华为云用户手册

密码设置策略 图1 密码设置策略 密码至少包含字符种类（大写字母、小写字母、数字、特殊字符）默认为2种，可以在2~4种之间设置。 密码最小长度默认为8个字符，可以在8~32个字符之间设置。 （可选）开启“设置密码时同一字符不能连续出现”，设置密码中允许同一字符连续出现的最大次数。例如设置为1，表示密码中不允许出现相同字符。 （可选）开启“新密码不能与最近的历史密码相同”，设置新密码不能与最近几次的历史密码相同。例如设置为3，表示不能使用最近三次的历史密码，用户在设置新密码时，如果新密码与历史密码相同，系统将会提示用户不能使用最近三次的历史密码，需要重新设置密码。 修改密码设置策略，将对后续新增 IAM 用户和后续修改密码的帐号以及帐号下的IAM用户生效。

操作步骤 管理员登录IAM控制台。 在用户组列表中，单击新建用户组右侧的“授权”。 在授权页面进行授权时，管理员在权限列表的搜索框中搜索需要的角色。 选择角色，系统将自动勾选依赖角色。 图1 选择角色 单击勾选权限下方的，查看角色的依赖关系。 图2 查看角色的依赖关系 例如“DNS Administrator”，角色内容中存在“Depends”字段，表示存在依赖关系。给用户组授予“DNS Administrator”角色时，还需要在同项目同时授予“Tenant Guest”和“VPC Administrator”角色，“DNS Administrator”才能生效。 单击“确定”，完成依赖角色的授权。

登录密码、关联手机号、绑定邮件地址 修改登录密码、关联手机号、绑定邮件地址类似，以修改密码为例。 进入安全设置。 在“安全设置”页面中，选择“基本信息”页签，单击“登录密码”右侧的“立即修改”，进入“修改密码”页面。 图1 修改密码 （可选）选择身份验证方式，获取并输入验证码。 如果邮件地址和手机都未绑定，则无需验证。 输入原密码、新密码并确认密码。 密码不能是用户名或者用户名的倒序，例如：用户名为A12345，则密码不能为A12345、a12345、54321A和54321a。 密码的强弱程度，例如密码的最小长度等，可以由管理员在密码策略中进行设置。 单击“确定”，完成密码修改。

支持IAM资源粒度授权的云服务 如果您需要授予IAM用户特定资源的相应权限，可以创建自定义策略并选择特定资源，该IAM用户将仅拥有对应资源的使用权限。例如创建自定义策略时，选择资源类型并添加资源路径：OBS:*:*:bucket:TestBucket*，即可授予IAM用户以TestBucket命名开头的桶相应权限。 下表为当前华为云支持资源级别授权的云服务及对应资源类型。 表1 支持资源粒度授权的云服务及其资源类型 服务 资源类型 资源名称 对象存储服务 （OBS） bucket 桶 object 对象 智能边缘平台（IEF） product 产品 node 边缘节点 group 边缘节点组 deployment 应用部署 batchjob 批量作业 application 应用模板 appVersion 应用模板版本 IEFInstance IEF实例 数据湖探索 （ DLI ） queue 队列 database 数据库 table 表 column 列 datasourceauth 安全认证信息 jobs 作业 图引擎服务（GES） graphName 图名称 backupName 备份名称 函数工作流 服务（FunctionGraph） function 函数 trigger 触发器 分布式消息服务（DMS） rabbitmq RabbitMQ实例 kafka Kafka实例 设备接入（IoTDA） app 资源空间ID 数据加密 服务（KMS） KeyId 密钥ID 自动驾驶云服务（Octopus） dataset 数据集 replay 视频回放 数据仓库 服务(DWS) cluster 集群 父主题： 自定义策略

企业项目视图 在企业项目视图下，您可以选择如下过滤条件查看对应授权记录。 策略名：权限的名称。单击权限名称可以查看权限详情。 如需查看指定权限的授权记录，选择过滤条件为“策略名”，输入指定权限名称，查看该权限的授权记录。如需查看企业项目支持的云服务权限，请参见：云服务权限说明。 用户名/用户组名/委托名：IAM用户、用户组、委托的名称。 如需查看指定IAM用户/用户组的企业项目授权记录，选择过滤条件为“用户名”、“用户组名”，输入指定对应名称，查看其授权记录。 基于企业项目授权，最小授权单位为用户，查看企业项目视图下指定IAM用户授权记录时，显示该IAM用户及其所属用户组的授权记录。 企业项目：企业项目的名称，即权限的作用范围。查看指定企业项目的授权记录，选择区域过滤条件为“企业项目”，输入企业项目名称，查看基于该企业项目的所有授权记录。 主体类型：授权对象类型，可以选择用户、用户组、委托3种。 项目区域：IAM项目或区域。如果您在企业项目视图下，选择“项目区域”为过滤条件，并选择指定项目，将自动切换至IAM项目视图。

管理IAM用户访问密钥 访问密钥即AK/SK（Access Key ID/Secret Access Key），是您通过开发工具（API、CLI、SDK）访问华为云时的身份凭证，不能登录控制台。系统通过AK识别访问用户的身份，通过SK进行签名验证，通过加密签名验证可以确保请求的机密性、完整性和请求者身份的正确性。 如果IAM用户不能登录控制台，在需要使用访问密钥或者访问密钥遗失的情况下，可以由管理员在IAM中管理IAM用户的访问密钥。 管理员在IAM用户列表中，单击右侧的“安全设置”，新增或者删除用户的访问密钥。 图1 管理IAM用户访问密钥 企业联邦用户不能创建访问密钥，但可以创建临时访问凭证（临时AK/SK和SecuritityToken），具体内容请参见：临时访问密钥。 IAM提供的“安全设置”功能，适用于管理员管理IAM用户的访问密钥。在我的凭证中也可以管理访问密钥，我的凭证适用于所有用户在可以登录控制台的情况下，自行管理访问密钥。 帐号和IAM用户的访问密钥是单独的身份凭证，即帐号和IAM用户仅能使用自己的访问密钥进行API调用。 访问密钥的“最近使用时间”记录IAM用户15分钟内的第一次使用时间，如果15分钟内多次使用访问密钥，仅记录第一次使用时间。 新增访问密钥并下载 单击“新增访问密钥”。 图2 新增访问密钥 每个用户最多可以拥有2个访问密钥，有效期为永久。为了帐号安全性，建议管理员定期给用户更换访问密钥。 若开启操作保护，则管理员需输入验证码或密码。 单击“确定”，生成并下载访问密钥后，将访问密钥提供给用户。 删除访问密钥 单击“删除”。 图3 删除访问密钥 若开启操作保护，则管理员需输入验证码或密码。 单击“确定”。 启用、停用访问密钥 新创建的访问密钥默认为启用状态，如需停用该访问密钥，步骤如下： 在“访问密钥”页签中，在需要停用的访问密钥右侧单击“停用”。 图4 停用访问密钥 若开启操作保护，则需输入验证码或密码。然后单击“是”，停用访问密钥。 启用访问密钥方式与停用类似，请参考以上步骤。 父主题： IAM用户

IAM项目视图 在IAM项目视图下，您可以选择如下过滤条件查看对应授权记录。 策略名：权限的名称。单击权限名称可以查看权限详情。 如需查看指定权限的授权记录，选择过滤条件为“策略名”，输入指定权限名称，查看该权限的授权记录。如需查看所有云服务的系统权限，请参见：系统权限。 用户名/用户组名/委托名：IAM用户、用户组、委托的名称。 如需查看指定IAM用户/用户组/委托的IAM项目授权记录，选择过滤条件为“用户名”、“用户组名”或“委托名”，输入指定对应名称，查看其授权记录。 基于IAM项目授权，最小授权单位为用户组。查看IAM项目视图下指定IAM用户授权记录时，将显示该IAM用户所属用户组的授权记录。 项目区域：IAM项目或区域名称，即权限的作用范围。查看IAM项目授权情况，请选择： 全局服务：查看所有全局服务授权记录。 所有项目：查看基于所有项目授权的授权记录。基于“所有项目”授权，权限对所有项目都生效，包括全局服务和所有项目（包括未来创建的项目）。 指定项目（如“cn-north-4”）：查看基于默认区域、子项目授权的授权记录。 主体类型：授权对象类型，可以选择用户、用户组、委托3种。IAM项目视图下，可以选择主体类型为“用户组”、“委托”，如果选择“用户”，筛选结果为空。 企业项目：企业项目的名称。如果您在IAM用户视图下，选择“企业项目”为过滤条件，并输入企业项目名称，将自动切换至企业项目视图。

给用户组授权 以下步骤仅适用于给用户组新增权限。如需移除权限，请参见：移除用户组权限。 在用户组列表中，单击新建用户组右侧的“授权”。 图2 进入用户组权限设置页面 在用户组选择策略页面中，勾选需要授予用户组的权限。单击“下一步”。 如果系统策略不满足授权要求，可以单击权限列表右上角的“新建策略”创建自定义策略，并勾选新创建的策略来进行精细的权限控制，自定义策略是对系统策略的扩展和补充。详情请参考创建自定义策略。 图3 选择权限 选择权限的作用范围。系统会根据您所选择的策略，自动推荐授权范围方案，便于为用户选择合适的授权作用范围，表1为IAM提供的所有授权范围方案。 表1 授权范围方案 可选方案 方案说明 所有资源 IAM用户可以根据权限使用帐号中所有的区域项目、全局服务资源。 指定企业项目资源 选择指定企业项目，IAM用户可以根据权限使用该企业项目中的资源。仅开通企业项目后可选。 如果您暂未开通企业项目，将不支持基于企业项目授权，了解企业项目请参考：什么是企业项目管理。如需开通，请参考：开通企业项目。 指定区域项目资源 选择指定区域项目，IAM用户可以根据权限使用该区域项目中的资源。 如果选择作用范围为“区域项目”，且所勾选的策略包含全局服务权限，系统自动将全局服务权限的作用范围设置为所有资源，勾选的区域项目权限的作用范围仍为指定区域项目。 全局服务资源 IAM用户可以根据权限使用全局服务。全局服务部署时不区分物理区域。访问全局级服务时，不需要切换区域，如对象存储服务（OBS）、内容分发网络（CDN）等。 如果选择作用范围为“全局服务”，且所勾选的策略包含项目级服务权限，系统自动将项目权限作用范围设置为所有资源，勾选的全局服务权限的作用范围仍为全局服务。 单击“确定”，完成用户组授权。 表2为常用权限，完整的权限列表请参见：系统权限。 当一个用户被加入多个用户组，将会拥有所有已加入用户组的权限。 更多有关权限的使用建议请参见：多运维人员权限设置案例、依赖角色的授权方法、自定义策略使用样例。 表2 常用权限 权限 需要授予的策略 权限说明 授权范围 总负责人 FullAccess 支持基于策略授权服务的所有权限 所有资源 管理资源 Tenant Administrator 除IAM外，其他所有服务的管理员权限 所有资源 查看资源 Tenant Guest 所有资源的只读权限 所有资源 管理IAM用户 Security Administrator IAM的管理员权限 全局服务资源 管理费用 BSS Administrator 费用中心的管理员权限，包括管理发票、管理订单、管理合同、管理续费、查看账单等权限。 说明： 授权时，需要授予所有区域的“BSS Administrator”权限。 指定区域项目资源 计算域运维 E CS FullAccess 弹性云服务器的管理员权限 指定区域项目资源 CCE FullAccess 云容器引擎的管理员权限 指定区域项目资源 CCI FullAccess 云容器实例管理员权限 指定区域项目资源 BMS FullAccess 裸金属服务器的管理员权限 指定区域项目资源 IMS FullAccess 镜像服务 的管理员权限 指定区域项目资源 AutoScaling FullAccess 弹性伸缩的管理员权限 指定区域项目资源 网络域运维 VPC FullAccess 虚拟私有云的管理员权限 指定区域项目资源 ELB FullAccess 弹性负载均衡的管理员权限 指定区域项目资源 数据库运维 RDS FullAccess 云数据库的管理员权限 指定区域项目资源 DDS FullAccess 文档数据库服务的管理员权限 指定区域项目资源 DDM FullAccess 分布式数据库 中间件的管理员权限 指定区域项目资源 安全领域运维 Anti-DDoS Administrator Anti-DDoS流量清洗服务的管理员权限 指定区域项目资源 AAD Administrator DDoS高防服务 的管理员权限 指定区域项目资源 WAF Administrator Web应用防火墙 的管理员权限 指定区域项目资源 VSS Administrator 漏洞扫描服务 的管理员权限 指定区域项目资源 CGS Administrator 容器安全服务 的管理员权限 指定区域项目资源 KMS Administrator 数据加密服务的管理员权限 指定区域项目资源 DBSS System Administrator 数据库安全服务的管理员权限 指定区域项目资源 SES Administrator 安全专家服务的管理员权限 指定区域项目资源 SC Administrator SSL证书管理服务的管理员权限 指定区域项目资源

在IAM控制台创建云服务委托 登录IAM控制台。 在 统一身份认证 服务的左侧导航窗格中，选择“委托”页签，单击“创建委托”。 在创建委托页面，设置“委托名称”。 图2 云服务委托名称 “委托类型”选择“云服务”，在“云服务”中选择需要授权的云服务。 选择“持续时间”。 （可选）填写“委托描述”。建议填写描述信息。 单击“下一步”，进入给委托授权页面。 勾选需要授予委托的权限，单击“下一步”，选择权限的作用范围，给委托授权。 单击“确定”，委托创建完成。

简介 组织（以下简称Organizations）云服务为企业用户提供多帐号关系的管理能力。Organizations支持用户将多个华为云帐号整合到创建的组织中，并可以集中管理组织下的所有帐号。用户可以在组织中设置访问策略，帮助用户更好地满足业务的安全性和合规性需求。 Organizations服务为免费服务，不收取任何费用。用户只需要对各帐号中使用的其他云服务或者资源实例付费。 Organizations云服务处于公测中，支持企业用户申请公测免费试用。

可信服务 可信服务 可信服务是指可与Organizations服务集成，提供组织级相关能力的华为云服务。启用华为云服务为可信服务后，可信服务会在成员帐号中创建一个服务关联委托，该委托允许可信服务在成员帐号中拥有执行可信服务文档中所述任务的权限，相当于云服务能力在多帐号组织场景下的拓展。目前支持的可信服务请参见：已对接组织的可信服务列表。 委托管理员帐号 委托管理员帐号是一个组织中有特殊权限的成员帐号。管理帐号可指定某个成员帐号成为某个可信服务的委托管理员帐号。成为委托管理员帐号后，该帐号下的用户可以使用对应可信服务的组织级管理能力。

组织的组成元素 组织 为管理多帐号关系而创建的实体。一个组织由管理帐号、成员帐号、根组织单元、组织单元（Organizational Unit，以下简称OU）四个部分组成。一个组织有且仅有一个管理帐号，若干个成员帐号，以及由一个根组织单元和多层级组织单元组成的树状结构。成员帐号可以关联在根组织单元或任一层级的组织单元。 根组织单元 当您开通Organizations云服务并创建组织后，系统会为您自动生成根组织单元。根组织单元位于整个组织树的顶端，组织由根组织单元向下关联组织单元和帐号。 组织单元 组织单元是可以理解为成员帐号的容器或分组单元，通常可以映射为企业的部门、子公司或者项目族等。组织单元可以嵌套，一个组织单元只能有一个父组织单元，一个组织单元下可以关联多个子组织单元或者成员帐号。 管理帐号 管理帐号是标准的华为云帐号。企业管理员在管理帐号中，使用Organizations服务创建组织，并管理组织中其他帐号。在管理帐号中还可以管理整个组织的相关策略和可信服务。 成员帐号 当启用Organizations服务后，通过Organizations服务邀请加入的帐号称为成员帐号。成员帐号是标准的华为帐号或华为云帐号，可以关联在根组织单元或者任一个组织单元下。 邀请 邀请其他帐号加入组织的过程。邀请只能由管理帐号发出，被邀请帐号只有接受邀请后，才会加入组织。通过邀请加入组织的帐号，不会改变该帐号的费用结算关系。

组织策略 服务控制策略 服务控制策略 (Service Control Policies，以下简称SCP) 是一种基于组织的访问控制策略。组织管理帐号可以使用SCP指定组织中成员帐号的权限边界，限制帐号内用户的操作。服务控制策略可以关联到组织、组织单元和成员帐号。当服务控制策略关联到组织或组织单元时，该组织或组织单元下所有帐号受到该策略影响。详情可参考服务控制策略介绍。 标签策略 标签策略是策略的一种类型，可帮助您在组织帐号中对资源添加的标签进行标准化管理。标签策略对未添加标签的资源或未在标签策略中定义的标签不会生效。

功能概览 Organizations服务的主要功能： 集中管理企业多帐号：企业可以将多个帐号邀请加入组织，并根据企业的管理或工作方式将帐号进行分层分组。 集中控制每个帐号可执行的操作：管理员通过使用服务控制策略，为组织或者组织单元设置权限边界，阻止组织内的成员帐号对相应服务或者API的访问。 与其他华为云服务集成：Organizations服务通过和其他华为云服务的集成（可信服务），使用户可以在其他服务上执行组织级别的相关能力。可信服务及其相关能力的具体详情，请参考已对接组织的可信服务。 表1 Organizations云服务功能概览 功能 功能描述 参考链接 组织管理 您可以创建组织，并邀请其他帐号加入组织。查看组织、根、组织单元 (OU) 和帐号的详细信息。当您不再需要组织时可关闭组织。 组织管理 组织单元管理 管理帐号可以创建OU、修改OU、查看OU详细信息、删除OU。 组织单元管理 帐号管理 管理帐号可邀请帐号加入组织、更改成员帐号所属组织单元、查看成员帐号详细信息、移除成员帐号。 帐号管理 服务控制策略 管理帐号可创建SCP、修改和删除SCP，为OU和帐号绑定和解绑SCP。 服务控制策略 标签策略 管理帐号可创建标签策略、修改和删除标签策略，为OU和帐号绑定和解绑标签策略。 标签策略 可信服务 管理帐号可以在组织中，启用或禁用某个云服务为可信服务，并设置成员帐号为可信服务委托管理员。 可信服务

OrganizationsFullAccess策略内容 { "Version": "1.0", "Statement": [ { "Effect": "Allow", "Action": "organizations:*", "Resource": "*" }, { "Effect": "Allow", "Action": "iam:agencies:createServiceLinkedAgency", "Resource": ["*"], "Condition": { "StringEquals": { "iam:ServicePrincipal": "service.organizations" } } } ]}

OrganizationsReadOnlyAccess策略内容 { "Version": "1.0", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:organizations:get", "organizations:roots:list", "organizations:ous:list", "organizations:ous:get", "organizations:accounts:list", "organizations:accounts:get", "organizations:accounts:listAncestors", "organizations:receivedHandshakes:list", "organizations:handshakes:list", "organizations:trustedServices:list", "organizations:delegatedServices:list", "organizations:delegatedAdministrators:list", "organizations:policies:list", "organizations:policies:get", "organizations:attachedEntities:list", "organizations:tags:list", "organizations:entities:list" ], "Resource": "*" } ]}

Organizations云服务权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 Organizations云服务为全局服务。授权时，“授权范围”需要选择“全局服务资源”。 权限根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。多数细粒度策略以API接口为粒度进行权限拆分，权限的最小粒度为API授权项（action），Organizations云服务支持的API授权项请参见权限及授权项说明。 如表1所示，包括了Organizations云服务的所有系统权限。 表1 Organizations云服务系统权限 系统角色/策略名称 描述 类别 依赖关系 OrganizationsFullAccess 拥有该权限的用户可以执行Organizations服务支持的所有功能，包括创建、更改、删除、查询等操作。 系统策略 无 OrganizationsReadOnlyAccess 拥有该权限的用户可以对组织信息执行只读访问。它不允许用户进行任何更改。 系统策略 无 表2列出了Organizations常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表2 组织常用操作与系统权限的关系 操作 OrganizationsFullAccess OrganizationsReadOnlyAccess 创建组织 √ x 查看组织 √ √ 关闭组织 √ x 创建OU √ x 修改OU √ x 查看OU详细信息 √ √ 删除OU √ x 邀请帐号加入组织 √ x 更新帐号所属OU √ x 查看帐号详细信息 √ √ 移除成员帐号 √ x 启用服务控制策略 √ x 禁用服务控制策略 √ x 创建SCP √ x 修改SCP √ x 查看SCP √ √ 删除SCP √ x 绑定SCP √ x 解绑SCP √ x 启用可信服务 √ x 禁用可信服务 √ x 设置委托管理员 √ x 添加标签 √ x 修改标签 √ x 查看标签 √ √ 删除标签 √ x

修订记录 表1 修订记录 日期 修订记录 2021-11-30 第十三次正式发布。 根据“授权”功能优化，修改步骤1：创建用户组并授权章节。 2021-09-02 第十二次正式发布。 根据“权限管理”功能优化，修改步骤1：创建用户组并授权章节。 2021-03-27 第十一次正式发布。 根据华为云统一ID进行全文刷新。 2020-12-30 第十次正式发布。 根据登录界面变更、安全设置功能变更、界面词条变更进行全文刷新。 2020-10-27 第九次正式发布。 根据登录方式变更刷新登录界面截图。 2020-06-08 第八次正式发布。 根据新增HUAWEI ID登录方式刷新以下章节： 步骤1：创建用户组并授权 步骤2：创建IAM用户并登录 2020-02-10 第七次正式发布。 根据策略更名修改步骤1：创建用户组并授权章节。 2020-01-19 第六次正式发布。 根据界面变更刷新步骤1：创建用户组并授权章节。 2020-01-02 第五次正式发布。 根据界面风格变化刷新各章节图片。 2019-12-10 第四次正式发布。 根据界面变更修改步骤1：创建用户组并授权章节。 2019-11-20 第三次正式发布。 根据界面变更修改步骤2：创建IAM用户并登录章节。 2019-06-06 第二次正式发布。 优化步骤1：创建用户组并授权中授权步骤。 2019-02-26 第一次正式发布。

缺陷生命周期的流程变更 本特性变更仅适用于IPD-系统设备类和IPD-独立软件类需求模型。 IPD缺陷管理中支持灵活的生命周期状态自定义、状态流转自定义，针对以往的工作流状态转换流程，做出了以下两点变更： 移除“保存”流转线和“提交”状态。 移除“测试通过”流转线。 为更契合IPD缺陷管理业务，已对默认流程提供了最新的缺陷工作流，包括以下几点： 移除“提交”状态，创建缺陷提交成功后直接到“分析”状态。 更改“分析”状态归属类型为“初始态”，作为缺陷工作流的第一个生命周期状态。 “分析”状态退回到“确认”状态，可再次重新提交到“分析”状态。 对于已存在位于“提交”状态的缺陷，统一迁移至“分析”状态。 父主题： 特性变更说明

开通说明 CodeArts提供了以下开通方式： 组合开通：包月套餐购买、服务组合开通方式，请参见快速购买/开通套餐。 单独开通：单独开通需求管理服务。 服务的开通需要区分区域，因此开通前注意选择自己需要开通的区域。 服务开通后，需注意创建的资源也分区域。 例如，在“华北-北京四”中创建了“项目A”，在下次查看“项目A”时，需先切换到“项目A”所在区域“华北-北京四”。 Wiki和文档托管服务：默认随需求管理服务开通。

处理方法 在工作项文件中删除之前超出300条数据量的空行后，再重新导入工作项数据。 在工作项文件中删除了几条工作项数据后，如果需要再补充到300条，则建议执行如下操作： 直接导入删除数据后的工作项文件。 检查导入成功的工作项条数是否跟工作项文件中的一致。 如果一致，未统计删除的几条工作项，则可在另一份工作项文件中填写需要增加的工作项数据后再导入。 如果不一致，统计了删除的几条工作项，则需要在项目管理服务中删除同等条数的工作项数据后，再重新导入一份工作项文件。

操作场景 帮助用户快速建立对Scrum项目的整体印象。例如一家新公司，进行常规操作设置后，能够将Scrum项目用起来。 支持敏捷迭代开发，迭代计划和时间线清晰展现项目进展，工作流程支持自定制，满足企业个性化流程。 需求管理提供两种类型默认项目模板，分别包含不同的应用，以满足不同场景下的使用需求。更多模板详情请参见项目模板。 Scrum：适用于敏捷开发模式的研发管理平台，短周期持续交付，快速响应需求和市场变化。 看板：适用于轻量团队看板模板。 Scrum的基本使用流程分三种场景： 项目经理：快速创建并设置项目 开发人员：快速进入项目处理工作 项目经理：快速掌握项目进展和风险 本文中涉及的操作角色说明： 项目经理：即项目开发管理员。 主要负责创建项目并设置项目。详见场景：项目经理：快速创建并设置项目。 在整个项目过程中，还需要重点关注项目进展和掌握风险。详见场景：项目经理：快速掌握项目进展和风险。 开发人员：即参与项目开发的人员。主要负责项目开发和处理工作项事务。详见场景：开发人员：快速进入项目处理工作。 父主题： Scrum项目快速上手

计费项 CFW根据您的CFW服务版本、购买时长和购买的计费项目计费。 表1 计费项信息 服务版本 计费模式 计费项目 计费说明 基础版（已下线） 无 无 免费体验 ，不计费。 标准版 包年/包月 购买时长 提供包年和包月的购买模式。 防护公网IP数（可选） 按购买的个数计费。 防护互联网边界流量峰值（可选） 按购买的流量值计费。 专业版 包年/包月 购买时长 提供包年和包月的购买模式。 防护公网IP数（可选） 按购买的个数计费。 防护互联网边界流量峰值（可选） 按购买的流量值计费。 防护VPC数（可选） 按购买的个数计费

监控安全风险 CFW已对接 云监控服务 （Cloud Eye， CES ）。该服务是华为云为用户提供一个针对各种云上资源的立体化监控平台，用户通过 云监控 服务可以全面了解云上的资源使用情况、业务的运行状况，并及时收到异常告警做出反应，保证业务顺畅运行。 用户使用CES并创建监控指标后，用户可以通过CES管理控制台检索 云防火墙 产生的监控指标和告警信息。 CES的详细介绍和使用方法，请参见CES快速入门。 如何使用CES对CFW进行监控，请参见设置监控告警规则。 父主题： 安全

审计与日志 日志审计是保证云防火墙可靠性、可用性和性能的重要组成部分。用户可以汇总华为云服务的操作日志并进行分析、审计、资源监控和问题定位。 CFW已对接 云审计 服务（Cloud Trace Service, CTS ）。华为云云审计服务提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 CTS的详细介绍和使用方法，请参见CTS快速入门。 父主题： 安全

服务韧性 华为云数据中心按规则部署在全球各地，所有数据中心都处于正常运营状态，无一闲置。数据中心互为灾备中心，如一地出现故障，系统在满足合规政策前提下自动将客户应用和数据转离受影响区域，保证业务的连续性。为了减小由硬件故障、自然灾害或其他灾难带来的服务中断，华为云为所有数据中心提供灾难恢复计划。 当发生故障时，CFW的五级可靠性架构支持不同层级的可靠性，因此具有更高的可用性、容错性和可扩展性。 华为云CFW已面向全球用户服务，并在多个分区部署，同时CFW的所有管理面、引擎等组件均采用主备或集群方式部署。分区部署详情参见地区和终端节点。 父主题： 安全

支持的访问控制策略 基于五元组的访问控制。即源IP地址、目的IP地址、协议号、源端口、目的端口。 基于域名的访问控制。 基于IPS（intrusion prevention system，入侵防御系统）设置访问控制。IPS支持观察模式和阻断模式，当您选择阻断模式时，云防火墙根据IPS规则检测出符合攻击特征的流量进行阻断。具体配置步骤请参见配置访问控制策略。 支持对IP地址组、 黑名单、白名单设置ACL访问控制策略。

数据保护技术 CFW通过多种数据保护手段和特性，保证通过CFW的数据安全可靠。 表1 CFW的数据保护手段和特性 数据保护手段 简要说明 静态数据保护 CFW通过敏感数据加密保证用户流量中敏感数据的安全性。 传输中的数据保护 微服务间管理数据传输进行加密，防止数据在传输过程中泄露或被篡改。用户的配置数据传输采用安全协议HTTPS，防止数据被窃取。 数据完整性校验 CFW进程启动时，配置数据从配置中心获取而非直接读取本地文件。 数据隔离机制 租户区与管理面隔离，租户的所有操作权限隔离，不同租户间的策略、日志等数据隔离。 数据销毁机制 考虑到残留数据导致的信息泄露问题，华为云根据客户等级设定了不同的保留期时长，保留期到期仍未续订或充值，存储在云服务中的数据将被删除，云服务资源将被释放。CFW对云服务自动感知并在保留期到期后释放资源。 同时，CFW服务充分尊重用户隐私，遵循法律法规。以入侵防护功能为例，CFW仅会对流量进行威胁签名匹配检测和异常行为检测，不会采集和存储任何用户隐私数据。 更多隐私数据使用和保护问题，请参考隐私政策声明。 父主题： 安全

调用API获取项目ID 项目ID可以通过调用查询指定条件下的项目列表API获取。 获取项目ID的接口为“GET https://{Endpoint}/v3/projects”，其中{Endpoint}为IAM的终端节点，可以从地区和终端节点获取。接口的认证鉴权请参见认证鉴权。 响应示例如下，其中projects下的“id”即为项目ID。 { "projects": [ { "domain_id": "65382450e8f64ac0870cd180d14e684b", "is_domain": false, "parent_id": "65382450e8f64ac0870cd180d14e684b", "name": "project_name", "description": "", "links": { "next": null, "previous": null, "self": "https://www.example.com/v3/projects/a4a5d4098fb4474fa22cd05f897d6b99" }, "id": "a4a5d4098fb4474fa22cd05f897d6b99", "enabled": true } ], "links": { "next": null, "previous": null, "self": "https://www.example.com/v3/projects" }}

传播 权限 对应API接口 授权项（Action） IAM项目 (Project) 企业项目 (Enterprise Project) 创建传播 POST /v3/{project_id}/enterprise-router/{er_id}/route-tables/{route_table_id}/enable-propagations er:propagations:enable √ √ 查询传播列表 GET /v3/{project_id}/enterprise-router/{er_id}/route-tables/{route_table_id}/propagations er:propagations:list √ √ 删除传播 POST /v3/{project_id}/enterprise-router/{er_id}/route-tables/{route_table_id}/disable-propagations er:propagations:disable √ √ 父主题： 权限和授权项