创建组织合规规则 - CreateOrganizationPolicyAssignment

功能介绍

创建组织合规规则，如果规则名称已存在，则为更新操作。

调用方法

请参见如何调用API。

授权信息

账号具备所有API的调用权限，如果使用账号下的IAM用户调用当前API，该IAM用户需具备调用API所需的权限。

如果使用角色与策略授权，具体权限要求请参见权限和授权项。

如果使用身份策略授权，需具备如下身份策略权限。

授权项	访问级别	资源类型（*为必须）	条件键	别名	依赖的授权项
rms:organizationPolicyAssignments:put	Write	-	-	-	organizations:organizations:get organizations:accounts:list organizations:delegatedAdministrators:list organizations:trustedServices:enable organizations:trustedServices:list

URI

PUT /v1/resource-manager/organizations/{organization_id}/policy-assignments

表1 路径参数
参数	是否必选	参数类型	描述
organization_id	是	String	参数解释：组织ID。约束限制：不涉及取值范围：只能由英文字母、数字及“-”组成，且长度为[8~34]个字符默认取值：不涉及最大长度：34

请求参数

表2 请求Header参数
参数	是否必选	参数类型	描述
X-Security-Token	否	String	参数解释：如果正在使用临时安全凭据，则此header是必需的，该值是临时安全凭据的安全令牌（会话令牌）。约束限制：不涉及取值范围：不涉及默认取值：不涉及

表3 请求Body参数
参数	是否必选	参数类型	描述
excluded_accounts	否	Array of strings	参数解释：需要排除配置规则的账号。约束限制：不涉及取值范围：账号ID只能由英文字母、数字组成，且长度为[1~32]个字符默认取值：不涉及最大长度：32
organization_policy_assignment_name	是	String	参数解释：组织合规规则名称。约束限制：不涉及取值范围：长度为[1~252]个字符默认取值：不涉及最大长度：252
managed_policy_assignment_metadata	否	ManagedPolicyAssignmentMetadata object	参数解释：托管规则元数据。约束限制：不涉及
custom_policy_assignment_metadata	否	CustomPolicyAssignmentMetadata object	参数解释：自定义规则元数据约束限制：不涉及

表4 ManagedPolicyAssignmentMetadata
参数	是否必选	参数类型	描述
description	否	String	参数解释：规则描述。约束限制：不涉及取值范围：长度为[1~512]个字符默认取值：不涉及最大长度：512
period	否	String	参数解释：触发周期。约束限制：不涉及取值范围： One_Hour：1小时 Three_Hours：3小时 Six_Hours：6小时 Twelve_Hours：12小时 TwentyFour_Hours：24小时默认取值：不涉及
parameters	否	Map<String,PolicyParameterValue>	参数解释：输入参数。约束限制：不涉及
policy_filter	否	PolicyFilterDefinition object	参数解释：合规规则仅评估满足以下条件的资源，该字段已不推荐使用，推荐使用PolicyFilterDefinitionV2字段。约束限制： PolicyFilterDefinition与PolicyFilterDefinitionV2字段互斥，不允许同时传参。默认取值：不涉及
policy_filter_v2	否	PolicyFilterDefinitionV2 object	参数解释：合规规则仅评估满足以下条件的资源，与PolicyFilterDefinition字段相比，支持更灵活的资源过滤条件。约束限制： PolicyFilterDefinition与PolicyFilterDefinitionV2字段互斥，不允许同时传参。默认取值：不涉及
policy_definition_id	是	String	参数解释：预定义策略标识符。约束限制：不涉及取值范围：只能由英文字母、数字及“_”、“-”组成，且长度为[1~36]个字符默认取值：不涉及最大长度：36

表5 CustomPolicyAssignmentMetadata
参数	是否必选	参数类型	描述
description	否	String	参数解释：云服务名称约束限制：不涉及取值范围：长度为[0~512]个字符默认取值：不涉及最大长度：512
period	否	String	参数解释：触发周期。约束限制：不涉及取值范围： One_Hour：1小时 Three_Hours：3小时 Six_Hours：6小时 Twelve_Hours：12小时 TwentyFour_Hours：24小时默认取值：不涉及
parameters	否	Map<String,PolicyParameterValue>	参数解释：输入参数约束限制：不涉及
policy_filter	否	PolicyFilterDefinition object	参数解释：合规规则仅评估满足以下条件的资源，该字段已不推荐使用，推荐使用PolicyFilterDefinitionV2字段。约束限制： PolicyFilterDefinition与PolicyFilterDefinitionV2字段互斥，不允许同时传参。默认取值：不涉及
policy_filter_v2	否	PolicyFilterDefinitionV2 object	参数解释：合规规则仅评估满足以下条件的资源，与PolicyFilterDefinition字段相比，支持更灵活的资源过滤条件。约束限制： PolicyFilterDefinition与PolicyFilterDefinitionV2字段互斥，不允许同时传参。默认取值：不涉及
function_urn	是	String	参数解释：自定义函数的urn 约束限制：不涉及取值范围：长度为[0~1024]个字符默认取值：不涉及最大长度：1024

表6 PolicyParameterValue
参数	是否必选	参数类型	描述
value	否	Object	参数解释：规则参数值。约束限制：不涉及

表7 PolicyFilterDefinition
参数	是否必选	参数类型	描述
region_id	否	String	参数解释：区域ID。约束限制：不涉及取值范围：长度为[1~128]个字符。默认取值：不涉及最大长度：128
resource_provider	否	String	参数解释：云服务名称。约束限制：不涉及取值范围：长度为[1~128]个字符。默认取值：不涉及最大长度：128
resource_type	否	String	参数解释：资源类型。约束限制：不涉及取值范围：长度为[1~128]个字符。默认取值：不涉及最大长度：128
resource_id	否	String	参数解释：资源ID。约束限制：不涉及取值范围：长度为[1~512]个字符。默认取值：不涉及最大长度：512
tag_key	否	String	参数解释：标签键。约束限制：不涉及取值范围：长度为[1~128]个字符。默认取值：不涉及最大长度：128
tag_value	否	String	参数解释：标签值。约束限制：不涉及取值范围：长度为[1~256]个字符。默认取值：不涉及最大长度：256

表8 PolicyFilterDefinitionV2
参数	是否必选	参数类型	描述
region_ids	否	Array of strings	参数解释：区域ID列表约束限制：不涉及
resource_types	否	Array of strings	参数解释：云服务列表约束限制：不涉及
resource_ids	否	Array of strings	参数解释：资源ID列表约束限制：不涉及
tag_key_logic	否	String	参数解释：参数tags的取值逻辑，例如tags设置了a:a和b:b，当取值AND时，表示规则仅对同时绑定了a:a和b:b的资源生效；当取值为OR时，表示规则对任何绑定了a:a或b:b的资源生效。约束限制：不涉及取值范围： AND：与 OR：或默认取值： OR 缺省值：OR
tags	否	Array of FilterTagDetail objects	参数解释：生效标签列表约束限制：不涉及
exclude_tag_key_logic	否	String	参数解释：参数exclude_tags的取值逻辑，例如exclude_tags设置了a:a和b:b，当取值AND时，表示规则仅对同时绑定了a:a和b:b的资源生效；当取值为OR时，表示规则对任何绑定了a:a或b:b的资源生效。约束限制：不涉及取值范围： AND：与 OR：或默认取值： OR 缺省值：OR
exclude_tags	否	Array of FilterTagDetail objects	参数解释：排除标签列表，排除标签列表比生效标签列表有更高的优先级约束限制：不涉及

表9 FilterTagDetail
参数	是否必选	参数类型	描述
key	否	String	参数解释：标签key 约束限制：不涉及取值范围：不涉及默认取值：不涉及
values	否	Array of strings	参数解释：标签值列表约束限制：不涉及

响应参数

状态码：200

**表10** 响应Body参数
参数	参数类型	描述
owner_id	String	参数解释：组织合规规则创建者。取值范围：不涉及
organization_id	String	参数解释：组织ID。取值范围：不涉及
organization_policy_assignment_urn	String	参数解释：组织合规规则资源唯一标识。取值范围：不涉及
organization_policy_assignment_id	String	参数解释：组织合规规则ID。取值范围：不涉及
organization_policy_assignment_name	String	参数解释：组织合规规则名称。取值范围：不涉及
description	String	参数解释：描述信息。取值范围：不涉及
period	String	参数解释：触发周期。取值范围：不涉及
policy_filter	PolicyFilterDefinition object	参数解释：合规规则仅评估满足以下条件的资源，该字段已不推荐使用，推荐使用PolicyFilterDefinitionV2字段。约束限制： PolicyFilterDefinition与PolicyFilterDefinitionV2字段互斥，不允许同时传参。默认取值：不涉及
policy_filter_v2	PolicyFilterDefinitionV2 object	参数解释：合规规则仅评估满足以下条件的资源，与PolicyFilterDefinition字段相比，支持更灵活的资源过滤条件。约束限制： PolicyFilterDefinition与PolicyFilterDefinitionV2字段互斥，不允许同时传参。默认取值：不涉及
parameters	Map<String,PolicyParameterValue>	参数解释：规则参数。
policy_definition_id	String	参数解释：策略ID。取值范围：不涉及
created_at	String	参数解释：创建时间。取值范围：不涉及
updated_at	String	参数解释：更新时间。取值范围：不涉及

**表11** PolicyFilterDefinition
参数	参数类型	描述
region_id	String	参数解释：区域ID。约束限制：不涉及取值范围：长度为[1~128]个字符。默认取值：不涉及最大长度：128
resource_provider	String	参数解释：云服务名称。约束限制：不涉及取值范围：长度为[1~128]个字符。默认取值：不涉及最大长度：128
resource_type	String	参数解释：资源类型。约束限制：不涉及取值范围：长度为[1~128]个字符。默认取值：不涉及最大长度：128
resource_id	String	参数解释：资源ID。约束限制：不涉及取值范围：长度为[1~512]个字符。默认取值：不涉及最大长度：512
tag_key	String	参数解释：标签键。约束限制：不涉及取值范围：长度为[1~128]个字符。默认取值：不涉及最大长度：128
tag_value	String	参数解释：标签值。约束限制：不涉及取值范围：长度为[1~256]个字符。默认取值：不涉及最大长度：256

**表12** PolicyFilterDefinitionV2
参数	参数类型	描述
region_ids	Array of strings	参数解释：区域ID列表约束限制：不涉及
resource_types	Array of strings	参数解释：云服务列表约束限制：不涉及
resource_ids	Array of strings	参数解释：资源ID列表约束限制：不涉及
tag_key_logic	String	参数解释：参数tags的取值逻辑，例如tags设置了a:a和b:b，当取值AND时，表示规则仅对同时绑定了a:a和b:b的资源生效；当取值为OR时，表示规则对任何绑定了a:a或b:b的资源生效。约束限制：不涉及取值范围： AND：与 OR：或默认取值： OR 缺省值：OR
tags	Array of FilterTagDetail objects	参数解释：生效标签列表约束限制：不涉及
exclude_tag_key_logic	String	参数解释：参数exclude_tags的取值逻辑，例如exclude_tags设置了a:a和b:b，当取值AND时，表示规则仅对同时绑定了a:a和b:b的资源生效；当取值为OR时，表示规则对任何绑定了a:a或b:b的资源生效。约束限制：不涉及取值范围： AND：与 OR：或默认取值： OR 缺省值：OR
exclude_tags	Array of FilterTagDetail objects	参数解释：排除标签列表，排除标签列表比生效标签列表有更高的优先级约束限制：不涉及

**表13** FilterTagDetail
参数	参数类型	描述
key	String	参数解释：标签key 约束限制：不涉及取值范围：不涉及默认取值：不涉及
values	Array of strings	参数解释：标签值列表约束限制：不涉及

**表14** PolicyParameterValue
参数	参数类型	描述
value	Object	参数解释：规则参数值。约束限制：不涉及

状态码：400

**表15** 响应Body参数
参数	参数类型	描述
error_code	String	参数解释：错误码。取值范围：不涉及
error_msg	String	参数解释：错误消息内容。取值范围：不涉及

状态码：403

**表16** 响应Body参数
参数	参数类型	描述
error_code	String	参数解释：错误码。取值范围：不涉及
error_msg	String	参数解释：错误消息内容。取值范围：不涉及

状态码：500

**表17** 响应Body参数
参数	参数类型	描述
error_code	String	参数解释：错误码。取值范围：不涉及
error_msg	String	参数解释：错误消息内容。取值范围：不涉及

请求示例

创建一个名为“allowed-images-by-id”的组织合规规则。

PUT https://{endpoint}/v1/resource-manager/organizations/{organization_id}/policy-assignments

{
  "organization_policy_assignment_name" : "allowed-images-by-id",
  "managed_policy_assignment_metadata" : {
    "description" : "The ECS resource is non-compliant if the image it used is not in the allowed list.",
    "parameters" : {
      "listOfAllowedImages" : {
        "value" : [ "ea0d6e0e-99c3-406d-a873-3bb45462b624" ]
      }
    },
    "policy_filter" : {
      "resource_provider" : "ecs",
      "resource_type" : "cloudservers"
    },
    "policy_definition_id" : "5fa265c0aa1e6afc05a0ff07"
  }
}

响应示例

状态码：200

操作成功。

{
  "owner_id" : "e74e043fab784a45ad88f5ef6a4bcffc",
  "organization_id" : "o-doxbpkzqsdd51ti1k27w2y8fitakrknp",
  "organization_policy_assignment_urn" : "rms::e74e043fab784a45ad88f5ef6a4bcffc:organizationPolicyAssignment:o-doxbpkzqsdd51ti1k27w2y8fitakrknp/d02b7fa9d5a74e638c1402d0868f71fd",
  "organization_policy_assignment_id" : "d02b7fa9d5a74e638c1402d0868f71fd",
  "organization_policy_assignment_name" : "allowed-images-by-id",
  "description" : "The ECS resource is non-compliant if the image it used is not in the allowed list.",
  "period" : null,
  "policy_filter" : {
    "region_id" : null,
    "resource_provider" : "evs",
    "resource_type" : "volumes",
    "resource_id" : null,
    "tag_key" : null,
    "tag_value" : null
  },
  "policy_definition_id" : "5fa265c0aa1e6afc05a0ff07",
  "parameters" : { },
  "created_at" : "2022-01-18T06:37:54.432Z",
  "updated_at" : "2022-01-18T06:37:54.432Z"
}

SDK代码示例

SDK代码示例如下。

创建一个名为“allowed-images-by-id”的组织合规规则。

     package com.huaweicloud.sdk.test;

import com.huaweicloud.sdk.core.auth.ICredential;
import com.huaweicloud.sdk.core.auth.GlobalCredentials;
import com.huaweicloud.sdk.core.exception.ConnectionException;
import com.huaweicloud.sdk.core.exception.RequestTimeoutException;
import com.huaweicloud.sdk.core.exception.ServiceResponseException;
import com.huaweicloud.sdk.config.v1.region.ConfigRegion;
import com.huaweicloud.sdk.config.v1.*;
import com.huaweicloud.sdk.config.v1.model.*;

import java.util.Map;
import java.util.HashMap;

public class CreateOrganizationPolicyAssignmentSolution {

    public static void main(String[] args) {
        // The AK and SK used for authentication are hard-coded or stored in plaintext, which has great security risks. It is recommended that the AK and SK be stored in ciphertext in configuration files or environment variables and decrypted during use to ensure security.
        // In this example, AK and SK are stored in environment variables for authentication. Before running this example, set environment variables CLOUD_SDK_AK and CLOUD_SDK_SK in the local environment
        String ak = System.getenv("CLOUD_SDK_AK");
        String sk = System.getenv("CLOUD_SDK_SK");

        ICredential auth = new GlobalCredentials()
                .withAk(ak)
                .withSk(sk);

        ConfigClient client = ConfigClient.newBuilder()
                .withCredential(auth)
                .withRegion(ConfigRegion.valueOf("<YOUR REGION>"))
                .build();
        CreateOrganizationPolicyAssignmentRequest request = new CreateOrganizationPolicyAssignmentRequest();
        request.withOrganizationId("{organization_id}");
        OrganizationPolicyAssignmentRequest body = new OrganizationPolicyAssignmentRequest();
        PolicyFilterDefinition policyFilterManagedPolicyAssignmentMetadata = new PolicyFilterDefinition();
        policyFilterManagedPolicyAssignmentMetadata.withResourceProvider("ecs")
            .withResourceType("cloudservers");
        PolicyParameterValue parametersParameters = new PolicyParameterValue();
        parametersParameters.withValue("[ea0d6e0e-99c3-406d-a873-3bb45462b624]");
        Map<String, PolicyParameterValue> listManagedPolicyAssignmentMetadataParameters = new HashMap<>();
        listManagedPolicyAssignmentMetadataParameters.put("listOfAllowedImages", parametersParameters);
        ManagedPolicyAssignmentMetadata managedPolicyAssignmentMetadatabody = new ManagedPolicyAssignmentMetadata();
        managedPolicyAssignmentMetadatabody.withDescription("The ECS resource is non-compliant if the image it used is not in the allowed list.")
            .withParameters(listManagedPolicyAssignmentMetadataParameters)
            .withPolicyFilter(policyFilterManagedPolicyAssignmentMetadata)
            .withPolicyDefinitionId("5fa265c0aa1e6afc05a0ff07");
        body.withManagedPolicyAssignmentMetadata(managedPolicyAssignmentMetadatabody);
        body.withOrganizationPolicyAssignmentName("allowed-images-by-id");
        request.withBody(body);
        try {
            CreateOrganizationPolicyAssignmentResponse response = client.createOrganizationPolicyAssignment(request);
            System.out.println(response.toString());
        } catch (ConnectionException e) {
            e.printStackTrace();
        } catch (RequestTimeoutException e) {
            e.printStackTrace();
        } catch (ServiceResponseException e) {
            e.printStackTrace();
            System.out.println(e.getHttpStatusCode());
            System.out.println(e.getRequestId());
            System.out.println(e.getErrorCode());
            System.out.println(e.getErrorMsg());
        }
    }
}
 
 
  

创建一个名为“allowed-images-by-id”的组织合规规则。

     # coding: utf-8

import os
from huaweicloudsdkcore.auth.credentials import GlobalCredentials
from huaweicloudsdkconfig.v1.region.config_region import ConfigRegion
from huaweicloudsdkcore.exceptions import exceptions
from huaweicloudsdkconfig.v1 import *

if __name__ == "__main__":
    # The AK and SK used for authentication are hard-coded or stored in plaintext, which has great security risks. It is recommended that the AK and SK be stored in ciphertext in configuration files or environment variables and decrypted during use to ensure security.
    # In this example, AK and SK are stored in environment variables for authentication. Before running this example, set environment variables CLOUD_SDK_AK and CLOUD_SDK_SK in the local environment
    ak = os.environ["CLOUD_SDK_AK"]
    sk = os.environ["CLOUD_SDK_SK"]

    credentials = GlobalCredentials(ak, sk)

    client = ConfigClient.new_builder() \
        .with_credentials(credentials) \
        .with_region(ConfigRegion.value_of("<YOUR REGION>")) \
        .build()

    try:
        request = CreateOrganizationPolicyAssignmentRequest()
        request.organization_id = "{organization_id}"
        policyFilterManagedPolicyAssignmentMetadata = PolicyFilterDefinition(
            resource_provider="ecs",
            resource_type="cloudservers"
        )
        parametersParameters = PolicyParameterValue(
            value="[ea0d6e0e-99c3-406d-a873-3bb45462b624]"
        )
        listParametersManagedPolicyAssignmentMetadata = {
            "listOfAllowedImages": parametersParameters
        }
        managedPolicyAssignmentMetadatabody = ManagedPolicyAssignmentMetadata(
            description="The ECS resource is non-compliant if the image it used is not in the allowed list.",
            parameters=listParametersManagedPolicyAssignmentMetadata,
            policy_filter=policyFilterManagedPolicyAssignmentMetadata,
            policy_definition_id="5fa265c0aa1e6afc05a0ff07"
        )
        request.body = OrganizationPolicyAssignmentRequest(
            managed_policy_assignment_metadata=managedPolicyAssignmentMetadatabody,
            organization_policy_assignment_name="allowed-images-by-id"
        )
        response = client.create_organization_policy_assignment(request)
        print(response)
    except exceptions.ClientRequestException as e:
        print(e.status_code)
        print(e.request_id)
        print(e.error_code)
        print(e.error_msg)
 
 
  

创建一个名为“allowed-images-by-id”的组织合规规则。

     package main

import (
	"fmt"
	"github.com/huaweicloud/huaweicloud-sdk-go-v3/core/auth/global"
    config "github.com/huaweicloud/huaweicloud-sdk-go-v3/services/config/v1"
	"github.com/huaweicloud/huaweicloud-sdk-go-v3/services/config/v1/model"
    region "github.com/huaweicloud/huaweicloud-sdk-go-v3/services/config/v1/region"
)

func main() {
    // The AK and SK used for authentication are hard-coded or stored in plaintext, which has great security risks. It is recommended that the AK and SK be stored in ciphertext in configuration files or environment variables and decrypted during use to ensure security.
    // In this example, AK and SK are stored in environment variables for authentication. Before running this example, set environment variables CLOUD_SDK_AK and CLOUD_SDK_SK in the local environment
    ak := os.Getenv("CLOUD_SDK_AK")
    sk := os.Getenv("CLOUD_SDK_SK")

    auth, err := global.NewCredentialsBuilder().
        WithAk(ak).
        WithSk(sk).
        SafeBuild()

    if err != nil {
        fmt.Println(err)
        return
    }

    hcClient, err := config.ConfigClientBuilder().
         WithRegion(region.ValueOf("<YOUR REGION>")).
         WithCredential(auth).
         SafeBuild()


    if err != nil {
        fmt.Println(err)
        return
    }

    client := config.NewConfigClient(hcClient)

    request := &model.CreateOrganizationPolicyAssignmentRequest{}
	request.OrganizationId = "{organization_id}"
	resourceProviderPolicyFilter:= "ecs"
	resourceTypePolicyFilter:= "cloudservers"
	policyFilterManagedPolicyAssignmentMetadata := &model.PolicyFilterDefinition{
		ResourceProvider: &resourceProviderPolicyFilter,
		ResourceType: &resourceTypePolicyFilter,
	}
	var valueParameters interface{} = "[ea0d6e0e-99c3-406d-a873-3bb45462b624]"
	parametersParameters := model.PolicyParameterValue{
		Value: &valueParameters,
	}
	var listParametersManagedPolicyAssignmentMetadata = map[string](model.PolicyParameterValue){
        "listOfAllowedImages": parametersParameters,
    }
	descriptionManagedPolicyAssignmentMetadata:= "The ECS resource is non-compliant if the image it used is not in the allowed list."
	managedPolicyAssignmentMetadatabody := &model.ManagedPolicyAssignmentMetadata{
		Description: &descriptionManagedPolicyAssignmentMetadata,
		Parameters: listParametersManagedPolicyAssignmentMetadata,
		PolicyFilter: policyFilterManagedPolicyAssignmentMetadata,
		PolicyDefinitionId: "5fa265c0aa1e6afc05a0ff07",
	}
	request.Body = &model.OrganizationPolicyAssignmentRequest{
		ManagedPolicyAssignmentMetadata: managedPolicyAssignmentMetadatabody,
		OrganizationPolicyAssignmentName: "allowed-images-by-id",
	}
	response, err := client.CreateOrganizationPolicyAssignment(request)
	if err == nil {
        fmt.Printf("%+v\n", response)
    } else {
        fmt.Println(err)
    }
}
 
 
  