策略参数 策略参数包含Version和Statement两部分，下面介绍策略参数详细说明。 表1 策略参数说明 参数 是否必选 含义 值 Version 必选 策略的版本。 5.0（不可自定义） Statement： 策略的授权语句 Statement Sid 可选 策略语句标识符。您可为语句数组中的每个策略语句指定Sid值。 用户自定义字符串。 Effect：作用 必选 定义Action中的操作权限是否允许执行。 Deny：不允许执行。 Action：授权项 Deny时可选 操作权限。 格式为“服务名:资源类型:操作”。例如“vpc:subnets:list”：表示查看VPC子网列表权限，其中vpc为服务名，subnets为资源类型，list为操作。 Condition：条件 Deny时可选 使策略生效的特定条件，包括条件键和运算符。 格式为“条件运算符:{条件键：[条件值1,条件值2]}”。 如果您设置多个条件，同时满足所有条件时，该策略才生效。 示例: "StringEndWithIfExists":{"g:UserName":["specialCharacter"]}：表示当用户输入的用户名以"specialCharacter"结尾时该条statement生效。 Resource：资源类型 可选 未指定时，Resource默认为“*”，策略应用到所有资源。 策略所作用的资源。 Deny时，可选择“*”或具体资源，格式为“服务名:region:domainId:资源类型:资源路径”, 资源类型支持通配符号*，通配符号*表示所有。 示例："ecs:*:*:instance:*"：表示所有的E CS 实例。 NotResource: 排除在策略外的资源类型 可选 未指定时，参考Resource。 策略不作用的资源。 SCP中不支持以下元素： Principal NotPrincipal NotAction

移动成员账号 登录到管理账号后，您可以移动组织内的账号，将账号从当前组织单元，移动到其他的组织单元中。 以组织管理员或管理账号的身份登录华为云，进入华为云Organizations控制台，进入组织管理页面。 选中要移动的账号。单击组织结构树上方的管理，选择“移动账号”。 图1 移动账号 在弹窗中选中要移动的目标组织单元，在下方的文本框中输入“确认”，然后单击“确定”，完成账号移动。 父主题： 账号管理

约束与限制 只有创建的账号才可以关闭，无法关闭邀请的账号。 创建的账号如已转为云账号则无法关闭。 已设置为委托管理员的账号无法关闭，如需关闭请先取消委托管理员。 管理账号在30天内仅可以关闭组织中10%的成员账号，最多支持关闭200个成员账号，最多可以同时关闭3个成员账号。 创建新账号时，不能使用关闭中状态的账号所关联的手机号、邮箱。 如果账号中存在预付费资源（一般为包年/包月计费模式，先付费后使用）则无法关闭，请提前确认并退订相关包年/包月资源后，再进行关闭账号操作。如何退订资源请参见退订使用中的资源。 如果账号中存在欠费资源则无法关闭，请及时进行充值还款后，再进行关闭账号操作。如何充值还款请参见充值还款。

解绑SCP 方法一： 以组织管理员或管理账号的身份登录华为云，进入华为云Organizations控制台，进入组织管理页面。 选中要解绑SCP的OU或者账号。 在右侧详情页，选策略页签，展开“服务控制策略”列表，在列表单击要解绑的SCP操作列的“解绑”。 在弹窗中输入“确认”，单击“确定”，完成策略解绑。 图3 解绑SCP OU和账号至少直接绑定一个SCP，最后一个直接绑定策略，不可解绑。 方式二： 在组织管理控制台，进入策略管理页。 单击“服务控制策略策略”，进入SCP策略列表页。 单击SCP策略的名称，选择“目标”页签。 单击需要解绑的OU或账号操作列的“解绑”，在弹窗中输入“确认”，单击“确定”，完成策略解绑。 图4 解绑SCP

绑定SCP 方式一： 以组织管理员或管理账号的身份登录华为云，进入华为云Organizations控制台，进入组织管理页面。 选中要绑定SCP的OU或者账号。 在右侧详情页，选择策略页签，展开“服务控制策略”列表，单击列表上方的“绑定”。 图1 绑定SCP 在弹窗中选择要添加的策略后，在文本框中输入“确认”，然后单击“确认”按钮，完成策略绑定。 方式二： 在组织管理控制台，进入策略管理页。 单击“服务控制策略策略”，进入SCP策略列表页。 单击SCP策略操作列的“绑定”，选中要绑定SCP策略的OU或者账号。 在弹窗中输入“确认”，单击“确定”，完成策略绑定。 图2 绑定SCP

通过委托登录创建的账号 鼠标移动至右上方的用户名，选择“其他”，进入切换角色页面。 图3 切换角色 在“切换角色”页面中，输入创建的账号名称。 图4 输入创建的账号名称 输入账号名称后，系统将会按照顺序自动匹配创建账号时输入的委托名称。匹配的委托名称中，也会出现以cbc_开头的委托名称，该委托主要用于企业主账号对企业费用的统一管理，对子账号进行委托授权。需要选用创建账号时输入的委托名称。 单击“确定”，切换至创建的新账号中。

创建账号 以组织管理员或管理账号的身份登录华为云，进入华为云Organizations控制台，进入组织管理页面。 单击组织结构树上方的“添加”，单击“添加账号”。 图1 添加账号 在弹窗中，选择“创建新账号”。 输入账号名称，账号描述根据需要选择输入。注意，创建的账号名称不能与已有账号名称重复。 系统会默认提供委托名，可以保持默认，或者进行自定义修改。 图2 新建账号 （可选）为账号添加标签。 标签以键值对的形式表示，用于标识账号，便于对账号进行分类和搜索。一个账号最多添加20个标签。 标签的设置说明如表1所示。 表1 标签说明 参数 说明 举例 键 输入标签的键，同一个账号标签的键不能重复。键可以自定义，也可以选择预先在标签管理服务（TMS）创建好的标签的键。 键命名规则如下： 不能为空。 长度为1~128个字符。 由英文字母、数字、下划线、中划线、UNICODE字符（\u4E00-\u9FFF）组成。 Key_0001 值 输入标签的值，标签的值可以重复，并且可以为空。 标签值的命名规则如下： 可以为空。 长度为1~225个字符。 由英文字母、数字、下划线、点、中划线、UNICODE字符（\u4E00-\u9FFF）组成。 Value_0001 单击“确定”，创建成功的账号将会显示在列表中。

支持审计的关键操作 通过 云审计 服务，您可以记录与组织云服务相关的操作事件，便于日后的查询、审计和回溯。 表1 云审计支持的Organizations操作列表 操作名称 资源类型 事件名称 创建组织 organization createOrganization 查询所属组织信息 organization showOrganization 关闭组织 organization deleteOrganization 退出组织 organization leaveOrganization 列出组织的根 root listRoots 创建组织单元 organizationUnit createOrganizationalUnit 列出组织单元 organizationUnit listOrganizationalUnits 查询有关组织单元的信息 organizationUnit showOrganizationalUnit 修改组织单元 organizationUnit updateOrganizationalUnit 删除组织单元 organizationUnit deleteOrganizationalUnit 邀请账号 account inviteAccount 创建账号 account createAccount 创建账号 account createAccountV2 关闭账号 account closeAccount 更新账号 account updateAccount 移动账号 account moveAccount 移除账号 account removeAccount 列出组织中的账号 account listAccounts 查询账号信息 account showAccount 列出创建账号的状态 accountStatus listCreateAccountStatuses 查询有关创建账号状态的信息 accountStatus showCreateAccountStatus 列出关闭账号的状态 accountStatus listCloseAccountStatuses 接受邀请 handshake acceptHandshake 拒绝邀请 handshake declineHandshake 取消邀请 handshake cancelHandshake 查询邀请相关信息 handshake showHandshake 列出收到的邀请 handshake listReceivedHandshakes 列出发送的邀请 handshake listHandshakes 启用可信服务 trustedService enableTrustedService 禁用可信服务 trustedService disableTrustedService 列出组织的可信服务列表 trustedService listTrustedServices 设置委托管理员 delegatedAdministrator registerDelegatedAdministrator 取消委托管理员 delegatedAdministrator deregisterDelegatedAdministrator 列出指定账号是其委托管理员的服务 delegatedAdministrator listDelegatedServices 列出此组织中指定为委托管理员的账号 delegatedAdministrator listDelegatedAdministrators 创建策略 policy createPolicy 修改策略 policy updatePolicy 删除策略 policy deletePolicy 列出策略 policy listPolicies 查询策略相关信息 policy showPolicy 启用策略类型 policy enablePolicyType 禁用策略类型 policy disablePolicyType 查询组织策略的dry run的配置 policy showDryRunConfig 更新组织策略的dry run的配置 policy updateDryRunConfig 创建dry run策略 policy createDryRunPolicy 列出dry run策略 policy listDryRunPolicies 查询dry run策略相关信息 policy showDryRunPolicy 更新dry run策略相关信息 policy updateDryRunPolicy 删除dry run策略相关信息 policy deleteDryRunPolicy 绑定策略 policy attachPolicy 解绑策略 policy detachPolicy 将dry run策略跟实体绑定 policy attachDryRunPolicy 将dry run策略跟实体解绑 policy detachDryRunPolicy 列出跟指定策略绑定的所有实体 policy listEntitiesForPolicy 列出跟指定dry run策略绑定的所有实体 policy listEntitiesForDryRunPolicy 查询有效的策略 policy showEffectivePolicies 添加标签 account organizationUnit policy root tag tagResource 删除标签 account organizationUnit policy root tag untagResource 列出绑定到指定资源的标签 account organizationUnit policy root tag listTagsForResource 列出组织中的根、组织单元和账号 entity listEntities 列出所有可以与组织服务集成的云服务 service listServices 列出被添加到标签策略强制执行的资源类型 policy listTagPolicyServices 列出绑定到指定资源的标签 account organizationUnit policy root tag listTagResources 为指定资源添加标签 account organizationUnit policy root tag createTagResource 从指定资源中删除指定主键标签 account organizationUnit policy root tag deleteTagResource 根据资源类型及标签信息查询实例列表 resourceInstance listResourceInstances 根据资源类型及标签信息查询实例数量 resourceCount showResourceInstancesCount 查询项目标签 tag listResourceTags 列出租户的组织配额 quota listQuotas 父主题： 使用 CTS 审计组织操作事件

阻止 IAM 用户和委托进行某些修改，但指定的账号除外 使用此SCP阻止IAM用户和委托对组织内所有账号创建的资源共享进行修改，但指定的账号除外。 { "Version": "5.0", "Statement": [ { "Effect": "Deny", "Action": [ "ram:resourceShares:update", "ram:resourceShares:delete", "ram:resourceShares:associate", "ram:resourceShares:disassociate", "ram:resourceShares:associatePermission", "ram:resourceShares:disassociatePermission" ], "Resource": [ "ram::*:resourceShare:resource-id" ], "Condition": { "StringNotEquals": { "g:DomainId": [ "account-id"【备注：此处需填写排除账号的ID】 ] } } } ] }

使用NotResource，除指定的ecs实例外，阻止对其他ecs实例的启动 如下SCP表示禁止启动除ecs:*:8c1eef3a241xxxxxxxxx3a6b0252e783:instance:test-ecs外的其他ecs实例，通过NotResource将ecs:*:8c1eef3a241xxxxxxxxx3a6b0252e783:instance:test-ecs排除在外。 { "Version": "5.0", "Statement": [ { "Effect": "Deny", "Action": [ "ecs:cloudServers:start" ], "NotResource": [ "ecs:*:8c1eef3a241xxxxxxxxx3a6b0252e783:instance:test-ecs" ] } ] }

阻止根用户的服务访问 使用以下SCP禁止成员账号使用根用户执行指定的操作。您可以根据需要修改SCP语句中的操作（Action）和资源类型（Resource）。 { "Version": "5.0", "Statement": [ { "Effect": "Deny", "Action": [ "ecs:*:*" ], "Resource": [ "*" ], "Condition": { "BoolIfExists": { "g:PrincipalIsRootUser": "true" } } } ] }

禁止访问指定区域的资源 如下SCP表示禁止用户访问“regionid1”区域的ECS服务的全部资源。您可以根据需要修改SCP语句中的操作（Action）、资源类型（Resource）和条件（Condition）。 此SCP仅适用于区域级服务，SCP中的“regionid1”仅为区域示例，使用时请填入具体区域ID。 { "Version":"5.0", "Statement":[ { "Effect":"Deny", "Action":["ecs:*:*"], "Resource":["*"], "Condition":{ "StringEquals":{ "g:RequestedRegion":"ap-southeast-1" } } } ] }

禁止共享指定类型的资源 使用以下SCP禁止用户共享VPC子网资源。您可以根据需要修改SCP语句条件键（Condition）元素中的资源类型。 { "Version": "5.0", "Statement": [ { "Effect": "Deny", "Action": [ "ram:resourceShares:create" ], "Resource": [ "*" ], "Condition": { "ForAnyValue:StringEquals": { "ram:RequestedResourceType": [ "vpc:subnet"【备注：可根据需要修改此处的资源类型】 ] } } } ] }

阻止IAM用户和委托进行某些修改 使用此SCP阻止IAM用户和委托对组织内所有账号创建的资源共享进行修改。 { "Version": "5.0", "Statement": [ { "Effect": "Deny", "Action": [ "ram:resourceShares:update", "ram:resourceShares:delete", "ram:resourceShares:associate", "ram:resourceShares:disassociate", "ram:resourceShares:associatePermission", "ram:resourceShares:disassociatePermission" ], "Resource": [ "ram::*:resourceShare:resource-id" ] } ] }

阻止IAM用户和委托进行某些修改，但指定的委托除外 使用此SCP阻止IAM用户和委托对组织内所有账号创建的资源共享进行修改，但指定的委托除外。 { "Version": "5.0", "Statement": [ { "Effect": "Deny", "Action": [ "ram:resourceShares:create" ], "Resource": [ "*" ], "Condition": { "StringNotMatch": { "g:PrincipalUrn": "sts::*:assumed-agency:AgencyName/*" } } } ] }