-
什么是组织 组织是为管理多账号关系而创建的实体。一个组织由管理账号、成员账号、根OU、OU四个部分组成。一个组织有且仅有一个管理账号,若干个成员账号,以及由一个根OU和多层级OU组成的树状结构。成员账号可以关联在根OU或任一层级的OU。有关Organizations云服务的基本概念参见:基本概念。 本章节将为您呈现以下内容: 创建组织。使用您当前的账号作为管理账号创建组织,并邀请其他账号加入组织。 查看组织信息。查看根、组织、OU和账号的详细信息。 关闭组织。当您不再需要组织时关闭它。
-
创建组织策略 进入“组织策略管理”页面。 选择“全部策略”页签。 单击“创建策略”,进入“创建策略”页面。 设置策略相关信息。 JSON语法介绍请参见策略语法。 通过完全新建的方式创建策略 输入策略名称、策略描述等基本信息。 设置策略效果。 组织策略权限集效果: 拒绝:指定的操作拒绝,其他操作都允许。 允许:指定的操作允许,其他操作都拒绝。 组织策略实现原理: 企业中心添加子账号,子账号默认权限是所有操作都允许做。企业中心增加组织策略,组织策略对子账号的权限做约束。对于拒绝策略,实现时使用的是拒绝指定操作;对于允许策略,实现时使用的是拒绝所有操作,仅仅对允许做的操作不拒绝。 由策略的实现可知当子账号有多条拒绝策略时,每条拒绝策略都会生效。当子账号有多条允许策略时,只会有一条允许策略生效,其他允许策略不生效。因此建议您设置允许策略时,将子账号的所有允许操作都配置到一条策略中。 选择需要进行权限控制的云服务以及权限项。 单击“确认”。 通过复制现有策略的方式创建策略 输入策略名称、策略描述等基本信息。 单击“复制现有策略”。 系统弹出“复制现有策略”对话框。 选择需要的策略。 单击“确定”,已选策略的Action将在策略内容中显示。 根据实际需要修改策略内容中的Action。 单击“校验语法”。 系统提示“未发现语法问题,校验通过”。 单击“确认”。
-
响应参数 返回状态码为200:查询子组织成功,响应体参考GetSubOrgOut。 表2 GetSubOrgOut对象的参数列表 参数名称 类型 参数值域 默认值 参数说明 参数示例 errcode string - 0 错误码。当没有错误时返回0。 "0" errmsg string - 错误信息。当没有错误时返回空。 "" subOrgs ARRAY_REFERENCE 0-1000个列表项,详细请参见表3。 子组织列表。 - 表3 OrgInfo对象的参数列表 参数名称 类型 参数值域 默认值 参数说明 参数示例 orgId string - - 组织ID。 "b473118d-17ff-4f4f-9fa9-a4c0e1e87e42" path string - - 组织路径。 "/org1/org2" level int32 - - 组织所在层级。 "2"
-
响应示例 返回状态码为200:查询子组织成功,响应体参考GetSubOrgOut。 HTTP/1.1 200 OK
Date: Sun,11 May 2025 10:00:00 GMT
Server: example-server
Content-Type: application/json;charset=UTF-8
Content-Length: 250
Connection: keep-alive
{
"errcode" : "0",
"errmsg" : "",
"subOrgs" : [
{
"orgId" : "b473118d-17ff-4f4f-9fa9-a4c0e1e87e42",
"path" : "/org1/org2",
"level" : "2"
}
]
}
-
请求示例 HTTP的示例 GET /controller/campus/api/v1/organization/path/sub-org?path=/org1/org2 HTTP/1.1
Host: 192.168.1.125:18002
Content-Type: application/json
Accept: application/json
Accept-Language: en-US
X-AC
CES S-TOKEN: x-yyyyyy
-
请求示例 HTTP的示例 GET /controller/campus/api/v1/organization/path?path=/org1/org2 HTTP/1.1
Host: 192.168.1.125:18002
Content-Type: application/json
Accept: application/json
Accept-Language: en-US
X-ACCESS-TOKEN: x-yyyyyy
-
响应示例 返回状态码为200:查询组织成功,响应体参考GetOrgOut。 HTTP/1.1 200 OK
Date: Sun,11 May 2025 10:00:00 GMT
Server: example-server
Content-Type: application/json;charset=UTF-8
Content-Length: 250
Connection: keep-alive
{
"errcode" : "0",
"errmsg" : "",
"orgId" : "b473118d-17ff-4f4f-9fa9-a4c0e1e87e42",
"path" : "/org1/org2",
"level" : "2"
}
-
响应参数 返回状态码为200:查询组织成功,响应体参考GetOrgOut。 表2 GetOrgOut对象的参数列表 参数名称 类型 参数值域 默认值 参数说明 参数示例 errcode string - 0 错误码。当没有错误时返回0。 "0" errmsg string - 错误信息。当没有错误时返回空。 "" orgId string - - 组织ID。 "b473118d-17ff-4f4f-9fa9-a4c0e1e87e42" path string - - 组织路径。 "/org1/org2" level int32 - - 组织所在层级。 "2"
-
响应示例 返回状态码为200:查询子组织成功,响应体参考GetSubOrgOut。 HTTP/1.1 200 OK
Date: Sun,11 May 2025 10:00:00 GMT
Server: example-server
Content-Type: application/json;charset=UTF-8
Content-Length: 250
Connection: keep-alive
{
"errcode" : "0",
"errmsg" : "",
"subOrgs" : [
{
"orgId" : "b473118d-17ff-4f4f-9fa9-a4c0e1e87e42",
"path" : "/org1/org2",
"level" : "2"
}
]
}
-
请求示例 HTTP的示例 GET /controller/campus/api/v1/organization/id/sub-org?id=b473118d-17ff-4f4f-9fa9-a4c0e1e87e42 HTTP/1.1
Host: 192.168.1.125:18002
Content-Type: application/json
Accept: application/json
Accept-Language: en-US
X-ACCESS-TOKEN: x-yyyyyy
-
响应示例 返回状态码为200:批量删除组织成功,响应体参考BatchOperOrgOut。 HTTP/1.1 200 OK
Date: Sun,11 May 2025 10:00:00 GMT
Server: example-server
Content-Type: application/json;charset=UTF-8
Content-Length: 250
Connection: keep-alive
{
"errcode" : "0",
"errmsg" : "",
"successList" : ["/org1/org2","/org11/org22"],
"failList" : [
{
"org" : "/org1/org2",
"errcode" : "0",
"errmsg" : ""
}
]
}
-
请求示例 HTTP的示例 POST /controller/campus/api/v1/organization/id/delete HTTP/1.1
Host: 192.168.1.125:18002
Content-Type: application/json
Accept: application/json
Accept-Language: en-US
X-ACCESS-TOKEN: x-yyyyyy
{
"orgs" : ["b473118d-17ff-4f4f-9fa9-a4c0e1e87e42","5f051024-f9bb-49f4-9cd5-2c08d7965f69"],
"cascade" : true
}
-
请求示例 HTTP的示例 PUT /controller/campus/api/v1/organization/id HTTP/1.1
Host: 192.168.1.125:18002
Content-Type: application/json
Accept: application/json
Accept-Language: en-US
X-ACCESS-TOKEN: x-yyyyyy
{
"names" : [
{
"org" : "/org1/org2",
"name" : "org22"
}
]
}
-
响应示例 返回状态码为200:批量修改组织成功,响应体参考BatchOperOrgOut。 HTTP/1.1 200 OK
Date: Sun,11 May 2025 10:00:00 GMT
Server: example-server
Content-Type: application/json;charset=UTF-8
Content-Length: 250
Connection: keep-alive
{
"errcode" : "0",
"errmsg" : "",
"successList" : ["/org1/org2","/org11/org22"],
"failList" : [
{
"org" : "/org1/org2",
"errcode" : "0",
"errmsg" : ""
}
]
}
-
组织管理的基本概念 组织 为管理多账号关系而创建的实体。一个组织由管理账号、成员账号、根组织单元、组织单元四个部分组成。一个组织有且仅有一个管理账号,若干个成员账号,以及由一个根组织单元和多层级组织单元组成的树状结构。成员账号可以关联在根组织单元或任一层级的组织单元。组织管理页面所呈现的,即为一个组织。 根组织单元 Landing Zone搭建的组织树顶端。 核心组织单元(安全OU) 此OU关联了日志存档账号和审计账号(又称为核心账号)。日志存档账号用于存储所有账号的操作和资源配置的日志,审计账号作为安全管理账号对整个组织的安全负责并具有对其他账号进行安全审计的权限。搭建Landing Zone时,用户可以自定义相关组织单元和账号名称,也可以使用管理账号所在组织内的现有账号作为日志存档账号或者审计账号进行纳管。 使用现有账号作为核心账号前,邀请进组织内的账号进行设置委托,在组织中创建的账号不进行设置委托,设置委托的详细操作请参阅前提条件。如果现有账号包含已使用配置审计Config服务且存在资源记录器,系统会将该账号的资源记录器配置进行覆盖。 组织单元 组织单元是可以理解为成员账号的容器或分组单元,通常可以映射为企业的部门、子公司或者项目族等。组织单元可以嵌套,一个组织单元只能有一个父组织单元,一个组织单元下可以关联多个子组织单元或者成员账号。 注册组织单元 在RGC中创建的组织单元,系统将会自动注册。在组织中创建的组织单元需要手动进行注册,Landing Zone就可以对组织单元进行监管。 附加组织单元 默认创建附加组织单元,Sandbox OU,用于关联用户测试环境相关账号。用户可基于自身诉求调整该组织单元名称,用于其他用途。 管理账号 管理账号通常是搭建Landing Zone的账号。管理账号可以注册组织单元或账号,将组织单元或账号纳管至Landing Zone中。 成员账号 成员账号为关联在根组织单元或者任一个组织单元下的账号。 纳管账号 在RGC中创建的账号,系统将会自动纳管。在组织中创建的账号需要手动进行纳管,Landing Zone可以对账号进行监管。
