询自身和子账号的消费（需勾选生效查询子账号消费权限）； 子账号可以查询自身的消费。 开票 按所有财务托管主子账号实际消费累计开给主账号。 按各子账号实际消费，分别开给每个子账号。 按各子账号实际消费，分别开给每个子账号。 还款 统一向主账号的专属银行账号充值，自动核销。 模式1：各子账号往各自的专属银行账号充值（或在线充值）还款； 模式2：统一向主账号的专属银行账号充值，由主账号划拨充值余额到子账号还款。 向主账号充值，自动关联还款各个子账号。 统一按照先逾期，再按出账早晚顺序还款，无法指定各子账号账单核销顺序。 成本管理 企业主账号：统一管理企业主账号+企业子账号的成本，包括统一成本分析、统一预算跟踪、统一异常监控、统一成本建议等。 企业子账号：只能管理企业子账号本身在财务托管期间产生的成本，包括预算跟踪、异常监控、成本建议等。企业子账号取消关联成为普通客户后，仅可以管理非财务托管期间产生的成本。 企业主子账号各自管理各自账号下的成本，包括成本分析、预算跟踪、异常监控、成本建议等。 如果企业子账号向企业主账号授权了查看消费信息，则企业主账号也可以统一分析企业主账号+企业子账号的成本。 企业主子账号各自管理各自账号下的成本，包括成本分析、预算跟踪、异常监控、成本建议等。 如果企业子账号向企业主账号授权了查看消费信息，则企业主账号也可以统一分析企业主账号+企业子账号的成本。 与LandingZone解决方案关系 可配套LandingZone解决方案提供 云财务管理 能力。 LandingZone解决方案中，组织服务创建的账号缺省启用财务托管，创建的账号是资源账号，与官网注册的账号体验上有差别。 可配套LandingZone解决方案提供云财务管理能力。 LandingZone解决方案中，组织服务可邀请财务独立子账号，统一纳管资源。 不支持 父主题： 公共

授予 IAM 用户BSS Administrator、BSS Operator或BSS Finance权限 登录华为云，在右上角单击“控制台”。 在控制台页面，鼠标移动至右上方的账号名，在下拉列表中选择“ 统一身份认证 ”。 在统一身份认证服务，左侧导航菜单中，单击“用户组”。 在用户组列表中，单击IAM用户所在用户组右侧的“权限配置”。 在用户组权限页签中，单击列表左上方的“配置权限”。 选择作用范围为“区域级项目”，并选择目标区域项目进行授权。 勾选需要授予用户组的BSS Administrator、BSS Operator或BSS Finance权限，单击“确定”，完成用户组授权。

授予IAM用户Agent Operator权限 登录华为云，在右上角单击“控制台”。 在控制台页面，鼠标移动至右上方的账号名，在下拉列表中选择“统一身份认证”。 在统一身份认证服务，左侧导航菜单中，单击“用户组”。 在用户组列表中，单击IAM用户所在用户组右侧的“权限配置”。 在用户组权限页签中，单击列表左上方的“配置权限”。 选择作用范围为“全局服务”。 勾选需要授予用户组的Agent Operator权限，单击“确定”，完成用户组授权。

子账号的账号类型为个人账号，企业主账号不允许关联该子账号，怎么办？ 企业主账号需通知子账号变更账号类型为企业账号并进行实名认证，再与该子账号进行关联。子账号变更账号类型有以下两种情况： 如果子账号仅在“基本信息”页面将账号类型设置为个人账号，并未完成个人实名认证，则子账号需在“基本信息”页面，单击“企业名称”后面的“修改”，将账号类型更改为企业账号，并补充企业名称。 如果子账号已完成个人实名认证，则子账号需进行重新实名认证，将个人账号变更为企业账号，具体操作方法请参见如何变更为企业账号。 父主题： 公共

为用户组添加IAM用户 管理员可以参考以下操作将IAM用户Test_User_A和Test_User_B分别添加至用户组Test_E CS _A和Test_ECS_B。 登录华为云，在右上角单击“控制台”。 在控制台页面，鼠标移动至右上方的用户名，在下拉列表中选择“统一身份认证”。 在左侧导航窗格中，单击“用户组”。 在用户组列表中，单击新建的用户组“Test_ECS_A”右侧的“用户组管理”。 图1 用户组管理 在“可选用户”中选择需要添加至用户组中的用户。 图2 为用户组添加用户 单击“确定”，完成添加。 父主题： 快速入门

创建IAM用户 管理员可以参考以下操作分别创建IAM用户Test_User_A和Test_User_B。 登录华为云，在右上角单击“控制台”。 在控制台页面，鼠标移动至右上方的用户名，在下拉列表中选择“统一身份认证”。 在左侧导航窗格中，选择“用户”，单击右上方的“创建用户”。 图1 创建用户 在“创建用户”界面配置用户基本信息。 图2 配置用户基本信息 单击右下角的“下一步”，进入“加入用户组（可选）”界面。 此步骤为可选步骤，可将该用户加入用户组Test_ECS_A，也可暂时不将用户添加至用户组。 单击右下角的“创建用户”，用户创建成功。 具体请参见创建IAM用户。 父主题： 快速入门

创建用户组 管理员可以参考以下操作分别创建用户组Test_ECS_A和Test_ECS_B。 登录华为云，在右上角单击“控制台”。 在控制台页面，鼠标移动至右上方的用户名，在下拉列表中选择“统一身份认证”。 在左侧导航窗格中，选择“用户组”页签，单击右上方的“创建用户组”。 图1 创建用户组 在“创建用户组”界面，输入“用户组名称”，例如“Test_ECS_A”。 图2 输入用户组名称 单击“确定”。 用户组创建完成后，用户组列表中会显示新创建的用户组。 具体请参见创建用户组并授权。 父主题： 快速入门

操作步骤 创建用户组 在管理控制台统一身份认证服务（IAM）页面，分别创建用户组UserGroup B和UserGroup C。 创建用户组并授权详见创建用户组并授权。 图1 创建用户组 将用户添加至用户组 将用户User B和User C分别添加至用户组UserGroup B和UserGroup C。 创建用户并加入用户组详见创建IAM用户。 图2 将用户添加至用户组 为用户组授权 为用户组UserGroup B和UserGroup C分别添加策略ELB FullAccess。 以用户组UserGroup B为例，在目标用户组所在行的操作列，单击“授权”。 选择策略，单击“下一步”。 此处选择“ELB FullAccess” 选择授权范围，单击“确定”。 此处选择“指定企业项目资源”，企业项目选择“EnterpriseProjectB”。 图3 选择授权范围 单击“完成”。 重复1~4，为用户组UserGroup C添加策略ELB FullAccess。

场景介绍 账号A下有两个子用户和两个企业项目，子用户分别是User B和User C，企业项目分别是EnterpriseProjectB和EnterpriseProjectC。 需要实现： 用户User B只能查看和操作企业项目EnterpriseProjectB下的资源，不能查看和操作企业项目EnterpriseProjectC下的资源。 用户User C只能查看和操作企业项目EnterpriseProjectC下的资源，不能查看和操作企业项目EnterpriseProjectB下的资源。

资源迁入/迁出企业项目会影响资源所在的VPC和网段吗？ 不会。 企业项目发生变化可能会影响其关联的用户的权限，但其下的资源所关联的VPC和网段不会变化。 资源从一个企业项目迁移到另一个企业项目，不会影响资源本身。例如：资源实例不会重启、网络配置不会变更、资源所有者不会变更等。 但是，如果您有基于企业项目范围的授权策略，则资源所属企业项目发生变更，可能会导致用户对资源访问权限的变更。例如：您给项目A的成员授予企业项目A范围的操作权限，此时成员可以访问企业项目A内的资源。 当资源从企业项目A迁移到企业项目B时，由于成员只有企业项目A的权限，则此时成员将不再具有此资源的操作权限。 父主题： 常见问题

企业项目人员管理 企业项目可以授权给一个或多个用户组进行管理，通过创建用户组，并给用户组授予权限（角色或策略），然后将用户加入用户组，使得用户组中的用户获得相应的权限来管理企业项目和企业项目中的资源。 人员管理，即以企业项目为单位，对这些用户和用户组进行管理，包括查看、添加、移除企业项目用户/用户组。 关于“权限”、“角色”、“策略”概念请参见《统一身份认证服务 IAM用户指南》。 IAM预置了各服务的常用权限，例如管理员权限、只读权限，管理员可以直接使用这些系统权限给用户组授权，授权后，用户就可以基于权限对云服务进行操作。 查看企业项目授权记录 如何管理企业项目用户组 如何管理企业项目用户 父主题： 项目管理

身份认证与访问控制 统一身份认证（Identity and Access Management，简称IAM）是华为云提供权限管理、访问控制和身份认证的基础服务，您可以使用IAM创建和管理用户、用户组，通过授权来允许或拒绝他们对云服务和资源的访问，通过设置安全策略提高账号和资源的安全性，同时IAM为您提供多种安全的访问凭证。 企业项目管理服务支持通过IAM权限策略进行访问控制。IAM权限是作用于云资源的，定义了允许和拒绝的访问操作，以此实现云资源权限的访问控制。管理员创建IAM用户后，需要将用户加入到一个用户组中，IAM可以对这个用户组授予所需的权限，用户组内的用户自动继承用户组的所有权限。 父主题： 安全

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的 云安全 挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的IaaS、PaaS和SaaS类云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。华为云租户的安全责任在于对使用的IaaS、PaaS和SaaS类云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、 虚拟主机 和访客虚拟机的操作系统，虚拟防火墙、API网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

解决方案 针对需求1：当前华为云提供的企业项目管理服务（EPS）和统一身份认证服务（IAM），均可实现项目之间的资源隔离，但两种服务的实现逻辑及功能不同。 企业项目管理服务：在企业项目管理服务中创建企业项目，企业项目之间的资源是逻辑隔离，针对企业不同项目间的资源进行分组和管理，一个企业项目中可以包含多个区域的资源。企业项目内的资源可以动态的迁入和迁出。 统一身份认证服务：在统一身份认证服务中创建IAM项目可以实现资源之间的物理隔离，针对同一个区域内的资源进行分组和隔离，一个IAM项目中只能包含一个区域中的资源。 综上，企业项目管理服务能够实现项目间跨区域的资源隔离，隔离逻辑更加灵活，因此，推荐A公司使用企业项目管理服务进行项目资源管理，以下需求将基于企业项目管理服务提出解决方案。如需了解更多IAM项目和企业项目的区别，请参见：IAM项目和企业项目的区别。 针对需求2：A公司需要配合使用企业项目管理服务和统一身份认证服务，在统一身份认证服务中创建用户组、为每个员工创建IAM用户并加入用户组，再将用户组添加至需求1创建的企业项目，并按照表1为各企业项目中的用户组授予相应的资源使用权限。 图1 A公司人员配置模型 表1 A公司各用户组权限配置模型 用户组 职责 所需权限 描述 财务组 负责管理项目费用的使用情况。 Enterprise Project BSS FullAccess 企业项目费用的管理权限。 开发组 负责使用资源进行项目开发。 ECS FullAccess 弹性云服务器（ECS）的所有执行权限。 OBS FullAccess 对象存储服务 （OBS）的所有执行权限。 ELB FullAccess 弹性负载均衡（ELB）的所有执行权限。 安全维护组 负责项目的安全运维。 ECS CommonOperations 弹性云服务器（ECS）的普通操作权限。 CAD Administrator DDoS高防服务 （AAD）的所有执行权限。 运营组 负责所有项目的总体运营。 EPS FullAccess 企业项目管理服务的所有执行权限，包括修改、启用、停用、查看企业项目。 如需了解华为云所有云服务的系统权限，请参见：系统权限。

企业需求 需求1：A公司需要同时在“华北-北京四”和“华东-上海一”多地域购买多种资源，A公司希望将资源按需分配给两个项目团队，某些服务可实现指定资源的分配，例如某一台ECS服务器只分配给指定IAM用户使用，且两个项目中的资源相互隔离。 需求2：每个项目团队的成员只能访问其所在项目团队的资源，且仅拥有能够完成工作的资源使用最小权限。 需求3：A公司希望两个项目团队能够独立核算成本，项目费用一目了然。

约束与限制 仅企业账号才可申请开通企业项目。 每个账号默认可以创建100个企业项目，如需调整企业项目最大配额请参见如何申请扩大配额？。企业项目数量的配额最大支持调整为256个。 已停用企业项目无法使用修改功能。 停用后的企业项目仍会占用企业项目配额，如果您的企业项目配额不足，建议您联系运维人员为您提供企业项目删除功能。 企业项目停用后在云服务创建页的“企业项目”中将不可见，无法迁入资源和添加用户组，如需再次使用，请重新启用该企业项目。 当未完成的订单包含该企业项目时，需完成订单后才可停用该企业项目。未完成的订单状态包括：待支付、处理中、待审核、待审批。 默认企业项目（default）无法编辑和停用。 测试类企业项目不支持停用操作。 目前不支持商用生产项目转测试类项目。 目前仅支持从商用生产项目到商用生产项目或测试类项目到测试类项目之间的资源迁移。 系统默认的企业项目“default”为商用生产项目，因此不支持在测试类项目与默认企业项目“default”之间进行资源迁移。 仅企业主账号或拥有Administor权限的IAM用户才可查看企业项目的资源迁入迁出事件。 企业项目的名称和描述的字符数限制，名称不超过255个字符，只能由中文、英文字母、数字、下划线、中划线组成，且不能使用任何大小写形式的“default”；描述不超过512个字符。 在企业项目管理中进行资源标签管理时，每个资源最多可以添加10个标签。 父主题： 项目管理

企业主账号为企业子账号设置的支付策略，影响企业子账号的哪些支付场景？ 支付策略支持如下两种方式： 自动支付：自动支付时自动匹配企业主的折扣或者代金券。详情请参考自动支付。 手动支付：子账号下单后在企业主费用中心生成支付订单，企业主登录后完成支付。 该支付策略，仅针对企业子用户手动触发的支付操作，如新购资源、手工续费资源等。对于系统自动触发的场景，如资源自动续费、通过调用OpenAPI接口实现下单时进行自动支付，不受此策略控制。 父主题： 财务托管

财务托管模式对企业主子账号有哪些影响？ 企业子账号的消费统一由企业主账号开票，不再单独为企业子账号开票。 企业子账号购买资源时默认使用企业主账号的商务折扣、代金券。 企业子账号名下如果还有代金券和余额，关联后可以用于企业子账号关联前的账单还款。 关联期间企业主账号不能再给企业子账号发放代金券。 企业主子账号关联期间企业主账号不能单独给企业子账号申请商务折扣。 企业主子账号关联前企业子账号的余额不能在关联期间使用，可以提现或解除关联后再使用。 父主题： 财务托管

权限概览 您可以将主账号与子账号组成多种权限策略，以此来满足财务管理的需求。目前提供的权限策略如表1所示： 表1 策略明细 关系策略 权限策略 功能说明（勾选以后达到的效果） 备注 财务管理 允许主账号查看子账号的财务信息 主账号可以查看子账号的财务信息。 - 允许主账号查看子账号的消费信息 主账号可以查看子账号的消费信息。 - 禁止子账号自行开票 不允许子账号管理自己的发票。 - 允许代子账号开票 主账号可以帮子账号代开发票（主账号统一管理发票，即主账号可以管理自己和子账号的发票）。 - 允许子账号继承主账号的商务折扣 子账号购买资源时，可使用主账号相同的商务优惠折扣。 企业主账号和子账号的关联关系为“不同法人”时，申请该权限需要上传所属同一企业集团的关联企业声明，待管理员审核通过后，才允许子账号继承主账号商务折扣。 企业子账号仅能继承华为云给企业主账号的商务折扣，不能继承华为云经销商给企业主账号的商务折扣（合作伙伴授予折扣）。 允许分配主账号信用额度给子账号 主账号可以分配信用额度给子账号。 企业子账号和主账号的关联关系为“同一法人”时，该权限生效。 申请该权限后，子账号不能再单独申请信用额度。 子账号消费的信用额度由主账号进行还款，子账号自己不能还款。

权限概览 主账号与子账号可组成多种权限策略，以此来满足财务管理的需求。目前提供的权限策略如表1所示： 财务托管模式下，不能更改企业主账号对企业子账号的管理权限。财务独立模式下，企业主账号可以向企业子账号申请变更管理权限。 表1 策略明细 关系策略 权限策略 功能说明（勾选以后达到的效果） 备注 财务独立 允许主账号查看子账号的财务信息 主账号可以查看子账号的财务信息。 - 允许主账号查看子账号的消费信息 主账号可以查看子账号的消费信息。 - 禁止子账号自行开票 不允许子账号管理自己的发票。 - 允许代子账号开票 主账号可以帮子账号代开发票（主账号统一管理发票，即主账号可以管理自己和子账号的发票）。 - 允许子账号继承主账号的商务折扣 子账号购买资源时，可使用主账号相同的商务优惠折扣。 企业主账号和子账号为“不同法人”时，申请该权限需要上传所属同一企业集团的关联企业声明，待管理员审核通过后，才允许子账号继承主账号商务折扣。 企业子账号仅能继承华为云给企业主账号的商务折扣，不能继承华为云经销商给企业主账号的商务折扣（合作伙伴授予折扣）。 允许分配主账号信用额度给子账号 主账号可以分配信用额度给子账号。 企业子账号和主账号为“同一法人”时，该权限生效。 申请该权限后，子账号不能再单独申请信用额度。 子账号消费的信用额度由主账号进行还款，子账号自己不能还款。企业主子账号支持财务托管关联模式后，新增的企业主账号，选择财务独立模式关联企业子账号，并给子账号划拨信用额度，企业主、子账号将分别对各自的信用消费进行还款，不再由企业主统一还款。

企业特性授权项列表 表1 企业特性授权项列表 权限 授权项 说明 修改企业中心功能 bss:enterpriseOrganizationFunction:update 企业中心功能开通与关闭。 查看企业组织与子账号 bss:enterpriseOrganization:view 查询企业组织信息。 修改企业组织与子账号 bss:enterpriseOrganization:update 创建子账号、邀请关联子账号，企业组织单元的新增、删除、修改，账号在组织间迁移等。 修改企业组织控制策略 bss:enterpriseOrganizationControlPolicy:update 自定义企业组织控制策略创建、修改、删除。 查看企业组织财务信息 bss:enterpriseFinance:view 企业主账号查看子账号的财务信息和资金往来明细。 修改企业组织财务信息 bss:enterpriseFinance:update 修改拨款、回收、余额、代金券、信用额度等财务信息。 修改企业项目资金配额 bss:enterpriseProjectFundQuota:update 开通企业项目资金配额功能，修改企业项目资金配额，设置告警联系人等。 查询企业项目资金配额 bss:enterpriseProjectFundQuota:view 查询企业项目资金配额的设置信息。 修改企业项目群 bss:enterpriseProjectGroup:update 企业项目群创建、修改、删除。 查看企业项目群 bss:enterpriseProjectGroup:view 查看企业项目群。 管理项目组（即将下线） bss:projectGroup:update 新建项目组，查看项目组详情。 修改企业项目资金配额财务 bss:enterpriseProjectFundQuotaFinance:update 修改企业项目配额大小。 查询企业项目资金配额财务 bss:enterpriseProjectFundQuotaFinance:view 查看企业项目资金配额调整记录。 开通企业项目功能 bss:enterpriseProjectFunction:update 开通企业项目功能。 查看企业组织预算 bss:enterpriseOrganizationBudget:view 查看企业组织、账号预算的详细信息。 操作企业组织预算 bss:enterpriseOrganizationBudget:update 设置企业组织、账号预算。 父主题： 策略和授权项说明

支持的授权项 策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应，授权项列表说明如下： 权限：允许或拒绝某项操作。 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。 授权范围：自定义策略的授权范围，包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目，表示此授权项对应的自定义策略，可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目，不支持企业项目，表示仅能在IAM中给用户组授权并生效，如果在企业管理中授权，则该自定义策略不生效。关于IAM项目与企业项目的区别，详情请参见：IAM与企业项目的区别。 对应API接口：自定义策略实际调用的API接口。

系统限制 在企业管理中组织数、组织策略数、企业项目数等有一定的限制，各限制项默认的最大值如表3所示。 如果下面的系统限制无法满足您的使用场景诉求，请将此问题反馈给您的客户经理。 表3 限制说明 限制项 最大值 说明 企业主账号关联企业子账号数 32 企业主账号默认可关联企业子账号的数量。 组织层数 5 最多支持创建的组织层级数，例如：主账号\组织1\组织2\组织3\组织4\组织5。 组织数 100 最多支持创建的组织数量。 组织策略数 10 组织最多支持配置的组织策略数量。 企业项目群层数 1 一个账号下最多支持创建的项目群层级数，例如：账号\项目群1。 企业项目群数 100 一个账号下最多支持创建的企业项目群数量。 企业项目数 100 一个账号下最多支持创建的企业项目数量。 企业项目关联用户组数 10 一个账号下企业项目最多支持关联的用户组数量。 用户组数 10 一个账号下最多支持创建的用户组数量。 用户数 50 一个账号下最多支持创建的用户数量。

按组织架构+业务项目划分场景 企业可以根据组织架构，按组织划分企业项目，且子账号之间资源隔离，网络互不相通。 客户场景：某集团公司下面有两个子公司（子公司A和子公司B），每个子公司分别有3个部门，要求按部门实现人员、资源和财务的独立管理。 解决方案： 该集团公司先 注册华为账号 并开通华为云，开通企业项目功能和企业主账号功能； 将子公司A和子公司B分别作为华为云子账号A和华为云子账号B，与企业主账号关联，并同时开通企业项目功能； 将子公司下的部门作为单独的企业项目进行管理：企业项目A1、企业项目A2、企业项目A3，企业项目B1、企业项目B2、企业项目B3； 分别为每个企业项目设置管理访问权限（用户组和用户）； 按企业项目管理所拥有的资源：迁入/迁出资源； 每个企业项目之间财务管理相互独立。 此场景中，企业架构示意图如图3所示，华为云对应的解决方案示意图如图4所示。 图3 企业架构示意图 图4 华为云解决方案示意图

按业务项目划分场景 企业中有多个项目，多个项目之间相互独立，资源分开结算，且分属不同的人员进行管理。 客户场景：某游戏公司上线A、B、C三款游戏，每款游戏实现人员、资源和财务的独立管理。 解决方案： 该游戏公司先注册华为云账号，并开通企业项目功能； 将这3款游戏作为单独的企业项目进行管理：企业项目A、企业项目B、企业项目C； 为这3个企业项目设置管理访问权限（用户组和用户）； 按企业项目管理所拥有的资源：迁入/迁出资源； 每个企业项目之间财务管理相互独立。 此场景中，企业架构示意图如图1所示，华为云对应的解决方案示意图如图2所示。 图1 企业架构示意图 图2 华为云解决方案示意图