步骤二：规划和创建组织和子账号（操作主体：主账号）

以集团公司为例，使用上面创建的主账号登录华为云，进入企业中心页面，针对集团公司下面每一个管理IT项目的部门（部门A、部门A3）和分公司（分公司F），在华为云上分别创建对应层级的组织单元，如图1所示。并给每个组织单元添加一个子账号，该子账号代表该组织单元在华为云上行使管理职能。

创建子账号时，可以设置以下权限：查看子账号财务信息、查看子账号消费消息、禁止子账号自行开票、允许代子账号开票、允许子账号继承主账号商务折扣。

子部门A33虽然也管理IT项目，但属于三级部门，层级较深的部门不建议在华为云上创建对应的组织单元，而是将其管理的IT项目A331挂到上级部门A3下面，如图1所示。不管理IT项目的部门（部门B、子部门A4）和分公司（分公司E），与华为云不产生交互关系，所以无需为此在华为云上创建对应的组织单元。

涉及到的操作如下：

1. 新建组织：企业主账号可以创建组织，用于将关联的子账号挂载在组织单元上，挂载后可以按组织统计资金的消费情况。
2. 管理组织策略：您可以通过设置组织策略决定子账号的云服务访问权限。
3. 关联子账号：企业主账号通过创建子账号或邀请子账号的方式，建立企业主子关联关系。您可以通过两种方式关联子账号，即新建子账号和邀请子账号。
4. 给子账号授权：企业主账号可以在关联子账号时，完成主账号对子账号的授权，也可以在关联后变更子账号权限。您还可以查看权限说明，具体了解主账号与子账号组成的多种权限策略。

图1 集团公司映射到华为云

其他子公司和孙公司下面的组织按照同样的方式创建，如下图所示。

图2 子公司和孙公司映射到华为云