华为云用户手册

解绑标签策略 方式一： 以组织管理员或管理账号的身份登录华为云，进入华为云Organizations控制台，进入组织管理页面。 选中要解绑标签策略的OU或者账号。 在右侧详情页，选策略页签，展开“标签策略”列表，在列表中单击要解绑的标签策略操作列的“解绑”。 图3 解绑标签策略 在弹窗中单击“解绑”，完成策略解绑。 方式二： 在Organizations控制台，进入策略管理页。 单击“标签策略”，进入标签策略列表。 单击标签策略的名称，选择“目标”页签。 单击需要解绑的OU或账号操作列的“解绑”。 单击“确定”，完成策略解绑。 图4 解绑标签策略

绑定标签策略 方式一： 以组织管理员或管理账号的身份登录华为云，进入华为云Organizations控制台，进入组织管理页面。 选中要绑定标签策略的OU或者账号。 在右侧详情页，选择策略页签。展开“标签策略”列表，单击列表上方的“绑定”。 在弹窗中选择要添加的策略后，单击“确定”，完成策略绑定。 图1 绑定标签策略 方式二： 在Organizations控制台，进入策略管理页。 单击“标签策略”，进入标签策略列表。 单击标签策略操作列的“绑定”，选中要绑定标签策略的OU或者账号。 单击“确定”，完成策略绑定。 图2 绑定标签策略

修改标签策略 以组织管理员或管理账号的身份登录管理控制台，进入Organizations控制台。 进入策略管理页，单击“标签策略”，进入标签策略列表。 单击标签策略操作列的“编辑”，进入编辑标签策略页面。 图1 编辑标签策略 可根据需要修改“策略名称”和“策略描述”。 按需修改策略内容。可通过“可视化编辑器”和“JSON”两种方式进行修改。 单击右下角“保存”后，如跳转到标签策略列表，则标签策略修改成功。

操作步骤 以组织管理员或管理账号的身份登录管理控制台，进入Organizations控制台。 进入策略管理页，单击“标签策略”，进入标签策略页面。 图1 进入标签策略管理页 单击“创建”，进入创建标签策略页面。 编辑策略名称。系统会自动生成策略名称，您可根据需要自行修改。但请注意，新创建策略的名称不能与已有策略名称重复。 （可选）输入策略描述。 编辑策略内容，目前支持通过“可视化编辑器”和“JSON”两种方式进行编辑。 可视化编辑器：通过可视化编辑器编辑策略内容，无需了解JSON语法，编辑完成后可自动生成策略。具体步骤如下： 输入标签策略定义的标签的键。 指定标签键的大小写形式。 勾选此项则表示使用标签键的大小写形式进行校验，如不勾选则表示使用标签键的全小写形式，即便标签键有大写也会使用全部小写进行校验。例如标签键为CostCenter，勾选此项后，后续检验规则以CostCenter为准；不勾选此项，则后续校验规则以costcenter为准。 指定标签键的允许值。 勾选此项后单击“添加值”，为标签键指定的一个或多个允许值，表示此标签键仅允许使用此处指定的值，否则为不合规。如不勾选此项或勾选后未添加标签值，则此标签键使用任何值（包括没有值）都将视为合规。 图2 添加标签键的允许值 指定执行标签策略检查的资源类型。 勾选此项后单击“添加资源类型”，在弹窗中阅读并勾选确认标签策略存在的风险说明，然后选择资源类型，单击“确定”。 如未指定任何服务和资源类型，则此标签策略不会对任何资源生效。 图3 指定策略生效的资源类型 单击“添加标签键”，可在策略内容中添加多个标签键用于标签策略检查。 JSON：通过JSON语法编辑策略内容，根据标签策略语法，在JSON编辑框内编写JSON格式的策略内容。编辑时系统会自动校验语法。如不正确，请根据提示进行修正。 图4 使用JSON编辑策略 （可选）为策略添加标签。在标签栏目下，输入标签键和标签值，单击“添加”。 图5 添加标签 单击右下角的“保存”后，如跳转到标签策略列表，则标签策略创建成功。

继承运算符 在标签策略样例中，标签键，标签值和强制执行中使用了"@@assign"标识，该标识即为继承运算符。 继承运算符指定标签策略如何与组织树中的其他标签策略合并，以创建账号的有效标签策略。运算符包括值设置运算符和子控制运算符。 值设置运算符 您可以使用以下值设置运算符来控制策略与其父策略交互的方式： 表1 值设置运算符 运算符 说明 @@assign 用指定设置覆盖任何继承的策略设置。如果未继承指定的设置，则此运算符会将该设置添加到有效策略中。此运算符可以应用于任何类型的任何策略设置。 对于单值设置，此运算符将继承的值替换为指定值。 对于多值设置（JSON数组），此运算符将删除所有继承的值，并将其替换为此策略指定的值。 @@append 向继承的设置添加指定的设置（而不删除任何设置）。如果未继承指定的设置，则此运算符会将该设置添加到有效策略中。只能将此运算符用于多值设置。 此运算符将指定的值添加到继承数组中的任何值。 @@remove 从有效策略中删除指定的继承设置（如果存在）。只能将此运算符用于多值设置。 此运算符仅从继承自父策略的值数组中删除指定值。其他值可以继续存在于数组中，并且可由子策略继承。 子控制运算符 默认情况下，允许所有运算符 (@@all)。 "@@operators_allowed_for_child_policies":["@@all"]表示：子OU和账号可以在策略中使用任何运算符。默认情况下，子策略中允许使用所有运算符。 "@@operators_allowed_for_child_policies":["@@assign", "@@append", "@@remove"]表示：子OU和账号只能在子策略中使用指定的运算符。您可以在此子控制运算符中指定一个或多个值设置运算符。 "@@operators_allowed_for_child_policies":["@@none"]表示：子OU和账号不能在策略中使用运算符。可以使用此运算符有效锁定在父策略中定义的值，以使子策略无法添加、追加或删除这些值。

标签策略简介 标签策略是策略的一种类型，可帮助您在组织账号中对资源添加的标签进行标准化管理。在标签策略中，您可以限定为资源添加的标签必须符合规范。标签策略对未添加标签的资源或未在标签策略中定义的标签不会生效。 例如：标签策略规定为某资源添加的标签A，需要遵循标签策略中定义的大小写规则和标签值。若标签A使用的大小写、标签值不符合标签策略，则资源将会被标记为不合规。 标签策略当前的应用方式为事前拦截：标签策略开启强制执行后，则会阻止在指定的资源类型上完成不合规的标记操作。 标签策略可以绑定到组织的根、OU和账号。当绑定到根和OU时，所有子OU和子账号都继承该标签策略。账号继承的所有标签策略和直接绑定到账户上的所有标签策略，根据继承运算符最终聚合为有效标签策略。

概述 服务控制策略 (Service Control Policy，SCP) 是一种基于组织的访问控制策略。组织管理账号可以使用SCP指定组织中成员账号的权限边界，限制账号内用户的操作。SCP可以关联到组织、OU和成员账号。当SCP关联到组织或OU时，该组织或OU下所有账号均受该策略影响。 本节将从以下几方面为您介绍SCP： SCP原理介绍：介绍SCP的分类，作用原理，继承规则，与 IAM 策略的关系。 SCP语法介绍：介绍SCP的组成结构与策略参数。

测试SCP的影响 针对SCP对账号的影响，强烈建议您在生产环境应用SCP前，使用测试账号、测试环境、测试用例开展充分且彻底的系统设计和系统测试，避免对生产环境中服务资源的使用产生不必要的影响。在测试环境充分验证之后，且需要在生产环境应用时，您可以先创建一个OU，并每次移入一个账号或少量账号，以确保不会意外中断服务资源的使用。 对于系统预置的SCP系统策略“FullAccess”，解绑操作需谨慎处理，除非您将其替换为具有允许操作的自定义策略，否则不应解绑该策略。当您确定需要解绑“FullAccess”并且配置具有允许操作的自定义策略时，除配置业务需要的授权项外，必须额外配置iamToken::*和signin::*。 如果解绑Root的“FullAccess”策略，则整个组织内所有账号的可操作性权限都将失效。此操作风险极高，需谨慎操作。 如果解绑OU的“FullAccess”策略，则该OU（包含下级OU）内账号的可操作权限都将失效。 如果解绑成员账号的“FullAccess”策略，则该账号的可操作权限将失效。

不受SCP限制的任务 您无法使用SCP来限制以下任务： 组织管理账号及其IAM用户执行的任何操作。 使用服务关联委托执行的任何操作。 由不支持SCP的云服务对支持SCP的云服务发起的API调用请求，将不受SCP限制。当前支持SCP的云服务和区域请参见：支持SCP的云服务和支持SCP的区域。 通过API方式 获取Token 后，使用该Token访问支持SCP的云服务的API，在大多数场景下将不受SCP限制。 华为云移动端APP版本低于v3.30.0，将不受SCP限制。

管理与监管 序号 服务名称 相关文档 1 消息通知 服务（ SMN ） 消息通知服务 SMN 2 云日志 服务（LTS） 云日志服务 LTS 3 统一身份认证 （IAM） 统一身份认证 IAM 4 安全令牌服务（STS） 安全令牌服务 STS 5 资源编排 服务（ RFS ） 资源编排服务 RFS 6 IAM身份中心（IdentityCenter） IAM身份中心 7 组织（Organizations） 组织 Organizations 8 资源访问管理 （ RAM ） 资源访问管理 RAM 9 企业项目管理服务 （EPS） 企业项目管理 EPS 10 标签管理服务（TMS） 标签管理服务 TMS 11 配置审计 （Config）（原 资源管理服务 RMS ） 配置审计 Config 12 访问分析（AccessAnalyzer） 访问分析 IAM Access Analyzer 13 云审计 服务（ CTS ） 云审计服务 CTS 14 资源治理中心（RGC） 资源治理中心 RGC 15 应用运维管理 （ AOM ） 应用运维管理 AOM 16 云监控服务 （ CES ） 云监控 服务 CES

开发与运维 序号 服务名称 相关文档 1 应用管理与运维平台（Servicestage） 应用管理与运维平台 ServiceStage 2 软件开发生产线（CodeArts） 软件开发生产线 CodeArts 3 流水线（CodeArts Pipeline） 流水线 Codearts Pipeline 4 开源治理服务 CodeArts Governance 开源治理服务 CodeArts Governance 5 性能测试 CodeArts PerfTest 性能测试 CodeArts PerfTest

网络 序号 服务名称 相关文档 1 虚拟私有云（VPC） 虚拟私有云 VPC 2 弹性公网IP（EIP） 弹性公网IP EIP 3 NAT网关（NAT） NAT网关 NAT 4 弹性负载均衡（ELB） 弹性负载均衡 ELB 5 VPC终端节点 （VPCEP） VPC终端节点 VPCEP 6 云专线（DC） 云专线 DC 7 企业路由器（ER） 企业路由器 ER 8 全球加速服务（GA） 全球加速服务 GA 9 云连接（CC） 云连接 CC

安全与合规 序号 服务名称 相关文档 1 原生基础防护（Anti-DDoS） 原生基础防护 Anti-DDoS 2 DDoS原生高级防护（CNAD） 原生高级防护 CNAD 3 DDoS高防（AAD） DDoS高防 AAD 4 数据加密 服务（DEW），包含如下微服务： 密钥管理服务（KMS） 云凭据管理服务（ CS MS） 密钥对管理服务（KPS） 专属加密（DHSM） 数据加密服务 DEW 5 主机安全服务（HSS） 主机安全服务 HSS 6 安全云脑 （SecMaster） 安全云脑 SecMaster 7 云防火墙 （CFW） 云防火墙 CFW 8 数据安全中心 （DSC） 数据安全中心 DSC 9 私有证书管理服务（PCA） 私有证书管理服务 PCA 10 SSL证书管理服务（SCM） SSL证书管理服务 SCM 11 云堡垒机 （CBH） 云 堡垒机 CBH 12 数据库安全服务（DBSS） 数据库安全服务 DBSS 13 Web应用防火墙 （WAF） Web应用防火墙 WAF

使用限制 单账号跟踪的事件可以通过云审计控制台查询。多账号的事件只能在账号自己的事件列表页面去查看，或者到组织追踪器配置的OBS桶中查看，也可以到组织追踪器配置的CTS/system日志流下面去查看。 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录，您必须配置转储到 对象存储服务 （OBS）或云日志服务（LTS），才可在OBS桶或LTS日志组里面查看历史事件信息。否则，您将无法追溯7天以前的操作记录。 云上操作后，1分钟内可以通过云审计控制台查询管理类事件操作记录，5分钟后才可通过云审计控制台查询数据类事件操作记录。 CTS新版事件列表不显示数据类审计事件，您需要在旧版事件列表查看数据类审计事件。 云审计控制台对用户的操作事件日志保留7天，过期自动删除，不支持人工删除。

支持审计的关键操作 通过云审计服务，您可以记录与组织云服务相关的操作事件，便于日后的查询、审计和回溯。 表1 云审计支持的Organizations操作列表 操作名称 资源类型 事件名称 创建组织 Organization createOrganization 关闭组织 Organization celeteOrganization 退出组织 Organization leaveOrganization 创建组织单元 OrganizationUnit createOrganizationalUnit 修改组织单元 OrganizationUnit updateOrganizationalUnit 删除组织单元 OrganizationUnit deleteOrganizationalUnit 邀请账号 Account inviteAccount 创建账号 Account createAccount 关闭账号 Account closeAccount 更新账号 Account updateAccount 移动账号 Account moveAccount 移除账号 Account removeAccount 接受邀请 Handshake acceptHandshake 拒绝邀请 Handshake declineHandshake 取消邀请 Handshake cancelHandshake 启用可信服务 TrustedService enableTrustedService 禁用可信服务 TrustedService disableTrustedService 设置委托管理员 DelegatedAdministrator registerDelegatedAdministrator 取消委托管理员 DelegatedAdministrator deregisterDelegatedAdministrator 创建策略 Policy createPolicy 修改策略 Policy updatePolicy 删除策略 Policy deletePolicy 启用策略类型 Policy enablePolicyType 禁用策略类型 Policy disablePolicyType 绑定策略 Policy attachPolicy 解绑策略 Policy detachPolicy 添加标签 Account OrganizationUnit Policy Root Tag tagResource 删除标签 Account OrganizationUnit Policy Root Tag untagResource 父主题： 使用CTS审计组织操作事件

操作步骤 为SCP自定义策略和标签策略添加标签的方法类似，以SCP为例，说明添加标签的方法。 以组织管理员或管理账号的身份登录管理控制台，进入Organizations控制台。 进入策略管理页，单击“服务控制策略”，进入SCP管理页。 在列表中单击自定义策略的名称，进入策略详情页。 选择“标签”页签，单击“添加”。 在弹窗中输入标签键和标签值， 单击“添加”，然后单击“确定”，完成标签添加。 在标签键和标签值的输入框的下拉列表中，可直接选择在TMS创建的预定义标签，具体请参见创建预定义标签。 图1 添加标签

标签简介 标签用于标识云资源，可通过标签实现对云资源的分类和搜索。您可以向以下组织资源添加标签： 组织的根 组织单元（Organizational Unit，以下简称OU） 账号 服务控制策略（Service Control Policy，以下简称SCP） 标签策略 您可以在以下时间添加标签： 在创建OU、账号、SCP和标签策略时，可以添加标签。 根、OU、账号、SCP和标签策略创建完成后，可以在各自的详情页面添加、修改、查看、删除标签。

标签的使用约束 每个标签由“标签键”和“标签值”组成，“标签键”和“标签值”的命名规则如下： “标签键”： 不能为空。 长度为1~128个字符。 由英文字母、数字、下划线、中划线、UNICODE字符（\u4E00-\u9FFF）组成。 “标签值”： 可以为空。 长度为1~225个字符。 由英文字母、数字、下划线、点、中划线、UNICODE字符（\u4E00-\u9FFF）组成。 每个云资源最多可以添加20个标签。 对于每个云资源，每个“标签键”都必须是唯一的，每个“标签键”只能有一个“标签值”。 本章将为您介绍如下内容： 添加标签，为已有的OU、账号、SCP和标签策略添加标签。 修改标签，修改OU、账号、SCP和标签策略的标签键值。 查看标签，查看OU、账号、SCP和标签策略的标签。 删除标签，删除OU、账号、SCP和标签策略的标签。

已对接组织的可信服务 以组织管理员或管理账号的身份登录华为云，进入华为云Organizations控制台，进入可信服务页，即可查看可信服务列表。 下表列出了可与华为云Organizations一起使用的云服务。 表1 已对接组织的可信服务列表 服务名称 功能简介 是否支持委托管理员 最大委托管理员支持数量 相关文档 配置审计（Config） 配置审计服务支持基于组织创建合规规则、合规规则包、资源聚合器等功能，组织管理员或Config服务的委托管理员可以统一进行配置并直接作用于组织内账号状态为“正常”的成员账号中。 是 无限制 组织合规规则 组织合规规则包 资源聚合器 资源访问管理（RAM） 资源访问管理服务支持基于组织共享资源能力，当您的账号由组织管理时，您可以与组织内的所有账号共享资源，组织内账号无需接受邀请即可使用共享资源。 是 无限制 启用与组织共享资源 云审计（CTS） 云审计服务支持基于组织配置组织追踪器功能，组织管理员或CTS服务的委托管理员可以配置组织追踪器作用于整个组织，实现多账号安全审计等云审计能力。 是 无限制 组织追踪器 应用运维管理服务（AOM） 应用运维管理服务提供多账号聚合类型Prometheus实例的创建功能。 当同组织下多个成员账号均已接入云服务指标时，组织管理员或AOM服务的委托管理员可以通过该功能统一监控同一组织下多个成员账号的云服务指标。 是 无限制 Prometheus实例 for 多账号聚合实例 云备份服务（CBR） 云备份服务支持基于组织的统一策略管理能力，组织管理员或CBR服务的委托管理员可以通过创建组织备份策略和组织复制策略，为组织内成员账号统一设置备份策略和复制策略。 是 无限制 组织策略管理 云监控服务（CES） 云监控服务支持基于组织跨账号查看我的看板功能，组织管理员或CES服务的委托管理员可以查看其组织下所有账号的看板。 是 无限制 跨账号查看我的看板 云防火墙服务（CFW） 云防火墙服务具备安全可靠的跨账号数据汇聚和资源访问能力，组织管理员或CFW服务的委托管理员可以对组织内所有成员账号的EIP进行统一的资产防护。 是 无限制 多账号管理 数据安全中心（DSC） 数据安全中心服务具备安全可靠的跨账号数据汇聚和资源访问能力，组织管理员或DSC服务的委托管理员可以对组织内所有成员账号进行统一的数据安全防护，而无需登录每个成员账号。 是 无限制 多账号管理 企业主机安全 服务（HSS） 主机安全服务具备安全可靠的跨账号数据汇聚和资源访问能力，组织管理员或HSS服务的委托管理员可以对组织内所有成员账号进行统一的工作负载安全防护。 是 无限制 账号管理 IAM身份中心（IdentityCenter） IAM身份中心为用户提供基于组织的多账号统一身份管理与访问控制。可以统一管理企业中使用华为云的用户，一次性配置企业的身份管理系统与华为云的单点登录，以及所有用户对组织下账号状态为“正常”的账号的访问权限。 是 无限制 什么是IAM身份中心 云日志服务（LTS） 云日志服务联合组织服务推出多账号日志汇聚中心，组织管理员或LTS服务的委托管理员可以在LTS将组织下指定账号的日志流复制到自己的账号中，实现多账号日志的集中存储和分析，满足安全合规、集中分析等不同场景下的诉求。 是 无限制 多账号日志汇聚中心 安全云脑（SecMaster） 安全云脑支持基于组织的多账号空间托管能力，组织管理员或安全云脑服务的委托管理员创建空间托管时，可以选择组织下的一个或多个账号进行托管。 是 无限制 创建托管 访问分析（AccessAnalyzer） 访问分析提供组织级的访问分析功能，组织管理员或委托管理员可以在组织内创建和管理访问分析器，用于识别组织内与外部共享的资源等。 是 1 暂无 云运维中心 （COC） 云运维中心基于组织的跨账号能力，支持组织管理员或服务委托管理员在云运维中心查看其组织内成员的运维态势和资源情况，并支持对资源进行跨账号的作业任务执行。 是 1 跨账号运维态势感知 跨账号资源管理 父主题： 可信服务管理

服务关联委托 Organizations使用IAM服务的委托信任功能，使可信服务能够在您组织的成员账号中代表您执行任务。当您启用某个服务为可信服务时，该服务可以请求Organizations在其成员账号中创建服务关联委托，可信服务按需异步执行此操作。此服务关联委托具有预定义的IAM权限，允许可信服务在成员账号中拥有执行可信服务文档中所述任务的权限，相当于云服务能力在多账号组织场景下的拓展。当前支持的可信服务及其功能简介请参见：已对接组织的可信服务。 当您在组织中创建账号或邀请现有账号加入组织时，Organizations会在成员账号内创建服务关联委托，该委托是云服务委托，委托权限为“OrganizationsServiceLinkedAgencyPolicy”系统权限，授权范围为所有资源。仅Organizations服务本身可以承担此委托，该委托具有允许Organizations为其他云服务创建服务关联委托的权限。 Organizations的SCP不会影响服务关联委托，使用服务关联委托执行的任何操作将免受SCP限制。

什么是可信服务 可信服务是指可与Organizations服务集成，提供组织级相关能力的华为云服务。管理账号可以在组织中开启某个云服务为可信服务。成为可信服务后，云服务可以获取组织中的组织单元及成员账号信息，并基于此信息提供组织级的管理能力。例如，开启CTS云审计为可信服务后，CTS可以获取组织单元及成员账号信息，统一为整个组织提供云审计服务，记录组织中所有账号的操作。能与组织搭配使用的云服务列表参见：已对接组织的云服务列表。

绑定SCP 方式一： 以组织管理员或管理账号的身份登录华为云，进入华为云Organizations控制台，进入组织管理页面。 选中要绑定SCP的OU或者账号。 在右侧详情页，选择策略页签，展开“服务控制策略”列表，单击列表上方的“绑定”。 图1 绑定SCP 在弹窗中选择要添加的策略后，在文本框中输入“确认”，然后单击“绑定”，完成策略绑定。 方式二： 在Organizations控制台，进入策略管理页。 单击“服务控制策略策略”，进入SCP策略列表页。 单击SCP策略操作列的“绑定”，选中要绑定SCP策略的OU或者账号。 在弹窗中输入“确认”，单击“确定”，完成策略绑定。 图2 绑定SCP

解绑SCP 方法一： 以组织管理员或管理账号的身份登录华为云，进入华为云Organizations控制台，进入组织管理页面。 选中要解绑SCP的OU或者账号。 在右侧详情页，选策略页签，展开“服务控制策略”列表，在列表单击要解绑的SCP操作列的“解绑”。 在弹窗中输入“确认”，单击“确定”，完成策略解绑。 图3 解绑SCP OU和账号至少直接绑定一个SCP，最后一个直接绑定策略，不可解绑。 方式二： 在Organizations控制台，进入策略管理页。 单击“服务控制策略策略”，进入SCP策略列表页。 单击SCP策略的名称，选择“目标”页签。 单击需要解绑的OU或账号操作列的“解绑”。 图4 解绑SCP 在弹窗中输入“确认”，单击“确定”，完成策略解绑。 图5 解绑SCP

修改SCP 以组织管理员或管理账号的身份登录管理控制台，进入Organizations控制台。 进入策略管理页，单击“服务控制策略”，进入SCP管理页。 单击自定义SCP操作列的“编辑”，在弹窗中输入“确认”，单击“确定”。 图1 修改SCP 进入编辑策略页面，按需修改“策略名称”和“策略描述”，如图2所示。 图2 修改SCP 按需修改策略内容。可使用语句编辑器进行修改，策略语法请参考SCP语法介绍。 单击右下角“保存”后，系统会自动校验语法，如跳转到策略列表，则SCP编辑成功；如系统提示策略内容有误，则请按照语法规范进行修改。

操作步骤 以组织管理员或管理账号的身份登录管理控制台，进入Organizations控制台。 进入策略管理页，单击“服务控制策略”，进入SCP管理页。 图1 进入SCP管理页 单击“创建”，进入SCP创建页面。 图2 创建SCP 输入策略名称。新创建的策略名称不能与已有策略名称重复。 （可选）输入策略描述。 在策略内容左侧可以直接编写JSON格式的策略内容。 关于如何编写JSON格式的策略语句可参考SCP语法介绍和SCP示例。 自定义策略版本号（Version）固定为5.0，不可修改。 当作用（Effect）为Allow时，不能有Condition元素，即无法添加条件键。 将光标置于策略内容左侧的statement语句中，即可在策略内容右侧使用策略编辑器进行编辑自定义策略的操作、资源和条件。 添加操作：单击号，选择或搜索要添加的服务及相应操作项，添加成功的操作项会自动显示在策略内容左侧的Action元素下。如图3所示。 图3 添加操作 添加资源：仅支持资源级授权的服务可添加。单击号，选择操作对应的服务，在选择资源类型，根据实际情况填写URN。如图4所示。 图4 添加资源 添加条件（可选）：单击号，添加条件键和运算符，规定策略生效的条件。如图5所示。 图5 添加条件 （可选）单击“添加新语句”，可添加Statement元素的对象。 Statement元素的值可以是多个对象组成的数组，表示不同的权限约束。 图6 添加新语句 （可选）为策略添加标签。在标签栏目下，输入标签键和标签值，单击“添加”。 图7 为SCP添加标签 单击右下角“保存”后，系统会自动校验语法，如跳转到策略列表，则SCP创建成功；如系统提示策略内容有误，则请按照语法规范进行修改。

启用SCP 在创建SCP并将其附加到组织单元和账号之前，必须先启用SCP，且只能使用组织的管理账号启用SCP。启用SCP后，组织将自动给所有OU和账号绑定FullAccess策略，默认允许所有操作。 以组织管理员或管理账号的身份登录管理控制台，进入Organizations控制台。 进入策略管理页，单击“服务控制策略”操作列的“启用”。 在弹窗中勾选确认框，然后单击“确定”，完成SCP功能启用。 图1 启用SCP

禁用SCP 如果您不想再使用SCP管理组织权限，可以禁用SCP，且只能使用组织的管理账号禁用SCP。 禁用SCP后，所有SCP会自动从组织中的所有实体解绑，包括所有OU和账号，但是策略本身不会被删除。 若禁用SCP后再重新启用SCP，则组织中的所有实体将恢复到只绑定FullAccess的状态。实体与其他SCP的绑定关系将丢失，如需恢复则需要用户重新绑定。 以组织管理员或管理账号的身份登录管理控制台，进入Organizations控制台。 进入策略管理页，单击“服务控制策略”操作列的“禁用”。 图2 禁用SCP 在弹窗中单击“确定”，完成SCP功能禁用。

策略参数 策略参数包含Version和Statement两部分，下面介绍策略参数详细说明。 表1 策略参数说明 参数 是否必选 含义 值 Version 必选 策略的版本。 5.0（不可自定义） Statement： 策略的授权语句 Statement Sid 可选 策略语句标识符。您可为语句数组中的每个策略语句指定Sid值。 用户自定义字符串。 Effect：作用 必选 定义Action中的操作权限是否允许执行。 Allow：允许执行。 Deny：不允许执行。 说明： 当同一个Action的Effect既有Allow又有Deny时，遵循Deny优先的原则。 当Effect为Allow时，不能有Condition元素。 Action：授权项 Allow时必选。 Deny时与NotAction二选一。 操作权限。 格式为“服务名:资源类型:操作”。授权项支持通配符号*，通配符号*表示所有。 参数中的通配符*和?只能单独使用或放在字符串结尾处。它不能出现在字符串的开头或中间部分。 例如“vpc:subnets:list”：表示查看VPC子网列表权限，其中vpc为服务名，subnets为资源类型，list为操作。 NotAction Allow时不可选。 Deny时与Action二选一。 Deny时，NotAction列出的操作或服务不受当前策略影响，即除了NotAction列表中的操作之外，其他操作deny。 格式同Action。 Condition：条件 Allow时不可选。 使策略生效的特定条件，包括条件键和运算符。 格式为“条件运算符:{条件键：[条件值1,条件值2]}”。 如果您设置多个条件，同时满足所有条件时，该策略才生效。 示例: "StringEndWithIfExists":{"g:UserName":["specialCharactor"]}：表示当用户输入的用户名以"specialCharactor"结尾时该条statement生效。 Resource：资源类型 可选 未指定时，Resource默认为“*”，策略应用到所有资源。 策略所作用的资源。 Allow时，只能为“*”。 Deny时，可选择“*”或具体资源，格式为“服务名:region:domainId:资源类型:资源路径”, 资源类型支持通配符号*，通配符号*表示所有。 示例："ecs:*:*:instance:*"：表示所有的ECS实例。 SCP中不支持以下元素： Principal NotPrincipal NotResource

运算符 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，策略才能生效。运算符可以增加后缀“IfExists”，表示对应请求值为空或满足条件的请求值均使策略生效，如“StringEqualsIfExists”表示请求值为空或请求值等于条件值均使策略生效。运算符为字符串型运算符，表格中如未增加说明，不区分大小写。 String类型 表3 String类型运算符 类型 运算符 说明 String StringEquals 请求值与任意一个条件值相同（区分大小写）。 StringNotEquals 请求值与所有条件值都不同（区分大小写）。 StringEqualsIgnoreCase 请求值与任意一个条件值相同。 StringNotEqualsIgnoreCase 请求值与所有条件值都不同。 StringMatch 请求值符合任意一个条件值的正则表达式（区分大小写，正则表达式仅支持*和?）。 StringNotMatch 请求值不符合所有条件值的正则表达式（区分大小写，正则表达式仅支持*和?）。 示例：禁止用户名为ZhangSan的请求者删除和修改资源共享实例。 { "Version": "5.0", "Statement": [ { "Effect": "Deny", "Action": [ "ram:resourceShares:delete", "ram:resourceShares:update" ], "Condition": { "StringEquals": { "g:DomainName": [ "ZhangSan" ] } } } ] } Number类型 表4 Number类型运算符 类型 运算符 说明 Number NumberEquals 请求值等于任意一个条件值。 NumberNotEquals 请求值不等于所有条件值。 NumberLessThan 请求值小于任意一个条件值。 NumberLessThanEquals 请求值小于或等于任意一个条件值。 NumberGreaterThan 请求值大于任意一个条件值。 NumberGreaterThanEquals 请求值大于或等于任意一个条件值。 Date类型 表5 Date类型运算符 类型 运算符 说明 Date DateLessThan 请求值早于任意一个条件值。 DateLessThanEquals 请求值早于或等于任意一个条件值。 DateGreaterThan 请求值晚于任意一个条件值。 DateGreaterThanEquals 请求值晚于或等于任意一个条件值。 示例：请求者禁止在2022年8月1日前访问RAM服务。 { "Version": "5.0", "Statement": [ { "Effect": "Deny", "Action": [ "ram:*:*" ], "Condition": { "DateLessThan": { "g:CurrentTime": [ "2022-08-01T00:00:00Z" ] } } } ] } Bool类型 表6 Bool类型运算符 类型 运算符 说明 Bool Bool 条件值可选值：true、false。请求值等于条件值。 Null类型 表7 Null类型运算符 类型 运算符 说明 Null Null 条件值可选值：true、false。条件值为true，要求请求值不存在或者值为null；条件值为false，要求请求值必须存在且值不为null。 IP类型 表8 IP类型运算符 类型 运算符 说明 IP IpAddress 指定IP地址或者IP范围。 NotIpAddress 指定IP地址或者IP范围之外的所有IP地址。 示例：拒绝IP地址在10.27.128.0到10.27.128.255范围内的请求修改指定的永久访问密钥。 { "Version": "5.0", "Statement": [ { "Effect": "Deny", "Action": [ "iam:credentials:updateCredentialV5" ], "Condition": { "IpAddress": { "g:SourceIp": [ "10.27.128.0/24" ] } } } ] } “IfExists”运算符后缀 除Null运算符以外，您可以在任何条件运算符名称的末尾添加IfExists，例如：StringEqualsIfExists。如果请求的内容中存在条件键，则依照策略所述来进行匹配。如果该键不存在，则该条件元素的匹配结果将为true。

权限控制原理 划定权限边界 SCP不直接进行授权，只划定权限边界。将SCP绑定到组织单元或者成员账号时，并没有直接对组织单元或成员账号授予操作权限，而是规定了成员账号或组织单元包含的成员账号的授权范围。IAM策略授予权限的有效性受SCP限制，只有在SCP允许范围内的权限才能生效。SCP禁止的权限操作，即便授予IAM用户权限，用户也不能执行相关操作。 比如成员账号A绑定了某一条SCP，SCP允许操作A的权限，拒绝操作B的权限。那么成员账号A可以给自己名下的IAM用户授予操作A的权限，不能授予操作B的权限，即便授予了操作B的权限，也无法生效。 交集有效 权限边界的叠加遵从交集有效准则，父OU的SCP与子OU（或账号）的SCP共同允许的权限，作为子OU的最终权限边界。 如下图所示，左侧的椭圆表示附加到父OU的SCP，它允许权限A、B和C。右侧椭圆表示子OU（或账号）绑定SCP允许的权限，子OU（或账号）允许权限C、D和E。由于附加到父OU的SCP不允许D或E，因此父OU下的所有子OU和账号都不能使用它们，即使子OU的SCP明确允许D和E，它们最终仍然会被父OU的SCP阻止。子OU（或账号）的SCP不允许A或B，因此， 子OU（或账号）将阻止这些权限。最终，子OU的权限是父OU权限和子OU（或账号）绑定SCP的权限交集，即下图中的权限C。 如果椭圆右侧是一个成员账号，则交集是授予该账号中的用户和用户组的最大权限集合。如果椭圆右侧是OU，则交集是该子OU可继承的最大权限集合。 图1 SCP原理图 筛选继承 组织单元或账号绑定的SCP包括两部分，直接绑定的策略和继承的策略。某组织单元绑定的SCP，会继承给该组织单元下的所有子级OU和账号。账号和组织单元的权限边界，由所有上级OU的SCP和自身直接绑定的SCP共同决定。如下图所示，Account y隶属于OU3，Account y的权限边界是由继承自Root，OU1和OU3的SCP与Account y绑定的SCP共同决定。 图2 SCP继承规则 如果要在成员账号级别允许使用某个云服务的操作，则必须在账号和根组织单元之间的每个层级上允许该操作。这意味着，必须在根组织单元和账号之间的每个层级，附加允许该操作的SCP。您可以使用下列任一策略执行此操作： 添加拒绝策略。拒绝策略会使用默认附加到每个OU和账号上的FullAccess SCP。此SCP将覆盖默认的隐式Deny，并明确允许所有权限从根组织单元传递到每个账号，除非创建并附加到相应OU或账号的其他SCP明确了拒绝权限。策略中的显式Deny始终优先于Allow。具有拒绝策略的OU层级以下的任何账号都不能使用被拒绝的操作，也无法在组织结构中较低的层级中添加该权限。 添加允许策略。添加允许策略并删除默认附加到每个OU和账号的FullAccess SCP后，除非策略中明确允许，否则任何OU和账号都不允许任何操作权限。要允许使用某个云服务的操作，必须创建SCP并将它们附加到账号及其层级之上的每个OU，直至附加到根组织单元为止（包括根组织单元）。层次结构中的每个SCP（从根组织单元开始）必须明确允许在OU及其下面的账号中使用该操作。SCP中的显式Allow会覆盖隐式Deny。 拒绝优先 当组织单元和账号绑定多条SCP时，账号权限优先遵从拒绝语句。比如成员账号A同时绑定了两条SCP，分别是允许全部操作和禁止查看账单操作。此时执行查看账单操作，鉴权规则会优先遵从拒绝操作，即成员账号A不能查看账单。详细说明请参考显式拒绝和隐式拒绝的区别。 默认允许 组织启用SCP时，默认会为所有OU和账号附加全部权限（FullAccess策略），默认允许所有操作。除非您为OU或账号附加其他的明确拒绝策略。