华为云用户手册

LTS日志转储状态显示异常是什么原因？ 在 云日志服务LTS 控制台的“日志转储”页面，日志转储任务的状态显示异常，有可能是如下原因引起： 可能原因：OBS桶策略异常。 解决方法：请您在 对象存储服务 中设置访问控制策略。详细请参考配置桶策略。 可能原因：Kafka集群被删除。 解决方法：请您重新创建Kafka转储配置，详细请参考日志转储至DMS。 可能原因：Kafka的topic被删除。 解决方法：请您重新创建或指定Kafka的topic，详细请参考日志转储至DMS。 父主题： 日志转储

大数据组件日志采集场景 场景描述：有些用户会使用 MRS /Flink/Spark等大数据组件做数据处理，希望采集自定义的日志到LTS，但是不希望采集大数据组件的运行日志（对于业务分析价值小）。 使用建议： 日志采集方式：推荐用户使用JAVA SDK或者GO SDK上报日志。常见的大数据组件不太方便指定个性化的日志文件路径去只打印自己的业务日志，因此使用SDK上报日志是比较好的选择。 日志结构化解析方式：LTS支持iOS SDK、Android SDK、百度小程序SDK、微信小程序SDK等端侧SDK，使用端侧SDK上报的日志不支持云端结构化解析，因此建议您上报已经结构化的JSON格式日志。

容器应用日志场景 场景描述：适用于用户将应用系统部署在K8S集群上，使用LTS统一采集和搜索日志的场景。用户的应用系统一般由多个工作负载组成，每个工作负载至少部署2个实例。 使用建议： 日志采集方式： 建议使用采集器ICAgent采集日志，您可以使用CCE接入配置日志采集路径。不建议使用SDK、API上报日志。使用ICAgent的好处是与应用系统完全解耦，无侵入，无需更改代码，使用SDK/API等方式步骤相对复杂，如果代码编写不当容易对应用系统的稳定性造成影响。 采集容器应用日志的方式有：容器标准输出、容器文件、节点文件、K8S事件，建议优先使用容器文件。对比容器标准输出，容器文件的优点是可以持久化挂载到主机上，且输出的内容用户自主控制性更强。对比节点文件，容器文件的优点是采集的日志有命名空间、工作负载、POD等元数据信息，在搜索日志的时候更加便捷。 日志组规划：将一个CCE集群的所有日志放在一个日志组中，日志组的别名（支持修改）可以使用CCE集群的名称，日志组的原始名称（不支持修改）建议使用k8s-log-{集群ID}。 日志流规划： 如果您的日志是没有固定规则的日志，可以将类似组件的日志采集到同一个日志流，例如java组件、php组件、python组件。类似组件的日志采集到一个日志流的好处是日志流的数量不至于太多而难以管理，如果您的组件数量比较少（例如小于20个），您可以将每个组件的日志采集到不同的日志流。 如果您的日志是类似NGINX网关这种可以结构化解析的日志，建议您将相同格式的日志采集到同一个日志流。因为统一的日志格式才能方便您后续统一使用SQL分析功能，实现可视化图表分析。 权限隔离： 云日志 服务的日志流支持企业项目隔离，通过为日志流设定不同的企业项目可以实现不同 IAM 用户有不同日志流的访问权限。

云服务 日志分析 场景 如何采集云服务日志到LTS：LTS支持多种云服务接入采集到LTS，您需要在对应云服务的页面打开日志开关，即可以将日志采集到指定的日志组/日志流。 如何配置到最佳使用状态：很多云服务的日志都是支持结构化的，您可以在结构化配置页面为您的云服务日志配置对应的结构化解析规则，详细操作请参考日志结构化配置。结构化解析之后即可对日志使用SQL进行可视化分析。LTS也为很多常见的云服务日志提供了开箱即用的仪表盘，例如ELB/APIG/D CS 等开箱即用仪表盘。

等保安全合规场景 场景描述：国家网络安全法要求上市公司、金融企业需要保存关键系统日志至少180天，用户可以将这些日志采集到LTS后统一存储。 使用建议： 日志采集方式：DSL加工 云主机和容器日志，建议优先使用采集器ICAgent采集，使用ECS向导或者CCE向导。 云服务日志例如ELB/VPC日志，您可以在云服务界面打开开关将日志采集到LTS。 如果您的某些设备必须要以Syslog协议上报日志，您可以参考如何搭建Syslog服务器收集日志并采集到LTS。 日志存储方式： LTS默认支持用户存储365天，您可以修改日志存储时长。如果您需要更多的存储时长，请提交工单申请开通3年存储时长。 降低存储成本： 使用LTS在23年1130公测的冷存储特性，冷存储的日志存储单价比OBS仅贵25%，但是可以支持搜索，在易用性和成本上是最佳选择。 转储至OBS，优点是成本低，缺点是不支持搜索历史日志的内容，使用不便利。

应用监控告警场景 场景描述：适用于使用日志来实时监控应用系统是否正常，提前发现系统故障的场景。 SQL告警仅支持全部用户使用的局点有：华南-广州、华北-北京四、华北-乌兰察布二零一、华北-乌兰察布一、华东-上海一、中国-香港、西南-贵阳一、亚太-新加坡、华南-深圳，支持部分白名单用户使用的局点有：亚太-曼谷、华北-北京一、华东-上海二、华北-乌兰察布二零二，其他局点暂不支持该功能。 使用建议： 告警统计方式：LTS有两种告警配置方式：关键词告警和SQL告警。如果您的日志是无规则的，那么适用关键词告警，例如java程序的运行日志；如果您的日志是有规则的，例如NGINX网关日志，那么适用SQL统计告警，您可以使用SQL语句对结构化的日志做统计分析，获取您想要的指标配置告警。 告警规则配置：告警触发一般需要越快越好，您的告警规则统计周期建议使用1分钟。您可以使用LTS提供的默认消息模板来发送告警。如果您有个性化的诉求，您可以在系统提供的默认模板的基础上做一些修改保存为消息模板，然后发送告警。 配置ELB/APIG等关键云服务日志告警：ELB经常用来作为应用系统的对外的入口，您可以打开ELB日志对接到LTS，然后配置ELB 5XX状态码告警，这样就可以及时发现系统是否有故障。同时您可以借助开箱即用的ELB仪表盘模板，观察应用系统整体的成功率。

云主机应用日志场景 场景描述：适用于用户将应用系统部署在云主机上，使用LTS统一采集和搜索日志的场景。用户的应用系统一般由多个组件（也称微服务）组成，每个组件部署在至少2台云主机上。 使用建议： 日志采集方式：建议使用采集器ICAgent采集日志，您需要在云主机上安装ICAgent，然后使用ECS接入配置日志采集路径。不建议使用SDK、API上报日志。使用ICAgent的好处是与应用系统完全解耦，无侵入，无需更改代码，使用SDK/API等方式步骤相对复杂，如果代码编写不当容易对应用系统的稳定性造成影响。 日志组规划建议：将一个应用系统的日志放在一个日志组中，日志组的名称可以使用应用系统的名称。 日志流规划建议： 如果您的日志是没有固定规则的日志，可以将类似组件的日志采集到同一个日志流，例如java组件、php组件、python组件。类似组件的日志采集到一个日志流的好处是日志流的数量不至于太多而难以管理，如果您的组件数量比较少（例如小于20个），您可以将每个组件的日志采集到不同的日志流。 如果您的日志是类似NGINX网关这种可以结构化解析的日志，建议您将有相同格式的日志采集到同一个日志流。因为统一的日志格式才能方便您后续统一使用SQL分析功能，实现可视化图表分析。 权限隔离建议：云日志服务的日志流支持企业项目隔离，通过为日志流设定不同的企业项目可以实现不同IAM用户有不同日志流的访问权限。

业务运营分析场景 场景描述：适用于在应用系统中打印业务日志，例如交易额、客户、产品等信息，然后使用LTS的SQL分析功能，输出可视化图表和仪表盘的场景。 使用建议： 日志采集方式：建议使用采集器ICAgent采集日志，将日志打印到单独的日志文件中，不要与应用程序的运行日志混在一起。不建议使用SDK、API上报日志。 日志结构化解析方式：建议您打印的业务日志使用空格分割或者JSON格式，这样方便快速配置日志结构化解析规则。 日志可视化呈现： 您可以创建自定义的仪表盘，使用类SQL语法分析已经结构化处理好的业务日志。自定义的仪表盘中，你可以添加多个图表，也可以添加过滤器，使用LTS做业务分析，可以减少采购 数据仓库 ，没有额外成本，上手更简单。 日志加工：想要分析的业务日志混在运行日志中，或者业务日志中有些敏感数据需要删除，或者有些数据缺少维度数据，建议使用DSL加工功能对日志进行规整、富化、流转、脱敏、过滤等操作。详细请参考DSL加工。

备份清理 备份文件清理分为两种场景：手动备份清理和自动备份清理。 手动备份是由用户触发产生的全量备份，需要用户手动删除，否则会一直保存。 自动备份的备份文件不支持手动删除，可通过设置自动备份策略调整备份保留天数，超出备份保留天数的已有备份文件会被自动删除。 Binlog本地日志清理： 清理Binlog日志时，即使设置保留时长为0，RDS也会保证主节点的Binlog同步到备节点、只读节点全部完成，并且备份到OBS成功以后才会执行清理。 如果选择的保留时长大于0，例如设置1天，那么在Binlog同步及备份成功后，本地Binlog日志将会继续保留1天，到期后自动删除。

创建rf_admin_trust委托（可选） 进入华为云官网，打开控制台管理界面，鼠标移动至个人账号处，打开“ 统一身份认证 ”菜单。 图1 控制台管理界面 图2 统一身份认证菜单 进入“委托”菜单，搜索“rf_admin_trust”委托。 图3 委托列表 如果委托存在，则不用执行接下来的创建委托的步骤。 如果委托不存在时执行接下来的步骤创建委托。 单击步骤2界面中的“创建委托”按钮，在委托名称中输入“rf_admin_trust”，委托类型选择“云服务”，选择“ RFS ”，单击“下一步”。 图4 创建委托 在搜索框中输入“Tenant Administrator”权限，并勾选搜索结果，单击“下一步”。 图5 选择策略 选择“所有资源”，并单击下一步完成配置。 图6 设置授权范围 “委托”列表中出现“rf_admin_trust”委托则创建成功。 图7 委托列表

附录 名词解释 基本概念、云服务简介、专有名词解释 弹性 云服务器ECS ：是一种可随时自助获取、可弹性伸缩的云服务器，可帮助您打造可靠、安全、灵活、高效的应用环境，确保服务持久稳定运行，提升运维效率。 华为云Flexus云服务器X实例：Flexus云服务器X实例是新一代面向中小企业和开发者打造的柔性算力云服务器。Flexus云服务器X实例功能接近ECS， 同时还具备独有特点，例如Flexus云服务器X实例具有更灵活的vCPU内存配比、支持热变配不中断业务变更规格、支持性能模式等。 弹性公网IP：提供独立的公网IP资源，包括公网IP地址与公网出口带宽服务。可以与弹性云服务器、裸金属服务器、虚拟IP、弹性负载均衡、NAT网关等资源灵活地绑定及解绑。 弹性文件服务SFS Turbo：为用户提供一个完全托管的共享文件存储，能够弹性伸缩至320TB规模，具备高可用性和持久性，为海量的小文件、低延迟高IOPS型应用提供有力支持。 Gearbox: Gearbox是一个华为云自研开源的资源协同系统。Gearbox系统与调度平台(Slurm)协同,协调云下、云上资源使用。支持自定义业务负载指标，提供基于指标的自动扩容能力，感知业务任务状态,闲置自动释放,提供无损的弹性伸缩能力。 Slurm：是一个开源，高度可扩展的集群管理工具和作业调度系统，用于各种规模的Linux集群。 主要提供如下集中关键的特性： 资源分配 分配独占或者非独占的资源给用户，可以控制分配的时长，供用户运行作业。 作业管理框架 提供一个框架，可以帮助用户控制并行作业在所分配资源上的启动、运行和监控。 队列 提交的作业资源需求超出了可用资源，将作业放入队列。 不同的作业调度策略 提供资源预留，公平分享，回填等高级作业调度策略供使用。 其他工具 提供作业信息统计，作业状态诊断等工具。

快速部署 本章节主要帮助用户快速部署“快速构建基因测序环境”解决方案。 表1 参数说明 参数名称 类型 是否可选 参数解释 默认值 vpc_name string 必填 虚拟私有云名称，该模板新建VPC，不允许重名。取值范围：1-54个字符，支持数字、字母、_(下划线)、-（中划线）、.（点） gene-sequencing-environment-demo security_group_name string 必填 安全组名称，该模板新建安全组。取值范围：1-64个字符，支持数字、字母、_(下划线)、-（中划线）、.（点） gene-sequencing-environment-demo ecs_name string 必填 云服务器名称，命名方式为{ecs_name}-[0X]，不允许重名。取值范围：1-59个字符组成，包括字母、数字、下划线 (_)、连字符 (-) 和句点 (.) gene-sequencing-environment-demo ecs_worker_count number 必填 云服务器计算节点数量，默认3台云服务器：1台调度节点、2台计算节点。取值范围：大于等于2台，上限由用户配额决定。具体请登录华为云官网我的配额查看。 2 ecs_password string 必填 云服务器初始化密码，创建完成后，请参及时登录ECS控制台修改密码。取值范围：长度为8-26个字符，密码至少包含大写字母、小写字母、数字和特殊字符（$!@%-_=+[]:./^,{}?）中的三种，密码不能包含用户名或用户名的逆序。管理员账户默认为root。重置密码请参考3.3开始使用步骤1。 空 ecs_image string 必填 云服务器的公共操作系统镜像，具体请参考弹性云服务器类型与支持的操作系统版本，请使用Linux操作系统。 CentOS 7.6 64bit ecs_master_flavor string 必填 云服务器调度节点规格，支持弹性云服务器 ECS及华为云Flexus 云服务器X实例。Flexus 云服务器X实例规格ID命名规则为x1.?u.?g，例如2vCPUs4GiB规格ID为x1.2u.4g，具体华为云Flexus 云服务器X实例规格请参考控制台。弹性云服务器 ECS规格请参考官网弹性云服务器规格清单。 x1.4u.8g ecs_worker_flavor string 必填 云服务器计算节点规格，支持弹性云服务器 ECS及华为云Flexus 云服务器X实例。Flexus 云服务器X实例性能版规格ID命名规则为x1e.?u.?g，例如2vCPUs4GiB规格ID为x1e.2u.4g，具体华为云Flexus 云服务器X实例规格请参考控制台。弹性云服务器 ECS规格请参考官网弹性云服务器规格清单。 x1e.32u.64g system_disk_type string 必填 云服务器系统盘规格，有关磁盘类型的详细信息，请参见磁盘类型及性能介绍。可用选项有：SAS(高I/O磁盘类型)、SSD（超高I/O磁盘类型）、GPSSD（通用SSD磁盘类型）、ESSD（极端SSD类型）。 SAS system_disk_size number 必填 云服务器系统盘大小，取值范围：40-1024GB，不支持缩盘。 100 bandwidth_size number 必填 带宽大小，取值范围：1-2,000Mbit/s。 5 sfs_turbo_name string 必填 弹性服务文名称，取值范围：4-64字符，必须以字母开头，可以包含字母、数字、中划线和下划线，不能包含其他的特殊字符，不区分大小写。 sfs_turbo_size number 必填 弹性服务共享文件系统大小，取值范围：500~32768GB。 10240 charging_mode string 必填 计费模式，默认自动扣费，取值为prePaid（包年包月）或postPaid（按需计费）。 postPaid charging_unit string 必填 计费周期单位，当计费方式设置为prePaid时，此参数为必填项；当计费方式设置为postPaid时，此参数失效。有效值为：month（包月）和year（包年）。 month charging_period number 必填 云服务器ECS订购周期，仅当charging_mode为prePaid（包年/包月）生效，此时该参数为必填参数。取值范围：charging_unit=month（周期类型为月）时，取值为1-9；charging_unit=year（周期类型为年）时，取值为1-3。默认订购1月。 1 keypair_name string 必填 已有SSH登录密钥对名称，请参考3.1准备工作创建密钥对获取。 空 as_name string 必填 弹性伸缩资源名称，该模板使用新建弹性伸缩组，为集群提供弹性伸缩功能，不支持重名。取值范围：1-50个字符组成，只能由英文字母、数字、中划线（-）组成。 gene-sequencing-environment-demo AK string 必填 访问密钥AK，请参考部署文档3.1准备工作配置访问密钥获取。 空 SK string 必填 访问密钥SK，请参考部署文档3.1准备工作配置访问密钥获取。 空 project_id string 必填 用户方案部署所在区域的项目ID，请参考统一身份认证--项目获取。 空 登录华为云解决方案实践，选择“快速构建基因测序环境”。 图1 解决方案实施库 单击“一键部署”，跳转至该解决方案创建资源栈部署界面。 图2 一键部署 单击“下一步”，参考表1完成自定义参数填写。。 图3 配置参数 在配置确认页面中，单击“创建执行计划”。 图4 配置确认 单击“创建执行计划”，根据提示输入执行计划名称等，单击“确定”。 图5 创建执行计划 单击“部署”，并且在弹出的执行计划确认框中单击“执行”。 图6 部署执行计划 图7 执行计划确认 （可选）如果计费模式选择“包年包月”，在余额不充足的情况下（所需总费用请参考表2）请及时登录费用中心，手动完成待支付订单的费用支付。 待出现“Apply required resource success”，表示该解决方案所有资源已经部署完成，等待30分钟集群内环境部署完成即可使用。 图8 执行完成 注：集群内环境部署完成前请不要登录ECS进行其他操作，否则可能导致环境部署失败。 父主题： 实施步骤

资源和成本规划 该解决方案主要部署如下资源，不同产品的花费仅供参考，具体请参考华为云官网价格详情，实际收费以账单为准。 表1 资源和成本规划（按需计费） 华为云服务 配置示例 每月预估花费 华为云Flexus 云服务器X实例(调度节点) 按需计费：0.50元/小时 区域：华北-北京四 计费模式：按需计费 规格：Flexus云服务器X实例 | 性能模式（关闭）| x1.4u.8g | 4核 | 8 GB 镜像：CentOS 7.6 64bit 系统盘：高IO | 100GB 购买量：1 360.00 元 华为云Flexus 云服务器X实例(计算节点) 按需计费：5.44元/小时 区域：华北-北京四 计费模式：按需计费 规格：Flexus云服务器X实例 | 性能模式（开启）| x1.32u.64g | 32核 | 64 GB 镜像：CentOS 7.6 64bit 系统盘：高IO | 100GB 购买量：2 7833.60元 SFS Turbo标准型 按需计费：6.4元/小时 区域：华北-北京四 计费模式：按需计费 SFS Turbo 标准型 | 10TB 4608.00 元 弹性公网IP EIP 按需计费：0.34元/小时 区域：华北-北京四 计费模式：按需计费 线路：动态BGP 公网带宽：按带宽计费 带宽大小：5Mbit/s 购买量：1 244.80 元 合计 - 13046.40 元 表2 资源和成本规划（包年包月） 华为云服务 配置示例 每月预估花费 华为云Flexus 云服务器X实例(调度节点) 区域：华北-北京四 计费模式：包年包月 规格：Flexus云服务器X实例 | 性能模式（关闭）| x1.4u.8g | 4核 | 8 GB 镜像：CentOS 7.6 64bit 系统盘：高IO | 100GB 购买量：1 251.00 元 华为云Flexus 云服务器X实例(计算节点) 区域：华北-北京四 计费模式：包年包月 规格：Flexus云服务器X实例 | 性能模式（开启）| x1.32u.64g | 32核 | 64 GB 镜像：CentOS 7.6 64bit 系统盘：高IO | 100GB 购买量：2 5254.00 元 SFS Turbo标准型 按需计费：6.4元/小时 区域：华北-北京四 计费模式：按需计费 SFS Turbo 标准型 | 10TB 4608.00 元 弹性公网IP EIP 区域：华北-北京四 计费模式：包年包月 线路：动态BGP 公网带宽：按带宽计费 带宽大小：5Mbit/s 购买量：1 115.00 元 合计 - 10228.00 元

方案架构 该解决方案部署架构如下图所示： 图1 方案架构图 该解决方案将会部署如下资源： 创建三台云服务器，自动部署HPC开源调度软件Slurm，提供基因测序HPC环境。 创建弹性服务共享文件，为基因测序HPC环境提供共享文件存储服务。 安全组可以保护云服务器的网络安全，通过配置安全组规则，限定云服务器的访问端口。 云服务器管理节点绑定弹性公网IP，用于用户访问基因测序HPC环境。 在调度节点安装Gearbox程序、配置java环境。 使用 云监控服务 ，Gearbox程序监测集群作业状态，计算自定义指标workload值，上报指标到 云监控 服务。

方案优势 高性能 提供C6（通用计算增强型）、M6（内存优化型）等计算密集型ECS实例，搭载第二代英特尔® 至强® 可扩展处理器 ，计算性能强劲稳定，配套华为自研智能高速网卡，提供超高带宽和超低时延的网络体验。 降本增效 多种规格的计算资源和存储资源按需使用，精准匹配不同流程的IT资源需求，相同流程的成本最高可节省30%。 一键部署 一键轻松部署，即可完成资源的快速发放以及基因测序HPC环境的部署。

步骤2：连接Flexus云数据库RDS实例 在实例列表的“操作”列，单击“重置密码”。 图5 实例列表 输入新密码，单击“确定”。 图6 重置密码 在实例列表的“操作”列，单击“登录”，进入数据管理服务登录界面。 图7 实例列表 输入root账号以及对应的密码，单击“登录”，进入数据库列表页面。 图8 实例登录 单击“新建数据库”。 图9 新建数据库 新建数据库完成。 图10 数据库信息 单击数据库名称，进入库管理页面，支持新建表、视图、存储过程、事件、触发器、函数。 图11 库管理 单击“新建表”。 图12 新建表 插入表数据，单击“立即创建”。 图13 插入表数据 新建表完成。 图14 表信息

步骤1：创建Flexus云数据库RDS实例 进入Flexus云数据库RDS控制台。 首次创建实例，单击“立即购买”，进入购买页面。 填选实例信息后，单击“立即购买”。 数据库引擎：MySQL 8.0 性能规格：经济版 2U4G 单机 数据盘120GB 购买时长：1年 购买数量：1 图1 选择规格 图2 选择购买时长 订单确认无误，单击“去支付”，进入“付款”页面。 图3 订单确认 选择付费方式，完成付费。 查看购买成功的实例。 管理员账号：root 管理员账号的密码：系统随机设置，使用时需要重置密码。 图4 购买成功

操作步骤 以组织管理员或管理账号的身份登录华为云，进入华为云Organizations控制台。 进入策略管理页，单击“服务控制策略”，进入SCP管理页。 图1 进入SCP管理页 单击“创建”，进入SCP创建页面。 图2 创建SCP 输入策略名称。新创建的策略名称不能与已有策略名称重复。 （可选）输入策略描述。 在策略内容左侧可以直接编写JSON格式的策略内容。 关于如何编写JSON格式的策略语句可参考SCP语法介绍和SCP示例。 自定义策略版本号（Version）固定为5.0，不可修改。 当作用（Effect）为Allow时，不能有Condition元素，即无法添加条件键。 在策略内容右侧可以使用策略编辑器进行编辑自定义策略的操作、资源和条件。 添加操作：单击“＋”号，可以选择服务的操作项进行添加，添加成功的操作项会自动显示在Action元素下。如图3所示。 图3 添加操作 添加资源：仅支持资源级授权的服务可添加。单击“＋”号，选择操作对应的服务，在选择资源类型，根据实际情况填写URN。如图4所示。 图4 添加资源 添加条件（可选）：单击“＋”号，添加条件键和运算符，规定策略生效的条件。如图5所示。 图5 添加条件 （可选）单击“添加新语句”，可添加Statement元素的对象。 Statement元素的值可以是多个对象组成的数组，表示不同的权限约束。 图6 添加新语句 （可选）为策略添加标签。在标签栏目下，输入标签键和标签值，单击“添加”。 图7 为SCP添加标签 单击右下角“保存”后，系统会自动校验语法，如跳转到策略列表，则SCP创建成功；如系统提示策略内容有误，则请按照语法规范进行修改。

解绑标签策略 方式一： 以组织管理员或管理账号的身份登录华为云，进入华为云Organizations控制台，进入组织管理页面。 选中要解绑标签策略的OU或者账号。 在右侧详情页，选策略页签，展开“标签策略”列表，在列表中单击要解绑的标签策略操作列的“解绑”。 图3 解绑标签策略 在弹窗中单击“解绑”，完成策略解绑。 方式二： 在Organizations控制台，进入策略管理页。 单击“标签策略”，进入标签策略列表。 单击标签策略的名称，选择“目标”页签。 单击需要解绑的OU或账号操作列的“解绑”。 单击“确定”，完成策略解绑。 图4 解绑标签策略

绑定标签策略 方式一： 以组织管理员或管理账号的身份登录华为云，进入华为云Organizations控制台，进入组织管理页面。 选中要绑定标签策略的OU或者账号。 在右侧详情页，选择策略页签。展开“标签策略”列表，单击列表上方的“绑定”。 在弹窗中选择要添加的策略后，单击“确定”，完成策略绑定。 图1 绑定标签策略 方式二： 在Organizations控制台，进入策略管理页。 单击“标签策略”，进入标签策略列表。 单击标签策略操作列的“绑定”，选中要绑定标签策略的OU或者账号。 单击“确定”，完成策略绑定。 图2 绑定标签策略

解绑SCP 方法一： 以组织管理员或管理账号的身份登录华为云，进入华为云Organizations控制台，进入组织管理页面。 选中要解绑SCP的OU或者账号。 在右侧详情页，选策略页签，展开“服务控制策略”列表，在列表单击要解绑的SCP操作列的“解绑”。 在弹窗中输入“确认”，单击“确定”，完成策略解绑。 图3 解绑SCP OU和账号至少直接绑定一个SCP，最后一个直接绑定策略，不可解绑。 方式二： 在Organizations控制台，进入策略管理页。 单击“服务控制策略策略”，进入SCP策略列表页。 单击SCP策略的名称，选择“目标”页签。 单击需要解绑的OU或账号操作列的“解绑”。 图4 解绑SCP 在弹窗中输入“确认”，单击“确定”，完成策略解绑。 图5 解绑SCP

绑定SCP 方式一： 以组织管理员或管理账号的身份登录华为云，进入华为云Organizations控制台，进入组织管理页面。 选中要绑定SCP的OU或者账号。 在右侧详情页，选择策略页签，展开“服务控制策略”列表，单击列表上方的“绑定”。 图1 绑定SCP 在弹窗中选择要添加的策略后，单击“绑定”，完成策略绑定。 方式二： 在Organizations控制台，进入策略管理页。 单击“服务控制策略策略”，进入SCP策略列表页。 单击SCP策略操作列的“绑定”，选中要绑定SCP策略的OU或者账号。 在弹窗中输入“确认”，单击“确定”，完成策略绑定。 图2 绑定SCP

操作步骤 以组织管理员或管理账号的身份登录华为云，进入华为云Organizations控制台。 在组织中启用标签策略。 创建标签策略。 首次使用建议创建一个简单的标签策略，例如： 定义标签键为“ABC”。 使用标签键的大小写形式来定义合规性，也就是说为资源添加的标签的键为“ABC”则符合规范，添加“abc”、“Abc”等其他大小写形式的标签则为不合规，标签策略将阻止不合规标签的添加操作。 添加执行标签策略的资源类型，例如云监控服务的告警规则（ces:alarm），表示此标签策略仅对组织成员账号这一资源类型生效。当前支持标签策略的云服务和资源类型请参见：支持标签策略的云服务。 当您为此资源添加不合规的标签时，标签策略将阻止此操作，您必须将标签修改至符合标签策略规范才可以添加成功。 图1 创建标签策略 将创建的标签策略绑定至一个资源较少的可用于测试的成员账号中，具体请参见绑定标签策略。 图2 绑定标签策略 使用此成员账号登录华为云，进入云监控服务控制台，创建告警规则并为其添加标签，验证标签策略是否生效。 为告警规则添加标签“ABC”，标签添加成功。 为告警规则添加标签“abc”，界面提示此标签校验不合规，需修改后再次提交，表示标签策略已生效且验证无误。 当您在创建资源时添加不合规的标签，标签策略将阻止标签添加操作，同时资源也无法创建成功； 当您为已创建的资源添加不合规标签时，标签策略仅会阻止标签添加操作，不会对资源产生影响。

支持审计的关键操作 通过 云审计 服务，您可以记录与Organizations云服务相关的操作事件，便于日后的查询、审计和回溯。 表1 云审计支持的Organizations操作列表 操作名称 资源类型 事件名称 创建组织 Organization CreateOrganization 关闭组织 Organization DeleteOrganization 退出组织 Organization LeaveOrganization 创建组织单元 OrganizationUnit CreateOrganizationalUnit 修改组织单元 OrganizationUnit UpdateOrganizationalUnit 删除组织单元 OrganizationUnit DeleteOrganizationalUnit 邀请账号 Account InviteAccount 创建账号 Account CreateAccount 关闭账号 Account CloseAccount 移动账号 Account MoveAccount 移除账号 Account RemoveAccount 接受邀请 Handshake AcceptHandshake 拒绝邀请 Handshake DeclineHandshake 取消邀请 Handshake CancelHandshake 启用可信服务 TrustedService EnableTrustedService 禁用可信服务 TrustedService DisableTrustedService 设置委托管理员 DelegatedAdministrator RegisterDelegatedAdministrator 取消委托管理员 DelegatedAdministrator DeregisterDelegatedAdministrator 创建策略 Policy CreatePolicy 修改策略 Policy UpdatePolicy 删除策略 Policy DeletePolicy 启用策略类型 Policy EnablePolicyType 禁用策略类型 Policy DisablePolicyType 绑定策略 Policy AttachPolicy 解绑策略 Policy DetachPolicy 添加标签 Account OrganizationUnit Policy Root Tag TagResource 删除标签 Account OrganizationUnit Policy Root Tag UntagResource 父主题： 审计

修改标签策略 以组织管理员或管理账号的身份登录华为云，进入华为云Organizations控制台。 进入策略管理页，单击“标签策略”，进入标签策略列表。 单击标签策略操作列的“编辑”，进入编辑标签策略页面。 图1 编辑标签策略 可根据需要修改“策略名称”和“策略描述”。 按需修改策略内容。可通过“可视化编辑器”和“JSON”两种方式进行修改。 单击右下角“保存”后，如跳转到标签策略列表，则标签策略修改成功。

成员账号退出组织 登录成员账号后，您可以选择从组织中退出。管理账号不能使用“退出组织”的方法离开组织，要移除管理账号，您必须删除组织。 要退出组织的成员账号不能是任何可信服务的委托管理员账号。如果该账号是委托管理员，则需先取消其委托管理员身份，具体请参见添加、查看和取消委托管理员。 以成员账号的身份登录华为云，进入华为云Organizations控制台。 在控制面板页面中的退出组织栏目下，单击“退出组织”，在弹窗中选择“退出”，完成退出组织操作。

操作步骤 以组织管理员或管理账号的身份登录华为云，进入华为云Organizations控制台。 进入策略管理页，单击“标签策略”，进入标签策略页面。 图1 进入标签策略管理页 单击“创建”，进入创建标签策略页面。 编辑策略名称。系统会自动生成策略名称，您可根据需要自行修改。但请注意，新创建策略的名称不能与已有策略名称重复。 （可选）输入策略描述。 编辑策略内容，目前支持通过“可视化编辑器”和“JSON”两种方式进行编辑。 可视化编辑器：通过可视化编辑器编辑策略内容，无需了解JSON语法，编辑完成后可自动生成策略。具体步骤如下： 输入标签策略定义的标签的键。 指定标签键的大小写形式。 勾选此项则表示使用标签键的大小写形式进行校验，如不勾选则表示使用标签键的全小写形式，即便标签键有大写也会使用全部小写进行校验。例如标签键为CostCenter，勾选此项后，后续检验规则以CostCenter为准；不勾选此项，则后续校验规则以costcenter为准。 指定标签键的允许值。 勾选此项后单击“添加值”，为标签键指定的一个或多个允许值，表示此标签键仅允许使用此处指定的值，否则为不合规。如不勾选此项或勾选后未添加标签值，则此标签键使用任何值（包括没有值）都将视为合规。 图2 添加标签键的允许值 指定执行标签策略检查的资源类型。 勾选此项后单击“添加资源类型”，在弹窗中阅读并勾选确认标签策略存在的风险说明，然后选择资源类型，单击“确定”。 如未指定任何服务和资源类型，则此标签策略不会对任何资源生效。 图3 指定策略生效的资源类型 单击“添加标签键”，可在策略内容中添加多个标签键用于标签策略检查。 JSON：通过JSON语法编辑策略内容，根据标签策略语法，在JSON编辑框内编写JSON格式的策略内容。编辑时系统会自动校验语法。如不正确，请根据提示进行修正。 图4 使用JSON编辑策略 （可选）为策略添加标签。在标签栏目下，输入标签键和标签值，单击“添加”。 图5 添加标签 单击右下角“保存”后，如跳转到标签策略列表，则标签策略创建成功。

修改SCP 以组织管理员或管理账号的身份登录华为云，进入华为云Organizations控制台。 进入策略管理页，单击“服务控制策略”，进入SCP管理页。 单击自定义SCP操作列的“编辑”，在弹窗中输入“确认”，单击“确定”。 图1 修改SCP 进入编辑策略页面，按需修改“策略名称”和“策略描述”。如#org_03_0036/fig977144619493所示。 按需修改策略内容。可使用语句编辑器进行修改，策略语法请参考SCP语法介绍。 单击右下角“保存”后，系统会自动校验语法，如跳转到策略列表，则SCP编辑成功；如系统提示策略内容有误，则请按照语法规范进行修改。

加入组织的影响 如果您邀请现有账号或创建新账号加入组织后，Organizations将自动对新的成员账号进行如下更改： Organizations会在成员账号内创建服务关联委托，该委托是云服务委托，委托权限为“OrganizationsServiceLinkedAgencyPolicy”系统权限，授权范围为所有资源。 新加入组织的成员账号权限将会受到服务控制策略和标签策略的影响。附加到根或包含新的成员账号的OU上的服务控制策略和标签策略，将应用到新的成员账号和成员账号名下的所有IAM用户中。 管理账号开启可信服务时，支持成员账号内部创建对应可信服务的服务关联委托。 本章将为您介绍如下内容，以帮助您管理组织中的账号： 邀请账号加入组织，包括管理账号创建邀请、管理您已发出的邀请，以及成员账号接受或拒绝邀请。 创建账号，管理账号可在组织中直接创建新账号。 关闭账号，管理账号可在组织中关闭不再需要账号，只有创建的账号才可以关闭，无法关闭邀请的账号。 移动账号，将账号从一个OU移动到另外一个OU。 查看账号详细信息，包括账号名称、ID、加入时间、归属组织单元、绑定的策略、标签和委托服务。 移除成员账号，管理账号从组织中移除成员账号。 查看账号记录，组织的管理账号可在账号管理页查看账号列表、邀请记录、创建记录及其相关信息，还可以进行邀请、创建、关闭、移动、移除账号以及取消邀请等操作。

组织中的账号 组织中的账号是标准的华为账号或华为云账号，账号中包含了您的华为云资源，账号是构成组织的最小单位。组织中的账号分为管理账号和成员账号。 表1 账号分类 账号分类 功能 配额 管理账号 管理账号是创建组织的账号，使用Organizations服务创建组织，并管理组织中的组织单元（Organizational Unit，以下简称OU）、账号和整个组织的相关策略。 1（一个组织只能有一个管理账号） 成员账号 除管理账号外，组织中的剩余账号都为成员账号。一个账号一次只能是一个组织的成员，成员账号一般用于承载企业具体的某个应用或者项目的资源。 9