华为云用户手册

RGC-GR_CT_AUDIT_BUCKET_POLICY_CHANGES_PROHIBITED 实现：SCP 类型：Preventive 功能：防止对RGC创建的OBS桶的策略进行更改。 { "Version": "5.0", "Statement": [{ "Sid": "AUDIT_BUCKET_POLICY_CHANGES_PROHIBITED", "Effect": "Deny", "Action": [ "obs:bucket:PutBucketPolicy", "obs:bucket:DeleteBucketPolicy" ], "Resource": [ "obs:*::bucket:rgcservice-managed-*-logs-*" ], "Condition": { "StringNotMatch": { "g:PrincipalUrn": "sts::*:assumed-agency:RGCServiceExecutionAgency/*" } } }] }

修订记录 发布日期 修改说明 2024-05-11 第五十五次正式发布。 优化： 安装Linux应用服务器新增3.3.52.0版本说明。 新增： 新增共享VPC章节。 新增创建代理服务器章节。 2024-03-20 第五十四次正式发布。 调性升级，页面风格刷新，修改所有页面截图。 2023-09-30 第五十三次正式发布。 修改如下章节： 通过FTP/SFTP客户端登录文件传输类资源章节； 通过SSO单点客户端登录和运维数据库资源章节，新增支持纳管的数据库； 2023-06-30 第五十二次正式正式发布。 新增如下章节： 提升实例存储容量章节； 云资产委托授权章节； 编辑用户组成员章节； 配置SAML远程认证章节； 云服务管理章节； 云服务运维章节； 配置告警发送章节。 优化新建脚本章节描述，云堡垒机已内置HSS-Agent下载及安装脚本； 优化将纳管的主机或应用添加到资源账户章节描述，云堡垒机已支持纳管CSMS凭据。 2023-05-15 第五十一次正式发布。 优化配置手机令牌登录章节描述。 2023-05-08 第五十次正式发布。 优化管理改密日志章节描述。 2023-03-29 第四十九次正式发布。 新增监控章节。 2022-11-15 第四十八次正式发布。 修改通过FTP/SFTP客户端登录文件传输类资源章节。 2022-07-07 第四十七次正式发布。 修改使用手机短信登录章节。 2022-06-06 第四十六次正式发布。 新增重置admin登录方式章节。 2022-04-26 第四十五次正式发布。 修改通过云堡垒机纳管主机资源章节。 2022-02-22 第四十四次正式发布。 修改修改组策略章节。 2022-01-24 第四十三次正式发布。 修改配置网盘空间章节。 2022-01-14 第四十二次正式发布。 修改如下章节： 查询和修改用户信息 新建改密策略 查询和修改改密策略 配置LDAP远程认证 增加如下章节： 18.1.5.3-配置SA（V3.3.21.0及以上版本支持） 配置自动巡检（V3.3.36.0以及上版本支持） 开启国密配置（V3.3.34.0及以上版本支持） 开启API配置（V3.3.34.0及以上版本支持） 2022-01-12 第四十一次正式发布。 修改登录系统概述，增加短信服务的端口。 2022-01-04 第四十次正式发布。 修改如下章节： 配置网盘空间 2021-12-31 第三十九次正式发布。 修改如下章节： 更新系统Web证书 2021-12-14 第三十八次正式发布。 修改如下章节： 管理会话视频 2021-11-16 第三十七次正式发布。 修改如下章节： 安装RemoteApp程序 安装Linux应用服务器 更新系统Web证书 2021-11-12 第三十六次正式发布。 修改如下章节： 绑定弹性公网IP 更新系统Web证书 2021-11-02 第三十五次正式发布。 新增配置僵尸用户禁用策略（V3.3.30.0及以上版本）章节。 新增重置admin账号密码章节。 新增配置RDP资源客户端代理（3.3.26.0及以上版本）章节。 修改变更版本规格章节。 修改绑定弹性公网IP章节。 修改解绑弹性公网IP章节。 2021-10-28 第三十四次正式发布。 修改升级版本章节。 修改系统配置备份与还原章节。 修改创建数据本地备份章节。 2021-10-18 第三十三次正式发布。 修改购买云堡垒机章节。 2021-09-27 第三十二次正式发布。 修改使用客户端登录云堡垒机章节。 2021-08-28 第三十一次正式发布。 全文根据Console界面排查修改。 2021-08-12 第三十次正式发布。 修改了使用客户端登录云堡垒机章节，增加了相关说明。 修改了变更版本规格章节。 修改了升级版本章节。 2021-07-30 第二十九次正式发布。 修改了通过FTP/SFTP客户端登录文件传输类资源章节，增加了各个工具支持的版本号。 2021-07-22 第二十八次正式发布。 修改了通过云堡垒机纳管应用服务器章节。 修改了安装Linux应用服务器章节。 2021-07-15 第二十七次正式发布。 原基础版更名为标准版，增强版更名为专业版。 2021-06-01 第二十六正式发布。 修改了配置邮件外发章节，增加了模板内容的说明。 2021-04-13 第二十五次正式发布。 本次更新说明如下： 修改了升级版本章节，增加了约束限制。 修改了安装应用发布服务器章节，修改组策略里增加了V3.3.26.0的相关操作，增加了“安装RemoteApp程序（V3.3.26.0）”。 增加了安装Linux应用服务器章节。 修改了通过云堡垒机纳管应用服务器章节，服务器类型增加了Linux服务器。 增加了配置LTS日志外发服务章节。 修改了使用客户端登录云堡垒机章节，增加了“MSTSC客户端登录”方式。 2021-01-25 第二十四次正式发布。 本次更新说明如下： 修改了购买云堡垒机实例章节，新增1000资产规格。 2020-12-18 第二十三次正式发布。 本次更新说明如下： 新增了安装Windows Server 2019应用服务器章节，介绍Windows Server 2019应用发布服务器的安装和配置； 修改了安装Windows Server 2016应用服务器章节，删除安装AD域说明； 修改了安装Windows Server 2012 R2应用服务器章节，删除安装AD域说明。 2020-12-04 第二十二次正式发布。 本次更新说明如下： 修改了系统桌面章节，按使用场景介绍系统工单功能； 修改了运维管理章节，按使用场景介绍资源运维功能； 修改了系统配置章节，按使用场景介绍系统配置功能； 修改了系统维护章节，按使用场景介绍系统维护功能。 2020-11-24 第二十一次正式发布。 本次更新说明如下： 修改了权限管理章节，下线运维专家服务，修订相关描述； 修改了系统工单章节，按使用场景介绍系统工单功能； 修改了运维审计章节，按使用场景介绍运维审计功能； 删除了购买运维专家服务章节，下线运维专家服务，修订相关描述。 2020-11-18 第二十次正式发布。 本次更新说明如下： 新增了安装Windows Server 2016应用服务器章节，介绍Windows Server 2016应用发布服务器的安装和配置。 2020-11-06 第十九次正式发布。 本次更新说明如下： 新增了配置多因子认证章节，按使用场景介绍配置多因子认证； 修改了登录云堡垒机系统章节，按使用场景介绍登录系统方式； 修改了系统策略章节，按使用场景介绍策略功能。 2020-10-10 第十八次正式发布。 本次更新说明如下： 修改了数据维护章节，按使用场景介绍系统数据维护，包括远程备份系统日志、本地备份系统日志、删除系统数据、查看系统存储空间、修改网盘空间大小等。 2020-09-22 第十七次正式发布。 本次更新说明如下： 修改了命令控制策略章节，新增自定义关联命令说明； 修改了系统资源章节，按使用场景介绍资源功能； 修改了安全配置章节，按使用场景介绍系统安全配置。 2020-08-26 第十六次正式发布。 本次更新说明如下： 新增了认证配置说明，新增Azure AD远程认证方式； 修改了登录云堡垒机系统章节，新增Azure AD远程认证说明； 修改了系统部门章节，按使用场景介绍部门功能； 修改了系统用户章节，按使用场景介绍用户功能。 2020-08-07 第十五次正式发布。 本次更新说明如下： 修改了购买云堡垒机实例章节，新增500资产规格； 新增了安装Windows Server 2012 R2应用服务器章节，介绍Windows Server 2012 R2应用发布服务器的安装和配置。 2020-07-03 第十四次正式发布。 本次更新说明如下： 修改了系统配置章节，删除编辑系统网络配置功能，仅支持查看系统网络相关地址； 修改了数据维护章节，新增OBS桶远程备份日志功能。 2020-06-24 第十三次正式发布。 本次更新说明如下： 新增了权限管理章节，介绍授权使用CBH服务、CBH自定义策略、权限相关授权项等内容。 2020-05-11 第十二次正式发布。 本次更新说明如下： 修改了认证配置说明，新增LDAP远程认证方式。 2020-04-30 第十一次正式发布。 本次更新说明如下： 删除了“云堡垒机配置流程”章节，相关内容请参见快速入门必读。 2020-03-20 第十次正式发布。 本次更新说明如下： 修改了购买云堡垒机实例章节，新增“一键开通”解除网络限制功能说明； 修改了扩容规格章节，新增“一键开通”解除网络限制功能说明； 修改了续费章节，新增“一键开通”解除网络限制功能说明； 更新实例管理控制台界面。 2020-01-17 第九次正式发布。 本次更新说明如下： 新增了扩容规格章节； 新增了升级版本章节； 新增了启动实例章节； 新增了关闭实例章节； 新增了重启实例章节； 新增了绑定EIP章节； 新增了解绑EIP章节； 新增了续费章节； 新增了退订章节； 修改了查看实例详情章节。 2019-11-13 第八次正式发布。 本次更新说明如下： 新增了“多因子访问”配置和使用内容； 新增了“系统类型”章节； 新增了“数据库控制策略”章节； 新增了“账户同步策略”章节； 新增了“脚本运维”章节； 新增了“快速运维”章节； 新增了“运维任务”章节； 新增了“数据库授权工单”章节； 修改了“用户管理”章节，补充“用户组”使用说明和“登录MAC地址限制”设置说明； 修改了“用户组”章节，补充用户组使用说明； 修改了“角色”章节，补充用户组使用说明； 修改了“账户组”章节，补充用户组使用说明； 修改了“数据维护”章节，补充用户组使用说明； 修改了“系统维护”章节，补充用户组使用说明。 2019-10-22 第七次正式发布。 本次更新说明如下： 新增了“多因子访问”配置和使用内容； 修改了“登录云堡垒机系统”章节； 修改了“个人中心”章节； 修改了“用户管理”章节； 修改了“主机管理”章节； 修改了“访问控制策略”章节； 修改了“主机运维”章节。 2019-08-30 第六次正式发布。 本次更新说明如下： 新增服务操作入口插图，以及修改相关内容描述； 修改了“管理云堡垒机实例”章节； 修改了“管理云堡垒机系统”章节。 2019-08-09 第五次正式发布。 本次更新说明如下： 新增了“购买云堡垒机实例”章节； 新增了“购买运维专家服务”章节； 新增了“云审计支持的CBH操作”章节； 新增了“查看云审计日志”章节； 修改了“云堡垒机实例管理”章节； 修改了“登录云堡垒机”章节； 修改了“云堡垒机配置流程”章节； 删除了“安装证书”章节。 2018-09-18 第四次正式发布。 2018-07-27 第三次正式发布。 2018-06-04 第二次正式发布。 2018-05-15 第一次正式发布。

通过MSTSC客户端登录云堡垒机 用户获取资源运维权限后，可通过MSTSC客户端直接登录进行运维操作。 打开本地远程桌面连接（MSTSC）工具。 在弹出的对话框中，“计算机”列，输入“堡垒机IP:53389”。 图1 配置计算机 单击“连接”，在登录页面完成登录。 username：堡垒机用户登录名@Windows主机资源账户名@Windows主机资源IP:Windows远程端口（默认3389），例如admin@Administrator@192.168.1.1:3389。 “Windows主机资源账户名”必须是已添加到堡垒机中的资源账户，且登录方式是”自动登录“，否则无法识别Windows主机资源账户，且无法生成运维审计文件。不支持实时会话运维。如何添加主机资源账户，请参考添加资源账户章节。 password：输入当前堡垒机的用户密码。

初始化配置 灰度服务创建完成后，需要进行初始化配置。 单击灰度服务列表中当前状态列的“初始化”，配置灰度服务信息。 在基础信息页面，确认灰度服务的基本信息，单击“下一步”。 在风险等级页面，选择发布类型。 当发布类型选择为“一阶段发布”时，直接单击“下一步”配置当前的分流规则。 当发布类型选择为“N阶段发布”时，需要确定风险等级及建议的发布阶段。 配置评估参数，单击“开始评估”。 系统会根据不同的风险等级评估结果，生成推荐的多个阶段分流规则模板，并且每个阶段的分流规则也将不同。 您可以在下一步的选择模板按钮中查看和选择推荐的N阶段分流规则模板。 单击“下一步”。 在分流配置页面，输入分流规则名称，填写各个阶段的分流配置项，分流配置项的参数说明如表2所示。 表2 分流配置参数说明 参数 说明 分流名称 配置分流名称。 字符长度0~50，可以由字母、数字、下划线、短横线、点组成，不能包含特殊字符，例：Rule_home-001。 第N阶段分流配置项 分流配置子项间关系 与、或 设置当前阶段下多个分流配置子项之间的关系。 类型 选择分流类型，支持的类型为path、REMOTE-ADDR、X-Forwarded-For、省、市、国家区域、自定义参数、自定义表达式。 参数 当分流类型为“自定义参数”时，需要配置此参数。 参数字符长度不能大于50，参数可以由数字、字母、下划线、短横线组成，不能包含特殊字符。 位置 当分流类型为“自定义参数”时，需要配置此参数。 query String body-json body-form header resource 匹配条件 pattern sha256 当匹配类型为sha256时，上传的值会自动转化为加密后的结果。 equal tailEqual rangeIP 值 单击“文件上传”，上传txt格式文件，文件中多个数据以英文逗号分隔。 操作 删除：单击“删除”对应的子项。每个分流规则至少保留一个有效的子项。 新增子项 单击“新增子项”，新增一条分流配置子项，每个子项有参数、类型、位置、匹配、值。 选择模板 单击“选择模板”，可以选择某个系统推荐的分流规则作为值填充到指定阶段。 插入无流量阶段 将在第一阶段前插入阶段作为无流量阶段，原来的第一阶段变为第二阶段。 插入无流量阶段只能在灰度服务初始化或灰度完成时操作。 如果不需要无流量阶段，可以修改规则或删除阶段。 导入分流配置 单击“导入分流配置”。 在弹出的窗口中单击“导入分流配置”，导入本地分流配置文件。 一键应用模板 单击“一键应用模板”，可以直接应用系统推荐的分流规则数据，推荐后可以修改。 应用区域模板，会根据区域进行分流。第一阶段分流可以选择市，第二阶段选择省。 应用用户模板，可以选择根据不同的用户做分流，在第二阶段可以自定义规则。 公共灰度策略 配置完成后，单击“下一步”。 配置的信息在发布成功前将保存在本地，可以单击“重置所有”按钮清空。 预览配置信息，确认无误后，单击“去发布”。 预览界面也可以单击“编辑”修改信息。 在发布页面，选择相关配置项，单击“发布”。参数说明如表3所示。 表3 发布相关参数说明 参数 说明 是否启用灰度 当选择“是”时，分流规则在SLB生效，满足分流规则条件的消息分发到灰度机器群组，不满足分流规则条件的消息分发到生产机器群组。 当选择“否”时，分流规则在SLB不生效。消息会在生产机器+灰度机器的整个群组中负载均衡分发。 全网发布时的路由策略 当选择“默认路由”时，全网发布时在生产+灰度的大集群中负载均衡。 当选择“特殊路由”时，全网发布时只在生产集群中负载均衡。

功能介绍 数据库管理 WiseDBA为用户提供统一的数据库管理平台，支持用户级的管理、监控、可视化的数据库交互等功能，为用户节省50%以上的管理成本，提高数据库运维效率。 数据查询 数据查询工具可以帮助业务简化现网的SQL查询流程，避免SRE直接操作数据库。 SQL变更 SQL自动化变更工具可以帮助业务简化现网的SQL变更流程。 实时诊断 WiseDBA为数据库实例提供运维全生命的智能分析服务，让用户既可以直观地感知数据库实例的实时运行状况，也可以定位实时异常，并根据WiseDBA建议进行系统优化。

新增后端服务器集群 参考创建监听，进入创建后端服务器集群页面。 在创建后端服务器集群页面，单击“新增集群”，配置相关参数，参数说明如表1所示。 表1 新增集群参数说明 参数 说明 集群名称 后端服务器集群名称。 字符长度0~150，可以由字母、数字、下划线、短横线、点组成，不能包含特殊字符，不能包含-in-字符，后端服务器为tomcat时，建议不要包含下划线，转发可能返回400，例：Cluster_home-001。 后端协议 后端服务器协议，支持HTTP、HTTPS。 负载均衡策略 加权轮询算法：可配权重，根据权重进行轮询，默认权重相同。 自定义参数哈希：可以配置nginx变量进行哈希，nginx变量，例如：$http_x_forwarded_for。 IP哈希：根据发送给SLB请求的IP进行哈希。 说明： 如前面有ELB或者F5，此IP通常为ELB的IP或者F5的IP，因此请慎用。 最小连接数：根据服务器的连接数，向连接数最少的服务器优先转发。 预热周期 配置新节点启动后在多长时间范围内进行预热，范围0-30，0表示不开启预热。 预热因子 配置预热增长速率，值越大预热增长速率越快，范围1-100，默认为10，表示匀速增长。 预热延迟 新节点启动后延迟多长时间才进行预热，范围0-30，延迟时间中，节点被选中的概率为0。 自定义参数配置 配置自定义参数。 自定义参数哈希 负载均衡策略选择为“自定义参数哈希”时，配置此参数。 字符长度0~50，以$符开头，可以由字母、数字、点、下划线、短横线组成，不能包含其他特殊字符，例：$http_x_forwarded_for。 单击“确定”。

部署 表4 部署并发扩展 计费方式 包年/包月 适用场景 当CodeArts套餐中包含的部署应用并发数不满足实际使用需求时，可购买部署并发扩展。 计费项 并发数 购买限制 购买部署并发扩展前，须完成CodeArts基础版及以上规格套餐的购买。 购买上限为100并发。 计费公式 单价*并发数*购买时长 计费周期 根据购买时长确定（以GMT+08:00时间为准）。一个计费周期的起点是您开通或续费部署并发扩展的时间（精确到秒），终点则是到期日的23:59:59。 例如，如果您在2023/03/08 15:50:04购买时长为一个月的部署并发扩展，那么其计费周期为：2023/03/08 15:50:04 ~ 2023/04/08 23:59:59。 变更配置 支持变更并发数，变更时系统将按照如下规则为您计算变更费用。 资源升配：变更后的并发数高于变更前，此时您需要支付新老配置的差价。 资源降配：变更后的并发数低于变更前，此时会将新老配置的差价退给您。 更多信息请参见变更资源规格费用说明。 到期后影响 到期未续费时，已购部署并发扩展将失效。

代码检查 表2 代码检查并发扩展 计费方式 包年/包月 适用场景 当CodeArts套餐中包含的代码检查任务并发数不满足实际使用需求时，可购买代码检查并发扩展。 计费项 并发数 购买限制 购买代码检查并发扩展前，须完成CodeArts基础版及以上规格套餐的购买。 购买上限为100并发。 计费公式 单价*并发数*购买时长 计费周期 根据购买时长确定（以GMT+08:00时间为准）。一个计费周期的起点是您开通或续费代码检查并发扩展的时间（精确到秒），终点则是到期日的23:59:59。 例如，如果您在2023/03/08 15:50:04购买时长为一个月的代码检查并发扩展，那么其计费周期为：2023/03/08 15:50:04 ~ 2023/04/08 23:59:59。 变更配置 支持变更并发数，变更时系统将按照如下规则为您计算变更费用。 资源升配：变更后的并发数高于变更前，此时您需要支付新老配置的差价。 资源降配：变更后的并发数低于变更前，此时会将新老配置的差价退给您。 更多信息请参见变更资源规格费用说明。 到期后影响 到期未续费时，已购代码检查并发扩展将失效。

测试计划 表5 接口测试执行并发扩展 计费方式 包年/包月 适用场景 当CodeArts套餐中包含的接口测试套件执行并发数或接口测试套件并发用例数不满足实际使用需求时，可购买接口测试执行并发扩展。 计费项 并发数 购买限制 购买接口测试执行并发扩展前，须完成CodeArts基础版及以上规格套餐的购买。 接口测试执行并发扩展的购买上限为100并发。 计费公式 单价*并发数*购买时长 计费周期 根据购买时长确定（以GMT+08:00时间为准）。一个计费周期的起点是您开通或续费接口测试执行并发扩展的时间（精确到秒），终点则是到期日的23:59:59。 例如，如果您在2023/03/08 15:50:04购买时长为一个月的接口测试执行并发扩展，那么其计费周期为：2023/03/08 15:50:04 ~ 2023/04/08 23:59:59。 变更配置 支持变更并发数。变更时系统将按照如下规则为您计算变更费用。 资源升配：变更后的并发数高于变更前，此时您需要支付新老配置的差价。 资源降配：变更后的并发数低于变更前，此时会将新老配置的差价退给您。 更多信息请参见变更资源规格费用说明。 到期后影响 到期未续费时，已购接口测试执行并发扩展将失效。

流水线 表3 流水线并发扩展 计费方式 包年/包月 适用场景 当CodeArts套餐中包含的流水线任务并发数不满足实际使用需求时，可购买流水线并发扩展。 计费项 并发数 购买限制 购买流水线并发扩展前，须完成CodeArts基础版及以上规格套餐的购买。 购买上限为100并发。 计费公式 单价*并发数*购买时长 计费周期 根据购买时长确定（以GMT+08:00时间为准）。一个计费周期的起点是您开通或续费流水线并发扩展的时间（精确到秒），终点则是到期日的23:59:59。 例如，如果您在2023/03/08 15:50:04购买时长为一个月的流水线并发扩展，那么其计费周期为：2023/03/08 15:50:04 ~ 2023/04/08 23:59:59。 变更配置 支持变更并发数，变更时系统将按照如下规则为您计算变更费用。 资源升配：变更后的并发数高于变更前，此时您需要支付新老配置的差价。 资源降配：变更后的并发数低于变更前，此时会将新老配置的差价退给您。 更多信息请参见变更资源规格费用说明。 到期后影响 到期未续费时，已购流水线并发扩展将失效。

编译构建 表1 编译构建并发扩展 计费方式 包年/包月 适用场景 当CodeArts套餐中包含的构建任务并发数不满足实际使用需求时，可购买编译构建并发扩展。 购买编译构建并发扩展时需指定执行机类型，可选择自定义执行机或内置执行机。 如果购买时选择“内置执行机”，则只能提高执行主机为“内置执行机”的构建任务的并发数。构建主机配置方法请参考构建环境配置。 内置执行机可选择： X86：2U8G、4U8G、8U16G、16U32G、16U64G ARM：2U8G、4U8G、8U16G、16U32G、16U64G 内置执行机规格说明： 2U8G：CodeArts Build提供内置执行机，资源规格为2 vCPU / 8 GB / 60 GB磁盘空间。 4U8G：CodeArts Build提供内置执行机，资源规格为4 vCPU / 8 GB / 100 GB磁盘空间。 8U16G：CodeArts Build提供内置执行机，资源规格为8 vCPU / 16 GB / 100 GB磁盘空间。 16U32G：CodeArts Build提供内置执行机，资源规格为16 vCPU / 32 GB / 500 GB磁盘空间。 16U64G：CodeArts Build提供内置执行机，资源规格为16 vCPU / 64 GB / 1000 GB磁盘空间。 资源规格 1个并发 购买限制 购买编译构建并发扩展前，须完成CodeArts基础版及以上规格套餐的购买。 单次购买上限为50个。 计费公式 单价*数量*购买时长 计费周期 根据购买时长确定（以GMT+08:00时间为准）。一个计费周期的起点是您开通或续费编译构建并发扩展的时间（精确到秒），终点则是到期日的23:59:59。 例如，如果您在2023/03/08 15:50:04购买时长为一个月的编译构建并发扩展，那么其计费周期为：2023/03/08 15:50:04 ~ 2023/04/08 23:59:59。 变更配置 不支持变更配置。如果完成购买后发现配置有误，需退订后重新购买。 到期后影响 到期未续费时，该编译构建并发扩展将失效。

计费示例 假设您在2023/03/08 15:50:04购买了CodeArts基础版（购买人数为5人）。购买时长为一个月，并在到期前手动续费1个月，则： 第一个计费周期为：2023/03/08 15:50:04 ~ 2023/04/08 23:59:59 第二个计费周期为：2023/04/08 23:59:59 ~ 2023/05/08 23:59:59 您需要为每个计费周期预先付费，计费公式为单价*人数*购买时长。 如果CodeArts基础版单价为60元/人/月，则上述两个计费周期的总费用为：60*5*2=600（元） 该示例中的价格仅供参考，实际计算请以软件开发生产线价格详情中的价格为准。

变更配置后对计费的影响 当前CodeArts套餐不满足您的业务需要时，您可以在软件开发生产线控制台发起变更操作。 变更操作可选择“即时变更”或“续费变更”。 即时变更：变更操作在当前的套餐周期内生效，变更时系统将按照如下规则为您计算变更费用。 资源升配：变更后的套餐价格高于变更前价格，此时您需要支付新老配置的差价。 资源降配：变更后的套餐价格低于变更前价格，此时会将新老配置的差价退给您。 续费变更：即购买新套餐，在当前套餐到期后，新套餐自动生效。 资源降配可能会影响功能特性的使用，通常不建议您这样操作。 这里以即时变更-资源升配且无任何优惠的场景为例，假设您在2023/04/08购买了CodeArts基础版（购买人数为5人），购买时长为1个月，计划在2023/04/18变更套餐版本为CodeArts专业版。如果旧配置价格为60元/人/月，新配置价格为200元/人/月。计算公式如下： 升配费用=新配置价格*剩余周期-旧配置价格*剩余周期 公式中的剩余周期为每个自然月的剩余天数/对应自然月的最大天数。本示例中，剩余周期=12（4月份剩余天数）/ 30（4月份最大天数）+ 8（5月份剩余天数）/ 31（5月份最大天数）=0.6581。代入公式可得升配费用=200*5*0.6581-60*5*0.6581=460.67（元）。 更多信息请参见变更资源规格费用说明。 该示例中的价格仅供参考，实际计算请以软件开发生产线价格详情中的价格为准。

到期后影响 图1描述了CodeArts套餐中所包含的各服务资源在各个阶段的状态。购买后，在计费周期内各服务可正常使用，此阶段为有效期；套餐到期而未续费时，将陆续进入宽限期和保留期。 图1 CodeArts套餐资源生命周期 到期预警 CodeArts套餐在到期前第15天内，系统将向用户推送到期预警消息。预警消息将通过邮件、短信和站内信的方式通知到账号的创建者。 到期后影响 当您的CodeArts套餐到期未续费，首先会进入宽限期，套餐将显示“已过期”。宽限期内您可以正常访问CodeArts。 如果您在宽限期内仍未续费CodeArts套餐，那么就会进入保留期，套餐状态变为“冻结”，您将无法对处于保留期的包年/包月资源执行任何操作。 华为云根据客户等级定义了不同客户的宽限期和保留期时长。 关于续费的详细介绍请参见续费概述。

产品构成 CodeArts由以下几个主要服务构成： 需求管理：提供需求管理与团队协作服务，内置多种开箱即用的场景化需求模型和对象类型（需求/缺陷/任务等），可支撑IPD、DevOps、精益看板等多种研发模式，还包含跨项目协同、基线与变更管理、自定义报表、Wiki在线协作、文档管理等功能。 代码托管：基于Git提供分布式代码管理和协同开发能力，包括成员管理、权限控制、代码托管、代码检查、代码审核、代码追溯、持续集成等功能，助力不同规模企业的研发质量和效率提升。 流水线：提供可视化、可定制的持续交付流水线服务，实现缩短交付周期和提升交付质量的效果。 代码检查：为用户提供代码风格、通用质量与网络安全风险等丰富的检查能力，提供全面质量报告、便捷的问题闭环处理帮助企业有效管控代码质量，助力企业成功。 编译构建：基于云端大规模分布式加速，为客户提供高速、低成本、配置简单的混合语言构建能力，帮助客户缩短构建时间，提升构建效率。 部署：支持主机、容器等多种部署形态，部署能力覆盖Tomcat、Springboot等多种语言和技术栈。基于其对部署功能的插件化封装和编排能力，帮助您实现软件的快速、高效发布。 测试计划：覆盖测试计划、测试设计、测试用例、测试执行和测试评估等全流程，旨在帮助企业协同、高效、可信的开展测试活动，保障产品高质量上市。 制品仓库：用于管理源代码编译后的构建产物，支持Maven、Npm等常见制品包类型。可以与本地构建工具和云上的持续集成、持续部署无缝对接，同时支持制品包版本管理、细粒度权限控制、安全扫描等重要功能，实现软件包生命周期管理，提升发布质量和效率。 CodeArts IDE Online：基于云计算的轻量级WebIDE，通过浏览器即可实现环境快速获取和环境访问，完成编码、构建、调试、运行、访问代码仓库和命令执行等工作，支持第三方业务集成，支持插件扩展并提供独立插件市场。 开源镜像站：由华为云提供的开源组件、开源操作系统及开源DevOps工具镜像站，目前已提供Maven、NPM、NuGet、CentOS、Ubuntu、Debian等镜像下载服务。 图1 产品构成

功能特性 表1 CodeArts各服务功能特性 服务名 功能特性 需求管理 提供多项目管理、敏捷迭代管理、里程碑管理、缺陷跟踪、多维度统计报表等功能。了解更多 迭代计划和时间线，有效管理项目计划。 Scrum项目支持树、表、卡片视图切换，方便查看项目工作。 多种项目统计图表，随时掌握项目开展情况。 在线文件库，批量文档托管，信息传递不失真。 代码托管 提供安全、可靠、高效的分布式代码托管服务。包括代码克隆/下载/提交/推送/比较/合并/分支等功能。了解更多 专属云存储，全网TLS传输，角色权限管控等技术，网络安全团队专业认证，保证云上代码安全。 异地容灾，实时备份，快速恢复，定期演练，保障核心资产万无一失。 基于Git的分布式版本控制，提升跨地域跨团队协同开发效率。 关联项目任务，保障项目高效交付。 增强的安全防护能力，IP白名单与代码仓库访问日志审计。 代码仓库提交信息统计，基于时间轴的贡献者代码提交统计。 代码检查 提供可协作的一站式代码检查服务。了解更多 一站式：覆盖主流编程语言、主流编码标准、SDLC集成等。 灵活易用的检查方式：支持代码提交检查、定时执行检查，支持多分支检查。 可协作：提供问题责任人自动归属、提供问题修改建议、可聚焦处理新问题等。 编译构建 快速、安全的云上编译构建服务。了解更多 内置C/C++/Java/…等主流语言的构建模板，并支持自定义构建模板。 可配置执行计划，支持开启提交代码触发执行、定时执行等多种构建执行计划。 界面傻瓜式配置，无需用户编写构建配置文件。 同时支持容器镜像和通用软件包的归档。 构建完成时支持消息通知。 支持在ARM或x86环境下构建。 内置支持主流语言的构建环境镜像，也可使用自定义构建环境镜像。 支持多个构建步骤，可实现构建过程的灵活编排。 部署 提供可视化、一键式部署服务，支持并行部署和流水线无缝集成。了解更多 提供丰富的部署步骤，满足用户不同的部署场景。 支持对虚拟主机部署、物理主机部署、容器部署等多种部署形态。 支持文件的复制、删除、修改、解压；支持Ansible、Shell命令、Shell脚本等通用部署能力。 界面简洁化配置，无须编写部署脚本。支持部署步骤的拖拉拽灵活编排。 预置Tomcat、SpringBoot、Django等系统模板，同时支持用户创建自定义模板。基于部署模板库，可以制定标准的部署流程，实现应用的快速创建，方便团队内部推广。 支持部署到官方资源池和自托管资源池。 提供错误日志分析能力，对于应用部署失败的情况，支持错误日志关键字匹配FAQ，并提供详细的排查解决方案。 支持自定义参数，在应用部署时由用户指定参数值，用指定值替换相应参数部署。 提供对主机和主机集群管理能力。支持主机（集群）的增删改查；支持主机批量删除，批量连通性验证；主机连通性支持EIP直连、代理机连接以及自托管资源池模式下的VPC直连。 应用和主机组均支持项目下角色和权限的二维矩阵。 测试计划 提供业内首推一站式自动化测试工厂解决方案，覆盖测试设计、测试用例、测试管理、接口自动化测试。打通测试计划、测试设计、测试用例、测试执行和测试报告的全流程测试活动，提供缺陷上报、质量看板等方式多维度评估产品质量，帮助用户高效管理测试活动，保障产品高质量交付。了解更多 测试设计：使用启发式思维导图的形式进行测试用例设计和评审，更加直观，效率更高。 支持Xmind直接导入生成在线思维导图测试设计；支持在线编辑思维导图; 支持4层测试设计方法（特性-场景-功能点-用例）；一键批量生成测试用例；覆盖功能、接口、安全等全领域测试设计，输出测试方案；可以通过测试策略模板快速创建用例，也可以自定义模板形成自己的测试资产。 测试管理：成熟的测试用例管理系统，可以开展用例设计、测试执行、缺陷提交、质量报告，提高测试效率；记录修改历史，避免漏测、误测，易追溯审计，规范测试流程。 融入全生命周期追溯、测试计划、团队多角色协作、敏捷测试、需求驱动测试等理念，覆盖测试需求管理、测试任务分配、测试任务执行、测试进度管理、测试覆盖率管理、测试结果管理、缺陷管理、质量报告、测试仪表盘，一站式管理功能，提供适合不同团队规模、流程的自定义能力。 接口自动化测试：基于接口URL或者Swagger文档生成的接口脚本模板快速编排接口测试用例，集成流水线，支持微服务测试。测试用例免代码编写，技术门槛低，适合接口开发者、接口消费者、测试人员、业务人员等不同角色使用。一键导入Swagger接口定义自动生成脚本模板，基于脚本模板组装编排、管理接口自动化测试用例。支持HTTP和HTTPS协议，可视化用例编辑界面，丰富的预置检查点、内置变量，支持自定义变量、参数传递、持续自动化测试。 制品仓库 面向软件开发者提供制品管理的云服务，提供软件仓库、发布包下载、发布包元数据管理等功能，通过安全可靠的软件仓库，实现软件包版本管理，提升发布质量和效率，实现产品的持续发布。了解更多 支持文件重命名、批量删除、批量恢复、页面上传和下载、文件名搜索等文件操作。 编译构建属性自动关联软件包，编译构建的产物自动归档到软件发布库。 支持构建服务一键归档、部署服务从发布库一键获取软件包。 支持Maven、npm、Go、PyPI、RPM、Debian等多种制品类型仓库，支持新建仓库、上传下载制品、搜索制品等能力。 流水线 提供可视化、可编排的CI/CD持续交付软件生产线，帮助企业快速转型实现DevOps持续交付高效自动化，缩短应用TTM（Time to Market）交付周期，提升研发效率。了解更多 流水线自定义编排：可根据用户使用场景的需要，对构建、代码检查、子流水线、部署、延时执行、人工审核、接口测试等多种类型的任务进行纳管和执行编排。 流水线可视化增删改查：提供图形化界面基础的流水线创建、编辑、删除和执行状态查看功能。其中，查看功能支持跳转到对应的自动化任务界面查看其日志等详情信息。 流水线权限管理：支持用户针对流水线任务设置指定账号的权限控制，权限基于账号所属角色-操作权限进行控制，包含基础的查看、编辑、执行、删除权限控制。 流水线历史执行记录：支持查看流水线最近31天的历史执行记录。 流水线消息通知：用户可根据需要设置事件类型的通知状态，包括是否发送服务动态和邮件通知。 流水线部分任务执行：根据用户需求，可选择流水线中的某一个或多个任务单独执行。 流水线执行参数配置：流水线支持自定义参数，在执行时由用户指定参数值，任务用指定值替换相应参数执行。 流水线串/并行执行配置：根据用户需求，可配置同一阶段内的任务串行执行或并行执行。 移动应用测试 提供移动兼容性测试服务。提供TOP流行机型、数百名测试专家，使用图像识别和精准控件识别技术，只需提供App/H5/快应用/小程序应用，便可生成兼容性测试报告（包含系统日志、截图、错误原因、CPU、内存等），自动完成测试任务。了解更多 提供丰富Android、iOS真机，全自动化测试，无需人工编写用例。 深度优化的遍历算法，可以测试安装、启动、崩溃、无响应等11大问题类型。 提供详尽在线测试报告，帮助用户快速定位修复问题。 CodeArts IDE Online CodeArts IDE Online是云端开发环境服务，向开发者提供按需配置、快速获取的工作空间（包含编辑器和运行环境），支持完成环境配置、代码阅读、编写代码、构建、运行、调试、预览等操作，并支持对接多种代码仓库。了解更多 依托云端的计算和存储资源，实现云化开发环境供给；基于全容器技术，可按用户所需配置启动并提供工作空间。 支持40多种语言的语法高亮，支持Java等语言的语法补齐，支持7种预置技术栈，无需复杂配置环境即可就位。 提供页面终端（WebTerminal）直接访问后端容器环境，支持线上构建（build）、运行（run）和调试（debug）。 对接Git仓库（CodeArts代码仓库或GitHub等），同时提供环境对接其他开放服务的通道。 提供基于黑白名单的访问控制能力，为企业租户提供掌控子用户行为的管理面。 Classroom 云上一站式软件学习与实践平台。了解更多 提供企业级的软件开发过程学习与实践。 支持填空式软件项目开发教学，实时反馈项目开发结果。 全程记录学生开发过程，智能分析学生软件能力短板。 一站式实训平台，支持全类型课程工程实训及百万级学生使用，提供30+精品课程，10+企业类实践课程，3000+习题支持秒级自动判题，覆盖6种开发语言课程打造国内首个教育知识点自动检测服务，支持10000+知识点检测云上实验室，提供教学所需的多场景通用型实训环境，分钟级生成作业查重及代码质量扫描人才信息化，支持学生工程能力认证。 开源镜像站 开源镜像站（Mirrors）是由华为云提供的开源组件、开源操作系统及开源DevOps工具镜像站，致力为用户提供全面、高速、可信的开源组件/OS/工具下载服务。了解更多 内容更全：为用户提供包括maven、npm、centos等70+开源组件镜像，覆盖7大主流开发语言，20+开源OS，40+开源工具。 高速下载：通过国外代理站点高速同步海外镜像源，并为注册用户提供全站CDN加速。 官方可信：与Maven中央仓、CentOS等多家海外官方源站进行合作与认证，为用户提供可信的组件下载来源。 如果您在使用CodeArts过程中所填写或上传的数据，可能有不确定的用户数据涉及敏感信息，为确保数据安全，请优先加密。

通用限制 表1 通用限制说明 指标 限制说明 浏览器 目前适配的主流浏览器类型包括： Chrome浏览器：支持最新的3个稳定版本 Firefox浏览器：支持最新的3个稳定版本 Microsoft Edge浏览器：Win10默认浏览器，支持最新的3个稳定版本 推荐使用Chrome、Firefox浏览器，效果会更好。 分辨率 推荐使用1920*1080及以上。 已支持的华为云区域 华北-北京四、华东-上海一、华南-广州、西南-贵阳一、东北-大连、华南-深圳 说明： 只支持默认区域，不支持通过统一身份认证服务（IAM）创建的项目（子区域）。 除了以上Region，CodeArts还支持“华北-北京一”与“华东-上海二”，但这两个区域已暂停新用户新购服务（详情请参见华北-北京一区域变更通知、华东上海二区域变更通知）。

接口调用流程 接口调用的流程为： 获取AK/SK认证 调用接口前，请获取请求认证，并将认证字段填充至下一步中的方法中，进行请示构建，实现请求的认证。 调用接口采用AK/SK认证方式。 AK/SK认证：通过AK（Access Key ID）/SK（Secret Access Key)加密调用请求。 通过API网关向下层服务发送请求时，必须使用AK(Access Key ID)、SK(Secret Access Key)对请求进行签名。 AK(Access Key ID)：访问密钥ID。与私有访问密钥关联的唯一标识符；访问密钥ID和私有访问密钥一起使用，对请求进行加密签名。 SK(Secret Access Key)：与访问密钥ID结合使用的密钥，对请求进行加密签名，可标识发送方，并防止请求被修改。 说明： 1、如何获取SDK请参考《使用APP认证调用API》；2、如何获取AK/SK请参考《AK/SK认证说明》 构造请求方法 填充请求参数构建请求方法。 发起请求 解析消息响应 父主题： 接口使用方法

SCP分类 SCP按照策略创建者可分为两类，分别是系统策略和自定义策略。 系统策略 华为云服务在组织预置了常用SCP，称为系统策略。组织管理员给组织单元或账号绑定SCP时，可以直接使用这些策略。系统策略只能使用，不能修改。如需查看所有云服务的华为云系统策略，请参见：SCP系统策略列表。 自定义策略 如果系统策略无法满足授权要求，管理账号可以根据各服务支持的授权项，自行创建和修改自定义策略。自定义策略是对系统策略的扩展和补充。目前Organizations云服务支持策略编辑器和JSON视图两种自定义策略配置方式。

权限控制原理 划定权限边界 SCP不直接进行授权，只划定权限边界。将SCP绑定到组织单元或者成员账号时，并没有直接对组织单元或成员账号授予操作权限，而是规定了成员账号或组织单元包含的成员账号的授权范围。IAM策略授予权限的有效性受SCP限制，只有在SCP允许范围内的权限才能生效。SCP禁止的权限操作，即便授予IAM用户权限，用户也不能执行相关操作。 比如成员账号A绑定了某一条SCP，SCP允许操作A的权限，拒绝操作B的权限。那么成员账号A可以给自己名下的IAM用户授予操作A的权限，不能授予操作B的权限，即便授予了操作B的权限，也无法生效。 交集有效 权限边界的叠加遵从交集有效准则，父OU的SCP与子OU（或账号）的SCP共同允许的权限，作为子OU的最终权限边界。 如下图所示，左侧的椭圆表示附加到父OU的SCP，它允许权限A、B和C。右侧椭圆表示子OU（或账号）绑定SCP允许的权限，子OU（或账号）允许权限C、D和E。由于附加到父OU的SCP不允许D或E，因此父OU下的所有子OU和账号都不能使用它们，即使子OU的SCP明确允许D和E，它们最终仍然会被父OU的SCP阻止。子OU（或账号）的SCP不允许A或B，因此， 子OU（或账号）将阻止这些权限。最终，子OU的权限是父OU权限和子OU（或账号）绑定SCP的权限交集，即下图中的权限C。 如果椭圆右侧是一个成员账号，则交集是授予该账号中的用户和用户组的最大权限集合。如果椭圆右侧是OU，则交集是该子OU可继承的最大权限集合。 图1 SCP原理图 筛选继承 组织单元或账号绑定的SCP包括两部分，直接绑定的策略和继承的策略。某组织单元绑定的SCP，会继承给该组织单元下的所有子级OU和账号。账号和组织单元的权限边界，由所有上级OU的SCP和自身直接绑定的SCP共同决定。如下图所示，Account y隶属于OU3，Account y的权限边界是由继承自Root，OU1和OU3的SCP与Account y绑定的SCP共同决定。 图2 SCP继承规则 如果要在成员账号级别允许使用某个云服务的操作，则必须在账号和根组织单元之间的每个层级上允许该操作。这意味着，必须在根组织单元和账号之间的每个层级，附加允许该操作的SCP。您可以使用下列任一策略执行此操作： 添加拒绝策略。拒绝策略会使用默认附加到每个OU和账号上的FullAccess SCP。此SCP将覆盖默认的隐式Deny，并明确允许所有权限从根组织单元传递到每个账号，除非创建并附加到相应OU或账号的其他SCP明确了拒绝权限。策略中的显式Deny始终优先于Allow。具有拒绝策略的OU层级以下的任何账号都不能使用被拒绝的操作，也无法在组织结构中较低的层级中添加该权限。 添加允许策略。添加允许策略并删除默认附加到每个OU和账号的FullAccess SCP后，除非策略中明确允许，否则任何OU和账号都不允许任何操作权限。要允许使用某个云服务的操作，必须创建SCP并将它们附加到账号及其层级之上的每个OU，直至附加到根组织单元为止（包括根组织单元）。层次结构中的每个SCP（从根组织单元开始）必须明确允许在OU及其下面的账号中使用该操作。SCP中的显式Allow会覆盖隐式Deny。 拒绝优先 当组织单元和账号绑定多条SCP时，账号权限优先遵从拒绝语句。比如成员账号A同时绑定了两条SCP，分别是允许全部操作和禁止查看账单操作。此时执行查看账单操作，鉴权规则会优先遵从拒绝操作，即成员账号A不能查看账单。详细说明请参考显式拒绝和隐式拒绝的区别。 默认允许 组织启用SCP时，默认会为所有OU和账号附加全部权限（FullAccess策略），默认允许所有操作。除非您为OU或账号附加其他的明确拒绝策略。

显式拒绝和隐式拒绝的区别 Effect（效果）包含两种：Allow（允许）和Deny（拒绝），分别表示允许或拒绝执行某操作的权限。 当没有策略设置权限为Allow和Deny时，默认情况即为Deny权限，称为隐式拒绝。当有策略授权Allow权限，且没有其他策略Deny该权限时，Allow的权限才能生效。 如果策略设置权限为Deny，则为显式拒绝。显式的Deny始终优先于Allow。例如，父OU的SCP，它允许权限A、B和C，但是子OU的SCP允许权限A、B，拒绝权限C，则该子OU的账号以及以下层级的账号，均无法使用权限C。 用户在发起访问请求时，鉴权规则如下： 图3 系统鉴权逻辑图 用户发起访问请求。 系统优先寻找Deny指令。如果找到一个适用的Deny指令，系统将返回Deny决定。 如果没有找到Deny指令，系统将寻找适用于请求的任何Allow指令。如果找到一个Allow指令，系统将返回Allow决定。 如果找不到Allow指令，最终决定为Deny，鉴权结束。

服务关联委托 Organizations使用IAM服务的委托信任功能，使可信服务能够在您组织的成员账号中代表您执行任务。当您启用某个服务为可信服务时，该服务可以请求Organizations在其成员账号中创建服务关联委托，可信服务按需异步执行此操作。此服务关联委托具有预定义的IAM权限，允许可信服务在成员账号中拥有执行可信服务文档中所述任务的权限，相当于云服务能力在多账号组织场景下的拓展。当前支持的可信服务及其功能简介请参见：已对接组织的可信服务。 当您在组织中创建账号或邀请现有账号加入组织时，Organizations会在成员账号内创建服务关联委托，该委托是云服务委托，委托权限为“OrganizationsServiceLinkedAgencyPolicy”系统权限，授权范围为所有资源。仅Organizations服务本身可以承担此委托，该委托具有允许Organizations为其他云服务创建服务关联委托的权限。 Organizations的SCP不会影响服务关联委托，使用服务关联委托执行的任何操作将免受SCP限制。

什么是可信服务 可信服务是指可与Organizations服务集成，提供组织级相关能力的华为云服务。管理账号可以在组织中开启某个云服务为可信服务。成为可信服务后，云服务可以获取组织中的组织单元及成员账号信息，并基于此信息提供组织级的管理能力。例如，开启CTS云审计为可信服务后，CTS可以获取组织单元及成员账号信息，统一为整个组织提供云审计服务，记录组织中所有账号的操作。能与组织搭配使用的云服务列表参见：已对接组织的云服务列表。

操作步骤 以组织管理员或管理账号的身份登录华为云，进入华为云Organizations控制台。 在组织中启用标签策略。 创建标签策略。 首次使用建议创建一个简单的标签策略，例如： 定义标签键为“ABC”。 使用标签键的大小写形式来定义合规性，也就是说为资源添加的标签的键为“ABC”则符合规范，添加“abc”、“Abc”等其他大小写形式的标签则为不合规，标签策略将阻止不合规标签的添加操作。 添加执行标签策略的资源类型，例如云监控服务的告警规则（ces:alarm），表示此标签策略仅对组织成员账号这一资源类型生效。当前支持标签策略的云服务和资源类型请参见：支持标签策略的云服务。 当您为此资源添加不合规的标签时，标签策略将阻止此操作，您必须将标签修改至符合标签策略规范才可以添加成功。 图1 创建标签策略 将创建的标签策略绑定至一个资源较少的可用于测试的成员账号中，具体请参见绑定标签策略。 图2 绑定标签策略 使用此成员账号登录华为云，进入云监控服务控制台，创建告警规则并为其添加标签，验证标签策略是否生效。 为告警规则添加标签“ABC”，标签添加成功。 为告警规则添加标签“abc”，界面提示此标签校验不合规，需修改后再次提交，表示标签策略已生效且验证无误。 图3 添加不合规标签 当您在创建资源时添加不合规的标签，标签策略将阻止标签添加操作，同时资源也无法创建成功； 当您为已创建的资源添加不合规标签时，标签策略仅会阻止标签添加操作，不会对资源产生影响。

通过委托登录创建的账号 鼠标移动至右上方的用户名，选择“切换角色”。 图3 切换角色 在“切换角色”页面中，输入创建的账号名称。 图4 输入创建的账号名称 输入账号名称后，系统将会按照顺序自动匹配创建账号时输入的委托名称。匹配的委托名称中，也会出现以cbc_开头的委托名称，该委托主要用于企业主账号对企业费用的统一管理，对子账号进行委托授权。需要选用创建账号时输入的委托名称。 单击“确定”，切换至创建的新账号中。

创建账号 以组织管理员或管理账号的身份登录华为云，进入华为云Organizations控制台，进入组织管理页面。 单击组织结构树上方的“添加”，单击“添加账号”。 图1 添加账号 在弹窗中，选择“创建新账号”。 输入账号名称和手机号。注意，创建的账号名称不能与已有账号名称重复。 系统会默认提供委托名，可以保持默认，或者进行自定义修改。 图2 新建账号 （可选）为账号添加标签。 标签以键值对的形式表示，用于标识账号，便于对账号进行分类和搜索。一个账号最多添加20个标签。 标签的设置说明如表1所示。 表1 标签说明 参数 说明 举例 键 输入标签的键，同一个账号标签的键不能重复。键可以自定义，也可以选择预先在标签管理服务（TMS）创建好的标签的键。 键命名规则如下： 不能为空。 长度为1~128个字符。 由英文字母、数字、下划线、中划线、UNICODE字符（\u4E00-\u9FFF）组成。 Key_0001 值 输入标签的值，标签的值可以重复，并且可以为空。 标签值的命名规则如下： 可以为空。 长度为1~225个字符。 由英文字母、数字、下划线、点、中划线、UNICODE字符（\u4E00-\u9FFF）组成。 Value_0001 单击“确定”，创建成功的账号将会显示在列表中。

操作步骤 为SCP自定义策略和标签策略添加标签的方法类似，以SCP为例，说明添加标签的方法。 以组织管理员或管理账号的身份登录华为云，进入华为云Organizations控制台。 进入策略管理页，单击“服务控制策略”，进入SCP管理页。 在列表中单击自定义策略的名称，进入策略详情页。 图1 进入策略详情 选择“标签”页签，单击“添加”。 图2 策略添加标签 在弹窗中输入标签键和标签值， 单击“添加”，然后单击“确定”，完成策略的标签添加。

操作步骤 修改SCP自定义策略和标签策略标签的方法类似，以SCP为例，说明修改标签的方法。 以组织管理员或管理账号的身份登录华为云，进入华为云Organizations控制台。 进入策略管理页，单击服务控制策略，进入SCP管理页。 在列表中单击自定义策略的名称，进入策略详情页。 图1 进入策略详情 选择标签页签，单击要修改标签操作列的“编辑”。 在弹窗中输入修改后标签值， 单击“确定”，完成策略的标签修改。

操作（Action） 操作（Action）即为SCP中支持的授权项。 “访问级别”列描述如何对操作进行分类（list、read和write等）。此分类可帮助您了解在SCP中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。 资源类型支持通配符号*表示所有。如果此列没有值（-），则必须在SCP语句的Resource元素中指定所有资源类型（“*”）。 如果该列包含资源类型，则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号（*）标识，表示使用此操作必须指定该资源类型。 关于CodeArts控制台定义的资源类型的详细信息请参见资源类型（Resource）。 “条件键”列包括了可以在SCP语句的Condition元素中支持指定的键值。 如果该授权项资源类型列存在值，则表示条件键仅对列举的资源类型生效。 如果该授权项资源类型列没有值（-），则表示条件键对整个授权项生效。 如果此列条件键没有值（-），表示此操作不支持指定条件键。 关于CodeArts控制台定义的条件键的详细信息请参见条件（Condition）。 您可以在SCP语句的Action元素中指定以下CodeArts控制台的相关操作。 表1 CodeArts控制台支持的授权项 授权项 描述 访问级别 资源类型（*为必须） 条件键 codearts:projectman:viewUsage 授予权限以在控制台查询项目管理服务资源用量。 read - - codearts:codehub:viewUsage 授予权限以在控制台查询代码托管服务资源用量。 read - - codearts:cloudbuild:viewUsage 授予权限以在控制台查询编译构建服务资源用量。 read - - codearts:codecheck:viewUsage 授予权限以在控制台查询代码检查服务资源用量。 read - - codearts:cloudtest:viewUsage 授予权限以在控制台查询云测-测试管理服务资源用量。 read - - codearts:apitest:viewUsage 授予权限以在控制台查询云测-接口测试服务资源用量。 read - - codearts:cloudrelease:viewUsage 授予权限以在控制台查询发布服务资源用量。 read - - codearts:cloudide:viewUsage 授予权限以在控制台查询CloudIDE服务资源用量。 read - - codearts:classroom:viewUsage 授予权限以在控制台查询Classroom服务资源用量。 read - - codearts:monthlyPackage:changeSpecification 授予权限以在控制台变更软件开发平台套餐规格。 write - - codearts:monthlyPackage:subscribe 授予权限以在控制台订购软件开发平台套餐。 write - - codearts:projectman:subscribeService 授予权限以在控制台开通按需项目管理服务。 write - - codearts:codehub:subscribeService 授予权限以在控制台开通按需代码托管服务。 write - - codearts:cloudbuild:subscribeService 授予权限以在控制台开通按需编译构建服务。 write - - codearts:codecheck:subscribeService 授予权限以在控制台开通按需代码检查服务。 write - - codearts:cloudtest:subscribeService 授予权限以在控制台开通按需云测-测试管理服务。 write - - codearts:apitest:subscribeService 授予权限以在控制台开通按需云测-接口测试服务。 write - - codearts:cloudrelease:subscribeService 授予权限以在控制台开通按需发布服务。 write - - codearts:package:subscribeService 授予权限以在控制台开通按需服务组合。 write - - codearts:cloudide:subscribeService 授予权限以在控制台开通按需CloudIDE服务。 write - - codearts:classroom:subscribeService 授予权限以在控制台开通按需Classroom服务。 write - - codearts:projectman:unsubscribeService 授予权限以在控制台取消开通按需项目管理服务。 write - - codearts:codehub:unsubscribeService 授予权限以在控制台取消开通按需代码托管服务。 write - - codearts:cloudbuild:unsubscribeService 授予权限以在控制台取消开通按需编译构建服务。 write - - codearts:codecheck:unsubscribeService 授予权限以在控制台取消开通按需代码检查服务。 write - - codearts:cloudtest:unsubscribeService 授予权限以在控制台取消开通按需云测-测试管理服务。 write - - codearts:apitest:unsubscribeService 授予权限以在控制台取消开通按需云测-接口测试服务。 write - - codearts:cloudrelease:unsubscribeService 授予权限以在控制台取消开通按需发布服务。 write - - codearts:package:unsubscribeService 授予权限以在控制台取消开通按需服务组合。 write - - codearts:cloudide:unsubscribeService 授予权限以在控制台取消开通按需CloudIDE服务。 write - - codearts:classroom:unsubscribeService 授予权限以在控制台取消开通按需Classroom服务。 write - - codearts:authorization:list 授予权限以在控制台查看租户授权列表。 list - - codearts:payPerUsePackage:listResourceDetail 授予权限以在控制台查看按需套餐包资源详情。 list - - codearts:monthlyPackage:listResourceDetail 授予权限以在控制台查看软件开发平台套餐资源详情。 list - - codearts:projectman:listResourceDetail 授予权限以在控制台查看项目管理资源列表详情。 list - - codearts:codehub:listResourceDetail 授予权限以在控制台查看仓库托管资源列表详情。 list - - codearts:cloudbuild:listResourceDetail 授予权限以在控制台查看构建资源列表详情。 list - - codearts:codecheck:listResourceDetail 授予权限以在控制台查看代码检查资源列表详情。 list - - codearts:cloudtest:listResourceDetail 授予权限以在控制台查看云测-测试管理资源列表详情。 list - - codearts:cloudrelease:listResourceDetail 授予权限以在控制台查看发布资源列表详情。 list - - codearts:cloudide:listResourceDetail 授予权限以在控制台查看CloudIDE资源列表详情。 list - - codearts:classroom:listResourceDetail 授予权限以在控制台查看Classroom资源列表详情。 list - - codearts:agileDevopsTrainingServices:listResourceDetail 授予权限以在控制台查看敏捷与DevOps培训服务资源列表详情。 list - - codearts:projectman:listSubscriptionHistory 授予权限以在控制台查看项目管理服务开通记录。 list - - codearts:codehub:listSubscriptionHistory 授予权限以在控制台查看代码托管服务开通记录。 list - - codearts:cloudbuild:listSubscriptionHistory 授予权限以在控制台查看编译构建服务开通记录。 list - - codearts:codecheck:listSubscriptionHistory 授予权限以在控制台查看代码检查服务开通记录。 list - - codearts:cloudtest:listSubscriptionHistory 授予权限以在控制台查看云测-测试管理服务开通记录。 list - - codearts:apitest:listSubscriptionHistory 授予权限以在控制台查看云测-接口测试服务开通记录。 list - - codearts:cloudrelease:listSubscriptionHistory 授予权限以在控制台查看发布服务开通记录。 list - - codearts:package:listSubscriptionHistory 授予权限以在控制台查看按需服务组合开通记录。 list - - codearts:cloudide:listSubscriptionHistory 授予权限以在控制台查看CloudIDE服务开通记录。 list - - codearts:classroom:listSubscriptionHistory 授予权限以在控制台查看Classroom服务开通记录。 list - - codearts:authorization:create 授予权限以在控制台新增企业账户授权。 permissions - - codearts:authorization:cancel 授予权限以在控制台取消企业账户授权。 permissions - - codearts:authorization:update 授予权限以在控制台同意或拒绝企业账户授权。 permissions - -

操作（Action） 操作（Action）即为SCP中支持的操作项。 “访问级别”列描述如何对操作进行分类（list、read和write等）。此分类可帮助您了解在SCP中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。 资源类型支持通配符号*表示所有。如果此列没有值（-），则必须在SCP语句的Resource元素中指定所有资源类型（“*”）。 如果该列包含资源类型，则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号（*）标识，表示使用此操作必须指定该资源类型。 关于CodeartsPipeline定义的资源类型的详细信息请参见资源类型（Resource）。 “条件键”列包括了可以在SCP语句的Condition元素中支持指定的键值。 如果该操作项资源类型列存在值，则表示条件键仅对列举的资源类型生效。 如果该操作项资源类型列没有值（-），则表示条件键对整个操作项生效。 如果此列没有值（-），表示此操作不支持指定条件键。 关于CodeartsPipeline定义的条件键的详细信息请参见条件（Condition）。 您可以在自定义SCP语句的Action元素中指定以下CodeartsPipeline的相关操作。 表1 CodeartsPipeline支持的操作项 操作项 描述 访问级别 资源类型（*为必须） 条件键 codeartspipeline:pipelinetemplate:create 授予权限以创建流水线模板。 write - - codeartspipeline:pipelinetemplate:update 授予权限以更新流水线模板。 write - - codeartspipeline:pipelinetemplate:delete 授予权限以删除流水线模板。 write - - codeartspipeline:pipelinetemplate:get 授予权限以查看流水线模板。 read - - codeartspipeline:pipelinetemplate:list 授予权限以查看流水线模板列表。 list - - codeartspipeline:rule:create 授予权限以创建规则。 write - - codeartspipeline:rule:update 授予权限以更新规则。 write - - codeartspipeline:rule:delete 授予权限以删除规则。 write - - codeartspipeline:rule:get 授予权限以查看规则。 read - - codeartspipeline:rule:list 授予权限以查看规则列表。 list - - codeartspipeline:strategy:create 授予权限以创建策略。 write - - codeartspipeline:strategy:update 授予权限以更新策略。 write - - codeartspipeline:strategy:delete 授予权限以删除策略。 write - - codeartspipeline:strategy:get 授予权限以查看策略。 read - - codeartspipeline:strategy:list 授予权限以查看策略列表。 list - - codeartspipeline:extension:create 授予权限以创建插件。 write - - codeartspipeline:extension:update 授予权限以更新插件。 write - - codeartspipeline:extension:delete 授予权限以删除插件。 write - - codeartspipeline:extension:get 授予权限以查看插件。 read - - codeartspipeline:extension:list 授予权限以查看插件列表。 list - - CodeartsPipeline的API通常对应着一个或多个操作项。表2展示了API与操作项的关系，以及该API需要依赖的操作项。 表2 API与操作项的关系 API 对应的操作项 依赖的操作项 POST /v5/{tenant_id}/api/pipeline-templates codeartspipeline:pipelinetemplate:create - PUT /v5/{tenant_id}/api/pipeline-templates/{template_id} codeartspipeline:pipelinetemplate:update - DELETE /v5/{tenant_id}/api/pipeline-templates/{template_id} codeartspipeline:pipelinetemplate:delete - GET /v5/{tenant_id}/api/pipeline-templates/{template_id} codeartspipeline:pipelinetemplate:get - POST /v5/{tenant_id}/api/pipeline-templates/list codeartspipeline:pipelinetemplate:list - POST /v2/{domain_id}/rules/create codeartspipeline:rule:create - PUT /v2/{domain_id}/rules/{rule_id}/update codeartspipeline:rule:update - DELETE /v2/{domain_id}/rules/{rule_id}/delete codeartspipeline:rule:delete - GET /v2/{domain_id}/rules/{rule_id}/detail codeartspipeline:rule:get - GET /v2/{domain_id}/rules/query codeartspipeline:rule:list - POST /v2/{domain_id}/tenant/rule-sets/create codeartspipeline:strategy:create - PUT /v2/{domain_id}/tenant/rule-sets/{rule_set_id}/update codeartspipeline:strategy:update - DELETE /v2/{domain_id}/tenant/rule-sets/{rule_set_id}/delete codeartspipeline:strategy:delete - GET /v2/{domain_id}/tenant/rule-sets/{rule_set_id}/detail codeartspipeline:strategy:get - GET /v2/{project_id}/rule-sets/{rule_set_id}/gray/detail codeartspipeline:strategy:get - GET /v2/{domain_id}/tenant/rule-sets/query codeartspipeline:strategy:list - GET /v2/{project_id}/rule-sets/query codeartspipeline:strategy:list - PUT /v2/{domain_id}/tenant/rule-sets/{rule_set_id}/switch codeartspipeline:strategy:update - POST /v1/{domain_id}/agent-plugin/create codeartspipeline:extension:create - POST /v1/{domain_id}/agent-plugin/create-draft codeartspipeline:extension:create - POST /v1/{domain_id}/publisher/create codeartspipeline:extension:create - POST /v1/{domain_id}/agent-plugin/edit-draft codeartspipeline:extension:update - POST /v1/{domain_id}/agent-plugin/publish-draft codeartspipeline:extension:update - POST /v1/{domain_id}/agent-plugin/update-info codeartspipeline:extension:update - POST /v1/{domain_id}/agent-plugin/publish-plugin-bind codeartspipeline:extension:update - POST /v1/{domain_id}/agent-plugin/publish-plugin codeartspipeline:extension:update - POST /v1/{domain_id}/common/upload-plugin-icon codeartspipeline:extension:update - POST /v1/{domain_id}/common/upload-publisher-icon codeartspipeline:extension:update - DELETE /v1/{domain_id}/agent-plugin/delete-draft codeartspipeline:extension:delete - GET /v1/{domain_id}/publisher/query-all codeartspipeline:extension:list - GET /v1/{domain_id}/publisher/optional-publisher codeartspipeline:extension:list - POST /v1/{domain_id}/relation/stage-plugins codeartspipeline:extension:list - GET /v1/{domain_id}/relation/plugin/single codeartspipeline:extension:list - POST /v1/{domain_id}/agent-plugin/query-all codeartspipeline:extension:list - POST /v1/{domain_id}/agent-plugin/plugin-metrics codeartspipeline:extension:get - POST /v1/{domain_id}/agent-plugin/plugin-input codeartspipeline:extension:get - POST /v1/{domain_id}/agent-plugin/plugin-output codeartspipeline:extension:get - GET /v1/{domain_id}/agent-plugin/query codeartspipeline:extension:list - GET /v1/{domain_id}/agent-plugin/detail codeartspipeline:extension:get - GET /v1/{domain_id}/agent-plugin/all-version codeartspipeline:extension:list - DELETE /v1/{domain_id}/publisher/delete codeartspipeline:extension:delete - POST /v1/{domain_id}/publisher/detail codeartspipeline:extension:get - POST /v3/{domain_id}/extension/info/add codeartspipeline:extension:create - POST /v3/{domain_id}/extension/info/update codeartspipeline:extension:update - DELETE /v3/{domain_id}/extension/info/delete codeartspipeline:extension:delete - POST /v3/{domain_id}/extension/upload codeartspipeline:extension:update - GET /v3/{domain_id}/extension/detail codeartspipeline:extension:get - POST /v1/{domain_id}/relation/plugins codeartspipeline:extension:list -