华为云用户手册

  • 标签简介 标签用于标识云资源,可通过标签实现对云资源的分类和搜索。您可以向以下组织资源添加标签: 组织的根 组织单元(Organizational Unit,以下简称OU) 账号 服务控制策略(Service Control Policy,以下简称SCP) 标签策略 您可以在以下时间添加标签: 在创建OU、账号、SCP和标签策略时,可以添加标签。 根、OU、账号、SCP和标签策略创建完成后,可以在各自的详情页面添加、修改、查看、删除标签。
  • 条件(Condition) 条件(Condition)是SCP生效的特定条件,包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围,分为全局级条件键和服务级条件键。 全局级条件键(前缀为g:)适用于所有操作,在鉴权过程中,云服务不需要提供用户身份信息,系统将自动获取并鉴权。详情请参见:全局条件键。 服务级条件键(前缀为服务缩写,如vpcep:)仅适用于对应服务的操作,详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值,多值条件键在API调用时请求可以包含多个值。例如:g:SourceVpce是单值条件键,表示仅允许通过某个 VPC终端节点 发起请求访问某资源,一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键,表示请求中携带的所有标签的key组成的列表,当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句,当请求信息满足该条件时,SCP才能生效。支持的运算符请参见:运算符。 VPCEP定义了以下可以在SCP的Condition元素中使用的条件键,您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 VPCEP支持的服务级条件键 服务级条件键 类型 单值/多值 说明 vpcep:VpceServiceName string 单值 按照终端节点服务名称进行筛选。 vpcep:VpceServiceOwner string 单值 按照终端节点服务所有者进行筛选。 vpcep:VpceServicePrivateDnsName string 单值 按您传入的终端节点服DNS名称筛选访问权限。 vpcep:VpceServiceOrgPath string 单值 按照终端节点服务所有者的组织路径进行筛选。 vpcep:VpceEndpointOrgPath string 单值 按照终端节点所有者的组织路径进行筛选。 vpcep:VpceEndpointOwner string 单值 按照终端节点所有者的账号进行筛选。 vpcep:VpcId string 多值 根据指定的虚拟私有云资源ID过滤访问。
  • 约束与限制 只有创建的账号才可以关闭,无法关闭邀请的账号。 创建的账号如已转为云账号则无法关闭。 已设置为委托管理员的账号无法关闭,如需关闭请先取消委托管理员。 管理账号在30天内仅可以关闭组织中10%的成员账号,最多支持关闭200个成员账号,最多可以同时关闭3个成员账号。 创建新账号时,不能使用关闭中状态的账号所关联的手机号、邮箱。 如果账号中存在预付费资源(一般为包年/包月计费模式,先付费后使用)则无法关闭,请提前确认并退订相关包年/包月资源后,再进行关闭账号操作。如何退订资源请参见退订使用中的资源。 如果账号中存在欠费资源则无法关闭,请及时进行充值还款后,再进行关闭账号操作。如何充值还款请参见充值还款。
  • 绑定SCP 方式一: 以组织管理员或管理账号的身份登录华为云,进入华为云Organizations控制台,进入组织管理页面。 选中要绑定SCP的OU或者账号。 在右侧详情页,选择策略页签,展开“服务控制策略”列表,单击列表上方的“绑定”。 图1 绑定SCP 在弹窗中选择要添加的策略后,在文本框中输入“确认”,然后单击“绑定”,完成策略绑定。 方式二: 在Organizations控制台,进入策略管理页。 单击“服务控制策略策略”,进入SCP策略列表页。 单击SCP策略操作列的“绑定”,选中要绑定SCP策略的OU或者账号。 在弹窗中输入“确认”,单击“确定”,完成策略绑定。 图2 绑定SCP
  • 解绑SCP 方法一: 以组织管理员或管理账号的身份登录华为云,进入华为云Organizations控制台,进入组织管理页面。 选中要解绑SCP的OU或者账号。 在右侧详情页,选策略页签,展开“服务控制策略”列表,在列表单击要解绑的SCP操作列的“解绑”。 在弹窗中输入“确认”,单击“确定”,完成策略解绑。 图3 解绑SCP OU和账号至少直接绑定一个SCP,最后一个直接绑定策略,不可解绑。 方式二: 在Organizations控制台,进入策略管理页。 单击“服务控制策略策略”,进入SCP策略列表页。 单击SCP策略的名称,选择“目标”页签。 单击需要解绑的OU或账号操作列的“解绑”。 图4 解绑SCP 在弹窗中输入“确认”,单击“确定”,完成策略解绑。 图5 解绑SCP
  • 启用SCP 在创建SCP并将其附加到组织单元和账号之前,必须先启用SCP,且只能使用组织的管理账号启用SCP。启用SCP后,组织将自动给所有OU和账号绑定FullAccess策略,默认允许所有操作。 以组织管理员或管理账号的身份登录管理控制台,进入Organizations控制台。 进入策略管理页,单击“服务控制策略”操作列的“启用”。 在弹窗中勾选确认框,然后单击“确定”,完成SCP功能启用。 图1 启用SCP
  • 禁用SCP 如果您不想再使用SCP管理组织权限,可以禁用SCP,且只能使用组织的管理账号禁用SCP。 禁用SCP后,所有SCP会自动从组织中的所有实体解绑,包括所有OU和账号,但是策略本身不会被删除。 若禁用SCP后再重新启用SCP,则组织中的所有实体将恢复到只绑定FullAccess的状态。实体与其他SCP的绑定关系将丢失,如需恢复则需要用户重新绑定。 以组织管理员或管理账号的身份登录管理控制台,进入Organizations控制台。 进入策略管理页,单击“服务控制策略”操作列的“禁用”。 图2 禁用SCP 在弹窗中单击“确定”,完成SCP功能禁用。
  • 什么是组织 组织是为管理多账号关系而创建的实体。一个组织由管理账号、成员账号、根OU、OU四个部分组成。一个组织有且仅有一个管理账号,若干个成员账号,以及由一个根OU和多层级OU组成的树状结构。成员账号可以关联在根OU或任一层级的OU。有关Organizations云服务的基本概念参见:基本概念。 本章节将为您呈现以下内容: 创建组织。使用您当前的账号作为管理账号创建组织,并邀请其他账号加入组织。 查看组织信息。查看根、组织、OU和账号的详细信息。 关闭组织。当您不再需要组织时关闭它。
  • 已对接组织的可信服务 以组织管理员或管理账号的身份登录华为云,进入华为云Organizations控制台,进入可信服务页,即可查看可信服务列表。 下表列出了可与华为云Organizations一起使用的云服务。 表1 已对接组织的可信服务列表 服务名称 功能简介 是否支持委托管理员 相关文档 配置审计 (Config) 配置审计服务支持基于组织创建合规规则、合规规则包、资源聚合器等功能,组织管理员或Config服务的委托管理员可以统一进行配置并直接作用于组织内账号状态为“正常”的成员账号中。 是 组织合规规则 组织合规规则包 资源聚合器 资源访问管理 RAM ) 资源访问管理服务支持基于组织共享资源能力,当您的账号由组织管理时,您可以与组织内的所有账号共享资源,组织内账号无需接受邀请即可使用共享资源。 是 启用与组织共享资源 云审计 CTS ) 云审计服务支持基于组织配置组织追踪器功能,组织管理员或CTS服务的委托管理员可以配置组织追踪器作用于整个组织,实现多账号安全审计等云审计能力。 是 组织追踪器 应用运维管理 服务( AOM ) 应用运维管理服务提供多账号聚合类型Prometheus实例的创建功能。 当同组织下多个成员账号均已接入云服务指标时,组织管理员或AOM服务的委托管理员可以通过该功能统一监控同一组织下多个成员账号的云服务指标。 是 Prometheus实例 for 多账号聚合实例 云备份服务(CBR) 云备份服务支持基于组织的统一策略管理能力,组织管理员或CBR服务的委托管理员可以通过创建组织备份策略和组织复制策略,为组织内成员账号统一设置备份策略和复制策略。 是 组织策略管理 云监控服务 CES 云监控 服务支持基于组织跨账号查看我的看板功能,组织管理员或CES服务的委托管理员可以查看其组织下所有账号的看板。 是 跨账号查看我的看板 云防火墙 服务(CFW) 云防火墙服务具备安全可靠的跨账号数据汇聚和资源访问能力,组织管理员或CFW服务的委托管理员可以对组织内所有成员账号的EIP进行统一的资产防护。 是 多账号管理 数据安全中心 (DSC) 数据安全中心服务具备安全可靠的跨账号数据汇聚和资源访问能力,组织管理员或DSC服务的委托管理员可以对组织内所有成员账号进行统一的数据安全防护,而无需登录每个成员账号。 是 多账号管理 企业主机安全 服务(HSS) 主机安全服务具备安全可靠的跨账号数据汇聚和资源访问能力,组织管理员或HSS服务的委托管理员可以对组织内所有成员账号进行统一的工作负载安全防护。 是 账号管理 IAM 身份中心(IdentityCenter) IAM身份中心为用户提供基于组织的多账号统一身份管理与访问控制。可以统一管理企业中使用华为云的用户,一次性配置企业的身份管理系统与华为云的单点登录,以及所有用户对组织下账号状态为“正常”的账号的访问权限。 是 什么是IAM身份中心 云日志 服务(LTS) 云日志服务联合组织服务推出多账号日志汇聚中心,组织管理员或LTS服务的委托管理员可以在LTS将组织下指定账号的日志流复制到自己的账号中,实现多账号日志的集中存储和分析,满足安全合规、集中分析等不同场景下的诉求。 是 多账号日志汇聚中心 安全云脑 (SecMaster) 安全云脑支持基于组织的多账号空间托管能力,组织管理员或安全云脑服务的委托管理员创建空间托管时,可以选择组织下的一个或多个账号进行托管。 是 创建托管 访问分析(AccessAnalyzer) 访问分析提供组织级的访问分析功能,组织管理员或委托管理员可以在组织内创建和管理访问分析器,用于识别组织内与外部共享的资源等。 是 暂无 云运维中心 (COC) 云运维中心基于组织的跨账号能力,支持组织管理员或服务委托管理员在云运维中心查看其组织内成员的运维态势和资源情况,并支持对资源进行跨账号的作业任务执行。 是 跨账号运维 态势感知 跨账号资源管理 父主题: 可信服务管理
  • 标签策略简介 标签策略是策略的一种类型,可帮助您在组织账号中对资源添加的标签进行标准化管理。在标签策略中,您可以限定为资源添加的标签必须符合规范。标签策略对未添加标签的资源或未在标签策略中定义的标签不会生效。 例如:标签策略规定为某资源添加的标签A,需要遵循标签策略中定义的大小写规则和标签值。若标签A使用的大小写、标签值不符合标签策略,则资源将会被标记为不合规。 标签策略当前的应用方式为事前拦截:标签策略开启强制执行后,则会阻止在指定的资源类型上完成不合规的标记操作。 标签策略可以绑定到组织的根、OU和账号。当绑定到根和OU时,所有子OU和子账号都继承该标签策略。账号继承的所有标签策略和直接绑定到账户上的所有标签策略,根据继承运算符最终聚合为有效标签策略。
  • 删除组织的影响 对管理账号的影响 管理账号将成为独立账号。您可以继续将此账号作为独立账号使用,也可以使用它创建不同的组织,它也可以作为成员账号接受其他组织的邀请。 组织的管理账号从来不受服务控制策略(SCP)的影响,所以组织删除后,管理账号及管理账号的IAM用户权限没有任何更改。 对成员账号的影响 成员账号将成为独立账号。您可以继续将它作为独立账号使用,也可以使用它创建不同的组织,它也可以作为成员账号接受其他组织的邀请。 删除组织后,组织的成员账号将不再受到服务控制策略(SCP)的影响,成员账号及成员账号的IAM用户权限可能会发生改变。 对策略的影响 如果您删除组织,则无法恢复它。如果您在组织内创建了服务控制策略,则也将删除这些策略,并且将不能恢复。
  • Organizations自定义策略样例 示例1:授权IAM用户邀请账号加入组织、从组织中移除成员账号。 { "Version": "5.0", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:accounts:invite", "organizations:accounts:remove" ] } ] } 示例2:拒绝IAM用户删除OU、移除成员账号。 拒绝策略需要同时配合其他策略使用,否则没有实际作用。如果没有主动授权某一操作,则系统默认Deny。用户被授予的策略中,一个授权项的作用如果同时存在Allow和Deny,则遵循Deny优先原则。 如果您给用户授予OrganizationsFullAccess的系统策略,但不希望用户拥有OrganizationsFullAccess中定义的删除OU、移除成员账号的权限,您可以创建一条拒绝删除OU、成员账号的自定义策略,然后同时将OrganizationsFullAccess和拒绝策略授予用户,根据Deny优先原则,则用户可以对组织执行除了删除OU、移除成员账号外的所有操作。拒绝策略示例如下: { "Version": "5.0", "Statement": [ { "Effect": "Deny", "Action": [ "organizations:ous:delete", "organizations:accounts:remove" ] } ] }
  • 测试SCP的影响 针对SCP对账号的影响,强烈建议您在生产环境应用SCP前,使用测试账号、测试环境、测试用例开展充分且彻底的系统设计和系统测试,避免对生产环境中服务资源的使用产生不必要的影响。在测试环境充分验证之后,且需要在生产环境应用时,您可以先创建一个OU,并每次移入一个账号或少量账号,以确保不会意外中断服务资源的使用。 对于系统预置的SCP系统策略“FullAccess”,解绑操作需谨慎处理,除非您将其替换为具有允许操作的自定义策略,否则不应解绑该策略。当您确定需要解绑“FullAccess”并且配置具有允许操作的自定义策略时,除配置业务需要的授权项外,必须额外配置iamToken::*和signin::*。 如果解绑Root的“FullAccess”策略,则整个组织内所有账号的可操作性权限都将失效。此操作风险极高,需谨慎操作。 如果解绑OU的“FullAccess”策略,则该OU(包含下级OU)内账号的可操作权限都将失效。 如果解绑成员账号的“FullAccess”策略,则该账号的可操作权限将失效。
  • 不受SCP限制的任务 您无法使用SCP来限制以下任务: 组织管理账号及其IAM用户执行的任何操作。 使用服务关联委托执行的任何操作。 由不支持SCP的云服务对支持SCP的云服务发起的API调用请求,将不受SCP限制。当前支持SCP的云服务和区域请参见:支持SCP的云服务和支持SCP的区域。 通过API方式 获取Token 后,使用该Token访问支持SCP的云服务的API,在大多数场景下将不受SCP限制。 华为云移动端APP版本低于v3.30.0,将不受SCP限制。
  • 概述 服务控制策略 (Service Control Policy,SCP) 是一种基于组织的访问控制策略。组织管理账号可以使用SCP指定组织中成员账号的权限边界,限制账号内用户的操作。SCP可以关联到组织、OU和成员账号。当SCP关联到组织或OU时,该组织或OU下所有账号均受该策略影响。 本节将从以下几方面为您介绍SCP: SCP原理介绍:介绍SCP的分类,作用原理,继承规则,与IAM策略的关系。 SCP语法介绍:介绍SCP的组成结构与策略参数。
  • 创建OU 您可以在组织的根下创建OU。OU最深可嵌套至5层。创建OU请执行以下步骤。 以组织管理员或管理账号的身份登录华为云,进入华为云Organizations控制台,进入组织管理页面。 在组织结构树中选中父OU的名称(而不是展开框)。如您是首次创建OU,则需选中根OU的名称(即Root)。 OU最深可嵌套5层,一个OU只能有一个父OU,一个OU下可以关联多个子OU。父OU即为上一层的OU,创建OU时请确保选中正确的父OU。 单击组织结构树上方的“添加”,单击“添加组织单元”。 图1 添加组织单元 在弹窗中填写组织单元名称。 (可选)为组织单元添加标签。 标签以键值对的形式表示,用于标识组织单元,便于对组织单元进行分类和搜索。一个组织单元最多添加20个标签。 标签的设置说明如表1所示。 表1 标签说明 参数 说明 举例 键 输入标签的键,同一个组织单元标签的键不能重复。键可以自定义,也可以选择预先在标签管理服务(TMS)创建好的标签的键。 键命名规则如下: 不能为空。 长度为1~128个字符。 由英文字母、数字、下划线、中划线、UNICODE字符(\u4E00-\u9FFF)组成。 Key_0001 值 输入标签的值,标签的值可以重复,并且可以为空。 标签值的命名规则如下: 可以为空。 长度为1~225个字符。 由英文字母、数字、下划线、点、中划线、UNICODE字符(\u4E00-\u9FFF)组成。 Value_0001 然后单击“确定”,完成OU创建。 父主题: OU管理
  • 修改标签策略 以组织管理员或管理账号的身份登录管理控制台,进入Organizations控制台。 进入策略管理页,单击“标签策略”,进入标签策略列表。 单击标签策略操作列的“编辑”,进入编辑标签策略页面。 图1 编辑标签策略 可根据需要修改“策略名称”和“策略描述”。 按需修改策略内容。可通过“可视化编辑器”和“JSON”两种方式进行修改。 单击右下角“保存”后,如跳转到标签策略列表,则标签策略修改成功。
  • 禁用标签策略 如果您不想再使用标签策略管理组织的标签规则,可以禁用标签策略,但只有组织的管理账号才可以禁用标签策略。 禁用标签策略后,所有标签策略会自动从组织中的所有实体解绑,包括所有OU和账号,但是策略本身不会被删除。 若禁用标签策略后再重新启用标签策略,实体与其他标签策略的绑定关系将丢失,如需恢复则需要管理账号重新绑定。 以组织管理员或管理账号的身份登录管理控制台,进入Organizations控制台。 进入策略管理页,单击标签策略操作列的“禁用”。 图2 禁用标签策略 在弹窗中单击“确定”,完成标签策略禁用。
  • 管理组织的待处理邀请 登录到管理账号后,您可以查看和管理组织创建的邀请,具体步骤如下。 以组织管理员或管理账号的身份登录华为云,进入华为云Organizations控制台,进入账号管理页面。 选择“邀请记录”页签,此页面展示组织发送的所有邀请及当前状态。 单击邀请记录操作列的“取消邀请” ,在弹框中单击“确定”可完成邀请取消。您只能取消“邀请中”的账号。 取消邀请后,邀请的状态将从“邀请中”更改为 “已取消”。邀请取消后若要再次邀请当前账号,则必须重新发出邀请,才能让其加入您的组织。 图3 取消邀请
  • 接受或拒绝来自组织的邀请 您的账号可能会收到加入某个组织的邀请,您可以接受或拒绝邀请。 一个账号只能加入一个组织。如果您收到多个加入组织邀请,只能接受其中一个。如果当前您已加入组织,则需要退出当前组织后,才能再次接受组织邀请。 以受邀成员账号的身份登录华为云,进入华为云Organizations控制台。 此时界面会向您展示邀请列表。接受邀请则单击对应邀请操作列的“接受”,拒绝邀请则单击对应邀请操作列的“拒绝”。 图4 接受或拒绝邀请
  • 向账号发送邀请 您可通过以下步骤,邀请其他账号加入组织,成为组织的成员账号。注意,邀请进入组织的成员账号会默认放置到根OU中,更换所属OU请参见移动账号。 以组织管理员或管理账号的身份登录华为云,进入华为云Organizations控制台,进入组织管理页面。 单击组织结构树上方的“添加”,单击“添加账号”。 图1 添加账号 在弹窗中,选择“邀请现有账号”,输入邀请账号的账号名或账号ID。 如何获取账号名和账号ID请参见:获取账号名和ID。 图2 邀请现有账号 (可选)为账号添加标签。 标签以键值对的形式表示,用于标识账号,便于对账号进行分类和搜索。一个账号最多添加20个标签。 标签的设置说明如表1所示。 表1 标签说明 参数 说明 举例 键 输入标签的键,同一个账号标签的键不能重复。键可以自定义,也可以选择预先在标签管理服务(TMS)创建好的标签的键。 键命名规则如下: 不能为空。 长度为1~128个字符。 由英文字母、数字、下划线、中划线、UNICODE字符(\u4E00-\u9FFF)组成。 Key_0001 值 输入标签的值,标签的值可以重复,并且可以为空。 标签值的命名规则如下: 可以为空。 长度为1~225个字符。 由英文字母、数字、下划线、点、中划线、UNICODE字符(\u4E00-\u9FFF)组成。 Value_0001 单击“确定”,即可向受邀账号发出邀请。
  • 移除须知 组织管理员从组织中移除成员账号或成员账号主动退出组织之前,您需要了解以下内容: 在组织中创建的账号被移除组织或主动退出组织时,该账号创建成功的时间需大于七个自然日。 在组织中创建的账号被移除组织或主动退出组织时,需先将其转换为华为云账号。如何转换请参见将资源账号转为云账号。 邀请加入组织的账号为华为云账号时才支持移除组织或主动退出组织,详情请参见资源账号与华为云账号的差异。 已设置为委托管理员的账号无法从组织中移除或主动退出组织,需先取消委托管理员。 在组织中创建账号时默认创建的IAM委托,账号离开组织后并不会自动删除,组织管理账号可继续通过此委托访问成员账号的数据,如需终止组织管理账号的此访问权限,需成员账号手动删除委托。 在组织中创建的账号离开组织后,不会改变该账号与组织管理账号的财务托管模式。邀请加入组织的账号离开组织后,不会改变该账号原有的财务关系。如需调整请参见解除关联子账号。 当某个成员账号离开组织后,组织策略施加的权限限制将不再影响该账号,这意味着该账号可能拥有比之前更多的权限。当组织已启用可信服务,成员账号离开组织后将无法再使用该服务与组织集成的相关功能。 当成员账号离开组织时,所有附加到该账号的标签都将被删除。
  • 移除账号 登录组织的管理账号后,您可以从组织中移除不再需要的成员账号,步骤如下。注意,以下步骤仅适用于移除成员账号,要移除管理账号,您必须删除组织。 以组织管理员或管理账号的身份登录华为云,进入华为云Organizations控制台,进入组织管理页面。 选中要移除的账号。单击组织结构树上方的管理,选择“移除账号”。 图1 移除账号 在弹窗中阅读并勾选移除账号的风险点,并输入“YES”,单击“确定”,完成成员账号移除。 图2 确认移除账号
  • 成员账号退出组织 登录成员账号后,您可以选择从组织中退出。管理账号不能使用“退出组织”的方法离开组织,要移除管理账号,您必须删除组织。 已设置为委托管理员的账号无法退出组织,如需退出请先取消委托管理员。 以成员账号的身份登录华为云,进入华为云Organizations控制台。 在控制面板页面中的退出组织栏目下,单击“退出组织”,在弹窗中阅读退出组织的注意事项后,输入“YES”,单击“确认”,完成退出组织操作。 图3 确认退出组织
  • 响应参数 状态码: 200 表2 响应Body参数 参数 参数类型 描述 function_templates String 凭据轮转函数模板。 状态码: 400 表3 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码: 401 表4 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码: 403 表5 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码: 404 表6 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码: 500 表7 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码: 502 表8 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码: 504 表9 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述
  • URI GET /v1/csms/function-templates 表1 Query参数 参数 是否必选 参数类型 描述 secret_type 是 String 凭据类型。 secret_sub_type 是 String 凭据轮转账号类型。 SingleUser:单用户模式轮转 MultiUser:双用户模式轮转 engine 否 String 数据库类型。凭据类型为RDS-FG时为必填参数,可传入mysql、postgresql、sqlserver。其余凭据类型不支持。
  • 响应参数 状态码: 200 表2 响应Body参数 参数 参数类型 描述 agencies Array of Agency objects 委托详情列表。 表3 Agency 参数 参数类型 描述 agency_name String 委托名称。 agency_id String 委托ID。 error_msg String 异常信息。当委托创建失败时,返回的异常信息。 状态码: 400 表4 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码: 401 表5 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码: 403 表6 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码: 404 表7 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码: 500 表8 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码: 502 表9 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码: 504 表10 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述
  • 响应参数 状态码: 200 表2 响应Body参数 参数 参数类型 描述 agency_granted String 委托是否存在。 状态码: 400 表3 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码: 401 表4 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码: 403 表5 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码: 404 表6 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码: 500 表7 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码: 502 表8 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码: 504 表9 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述
  • 响应参数 状态码: 200 表3 响应Body参数 参数 参数类型 描述 total Integer 任务数量 tasks Array of SecretTask objects 凭据任务列表。 next_marker String 下一页查询地址(本页的末尾任务ID)。 表4 SecretTask 参数 参数类型 描述 task_id String 任务ID secret_name String 凭据名称。 rotation_func_urn String FunctionGraph函数的urn。 task_status String 任务状态。 operate_type String 轮转类型。 task_time String 任务创建时间。 task_error_code String 任务错误码。 task_error_msg String 任务错误信息。 状态码: 400 表5 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码: 401 表6 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码: 403 表7 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码: 404 表8 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码: 500 表9 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码: 502 表10 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码: 504 表11 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述
  • 响应示例 状态码: 200 请求已成功。 { "total" : 1, "tasks" : [ { "task_id" : "xxxx", "secret_name" : "xxxx", "rotation_func_urn" : "urn:fss:cn-north-4:xxxxxxxx:function:default:xxxx:xxxxx", "task_status" : "SUCCESS", "operate_type" : "MULTI_USER", "task_time" : 1715436899000 } ], "next_marker" : "xxxxxx" }
共100000条