华为云用户手册

初始化配置 灰度服务创建完成后，需要进行初始化配置。 单击灰度服务列表中当前状态列的“初始化”，配置灰度服务信息。 在基础信息页面，确认灰度服务的基本信息，单击“下一步”。 在风险等级页面，选择发布类型。 当发布类型选择为“一阶段发布”时，直接单击“下一步”配置当前的分流规则。 当发布类型选择为“N阶段发布”时，需要确定风险等级及建议的发布阶段。 配置评估参数，单击“开始评估”。 系统会根据不同的风险等级评估结果，生成推荐的多个阶段分流规则模板，并且每个阶段的分流规则也将不同。 您可以在下一步的选择模板按钮中查看和选择推荐的N阶段分流规则模板。 单击“下一步”。 在分流配置页面，输入分流规则名称，填写各个阶段的分流配置项，分流配置项的参数说明如表2所示。 表2 分流配置参数说明 参数 说明 分流名称 配置分流名称。 字符长度0~50，可以由字母、数字、下划线、短横线、点组成，不能包含特殊字符，例：Rule_home-001。 第N阶段分流配置项 分流配置子项间关系 与、或 设置当前阶段下多个分流配置子项之间的关系。 类型 选择分流类型，支持的类型为path、REMOTE-ADDR、X-Forwarded-For、省、市、国家区域、自定义参数、自定义表达式。 参数 当分流类型为“自定义参数”时，需要配置此参数。 参数字符长度不能大于50，参数可以由数字、字母、下划线、短横线组成，不能包含特殊字符。 位置 当分流类型为“自定义参数”时，需要配置此参数。 query String body-json body-form header resource 匹配条件 pattern sha256 当匹配类型为sha256时，上传的值会自动转化为加密后的结果。 equal tailEqual rangeIP 值 单击“文件上传”，上传txt格式文件，文件中多个数据以英文逗号分隔。 操作 删除：单击“删除”对应的子项。每个分流规则至少保留一个有效的子项。 新增子项 单击“新增子项”，新增一条分流配置子项，每个子项有参数、类型、位置、匹配、值。 选择模板 单击“选择模板”，可以选择某个系统推荐的分流规则作为值填充到指定阶段。 插入无流量阶段 将在第一阶段前插入阶段作为无流量阶段，原来的第一阶段变为第二阶段。 插入无流量阶段只能在灰度服务初始化或灰度完成时操作。 如果不需要无流量阶段，可以修改规则或删除阶段。 导入分流配置 单击“导入分流配置”。 在弹出的窗口中单击“导入分流配置”，导入本地分流配置文件。 一键应用模板 单击“一键应用模板”，可以直接应用系统推荐的分流规则数据，推荐后可以修改。 应用区域模板，会根据区域进行分流。第一阶段分流可以选择市，第二阶段选择省。 应用用户模板，可以选择根据不同的用户做分流，在第二阶段可以自定义规则。 公共灰度策略 配置完成后，单击“下一步”。 配置的信息在发布成功前将保存在本地，可以单击“重置所有”按钮清空。 预览配置信息，确认无误后，单击“去发布”。 预览界面也可以单击“编辑”修改信息。 在发布页面，选择相关配置项，单击“发布”。参数说明如表3所示。 表3 发布相关参数说明 参数 说明 是否启用灰度 当选择“是”时，分流规则在SLB生效，满足分流规则条件的消息分发到灰度机器群组，不满足分流规则条件的消息分发到生产机器群组。 当选择“否”时，分流规则在SLB不生效。消息会在生产机器+灰度机器的整个群组中负载均衡分发。 全网发布时的路由策略 当选择“默认路由”时，全网发布时在生产+灰度的大集群中负载均衡。 当选择“特殊路由”时，全网发布时只在生产集群中负载均衡。

功能介绍 数据库管理 WiseDBA为用户提供统一的数据库管理平台，支持用户级的管理、监控、可视化的数据库交互等功能，为用户节省50%以上的管理成本，提高数据库运维效率。 数据查询 数据查询工具可以帮助业务简化现网的SQL查询流程，避免SRE直接操作数据库。 SQL变更 SQL自动化变更工具可以帮助业务简化现网的SQL变更流程。 实时诊断 WiseDBA为数据库实例提供运维全生命的智能分析服务，让用户既可以直观地感知数据库实例的实时运行状况，也可以定位实时异常，并根据WiseDBA建议进行系统优化。

新增后端服务器集群 参考创建监听，进入创建后端服务器集群页面。 在创建后端服务器集群页面，单击“新增集群”，配置相关参数，参数说明如表1所示。 表1 新增集群参数说明 参数 说明 集群名称 后端服务器集群名称。 字符长度0~150，可以由字母、数字、下划线、短横线、点组成，不能包含特殊字符，不能包含-in-字符，后端服务器为tomcat时，建议不要包含下划线，转发可能返回400，例：Cluster_home-001。 后端协议 后端服务器协议，支持HTTP、HTTPS。 负载均衡策略 加权轮询算法：可配权重，根据权重进行轮询，默认权重相同。 自定义参数哈希：可以配置nginx变量进行哈希，nginx变量，例如：$http_x_forwarded_for。 IP哈希：根据发送给SLB请求的IP进行哈希。 说明： 如前面有ELB或者F5，此IP通常为ELB的IP或者F5的IP，因此请慎用。 最小连接数：根据服务器的连接数，向连接数最少的服务器优先转发。 预热周期 配置新节点启动后在多长时间范围内进行预热，范围0-30，0表示不开启预热。 预热因子 配置预热增长速率，值越大预热增长速率越快，范围1-100，默认为10，表示匀速增长。 预热延迟 新节点启动后延迟多长时间才进行预热，范围0-30，延迟时间中，节点被选中的概率为0。 自定义参数配置 配置自定义参数。 自定义参数哈希 负载均衡策略选择为“自定义参数哈希”时，配置此参数。 字符长度0~50，以$符开头，可以由字母、数字、点、下划线、短横线组成，不能包含其他特殊字符，例：$http_x_forwarded_for。 单击“确定”。

部署 表4 部署并发扩展 计费方式 包年/包月 适用场景 当CodeArts套餐中包含的部署应用并发数不满足实际使用需求时，可购买部署并发扩展。 计费项 并发数 购买限制 购买部署并发扩展前，须完成CodeArts基础版及以上规格套餐的购买。 购买上限为100并发。 计费公式 单价*并发数*购买时长 计费周期 根据购买时长确定（以GMT+08:00时间为准）。一个计费周期的起点是您开通或续费部署并发扩展的时间（精确到秒），终点则是到期日的23:59:59。 例如，如果您在2023/03/08 15:50:04购买时长为一个月的部署并发扩展，那么其计费周期为：2023/03/08 15:50:04 ~ 2023/04/08 23:59:59。 变更配置 支持变更并发数，变更时系统将按照如下规则为您计算变更费用。 资源升配：变更后的并发数高于变更前，此时您需要支付新老配置的差价。 资源降配：变更后的并发数低于变更前，此时会将新老配置的差价退给您。 更多信息请参见变更资源规格费用说明。 到期后影响 到期未续费时，已购部署并发扩展将失效。

代码检查 表2 代码检查并发扩展 计费方式 包年/包月 适用场景 当CodeArts套餐中包含的代码检查任务并发数不满足实际使用需求时，可购买代码检查并发扩展。 计费项 并发数 购买限制 购买代码检查并发扩展前，须完成CodeArts基础版及以上规格套餐的购买。 购买上限为100并发。 计费公式 单价*并发数*购买时长 计费周期 根据购买时长确定（以GMT+08:00时间为准）。一个计费周期的起点是您开通或续费代码检查并发扩展的时间（精确到秒），终点则是到期日的23:59:59。 例如，如果您在2023/03/08 15:50:04购买时长为一个月的代码检查并发扩展，那么其计费周期为：2023/03/08 15:50:04 ~ 2023/04/08 23:59:59。 变更配置 支持变更并发数，变更时系统将按照如下规则为您计算变更费用。 资源升配：变更后的并发数高于变更前，此时您需要支付新老配置的差价。 资源降配：变更后的并发数低于变更前，此时会将新老配置的差价退给您。 更多信息请参见变更资源规格费用说明。 到期后影响 到期未续费时，已购代码检查并发扩展将失效。

测试计划 表5 接口测试执行并发扩展 计费方式 包年/包月 适用场景 当CodeArts套餐中包含的接口测试套件执行并发数或接口测试套件并发用例数不满足实际使用需求时，可购买接口测试执行并发扩展。 计费项 并发数 购买限制 购买接口测试执行并发扩展前，须完成CodeArts基础版及以上规格套餐的购买。 接口测试执行并发扩展的购买上限为100并发。 计费公式 单价*并发数*购买时长 计费周期 根据购买时长确定（以GMT+08:00时间为准）。一个计费周期的起点是您开通或续费接口测试执行并发扩展的时间（精确到秒），终点则是到期日的23:59:59。 例如，如果您在2023/03/08 15:50:04购买时长为一个月的接口测试执行并发扩展，那么其计费周期为：2023/03/08 15:50:04 ~ 2023/04/08 23:59:59。 变更配置 支持变更并发数。变更时系统将按照如下规则为您计算变更费用。 资源升配：变更后的并发数高于变更前，此时您需要支付新老配置的差价。 资源降配：变更后的并发数低于变更前，此时会将新老配置的差价退给您。 更多信息请参见变更资源规格费用说明。 到期后影响 到期未续费时，已购接口测试执行并发扩展将失效。

流水线 表3 流水线并发扩展 计费方式 包年/包月 适用场景 当CodeArts套餐中包含的流水线任务并发数不满足实际使用需求时，可购买流水线并发扩展。 计费项 并发数 购买限制 购买流水线并发扩展前，须完成CodeArts基础版及以上规格套餐的购买。 购买上限为100并发。 计费公式 单价*并发数*购买时长 计费周期 根据购买时长确定（以GMT+08:00时间为准）。一个计费周期的起点是您开通或续费流水线并发扩展的时间（精确到秒），终点则是到期日的23:59:59。 例如，如果您在2023/03/08 15:50:04购买时长为一个月的流水线并发扩展，那么其计费周期为：2023/03/08 15:50:04 ~ 2023/04/08 23:59:59。 变更配置 支持变更并发数，变更时系统将按照如下规则为您计算变更费用。 资源升配：变更后的并发数高于变更前，此时您需要支付新老配置的差价。 资源降配：变更后的并发数低于变更前，此时会将新老配置的差价退给您。 更多信息请参见变更资源规格费用说明。 到期后影响 到期未续费时，已购流水线并发扩展将失效。

编译构建 表1 编译构建并发扩展 计费方式 包年/包月 适用场景 当CodeArts套餐中包含的构建任务并发数不满足实际使用需求时，可购买编译构建并发扩展。 购买编译构建并发扩展时需指定执行机类型，可选择自定义执行机或内置执行机。 如果购买时选择“内置执行机”，则只能提高执行主机为“内置执行机”的构建任务的并发数。构建主机配置方法请参考构建环境配置。 内置执行机可选择： X86：2U8G、4U8G、8U16G、16U32G、16U64G ARM：2U8G、4U8G、8U16G、16U32G、16U64G 内置执行机规格说明： 2U8G：CodeArts Build提供内置执行机，资源规格为2 vCPU / 8 GB / 60 GB磁盘空间。 4U8G：CodeArts Build提供内置执行机，资源规格为4 vCPU / 8 GB / 100 GB磁盘空间。 8U16G：CodeArts Build提供内置执行机，资源规格为8 vCPU / 16 GB / 100 GB磁盘空间。 16U32G：CodeArts Build提供内置执行机，资源规格为16 vCPU / 32 GB / 500 GB磁盘空间。 16U64G：CodeArts Build提供内置执行机，资源规格为16 vCPU / 64 GB / 1000 GB磁盘空间。 资源规格 1个并发 购买限制 购买编译构建并发扩展前，须完成CodeArts基础版及以上规格套餐的购买。 单次购买上限为50个。 计费公式 单价*数量*购买时长 计费周期 根据购买时长确定（以GMT+08:00时间为准）。一个计费周期的起点是您开通或续费编译构建并发扩展的时间（精确到秒），终点则是到期日的23:59:59。 例如，如果您在2023/03/08 15:50:04购买时长为一个月的编译构建并发扩展，那么其计费周期为：2023/03/08 15:50:04 ~ 2023/04/08 23:59:59。 变更配置 不支持变更配置。如果完成购买后发现配置有误，需退订后重新购买。 到期后影响 到期未续费时，该编译构建并发扩展将失效。

计费示例 假设您在2023/03/08 15:50:04购买了CodeArts基础版（购买人数为5人）。购买时长为一个月，并在到期前手动续费1个月，则： 第一个计费周期为：2023/03/08 15:50:04 ~ 2023/04/08 23:59:59 第二个计费周期为：2023/04/08 23:59:59 ~ 2023/05/08 23:59:59 您需要为每个计费周期预先付费，计费公式为单价*人数*购买时长。 如果CodeArts基础版单价为60元/人/月，则上述两个计费周期的总费用为：60*5*2=600（元） 该示例中的价格仅供参考，实际计算请以软件开发生产线价格详情中的价格为准。

变更配置后对计费的影响 当前CodeArts套餐不满足您的业务需要时，您可以在软件开发生产线控制台发起变更操作。 变更操作可选择“即时变更”或“续费变更”。 即时变更：变更操作在当前的套餐周期内生效，变更时系统将按照如下规则为您计算变更费用。 资源升配：变更后的套餐价格高于变更前价格，此时您需要支付新老配置的差价。 资源降配：变更后的套餐价格低于变更前价格，此时会将新老配置的差价退给您。 续费变更：即购买新套餐，在当前套餐到期后，新套餐自动生效。 资源降配可能会影响功能特性的使用，通常不建议您这样操作。 这里以即时变更-资源升配且无任何优惠的场景为例，假设您在2023/04/08购买了CodeArts基础版（购买人数为5人），购买时长为1个月，计划在2023/04/18变更套餐版本为CodeArts专业版。如果旧配置价格为60元/人/月，新配置价格为200元/人/月。计算公式如下： 升配费用=新配置价格*剩余周期-旧配置价格*剩余周期 公式中的剩余周期为每个自然月的剩余天数/对应自然月的最大天数。本示例中，剩余周期=12（4月份剩余天数）/ 30（4月份最大天数）+ 8（5月份剩余天数）/ 31（5月份最大天数）=0.6581。代入公式可得升配费用=200*5*0.6581-60*5*0.6581=460.67（元）。 更多信息请参见变更资源规格费用说明。 该示例中的价格仅供参考，实际计算请以软件开发生产线价格详情中的价格为准。

到期后影响 图1描述了CodeArts套餐中所包含的各服务资源在各个阶段的状态。购买后，在计费周期内各服务可正常使用，此阶段为有效期；套餐到期而未续费时，将陆续进入宽限期和保留期。 图1 CodeArts套餐资源生命周期 到期预警 CodeArts套餐在到期前第15天内，系统将向用户推送到期预警消息。预警消息将通过邮件、短信和站内信的方式通知到账号的创建者。 到期后影响 当您的CodeArts套餐到期未续费，首先会进入宽限期，套餐将显示“已过期”。宽限期内您可以正常访问CodeArts。 如果您在宽限期内仍未续费CodeArts套餐，那么就会进入保留期，套餐状态变为“冻结”，您将无法对处于保留期的包年/包月资源执行任何操作。 华为云根据客户等级定义了不同客户的宽限期和保留期时长。 关于续费的详细介绍请参见续费概述。

产品构成 CodeArts由以下几个主要服务构成： 需求管理：提供需求管理与团队协作服务，内置多种开箱即用的场景化需求模型和对象类型（需求/缺陷/任务等），可支撑IPD、DevOps、精益看板等多种研发模式，还包含跨项目协同、基线与变更管理、自定义报表、Wiki在线协作、文档管理等功能。 代码托管：基于Git提供分布式代码管理和协同开发能力，包括成员管理、权限控制、代码托管、代码检查、代码审核、代码追溯、持续集成等功能，助力不同规模企业的研发质量和效率提升。 流水线：提供可视化、可定制的持续交付流水线服务，实现缩短交付周期和提升交付质量的效果。 代码检查：为用户提供代码风格、通用质量与网络安全风险等丰富的检查能力，提供全面质量报告、便捷的问题闭环处理帮助企业有效管控代码质量，助力企业成功。 编译构建：基于云端大规模分布式加速，为客户提供高速、低成本、配置简单的混合语言构建能力，帮助客户缩短构建时间，提升构建效率。 部署：支持主机、容器等多种部署形态，部署能力覆盖Tomcat、Springboot等多种语言和技术栈。基于其对部署功能的插件化封装和编排能力，帮助您实现软件的快速、高效发布。 测试计划：覆盖测试计划、测试设计、测试用例、测试执行和测试评估等全流程，旨在帮助企业协同、高效、可信的开展测试活动，保障产品高质量上市。 制品仓库：用于管理源代码编译后的构建产物，支持Maven、Npm等常见制品包类型。可以与本地构建工具和云上的持续集成、持续部署无缝对接，同时支持制品包版本管理、细粒度权限控制、安全扫描等重要功能，实现软件包生命周期管理，提升发布质量和效率。 CodeArts IDE Online：基于云计算的轻量级WebIDE，通过浏览器即可实现环境快速获取和环境访问，完成编码、构建、调试、运行、访问代码仓库和命令执行等工作，支持第三方业务集成，支持插件扩展并提供独立插件市场。 开源镜像站：由华为云提供的开源组件、开源操作系统及开源DevOps工具镜像站，目前已提供Maven、NPM、NuGet、CentOS、Ubuntu、Debian等镜像下载服务。 图1 产品构成

功能特性 表1 CodeArts各服务功能特性 服务名 功能特性 需求管理 提供多项目管理、敏捷迭代管理、里程碑管理、缺陷跟踪、多维度统计报表等功能。了解更多 迭代计划和时间线，有效管理项目计划。 Scrum项目支持树、表、卡片视图切换，方便查看项目工作。 多种项目统计图表，随时掌握项目开展情况。 在线文件库，批量文档托管，信息传递不失真。 代码托管 提供安全、可靠、高效的分布式代码托管服务。包括代码克隆/下载/提交/推送/比较/合并/分支等功能。了解更多 专属云存储，全网TLS传输，角色权限管控等技术，网络安全团队专业认证，保证云上代码安全。 异地容灾，实时备份，快速恢复，定期演练，保障核心资产万无一失。 基于Git的分布式版本控制，提升跨地域跨团队协同开发效率。 关联项目任务，保障项目高效交付。 增强的安全防护能力，IP白名单与代码仓库访问日志审计。 代码仓库提交信息统计，基于时间轴的贡献者代码提交统计。 代码检查 提供可协作的一站式代码检查服务。了解更多 一站式：覆盖主流编程语言、主流编码标准、SDLC集成等。 灵活易用的检查方式：支持代码提交检查、定时执行检查，支持多分支检查。 可协作：提供问题责任人自动归属、提供问题修改建议、可聚焦处理新问题等。 编译构建 快速、安全的云上编译构建服务。了解更多 内置C/C++/Java/…等主流语言的构建模板，并支持自定义构建模板。 可配置执行计划，支持开启提交代码触发执行、定时执行等多种构建执行计划。 界面傻瓜式配置，无需用户编写构建配置文件。 同时支持容器镜像和通用软件包的归档。 构建完成时支持消息通知。 支持在ARM或x86环境下构建。 内置支持主流语言的构建环境镜像，也可使用自定义构建环境镜像。 支持多个构建步骤，可实现构建过程的灵活编排。 部署 提供可视化、一键式部署服务，支持并行部署和流水线无缝集成。了解更多 提供丰富的部署步骤，满足用户不同的部署场景。 支持对虚拟主机部署、物理主机部署、容器部署等多种部署形态。 支持文件的复制、删除、修改、解压；支持Ansible、Shell命令、Shell脚本等通用部署能力。 界面简洁化配置，无须编写部署脚本。支持部署步骤的拖拉拽灵活编排。 预置Tomcat、SpringBoot、Django等系统模板，同时支持用户创建自定义模板。基于部署模板库，可以制定标准的部署流程，实现应用的快速创建，方便团队内部推广。 支持部署到官方资源池和自托管资源池。 提供错误日志分析能力，对于应用部署失败的情况，支持错误日志关键字匹配FAQ，并提供详细的排查解决方案。 支持自定义参数，在应用部署时由用户指定参数值，用指定值替换相应参数部署。 提供对主机和主机集群管理能力。支持主机（集群）的增删改查；支持主机批量删除，批量连通性验证；主机连通性支持EIP直连、代理机连接以及自托管资源池模式下的VPC直连。 应用和主机组均支持项目下角色和权限的二维矩阵。 测试计划 提供业内首推一站式自动化测试工厂解决方案，覆盖测试设计、测试用例、测试管理、接口自动化测试。打通测试计划、测试设计、测试用例、测试执行和测试报告的全流程测试活动，提供缺陷上报、质量看板等方式多维度评估产品质量，帮助用户高效管理测试活动，保障产品高质量交付。了解更多 测试设计：使用启发式思维导图的形式进行测试用例设计和评审，更加直观，效率更高。 支持Xmind直接导入生成在线思维导图测试设计；支持在线编辑思维导图; 支持4层测试设计方法（特性-场景-功能点-用例）；一键批量生成测试用例；覆盖功能、接口、安全等全领域测试设计，输出测试方案；可以通过测试策略模板快速创建用例，也可以自定义模板形成自己的测试资产。 测试管理：成熟的测试用例管理系统，可以开展用例设计、测试执行、缺陷提交、质量报告，提高测试效率；记录修改历史，避免漏测、误测，易追溯审计，规范测试流程。 融入全生命周期追溯、测试计划、团队多角色协作、敏捷测试、需求驱动测试等理念，覆盖测试需求管理、测试任务分配、测试任务执行、测试进度管理、测试覆盖率管理、测试结果管理、缺陷管理、质量报告、测试仪表盘，一站式管理功能，提供适合不同团队规模、流程的自定义能力。 接口自动化测试：基于接口URL或者Swagger文档生成的接口脚本模板快速编排接口测试用例，集成流水线，支持微服务测试。测试用例免代码编写，技术门槛低，适合接口开发者、接口消费者、测试人员、业务人员等不同角色使用。一键导入Swagger接口定义自动生成脚本模板，基于脚本模板组装编排、管理接口自动化测试用例。支持HTTP和HTTPS协议，可视化用例编辑界面，丰富的预置检查点、内置变量，支持自定义变量、参数传递、持续自动化测试。 制品仓库 面向软件开发者提供制品管理的云服务，提供软件仓库、发布包下载、发布包元数据管理等功能，通过安全可靠的软件仓库，实现软件包版本管理，提升发布质量和效率，实现产品的持续发布。了解更多 支持文件重命名、批量删除、批量恢复、页面上传和下载、文件名搜索等文件操作。 编译构建属性自动关联软件包，编译构建的产物自动归档到软件发布库。 支持构建服务一键归档、部署服务从发布库一键获取软件包。 支持Maven、npm、Go、PyPI、RPM、Debian等多种制品类型仓库，支持新建仓库、上传下载制品、搜索制品等能力。 流水线 提供可视化、可编排的CI/CD持续交付软件生产线，帮助企业快速转型实现DevOps持续交付高效自动化，缩短应用TTM（Time to Market）交付周期，提升研发效率。了解更多 流水线自定义编排：可根据用户使用场景的需要，对构建、代码检查、子流水线、部署、延时执行、人工审核、接口测试等多种类型的任务进行纳管和执行编排。 流水线可视化增删改查：提供图形化界面基础的流水线创建、编辑、删除和执行状态查看功能。其中，查看功能支持跳转到对应的自动化任务界面查看其日志等详情信息。 流水线权限管理：支持用户针对流水线任务设置指定账号的权限控制，权限基于账号所属角色-操作权限进行控制，包含基础的查看、编辑、执行、删除权限控制。 流水线历史执行记录：支持查看流水线最近31天的历史执行记录。 流水线消息通知：用户可根据需要设置事件类型的通知状态，包括是否发送服务动态和邮件通知。 流水线部分任务执行：根据用户需求，可选择流水线中的某一个或多个任务单独执行。 流水线执行参数配置：流水线支持自定义参数，在执行时由用户指定参数值，任务用指定值替换相应参数执行。 流水线串/并行执行配置：根据用户需求，可配置同一阶段内的任务串行执行或并行执行。 移动应用测试 提供移动兼容性测试服务。提供TOP流行机型、数百名测试专家，使用图像识别和精准控件识别技术，只需提供App/H5/快应用/小程序应用，便可生成兼容性测试报告（包含系统日志、截图、错误原因、CPU、内存等），自动完成测试任务。了解更多 提供丰富Android、iOS真机，全自动化测试，无需人工编写用例。 深度优化的遍历算法，可以测试安装、启动、崩溃、无响应等11大问题类型。 提供详尽在线测试报告，帮助用户快速定位修复问题。 CodeArts IDE Online CodeArts IDE Online是云端开发环境服务，向开发者提供按需配置、快速获取的工作空间（包含编辑器和运行环境），支持完成环境配置、代码阅读、编写代码、构建、运行、调试、预览等操作，并支持对接多种代码仓库。了解更多 依托云端的计算和存储资源，实现云化开发环境供给；基于全容器技术，可按用户所需配置启动并提供工作空间。 支持40多种语言的语法高亮，支持Java等语言的语法补齐，支持7种预置技术栈，无需复杂配置环境即可就位。 提供页面终端（WebTerminal）直接访问后端容器环境，支持线上构建（build）、运行（run）和调试（debug）。 对接Git仓库（CodeArts代码仓库或GitHub等），同时提供环境对接其他开放服务的通道。 提供基于黑白名单的访问控制能力，为企业租户提供掌控子用户行为的管理面。 Classroom 云上一站式软件学习与实践平台。了解更多 提供企业级的软件开发过程学习与实践。 支持填空式软件项目开发教学，实时反馈项目开发结果。 全程记录学生开发过程，智能分析学生软件能力短板。 一站式实训平台，支持全类型课程工程实训及百万级学生使用，提供30+精品课程，10+企业类实践课程，3000+习题支持秒级自动判题，覆盖6种开发语言课程打造国内首个教育知识点自动检测服务，支持10000+知识点检测云上实验室，提供教学所需的多场景通用型实训环境，分钟级生成作业查重及代码质量扫描人才信息化，支持学生工程能力认证。 开源镜像站 开源镜像站（Mirrors）是由华为云提供的开源组件、开源操作系统及开源DevOps工具镜像站，致力为用户提供全面、高速、可信的开源组件/OS/工具下载服务。了解更多 内容更全：为用户提供包括maven、npm、centos等70+开源组件镜像，覆盖7大主流开发语言，20+开源OS，40+开源工具。 高速下载：通过国外代理站点高速同步海外镜像源，并为注册用户提供全站CDN加速。 官方可信：与Maven中央仓、CentOS等多家海外官方源站进行合作与认证，为用户提供可信的组件下载来源。 如果您在使用CodeArts过程中所填写或上传的数据，可能有不确定的用户数据涉及敏感信息，为确保数据安全，请优先加密。

通用限制 表1 通用限制说明 指标 限制说明 浏览器 目前适配的主流浏览器类型包括： Chrome浏览器：支持最新的3个稳定版本 Firefox浏览器：支持最新的3个稳定版本 Microsoft Edge浏览器：Win10默认浏览器，支持最新的3个稳定版本 推荐使用Chrome、Firefox浏览器，效果会更好。 分辨率 推荐使用1920*1080及以上。 已支持的华为云区域 华北-北京四、华东-上海一、华南-广州、西南-贵阳一、东北-大连、华南-深圳 说明： 只支持默认区域，不支持通过统一身份认证服务（IAM）创建的项目（子区域）。 除了以上Region，CodeArts还支持“华北-北京一”与“华东-上海二”，但这两个区域已暂停新用户新购服务（详情请参见华北-北京一区域变更通知、华东上海二区域变更通知）。

接口调用流程 接口调用的流程为： 获取AK/SK认证 调用接口前，请获取请求认证，并将认证字段填充至下一步中的方法中，进行请示构建，实现请求的认证。 调用接口采用AK/SK认证方式。 AK/SK认证：通过AK（Access Key ID）/SK（Secret Access Key)加密调用请求。 通过API网关向下层服务发送请求时，必须使用AK(Access Key ID)、SK(Secret Access Key)对请求进行签名。 AK(Access Key ID)：访问密钥ID。与私有访问密钥关联的唯一标识符；访问密钥ID和私有访问密钥一起使用，对请求进行加密签名。 SK(Secret Access Key)：与访问密钥ID结合使用的密钥，对请求进行加密签名，可标识发送方，并防止请求被修改。 说明： 1、如何获取SDK请参考《使用APP认证调用API》；2、如何获取AK/SK请参考《AK/SK认证说明》 构造请求方法 填充请求参数构建请求方法。 发起请求 解析消息响应 父主题： 接口使用方法

SCP分类 SCP按照策略创建者可分为两类，分别是系统策略和自定义策略。 系统策略 华为云服务在组织预置了常用SCP，称为系统策略。组织管理员给组织单元或账号绑定SCP时，可以直接使用这些策略。系统策略只能使用，不能修改。如需查看所有云服务的华为云系统策略，请参见：SCP系统策略列表。 自定义策略 如果系统策略无法满足授权要求，管理账号可以根据各服务支持的授权项，自行创建和修改自定义策略。自定义策略是对系统策略的扩展和补充。目前Organizations云服务支持策略编辑器和JSON视图两种自定义策略配置方式。

权限控制原理 划定权限边界 SCP不直接进行授权，只划定权限边界。将SCP绑定到组织单元或者成员账号时，并没有直接对组织单元或成员账号授予操作权限，而是规定了成员账号或组织单元包含的成员账号的授权范围。IAM策略授予权限的有效性受SCP限制，只有在SCP允许范围内的权限才能生效。SCP禁止的权限操作，即便授予IAM用户权限，用户也不能执行相关操作。 比如成员账号A绑定了某一条SCP，SCP允许操作A的权限，拒绝操作B的权限。那么成员账号A可以给自己名下的IAM用户授予操作A的权限，不能授予操作B的权限，即便授予了操作B的权限，也无法生效。 交集有效 权限边界的叠加遵从交集有效准则，父OU的SCP与子OU（或账号）的SCP共同允许的权限，作为子OU的最终权限边界。 如下图所示，左侧的椭圆表示附加到父OU的SCP，它允许权限A、B和C。右侧椭圆表示子OU（或账号）绑定SCP允许的权限，子OU（或账号）允许权限C、D和E。由于附加到父OU的SCP不允许D或E，因此父OU下的所有子OU和账号都不能使用它们，即使子OU的SCP明确允许D和E，它们最终仍然会被父OU的SCP阻止。子OU（或账号）的SCP不允许A或B，因此， 子OU（或账号）将阻止这些权限。最终，子OU的权限是父OU权限和子OU（或账号）绑定SCP的权限交集，即下图中的权限C。 如果椭圆右侧是一个成员账号，则交集是授予该账号中的用户和用户组的最大权限集合。如果椭圆右侧是OU，则交集是该子OU可继承的最大权限集合。 图1 SCP原理图 筛选继承 组织单元或账号绑定的SCP包括两部分，直接绑定的策略和继承的策略。某组织单元绑定的SCP，会继承给该组织单元下的所有子级OU和账号。账号和组织单元的权限边界，由所有上级OU的SCP和自身直接绑定的SCP共同决定。如下图所示，Account y隶属于OU3，Account y的权限边界是由继承自Root，OU1和OU3的SCP与Account y绑定的SCP共同决定。 图2 SCP继承规则 如果要在成员账号级别允许使用某个云服务的操作，则必须在账号和根组织单元之间的每个层级上允许该操作。这意味着，必须在根组织单元和账号之间的每个层级，附加允许该操作的SCP。您可以使用下列任一策略执行此操作： 添加拒绝策略。拒绝策略会使用默认附加到每个OU和账号上的FullAccess SCP。此SCP将覆盖默认的隐式Deny，并明确允许所有权限从根组织单元传递到每个账号，除非创建并附加到相应OU或账号的其他SCP明确了拒绝权限。策略中的显式Deny始终优先于Allow。具有拒绝策略的OU层级以下的任何账号都不能使用被拒绝的操作，也无法在组织结构中较低的层级中添加该权限。 添加允许策略。添加允许策略并删除默认附加到每个OU和账号的FullAccess SCP后，除非策略中明确允许，否则任何OU和账号都不允许任何操作权限。要允许使用某个云服务的操作，必须创建SCP并将它们附加到账号及其层级之上的每个OU，直至附加到根组织单元为止（包括根组织单元）。层次结构中的每个SCP（从根组织单元开始）必须明确允许在OU及其下面的账号中使用该操作。SCP中的显式Allow会覆盖隐式Deny。 拒绝优先 当组织单元和账号绑定多条SCP时，账号权限优先遵从拒绝语句。比如成员账号A同时绑定了两条SCP，分别是允许全部操作和禁止查看账单操作。此时执行查看账单操作，鉴权规则会优先遵从拒绝操作，即成员账号A不能查看账单。详细说明请参考显式拒绝和隐式拒绝的区别。 默认允许 组织启用SCP时，默认会为所有OU和账号附加全部权限（FullAccess策略），默认允许所有操作。除非您为OU或账号附加其他的明确拒绝策略。

显式拒绝和隐式拒绝的区别 Effect（效果）包含两种：Allow（允许）和Deny（拒绝），分别表示允许或拒绝执行某操作的权限。 当没有策略设置权限为Allow和Deny时，默认情况即为Deny权限，称为隐式拒绝。当有策略授权Allow权限，且没有其他策略Deny该权限时，Allow的权限才能生效。 如果策略设置权限为Deny，则为显式拒绝。显式的Deny始终优先于Allow。例如，父OU的SCP，它允许权限A、B和C，但是子OU的SCP允许权限A、B，拒绝权限C，则该子OU的账号以及以下层级的账号，均无法使用权限C。 用户在发起访问请求时，鉴权规则如下： 图3 系统鉴权逻辑图 用户发起访问请求。 系统优先寻找Deny指令。如果找到一个适用的Deny指令，系统将返回Deny决定。 如果没有找到Deny指令，系统将寻找适用于请求的任何Allow指令。如果找到一个Allow指令，系统将返回Allow决定。 如果找不到Allow指令，最终决定为Deny，鉴权结束。

服务关联委托 Organizations使用IAM服务的委托信任功能，使可信服务能够在您组织的成员账号中代表您执行任务。当您启用某个服务为可信服务时，该服务可以请求Organizations在其成员账号中创建服务关联委托，可信服务按需异步执行此操作。此服务关联委托具有预定义的IAM权限，允许可信服务在成员账号中拥有执行可信服务文档中所述任务的权限，相当于云服务能力在多账号组织场景下的拓展。当前支持的可信服务及其功能简介请参见：已对接组织的可信服务。 当您在组织中创建账号或邀请现有账号加入组织时，Organizations会在成员账号内创建服务关联委托，该委托是云服务委托，委托权限为“OrganizationsServiceLinkedAgencyPolicy”系统权限，授权范围为所有资源。仅Organizations服务本身可以承担此委托，该委托具有允许Organizations为其他云服务创建服务关联委托的权限。 Organizations的SCP不会影响服务关联委托，使用服务关联委托执行的任何操作将免受SCP限制。

什么是可信服务 可信服务是指可与Organizations服务集成，提供组织级相关能力的华为云服务。管理账号可以在组织中开启某个云服务为可信服务。成为可信服务后，云服务可以获取组织中的组织单元及成员账号信息，并基于此信息提供组织级的管理能力。例如，开启CTS云审计为可信服务后，CTS可以获取组织单元及成员账号信息，统一为整个组织提供云审计服务，记录组织中所有账号的操作。能与组织搭配使用的云服务列表参见：已对接组织的云服务列表。

条件（Condition） 条件（Condition）是SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：全局条件键。 服务级条件键（前缀通常为服务缩写，如cce:）仅适用于对应服务的操作，详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个VPC终端节点发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：运算符。 CCE定义了以下可以在SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 CCE支持的服务级条件键 服务级条件键 类型 单值/多值 说明 cce:ClusterId string 单值 按照在请求中传递的集群ID筛选访问权限。 cce:nodeTransferSourceCluster string 单值 按照节点迁移的源集群ID筛选访问权限。 cce:nodeTransferTargetCluster string 单值 按照节点迁移的目的集群ID筛选访问权限。

条件（Condition） 条件（Condition）是SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：全局条件键。 服务级条件键（前缀为服务缩写，如ims:）仅适用于对应服务的操作，详情请参见表3。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个VPC终端节点发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：运算符。 IMS定义了以下可以在SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 ims支持的服务级条件键 服务级条件键 类型 单值/多值 说明 ims:TargetOrgPaths string 多值 根据指定的共享账号的 Organizations Path 过滤访问。 ims:Encrypted boolean 单值 根据镜像是否加密对镜像导入和复制等操作进行控制。 ims:TargetBucketOrgPaths string 多值 根据指定的目标桶owner账号的 Organizations Path 过滤访问。 ims:OriginBucketOrgPaths string 多值 根据指定的源桶owner账号账号的 Organizations Path 过滤访问。

操作步骤 以组织管理员或管理账号的身份登录华为云，进入华为云Organizations控制台。 在组织中启用标签策略。 创建标签策略。 首次使用建议创建一个简单的标签策略，例如： 定义标签键为“ABC”。 使用标签键的大小写形式来定义合规性，也就是说为资源添加的标签的键为“ABC”则符合规范，添加“abc”、“Abc”等其他大小写形式的标签则为不合规，标签策略将阻止不合规标签的添加操作。 添加执行标签策略的资源类型，例如云监控服务的告警规则（ces:alarm），表示此标签策略仅对组织成员账号这一资源类型生效。当前支持标签策略的云服务和资源类型请参见：支持标签策略的云服务。 当您为此资源添加不合规的标签时，标签策略将阻止此操作，您必须将标签修改至符合标签策略规范才可以添加成功。 图1 创建标签策略 将创建的标签策略绑定至一个资源较少的可用于测试的成员账号中，具体请参见绑定标签策略。 图2 绑定标签策略 使用此成员账号登录华为云，进入云监控服务控制台，创建告警规则并为其添加标签，验证标签策略是否生效。 为告警规则添加标签“ABC”，标签添加成功。 为告警规则添加标签“abc”，界面提示此标签校验不合规，需修改后再次提交，表示标签策略已生效且验证无误。 图3 添加不合规标签 当您在创建资源时添加不合规的标签，标签策略将阻止标签添加操作，同时资源也无法创建成功； 当您为已创建的资源添加不合规标签时，标签策略仅会阻止标签添加操作，不会对资源产生影响。

通过委托登录创建的账号 鼠标移动至右上方的用户名，选择“切换角色”。 图3 切换角色 在“切换角色”页面中，输入创建的账号名称。 图4 输入创建的账号名称 输入账号名称后，系统将会按照顺序自动匹配创建账号时输入的委托名称。匹配的委托名称中，也会出现以cbc_开头的委托名称，该委托主要用于企业主账号对企业费用的统一管理，对子账号进行委托授权。需要选用创建账号时输入的委托名称。 单击“确定”，切换至创建的新账号中。

创建账号 以组织管理员或管理账号的身份登录华为云，进入华为云Organizations控制台，进入组织管理页面。 单击组织结构树上方的“添加”，单击“添加账号”。 图1 添加账号 在弹窗中，选择“创建新账号”。 输入账号名称和手机号。注意，创建的账号名称不能与已有账号名称重复。 系统会默认提供委托名，可以保持默认，或者进行自定义修改。 图2 新建账号 （可选）为账号添加标签。 标签以键值对的形式表示，用于标识账号，便于对账号进行分类和搜索。一个账号最多添加20个标签。 标签的设置说明如表1所示。 表1 标签说明 参数 说明 举例 键 输入标签的键，同一个账号标签的键不能重复。键可以自定义，也可以选择预先在标签管理服务（TMS）创建好的标签的键。 键命名规则如下： 不能为空。 长度为1~128个字符。 由英文字母、数字、下划线、中划线、UNICODE字符（\u4E00-\u9FFF）组成。 Key_0001 值 输入标签的值，标签的值可以重复，并且可以为空。 标签值的命名规则如下： 可以为空。 长度为1~225个字符。 由英文字母、数字、下划线、点、中划线、UNICODE字符（\u4E00-\u9FFF）组成。 Value_0001 单击“确定”，创建成功的账号将会显示在列表中。

策略参数 策略参数包含Version和Statement两部分，下面介绍策略参数详细说明。 表1 策略参数说明 参数 是否必选 含义 值 Version 必选 策略的版本。 5.0（不可自定义） Statement： 策略的授权语句 Statement Sid 可选 策略语句标识符。您可为语句数组中的每个策略语句指定Sid值。 用户自定义字符串。 Effect：作用 必选 定义Action中的操作权限是否允许执行。 Allow：允许执行。 Deny：不允许执行。 说明： 当同一个Action的Effect既有Allow又有Deny时，遵循Deny优先的原则。 当Effect为Allow时，不能有Condition元素。 Action：授权项 Allow时必选。 Deny时与NotAction二选一。 操作权限。 格式为“服务名:资源类型:操作”。授权项支持通配符号*，通配符号*表示所有。 参数中的通配符*和?只能单独使用或放在字符串结尾处。它不能出现在字符串的开头或中间部分。 例如"obs:bucket:ListAllMybuckets"：表示查看OBS桶列表权限，其中obs为服务名，bucket为资源类型，ListAllMybuckets为操作。 NotAction Allow时不可选。 Deny时与Action二选一。 Deny时，NotAction列出的操作或服务不受当前策略影响，即除了NotAction列表中的操作之外，其他操作deny。 格式同Action。 Condition：条件 Allow时不可选。 使策略生效的特定条件，包括条件键和运算符。 格式为“条件运算符:{条件键：[条件值1,条件值2]}”。 如果您设置多个条件，同时满足所有条件时，该策略才生效。 示例: "StringEndWithIfExists":{"g:UserName":["specialCharactor"]}：表示当用户输入的用户名以"specialCharactor"结尾时该条statement生效。 Resource：资源类型 可选 未指定时，Resource默认为“*”，策略应用到所有资源。 策略所作用的资源。 Allow时，只能为“*”。 Deny时，可选择“*”或具体资源，格式为“服务名:region:domainId:资源类型:资源路径”, 资源类型支持通配符号*，通配符号*表示所有。 示例： "obs:*:*:bucket:*": 表示所有的OBS桶。 "obs:*:*:object:my-bucket/my-object/*": 表示my-bucket桶my-object目录下的所有对象。 SCP中不支持以下元素： Principal NotPrincipal NotResource

运算符 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，策略才能生效。运算符可以增加后缀“IfExists”，表示对应请求值为空或满足条件的请求值均使策略生效，如“StringEqualsIfExists”表示请求值为空或请求值等于条件值均使策略生效。运算符为字符串型运算符，表格中如未增加说明，不区分大小写。 String类型 表3 String类型运算符 类型 运算符 说明 String StringEquals 请求值与任意一个条件值相同（区分大小写）。 StringNotEquals 请求值与所有条件值都不同（区分大小写）。 StringEqualsIgnoreCase 请求值与任意一个条件值相同。 StringNotEqualsIgnoreCase 请求值与所有条件值都不同。 StringMatch 请求值符合任意一个条件值的正则表达式（区分大小写，正则表达式仅支持*和?）。 StringNotMatch 请求值不符合所有条件值的正则表达式（区分大小写，正则表达式仅支持*和?）。 示例：禁止用户名为ZhangSan的请求者修改资源共享实例。 { "Version": "5.0", "Statement": [ { "Effect": "Deny", "Action": [ "ram:resourceShares:delete", "ram:resourceShares:update" ], "Condition": { "StringEquals": { "g:DomainName": [ "ZhangSan" ] } } } ] } Number类型 表4 Number类型运算符 类型 运算符 说明 Number NumberEquals 请求值等于任意一个条件值。 NumberNotEquals 请求值不等于所有条件值。 NumberLessThan 请求值小于任意一个条件值。 NumberLessThanEquals 请求值小于或等于任意一个条件值。 NumberGreaterThan 请求值大于任意一个条件值。 NumberGreaterThanEquals 请求值大于或等于任意一个条件值。 Date类型 表5 Date类型运算符 类型 运算符 说明 Date DateLessThan 请求值早于任意一个条件值。 DateLessThanEquals 请求值早于或等于任意一个条件值。 DateGreaterThan 请求值晚于任意一个条件值。 DateGreaterThanEquals 请求值晚于或等于任意一个条件值。 示例：请求者禁止在2022年8月1日前访问RAM服务。 { "Version": "5.0", "Statement": [ { "Effect": "Deny", "Action": [ "ram:*:*" ], "Condition": { "DateLessThan": { "g:CurrentTime": [ "2022-08-01T00:00:00Z" ] } } } ] } Bool类型 表6 Bool类型运算符 类型 运算符 说明 Bool Bool 条件值可选值：true、false。请求值等于条件值。 Null类型 表7 Null类型运算符 类型 运算符 说明 Null Null 条件值可选值：true、false。条件值为true，要求请求值不存在或者值为null；条件值为false，要求请求值必须存在且值不为null。 IP类型 表8 IP类型运算符 类型 运算符 说明 IP IpAddress 指定IP地址或者IP范围。 NotIpAddress 指定IP地址或者IP范围之外的所有IP地址。 示例：拒绝IP地址在10.27.128.0到10.27.128.255范围内的请求修改指定的永久访问密钥。 { "Version": "5.0", "Statement": [ { "Effect": "Deny", "Action": [ "iam:credentials:updateCredentialV5" ], "Condition": { "IpAddress": { "g:SourceIp": [ "10.27.128.0/24" ] } } } ] } “IfExists”运算符后缀 除Null运算符以外，您可以在任何条件运算符名称的末尾添加IfExists，例如：StringEqualsIfExists。如果请求的内容中存在条件键，则依照策略所述来进行匹配。如果该键不存在，则该条件元素的匹配结果将为true。

操作步骤 为SCP自定义策略和标签策略添加标签的方法类似，以SCP为例，说明添加标签的方法。 以组织管理员或管理账号的身份登录华为云，进入华为云Organizations控制台。 进入策略管理页，单击“服务控制策略”，进入SCP管理页。 在列表中单击自定义策略的名称，进入策略详情页。 图1 进入策略详情 选择“标签”页签，单击“添加”。 图2 策略添加标签 在弹窗中输入标签键和标签值， 单击“添加”，然后单击“确定”，完成策略的标签添加。

示例流程 图1 给用户授予组织管理权限流程 创建用户组并授权 在IAM控制台创建用户组，授予Organizations云服务只读权限“Organizations ReadOnlyAccess”。 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 用户登录并验证权限 使用新创建的用户登录控制台，能正常进入组织服务并可查看组织的相关信息，然后尝试添加组织单元报错，报错信息提示“权限不足，请联系管理员处理”，表示“Organizations ReadOnlyAccess”已生效，您只有组织的查看权限。

阻止IAM用户和委托进行某些修改，但指定的账号除外 使用此SCP阻止IAM用户和委托对组织内所有账号创建的资源共享进行修改，但指定的账号除外。 { "Version": "5.0", "Statement": [ { "Effect": "Deny", "Action": [ "ram:resourceShares:update", "ram:resourceShares:delete", "ram:resourceShares:associate", "ram:resourceShares:disassociate", "ram:resourceShares:associatePermission", "ram:resourceShares:disassociatePermission" ], "Resource": [ "ram::*:resourceShare:resource-id" ], "Condition": { "StringNotEquals": { "g:DomainId": [ "account-id"【备注：此处需填写排除账号的ID】 ] } } } ] }