华为云用户手册

模板审核需要多长时间？ 如果在法定工作日9:00~18:00期间提交审核的短信模板，国内文本短信模板一般在2小时内完成审核。 如果18:00后提交审核的短信模板，顺延至下一个工作日审核。仅支持工作日审核，法定节假日顺延。 如果超过规定时间仍未审核，您可登录短信控制台，进入“模板管理”页面，查找“待审核”的国内文本短信模板或国际/港澳台短信模板，单击“催审”。对于催审状态的模板申请，运营经理会优先处理，加快审核。 父主题： 模板问题

注意事项 如果加速域名的资源在CDN节点不缓存，即使设置了状态码缓存时间，也无法缓存客户端请求该资源时产生的状态码。 后台有特殊配置的域名暂不支持配置状态码缓存时间。 业务类型为全站加速的域名不支持配置状态码缓存时间。 CDN默认缓存404、500、502、504状态码3s，其他状态码默认不缓存。 是否默认缓存404状态码依赖头域设置，如果带有X-HTTP-Method-Override、X-HTTP-Method、X-Method-Override头域，默认不缓存，反之则缓存3s。 如果域名的某个资源URL参数设置为“忽略参数”，当客户端请求返回的状态码（例如400）被缓存时，在缓存时间内所有该资源的请求均返回该状态码（400），请根据业务情况合理设置状态码缓存时间。 当前支持修改以下状态码的缓存时间： 4XX：400、403、404、405、414。 5XX：500、501、502、503、504。 3XX：301、302。

适用场景 状态码缓存时间功能主要适用于源站响应异常状态码的场景。当源站运行正常时，CDN回源请求资源后将按照设置的缓存规则将资源缓存到节点，再次访问相同资源时不会触发回源。当源站响应异常，且不希望所有请求都由源站响应，可以设置状态码缓存时间，减轻源站压力。 典型应用：图片abc.jpg已从源站删除，CDN节点无缓存，且持续有用户在访问该资源，那么所有访问都将会回源，由源站响应4xx状态码，增加源站压力。此时如果在CDN配置4xx状态码缓存时间，用户再次请求资源将直接由CDN节点响应4xx状态码，无需回源。

注意事项 CDN目前仅支持推送中国大陆节点的日志到云日志服务的华北-北京四region。CDN其余地区节点的日志推送功能正在规划，请关注产品动态。 CDN节点实时日志推送暂不收费（后续是否会收费请关注产品动态），基础存储与分析相关费用由云日志服务（LTS）收取。 受网络、节点物理硬件等的影响，引起的部分日志有延迟属于正常波动，实时日志也会存在小概率的延迟。 实时日志不可用于计费、对账等场景。 对接LTS后，如果您的域名上量超过20%，请提前5天提交工单请运维人员介入，以免影响正常使用。

为什么要看实时日志 实时日志可以帮助您分析加速域名遇到的异常问题，也可以帮助您了解用户的访问情况。实时日志的优势如下： 当前CDN控制台可为用户展示的离线日志是延时了6个小时的日志，而实时日志延时较小，可以帮助您更快速的对终端用户访问日志进行分析。 传统离线日志需要您先将离线日志包下载、解压再对日志进行分析处理，过程比较繁琐。华为云已打通与云日志服务间的通信链路，采用流式传输，免去了传统日志繁琐的下载分析流程。 云日志服务已部署CDN专属的可视化仪表盘，您可以一键开启，将CDN原始日志可视化呈现。 离线日志目前默认提供访问时间、状态码等13个字段，实时日志默认提供日志分析常用的25个字段，详见实时日志字段。

实时日志字段 表2 实时日志字段说明 字段 字段含义 是否一定有值 缺省值 request_time 请求时间戳，单位：毫秒 是 无 domain 请求的域名 是 无 method 请求方法 是 无 scheme 请求协议 是 无 uri 请求资源 是 无 uri_param 请求参数 否 "-" client_ip 用户真实IP 是 无 client_port 和CDN节点建连客户端端口 是 无 refer_protocol HTTP refer中的协议 否 "-" refer_domain HTTP refer中domain信息 否 "-" refer_uri HTTP refer中uri信息 否 "-" refer_param HTTP refer中的参数信息 否 "-" request_size 请求大小 是 无 response_time 请求响应时长，单位：毫秒 是 无 response_size 请求返回大小，单位：字节 是 无 http_code 请求响应码 是 无 response_range 应答头里表示的range信息（由源站创建），如bytes：0~99/200 是 无 request_range 用户请求中Header头中range字段取值，如bytes：0~100 是 无 request_body_bytes 实际发送body大小，单位：字节 是 无 content_type 请求的资源类型 是 无 hit_info 命中信息，取值为HIT（命中）、MISS（未命中） 是 无 user_agent UA 否 "-" uuid 请求唯一标识（全网唯一请求ID，即traceid） 是 无 via_info via头信息 否 "-" X-Forwarded-For 请求头中X-Forwarded-For字段 否 "-"

响应示例 状态码： 200 请求成功。 { "control_summaries" : [ { "manage_account_id" : "string", "control_identifier" : "string", "state" : "string", "version" : "string", "name" : "string", "description" : "string", "control_objective" : "string", "behavior" : "string", "owner" : "string", "regional_preference" : "string", "guidance" : "string", "service" : "string" } ], "state" : "string", "page_info" : { "next_marker" : "string", "description" : "本页返回条目数量。", "current_count" : 0 } }

URI GET /v1/governance/managed-organizational-units/{managed_organizational_unit_id}/controls 表1 路径参数 参数 是否必选 参数类型 描述 managed_organizational_unit_id 是 String 注册OU ID。 最大长度：64 表2 Query参数 参数 是否必选 参数类型 描述 limit 否 Integer 分页页面的最大值。 最小值：1 最大值：2000 缺省值：200 marker 否 String 页面标记。 最小长度：1 最大长度：64

响应参数 状态码： 200 表3 响应Body参数 参数 参数类型 描述 control_summaries Array of TargetControl objects 治理策略概要。 page_info PageInfoDto object 本页返回条目数量。 表4 TargetControl 参数 参数类型 描述 manage_account_id String 管理纳管账号ID。 最小长度：1 最大长度：64 control_identifier String 控制策略标识。 最小长度：1 最大长度：128 state String 控制策略启用状态。 最小长度：1 最大长度：64 version String 控制策略当前版本号。 最小长度：1 最大长度：64 name String 控制策略名称。 最小长度：1 最大长度：64 description String 控制策略描述信息。 最小长度：1 最大长度：64 control_objective String 控制策略目标。 最小长度：1 最大长度：128 behavior String 控制策略类型。包括主动性控制策略Proactive、检测性控制策略Detective、预防性控制策略Preventive。 最小长度：1 最大长度：64 owner String 纳管账号的创建来源，包括CUSTOM和RGC。 最小长度：1 最大长度：128 regional_preference String 区域选项，取值有两种分别是：区域的regional和全局的global。 最小长度：1 最大长度：128 guidance String 控制策略必须性。 最小长度：1 最大长度：64 service String 控制策略所属服务。 最小长度：1 最大长度：64 implementation String 服务控制策略（SCP），配置规则。 最小长度：1 最大长度：64 表5 PageInfoDto 参数 参数类型 描述 next_marker String 在标签请求参数中使用以获取输出的下一部分。重复此操作，直到响应元素返回null。如果存在，则表示可用的输出比当前响应中包含的输出多。 current_count Integer 本页返回条目数量。

获取账号、IAM用户、项目的名称和ID 从控制台获取账号名、账号ID、用户名、用户ID、项目名称、项目ID 在华为云首页右上角，单击“控制台”。 在右上角的用户名中选择“我的凭证”。 图1 进入我的凭证 在“我的凭证”界面，API凭证页签中，查看账号名、账号ID、用户名、用户ID、项目名称、项目ID。 每个区域的项目ID有所不同，需要根据业务所在的区域获取对应的项目ID。 图2 查看账号名、账号ID、用户名、用户ID、项目名称、项目ID 调用API获取用户ID、项目ID 获取用户ID请参考：管理员查询IAM用户列表。 获取项目ID请参考：查询指定条件下的项目列表。

概述 欢迎使用资源治理中心（Resource Governance Center，简称RGC）。RGC是照规范性最佳实践提供一种简单的方案发设置和管理多账户环境，用户可以通过RGC服务创建一个Landing Zone，包含一个管理账号和多个成员账号，同时对这些账号进行各种自动化的护栏配置，帮助客户方便快速安全上云。 您可以使用本文档提供API对RGC进行相关操作，如创建、删除、更新、查询等。支持的全部操作请参见API概览。 在调用RGC的API之前，请确保已经充分了解RGC相关概念，详细信息请参见资源治理中心产品介绍。 父主题： 使用前必读

AK/SK认证 AK/SK签名认证方式仅支持消息体大小12M以内，12M以上的请求请使用Token认证。 AK/SK认证就是使用AK/SK对请求进行签名，在请求时将签名信息添加到消息头，从而通过身份认证。 AK(Access Key ID)：访问密钥ID。与私有访问密钥关联的唯一标识符；访问密钥ID和私有访问密钥一起使用，对请求进行加密签名。 SK(Secret Access Key)：与访问密钥ID结合使用的密钥，对请求进行加密签名，可标识发送方，并防止请求被修改。 使用AK/SK认证时，您可以基于签名算法使用AK/SK对请求进行签名，也可以使用专门的签名SDK对请求进行签名。详细的签名方法和SDK使用方法请参见：API签名指南。 签名SDK只提供签名功能，与服务提供的SDK不同，使用时请注意。

状态码 表1 状态码 状态码 编码 错误码说明 100 Continue 继续请求。 这个临时响应用来通知客户端，它的部分请求已经被服务器接收，且仍未被拒绝。 101 Switching Protocols 切换协议。只能切换到更高级的协议。 例如，切换到HTTP的新版本协议。 201 Created 创建类的请求完全成功。 202 Accepted 已经接受请求，但未处理完成。 203 Non-Authoritative Information 非授权信息，请求成功。 204 NoContent 请求完全成功，同时HTTP响应不包含响应体。 在响应OPTIONS方法的HTTP请求时返回此状态码。 205 Reset Content 重置内容，服务器处理成功。 206 Partial Content 服务器成功处理了部分GET请求。 300 Multiple Choices 多种选择。请求的资源可包括多个位置，相应可返回一个资源特征与地址的列表用于用户终端（例如：浏览器）选择。 301 Moved Permanently 永久移动，请求的资源已被永久的移动到新的URI，返回信息会包括新的URI。 302 Found 资源被临时移动。 303 See Other 查看其它地址。 使用GET和POST请求查看。 304 Not Modified 所请求的资源未修改，服务器返回此状态码时，不会返回任何资源。 305 Use Proxy 所请求的资源必须通过代理访问。 306 Unused 已经被废弃的HTTP状态码。 400 BadRequest 非法请求。 建议直接修改该请求，不要重试该请求。 401 Unauthorized 在客户端提供认证信息后，返回该状态码，表明服务端指出客户端所提供的认证信息不正确或非法。 402 Payment Required 保留请求。 403 Forbidden 请求被拒绝访问。 返回该状态码，表明请求能够到达服务端，且服务端能够理解用户请求，但是拒绝做更多的事情，因为该请求被设置为拒绝访问，建议直接修改该请求，不要重试该请求。 404 NotFound 所请求的资源不存在。 建议直接修改该请求，不要重试该请求。 405 MethodNotAllowed 请求中带有该资源不支持的方法。 建议直接修改该请求，不要重试该请求。 406 Not Acceptable 服务器无法根据客户端请求的内容特性完成请求。 407 Proxy Authentication Required 请求要求代理的身份认证，与401类似，但请求者应当使用代理进行授权。 408 Request Time-out 服务器等候请求时发生超时。 客户端可以随时再次提交该请求而无需进行任何更改。 409 Conflict 服务器在完成请求时发生冲突。 返回该状态码，表明客户端尝试创建的资源已经存在，或者由于冲突请求的更新操作不能被完成。 410 Gone 客户端请求的资源已经不存在。 返回该状态码，表明请求的资源已被永久删除。 411 Length Required 服务器无法处理客户端发送的不带Content-Length的请求信息。 412 Precondition Failed 未满足前提条件，服务器未满足请求者在请求中设置的其中一个前提条件。 413 Request Entity Too Large 由于请求的实体过大，服务器无法处理，因此拒绝请求。为防止客户端的连续请求，服务器可能会关闭连接。如果只是服务器暂时无法处理，则会包含一个Retry-After的响应信息。 414 Request-URI Too Large 请求的URI过长（URI通常为网址），服务器无法处理。 415 Unsupported Media Type 服务器无法处理请求附带的媒体格式。 416 Requested range not satisfiable 客户端请求的范围无效。 417 Expectation Failed 服务器无法满足Expect的请求头信息。 422 UnprocessableEntity 请求格式正确，但是由于含有语义错误，无法响应。 429 TooManyRequests 表明请求超出了客户端访问频率的限制或者服务端接收到多于它能处理的请求。建议客户端读取相应的Retry-After首部，然后等待该首部指出的时间后再重试。 500 InternalServerError 表明服务端能被请求访问到，但是不能理解用户的请求。 501 Not Implemented 服务器不支持请求的功能，无法完成请求。 502 Bad Gateway 充当网关或代理的服务器，从远端服务器接收到了一个无效的请求。 503 ServiceUnavailable 被请求的服务无效。 建议直接修改该请求，不要重试该请求。 504 ServerTimeout 请求在给定的时间内无法完成。客户端仅在为请求指定超时（Timeout）参数时会得到该响应。 505 HTTP Version not supported 服务器不支持请求的HTTP协议的版本，无法完成处理。 父主题： 附录

操作（Action） 操作（Action）即为策略中支持的操作项。 “访问级别”列描述如何对操作进行分类（list、read和write等）。此分类可帮助您了解在策略中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。 资源类型支持通配符号*表示所有。如果此列没有值（-），则必须在策略语句的Resource元素中指定所有资源类型（“*”）。 如果该列包含资源类型，则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号（*）标识，表示使用此操作必须指定该资源类型。 “条件键”列包括了可以在策略语句的Condition元素中支持指定的键值。 如果该操作项资源类型列存在值，则表示条件键仅对列举的资源类型生效。 如果该操作项资源类型列没有值（-），则表示条件键对整个操作项生效。 如果此列没有值（-），表示此操作不支持指定条件键。 您可以在自定义策略语句的Action元素中指定以下RGC的相关操作。

响应参数 状态码： 200 表2 响应Body参数 参数 参数类型 描述 control_operation ControlOperation object 控制策略实施的情况。 表3 ControlOperation 参数 参数类型 描述 operation_control_status_id String 本次操作控制策略的ID。 最小长度：1 最大长度：64 operation_type String 操作类型，启用控制策略或禁用控制策略。 最小长度：1 最大长度：64 status String 控制策略实施的状态 SUCCEEDED | FAILED | IN_PROGRESS。 最小长度：1 最大长度：64 message String 控制策略实施失败的错误信息。 最小长度：1 最大长度：2048 start_time String 操作开始的时间。 end_time String 操作结束的时间。

响应示例 状态码： 200 请求成功。 { "control_operation" : { "operation_control_status_id" : "string", "operation_type" : "string", "status" : "string", "message" : "string", "start_time" : "string", "end_time" : "string" } }

响应消息体 响应消息体通常以结构化格式返回，与响应消息头中Content-type对应，传递除响应消息头之外的内容。 对于查询控制策略操作状态接口，返回如下消息体。 { "control_operation": { "operation_control_status_id": "c0jquihv-x3ve-1lb9-qmix-dankod8dg86z", "operation_type": "ENABLE_CONTROL", "status": "SUCCEEDED", "message": "", "start_time": "2024-04-19T16:26:30.518", "end_time": "2024-04-19T16:26:30.618" } } 当接口调用出错时，会返回错误码及错误信息说明，错误响应的Body体格式如下所示。 { "error_msg": "error msg", "error_code": "APIGW.0301", "request_id": "string" } 其中，error_code表示错误码，error_msg表示错误描述信息。

响应消息头 对应请求消息头，响应同样也有消息头，如“Content-type”。 详细的公共响应消息头字段请参见表1。 表1 公共响应消息头 消息头名称 描述 Content-Type 资源内容的类型。 类型：String 默认值：无 Connection 指明与服务器的连接是长连接还是短连接。 类型：String 有效值：keep-alive | close。 默认值：无。 Date RGC服务响应的时间。 类型：String 默认值：无 X-Request-Id 由RGC创建来唯一确定本次请求的值，可以通过该值来定位问题。 类型：String 默认值：无

请求方法 HTTP请求方法（也称为操作或动词），它告诉服务你正在请求什么类型的操作。 GET：请求服务器返回指定资源。 PUT：请求服务器更新指定资源。 POST：请求服务器新增资源或执行特殊操作。 DELETE：请求服务器删除指定资源，如删除对象等。 HEAD：请求服务器资源头部。 PATCH：请求服务器更新资源的部分内容。当资源不存在的时候，PATCH可能会去创建一个新的资源。 在查询控制策略操作状态的URI部分，您可以看到其请求方法为“GET”，则其请求为： GET https://rgc.cn-north-4.myhuaweicloud.com/v1/governance/operation-control-status/{operation_control_status_id}

请求消息体 请求消息体通常以结构化格式发出，与请求消息头中Content-type对应，传递除请求消息头之外的内容。若请求消息体中参数支持中文，则中文字符必须为UTF-8编码。 每个接口的请求消息体内容不同，也并不是每个接口都需要有请求消息体（或者说消息体为空），GET、DELETE操作类型的接口就不需要消息体，消息体具体内容需要根据具体接口而定。 发起请求 您可以使用curl、Postman或直接编写代码等方式发送请求调用API。

请求消息头 附加请求头字段，如指定的URI和HTTP方法所要求的字段。例如定义消息体类型的请求头“Content-Type”，请求鉴权信息等。 如下公共消息头需要添加到请求中。 表2 消息头名称 描述 是否必选 Content-Type 消息体的类型（格式），必选，默认取值为“application/json”，有其他取值时会在具体接口中专门说明。 是 Authorization 请求消息中可带的签名信息，必选，AK/SK认证的详细说明请参见：AK/SK认证。 是 Host 表明主机地址，必选，例如：rgc.cn-north-4.myhuaweicloud.com。 是 X-Sdk-Date 请求发起端的日期和时间，必选，例如：20221107T020014Z。 是 API支持使用AK/SK认证，AK/SK认证是使用SDK对请求进行签名，签名过程会自动往请求中添加Authorization（签名认证信息）和X-Sdk-Date（请求发送的时间）请求头。AK/SK认证的详细说明请参见：AK/SK认证。 对于查询控制策略操作状态接口，请求如下所示。 GET https://rgc.cn-north-4.myhuaweicloud.com/v1/governance/operation-control-status/c0jquihv-x3ve-1lb9-qmix-dankod8dg86z Content-Type: application/json; charset=UTF-8 X-Sdk-Date: 20240527T021902Z Host: rgc.cn-north-4.myhuaweicloud.com Authorization: SDK-HMAC-SHA256 Access=xxxxxxxxxxxxxxxxxxx, SignedHeaders=content-type;host;x-sdk-date, Signature=xxxxxxxxxxxxxxxxxxxx

请求URI 请求URI由如下部分组成。 {URI-scheme} :// {Endpoint} / {resource-path} ? {query-string} 表1 请求URL 参数 说明 URI-scheme 传输请求的协议，当前所有API均采用HTTPS协议。 Endpoint 指定承载REST服务端点的服务器域名或IP，不同服务不同区域的Endpoint不同，您可以从地区和终端节点中获取。例如RGC服务在“华北-北京四”区域的Endpoint为“rgc.cn-north-4.myhuaweicloud.com”。 resource-path 资源路径，也即API访问路径。从具体API的URI模块获取，例如“查询控制策略操作状态”API的resource-path为“/v1/governance/operation-control-status/{operation_control_status_id}”，其中operation_control_status_id为开启控制策略或者关闭控制策略的操作标识ID。 query-string 查询参数，是可选部分，并不是每个API都有查询参数。查询参数前面需要带一个“？”，形式为“参数名=参数取值”，例如“limit=10”，表示查询不超过10条数据。 例如您需要获取在“华北-北京四”区域的某一开启控制策略操作状态，则需使用“华北-北京四”区域的Endpoint（rgc.cn-north-4.myhuaweicloud.com），并在查询控制策略操作状态的URI部分找到resource-path（/v1/governance/operation-control-status/{operation_control_status_id}），拼接起来如下所示。 https://rgc.cn-north-4.myhuaweicloud.com/v1/governance/operation-control-status/{operation_control_status_id}

错误码 当您调用API时，如果遇到“APIGW”开头的错误码，请参见API网关错误码进行处理。 表1 错误码 状态码 错误码 错误信息 描述 处理措施 400 rgcservice.400 Bad Request: {0}. 云服务内部错误，请重试。 请联系技术支持。 400 rgcservice.1001 bad request for query icc instance. 查询是否开通IAM身份中心实例失败。 请稍后重试。 400 rgcservice.1002 bad request for register region. 注册区域失败。 请稍后重试。 400 rgcservice.1003 bad request for start identity center. 启动IAM身份中心失败。 请稍后重试。 400 rgcservice.1004 bad request for get registered regions. 查询IAM身份中心实例已开通的区域列表失败。 请稍后重试。 400 rgcservice.1005 the queried region is different from the registered region. 所选主区域和已注册的IAM身份中心的区域不一致。 请重新选择主区域。 400 rgcservice.1006 create instance fail. 创建IAM身份中心实例失败。 请稍后重试。 400 rgcservice.1007 create instance status is not enable. IAM身份中心实例状态不可用。 请稍后重试。 400 rgcservice.1008 create permission set fail. 创建权限失败。 请稍后重试。 400 rgcservice.1009 create user fail. 创建用户失败。 请稍后重试。 400 rgcservice.1010 bad request for get identity center service status. 获取IAM身份中心状态失败。 请稍后重试。 400 rgcservice.1011 bad request for create permission set. 在IIC实例中创建权限集失败。 请稍后重试。 400 rgcservice.1012 bad request for attach managed policy to permission set. 将系统管理策略附加到权限集失败。 请稍后重试。 400 rgcservice.1013 bad request for create account assignment. 给账号分配权限失败。 请稍后重试。 400 rgcservice.1014 bad request for describe account assignment creation status. 获取账号分配创建状态失败。 请稍后重试。 400 rgcservice.1015 bad request for create group membership. 用户组绑定用户失败。 请稍后重试。 400 rgcservice.1016 bad request for create group. 创建用户组失败。 请稍后重试。 400 rgcservice.1017 bad request for create user. 创建IIC用户失败。 请稍后重试。 400 rgcservice.1018 bad request for get projects. 查询项目信息失败。 请稍后重试。 403 rgcservice.1019 does not have {0} permissions. 当前账号没有权限。 请检查账号权限。 400 rgcservice.1021 bad request for create agency. 创建委托失败。 请稍后重试。 400/403 rgcservice.1022 fail request for assume with service principal. 委托切换失败。 请稍后重试。 400 rgcservice.1024 bad request for create service linked agency. 创建服务关联委托失败。 请稍后重试。 403 rgcservice.1028 Not a management account. 当前账号不是管理账号。 请检查账号是否管理账号。 400 rgcservice.1032 bad request for enable trust service. 启用可信服务失败。 请稍后重试。 400 rgcservice.1033 organizations service not provision. 组织服务未开通。 请开通组织服务。 400 rgcservice.1034 bad request for authorization header pattern. Token请求头非法。 请检查authorization请求头是否合法传入。 403 rgcservice.1035 not found for http header:{0}. 无法找到HTTP请求头。 请检查HTTP请求头是否存在。 400 rgcservice.1036 bad request for request proof. proof请求头非法。 请检查proof请求头是否合法传入。 400 rgcservice.1037 bad request for impersonate. 获取凭据失败。 请联系技术支持。 400 rgcservice.1038 bad request for listRoles. 查询权限列表失败。 请联系技术支持。 400 rgcservice.1039 create base line group fail. 创建基线用户组失败。 请联系技术支持。 400 rgcservice.1040 retrieve user fail. 检索用户失败。 请联系技术支持。 400 rgcservice.1041 describe user fail. 查询用户详情失败。 请联系技术支持。 400 rgcservice.1042 show compliance details fail. 查询合规性信息失败。 请联系技术支持。 400 rgcservice.1043 list aggregate compliance fail. 查询资源聚合器合规规则列表失败。 请联系技术支持。 400 rgcservice.1044 list aggregator fail. 查询资源聚合器列表失败。 请联系技术支持。 400 rgcservice.1045 bad request for list groups. 请求用户组列表失败。 请联系技术支持。 400 rgcservice.1046 The user already exists, but the user name is different. IAM身份中心用户已存在，但用户名与预留用户名不同。 请检查用户名是否正确，填写保持一致。 500 rgcservice.1049 create account failed,failure reason {0}. 创建账号失败。 请稍后重试。 400 rgcservice.1050 Bad Request:{0} not found. 请求错误，未找到相关资源。 请确认资源是否存在。 400 rgcservice.1052 The parent is not managed by RGC. 父级组织单元未注册。 请检查父级组织单元是否已注册。 400 rgcservice.1053 The organization unit child resource is not empty. 当前组织单元的子资源不为空。 请检查是否存在子组织单元或成员账号 400 rgcservice.1054 The account is not managed by RGC. 当前账号未纳管。 请检查当前账号。 400 rgcservice.1055 The organization unit is not managed by RGC. 当前组织单元未注册。 请检查当前组织单元。 400 rgcservice.1056 bad request for query iam assume agency. 切换到成员账号身份失败。 请联系技术支持。 400 rgcservice.1057 The organization unit is not found. 组织单元不存在。 请检查组织单元是否已注册成功。 400 rgcservice.1058 The requested control policy does not exist. 控制策略不存在。 请检查操作的控制策略是否存在。 400 rgcservice.1059 The relationship between the control and the specified target does not exist. 组织单元未启用请求的控制策略。 不允许关闭未开启的控制策略。 400 rgcservice.1060 The Root and core organizational units cannot implement additional control strategies. root和基础组织单元不允许开启或禁用控制策略。 根组织单元和基础组织单元不允许进行控制策略开启与关闭操作。 400 rgcservice.1062 Not allowed to perform operations on an OU that is not successfully registered. 未注册的组织单元不能开启或禁用控制策略。 请操作注册成功的组织单元。 400 rgcservice.1065 The {0} operation is not complete. 操作尚未完成，请稍后重试。 请稍后重试。 400 rgcservice.1067 The landing zone environment is not set. Landing Zone环境未设置。 请设置Landing Zone环境。 400 rgcservice.1068 The selected region is invalid. 所选主区域无效。 请检查主区域可用性状态。 400 rgcservice.1069 The bucket policy is empty. 桶策略为空。 请联系技术支持。 400 rgcservice.1070 bad request for obs. 请求云服务OBS失败。 请稍后重试。 400 rgcservice.1072 Get a unexpected status code. 请求云服务Organizations失败。 请联系技术支持。 400 rgcservice.1073 Org list accounts occur error. 查询组织单元中账号列表失败。 请稍后重试。 400 rgcservice.1074 Failed to call the API for deleting a stackSetInstance. 调用云服务RFS删除stackSet实例失败。 请检查云服务RFS运行是否正常，stackSet实例资源是否正常。 400 rgcservice.1075 The baseLine control cannot be operated. 基线控制策略不支持开启与禁用操作。 基线控制策略不允许进行控制策略开启与关闭操作。 400 rgcservice.1076 The control state is {0}, can not do current organization unit operation. 控制策略操作状态异常，不允许进行操作。 请确认控制策略与组织单元的关系处于正确的结束态后再进行操作。 500 rgcservice.1077 This account has existed,should not be our account,failed reason {0}. 账号已存在。 请检查当前账号是否已存在。 400 rgcservice.1078 Manage account should not be our set up account. 管理账号不能作为核心账号。 请检查账号，管理账号不能作为核心账号。 500 rgcservice.1079 Move account Organizations report failed. 移动账号失败。 请联系技术支持。 400 rgcservice.1080 The core and root organization unit can not be delete or deregister. 不能删除或取消注册基础组织单元和根组织单元。 不能删除或取消注册基础组织单元和根组织单元。 400 rgcservice.1081 The parent organization unit type could not be core. 父组织单元不能是基础组织单元。 父组织单元不能是基础组织单元。 400 rgcservice.1082 bad request for create iic user. 创建IAM身份中心用户失败。 请稍后重试。 400 rgcservice.1083 Create account failed. Reason: The ou type is incorrect. 创建账号失败，组织单元类型不正确。 请检查组织单元类型。 400 rgcservice.1084 Create account failed. The action is not supported. 创建账号失败，账号状态不支持。 请检查账号当前状态是否为纳管中。 400 rgcservice.1085 The account already exists or is not managed by the RGC. 账号已经存在或没有被RGC纳管。 请检查账号是否由RGC纳管。 400 rgcservice.1086 fixed parameters cannot be changed. 固定参数不允许被修改。 请不要修改固定参数。 400 rgcservice.1087 The landing zone environment has been set, any parameter cannot be changed. Landing Zone环境已经设置完成，参数不能被修改。 请不要修改参数。 400 rgcservice.1088 organizationUnitId and accountId can not exist together. 组织单元ID与账号ID不能同时作为查询条件。 仅使用组织单元ID或账号ID进行查询。 404 rgcservice.1089 The account is not found. 账号不存在。 请检查账号是否存在。 400 rgcservice.1090 create assignment failed, failure reason is {0}. 给账号的IIC用户分配权限失败。 请联系技术支持。 400 rgcservice.1091 The resource {0} create or deploy failed, you can check detail at RFS view. 资源创建或部署失败，请前往RFS查看详情。 请前往RFS查看详情。 400 rgcservice.1092 [RFS]The RFS returns a failure message to deploy stackSet instances. 调用云服务RFS部署stackSet实例返回失败。 请检查云服务RFS或对应资源stackSet实例是否正常，正常后请再次重试。 400 rgcservice.1093 [RFS]The RFS returns a failure message to create stackSet instances. 调用云服务RFS创建stackSet实例返回失败。 请检查云服务RFS或对应资源stackSet实例是否正常，正常后请再次重试。 400 rgcservice.1094 [RFS]The RFS returns a failure message to create stackSet. 调用云服务RFS创建stackSet返回失败。 请检查云服务RFS或对应资源stackSet是否正常，正常后请再次重试。 400 rgcservice.1095 The user already exists, but the user details cannot be queried. 用户已存在，但无法查询用户详情。 请稍后重试。 400 rgcservice.1096 The user already exists, but the email address of the user is different. 账号已存在，账号邮箱与用户之前配置的邮箱不同。 请检查账号邮箱，填写保持一致。 404 rgcservice.1097 No user information is found. 找不到用户信息。 请联系技术支持。 400 rgcservice.1098 The account type is not custom, can not be un-enroll. 非自定义账号，不能取消纳管。 请检查要取消纳管的账号是否正确。 400 rgcservice.1099 The pap returned error. 调用云服务PAP接口失败。 请稍后重试。 400 rgcservice.1100 The account already exists and is managed by the RGC. 该账号已被RGC纳管。 请检查纳管的账号是否正确。 400 rgcservice.1102 The account already exists, but the parentOrganizationUnitId is different. 该账号已存在，但父组织单元ID与预留ID不同。 请检查账号所属父组织单元是否正确，填写保持一致。 400 rgcservice.1103 The account already exists, but the parentOrganizationUnitName is different. 该账号已存在，但父组织单元名称与预留名称不同。 请检查账号所属父组织单元是否正确，填写保持一致。 400 rgcservice.1104 The create account task is timeout. 创建账号超时。 请稍后重试。 400 rgcservice.1105 bad request for list entrity. The entrity is empty. 查询账号所属父组织单元失败。 请检查账号信息是否正确。 400 rgcservice.1106 Org list create account status occur error. 查询创建的账号状态异常。 请检查Organization账号是否正在创建中或Organization服务是否正常，正常后请再次尝试。 400 rgcservice.1107 The administrator user does not exist. IAM身份中心管理员用户不存在。 请检查账号信息是否正确。 400 rgcservice.1108 The control detail is not found. 查询控制策略详情失败，控制策略不存在。 请检查控制策略ID是否正确。 400 rgcservice.1109 The bucket policy does not exist. 查询桶策略失败，该桶策略不存在。 请稍后重试。 400 rgcservice.1110 Please accept the open beta of resource access service. 账号未开通RGC公测。 请申请开通RGC公测。 404 rgcservice.1111 not found for http header. HTTP请求头不存在。 请稍后重试。 400 rgcservice.1112 bad request for invalid user profile. 获取用户配置文件失败。 请稍后重试。 400 rgcservice.1113 get op svc pki token fail. 获取pkiToken失败。 请联系技术支持。 400 rgcservice.1114 The account already exists, but the account phone number is different. 设置Landing Zone失败，手机号与之前填写不一致。 请检查账号的电话号码。 400 rgcservice.1115 phone number is required in domestic. 请填写手机号。 请检查基础组织单元下的账号的手机号码是否存在。 400 rgcservice.1116 get a empty pki token. 获取 PKIToken 为空。 请联系技术支持。 500 rgcservice.1117 can't find {0} in v3 or v5 policy. 查询策略失败，策略不存在。 请检查策略名是否正确。 404 rgcservice.1118 The account type is invalid. 查询核心账号详情失败，账号类型不合法。 请检查查询的核心账号类型是否正确。 500/400 rgcservice.1119 Rfs list templates occur error. 查询RFS模版失败。 请联系技术支持。 409 rgcservice.1200 concurrent modification. 设置Landing Zone冲突。 请稍后重试。 400 rgcservice.1201 The core and root organization unit can not be register. 无法注册根和基础组织单元。 请检查注册的组织单元是否已存在并检查类型。 400 rgcservice.1202 The account already exists, but the account type is not custom. 当前的账号非自定义账号。 请检查纳管的账号的类型。 400 rgcservice.1203 The account status is {0}, can not do current account operation. 当前账号无法执行该操作，请检查账号状态。 请检查账号状态。 400 rgcservice.1204 The organization unit status is {0}, can not do current account operation. 组织单元状态异常，无法进行账户操作。 请检查账号所属的组织单元状态。 400 rgcservice.1205 The organization unit status is {0}, can not do current organization unit operation. 组织单元状态异常，无法进行组织单元操作。 请检查组织单元状态。 409 rgcservice.1206 The organization unit conflict, the organization unit is registered. 组织单元已注册成功，不能再次注册。 如果需要再次注册请调用重注册接口。 400 rgcservice.1207 The parent organization unit type could not be core or root. 父组织单元类型不能是根组织单元。 请检查父组织单元类型。 400 rgcservice.1208 The organization unit is managed by other management account. 组织单元由其他管理账号管理。 请检查组织单元ID。 404 rgcservice.1209 No landing zone has been created for this account. 当前账号未开通Landing Zone。 请检查当前账号是否已开通LandingZone。 404 rgcservice.1210 The landing zone environment status is failed. Landing Zone开通失败，暂不支持该操作。 请检查当前账号是否已成功开通LandingZone。 400 rgcservice.1211 The organization unit name has existed in Organization,please input unique and unused organization unit name. 组织单元名称重复，请输入唯一的组织单元名称。 请检查要注册的组织单元是否正确。 400 rgcservice.1212 Failed to query role id from pap. 调用云服务PAP查询权限失败。 请联系技术支持。 400 rgcservice.1213 Failed to create agency pap. 调用云服务PAP创建委托失败。 请联系技术支持。 400 rgcservice.1214 Failed to allpy role id pap. 调用云服务PAP为委托授予项目的权限失败。 请联系技术支持。 400 rgcservice.1215 The account maybe invited to Organization,you need manually create a full access agency named OrganizationAccountAccessAgency to its manage account. 邀请作为Landing Zone核心账号的子账号，需要创建该账号到管理账号的委托，委托应该包括子账号所有权限，该权限名称为OrganizationAccountAccessAgency。 请为邀请的子账号创建Full Access权限的委托OrganizationAccountAccessAgency，委托给管理账号。 400 rgcservice.1216 bad request for delete service linked agency. 调用云服务PAP删除服务关联委托失败。 请联系技术支持。 400 rgcservice.1217 IAM list projects occur error. 调用云服务IAM列出项目失败。 请联系技术支持。 400 rgcservice.1218 The account status conflict, the account is enrolled. 当前账号已纳管。 当前账号已为纳管状态，无需再次纳管。 400 rgcservice.1220 Domain tag not found, domainId is {0}. 未查询到租户标签。 请确认租户ID是否正确。 400 rgcservice.1221 Domain info not found, domainId is {0}. 未查询到租户信息。 请确认租户ID是否正确。 400 rgcservice.1222 email is required in global. 请填写Email信息。 请输入Email。 400 rgcservice.1223 Failed to create role. 创建自定义策略失败。 请联系技术支持。 400 rgcservice.1224 startTime should not be later than endTime. 请正确填写时间段，开始时间不能晚于结束时间。 请正确填写时间区域。 400 rgcservice.1225 Some accounts under the organization unit are in the Operation state. 组织单元下存在正在操作的账号。 请稍后重试。 403 rgcservice.1226 Can't find the ou, ouId is {0}. 组织单元不存在。 请检查组织单元ID。 403 rgcservice.1227 Can't find the account, accountId is {0}. 账号不存在。 请检查账号ID。 400 rgcservice.1230 Should not have custom account. 不支持自定义账号。 请检查账号类型。 400 rgcservice.1231 Should have one Core Organization Unit. 必须包含基础组织单元。 请检查组织单元类型。 400 rgcservice.1232 Core Organization Unit should has two accounts. 基础组织单元必须包含两个账号。 请检查账号个数。 400 rgcservice.1233 Core Organization can only has two accounts,one must be AUDIT type,another one must be LOGGING type. Landing Zone只有两个核心账号，一个为审计账号，一个为日志账号。 请调整输入参数。 400 rgcservice.1234 An existed Core Account has been created,the same name should be given. Landing Zone重新设置时，核心账号不能修改名称。 请调整输入参数。 400 rgcservice.1235 Audit account's notification email should be given. 审计账号需要填写通知邮箱。 请调整输入参数。 400 rgcservice.1236 When exist account scene, account name should be given. 账号已存在，但账号名称为空。 请调整输入参数。 400 rgcservice.1237 The organization name is empty. 组织单元名称为空。 请正确填写组织单元名称。 403 rgcservice.1238 The parent organization unit not found. 父组织单元不存在。 请检查是否存在父组织单元。 400 rgcservice.1239 When exist account scene, account id and name does not match. 账号已存在，但账号ID和名称不匹配。 请调整输入参数。 父主题： 附录

基本概念 账号 用户注册华为云时的账号，账号对其所拥有的资源及云服务具有完全的访问权限，可以重置用户密码、分配用户权限等。由于账号是付费主体，为了确保账号安全，建议您不要直接使用账号进行日常管理工作，而是创建用户并使用他们进行日常管理工作。 用户 由账号在IAM中创建的用户，是云服务的使用人员，具有身份凭证（密码和访问密钥）。 在我的凭证下，您可以查看账号ID和IAM用户ID。通常在调用API的鉴权过程中，您需要用到账号、用户和密码等信息。 区域（Region） 从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region，通用Region指面向公共租户提供通用云服务的Region；专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 详情请参见区域和可用区。 可用区（AZ，Availability Zone） 一个AZ是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 项目 区域默认对应一个项目，这个项目由系统预置，用来隔离物理区域间的资源（计算资源、存储资源和网络资源），以默认项目为单位进行授权，用户可以访问您账号中该区域的所有资源。如果您希望进行更加精细的权限控制，可以在区域默认的项目中创建子项目，并在子项目中创建资源，然后以子项目为单位进行授权，使得用户仅能访问特定子项目中的资源，使得资源的权限控制更加精确。 图1 项目隔离模型 同样在我的凭证下，您可以查看项目ID。 企业项目 企业项目是项目的升级版，针对企业不同项目间的资源进行分组和管理，是逻辑隔离。企业项目中可以包含多个区域的资源，且项目中的资源可以迁入迁出。 关于企业项目ID的获取及企业项目特性的详细信息，请参见《企业管理用户指南》。 父主题： 使用前必读

权限和授权项说明 如果您需要对您所拥有的RGC进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），如果华为账号所具备的权限功能已经能满足您的要求，您可以跳过本章节，不影响您使用RGC服务的其他功能。 通过IAM，您可以通过授权控制主体（IAM用户、用户组、IAM委托）对华为云资源的访问范围。 账号下的IAM用户发起API请求时，该IAM用户必须具备调用该接口所需的权限，否则，API请求将调用失败。每个接口所需要的权限，与各个接口所对应的授权项相对应，只有发起请求的用户被授予授权项所对应的策略，该用户才能成功调用该接口。 例如，用户要查询Landing Zone设置状态，那么这个IAM用户被授予的策略中必须包含允许“rgc:landingZoneStatus:get”的授权项，该接口才能调用成功。 父主题： 权限和授权项

Windows操作系统：Windows账号登录 在弹出的对话框中，选择已有Windows账号。 单击“确定”，完成Windows主机授权。 授权成功后，可在主机授权列表，查看对应主机的已授权信息。 图4 配置授权信息 若无可用Windows账号，需首先创建Windows账号。 单击“创建Windows账号”，配置Windows账号信息，具体参数说明参考表2。设置完成后，单击“确认”，账可使用该账号对主机授权。 如果需要修改已有Windows账号，单击“编辑”，修改号信息。 如果需要删除已有Windows账号，单击“删除”，删除账号。 图5 创建Windows账号 表2 参数说明 参数名称 参数说明 Windows账号别称 自定义Windows账号名称。 选择加密密钥 选择已有的加密密钥，或者单击“创建密钥”，创建新的密钥，具体方法请参考创建密钥。 用户名 默认为Administrator。 密码 Windows系统登录密码。 账号域 查看该Windows系统的账号域并填写到此处，该参数也可以为空，不填写。

Linux操作系统：SSH账号登录 在弹出的“配置授权信息”窗口中，选择“方法一：SSH账号登录”。 图2 选择SSH账号 在下拉框中选择已有的SSH账号。 单击“确定”，完成Linux主机授权。 授权成功后，可在主机授权列表，查看对应主机的已授权信息。 若无可用SSH账号，需首先创建SSH账号。 单击“创建SSH账号”，账置SSH账号信息，具体参数说明参考表1。设置完成后，单击“确认”，即可使用该账号对主机授权。 若需要修改已有SSH账号，单击“编辑”，修改账号信息。 若需要删除已有SSH账号，单击“删除”，删除账号。 图3 账建SSH账号信息 表1 参数说明 参数名称 参数说明 SSH账号别名 自定义SSH账号名称。 登录端口 SSH账号登录的端口号。 选择登录方式 选择登录方式。可选择：“密码登录”或“密钥登录”。 选择“密钥登录”时，需要“创建私钥”。 选择加密密钥 选择已有的加密密钥，或者单击“创建密钥”，创建新的密钥，具体方法请参考创建密钥。 Root权限是否加固 打开该权限后，不可以用root账号直接登录，而是只能通过普通用户登录，然后才能切换到root用户。 sudo用户名 默认为root。 sudo密码 设置sudo用户对应的密码，单击“加密保存”，对密码进行加密保存。

Linux操作系统：授权脚本执行 在弹出的“配置授权信息”窗口中，选择“方法二：授权脚本执行”。 单击右侧的“复制”，复制开通授权的命令。 使用远程管理工具（例如：“Xshell”、“SecureCRT”、“PuTTY”），通过弹性IP地址登录到待开通授权的弹性云服务器。 也可使用弹性云服务器的“远程登录”功能，登录弹性云服务器。 执行复制的命令（这里用“SecureCRT”工具登录）。 提示“Install Success”时则执行成功，完成Linux主机授权。 脚本执行授权成功后，在主机授权列表页面，暂时不能显示已授权信息，仅能通过脚本运行结果验证授权成功与否。 # curl -O -s http://XX.XX.XX.XX/southchina-vss-hostscan/vss_hostscan_427c_install.sh && bash vss_hostscan_427c_install.sh --start [INFO] Uninstall Success [INFO] Create vss_hostscan_55e9 account [INFO] Grant sudo privileges for vss_hostscan_55e9 [INFO] Inject SSH Public Key [INFO] Install Success

返回404状态码 访问CDN加速后的资源，返回404状态码，请按照以下步骤排查： 测试源站的URL访问是否404，排查是否是源站异常，测试步骤详见排查访问异常是CDN节点问题还是源站问题。 如果源站访问正常，请登录CDN控制台，在域名基本配置中检查回源HOST是否正确，详见回源HOST。 源站与回源HOST的区别如下所示： 源站：源站决定了用户回源时访问的地址，即源站服务器IP。 回源HOST：回源HOST决定了回源时访问到该IP地址上的具体站点。 示例：源站IP为x.x.x.x，加速域名www.example.com，源站中部署了多个站点：www.a.com、www.b.com。 如果您想要CDN回源到本服务器，您需要在CDN侧将源站配置为：x.x.x.x。 CDN默认回源HOST为加速域名www.example.com。如果您需要访问到的站点为www.a.com，您就需要将回源HOST配置为www.a.com；如果您需要访问到的站点为www.b.com，您就需要将回源HOST配置为www.b.com。 如果您的源站是OBS桶，则回源HOST必须是OBS桶域名。 如果您的源站为第三方对象存储桶，您需要将回源HOST修改为您的对象存储桶域名。 检查源站配置是否正确，登录CDN控制台，在域名基本配置中检查源站的配置是否为该域名的源站服务器，如果不是，请修改成对应的服务器IP或域名。

返回403状态码 访问CDN加速后的资源，返回403状态码，请您排查以下配置： 请确认您的源站能否正常访问，测试步骤详见排查访问异常是CDN节点问题还是源站问题。 请确认您的加速域名CNAME配置是否正确，请确认CNAME与加速域名匹配，如下图所示，配置CNAME的具体操作请参考：配置CNAME域名解析。 如果您设置了referer防盗链，请确认您的访问地址是否符合referer防盗链规则，访问请求到达CDN节点后，CDN节点会根据配置的referer黑白名单规则，对访问者的身份进行识别和过滤，符合规则的可以顺利访问到该内容。如果不符合规则，该访问请求将会被禁止，返回403禁止访问的错误信息。具体规则请参考防盗链配置。 如果您的源站为OBS桶，源站配置了referer防盗链白名单，且不允许为空，而CDN侧未配置referer防盗链白名单。如果原始请求不带referer防盗链规则，cdn回源时也不携带referer防盗链规则，将导致CDN无法回源而返回403状态码，请在OBS侧修改referer防盗链规则，配置方法请参考防盗链配置。 如果您的源站为OBS私有桶，且未在CDN侧开启OBS委托授权，访问会返回403。请在CDN侧开启OBS委托授权，配置方法请参考OBS委托授权。 如果您设置了IP黑白名单，请确认您的IP黑白名单配置，如果您的访问地址在IP黑名单（或者没有在白名单）中，访问请求将会被禁止，返回403禁止访问的错误信息。具体规则请参考IP黑名单配置。 如果您设置了UA黑白名单，请确认您的UA黑白名单配置，如果您的访问地址在UA黑名单（或者没有在白名单）中，访问请求将会被禁止，返回403禁止访问的错误信息。具体规则请参考UA黑名单配置。 如果您设置了URL鉴权，请确认您的鉴权有效时间，如果终端用户访问URL的时间在鉴权有效时间范围以外，该访问请求会返回将会被禁止，返回403禁止访问的错误信息。具体规则请参考URL鉴权。