华为云用户手册

CCM 控制策略名称 功能 场景 严重程度 资源 规则参数是否必填 RGC-GR_CONFIG_PCA_CERTIFICATE_AUTHORITY_EXPIRATION_CHECK 私有CA在指定时间内过期，视为“不合规”。 加密传输中的数据 中 ccm:::privateCertificate 不涉及 RGC-GR_CONFIG_PCA_CERTIFICATE_EXPIRATION_CHECK 私有证书在指定时间内到期，视为“不合规”。 加密传输中的数据 中 ccm:::privateCertificate 不涉及

APIG 控制策略名称 功能 场景 严重程度 资源 规则参数是否必填 RGC-GR_CONFIG_APIG_INSTAN CES _AUTHORIZATION_TYPE_CONFIGURED APIG专享版实例中如果存在API安全认证为“无认证”，则视为“不合规”。 加密传输中的数据 中 apig:::instance 不涉及 RGC-GR_CONFIG_APIG_INSTANCES_SSL_ENABLED APIG专享版实例如果有 域名 未关联SSL证书，则视为“不合规”。 加密传输中的数据 中 apig:::instance 不涉及

RGC-GR_ SMN _CHANGE_PROHIBITED 名称：不允许修改RGC设置的SMN通知 实现：SCP 类型：预防性控制策略 功能：防止更改RGC设置的SMN通知设置。 { "Version": "5.0", "Statement": [{ "Sid": "SMN_CHANGE_PROHIBITED", "Effect": "Deny", "Action": [ "smn:topic:update*", "smn:topic:delete*" ], "Resource": [ "*" ], "Condition": { "StringNotMatch": { "g:PrincipalUrn": "sts::*:assumed-agency:RG CS erviceExecutionAgency/*" }, "ForAnyValue:StringMatch": { "g:ResourceTag/rgcservice-managed": [ "RGC-SecurityNotifications", "RGC-AllConfigNotifications", "RGC-AggregateSecurityNotifications" ] } } }, { "Sid": "SMN_TAG_CHANGE_PROHIBITED", "Effect": "Deny", "Action": [ "smn:tag:create", "smn:tag:delete" ], "Resource": [ "*" ], "Condition": { "StringNotMatch": { "g:PrincipalUrn": "sts::*:assumed-agency:RGCServiceExecutionAgency/*" }, "ForAnyValue:StringMatch": { "g:TagKeys": "rgcservice-managed" } } } ] }

RGC-GR_SMN_SUBSCRIPTION_CHANGE_PROHIBITED 名称：不允许订阅RGC设置的SMN通知 实现：SCP 类型：预防性控制策略 功能：防止更改RGC设置的SMN主题订阅，此订阅用于触发配置规则合规性更改的通知。 { "Version": "5.0", "Statement": [{ "Sid": "SMN_SUBSCRIPTION_CHANGE_PROHIBITED", "Effect": "Deny", "Action": [ "smn:topic:subscribe", "smn:topic:deleteSubscription" ], "Resource": [ "*" ], "Condition": { "StringNotMatch": { "g:PrincipalUrn": "sts::*:assumed-agency:RGCServiceExecutionAgency/*" }, "ForAnyValue:StringMatch": { "g:ResourceTag/rgcservice-managed": [ "RGC-SecurityNotifications", "RGC-AllConfigNotifications", "RGC-AggregateSecurityNotifications" ] } } }] }

RGC-GR_DETECT_ CTS _ENABLED_ON_SHARED_ACCOUNTS 名称：CTS追踪器未转储到LTS，视为“不合规” 实现：Config rule 类型：检测性控制策略 功能：检测CTS追踪器是否已转储到LTS。 terraform { required_providers { huaweicloud = { source = "huawei.com/provider/huaweicloud" version = "1.49.0" } } } provider "huaweicloud" { endpoints = {} insecure = true } variable "ConfigName" { description = "config name" type = string default = "cts-lts-enable" } variable "PolicyAssignmentName" { description = "policy assignment name" type = string default = "rgc_cts_lts_enable" } variable "ConfigRuleDescription" { description = "config rule description" type = string default = "CTS追踪器未转储到LTS，视为“不合规”" } variable "ResourceProvider" { description = "resource provider" type = string default = "cts" } variable "ResourceType" { description = "resource type" type = string default = "trackers" } variable "RegionName" { description = "policy region" type = string } data "huaweicloud_rms_policy_definitions" "ctsltsenable" { name = var.ConfigName } resource "huaweicloud_rms_policy_assignment" "cts_lts_enable" { name = format("%s_%s", var.PolicyAssignmentName, var.RegionName) description = var.ConfigRuleDescription policy_definition_id = try (data.huaweicloud_rms_policy_definitions.ctsltsenable.definitions[0].id, "") status = "Enabled" parameters = { } policy_filter { region = var.RegionName resource_provider = var.ResourceProvider resource_type = var.ResourceType } }

RGC-GR_AUDIT_BUCKET_ LOG GING_CONFIGURATION_CHANGES_PROHIBITED 名称：不允许修改日志桶的桶日志配置 实现：SCP 类型：预防性控制策略 功能：防止对RGC创建的OBS桶进行配置更改。 { "Version": "5.0", "Statement": [{ "Sid": "AUDIT_BUCKET_LOGGING_CONFIGURATION_CHANGES_PROHIBITED", "Effect": "Deny", "Action": [ "obs:bucket:PutBucketLogging" ], "Resource": [ "obs:*::bucket:rgcservice-managed-*-logs-*" ], "Condition": { "StringNotMatch": { "g:PrincipalUrn": "sts::*:assumed-agency:RGCServiceExecutionAgency/*" } } }] }

RGC-GR_AUDIT_BUCKET_POLICY_CHANGES_PROHIBITED 名称：不允许修改日志桶的桶策略 实现：SCP 类型：预防性控制策略 功能：防止对RGC创建的OBS桶的策略进行更改。 { "Version": "5.0", "Statement": [{ "Sid": "AUDIT_BUCKET_POLICY_CHANGES_PROHIBITED", "Effect": "Deny", "Action": [ "obs:bucket:PutBucketPolicy", "obs:bucket:DeleteBucketPolicy" ], "Resource": [ "obs:*::bucket:rgcservice-managed-*-logs-*" ], "Condition": { "StringNotMatch": { "g:PrincipalUrn": "sts::*:assumed-agency:RGCServiceExecutionAgency/*" } } }] }

RGC-GR_AUDIT_BUCKET_DELETION_PROHIBITED 名称：不允许删除日志桶 实现：SCP 类型：预防性控制策略 功能：防止删除RGC在日志归档账号中创建的OBS桶。 { "Version": "5.0", "Statement": [{ "Sid": "AUDIT_BUCKET_DELETION_PROHIBITED", "Effect": "Deny", "Action": [ "obs:bucket:DeleteBucket" ], "Resource": [ "obs:*::bucket:rgcservice-managed-*-logs-*" ], "Condition": { "StringNotMatch": { "g:PrincipalUrn": "sts::*:assumed-agency:RGCServiceExecutionAgency/*" } } }] }

RGC-GR_AUDIT_BUCKET_LIFECYCLE_CONFIGURATION_CHANGES_PROHIBITED 名称：不允许修改日志桶的生命周期 实现：SCP 类型：预防性控制策略 功能：防止对RGC创建的OBS桶的生命周期配置进行更改。 { "Version": "5.0", "Statement": [{ "Sid": "AUDIT_BUCKET_LIFECYCLE_CONFIGURATION_CHANGES_PROHIBITED", "Effect": "Deny", "Action": [ "obs:bucket:PutLifecycleConfiguration" ], "Resource": [ "obs:*::bucket:rgcservice-managed-*-logs-*" ], "Condition": { "StringNotMatch": { "g:PrincipalUrn": "sts::*:assumed-agency:RGCServiceExecutionAgency/*" } } }] }

RGC-GR_CONFIG_CHANGE_PROHIBITED 名称：不允许更改Config记录器 实现：SCP 类型：预防性控制策略 功能：防止对Config进行配置更改。 { "Version": "5.0", "Statement": [{ "Sid": "CONFIG_CHANGE_PROHIBITED", "Effect": "Deny", "Action": [ "rms:trackerConfig:delete", "rms:trackerConfig:put" ], "Resource": [ "*" ], "Condition": { "StringNotMatch": { "g:PrincipalUrn": "sts::*:assumed-agency:RGCServiceExecutionAgency/*" } } }] }

RGC-GR_AUDIT_BUCKET_ENCRYPTION_CHANGES_PROHIBITED 名称：不允许修改日志桶的加密配置 实现：SCP 类型：预防性控制策略 功能：防止对RGC创建的OBS桶的加密配置进行更改。 { "Version": "5.0", "Statement": [{ "Sid": "AUDIT_BUCKET_ENCRYPTION_CHANGES_PROHIBITED", "Effect": "Deny", "Action": [ "obs:bucket:PutEncryptionConfiguration" ], "Resource": [ "obs:*::bucket:rgcservice-managed-*-logs-*" ], "Condition": { "StringNotMatch": { "g:PrincipalUrn": "sts::*:assumed-agency:RGCServiceExecutionAgency/*" } } }] }

RGC-GR_CES_CHANGE_PROHIBITED 名称：不允许对RGC配置的CES进行更改 实现：SCP 类型：预防性控制策略 功能：防止更改RGC为监控环境而设置的CES配置。 { "Version": "5.0", "Statement": [{ "Sid": "CES_CHANGE_PROHIBITED", "Effect": "Deny", "Action": [ "ces:alarms:put*", "ces:alarms:delete*", "ces:alarms:addResources" ], "Resource": [ "*" ], "Condition": { "StringNotMatch": { "g:PrincipalUrn": "sts::*:assumed-agency:RGCServiceExecutionAgency/*" }, "StringMatch": { "g:ResourceTag/rgcservice-managed": "RGC-ConfigComplianceChangeEventRule" } } }, { "Sid": "CES_TAG_CHANGE_PROHIBITED", "Effect": "Deny", "Action": [ "ces:tags:create" ], "Resource": [ "*" ], "Condition": { "StringNotMatch": { "g:PrincipalUrn": "sts::*:assumed-agency:RGCServiceExecutionAgency/*" }, "ForAnyValue:StringMatch": { "g:TagKeys": "rgcservice-managed" } } } ] }

RGC-GR_FUNCTIONGRAPH_CHANGE_PROHIBITED 名称：不允许修改RGC设置的FunctionGraph函数 实现：SCP 类型：预防性控制策略 功能：不允许更改RGC设置的FunctionGraph函数。 { "Version": "5.0", "Statement": [{ "Sid": "FUNCTIONGRAPH_CHANGE_PROHIBITED", "Effect": "Deny", "Action": [ "functiongraph:function:createFunction", "functiongraph:function:deleteFunction", "functiongraph:function:updateFunctionCode", "functiongraph:function:updateMaxInstanceConfig", "functiongraph:function:createVersion", "functiongraph:function:createEvent", "functiongraph:function:deleteEvent", "functiongraph:function:updateEvent", "functiongraph:function:updateReservedInstanceCount", "functiongraph:function:updateFunctionConfig" ], "Resource": [ "functiongraph:*:*:function:rgcservice-managed/RGC-NotificationForwarder" ], "Condition": { "StringNotMatch": { "g:PrincipalUrn": "sts::*:assumed-agency:RGCServiceExecutionAgency/*" } } }] }

控制策略类型介绍 预防性控制策略：策略主体为SCP服务控制策略，任何在策略中显性拒绝的操作都会被拦截。预防性控制策略在指定OU上生效之后，该OU所有直系子级账号均会继承该策略。 检测性控制策略：策略主体为Config合规规则，不合规的资源配置会被检测发现并反馈给用户，用户可以在资源治理中心服务控制台查看不合规的资源列表。检测性控制策略在指定OU上生效后，该OU所有直系子级账号均会根据规则要求检测不合规配置的发生。 主动性控制策略：主动控制策略基于ResourceFormation hook，该类型的策略在基于IaC模板编排云上资源之前，会检视IaC模板内描述的资源配置，若与策略内预置的合规配置冲突，则会拦截IaC模板进入下一步的编排动作。

实施类型 必选：这部分策略在开启RGC服务并搭建Landing Zone后，便在核心OU和核心账号上强制自动生效，而且无法禁用。 强烈推荐：基于华为云治理最佳实践强烈推荐的合规遵从管控策略，大部分企业用户在云上治理多账号环境时大概率会涉及相关场景和服务，建议Landing Zone搭建完成之后，企业用户自主启用。 可选：企业云上治理过程中，部分企业用户可能会涉及相关控制策略，可以根据具体情况灵活选用相关策略。

操作步骤 以RGC管理账号的身份登录华为云，进入华为云RGC控制台。 进入组织管理页，单击需要查看OU的名称。 图1 查看OU 在基本信息中，可以查看OU的状态、父组织单元、已纳管的账号数、已启用的控制策略、已注册的组织单元数、外部SCP。 图2 查看OU基本信息 选择“不合规资源”页签，将会显示当前OU下存在的不合规资源，以及不合规资源ID、类型、服务和所在区域等。 图3 查看不合规资源 选择“已启用控制策略”页签，将会显示当前OU下已启用的控制策略。 如需了解控制策略详情，请参考查看控制策略详情。 图4 查看已启用控制策略 选择“直系组织单元”页签，将会显示当前OU下的直系OU信息，包括各OU的注册状态、已注册的直系OU以及已纳管的账号。 图5 查看直系OU 选择“直系子账号”页签，将会显示当前OU下的直系子账号信息，包括子账号的名称和纳管状态。 图6 查看直系子账号

操作步骤 以RGC管理账号的身份登录华为云，进入华为云RGC控制台。 进入组织管理页，单击需要注册OU所在行“操作”列的“注册”。 图1 注册OU 确认子账号和OU上控制策略的信息。确认无误后，勾选“我了解重新注册组织单元的相关风险，并且我同意RGC服务将必要的角色和权限应用于我的组织单元和账号。”。 图2 确认OU信息 单击“注册”，注册OU需要等待一段时间。可以在组织结构中查看OU的注册结果。注册成功后，OU将会受到Landing Zone的监管。

前提条件 此步骤仅适用需要纳管邀请进组织的账号，纳管在组织中创建的账号请跳过此步骤直接纳管账号即可。 以纳管账号的身份登录华为云，进入华为云 IAM 控制台。 在左侧导航窗格中，选择“委托”页签，单击右上方的“创建委托”。 图1 创建委托 设置“委托名称”为“RGCServiceExecutionAgency”。 图2 委托名称 “委托类型”选择“普通账号”，在“委托的账号”中输入RGC管理账号名。 选择“持续时间”，填写“描述”信息。 单击“完成”。 在授权的确认弹窗中，单击“立即授权”。 勾选以下三个需要授予委托的权限，分别是：Security Administrator、FullAccess和Tenant Guest。 图3 需要授予委托的权限 单击“下一步”，选择权限的作用范围。 单击“确定”，委托创建完成。RGC管理账号即可在RGC控制台中参考操作步骤完成账号纳管。 RGCServiceExecutionAgency委托创建后不允许删除，否则将会导致RGC服务不可用。

操作步骤 以RGC管理账号的身份登录华为云，进入华为云RGC控制台。 进入组织管理页，单击需要纳管的账号所在行“操作”列的“纳管”。 图4 纳管账号 配置所属组织单元。选择一个已注册的组织单元，并为此账户启用该组织单元配置的所有控制策略。 图5 选择组织单元 （可选）配置账号工厂的 RFS 模板。选择使用的RFS模板和模板的版本，如选择通过模板创建账号，可以实现账号的批量复制创建。 更多关于 资源编排 服务RFS模板的信息，请参考RFS模板介绍。 选择模板：选择在RFS中创建好的模板。 模板版本：选择模板的版本。 配置参数：根据业务需求，修改模板中的参数配置。 图6 配置模板 单击“纳管账号”。可以在组织结构中确认账号的纳管结果。纳管成功后，账号将会受到Landing Zone的监管。

约束与限制 如果账号在纳管前已使用配置审计Config服务且存在资源记录器，纳管后系统会将该账号的资源记录器配置进行覆盖，请谨慎操作。 如果您希望将账号通过纳管账号的方式从某个Landing Zone转移至另一个Landing Zone中，请先将账号从原Landing Zone中取消纳管后，再在当前Landing Zone中执行纳管操作。如果您已在当前Landing Zone中完成账号纳管，请手动将在原Landing Zone中该账号的相关资源包括委托、策略等删除，否则将会出现错误。 纳管邀请进组织的账号需要根据前提条件完成相应配置，否则账号将会纳管失败。

操作步骤 以RGC管理员身份登录华为云，进入华为云RGC控制台。 进入组织管理页，单击“创建账号”。 图1 创建账号 配置账号基本信息。输入账号名、手机号。不能与其他账号重复。 基本信息中的手机号，仅展示作用，不用于密码找回等场景。 图2 填写基本信息 配置IAM身份中心的信息。输入IAM身份中心邮箱地址和用户名。 创建账号后，系统将会同步创建一个IAM身份中心的用户。创建的用户可以使用IAM身份中心的门户URL进行登录，并且可以使用IAM身份中心邮箱地址进行密码找回等。 图3 配置IAM身份中心信息 配置所属组织单元。选择一个已注册的组织单元，并为此账户启用该组织单元配置的所有控制策略。 图4 选择组织单元 （可选）配置账号工厂的RFS模板。选择使用的RFS模板和模板的版本，如选择通过模板创建账号，可以实现账号的批量复制创建。 更多关于资源编排服务RFS模板的信息，请参考RFS模板介绍。 选择模板：选择在RFS中创建好的模板。 模板版本：选择模板的版本。 配置参数：根据业务需求，修改模板中的参数配置。 图5 配置模板 单击“创建账号”，创建成功的账号将会显示在列表中。

组织管理的基本概念 组织 为管理多账号关系而创建的实体。一个组织由管理账号、成员账号、根组织单元、组织单元四个部分组成。一个组织有且仅有一个管理账号，若干个成员账号，以及由一个根组织单元和多层级组织单元组成的树状结构。成员账号可以关联在根组织单元或任一层级的组织单元。组织管理页面所呈现的，即为一个组织。 根组织单元 Landing Zone搭建的组织树顶端。 核心组织单元（安全OU） 此OU关联了日志存档账号和审计账号（又称为核心账号）。日志存档账号用于存储所有账号的操作和资源配置的日志，审计账号作为安全管理账号对整个组织的安全负责并具有对其他账号进行安全审计的权限。搭建Landing Zone时，用户可以自定义相关组织单元和账号名称，也可以使用管理账号所在组织内的现有账号作为日志存档账号或者审计账号进行纳管。 使用现有账号作为核心账号前，邀请进组织内的账号进行设置委托，在组织中创建的账号不进行设置委托，设置委托的详细操作请参阅前提条件。如果现有账号包含已使用配置审计Config服务且存在资源记录器，系统会将该账号的资源记录器配置进行覆盖。 组织单元 组织单元是可以理解为成员账号的容器或分组单元，通常可以映射为企业的部门、子公司或者项目族等。组织单元可以嵌套，一个组织单元只能有一个父组织单元，一个组织单元下可以关联多个子组织单元或者成员账号。 注册组织单元 在RGC中创建的组织单元，系统将会自动注册。在组织中创建的组织单元需要手动进行注册，Landing Zone就可以对组织单元进行监管。 附加组织单元 默认创建附加组织单元，Sandbox OU，用于关联用户测试环境相关账号。用户可基于自身诉求调整该组织单元名称，用于其他用途。 管理账号 管理账号通常是搭建Landing Zone的账号。管理账号可以注册组织单元或账号，将组织单元或账号纳管至Landing Zone中。 成员账号 成员账号为关联在根组织单元或者任一个组织单元下的账号。 纳管账号 在RGC中创建的账号，系统将会自动纳管。在组织中创建的账号需要手动进行纳管，Landing Zone可以对账号进行监管。

什么是组织 华为云Organizations云服务是一项账号管理服务，使您能够将多个华为云账号整合到您创建并集中管理的组织中。组织是为管理多账号关系而创建的实体，一个组织由管理账号、成员账号、根组织单元、组织单元（Organizational Unit，以下简称OU）四个部分组成。一个组织有且仅有一个管理账号，若干个成员账号，一个根，若干个OU。一个根和多层级OU组成树状结构，账号可以关联根或任一层级的OU。有关Organizations云服务的介绍请参见：什么是组织云服务。 管理账号搭建Landing Zone后，所管理的组织结构、组织单元、账号将会显示在组织管理页面中。

操作步骤 以RGC管理账号的身份登录华为云，进入华为云RGC控制台。 在总览页面，可以看到Landing Zone中整体情况。 在“组织单元和账号”区域，单击数字，可以查看组织单元和账号的概览。 在“已启用的控制策略”区域，单击数字，可以查看策略的概览。 在“不合规资源”区域，单击账号名称，可以查看不合规资源的详情。 针对不合规资源的情况，管理账号可以进行资源的调整。 图1 不合规资源 在“已注册组织单元”区域，单击OU名称，可以查看OU的详情。 在“已纳管账号”区域，单击账号名称，可以查看账号的详情。

响应示例 状态码：200 请求成功 { "metadata" : { "sync_remain_total" : 0, "source_key_num" : 4, "sink_key_num" : 1, "source_expired_key_num" : 0, "sink_expired_key_num" : 0 }, "total" : 1, "size" : 1, "type" : "DCS", "items" : [ { "source_addr" : "192.168.0.162:6379", "sink_addr" : "192.168.0.105:6379", "task_progress" : null, "sync_phase" : "incremental", "source_offset" : 0, "sink_offset" : 0, "task_status" : "failed" } ] }

请求示例 事件模型自动发现 POST https://{endpoint}/v1/{project_id}/schema-discover { "description" : "通过事件数据发现事件模型的请求", "type" : "object", "required" : [ "event" ], "properties" : { "event" : { "description" : "事件数据内容", "type" : "string", "maxLength" : 1024, "example" : "{\"fileName\": \"one.jpg\", \"fileSize\": 1048576}" }, "format" : { "description" : "事件模型格式类型", "type" : "string", "default" : "JSON_SCHEMA_DRAFT_6", "enum" : [ "JSON_SCHEMA_DRAFT_6" ] } } }

步骤3：用户登录并验证权限 用户创建完成后，可以使用新用户的用户名及身份凭证登录华为云验证权限。 在华为云登录页面，单击右下角的“IAM用户登录”. 在“IAM用户登录”页面，输入账号名、用户名及用户密码，使用新创建的用户登录。 账号名为该IAM用户所属华为账号的名称。 用户名和密码为账号在IAM创建用户时输入的用户名和密码。 如果登录失败，您可以联系您的账号主体，确认用户名及密码是否正确，或是重置用户名及密码。 登录成功后，进入华为云控制台，登录后默认区域为“华北-北京四”，请先切换至授权区域。 在“服务列表”中选择图像识别，在服务管理页面进行OBS授权、开通服务、调用均能正常使用，则表示授权已生效。

监控指标 表1 服务支持的监控指标 指标ID 指标名称 指标含义 取值范围 单位 进制 测量对象（维度） 监控周期（原始指标） successful_call_times_of_service 调用图像识别成功次数 该指标用于统计用户调用服务成功次数。 ≥ 0 Times/min 不涉及 接口 1分钟 failed_call_times_of_service 调用图像识别失败次数 该指标用于统计用户调用服务失败次数。 ≥ 0 Times/min 不涉及 接口 1分钟

欠费 按需购买的接口是按照每小时扣费，当账户的余额不足时，无法对上一个小时的费用进行扣费，就会导致欠费，欠费后有宽限期与保留期。 您续费后可继续正常使用，请注意在保留期进行的续费，是以原到期时间作为生效时间，您应当支付从进入保留期开始到续费时的服务费用。 您账号欠费后，会导致部分操作受限，建议您尽快续费。具体受限操作如下： 按需计费方式购买的API接口不可调用。 套餐包方式购买的API接口，在欠费后如果套餐包内有剩余，可继续使用，但不可以再次购买和续期。 无法开通服务。

计费模式 图像识别已商用的服务提供两种计费模式供您选择：按需计费和折扣套餐包计费。 您可以通图像识别提供的价格计算器，快速计算出购买图像识别的参考价格，详情请参见图像识别价格详情。 按需计费 按需计费指按照调用次数阶梯价格计费，按月累计，一个自然月后次数清零重新累计。促销活动期间针对不同服务，每个用户每月有对应的免费调用次数，具体计费价格详情请参见图像识别价格详情。 只有调用成功才会计算调用次数，未用完的免费调用次数不流转到下一个月。 计费规则：调用次数阶梯计费，按月累计，一个自然月后调用次数清零重新累计。 计费周期：按小时计费，实时扣费（账单出账时间通常在当前计费周期结束后一小时内，具体出账时间以系统为准）。