华为云用户手册

  • 变更CodeArts TestPlan套餐规格 CodeArts TestPlan支持变更套餐规格,变更影响请参见变更配置后对计费的影响。 登录测试计划服务控制台。 找到CodeArts TestPlan套餐,单击操作列中的“变更”。 根据需要选择变更商品、变更类型,勾选同意声明,单击“下一步:确认订单”。 若变更类型选择“续费变更”,则还需要选择续费时长。 确认订单内容:若需要修改,单击“上一步”;若确认无误,单击“下一步”。 根据页面提示完成支付。
  • 规则说明 2020年10月16日前,未在CodeArts某个区域下产生过费用的用户,按照新版计费规则,需在该区域开通/购买CodeArts或单独购买测试计划服务后使用。 在该区域内产生过费用的用户,延续旧版计费规则,可参考购买服务在该区域开通测试计划服务包年/包月套餐。 例如: 用户于2020年3月在“华北-北京四”购买了半年期的包月套餐,套餐到期后关闭了CodeArts服务;2020年10月20日将重新启用CodeArts。 若用户仍使用“华北-北京四”,可以购买旧版套餐使用。 若用户使用其它区域,则需购买CodeArts或者测试计划服务新版计费。
  • 购买须知 在CodeArts支持的区域内,各区域独立购买、独立计费。 您可以购买测试计划单服务套餐,或者开通/购买软件开发生产线服务组合套餐,体验一站式、全流程、安全可信的软件开发生产线。 购买测试计划服务需要您拥有租户账号,或拥有Tenant Administrator权限的 IAM 用户账号,配置权限策略方法请参考创建用户组并授权。 若已经购买了CodeArts套餐,则不能再单独购买测试计划服务。
  • 背景信息 关键字驱动测试是一种测试自动化的技术,通过提供一组称为关键字的“构建块”创建自动化测试用例。关键字驱动测试可用于组件测试、系统测试等不同的测试级别,其优势体现在易用性、可理解性、可维护性、测试信息的重用、支持测试自动化、节约潜在的成本和进度等方面。 在设计测试用例时,经常会遇到有一些相同的前置步骤或者测试逻辑。如果每一个测试用例中都编写这些步骤,重复工作量很大,并且难以维护。测试关键字可以帮助复用这些测试步骤。 关键字库将接口关键字、组合关键字、系统关键字、自定义关键字进行统一管理,打造一站式关键字管理能力,在用例脚本设计时用户体验保持一致。 接口关键字中定义单个接口的请求,可以通过导入Swagger文件、保存自定义URL请求等方式生成。 接口关键字请参见将测试步骤保存为CodeArts TestPlan接口脚本关键字。 组合关键字用于将多个步骤封装常用测试逻辑,可以被测试用例调用实现逻辑复用。组合关键字请参见将测试步骤保存为CodeArts TestPlan组合脚本关键字。 系统关键字涵盖认证、协议、中间件、数据库四大类别,覆盖身份认证、复杂协议、数据处理、数据预置、数据验证、接口集成等丰富场景。系统关键字请参见接口自动化用例系统关键字说明。 自定义关键字具备高度的扩展性,用户可以在本地编写代码完成自定义关键字的开发,满足高阶用户的复杂场景测试诉求。
  • 资源限制 视频点播 服务对用户 域名 、水印等进行了资源控制。 表1 资源限制 对象 描述 限制 区域 新用户暂只支持开通华北-北京四区域。 - 域名 单用户在视频点播控制台最多可以添加的自有域名个数。 添加的域名需要满足如下要求: 域名已在工信部备案,且当前备案信息正常可用。可以直接在华为云注册域名,并备案。 说明: 系统会对您名下的所有域名进行自动检查,对长期未有播放行为产生的域名进行下线操作,具体请参见域名配置。 5 URL拉取 单用户一次最多可以拉取的音视频个数。 控制台:100 API:16 URL拉取速率 使用音视频源文件URL离线拉取音视频文件至点播系统的全局最大速率。 1Gbps 水印 视频文件一次最多可以添加的水印个数。 2 分类 单用户最多支持三级分类,每个分类最多支持添加的子类个数。 128 音 视频标签 单用户最多可为音视频文件添加标签的个数。 16 Referer防盗链 单用户的Referer防盗链白名单或黑名单最多可配置的域名个数。 100 媒资预热 单用户每天可以预热媒资的最大次数。 1000
  • 支持跨域请求的接口说明 目前视频点播服务仅以下接口支持浏览器跨域请求,如表3所示。 表3 支持跨域请求接口列表 接口名称 URI 创建媒资:上传方式 /v1.0/{project_id}/asset 确认媒资上传 /v1.0/{project_id}/asset/status/uploaded 上传检验 /v1.0/{project_id}/asset/duplication 查询媒资信息 /v1.0/{project_id}/asset/info (即将下线)查询托管媒资详情 /v1.0/{project_id}/asset/obs/host/task/details 获取分段上传授权 /v1.0/{project_id}/asset/authority
  • API限制 视频点播服务对服务端API设置了调用次数限制,避免出现短时间内重复调用API,出现服务中断的情况。 表4 API流控限制 接口分类 接口名称 单租户接口流控 (单位:次数/分钟) 接口总体流控 (单位:次数/分钟) 媒资上传 创建媒资:上传方式 获取分段上传授权 确认媒资上传 桶授权 创建媒资:OBS转存方式 1500 12000 创建媒资:OBS托管方式 创建媒资:URL拉取注入 上传检验 100 1000 媒资处理 视频更新 媒资处理 取消媒资转码任务 音频提取 取消提取音频任务 创建审核媒资任务 设置封面 100 1000 媒资管理 删除媒资 媒资发布 媒资发布取消 修改媒资属性 100 1000 查询媒资信息 1500 24000 查询指定媒资的详细信息 查询媒资列表 1500 12000 OBS托管管理 查询托管任务 查询托管任务详情 100 1000 查询托管媒资详情 1500 12000 媒资预热 CDN预热 查询CDN预热 100 1000 媒资分类 创建媒资分类 修改媒资分类 删除媒资分类 查询指定分类信息 100 1000 密钥查询 密钥查询 1500 12000 统计分析 查询CDN统计信息 查询源站统计信息 查询TopN媒资信息 查询域名播放日志 查询媒资日播放统计数据 100 1000 水印模板管理 创建水印模板 修改水印模板 查询水印列表 删除水印模板 确认水印图片上传 100 1000 转码模板管理 创建自定义转码模板 查询转码模板列表 修改转码模板 删除自定义模板 100 1000 转码模板集合管理 创建转码模板组集合 修改转码模板组集合 查询自定义模板组集合 删除转码模板组集合 100 1000
  • JavaAgent更新说明 目前仅支持主流的jdk8和jdk17,jdk17环境请选用末尾带-jdk17的版本。 下载Agent请参见探针下载地址。 表1 JavaAgent更新列表 版本号 更新说明 2.4.12 1、优化并发数递增逻辑。 2.4.12-profiler 1、优化Debugging诊断处理逻辑。 2.4.11-profiler 1、支持Profiler的Live Object Memory类型。 2、支持全采样设置。 2.4.10-profiler 1、支持Debugging诊断。 2.4.9-profiler 1、Profiler时延度量线程采集算法优化。 2.4.9 1、优化springbean启动时间。 2.4.8-profiler 1、Profiler支持性能优化推荐。 2.4.8 1、支持redisson支持3.17.x。 2、url接口调用支持分位数。 2.4.7-profiler 1.支持用户包数据采集。 2.4.7 1.支持sql字节数的配置。 2.支持springbean插件。 3.支持jedis2.9.3。 2.4.6-profiler 支持时延持续性能剖析。 2.4.5-profiler 支持CPU、内存持续性能剖析。 2.4.5-jdk17 新增支持httpclient5,仅支持同步场景。 2.4.5 指标采集队列增加老化机制。 2.4.4 新增支持SpringCloudGateway(2.1.x~3.1.x)。 2.4.3 1.修复异常数未清零问题。 2.修复日志过大问题。 3.新增redisson基本信息。 2.4.2-jdk17 该版本只支持jdk17。 2.4.2 支持FunctionGraph在启动时关闭agent。 2.4.1 1.支持动态修改指标采集阈值。 2.接口调用维度新增异常数,统计url中日志标记的异常。 3.新增通过代理传输数据的功能。 2.3.19 1.支持日志自动打印traceId。 2.提高线程详情上限。 2.3.17 1.AKSK可以从环境变量读取。 2.调用链增加sqlId。 3.sql增加最近调用链。 4.补齐接口调用的集群维度分析能力。 2.3.16 1.指定注册协议。 2.兼容ibm sdk不支持线程内存获取。 2.3.15 1.新增支持dubbo2.8.x版本。 2.新增支持JDKhttp子类。 2.3.13 1. CS E Provider bizcode支持多key。 2.支持hikari插件。 2.3.12 1.客户端统计时,hashmap的key数量溢出后,之前是停止采集,现在修改为继续采集。 2.Url支持自动规整能力,当在后台配置为自动规整后,url按照原始格式规整。 3.oracle插件补齐读取行数和更新行数能力。 4.CSE Provider提供显示bizCode的功能。 5.修复CSE Provider修复状态码400时调用链没有标红。 2.3.5 1.支持启动脚本配置access地址。 2.3.2 1.支持jetty-client。 2.取消对com.huawei.bsp.commonlib.roa.restclient的支持。 3.url支持采集apdex。 2.3.1 1.支持cce解密sk。 2.支持jedis拦截key和value。 3.支持cassandra3。 2.2.15 1.支持sk自定义解密。 2.支持在启动脚本中配置master地址。 3.支持apacheHttpclient的responseBody采集。 2.2.13 1.使NamedTransformer加载接口类时直接返回原字节码。 2.解决mariadb3.0.4 sql没有采集到的问题。 3.支持oracle。 2.2.10 1.支持gauss-zenith数据库。 2.支持com.huawei.bsp.commonlib.roa.restclient。 2.2.9 1.支持jetcd 5.x - 6.x。 2.支持采集netty直接内存。 表2 CCE和Servicestage界面上 JavaAgent latest版本指向说明 版本号 实际版本号 latest-x86_64 2.4.3,支持x86架构。 latest-aarch64 2.4.3,支持arm架构。 latest-noroot-x86_64 2.4.3,支持x86架构,支持非root用户身份运行容器。 latest-noroot-aarch64 2.4.3,支持arm架构,支持非root用户身份运行容器。 latest 2.1.17,兼容x86和arm架构。
  • 使用限制 单账号跟踪的事件可以通过 云审计 控制台查询。多账号的事件只能在账号自己的事件列表页面去查看,或者到组织追踪器配置的OBS桶中查看,也可以到组织追踪器配置的 CTS /system日志流下面去查看。 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录,您必须配置转储到 对象存储服务 (OBS)或 云日志 服务(LTS),才可在OBS桶或LTS日志组里面查看历史事件信息。否则,您将无法追溯7天以前的操作记录。 云上操作后,1分钟内可以通过云审计控制台查询管理类事件操作记录,5分钟后才可通过云审计控制台查询数据类事件操作记录。
  • 通用测试配置样例 以下提供的预估值为单台弹性 云服务器ECS 测试的结果。建议使用多台ECS测试,以达到高性能弹性文件服务的性能指标。 本文以SFS Turbo性能型,云服务器规格如下为例说明。 规格:通用计算增强型 | c3.xlarge.4 | 4vCPUs | 16GB 镜像:CentOS 7.564bit fio命令: fio --randrepeat=1 --ioengine=libaio --name=test -output=output.log --direct=1 --filename=/mnt/nfs/test_fio --bs=1M --iodepth=128 --size=10240M --readwrite=rw --rwmixwrite=30 --fallocate=none 其中,“/mnt/nfs/test_fio”为待测试的目标文件的挂载路径,需具体到文件名,即这里要测试的是“/mnt/nfs”目录下的“test_fio”文件,请根据实际填写。 fio结果: fio命令: fio --randrepeat=1 --ioengine=libaio --name=test -output=output.log --direct=1 --filename=/mnt/nfs/test_fio --bs=1M --iodepth=128 --size=10240M --readwrite=rw --rwmixwrite=70 --fallocate=none 其中,“/mnt/nfs/test_fio”为待测试的目标文件的挂载路径,需具体到文件名,即这里要测试的是“/mnt/nfs”目录下的“test_fio”文件,请根据实际填写。 fio结果: 顺序读IOPS fio命令: fio --ioengine=libaio --direct=1 --fallocate=none --time_based=1 --group_reporting=1 --name=iops_fio --directory=/mnt/sfs-turbo/ --rw=read --bs=4k --size=1G --iodepth=128 --runtime=120 --numjobs=10 其中,“/mnt/sfs-turbo/”为待测试的目标文件的挂载路径,需具体到文件名,请根据实际填写。 fio结果: 随机读IOPS fio命令: fio --ioengine=libaio --direct=1 --fallocate=none --time_based=1 --group_reporting=1 --name=iops_fio --directory=/mnt/sfs-turbo/ --rw=randread --bs=4k --size=1G --iodepth=128 --runtime=120 --numjobs=10 其中,“/mnt/sfs-turbo/”为待测试的目标文件的挂载路径,需具体到文件名,请根据实际填写。 fio结果: 顺序写IOPS fio命令: fio --ioengine=libaio --direct=1 --fallocate=none --time_based=1 --group_reporting=1 --name=iops_fio --directory=/mnt/sfs-turbo/ --rw=write --bs=4k --size=1G --iodepth=128 --runtime=120 --numjobs=10 其中,“/mnt/sfs-turbo/”为待测试的目标文件的挂载路径,需具体到文件名,请根据实际填写。 fio结果: 随机写IOPS fio命令: fio --ioengine=libaio --direct=1 --fallocate=none --time_based=1 --group_reporting=1 --name=iops_fio --directory=/mnt/sfs-turbo/ --rw=randwrite --bs=4k --size=1G --iodepth=128 --runtime=120 --numjobs=10 其中,“/mnt/sfs-turbo/”为待测试的目标文件的挂载路径,需具体到文件名,请根据实际填写。 fio结果: 顺序读带宽 fio命令: fio --randrepeat=1 --ioengine=libaio --name=test -output=output.log --direct=1 --filename=/mnt/sfs-turbo/test_fio --bs=1M --iodepth=128 --size=10240M --readwrite=read --fallocate=none 其中,“/mnt/sfs-turbo/test_fio”为待测试的目标文件的挂载路径,需具体到文件名,即这里要测试的是“/mnt/sfs-turbo”目录下的“test_fio”文件,请根据实际填写。 fio结果: 随机读带宽 fio命令: fio --ioengine=libaio --direct=1 --fallocate=none --time_based=1 --group_reporting=1 --name=iops_fio --directory=/mnt/sfs-turbo/ --rw=randread --bs=1M --size=10G --iodepth=128 --runtime=120 --numjobs=1 其中,“/mnt/sfs-turbo/”为待测试的目标文件的挂载路径,需具体到文件名,请根据实际填写。 fio结果: 顺序写带宽 fio命令: fio --ioengine=libaio --direct=1 --fallocate=none --time_based=1 --group_reporting=1 --name=iops_fio --directory=/mnt/sfs-turbo/ --rw=write --bs=1M --size=10G --iodepth=128 --runtime=120 --numjobs=1 其中,“/mnt/sfs-turbo/”为待测试的目标文件的挂载路径,需具体到文件名,请根据实际填写。 fio结果: 随机写带宽 fio命令: fio --ioengine=libaio --direct=1 --fallocate=none --time_based=1 --group_reporting=1 --name=iops_fio --directory=/mnt/sfs-turbo/ --rw=randwrite --bs=1M --size=10G --iodepth=128 --runtime=120 --numjobs=1 其中,“/mnt/sfs-turbo/”为待测试的目标文件的挂载路径,需具体到文件名,请根据实际填写。 fio结果:
  • 附件:诚信约定书 尊敬的华为云会员: 感谢您加入华为云奖励推广计划。在双方合作开始前,华为云特与您就合作过程中必须遵守的商业行为规范进行约定如下。 诚信约定 诚信是双方合作的基础。您在与华为云的业务往来过程中,应当坚持诚信原则,承诺不从事欺瞒甚至欺诈的不诚实行为,包括但不限于: 1) 在推荐人准入资格调查、商业合同订立(如有)、履行过程中,向华为云提供的文件、资料、数据、陈述和口头陈述等应保证真实、准确,不得提供虚假信息或隐瞒重要信息,禁止任何形式的商业欺诈。 2) 严格遵守向华为云做出的承诺,遵照华为云奖励推广计划管理规范和活动规则,及双方签署的其他合同、协议和备忘录执行,按时、保质、保量向华为云/或华为云用户提供产品及/或服务,不得降低具体服务质量标准、不按约定标准提供服务,不得在为华为云/或华为云用户提供服务的过程中掺杂掺假、以假充真、以次充好,不得擅自篡改信息系统数据,不得违反合同牟取暴利等。 3) 按照华为云要求,主动申报与华为云以华为云员工(包括但不限于华为云正式员工、受雇方、顾问等,以下简称华为云员工)是否存在关联关系。 4) 特别提醒:您须明确,华为云员工未经华为云事先书面授权,做出的任何书面/口头承诺均为其个人行为,对华为云和您均不具备约束力。 反不正当利益约定 为保障公平商业竞争,您承诺不为促成合同的签订、履行,或获得比任何第三方更高的商业利益、更优厚的商业待遇、或证券市场增值等,而直接或间接向华为云员工提供任何形式的不正当利益,包括但不限于: 1)提供任何私人利益或赠与,包括但不限于实物、现金或现金等价物、优惠,以及其它财产性权益;现金等价物包括但不限于消费卡/券、提货券、购物卡、换购券、充值卡、交通卡、电话卡、各种话费的充值或其他可供使用或消费的充值、储值卡及其他形态的有价礼券或证券等; 2)提供娱乐及款待,包括但不限于卡拉OK、SPA、足浴、高尔夫、商业演出、旅游、商业体育活动、奢侈的餐饮款待等; 3)提供工作机会,包括但不限于建立劳动关系、劳务派遣、外包服务、兼职、咨询顾问等其他形式,及/或向其支付任何形式的报酬; 4)提供投资机会,即以本人名义持有或以第三方名义代持有乙方股权,但通过公开的证券交易市场且低于发行在外5%的权益、通过直接或间接持有无实际控制权的基金、或通过受益人非本人或关联人士的信托方式持有的股份除外; 5)提供借款,或其他利益。 您同意,一旦上述情形发生,华为云有权向任何第三方披露、或向社会公开您的违约行为。 反贿赂约定 公司贿赂是不良的商业行为,违背市场经济的基本原则,增加开展商业活动的风险,同时危及公司的底线和声誉,损害长期利益。为创造公平公正的市场经营秩序,维护各方的合法权益,您承诺将坚决抵制贿赂行为并遵守如下约定,包括但不限于: 1)遵守中国以及任何适用国家禁止私有或公共领域贿赂、回扣、腐败、反竞争行为或不正当竞争的相关法律法规的要求,遵守任何适用的反贿赂和反腐败的国际公约的规定; 2)不得为获得和保留业务或谋求交易机会或竞争优势直接或间接向任何政府机构、政府官员、非国家工作人员授权、提供、允诺或支付任何违反法律法规的报酬、礼物以及其他有价值的物品或利益,或采取其他违反法律法规的行为; 3)您向交易相对方支付折扣、向中间人支付佣金的,应以明示方式,并如实入账;您接受的折扣、佣金也应当如实入账; 4)您承诺不能利用与被推广用户相关人员的关联关系(包括但不限于近亲属等)谋取不正当利益,且不得违反被推荐企业的内部管理规范要求。 您同意,一旦上述情形发生,华为云仍然有权根据您的违约情节、配合调查情况等因素,酌情减轻、免除违约金的收取。 此种情况下,华为云有权向任何第三方披露、或向社会公开您的违约行为。 廉洁诚信反馈渠道 1) 您如在日常业务过程中遇到华为云员工存在索贿行为的,必须拒绝,并通过以下渠道进行举报。 举报电子邮箱: cloudcps@huawei.com 2) 如果您对华为云员工的索贿行为不拒绝、不申报,并满足其要求的,则该行为应视同您的贿赂行为。 3) 华为云正式向您承诺,对您反馈的华为云员工有违反上述约定行为的举报行为及联系方式等进行保密。 约定有效期 1) 您同意本约定在双方业务往来期间及合作终止后一直有效,且效力自动溯及至双方建立业务关系之始,双方所有实际业务(包括没有签订书面业务合同的)均适用本特别约定。 2) 如果您在确认签署本特别约定之时,向华为云书面承认本约定签署之前存在的违反上述约定的行为的,华为云可考虑酌情减免您的违约责任及索赔金额。 华为云计算 技术有限公司 同意协议并签约
  • 版本更新说明 sdk如何处理个人信息请参考华为云应用性能分析服务数据采集SDK隐私声明。 您集成和使用华为的sdk时需要遵从个人信息保护基本要求,详情请参考华为云应用性能分析服务数据采集SDK开发者合规指南。 表1 版本更新说明 版本号 SDK下载地址 检验信息下载地址 更新说明 系统 2.0.10 SDK下载 插件下载 SDK下载 插件下载 复网络错误时上报有null的问题。 修复插件加载时会出现未完成配置的问题。 修复插件插桩异常后复制文件失败的问题。 Android 7 及以上 2.0.9 SDK下载 插件下载 SDK下载 插件下载 插件添加功能开关配置,帮助调试定位问题。 修复了链路追踪开关的远程配置生效时机错误的问题。 修复了anr错误栈日志显示重复的问题。 Android 7 及以上 2.0.8 SDK下载 插件下载 SDK下载 插件下载 修复工程配置导致的冲突问题。 Android 7 及以上 2.0.7 SDK下载 插件下载 SDK下载 插件下载 支持远程配置功能。 Android 7 及以上 2.0.6 SDK下载 插件下载 SDK下载 插件下载 修复了配置导致SDK启动失败的问题。 Android 7 及以上 2.0.5 SDK下载 插件下载 SDK下载 插件下载 适配了 Gradle8.0 以上版本的 transform API。 Android 7 及以上 2.0.4 SDK下载 插件下载 SDK下载 插件下载 适配配置文件字段,修复插件无法响应日志字段的问题。 网络拦截升级,修复 URLConnection 只使用部分属性无法上报的问题。 Android 7 及以上 2.0.1 SDK下载 插件下载 SDK下载 插件下载 提供采集上报App启动性能、崩溃、卡顿、错误、网络请求、终端设备、自定义上报等应用监控能力。 Android 7 及以上
  • 混淆配置 如App对代码进行乱序混淆,则在混淆配置文件中添加代码段: -keep class com.cloud.apm.**{*;} # 如果使用gradle 8.x 请自行选择使用下面的配置 -keep classeswithmembers class okhttp3.**{*;} # 使用okhttp3&okhttp4 -dontwarn okhttp3.** # 未使用okhttp3&okhttp4 -keep classeswithmembers class com.squareup.okhttp.**{*;} # 使用 okhttp2 -dontwarn com.squareup.okhttp.** # 未使用 okhttp2
  • 权限控制原理 划定权限边界 SCP不直接进行授权,只划定权限边界。将SCP绑定到组织单元或者成员账号时,并没有直接对组织单元或成员账号授予操作权限,而是规定了成员账号或组织单元包含的成员账号的授权范围。IAM策略授予权限的有效性受SCP限制,只有在SCP允许范围内的权限才能生效。SCP禁止的权限操作,即便授予IAM用户权限,用户也不能执行相关操作。 比如成员账号A绑定了某一条SCP,SCP允许操作A的权限,拒绝操作B的权限。那么成员账号A可以给自己名下的IAM用户授予操作A的权限,不能授予操作B的权限,即便授予了操作B的权限,也无法生效。 交集有效 权限边界的叠加遵从交集有效准则,父OU的SCP与子OU(或账号)的SCP共同允许的权限,作为子OU的最终权限边界。 如下图所示,左侧的椭圆表示附加到父OU的SCP,它允许权限A、B和C。右侧椭圆表示子OU(或账号)绑定SCP允许的权限,子OU(或账号)允许权限C、D和E。由于附加到父OU的SCP不允许D或E,因此父OU下的所有子OU和账号都不能使用它们,即使子OU的SCP明确允许D和E,它们最终仍然会被父OU的SCP阻止。子OU(或账号)的SCP不允许A或B,因此, 子OU(或账号)将阻止这些权限。最终,子OU的权限是父OU权限和子OU(或账号)绑定SCP的权限交集,即下图中的权限C。 如果椭圆右侧是一个成员账号,则交集是授予该账号中的用户和用户组的最大权限集合。如果椭圆右侧是OU,则交集是该子OU可继承的最大权限集合。 图1 SCP原理图 筛选继承 组织单元或账号绑定的SCP包括两部分,直接绑定的策略和继承的策略。某组织单元绑定的SCP,会继承给该组织单元下的所有子级OU和账号。账号和组织单元的权限边界,由所有上级OU的SCP和自身直接绑定的SCP共同决定。如下图所示,Account y隶属于OU3,Account y的权限边界是由继承自Root,OU1和OU3的SCP与Account y绑定的SCP共同决定。 图2 SCP继承规则 如果要在成员账号级别允许使用某个云服务的操作,则必须在账号和根组织单元之间的每个层级上允许该操作。这意味着,必须在根组织单元和账号之间的每个层级,附加允许该操作的SCP。您可以使用下列任一策略执行此操作: 添加拒绝策略。拒绝策略会使用默认附加到每个OU和账号上的FullAccess SCP。此SCP将覆盖默认的隐式Deny,并明确允许所有权限从根组织单元传递到每个账号,除非创建并附加到相应OU或账号的其他SCP明确了拒绝权限。策略中的显式Deny始终优先于Allow。具有拒绝策略的OU层级以下的任何账号都不能使用被拒绝的操作,也无法在组织结构中较低的层级中添加该权限。 添加允许策略。添加允许策略并删除默认附加到每个OU和账号的FullAccess SCP后,除非策略中明确允许,否则任何OU和账号都不允许任何操作权限。要允许使用某个云服务的操作,必须创建SCP并将它们附加到账号及其层级之上的每个OU,直至附加到根组织单元为止(包括根组织单元)。层次结构中的每个SCP(从根组织单元开始)必须明确允许在OU及其下面的账号中使用该操作。SCP中的显式Allow会覆盖隐式Deny。 拒绝优先 当组织单元和账号绑定多条SCP时,账号权限优先遵从拒绝语句。比如成员账号A同时绑定了两条SCP,分别是允许全部操作和禁止查看账单操作。此时执行查看账单操作,鉴权规则会优先遵从拒绝操作,即成员账号A不能查看账单。详细说明请参考显式拒绝和隐式拒绝的区别。 默认允许 组织启用SCP时,默认会为所有OU和账号附加全部权限(FullAccess策略),默认允许所有操作。除非您为OU或账号附加其他的明确拒绝策略。
  • 显式拒绝和隐式拒绝的区别 Effect(效果)包含两种:Allow(允许)和Deny(拒绝),分别表示允许或拒绝执行某操作的权限。 当没有策略设置权限为Allow和Deny时,默认情况即为Deny权限,称为隐式拒绝。当有策略授权Allow权限,且没有其他策略Deny该权限时,Allow的权限才能生效。 如果策略设置权限为Deny,则为显式拒绝。显式的Deny始终优先于Allow。例如,父OU的SCP,它允许权限A、B和C,但是子OU的SCP允许权限A、B,拒绝权限C,则该子OU的账号以及以下层级的账号,均无法使用权限C。 用户在发起访问请求时,鉴权规则如下: 图3 系统鉴权逻辑图 用户发起访问请求。 系统优先寻找Deny指令。如果找到一个适用的Deny指令,系统将返回Deny决定。 如果没有找到Deny指令,系统将寻找适用于请求的任何Allow指令。如果找到一个Allow指令,系统将返回Allow决定。 如果找不到Allow指令,最终决定为Deny,鉴权结束。
  • SCP分类 SCP按照策略创建者可分为两类,分别是系统策略和自定义策略。 系统策略 华为云服务在组织预置了常用SCP,称为系统策略。组织管理员给组织单元或账号绑定SCP时,可以直接使用这些策略。系统策略只能使用,不能修改。现有的SCP系统策略请参见:SCP系统策略列表。 自定义策略 如果系统策略无法满足授权要求,管理账号可以根据各服务支持的授权项,自行创建和修改自定义策略。自定义策略是对系统策略的扩展和补充。目前Organizations云服务支持策略编辑器和JSON视图两种自定义策略配置方式。
  • 操作步骤 以组织管理员或管理账号的身份登录管理控制台,进入Organizations控制台。 进入策略管理页,单击“标签策略”,进入标签策略页面。 图1 进入标签策略管理页 单击“创建”,进入创建标签策略页面。 编辑策略名称。系统会自动生成策略名称,您可根据需要自行修改。但请注意,新创建策略的名称不能与已有策略名称重复。 (可选)输入策略描述。 编辑策略内容,目前支持通过“可视化编辑器”和“JSON”两种方式进行编辑。 可视化编辑器:通过可视化编辑器编辑策略内容,无需了解JSON语法,编辑完成后可自动生成策略。具体步骤如下: 输入标签策略定义的标签的键。 指定标签键的大小写形式。 勾选此项则表示使用标签键的大小写形式进行校验,如不勾选则表示使用标签键的全小写形式,即便标签键有大写也会使用全部小写进行校验。例如标签键为CostCenter,勾选此项后,后续检验规则以CostCenter为准;不勾选此项,则后续校验规则以costcenter为准。 指定标签键的允许值。 勾选此项后单击“添加值”,为标签键指定的一个或多个允许值,表示此标签键仅允许使用此处指定的值,否则为不合规。如不勾选此项或勾选后未添加标签值,则此标签键使用任何值(包括没有值)都将视为合规。 图2 添加标签键的允许值 指定执行标签策略检查的资源类型。 勾选此项后单击“添加资源类型”,在弹窗中阅读并勾选确认标签策略存在的风险说明,然后选择资源类型,单击“确定”。 如未指定任何服务和资源类型,则此标签策略不会对任何资源生效。 图3 指定策略生效的资源类型 单击“添加标签键”,可在策略内容中添加多个标签键用于标签策略检查。 JSON:通过JSON语法编辑策略内容,根据标签策略语法,在JSON编辑框内编写JSON格式的策略内容。编辑时系统会自动校验语法。如不正确,请根据提示进行修正。 图4 使用JSON编辑策略 (可选)为策略添加标签。在标签栏目下,输入标签键和标签值,单击“添加”。 图5 添加标签 单击右下角的“保存”后,如跳转到标签策略列表,则标签策略创建成功。
  • 服务关联委托 Organizations使用IAM服务的委托信任功能,使可信服务能够在您组织的成员账号中代表您执行任务。当您启用某个服务为可信服务时,该服务可以请求Organizations在其成员账号中创建服务关联委托,可信服务按需异步执行此操作。此服务关联委托具有预定义的IAM权限,允许可信服务在成员账号中拥有执行可信服务文档中所述任务的权限,相当于云服务能力在多账号组织场景下的拓展。当前支持的可信服务及其功能简介请参见:已对接组织的可信服务。 当您在组织中创建账号或邀请现有账号加入组织时,Organizations会在成员账号内创建服务关联委托,该委托是云服务委托,委托权限为“OrganizationsServiceLinkedAgencyPolicy”系统权限,授权范围为所有资源。仅Organizations服务本身可以承担此委托,该委托具有允许Organizations为其他云服务创建服务关联委托的权限。 Organizations的SCP不会影响服务关联委托,使用服务关联委托执行的任何操作将免受SCP限制。
  • 什么是可信服务 可信服务是指可与Organizations服务集成,提供组织级相关能力的华为云服务。管理账号可以在组织中开启某个云服务为可信服务。成为可信服务后,云服务可以获取组织中的组织单元及成员账号信息,并基于此信息提供组织级的管理能力。例如,开启CTS云审计为可信服务后,CTS可以获取组织单元及成员账号信息,统一为整个组织提供云审计服务,记录组织中所有账号的操作。能与组织搭配使用的云服务列表参见:已对接组织的云服务列表。
  • 移动账号 登录到管理账号后,您可以移动组织内的账号,将账号从当前组织单元,移动到其他的组织单元中。 以组织管理员或管理账号的身份登录华为云,进入华为云Organizations控制台,进入组织管理页面。 选中要移动的账号。单击组织结构树上方的管理,选择“移动账号”。 图1 移动账号 在弹窗中选中要移动的目标组织单元,在下方的文本框中输入“确认”,然后单击“确定”,完成账号移动。 父主题: 账号管理
  • 通过委托登录创建的账号 鼠标移动至右上方的用户名,选择“切换角色”。 图3 切换角色 在“切换角色”页面中,输入创建的账号名称。 图4 输入创建的账号名称 输入账号名称后,系统将会按照顺序自动匹配创建账号时输入的委托名称。匹配的委托名称中,也会出现以cbc_开头的委托名称,该委托主要用于企业主账号对企业费用的统一管理,对子账号进行委托授权。需要选用创建账号时输入的委托名称。 单击“确定”,切换至创建的新账号中。
  • 创建账号 以组织管理员或管理账号的身份登录华为云,进入华为云Organizations控制台,进入组织管理页面。 单击组织结构树上方的“添加”,单击“添加账号”。 图1 添加账号 在弹窗中,选择“创建新账号”。 输入账号名称和手机号,账号描述根据需要选择输入。注意,创建的账号名称不能与已有账号名称重复。 系统会默认提供委托名,可以保持默认,或者进行自定义修改。 图2 新建账号 (可选)为账号添加标签。 标签以键值对的形式表示,用于标识账号,便于对账号进行分类和搜索。一个账号最多添加20个标签。 标签的设置说明如表1所示。 表1 标签说明 参数 说明 举例 键 输入标签的键,同一个账号标签的键不能重复。键可以自定义,也可以选择预先在标签管理服务(TMS)创建好的标签的键。 键命名规则如下: 不能为空。 长度为1~128个字符。 由英文字母、数字、下划线、中划线、UNICODE字符(\u4E00-\u9FFF)组成。 Key_0001 值 输入标签的值,标签的值可以重复,并且可以为空。 标签值的命名规则如下: 可以为空。 长度为1~225个字符。 由英文字母、数字、下划线、点、中划线、UNICODE字符(\u4E00-\u9FFF)组成。 Value_0001 单击“确定”,创建成功的账号将会显示在列表中。
  • 操作步骤 以组织管理员或管理账号的身份登录管理控制台,进入Organizations控制台。 进入策略管理页,单击“服务控制策略”,进入SCP管理页。 图1 进入SCP管理页 单击“创建”,进入SCP创建页面。 图2 创建SCP 输入策略名称。新创建的策略名称不能与已有策略名称重复。 (可选)输入策略描述。 在策略内容左侧可以直接编写JSON格式的策略内容。 关于如何编写JSON格式的策略语句可参考SCP语法介绍和SCP示例。 自定义策略版本号(Version)固定为5.0,不可修改。 当作用(Effect)为Allow时,不能有Condition元素,即无法添加条件键。 在策略内容右侧可以使用策略编辑器进行编辑自定义策略的操作、资源和条件。 添加操作:单击“+”号,可以选择服务的操作项进行添加,添加成功的操作项会自动显示在Action元素下。如图3所示。 图3 添加操作 添加资源:仅支持资源级授权的服务可添加。单击“+”号,选择操作对应的服务,在选择资源类型,根据实际情况填写URN。如图4所示。 图4 添加资源 添加条件(可选):单击“+”号,添加条件键和运算符,规定策略生效的条件。如图5所示。 图5 添加条件 (可选)单击“添加新语句”,可添加Statement元素的对象。 Statement元素的值可以是多个对象组成的数组,表示不同的权限约束。 图6 添加新语句 (可选)为策略添加标签。在标签栏目下,输入标签键和标签值,单击“添加”。 图7 为SCP添加标签 单击右下角“保存”后,系统会自动校验语法,如跳转到策略列表,则SCP创建成功;如系统提示策略内容有误,则请按照语法规范进行修改。
  • 查看账号详细信息 您可以随时查看组织内账号的详细信息,具体请参见如下步骤。 以组织管理员或管理账号的身份登录华为云,进入华为云Organizations控制台,进入组织管理页。 选中要查看的账号,在界面右侧即可查看账号详细信息。包括账号名称、ID、归属组织单元、URN、加入方式、加入时间或创建时间、账号状态、手机号、账号描述,以及绑定的策略、标签、委托服务等信息。 图1 查看账号详情 父主题: 账号管理
  • 修改SCP 以组织管理员或管理账号的身份登录管理控制台,进入Organizations控制台。 进入策略管理页,单击“服务控制策略”,进入SCP管理页。 单击自定义SCP操作列的“编辑”,在弹窗中输入“确认”,单击“确定”。 图1 修改SCP 进入编辑策略页面,按需修改“策略名称”和“策略描述”。如#org_03_0036/fig977144619493所示。 按需修改策略内容。可使用语句编辑器进行修改,策略语法请参考SCP语法介绍。 单击右下角“保存”后,系统会自动校验语法,如跳转到策略列表,则SCP编辑成功;如系统提示策略内容有误,则请按照语法规范进行修改。
  • 加入组织的影响 如果您邀请现有账号或创建新账号加入组织后,Organizations将自动对新的成员账号进行如下更改: Organizations会在成员账号内创建服务关联委托,该委托是云服务委托,委托权限为“OrganizationsServiceLinkedAgencyPolicy”系统权限,授权范围为所有资源。 新加入组织的成员账号权限将会受到服务控制策略和标签策略的影响。附加到根或包含新的成员账号的OU上的服务控制策略和标签策略,将应用到新的成员账号和成员账号名下的所有IAM用户中。 管理账号开启可信服务时,支持成员账号内部创建对应可信服务的服务关联委托。 本章将为您介绍如下内容,以帮助您管理组织中的账号: 邀请账号加入组织,包括管理账号创建邀请、管理您已发出的邀请,以及成员账号接受或拒绝邀请。 创建账号,管理账号可在组织中直接创建新账号。 关闭账号,管理账号可在组织中关闭不再需要账号,只有创建的账号才可以关闭,无法关闭邀请的账号。 移动账号,将账号从一个OU移动到另外一个OU。 查看账号详细信息,包括账号名称、ID、加入时间、归属组织单元、绑定的策略、标签和委托服务。 移除成员账号,管理账号从组织中移除成员账号。 查看账号记录,组织的管理账号可在账号管理页查看账号列表、邀请记录、创建记录及其相关信息,还可以进行邀请、创建、关闭、移动、移除账号以及取消邀请等操作。
  • 组织中的账号 账号中包含了您的华为云资源,账号是构成组织的最小单位。组织中的账号分为管理账号和成员账号。 表1 账号分类 账号分类 功能 配额 管理账号 管理账号是创建组织的账号,使用Organizations服务创建组织,并管理组织中的组织单元(Organizational Unit,以下简称OU)、账号和整个组织的相关策略。 1(一个组织只能有一个管理账号) 成员账号 除管理账号外,组织中的剩余账号都为成员账号。一个账号一次只能是一个组织的成员,成员账号一般用于承载企业具体的某个应用或者项目的资源。 9
  • 查看账号列表 以组织管理员或管理账号的身份登录管理控制台,进入Organizations控制台。 进入账号管理页,选择“账号列表”页签。 在列表中可查看组织中的全部账号及其相关信息。 在列表中单击账号名,可查看账号的详细信息。 在列表中的操作列,可对账号进行移动、移除、关闭操作。 邀请加入组织的账号不支持关闭操作。 在列表左上方单击“添加”,可进行邀请现有账号和创建新账号加入组织的操作。 图1 账号列表
  • 操作步骤 为SCP自定义策略和标签策略添加标签的方法类似,以SCP为例,说明添加标签的方法。 以组织管理员或管理账号的身份登录管理控制台,进入Organizations控制台。 进入策略管理页,单击“服务控制策略”,进入SCP管理页。 在列表中单击自定义策略的名称,进入策略详情页。 选择“标签”页签,单击“添加”。 在弹窗中输入标签键和标签值, 单击“添加”,然后单击“确定”,完成标签添加。 在标签键和标签值的输入框的下拉列表中,可直接选择在TMS创建的预定义标签,具体请参见创建预定义标签。 图1 添加标签
  • 示例流程 图1 给用户授予Organizations权限流程 创建用户组并授权 在IAM控制台创建用户组,授予Organizations云服务只读权限“Organizations ReadOnlyAccess”。 创建用户并加入用户组 在IAM控制台创建用户,并将其加入1中创建的用户组。 用户登录并验证权限 使用新创建的用户登录控制台,能正常进入组织服务并可查看组织的相关信息,然后尝试添加组织单元报错,报错信息提示“权限不足,请联系管理员处理”,表示“Organizations ReadOnlyAccess”已生效,您只有组织的查看权限。
共100000条