华为云用户手册

RGC-GR_ SMN _SUBSCRIPTION_CHANGE_PROHIBITED 实现：SCP 类型：Preventive 功能：防止更改RGC设置的SMN主题订阅，此订阅用于触发配置规则合规性更改的通知。 { "Version": "5.0", "Statement": [{ "Sid": "SMN_SUBSCRIPTION_CHANGE_PROHIBITED", "Effect": "Deny", "Action": [ "smn:topic:subscribe", "smn:topic:deleteSubscription" ], "Resource": [ "*" ], "Condition": { "StringNotMatch": { "g:PrincipalUrn": "sts::*:assumed-agency:RG CS erviceExecutionAgency/*" }, "ForAnyValue:StringMatch": { "g:ResourceTag/rgcservice-managed": [ "RGC-SecurityNotifications", "RGC-AllConfigNotifications", "RGC-AggregateSecurityNotifications" ] } } }] }

RGC-GR_AUDIT_BUCKET_DELETION_PROHIBITED 实现：SCP 类型：Preventive 功能：防止删除RGC在日志归档账号中创建的OBS桶。 { "Version": "5.0", "Statement": [{ "Sid": "AUDIT_BUCKET_DELETION_PROHIBITED", "Effect": "Deny", "Action": [ "obs:bucket:DeleteBucket" ], "Resource": [ "obs:*::bucket:rgcservice-managed-*-logs-*" ], "Condition": { "StringNotMatch": { "g:PrincipalUrn": "sts::*:assumed-agency:RGCServiceExecutionAgency/*" } } }] }

RGC-GR_CT_AUDIT_BUCKET_ENCRYPTION_CHANGES_PROHIBITED 实现：SCP 类型：Preventive 功能：防止对RGC创建的OBS桶的加密配置进行更改。 { "Version": "5.0", "Statement": [{ "Sid": "AUDIT_BUCKET_ENCRYPTION_CHANGES_PROHIBITED", "Effect": "Deny", "Action": [ "obs:bucket:PutEncryptionConfiguration" ], "Resource": [ "obs:*::bucket:rgcservice-managed-*-logs-*" ], "Condition": { "StringNotMatch": { "g:PrincipalUrn": "sts::*:assumed-agency:RGCServiceExecutionAgency/*" } } }] }

RGC-GR_ CES _CHANGE_PROHIBITED 实现：SCP 类型：Preventive 功能：防止更改RGC为监控环境而设置的CES配置。 { "Version": "5.0", "Statement": [{ "Sid": "CES_CHANGE_PROHIBITED", "Effect": "Deny", "Action": [ "ces:alarms:put*", "ces:alarms:delete*", "ces:alarms:addResources" ], "Resource": [ "*" ], "Condition": { "StringNotMatch": { "g:PrincipalUrn": "sts::*:assumed-agency:RGCServiceExecutionAgency/*" }, "StringMatch": { "g:ResourceTag/rgcservice-managed": "RGC-ConfigComplianceChangeEventRule" } } }, { "Sid": "CES_TAG_CHANGE_PROHIBITED", "Effect": "Deny", "Action": [ "ces:tags:create" ], "Resource": [ "*" ], "Condition": { "StringNotMatch": { "g:PrincipalUrn": "sts::*:assumed-agency:RGCServiceExecutionAgency/*" }, "ForAnyValue:StringMatch": { "g:TagKeys": "rgcservice-managed" } } } ] }

RGC-GR_CT_AUDIT_BUCKET_LIFECYCLE_CONFIGURATION_CHANGES_PROHIBITED 实现：SCP 类型：Preventive 功能：防止对RGC创建的OBS桶的生命周期配置进行更改。 { "Version": "5.0", "Statement": [{ "Sid": "AUDIT_BUCKET_LIFECYCLE_CONFIGURATION_CHANGES_PROHIBITED", "Effect": "Deny", "Action": [ "obs:bucket:PutLifecycleConfiguration" ], "Resource": [ "obs:*::bucket:rgcservice-managed-*-logs-*" ], "Condition": { "StringNotMatch": { "g:PrincipalUrn": "sts::*:assumed-agency:RGCServiceExecutionAgency/*" } } }] }

RGC-GR_CT_AUDIT_BUCKET_ LOG GING_CONFIGURATION_CHANGES_PROHIBITED 实现：SCP 类型：Preventive 功能：防止对RGC创建的OBS桶进行配置更改。 { "Version": "5.0", "Statement": [{ "Sid": "AUDIT_BUCKET_LOGGING_CONFIGURATION_CHANGES_PROHIBITED", "Effect": "Deny", "Action": [ "obs:bucket:PutBucketLogging" ], "Resource": [ "obs:*::bucket:rgcservice-managed-*-logs-*" ], "Condition": { "StringNotMatch": { "g:PrincipalUrn": "sts::*:assumed-agency:RGCServiceExecutionAgency/*" } } }] }

RGC-GR_CT_AUDIT_BUCKET_POLICY_CHANGES_PROHIBITED 实现：SCP 类型：Preventive 功能：防止对RGC创建的OBS桶的策略进行更改。 { "Version": "5.0", "Statement": [{ "Sid": "AUDIT_BUCKET_POLICY_CHANGES_PROHIBITED", "Effect": "Deny", "Action": [ "obs:bucket:PutBucketPolicy", "obs:bucket:DeleteBucketPolicy" ], "Resource": [ "obs:*::bucket:rgcservice-managed-*-logs-*" ], "Condition": { "StringNotMatch": { "g:PrincipalUrn": "sts::*:assumed-agency:RGCServiceExecutionAgency/*" } } }] }

通过MSTSC客户端登录 云堡垒机 用户获取资源运维权限后，可通过MSTSC客户端直接登录进行运维操作。 打开本地远程桌面连接（MSTSC）工具。 在弹出的对话框中，“计算机”列，输入“ 堡垒机 IP:53389”。 图1 配置计算机 单击“连接”，在登录页面完成登录。 username：堡垒机用户登录名@Windows主机资源账户名@Windows主机资源IP:Windows远程端口（默认3389），例如admin@Administrator@192.168.1.1:3389。 “Windows主机资源账户名”必须是已添加到堡垒机中的资源账户，且登录方式是”自动登录“，否则无法识别Windows主机资源账户，且无法生成运维审计文件。不支持实时会话运维。如何添加主机资源账户，请参考添加资源账户章节。 password：输入当前堡垒机的用户密码。

初始化配置 灰度服务创建完成后，需要进行初始化配置。 单击灰度服务列表中当前状态列的“初始化”，配置灰度服务信息。 在基础信息页面，确认灰度服务的基本信息，单击“下一步”。 在风险等级页面，选择发布类型。 当发布类型选择为“一阶段发布”时，直接单击“下一步”配置当前的分流规则。 当发布类型选择为“N阶段发布”时，需要确定风险等级及建议的发布阶段。 配置评估参数，单击“开始评估”。 系统会根据不同的风险等级评估结果，生成推荐的多个阶段分流规则模板，并且每个阶段的分流规则也将不同。 您可以在下一步的选择模板按钮中查看和选择推荐的N阶段分流规则模板。 单击“下一步”。 在分流配置页面，输入分流规则名称，填写各个阶段的分流配置项，分流配置项的参数说明如表2所示。 表2 分流配置参数说明 参数 说明 分流名称 配置分流名称。 字符长度0~50，可以由字母、数字、下划线、短横线、点组成，不能包含特殊字符，例：Rule_home-001。 第N阶段分流配置项 分流配置子项间关系 与、或 设置当前阶段下多个分流配置子项之间的关系。 类型 选择分流类型，支持的类型为path、REMOTE-ADDR、X-Forwarded-For、省、市、国家区域、自定义参数、自定义表达式。 参数 当分流类型为“自定义参数”时，需要配置此参数。 参数字符长度不能大于50，参数可以由数字、字母、下划线、短横线组成，不能包含特殊字符。 位置 当分流类型为“自定义参数”时，需要配置此参数。 query String body-json body-form header resource 匹配条件 pattern sha256 当匹配类型为sha256时，上传的值会自动转化为加密后的结果。 equal tailEqual rangeIP 值 单击“文件上传”，上传txt格式文件，文件中多个数据以英文逗号分隔。 操作 删除：单击“删除”对应的子项。每个分流规则至少保留一个有效的子项。 新增子项 单击“新增子项”，新增一条分流配置子项，每个子项有参数、类型、位置、匹配、值。 选择模板 单击“选择模板”，可以选择某个系统推荐的分流规则作为值填充到指定阶段。 插入无流量阶段 将在第一阶段前插入阶段作为无流量阶段，原来的第一阶段变为第二阶段。 插入无流量阶段只能在灰度服务初始化或灰度完成时操作。 如果不需要无流量阶段，可以修改规则或删除阶段。 导入分流配置 单击“导入分流配置”。 在弹出的窗口中单击“导入分流配置”，导入本地分流配置文件。 一键应用模板 单击“一键应用模板”，可以直接应用系统推荐的分流规则数据，推荐后可以修改。 应用区域模板，会根据区域进行分流。第一阶段分流可以选择市，第二阶段选择省。 应用用户模板，可以选择根据不同的用户做分流，在第二阶段可以自定义规则。 公共灰度策略 配置完成后，单击“下一步”。 配置的信息在发布成功前将保存在本地，可以单击“重置所有”按钮清空。 预览配置信息，确认无误后，单击“去发布”。 预览界面也可以单击“编辑”修改信息。 在发布页面，选择相关配置项，单击“发布”。参数说明如表3所示。 表3 发布相关参数说明 参数 说明 是否启用灰度 当选择“是”时，分流规则在SLB生效，满足分流规则条件的消息分发到灰度机器群组，不满足分流规则条件的消息分发到生产机器群组。 当选择“否”时，分流规则在SLB不生效。消息会在生产机器+灰度机器的整个群组中负载均衡分发。 全网发布时的路由策略 当选择“默认路由”时，全网发布时在生产+灰度的大集群中负载均衡。 当选择“特殊路由”时，全网发布时只在生产集群中负载均衡。

功能介绍 数据库管理 WiseDBA为用户提供统一的数据库管理平台，支持用户级的管理、监控、可视化的数据库交互等功能，为用户节省50%以上的管理成本，提高数据库运维效率。 数据查询 数据查询工具可以帮助业务简化现网的SQL查询流程，避免SRE直接操作数据库。 SQL变更 SQL自动化变更工具可以帮助业务简化现网的SQL变更流程。 实时诊断 WiseDBA为数据库实例提供运维全生命的智能分析服务，让用户既可以直观地感知数据库实例的实时运行状况，也可以定位实时异常，并根据WiseDBA建议进行系统优化。

新增后端服务器集群 参考创建监听，进入创建后端服务器集群页面。 在创建后端服务器集群页面，单击“新增集群”，配置相关参数，参数说明如表1所示。 表1 新增集群参数说明 参数 说明 集群名称 后端服务器集群名称。 字符长度0~150，可以由字母、数字、下划线、短横线、点组成，不能包含特殊字符，不能包含-in-字符，后端服务器为tomcat时，建议不要包含下划线，转发可能返回400，例：Cluster_home-001。 后端协议 后端服务器协议，支持HTTP、HTTPS。 负载均衡策略 加权轮询算法：可配权重，根据权重进行轮询，默认权重相同。 自定义参数哈希：可以配置nginx变量进行哈希，nginx变量，例如：$http_x_forwarded_for。 IP哈希：根据发送给SLB请求的IP进行哈希。 说明： 如前面有ELB或者F5，此IP通常为ELB的IP或者F5的IP，因此请慎用。 最小连接数：根据服务器的连接数，向连接数最少的服务器优先转发。 预热周期 配置新节点启动后在多长时间范围内进行预热，范围0-30，0表示不开启预热。 预热因子 配置预热增长速率，值越大预热增长速率越快，范围1-100，默认为10，表示匀速增长。 预热延迟 新节点启动后延迟多长时间才进行预热，范围0-30，延迟时间中，节点被选中的概率为0。 自定义参数配置 配置自定义参数。 自定义参数哈希 负载均衡策略选择为“自定义参数哈希”时，配置此参数。 字符长度0~50，以$符开头，可以由字母、数字、点、下划线、短横线组成，不能包含其他特殊字符，例：$http_x_forwarded_for。 单击“确定”。

产品构成 CodeArts由以下几个主要服务构成： 需求管理：提供需求管理与团队协作服务，内置多种开箱即用的场景化需求模型和对象类型（需求/缺陷/任务等），可支撑IPD、DevOps、精益看板等多种研发模式，还包含跨项目协同、基线与变更管理、自定义报表、Wiki在线协作、文档管理等功能。 代码托管：基于Git提供分布式代码管理和协同开发能力，包括成员管理、权限控制、代码托管、代码检查、代码审核、代码追溯、持续集成等功能，助力不同规模企业的研发质量和效率提升。 流水线：提供可视化、可定制的持续交付流水线服务，实现缩短交付周期和提升交付质量的效果。 代码检查：为用户提供代码风格、通用质量与网络安全风险等丰富的检查能力，提供全面质量报告、便捷的问题闭环处理帮助企业有效管控代码质量，助力企业成功。 编译构建：基于云端大规模分布式加速，为客户提供高速、低成本、配置简单的混合语言构建能力，帮助客户缩短构建时间，提升构建效率。 部署：支持主机、容器等多种部署形态，部署能力覆盖Tomcat、Springboot等多种语言和技术栈。基于其对部署功能的插件化封装和编排能力，帮助您实现软件的快速、高效发布。 测试计划：覆盖测试计划、测试设计、测试用例、测试执行和测试评估等全流程，旨在帮助企业协同、高效、可信的开展测试活动，保障产品高质量上市。 制品仓库：用于管理源代码编译后的构建产物，支持Maven、Npm等常见制品包类型。可以与本地构建工具和云上的持续集成、持续部署无缝对接，同时支持制品包版本管理、细粒度权限控制、安全扫描等重要功能，实现软件包生命周期管理，提升发布质量和效率。 CodeArts IDE Online：基于云计算的轻量级WebIDE，通过浏览器即可实现环境快速获取和环境访问，完成编码、构建、调试、运行、访问代码仓库和命令执行等工作，支持第三方业务集成，支持插件扩展并提供独立插件市场。 开源镜像站：由华为云提供的开源组件、开源操作系统及开源DevOps工具镜像站，目前已提供Maven、NPM、NuGet、CentOS、Ubuntu、Debian等镜像下载服务。 图1 产品构成

功能特性 表1 CodeArts各服务功能特性 服务名 功能特性 需求管理 提供多项目管理、敏捷迭代管理、里程碑管理、缺陷跟踪、多维度统计报表等功能。了解更多 迭代计划和时间线，有效管理项目计划。 Scrum项目支持树、表、卡片视图切换，方便查看项目工作。 多种项目统计图表，随时掌握项目开展情况。 在线文件库，批量文档托管，信息传递不失真。 代码托管 提供安全、可靠、高效的分布式 代码托管服务 。包括代码克隆/下载/提交/推送/比较/合并/分支等功能。了解更多 专属 云存储 ，全网TLS传输，角色权限管控等技术，网络安全团队专业认证，保证云上代码安全。 异地容灾，实时备份，快速恢复，定期演练，保障核心资产万无一失。 基于Git的分布式版本控制，提升跨地域跨团队协同开发效率。 关联项目任务，保障项目高效交付。 增强的安全防护能力，IP白名单与代码仓库访问日志审计。 代码仓库提交信息统计，基于时间轴的贡献者代码提交统计。 代码检查 提供可协作的一站式代码检查服务。了解更多 一站式：覆盖主流编程语言、主流编码标准、SDLC集成等。 灵活易用的检查方式：支持代码提交检查、定时执行检查，支持多分支检查。 可协作：提供问题责任人自动归属、提供问题修改建议、可聚焦处理新问题等。 编译构建 快速、安全的云上编译构建服务。了解更多 内置C/C++/Java/…等主流语言的构建模板，并支持自定义构建模板。 可配置执行计划，支持开启提交代码触发执行、定时执行等多种构建执行计划。 界面傻瓜式配置，无需用户编写构建配置文件。 同时支持容器镜像和通用软件包的归档。 构建完成时支持 消息通知 。 支持在ARM或x86环境下构建。 内置支持主流语言的构建环境镜像，也可使用自定义构建环境镜像。 支持多个构建步骤，可实现构建过程的灵活编排。 部署 提供可视化、一键式部署服务，支持并行部署和流水线无缝集成。了解更多 提供丰富的部署步骤，满足用户不同的部署场景。 支持对 虚拟主机 部署、物理主机部署、容器部署等多种部署形态。 支持文件的复制、删除、修改、解压；支持Ansible、Shell命令、Shell脚本等通用部署能力。 界面简洁化配置，无须编写部署脚本。支持部署步骤的拖拉拽灵活编排。 预置Tomcat、SpringBoot、Django等系统模板，同时支持用户创建自定义模板。基于部署模板库，可以制定标准的部署流程，实现应用的快速创建，方便团队内部推广。 支持部署到官方资源池和自托管资源池。 提供错误 日志分析 能力，对于应用部署失败的情况，支持错误日志关键字匹配FAQ，并提供详细的排查解决方案。 支持自定义参数，在应用部署时由用户指定参数值，用指定值替换相应参数部署。 提供对主机和主机集群管理能力。支持主机（集群）的增删改查；支持主机批量删除，批量连通性验证；主机连通性支持EIP直连、代理机连接以及自托管资源池模式下的VPC直连。 应用和主机组均支持项目下角色和权限的二维矩阵。 测试计划 提供业内首推一站式自动化测试工厂解决方案，覆盖测试设计、测试用例、测试管理、接口自动化测试。打通测试计划、测试设计、测试用例、测试执行和测试报告的全流程测试活动，提供缺陷上报、质量看板等方式多维度评估产品质量，帮助用户高效管理测试活动，保障产品高质量交付。了解更多 测试设计：使用启发式思维导图的形式进行测试用例设计和评审，更加直观，效率更高。 支持Xmind直接导入生成在线思维导图测试设计；支持在线编辑思维导图; 支持4层测试设计方法（特性-场景-功能点-用例）；一键批量生成测试用例；覆盖功能、接口、安全等全领域测试设计，输出测试方案；可以通过测试策略模板快速创建用例，也可以自定义模板形成自己的测试资产。 测试管理：成熟的测试用例管理系统，可以开展用例设计、测试执行、缺陷提交、质量报告，提高测试效率；记录修改历史，避免漏测、误测，易追溯审计，规范测试流程。 融入全生命周期追溯、测试计划、团队多角色协作、敏捷测试、需求驱动测试等理念，覆盖测试需求管理、测试任务分配、测试任务执行、测试进度管理、测试覆盖率管理、测试结果管理、缺陷管理、质量报告、测试仪表盘，一站式管理功能，提供适合不同团队规模、流程的自定义能力。 接口自动化测试：基于接口URL或者Swagger文档生成的接口脚本模板快速编排接口测试用例，集成流水线，支持微服务测试。测试用例免代码编写，技术门槛低，适合接口开发者、接口消费者、测试人员、业务人员等不同角色使用。一键导入Swagger接口定义自动生成脚本模板，基于脚本模板组装编排、管理接口自动化测试用例。支持HTTP和HTTPS协议，可视化用例编辑界面，丰富的预置检查点、内置变量，支持自定义变量、参数传递、持续自动化测试。 制品仓库 面向软件开发者提供制品管理的云服务，提供软件仓库、发布包下载、发布包元数据管理等功能，通过安全可靠的软件仓库，实现软件包版本管理，提升发布质量和效率，实现产品的持续发布。了解更多 支持文件重命名、批量删除、批量恢复、页面上传和下载、文件名搜索等文件操作。 编译构建属性自动关联软件包，编译构建的产物自动归档到软件发布库。 支持构建服务一键归档、部署服务从发布库一键获取软件包。 支持Maven、npm、Go、PyPI、RPM、Debian等多种制品类型仓库，支持新建仓库、上传下载制品、搜索制品等能力。 流水线 提供可视化、可编排的CI/CD持续交付软件生产线，帮助企业快速转型实现DevOps持续交付高效自动化，缩短应用TTM（Time to Market）交付周期，提升研发效率。了解更多 流水线自定义编排：可根据用户使用场景的需要，对构建、代码检查、子流水线、部署、延时执行、人工审核、接口测试等多种类型的任务进行纳管和执行编排。 流水线可视化增删改查：提供图形化界面基础的流水线创建、编辑、删除和执行状态查看功能。其中，查看功能支持跳转到对应的自动化任务界面查看其日志等详情信息。 流水线权限管理：支持用户针对流水线任务设置指定账号的权限控制，权限基于账号所属角色-操作权限进行控制，包含基础的查看、编辑、执行、删除权限控制。 流水线历史执行记录：支持查看流水线最近31天的历史执行记录。 流水线消息通知：用户可根据需要设置事件类型的通知状态，包括是否发送服务动态和邮件通知。 流水线部分任务执行：根据用户需求，可选择流水线中的某一个或多个任务单独执行。 流水线执行参数配置：流水线支持自定义参数，在执行时由用户指定参数值，任务用指定值替换相应参数执行。 流水线串/并行执行配置：根据用户需求，可配置同一阶段内的任务串行执行或并行执行。 移动应用测试 提供移动兼容性测试服务。提供TOP流行机型、数百名测试专家，使用图像识别和精准控件识别技术，只需提供App/H5/快应用/小程序应用，便可生成兼容性测试报告（包含系统日志、截图、错误原因、CPU、内存等），自动完成测试任务。了解更多 提供丰富Android、iOS真机，全自动化测试，无需人工编写用例。 深度优化的遍历算法，可以测试安装、启动、崩溃、无响应等11大问题类型。 提供详尽在线测试报告，帮助用户快速定位修复问题。 CodeArts IDE Online CodeArts IDE Online是云端开发环境服务，向开发者提供按需配置、快速获取的工作空间（包含编辑器和运行环境），支持完成环境配置、代码阅读、编写代码、构建、运行、调试、预览等操作，并支持对接多种代码仓库。了解更多 依托云端的计算和存储资源，实现云化开发环境供给；基于全容器技术，可按用户所需配置启动并提供工作空间。 支持40多种语言的语法高亮，支持Java等语言的语法补齐，支持7种预置技术栈，无需复杂配置环境即可就位。 提供页面终端（WebTerminal）直接访问后端容器环境，支持线上构建（build）、运行（run）和调试（debug）。 对接Git仓库（CodeArts代码仓库或GitHub等），同时提供环境对接其他开放服务的通道。 提供基于黑白名单的访问控制能力，为企业租户提供掌控子用户行为的管理面。 Classroom 云上一站式软件学习与实践平台。了解更多 提供企业级的软件开发过程学习与实践。 支持填空式软件项目开发教学，实时反馈项目开发结果。 全程记录学生开发过程，智能分析学生软件能力短板。 一站式实训平台，支持全类型课程工程实训及百万级学生使用，提供30+精品课程，10+企业类实践课程，3000+习题支持秒级自动判题，覆盖6种开发语言课程打造国内首个教育知识点自动检测服务，支持10000+知识点检测云上实验室，提供教学所需的多场景通用型实训环境，分钟级生成作业查重及代码质量扫描人才信息化，支持学生工程能力认证。 开源镜像站 开源镜像站（Mirrors）是由华为云提供的开源组件、开源操作系统及开源DevOps工具镜像站，致力为用户提供全面、高速、可信的开源组件/OS/工具下载服务。了解更多 内容更全：为用户提供包括maven、npm、centos等70+开源组件镜像，覆盖7大主流开发语言，20+开源OS，40+开源工具。 高速下载：通过国外代理站点高速同步海外镜像源，并为注册用户提供全站 CDN加速 。 官方可信：与Maven中央仓、CentOS等多家海外官方源站进行合作与认证，为用户提供可信的组件下载来源。 如果您在使用CodeArts过程中所填写或上传的数据，可能有不确定的用户数据涉及敏感信息，为确保数据安全，请优先加密。

通用限制 表1 通用限制说明 指标 限制说明 浏览器 目前适配的主流浏览器类型包括： Chrome浏览器：支持最新的3个稳定版本 Firefox浏览器：支持最新的3个稳定版本 Microsoft Edge浏览器：Win10默认浏览器，支持最新的3个稳定版本 推荐使用Chrome、Firefox浏览器，效果会更好。 分辨率 推荐使用1920*1080及以上。 已支持的华为云区域 华北-北京四、华东-上海一、华南-广州、西南-贵阳一、东北-大连、华南-深圳 说明： 只支持默认区域，不支持通过 统一身份认证 服务（ IAM ）创建的项目（子区域）。 除了以上Region，CodeArts还支持“华北-北京一”与“华东-上海二”，但这两个区域已暂停新用户新购服务（详情请参见华北-北京一区域变更通知、华东上海二区域变更通知）。

接口调用流程 接口调用的流程为： 获取AK/SK认证 调用接口前，请获取请求认证，并将认证字段填充至下一步中的方法中，进行请示构建，实现请求的认证。 调用接口采用AK/SK认证方式。 AK/SK认证：通过AK（Access Key ID）/SK（Secret Access Key)加密调用请求。 通过API网关向下层服务发送请求时，必须使用AK(Access Key ID)、SK(Secret Access Key)对请求进行签名。 AK(Access Key ID)：访问密钥ID。与私有访问密钥关联的唯一标识符；访问密钥ID和私有访问密钥一起使用，对请求进行加密签名。 SK(Secret Access Key)：与访问密钥ID结合使用的密钥，对请求进行加密签名，可标识发送方，并防止请求被修改。 说明： 1、如何获取SDK请参考《使用APP认证调用API》；2、如何获取AK/SK请参考《AK/SK认证说明》 构造请求方法 填充请求参数构建请求方法。 发起请求 解析消息响应 父主题： 接口使用方法

SCP分类 SCP按照策略创建者可分为两类，分别是系统策略和自定义策略。 系统策略 华为云服务在组织预置了常用SCP，称为系统策略。组织管理员给组织单元或账号绑定SCP时，可以直接使用这些策略。系统策略只能使用，不能修改。如需查看所有云服务的华为云系统策略，请参见：SCP系统策略列表。 自定义策略 如果系统策略无法满足授权要求，管理账号可以根据各服务支持的授权项，自行创建和修改自定义策略。自定义策略是对系统策略的扩展和补充。目前Organizations云服务支持策略编辑器和JSON视图两种自定义策略配置方式。

权限控制原理 划定权限边界 SCP不直接进行授权，只划定权限边界。将SCP绑定到组织单元或者成员账号时，并没有直接对组织单元或成员账号授予操作权限，而是规定了成员账号或组织单元包含的成员账号的授权范围。IAM策略授予权限的有效性受SCP限制，只有在SCP允许范围内的权限才能生效。SCP禁止的权限操作，即便授予IAM用户权限，用户也不能执行相关操作。 比如成员账号A绑定了某一条SCP，SCP允许操作A的权限，拒绝操作B的权限。那么成员账号A可以给自己名下的IAM用户授予操作A的权限，不能授予操作B的权限，即便授予了操作B的权限，也无法生效。 交集有效 权限边界的叠加遵从交集有效准则，父OU的SCP与子OU（或账号）的SCP共同允许的权限，作为子OU的最终权限边界。 如下图所示，左侧的椭圆表示附加到父OU的SCP，它允许权限A、B和C。右侧椭圆表示子OU（或账号）绑定SCP允许的权限，子OU（或账号）允许权限C、D和E。由于附加到父OU的SCP不允许D或E，因此父OU下的所有子OU和账号都不能使用它们，即使子OU的SCP明确允许D和E，它们最终仍然会被父OU的SCP阻止。子OU（或账号）的SCP不允许A或B，因此， 子OU（或账号）将阻止这些权限。最终，子OU的权限是父OU权限和子OU（或账号）绑定SCP的权限交集，即下图中的权限C。 如果椭圆右侧是一个成员账号，则交集是授予该账号中的用户和用户组的最大权限集合。如果椭圆右侧是OU，则交集是该子OU可继承的最大权限集合。 图1 SCP原理图 筛选继承 组织单元或账号绑定的SCP包括两部分，直接绑定的策略和继承的策略。某组织单元绑定的SCP，会继承给该组织单元下的所有子级OU和账号。账号和组织单元的权限边界，由所有上级OU的SCP和自身直接绑定的SCP共同决定。如下图所示，Account y隶属于OU3，Account y的权限边界是由继承自Root，OU1和OU3的SCP与Account y绑定的SCP共同决定。 图2 SCP继承规则 如果要在成员账号级别允许使用某个云服务的操作，则必须在账号和根组织单元之间的每个层级上允许该操作。这意味着，必须在根组织单元和账号之间的每个层级，附加允许该操作的SCP。您可以使用下列任一策略执行此操作： 添加拒绝策略。拒绝策略会使用默认附加到每个OU和账号上的FullAccess SCP。此SCP将覆盖默认的隐式Deny，并明确允许所有权限从根组织单元传递到每个账号，除非创建并附加到相应OU或账号的其他SCP明确了拒绝权限。策略中的显式Deny始终优先于Allow。具有拒绝策略的OU层级以下的任何账号都不能使用被拒绝的操作，也无法在组织结构中较低的层级中添加该权限。 添加允许策略。添加允许策略并删除默认附加到每个OU和账号的FullAccess SCP后，除非策略中明确允许，否则任何OU和账号都不允许任何操作权限。要允许使用某个云服务的操作，必须创建SCP并将它们附加到账号及其层级之上的每个OU，直至附加到根组织单元为止（包括根组织单元）。层次结构中的每个SCP（从根组织单元开始）必须明确允许在OU及其下面的账号中使用该操作。SCP中的显式Allow会覆盖隐式Deny。 拒绝优先 当组织单元和账号绑定多条SCP时，账号权限优先遵从拒绝语句。比如成员账号A同时绑定了两条SCP，分别是允许全部操作和禁止查看账单操作。此时执行查看账单操作，鉴权规则会优先遵从拒绝操作，即成员账号A不能查看账单。详细说明请参考显式拒绝和隐式拒绝的区别。 默认允许 组织启用SCP时，默认会为所有OU和账号附加全部权限（FullAccess策略），默认允许所有操作。除非您为OU或账号附加其他的明确拒绝策略。

显式拒绝和隐式拒绝的区别 Effect（效果）包含两种：Allow（允许）和Deny（拒绝），分别表示允许或拒绝执行某操作的权限。 当没有策略设置权限为Allow和Deny时，默认情况即为Deny权限，称为隐式拒绝。当有策略授权Allow权限，且没有其他策略Deny该权限时，Allow的权限才能生效。 如果策略设置权限为Deny，则为显式拒绝。显式的Deny始终优先于Allow。例如，父OU的SCP，它允许权限A、B和C，但是子OU的SCP允许权限A、B，拒绝权限C，则该子OU的账号以及以下层级的账号，均无法使用权限C。 用户在发起访问请求时，鉴权规则如下： 图3 系统鉴权逻辑图 用户发起访问请求。 系统优先寻找Deny指令。如果找到一个适用的Deny指令，系统将返回Deny决定。 如果没有找到Deny指令，系统将寻找适用于请求的任何Allow指令。如果找到一个Allow指令，系统将返回Allow决定。 如果找不到Allow指令，最终决定为Deny，鉴权结束。

服务关联委托 Organizations使用IAM服务的委托信任功能，使可信服务能够在您组织的成员账号中代表您执行任务。当您启用某个服务为可信服务时，该服务可以请求Organizations在其成员账号中创建服务关联委托，可信服务按需异步执行此操作。此服务关联委托具有预定义的IAM权限，允许可信服务在成员账号中拥有执行可信服务文档中所述任务的权限，相当于云服务能力在多账号组织场景下的拓展。当前支持的可信服务及其功能简介请参见：已对接组织的可信服务。 当您在组织中创建账号或邀请现有账号加入组织时，Organizations会在成员账号内创建服务关联委托，该委托是云服务委托，委托权限为“OrganizationsServiceLinkedAgencyPolicy”系统权限，授权范围为所有资源。仅Organizations服务本身可以承担此委托，该委托具有允许Organizations为其他云服务创建服务关联委托的权限。 Organizations的SCP不会影响服务关联委托，使用服务关联委托执行的任何操作将免受SCP限制。

什么是可信服务 可信服务是指可与Organizations服务集成，提供组织级相关能力的华为云服务。管理账号可以在组织中开启某个云服务为可信服务。成为可信服务后，云服务可以获取组织中的组织单元及成员账号信息，并基于此信息提供组织级的管理能力。例如，开启 CTS 云审计为可信服务后，CTS可以获取组织单元及成员账号信息，统一为整个组织提供 云审计 服务，记录组织中所有账号的操作。能与组织搭配使用的云服务列表参见：已对接组织的云服务列表。

操作（Action） 操作（Action）即为SCP中支持的授权项。 “访问级别”列描述如何对操作进行分类（list、read和write等）。此分类可帮助您了解在SCP中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。 资源类型支持通配符号*表示所有。如果此列没有值（-），则必须在SCP语句的Resource元素中指定所有资源类型（“*”）。 如果该列包含资源类型，则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号（*）标识，表示使用此操作必须指定该资源类型。 关于CodeArts控制台定义的资源类型的详细信息请参见资源类型（Resource）。 “条件键”列包括了可以在SCP语句的Condition元素中支持指定的键值。 如果该授权项资源类型列存在值，则表示条件键仅对列举的资源类型生效。 如果该授权项资源类型列没有值（-），则表示条件键对整个授权项生效。 如果此列条件键没有值（-），表示此操作不支持指定条件键。 关于CodeArts控制台定义的条件键的详细信息请参见条件（Condition）。 您可以在SCP语句的Action元素中指定以下CodeArts控制台的相关操作。 表1 CodeArts控制台支持的授权项 授权项 描述 访问级别 资源类型（*为必须） 条件键 codearts:projectman:viewUsage 授予权限以在控制台查询项目管理服务资源用量。 read - - codearts:codehub:viewUsage 授予权限以在控制台查询代码托管服务资源用量。 read - - codearts:cloudbuild:viewUsage 授予权限以在控制台查询编译构建服务资源用量。 read - - codearts:codecheck:viewUsage 授予权限以在控制台查询代码检查服务资源用量。 read - - codearts:cloudtest:viewUsage 授予权限以在控制台查询云测-测试管理服务资源用量。 read - - codearts:apitest:viewUsage 授予权限以在控制台查询云测-接口测试服务资源用量。 read - - codearts:cloudrelease:viewUsage 授予权限以在控制台查询发布服务资源用量。 read - - codearts:cloudide:viewUsage 授予权限以在控制台查询CloudIDE服务资源用量。 read - - codearts:classroom:viewUsage 授予权限以在控制台查询Classroom服务资源用量。 read - - codearts:monthlyPackage:changeSpecification 授予权限以在控制台变更软件开发平台套餐规格。 write - - codearts:monthlyPackage:subscribe 授予权限以在控制台订购软件开发平台套餐。 write - - codearts:projectman:subscribeService 授予权限以在控制台开通按需项目管理服务。 write - - codearts:codehub:subscribeService 授予权限以在控制台开通按需代码托管服务。 write - - codearts:cloudbuild:subscribeService 授予权限以在控制台开通按需编译构建服务。 write - - codearts:codecheck:subscribeService 授予权限以在控制台开通按需代码检查服务。 write - - codearts:cloudtest:subscribeService 授予权限以在控制台开通按需云测-测试管理服务。 write - - codearts:apitest:subscribeService 授予权限以在控制台开通按需云测-接口测试服务。 write - - codearts:cloudrelease:subscribeService 授予权限以在控制台开通按需发布服务。 write - - codearts:package:subscribeService 授予权限以在控制台开通按需服务组合。 write - - codearts:cloudide:subscribeService 授予权限以在控制台开通按需CloudIDE服务。 write - - codearts:classroom:subscribeService 授予权限以在控制台开通按需Classroom服务。 write - - codearts:projectman:unsubscribeService 授予权限以在控制台取消开通按需项目管理服务。 write - - codearts:codehub:unsubscribeService 授予权限以在控制台取消开通按需代码托管服务。 write - - codearts:cloudbuild:unsubscribeService 授予权限以在控制台取消开通按需编译构建服务。 write - - codearts:codecheck:unsubscribeService 授予权限以在控制台取消开通按需代码检查服务。 write - - codearts:cloudtest:unsubscribeService 授予权限以在控制台取消开通按需云测-测试管理服务。 write - - codearts:apitest:unsubscribeService 授予权限以在控制台取消开通按需云测-接口测试服务。 write - - codearts:cloudrelease:unsubscribeService 授予权限以在控制台取消开通按需发布服务。 write - - codearts:package:unsubscribeService 授予权限以在控制台取消开通按需服务组合。 write - - codearts:cloudide:unsubscribeService 授予权限以在控制台取消开通按需CloudIDE服务。 write - - codearts:classroom:unsubscribeService 授予权限以在控制台取消开通按需Classroom服务。 write - - codearts:authorization:list 授予权限以在控制台查看租户授权列表。 list - - codearts:payPerUsePackage:listResourceDetail 授予权限以在控制台查看按需套餐包资源详情。 list - - codearts:monthlyPackage:listResourceDetail 授予权限以在控制台查看软件开发平台套餐资源详情。 list - - codearts:projectman:listResourceDetail 授予权限以在控制台查看项目管理资源列表详情。 list - - codearts:codehub:listResourceDetail 授予权限以在控制台查看仓库托管资源列表详情。 list - - codearts:cloudbuild:listResourceDetail 授予权限以在控制台查看构建资源列表详情。 list - - codearts:codecheck:listResourceDetail 授予权限以在控制台查看代码检查资源列表详情。 list - - codearts:cloudtest:listResourceDetail 授予权限以在控制台查看云测-测试管理资源列表详情。 list - - codearts:cloudrelease:listResourceDetail 授予权限以在控制台查看发布资源列表详情。 list - - codearts:cloudide:listResourceDetail 授予权限以在控制台查看CloudIDE资源列表详情。 list - - codearts:classroom:listResourceDetail 授予权限以在控制台查看Classroom资源列表详情。 list - - codearts:agileDevopsTrainingServices:listResourceDetail 授予权限以在控制台查看敏捷与DevOps培训服务资源列表详情。 list - - codearts:projectman:listSubscriptionHistory 授予权限以在控制台查看项目管理服务开通记录。 list - - codearts:codehub:listSubscriptionHistory 授予权限以在控制台查看代码托管服务开通记录。 list - - codearts:cloudbuild:listSubscriptionHistory 授予权限以在控制台查看编译构建服务开通记录。 list - - codearts:codecheck:listSubscriptionHistory 授予权限以在控制台查看代码检查服务开通记录。 list - - codearts:cloudtest:listSubscriptionHistory 授予权限以在控制台查看云测-测试管理服务开通记录。 list - - codearts:apitest:listSubscriptionHistory 授予权限以在控制台查看云测-接口测试服务开通记录。 list - - codearts:cloudrelease:listSubscriptionHistory 授予权限以在控制台查看发布服务开通记录。 list - - codearts:package:listSubscriptionHistory 授予权限以在控制台查看按需服务组合开通记录。 list - - codearts:cloudide:listSubscriptionHistory 授予权限以在控制台查看CloudIDE服务开通记录。 list - - codearts:classroom:listSubscriptionHistory 授予权限以在控制台查看Classroom服务开通记录。 list - - codearts:authorization:create 授予权限以在控制台新增企业账户授权。 permissions - - codearts:authorization:cancel 授予权限以在控制台取消企业账户授权。 permissions - - codearts:authorization:update 授予权限以在控制台同意或拒绝企业账户授权。 permissions - -

操作（Action） 操作（Action）即为SCP中支持的操作项。 “访问级别”列描述如何对操作进行分类（list、read和write等）。此分类可帮助您了解在SCP中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。 资源类型支持通配符号*表示所有。如果此列没有值（-），则必须在SCP语句的Resource元素中指定所有资源类型（“*”）。 如果该列包含资源类型，则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号（*）标识，表示使用此操作必须指定该资源类型。 关于CodeartsPipeline定义的资源类型的详细信息请参见资源类型（Resource）。 “条件键”列包括了可以在SCP语句的Condition元素中支持指定的键值。 如果该操作项资源类型列存在值，则表示条件键仅对列举的资源类型生效。 如果该操作项资源类型列没有值（-），则表示条件键对整个操作项生效。 如果此列没有值（-），表示此操作不支持指定条件键。 关于CodeartsPipeline定义的条件键的详细信息请参见条件（Condition）。 您可以在自定义SCP语句的Action元素中指定以下CodeartsPipeline的相关操作。 表1 CodeartsPipeline支持的操作项 操作项 描述 访问级别 资源类型（*为必须） 条件键 codeartspipeline:pipelinetemplate:create 授予权限以创建流水线模板。 write - - codeartspipeline:pipelinetemplate:update 授予权限以更新流水线模板。 write - - codeartspipeline:pipelinetemplate:delete 授予权限以删除流水线模板。 write - - codeartspipeline:pipelinetemplate:get 授予权限以查看流水线模板。 read - - codeartspipeline:pipelinetemplate:list 授予权限以查看流水线模板列表。 list - - codeartspipeline:rule:create 授予权限以创建规则。 write - - codeartspipeline:rule:update 授予权限以更新规则。 write - - codeartspipeline:rule:delete 授予权限以删除规则。 write - - codeartspipeline:rule:get 授予权限以查看规则。 read - - codeartspipeline:rule:list 授予权限以查看规则列表。 list - - codeartspipeline:strategy:create 授予权限以创建策略。 write - - codeartspipeline:strategy:update 授予权限以更新策略。 write - - codeartspipeline:strategy:delete 授予权限以删除策略。 write - - codeartspipeline:strategy:get 授予权限以查看策略。 read - - codeartspipeline:strategy:list 授予权限以查看策略列表。 list - - codeartspipeline:extension:create 授予权限以创建插件。 write - - codeartspipeline:extension:update 授予权限以更新插件。 write - - codeartspipeline:extension:delete 授予权限以删除插件。 write - - codeartspipeline:extension:get 授予权限以查看插件。 read - - codeartspipeline:extension:list 授予权限以查看插件列表。 list - - CodeartsPipeline的API通常对应着一个或多个操作项。表2展示了API与操作项的关系，以及该API需要依赖的操作项。 表2 API与操作项的关系 API 对应的操作项 依赖的操作项 POST /v5/{tenant_id}/api/pipeline-templates codeartspipeline:pipelinetemplate:create - PUT /v5/{tenant_id}/api/pipeline-templates/{template_id} codeartspipeline:pipelinetemplate:update - DELETE /v5/{tenant_id}/api/pipeline-templates/{template_id} codeartspipeline:pipelinetemplate:delete - GET /v5/{tenant_id}/api/pipeline-templates/{template_id} codeartspipeline:pipelinetemplate:get - POST /v5/{tenant_id}/api/pipeline-templates/list codeartspipeline:pipelinetemplate:list - POST /v2/{domain_id}/rules/create codeartspipeline:rule:create - PUT /v2/{domain_id}/rules/{rule_id}/update codeartspipeline:rule:update - DELETE /v2/{domain_id}/rules/{rule_id}/delete codeartspipeline:rule:delete - GET /v2/{domain_id}/rules/{rule_id}/detail codeartspipeline:rule:get - GET /v2/{domain_id}/rules/query codeartspipeline:rule:list - POST /v2/{domain_id}/tenant/rule-sets/create codeartspipeline:strategy:create - PUT /v2/{domain_id}/tenant/rule-sets/{rule_set_id}/update codeartspipeline:strategy:update - DELETE /v2/{domain_id}/tenant/rule-sets/{rule_set_id}/delete codeartspipeline:strategy:delete - GET /v2/{domain_id}/tenant/rule-sets/{rule_set_id}/detail codeartspipeline:strategy:get - GET /v2/{project_id}/rule-sets/{rule_set_id}/gray/detail codeartspipeline:strategy:get - GET /v2/{domain_id}/tenant/rule-sets/query codeartspipeline:strategy:list - GET /v2/{project_id}/rule-sets/query codeartspipeline:strategy:list - PUT /v2/{domain_id}/tenant/rule-sets/{rule_set_id}/switch codeartspipeline:strategy:update - POST /v1/{domain_id}/agent-plugin/create codeartspipeline:extension:create - POST /v1/{domain_id}/agent-plugin/create-draft codeartspipeline:extension:create - POST /v1/{domain_id}/publisher/create codeartspipeline:extension:create - POST /v1/{domain_id}/agent-plugin/edit-draft codeartspipeline:extension:update - POST /v1/{domain_id}/agent-plugin/publish-draft codeartspipeline:extension:update - POST /v1/{domain_id}/agent-plugin/update-info codeartspipeline:extension:update - POST /v1/{domain_id}/agent-plugin/publish-plugin-bind codeartspipeline:extension:update - POST /v1/{domain_id}/agent-plugin/publish-plugin codeartspipeline:extension:update - POST /v1/{domain_id}/common/upload-plugin-icon codeartspipeline:extension:update - POST /v1/{domain_id}/common/upload-publisher-icon codeartspipeline:extension:update - DELETE /v1/{domain_id}/agent-plugin/delete-draft codeartspipeline:extension:delete - GET /v1/{domain_id}/publisher/query-all codeartspipeline:extension:list - GET /v1/{domain_id}/publisher/optional-publisher codeartspipeline:extension:list - POST /v1/{domain_id}/relation/stage-plugins codeartspipeline:extension:list - GET /v1/{domain_id}/relation/plugin/single codeartspipeline:extension:list - POST /v1/{domain_id}/agent-plugin/query-all codeartspipeline:extension:list - POST /v1/{domain_id}/agent-plugin/plugin-metrics codeartspipeline:extension:get - POST /v1/{domain_id}/agent-plugin/plugin-input codeartspipeline:extension:get - POST /v1/{domain_id}/agent-plugin/plugin-output codeartspipeline:extension:get - GET /v1/{domain_id}/agent-plugin/query codeartspipeline:extension:list - GET /v1/{domain_id}/agent-plugin/detail codeartspipeline:extension:get - GET /v1/{domain_id}/agent-plugin/all-version codeartspipeline:extension:list - DELETE /v1/{domain_id}/publisher/delete codeartspipeline:extension:delete - POST /v1/{domain_id}/publisher/detail codeartspipeline:extension:get - POST /v3/{domain_id}/extension/info/add codeartspipeline:extension:create - POST /v3/{domain_id}/extension/info/update codeartspipeline:extension:update - DELETE /v3/{domain_id}/extension/info/delete codeartspipeline:extension:delete - POST /v3/{domain_id}/extension/upload codeartspipeline:extension:update - GET /v3/{domain_id}/extension/detail codeartspipeline:extension:get - POST /v1/{domain_id}/relation/plugins codeartspipeline:extension:list -

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Security-Token 否 String 如果正在使用临时安全凭据，则此header是必需的，该值是临时安全凭据的安全令牌（会话令牌）。 最小值：1 表3 请求Body参数 参数 是否必选 参数类型 描述 tags 是 Array of TagDto objects 要添加到指定资源的标签列表。 数组长度：1 - 20 表4 TagDto 参数 是否必选 参数类型 描述 key 是 String 标签键的密钥标识符或名称。 最小长度：1 最大长度：128 value 是 String 与标签键关联的字符串值。您可以将标签的值设置为空字符串，但不能将标签的值设置为NULL。 最小长度：0 最大长度：255

URI POST /v1/organizations/{resource_type}/{resource_id}/tags/delete 表1 路径参数 参数 是否必选 参数类型 描述 resource_type 是 String 资源类型。枚举值：organizations:policies（服务策略）、organizations:ous（组织OU）、organizations:accounts（账号信息） 、organizations:roots：（根）。 枚举值： organizations:policies organizations:ous organizations:accounts organizations:roots resource_id 是 String 根、组织单元、账号或策略的唯一标识符（ID）。 最大长度：130

响应参数 状态码： 200 表3 响应Body参数 参数 参数类型 描述 entities Array of EntityDto objects 组织中的根、组织单元和账号的列表。 page_info PageInfoDto object 分页信息 表4 EntityDto 参数 参数类型 描述 name String 实体的名称。 最小长度：1 最大长度：64 id String 实体的唯一标识符（ID）。 最大长度：100 type String 实体的类型。account：账号；organizational_unit：组织单元；root：根。 最小长度：1 最大长度：64 表5 PageInfoDto 参数 参数类型 描述 next_marker String 如果存在，则表示可用的输出比当前响应中包含的输出多。在对操作的后续调用中，在标签请求参数中使用此值，以获取输出的下一部分。您应该重复此操作，直到next_marker响应元素返回为null。 current_count Integer 本页返回条目数量 最小值：1 最大值：2000

URI GET /v1/organizations/entities 表1 Query参数 参数 是否必选 参数类型 描述 parent_id 否 String 父节点（根或组织单元）的唯一标识符（ID）。 最大长度：100 child_id 否 String 子节点（组织单元）的唯一标识符（ID）。 最大长度：100 limit 否 Integer 页面中最大结果数量。 最小值：1 最大值：2000 缺省值：200 marker 否 String 分页标记。 最小长度：4 最大长度：400

响应参数 状态码： 200 表3 响应Body参数 参数 参数类型 描述 handshakes Array of HandshakeDto objects 邀请（握手）对象的列表，其中包含与指定账号关联的每个邀请（握手）的详细信息。 page_info PageInfoDto object 分页信息 表4 HandshakeDto 参数 参数类型 描述 id String 邀请（握手）的唯一标识符（ID）。源账号在发起邀请（握手）时创建ID。 最大长度：34 urn String 邀请（握手）的统一资源名称。 最小长度：1 最大长度：1500 updated_at String 邀请（握手）请求被接受、取消、拒绝或到期的日期和时间。 created_at String 提出邀请（握手）请求的日期和时间。 management_account_id String 组织管理账号的唯一标识符（ID）。 最大长度：36 management_account_name String 组织管理账号的名称。 最大长度：64 organization_id String 组织的唯一标识符（ID）。 最大长度：34 notes String 给收件账号所有者的邮件中的附加信息。 最大长度：1024 target TargetDto object 要邀请加入组织的账号的标识符（ID）。 status String 邀请（握手）的当前状态, pending：邀请中；accepted：接受邀请；cancelled：取消邀请；declined：拒绝邀请；expired：邀请过期。 最小长度：1 最大长度：64 表5 TargetDto 参数 参数类型 描述 type String 目标类型，account：账号，email：邮箱。 最小长度：1 最大长度：64 entity String 如果指定 "type:account"，则必须提供账号ID作为实体。如果指定"type:email"，则必须指定与账号关联的电子邮件地址。 最大长度：100 表6 PageInfoDto 参数 参数类型 描述 next_marker String 如果存在，则表示可用的输出比当前响应中包含的输出多。在对操作的后续调用中，在标签请求参数中使用此值，以获取输出的下一部分。您应该重复此操作，直到next_marker响应元素返回为null。 current_count Integer 本页返回条目数量 最小值：1 最大值：2000

响应示例 状态码： 200 Successful. { "handshakes" : [ { "id" : "h-2tnfkrhe64qokwripd2kqrhd7d3079u5", "urn" : "organizations::0a6d25d23900d45c0faac010e0fb4de0:ou:o-fhkmi6mek7wlqdp6nideqhb47qwtjdsv/ou-fi0rv9jbjgc6nifokh65jjo8c24fnujv", "updated_at" : "2022-09-23T07:38:15Z", "created_at" : "2022-09-23T07:38:15Z", "management_account_id" : "0a6d25d23900d45c0faac010e0fb4de0", "management_account_name" : "paas_iam_573331", "organization_id" : "o-fhkmi6mek7wlqdp6nideqhb47qwtjdsv", "notes" : "test-notes", "target" : { "type" : "account", "entity" : "644c579bea6d473e8ce386e0e8ec449d" }, "status" : "cancelled" } ], "page_info" : { "next_marker" : "ou-taowxgy4xbme6m4x3c2iijbxw7yj8fcw", "current_count" : 100 } }

响应参数 状态码： 200 表3 响应Body参数 参数 参数类型 描述 tags Array of TagsDTO objects 自定义标签键值对。 表4 TagsDTO 参数 参数类型 描述 key String 键。最大长度127个unicode字符。 key不能为空。 最小长度：1 最大长度：128 values Array of strings 值列表。每个值最大长度255个unicode字符。 最小长度：0 最大长度：255 数组长度：0 - 10

URI GET /v1/organizations/{resource_type}/tags 表1 路径参数 参数 是否必选 参数类型 描述 resource_type 是 String 资源类型。枚举值：organizations:policies（服务策略）、organizations:ous（组织OU）、organizations:accounts（账号信息） 、organizations:roots：（根）。 枚举值： organizations:policies organizations:ous organizations:accounts organizations:roots