基本概念

组织

为管理多账号关系而创建的实体。一个组织由管理账号、成员账号、根组织单元、组织单元（Organizational Unit，以下简称OU）四个部分组成。一个组织有且仅有一个管理账号，若干个成员账号，以及由一个根组织单元和多层级组织单元组成的树状结构。成员账号可以关联在根组织单元或任一层级的组织单元。如何管理组织请参见组织管理。

根组织单元

当您开通Organizations云服务并创建组织后，系统会为您自动生成根组织单元。根组织单元位于整个组织树的顶端，组织由根组织单元向下关联组织单元和账号。

组织单元

组织单元是可以理解为成员账号的容器或分组单元，通常可以映射为企业的部门、子公司或者项目组等。组织单元可以嵌套，一个组织单元只能有一个父组织单元，一个组织单元下可以关联多个子组织单元或者成员账号。如何管理组织单元请参见OU管理。

服务控制策略

服务控制策略 (Service Control Policy，SCP) 是一种基于组织的访问控制策略。组织管理账号可以使用SCP指定组织中成员账号的权限边界，限制账号内用户的操作。服务策略可以关联到组织、组织单元和成员账号。当服务策略关联到组织或组织单元时，该组织或组织单元下所有账号受到该策略影响。如何管理SCP请参见服务控制策略介绍。

标签策略

标签策略是策略的一种类型，可帮助您在组织账号中对资源添加的标签进行标准化管理。标签策略对未添加标签的资源或未在标签策略中定义的标签不会生效。如何管理标签策略请参见标签策略。

可信服务

可信服务是指可与Organizations服务集成，提供组织级相关能力的华为云服务。管理账号可以在组织中开启某个云服务为可信服务。成为可信服务后，云服务可以获取组织中的组织单元及成员账号信息，并基于此信息提供组织级的管理能力。如何管理可信服务请参见可信服务管理。

URN

统一资源标识（Uniform Resource Name，URN），用于唯一标识云服务资源。

格式为：<service-name>:<region>:<account-id>:<type-name>:<resource-path>

• service-name：云服务简称，小写，例如ecs。填入的云服务简称必须存在，无法使用通配。
• region：资源所在的区域，例如cn-north-1。如果是全局服务的资源，填空或者用*填充。
• account-id：账号ID。“system”表示系统公共资源，例如系统策略。
• type-name：资源类型，需要使用小驼峰命名。
• resource-path：资源路径，格式由云服务自定义。