支持审计的关键操作 通过云审计服务，您可以记录与Organizations云服务相关的操作事件，便于日后的查询、审计和回溯。 表1 云审计支持的Organizations操作列表 操作名称 资源类型 事件名称 创建组织 Organizations CreateOrganizations 关闭组织 Organizations DeleteOrganizations 退出组织 Organizations LeaveOrganizations 创建组织单元 OrganizationsUnit CreateOrganizationsalUnit 修改组织单元 OrganizationsUnit UpdateOrganizationsalUnit 删除组织单元 OrganizationsUnit DeleteOrganizationsalUnit 邀请账号 Account InviteAccount 移动账号 Account MoveAccount 移除账号 Account RemoveAccount 接受邀请 Handshake AcceptHandshake 拒绝邀请 Handshake DeclineHandshake 取消邀请 Handshake CancelHandshake 启用可信服务 TrustedService EnableTrustedService 禁用可信服务 TrustedService DisableTrustedService 设置委托管理员 DelegatedAdministrator RegisterDelegatedAdministrator 取消委托管理员 DelegatedAdministrator DeregisterDelegatedAdministrator 创建策略 Policy CreatePolicy 修改策略 Policy UpdatePolicy 删除策略 Policy DeletePolicy 启用策略类型 Policy EnablePolicyType 禁用策略类型 Policy DisablePolicyType 绑定策略 Policy AttachPolicy 解绑策略 Policy DetachPolicy 添加标签 Tag TagResource 删除标签 Tag UntagResource 父主题： 审计

操作步骤 以组织管理员或管理账号的身份登录华为云，进入华为云Organizations控制台。 进入策略管理页，单击“标签策略”，进入标签策略页面。 图1 进入标签策略管理页 单击“创建”，进入标签策略创建页面。 图2 单击创建 编辑策略名称。系统会自动生成策略名称，您可根据需要自行修改。但请注意，新创建策略的名称不能与已有策略名称重复。 （可选）输入策略描述。 编辑策略内容，目前支持通过“可视化编辑器”和“JSON”两种方式进行编辑。 可视化编辑器：通过可视化编辑器编辑策略内容，无需了解JSON语法，编辑完成后可自动生成策略。具体步骤如下： 输入标签策略定义的标签的键。 指定标签键的大小写形式。 勾选此项则表示使用标签键的大小写形式进行校验，如不勾选则表示使用标签键的全小写形式，即便标签键有大写也会使用全部小写进行校验。例如标签键为CostCenter，勾选此项后，后续检验规则以CostCenter为准；不勾选此项，则后续校验规则以costcenter为准。 指定标签键的允许值。 勾选此项后单击“添加值”，为标签键指定的一个或多个允许值，表示此标签键仅允许使用此处指定的值，否则为不合规。如不勾选此项或勾选后未添加标签值，则此标签键使用任何值（包括没有值）都将视为合规。 图3 添加标签键的允许值 指定执行标签策略检查的资源类型。 勾选此项后单击“添加资源类型”，在弹窗中阅读并勾选确认标签策略存在的风险说明，然后选择资源类型，单击“确定”。 图4 添加资源类型 单击“添加标签键”，可在策略内容中添加多个标签键用于标签策略检查。 JSON：通过JSON语法编辑策略内容，根据标签策略语法，在JSON编辑框内编写JSON格式的策略内容。编辑时系统会自动校验语法。如不正确，请根据提示进行修正。 图5 使用JSON编辑策略 （可选）为策略添加标签。在标签栏目下，输入标签键和标签值，单击“添加”。 图6 添加标签 单击右下角“保存”后，如跳转到标签策略列表，则标签策略创建成功。

修改OU标签 添加OU标签 以组织管理员或管理账号的身份登录华为云，进入华为云Organizations控制台，进入组织管理页面。 选中要修改的OU，在右侧的组织单元信息页，选择“标签”页签，单击“添加”。 图2 添加组织单元标签 在弹窗中，填写标签键和标签值，单击“添加”。可重复本步骤添加多个标签，已添加的标签总数不能超过20个。 单击“确定”，完成标签添加。 删除OU标签 以组织管理员或管理账号的身份登录华为云，进入华为云Organizations控制台，进入组织管理页面。 选中要修改的OU，在右侧的组织单元信息页，选择“标签”页签。 单击标签操作列的“删除”，在弹窗中单击“确定”，完成标签删除。 图3 删除标签 修改OU标签键值 以组织管理员或管理账号的身份登录华为云，进入华为云Organizations控制台，进入组织管理页面。 选中要修改的OU，在右侧的组织单元信息页，选择“标签”页签。 单击标签操作列的“编辑”，在弹窗中填写新的标签值，单击“确定”完成标签的修改。 图4 修改标签

修改OU策略 绑定策略 以组织管理员或管理账号的身份登录华为云，进入华为云Organizations控制台，进入组织管理页面。 选中要修改的OU，在右侧的组织单元信息页，选择“策略”页签。 选择要修改的策略类型，此处以“服务控制策略”为例，单击服务控制策略前方的，展开策略列表，单击“绑定”。 图5 绑定策略 在弹窗中选择要添加的策略，单击“绑定”，完成策略绑定。 图6 完成绑定 解绑策略 以组织管理员或管理账号的身份登录华为云，进入华为云Organizations控制台，进入组织管理页面。 选中要修改的OU，在右侧的组织单元信息页，选择“策略”页签。 选择要修改的策略类型，此处以“服务控制策略”为例，单击服务控制策略前方的，展开策略列表。 单击要解绑策略操作列的“解绑”，在弹窗中单击“确定”，完成策略解绑。 图7 解绑策略

操作步骤 以组织管理员或管理账号的身份登录华为云，进入华为云Organizations控制台。 进入策略管理页，单击“服务控制策略”，进入SCP管理页。 图1 进入SCP管理页 单击“创建”，进入SCP创建页面。 图2 创建策略 输入策略名称。新创建的策略名称不能与已有策略名称重复。 （可选）输入策略描述。 在策略内容左侧可以直接编写JSON格式的策略内容。 关于如何编写JSON格式的策略语句可参考SCP语法介绍和SCP示例。 自定义策略版本号（Version）固定为5.0，不可修改。 当作用（Effect）为Allow时，不能有Condition元素，即无法添加条件键。 在策略内容右侧可以使用策略编辑器进行编辑自定义策略的操作、资源和条件。 添加操作：单击“＋”号，可以选择服务的操作项进行添加，添加成功的操作项会自动显示在Action元素下。如图3所示。 图3 添加操作 添加资源：仅支持资源级授权的服务可添加。单击“＋”号，选择操作对应的服务，在选择资源类型，根据实际情况填写URN。如图4所示。 图4 添加资源 添加条件（可选）：单击“＋”号，添加条件键和运算符，规定策略生效的条件。如图5所示。 图5 添加条件 （可选）单击“添加新语句”，可添加Statement元素的对象。 Statement元素的值可以是多个对象组成的数组，表示不同的权限约束。 图6 添加新语句 （可选）为策略添加标签。在标签栏目下，输入标签键和标签值，单击“添加”。 图7 为SCP添加标签 单击右下角“保存”后，系统会自动校验语法，如跳转到策略列表，则SCP创建成功；如系统提示策略内容有误，则请按照语法规范进行修改。

使用限制 单账号跟踪的事件可以通过云审计控制台查询。多账号的事件只能在账号自己的事件列表页面去查看，或者到组织追踪器配置的OBS桶中查看，也可以到组织追踪器配置的CTS/system日志流下面去查看。 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录，您必须配置转储到对象存储服务(OBS)，才可在OBS桶里面查看历史文件。否则，您将无法追溯7天以前的操作记录。 云上操作后，1分钟内可以通过云审计控制台查询管理类事件操作记录，5分钟后才可通过云审计控制台查询数据类事件操作记录。

条件（Condition） 条件（Condition）是SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：全局条件键。 服务级条件键（前缀通常为服务缩写，如bms:）仅适用于对应服务的操作，详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个VPC终端节点发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：运算符。 BMS定义了以下可以在SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 BMS支持的服务级条件键 服务级条件键 类型 单值/多值 说明 bms:KmsKeyId string 多值 根据请求参数中指定的加密密钥ID过滤访问。 bms:Flavorld string 多值 根据请求参数中指定的规格ID过滤访问。 bms:VpcId string 多值 根据请求参数中指定的网络ID过滤访问。 bms:VpcSubnetId string 多值 根据请求参数中指定的子网ID过滤访问。

修改SCP 以组织管理员或管理账号的身份登录华为云，进入华为云Organizations控制台。 进入策略管理页，单击“服务控制策略”，进入SCP管理页。 单击自定义SCP操作列的“编辑”。 可根据需要修改“策略名称”和“策略描述”。如图1所示。 图1 修改SCP 按需修改策略内容。可使用语句编辑器进行修改，策略语法请参考SCP语法介绍。 单击右下角“保存”后，系统会自动校验语法，如跳转到策略列表，则SCP编辑成功；如系统提示策略内容有误，则请按照语法规范进行修改。

操作（Action） 操作（Action）即为SCP策略中支持的授权项。 “访问级别”列描述如何对操作进行分类（list、read和write等）。此分类可帮助您了解在SCP策略中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。 资源类型支持通配符号*表示所有。如果此列没有值（-），则必须在SCP策略语句的Resource元素中指定所有资源类型（“*”）。 如果该列包含资源类型，则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号（*）标识，表示使用此操作必须指定该资源类型。 关于AAD定义的资源类型的详细信息请参见资源类型（Resource）。 “条件键”列包括了可以在SCP策略语句的Condition元素中支持指定的键值。 如果该授权项资源类型列存在值，则表示条件键仅对列举的资源类型生效。 如果该授权项资源类型列没有值（-），则表示条件键对整个授权项生效。 如果此列条件键没有值（-），表示此操作不支持指定条件键。 关于AAD定义的条件键的详细信息请参见条件（Condition）。 您可以在SCP策略语句的Action元素中指定以下AAD的相关操作。 表1 AAD支持的授权项 授权项 描述 访问级别 资源类型（*为必须） 条件键 aad:alarmConfig:create 授予创建告警设置的权限。 write alarmConfig * - aad:alarmConfig:put 授予修改告警设置的权限。 write alarmConfig * - aad:alarmConfig:get 授予查询告警设置的权限。 read alarmConfig * - aad:alarmConfig:delete 授予删除告警设置的权限。 write alarmConfig * - aad:certificate:delete 授予删除证书的权限。 write certificate * - aad:certificate:list 授予查询证书列表的权限。 list certificate * - aad:certificate:set 授予修改域名对应证书的权限。 write certificate * - domain * g:EnterpriseProjectId aad:dashboard:delete 授予删除报表日志配置的权限。 write - - aad:dashboard:get 授予获取报表数据和日志配置的权限。 read - - aad:dashboard:set 授予修改报表日志配置的权限。 write - - aad:domain:create 授予添加防护域名的权限。 write domain * g:EnterpriseProjectId aad:domain:delete 授予删除防护域名的权限。 write domain * g:EnterpriseProjectId aad:domain:get 授予查询防护域名详情的权限。 read domain * g:EnterpriseProjectId aad:domain:list 授予查询域名列表的权限。 list domain * g:EnterpriseProjectId aad:domain:put 授予修改域名防护属性的权限。 write domain * g:EnterpriseProjectId aad:forwardingRule:create 授予添加转发规则的权限。 write forwardingRule * g:EnterpriseProjectId aad:forwardingRule:delete 授予删除转发规则的权限。 write forwardingRule * g:EnterpriseProjectId aad:forwardingRule:get 授予查询转发规则的权限。 read forwardingRule * g:EnterpriseProjectId aad:forwardingRule:list 授予导出转发规则的权限。 list forwardingRule * g:EnterpriseProjectId aad:forwardingRule:put 授予修改转发规则中的回源IP的权限。 write forwardingRule * g:EnterpriseProjectId aad:instance:create 授予创建实例的权限。 write instance * g:EnterpriseProjectId aad:instance:get 授予查询实例属性的权限。 read instance * g:EnterpriseProjectId aad:instance:list 授予查询实例列表的权限。 list instance * g:EnterpriseProjectId aad:instance:put 授予修改实例属性的权限。 write instance * g:EnterpriseProjectId aad:policy:create 授予添加防护规则的权限。 write policy * g:EnterpriseProjectId aad:policy:delete 授予删除防护规则的权限。 write policy * g:EnterpriseProjectId aad:policy:get 授予查询防护规则详情的权限。 read policy * g:EnterpriseProjectId aad:policy:list 授予查询防护规则列表的权限。 list policy * g:EnterpriseProjectId aad:policy:put 授予修改防护规则的权限。 write policy * g:EnterpriseProjectId aad:quotas:get 授予查询防护规格的权限。 read - - aad:whiteBlackIpRule:create 授予添加防护黑白名单的权限。 write whiteBlackIpRule * g:EnterpriseProjectId aad:whiteBlackIpRule:delete 授予删除防护黑白名单的权限。 write whiteBlackIpRule * g:EnterpriseProjectId aad:whiteBlackIpRule:list 授予查询防护黑白名单列表的权限。 list whiteBlackIpRule * g:EnterpriseProjectId aad:protectedIp:put 授予修改防护对象标签的权限。 write - - aad:protectedIp:list 授予查询防护对象列表的权限。 list - - aad:package:put 授予修改防护包的权限。 write package * - aad:package:list 授予查询防护包列表的权限。 list package * - aad:block:put 授予解封IP的权限。 write - - aad:block:list 授予查询封堵ip列表的权限。 list - - aad:block:get 授予查询封堵和解封信息的权限。 read - - aad:alarmConfig:create 授予创建告警设置的权限。 write alarmConfig * - aad:alarmConfig:put 授予修改告警设置的权限。 write alarmConfig * - aad:alarmConfig:get 授予查询告警设置的权限。 read alarmConfig * - aad:alarmConfig:delete 授予删除告警设置的权限。 write alarmConfig * - aad:certificate:delete 授予删除证书的权限。 write certificate * - aad:certificate:list 授予查询证书列表的权限。 list certificate * - aad:certificate:set 授予修改域名对应证书的权限。 write certificate * - domain * g:EnterpriseProjectId aad:dashboard:delete 授予删除报表日志配置的权限。 write - - aad:dashboard:get 授予获取报表数据和日志配置的权限。 read - - aad:dashboard:set 授予修改报表日志配置的权限。 write - - aad:domain:create 授予添加防护域名的权限。 write domain * g:EnterpriseProjectId aad:domain:delete 授予删除防护域名的权限。 write domain * g:EnterpriseProjectId aad:domain:get 授予查询防护域名详情的权限。 read domain * g:EnterpriseProjectId aad:domain:list 授予查询域名列表的权限。 list domain * g:EnterpriseProjectId aad:domain:put 授予修改域名防护属性的权限。 write domain * g:EnterpriseProjectId aad:forwardingRule:create 授予添加转发规则的权限。 write forwardingRule * g:EnterpriseProjectId aad:forwardingRule:delete 授予删除转发规则的权限。 write forwardingRule * g:EnterpriseProjectId aad:forwardingRule:get 授予查询转发规则的权限。 read forwardingRule * g:EnterpriseProjectId aad:forwardingRule:list 授予导出转发规则的权限。 list forwardingRule * g:EnterpriseProjectId aad:forwardingRule:put 授予修改转发规则中的回源IP的权限。 write forwardingRule * g:EnterpriseProjectId aad:instance:create 授予创建实例的权限。 write instance * g:EnterpriseProjectId aad:instance:get 授予查询实例属性的权限。 read instance * g:EnterpriseProjectId aad:instance:list 授予查询实例列表的权限。 list instance * g:EnterpriseProjectId aad:instance:put 授予修改实例属性的权限。 write instance * g:EnterpriseProjectId aad:policy:create 授予添加防护规则的权限。 write policy * g:EnterpriseProjectId aad:policy:delete 授予删除防护规则的权限。 write policy * g:EnterpriseProjectId aad:policy:get 授予查询防护规则详情的权限。 read policy * g:EnterpriseProjectId aad:policy:list 授予查询防护规则列表的权限。 list policy * g:EnterpriseProjectId aad:policy:put 授予修改防护规则的权限。 write policy * g:EnterpriseProjectId aad:quotas:get 授予查询防护规格的权限。 read - - aad:whiteBlackIpRule:create 授予添加防护黑白名单的权限。 write whiteBlackIpRule * g:EnterpriseProjectId aad:whiteBlackIpRule:delete 授予删除防护黑白名单的权限。 write whiteBlackIpRule * g:EnterpriseProjectId aad:whiteBlackIpRule:list 授予查询防护黑白名单列表的权限。 list whiteBlackIpRule * g:EnterpriseProjectId aad:protectedIp:put 授予修改防护对象标签的权限。 write - - aad:protectedIp:list 授予查询防护对象列表的权限。 list - - aad:package:put 授予修改防护包的权限。 write package * - aad:package:list 授予查询防护包列表的权限。 list package * - aad:block:put 授予解封IP的权限。 write - - aad:block:list 授予查询封堵ip列表的权限。 list - - aad:block:get 授予查询封堵和解封信息的权限。 read - - AAD的API通常对应着一个或多个授权项。表2展示了API与授权项的关系，以及该API需要依赖的授权项。 表2 API与授权项的关系 API 对应的授权项 依赖的授权项 POST /v1/{project_id}/cad/alart/config aad:alarmConfig:create - POST /v1/cnad/alarm-config aad:alarmConfig:put - DELETE /v1/cnad/alarm-config aad:alarmConfig:delete - GET /v1/{project_id}/cad/alart/list aad:alarmConfig:get - GET /v1/cnad/alarm-config aad:alarmConfig:get - DELETE /v1/aad/certificate/del aad:certificate:delete - GET /v1/{project_id}/cad/domains/certificatelist aad:certificate:list - GET /v1/aad/certificate-details aad:certificate:list - POST /v1/{project_id}/cad/domains/certificate aad:certificate:set - POST /v1/aad/configs/lts/delete aad:dashboard:delete - GET /v1/{project_id}/cad/ddosinfo/events_type aad:dashboard:get - GET /v1/aad/configs/lts_region aad:dashboard:get - GET /v1/aad/configs/lts aad:dashboard:get - GET /v1/{project_id}/waf/event/timeline aad:dashboard:get - GET /v1/{project_id}/waf/event/request/peak aad:dashboard:get - GET /v1/{project_id}/waf/event/attack/type aad:dashboard:get - GET /v1/{project_id}/waf/event/attack/source/num aad:dashboard:get - GET /v1/{project_id}/waf/event/attack/source aad:dashboard:get - GET /v1/{project_id}/cad/instances/flow_pps aad:dashboard:get - GET /v1/{project_id}/cad/instances/flow_bps aad:dashboard:get - GET /v1/{project_id}/cad/instances/events aad:dashboard:get - GET /v1/{project_id}/cad/ddosinfo/peak aad:dashboard:get - POST /v1/aad/configs/lts aad:dashboard:set - POST /v1/{project_id}/aad/domains aad:domain:create - POST /v1/{project_id}/cad/domains/del aad:domain:delete - GET /v1/{project_id}/aad/domains/{domain_id}/service-config aad:domain:get - GET /v1/{project_id}/cad/domains/ports aad:domain:list - GET /v1/{project_id}/cad/domains/name aad:domain:get - GET /v1/{project_id}/cad/domains/line/{enterprise_project_id} aad:domain:list - GET /v1/{project_id}/cad/domains/instances aad:domain:get - GET /v1/{project_id}/cad/domains/brief aad:domain:get - GET /v1/{project_id}/aad/domains/waf-list aad:domain:list - GET /v1/{project_id}/cad/domains aad:domain:list - POST /v1/{project_id}/aad/domains/{domain_id}/service-config aad:domain:put - POST /v1/{project_id}/cad/domains/switch aad:domain:put - POST /v1/{project_id}/cad/domains/cnameDispatchSwitch aad:domain:put - POST /v1/{project_id}/cad/domains/cname/switch aad:domain:put - POST /v1/{project_id}/cad/instances/protocol_rule aad:forwardingRule:create - POST /v1/{project_id}/cad/instances/protocol_rule/import aad:forwardingRule:create - DELETE /v1/{project_id}/cad/instances/protocol_rule/{rule_id} aad:forwardingRule:delete - POST /v1/{project_id}/cad/instances/protocol_rule/batchdel aad:forwardingRule:delete - GET /v1/{project_id}/cad/instances/rules aad:forwardingRule:get - GET /v1/{project_id}/cad/instances/protocol_rule/export aad:forwardingRule:list - PUT /v1/{project_id}/cad/instances/protocol_rule/{rule_id} aad:forwardingRule:put - POST /v1/{project_id}/cad/instances/cad_open aad:instance:create - GET /v1/{project_id}/cad/products aad:instance:create - GET /v1/{project_id}/{resource_type}/{resource_id}/tags aad:instance:get - GET /v1/{project_id}/cad/upgradeproducts/{instance_id} aad:instance:get - GET /v1/{project_id}/cad/instances/detail/{instance_id} aad:instance:get - GET /v1/{project_id}/aad/instances/brief-list aad:instance:list - GET /v1/{project_id}/cad/sourceip aad:instance:list - GET /v1/{project_id}/cad/instances aad:instance:list - POST /v1/{project_id}/{resource_type}/{resource_id}/tags/action aad:instance:put - POST /v1/{project_id}/cad/instances/cad_spec_upgrade aad:instance:put - PUT /v1/{project_id}/cad/instances/{instance_id}/name aad:instance:put - PUT /v1/{project_id}/cad/instances/{instance_id}/elastic/{ip_id} aad:instance:put - POST /v1/{project_id}/aad/policies/waf/cc aad:policy:create - POST /v1/cnad/policies aad:policy:create - DELETE /v1/{project_id}/aad/policies/waf/cc/{rule_id} aad:policy:delete - DELETE /v1/cnad/policies/{policy_id} aad:policy:delete - GET /v1/{project_id}/cad/flowblock aad:policy:get - GET /v1/cnad/policies/{policy_id} aad:policy:get - GET /v1/{project_id}/aad/policies/waf/cc aad:policy:list - GET /v1/cnad/policies aad:policy:list - PUT /v1/{project_id}/aad/policies/waf/cc/{rule_id} aad:policy:put - POST /v1/{project_id}/cad/flowblock/udp aad:policy:put - POST /v1/{project_id}/cad/flowblock/foreign aad:policy:put - POST /v1/cnad/policies/{policy_id}/ip-list/add aad:policy:put - POST /v1/cnad/policies/{policy_id}/bind aad:policy:put - POST /v1/cnad/policies/{policy_id}/ip-list/delete aad:policy:put - POST /v1/cnad/policies/{policy_id}/unbind aad:policy:put - PUT /v1/cnad/policies/{policy_id} aad:policy:put - GET /v1/{project_id}/aad/quotas/domain-port aad:quotas:get - GET /v1/{project_id}/scc/waf/quota aad:quotas:get - GET /v1/{project_id}/cad/quotas aad:quotas:get - GET /v1/{project_id}/cad/ip/quotas aad:quotas:get - GET /v1/{project_id}/cad/bwlist/quota aad:quotas:get - GET /v1/{project_id}/aad/user-configs aad:quotas:get - POST /v1/{project_id}/cad/bwlist aad:whiteBlackIpRule:create - POST /v1/{project_id}/cad/bwlist/delete aad:whiteBlackIpRule:delete - GET /v1/{project_id}/cad/bwlist aad:whiteBlackIpRule:list - PUT /v1/cnad/protected-ips/tags aad:protectedIp:put - GET /v1/cnad/protected-ips aad:protectedIp:list - POST /v1/cnad/packages/{package_id}/protected-ips aad:package:put - PUT /v1/cnad/packages/{package_id}/name aad:package:put - GET /v1/cnad/packages aad:package:list - GET /v1/cnad/packages/{package_id}/unbound-protected-ips aad:package:list - POST /v1/unblockservice/{domain_id}/unblock aad:block:put - GET /v1/unblockservice/{domain_id}/block-list aad:block:list - GET /v1/unblockservice/{domain_id}/unblock-quota-statistics aad:block:get - GET /v1/unblockservice/{domain_id}/block-statistics aad:block:get - GET /v1/unblockservice/{domain_id}/unblock-record aad:block:get - GET /v1/{project_id}/cad/instances/{instance_id}/elastic_count/{ip_id} aad:instance:get - GET /v1/{project_id}/cad/instances/{data_center}/elastic/{line}/{ip_id} aad:instance:get - GET /v1/aad/remain-vip-number aad:quotas:get - GET /v1/aad/instance/connection-num aad:dashboard:get - PUT /v1/{project_id}/cad/instances/{instance_id}/pp-switch aad:instance:put - GET /v1/aad-service/ces/{domain_id}/dims-info aad:instance:list - GET /v1/aad-service/ces/v2/{domain_id}/instances aad:instance:list - GET /v1/{project_id}/cad/instances/security-statistics aad:instance:list - GET /v1/aad/domain/instances/rules aad:domain:list - POST /v1/aad/policy/modify aad:policy:put - POST /v1/aad/geoip aad:policy:put - GET /v1/aad/geoip aad:policy:get - DELETE /v1/aad/geoip/{ruleId} aad:policy:delete - PUT /v1/aad/geoip/{ruleId} aad:policy:put - POST /v1/aad/whiteip aad:policy:put - GET /v1/aad/whiteip aad:policy:get - DELETE /v1/aad/whiteip aad:policy:delete - POST /v1/aad/custom aad:policy:put - GET /v1/aad/custom aad:policy:get - PUT /v1/aad/custom/{ruleId} aad:policy:put - DELETE /v1/aad/custom/{ruleId} aad:policy:delete - GET /v1/aad/policy/details aad:policy:get - POST /v1/aad/cc/intelligent/modify aad:policy:put - GET /v1/aad/geoip/map aad:policy:get - GET /v1/aad/instances/{instance_id}/{ip}/ddos-statistics aad:dashboard:get - GET /v1/aad/protected-domains/{domain_id} aad:domain:get - GET /v1/aad/protected-domains aad:domain:list - PUT /v1/aad/protected-domains/{domain_id} aad:domain:put - POST /v1/aad/instances/{instance_id}/{ip}/rules/batch-create aad:forwardingRule:create - POST /v1/aad/instances/{instance_id}/{ip}/rules/batch-delete aad:forwardingRule:delete - GET /v1/aad/instances/{instance_id}/{ip}/rules aad:forwardingRule:list - PUT /v1/aad/instances/{instance_id}/{ip}/rules/{rule_id} aad:forwardingRule:put - GET /v1/aad/instances aad:instance:list -

绑定标签策略 方式一： 以组织管理员或管理账号的身份登录华为云，进入华为云Organizations控制台，进入组织管理页面。 选中要绑定标签策略的OU或者账号。 在右侧详情页，选择策略页签。展开“标签策略”列表，单击列表上方的“绑定”。 图1 绑定标签策略 在弹窗中选择要添加的策略后，单击“绑定”，完成策略绑定。 方式二： 在Organizations控制台，进入策略管理页。 单击“标签策略”，进入标签策略列表。 单击标签策略操作列的“绑定”，选中要绑定标签策略的OU或者账号。 图2 绑定标签策略 单击“确定”，完成策略绑定。

解绑标签策略 方式一： 以组织管理员或管理账号的身份登录华为云，进入华为云Organizations控制台，进入组织管理页面。 选中要解绑标签策略的OU或者账号。 在右侧详情页，选策略页签，展开“标签策略”列表，在列表中单击要解绑的标签策略操作列的“解绑”。 图3 解绑标签策略 在弹窗中单击“解绑”，完成策略解绑。 方式二： 在Organizations控制台，进入策略管理页。 单击“标签策略”，进入标签策略列表。 单击标签策略的名称，选择“目标”页签。 单击需要解绑的OU或账号操作列的“解绑”。 图4 解绑标签策略 单击“确定”，完成策略解绑。

查看账号列表 以组织管理员或管理账号的身份登录华为云，进入华为云Organizations控制台。 进入账号管理页，选择“账号列表”页签。 在列表中可查看组织中的全部账号及其相关信息。 在列表中单击账号名，可查看账号的详细信息。 在列表中的操作列，可对账号进行移动、移除、关闭操作。 邀请加入组织的账号可执行移动和移除操作，在组织中创建的账号可执行移动和关闭操作。 在列表左上方单击“添加”，可进行邀请现有账号和创建新账号加入组织的操作。 图1 账号相关操作

绑定SCP 方式一： 以组织管理员或管理账号的身份登录华为云，进入华为云Organizations控制台，进入组织管理页面。 选中要绑定SCP的OU或者账号。 在右侧详情页，选择策略页签，展开“服务控制策略”列表，单击列表上方的“绑定”。 图1 绑定SCP 在弹窗中选择要添加的策略后，单击“绑定”，完成策略绑定。 方式二： 在Organizations控制台，进入策略管理页。 单击“服务控制策略策略”，进入SCP策略列表页。 单击SCP策略操作列的“绑定”，选中要绑定SCP策略的OU或者账号。 单击“确定”，完成策略绑定。

解绑SCP 方法一： 以组织管理员或管理账号的身份登录华为云，进入华为云Organizations控制台，进入组织管理页面。 选中要解绑SCP的OU或者账号。 在右侧详情页，选策略页签，展开“服务控制策略”列表，在列表单击要解绑的SCP操作列的“解绑”。 在弹窗中单击“确定”，完成策略解绑。 OU和账号至少直接绑定一个SCP，最后一个直接绑定策略，不可解绑。 方式二： 在Organizations控制台，进入策略管理页。 单击“服务控制策略策略”，进入SCP策略列表页。 单击SCP策略的名称，选择“目标”页签。 单击需要解绑的OU或账号操作列的“解绑”。 单击“确定”，完成策略解绑。

启用SCP 在创建SCP并将其附加到组织单元和账号之前，必须先启用SCP，且只能使用组织的管理账号启用SCP。启用SCP后，组织将自动给所有OU和账号绑定FullAccess策略，默认允许所有操作。 以组织管理员或管理账号的身份登录华为云，进入华为云Organizations控制台。 进入策略管理页，单击“服务控制策略”操作列的“启用”。 图1 启用SCP 在弹窗中勾选确认框，然后单击“启用”，完成SCP功能启用。