分钟依赖分钟 规则：分钟是最小调度粒度，没有自然分钟周期的概念，依赖策略是往前推一个调度周期找依赖实例。 举例1：A依赖B，为同周期分钟作业，在同一时间点，B执行完后开始执行A。 图2 分钟依赖分钟举例一 举例2：A依赖B，A为15分钟周期，B为10分钟周期，A往前推15分钟（包括当前启动整点），依赖范围内的B实例，在2:15分执行A任务依赖1个B实例（2:10分），2:30执行的A任务依赖两个B实例（2:20和2:30）。它的边界范围为(0分:15分]，前开后闭区间。 图3 分钟依赖分钟举例二

小时依赖小时 规则：每个自然小时周期内的实例产生依赖，区间边界是自然小时[00:00, 00:59]。 举例1：A依赖B，在同自然小时内，无论A、B设置在什么时间点执行，A永远在B之后执行。 图8 小时依赖小时举例一 举例2：A依赖B，A在每小时5分0秒执行，B在12分执行，A会等B执行完成后执行。 图9 小时依赖小时举例二 离散小时依赖离散小时 ： 自然天内，依赖关系中的上游、下游任务数量一致，上下游周期数一致。 自然天内，上下游任务数量不一致，下游任务运行当天生成的周期实例，将根据就近原则挂载依赖，依赖距离自己定时运行时间最近的上游实例。从index向前找上游依赖实例，依赖上游一整个区间内的实例；向前未找到依赖的实例时，需要向后找，向后查找时，只依赖最近的一个实例。

小时依赖分钟 规则：小时作业依赖分钟作业，往前推到上一个自然小时范围内的所有分钟级实例。区间是前开后闭。 举例1：A依赖B，A为小时作业，每个小时0分执行，B为15m分钟作业；B执行完后执行A。 图6 小时依赖分钟举例一 举例2：A依赖B，A为小时作业，启动时间3:20，B为15m作业，会依赖往前推一个小时内的所有B实例。 图7 小时依赖分钟举例二 如果勾选“最近”的按钮，小时作业只依赖所选作业最近的一个运行实例，比如A在3:20开始调度，A依赖B最近的3:00调度的一个运行实例。 如果作业A在零点进行调度，所依赖作业B可以是昨天的分钟任务。

天依赖小时 规则：按自然天，天周期作业实例依赖一天内所有小时作业的实例。A为天作业，依赖B小时作业，A依赖所有B在自然天内的实例，A会在最后一个B小时作业实例执行完成后执行。 举例：A依赖B，A配置的调度时间为每天17点执行一次，B从0点开始，每5个小时执行一次，那么A实际执行时间为JobB在20点的实例运行完之后开始运行。 图12 天依赖小时 如果勾选“最近”的按钮，天作业只依赖所选作业最近的一个运行实例，比如A在每天17点开始调度，A依赖B最近的15:00调度的一个运行实例。

天依赖天 规则：按自然天内的实例进行依赖，不会跨天向前推找依赖实例。在同自然天内A依赖B ，无论A、B设置在什么时间点执行，A永远在B之后执行。 天区间为[00:00:00, 23:59:59] 举例1：A依赖B，A在2:00执行，B在3:00执行，A会等B在3:00执行完成后执行。 图13 天依赖天举例一 举例2：A依赖B，A在5:00执行，B在3:00执行，A在B执行完成后，在5:00执行。 图14 天依赖天举例二

路由策略简介 路由策略（Routing Policy）作用于路由，主要具备路由过滤和路由策略值设置等功能，它通过改变路由策略值来改变网络流量所经过的路径。 当前路由策略可应用于企业路由器以下类型的连接： 虚拟网关（VGW） 对等连接（Peering） VPN网关（VPN） 全球接入网关（DGW） 企业路由器在发送、接收和学习路由信息时，根据实际组网需要实施一些路由策略，以便对路由信息进行过滤和改变路由信息的属性，具体如下： 控制路由的发送：只发送满足条件的路由信息。 控制路由的接收：只接收必要、合法的路由信息，以控制路由表的容量，提高网络的安全性。 过滤和控制学习的路由：一种路由协议在学习其它路由协议发现的路由信息丰富自己的路由知识时，只引入一部分满足条件的路由信息，并对所引入的路由信息的某些属性进行设置，以使其满足本协议的要求。 设置特定路由的策略值：修改通过路由策略过滤的路由的策略值，满足自身需要。

路由策略功能说明 路由策略中可以包含一个或多个路由策略节点，路由策略节点由过滤路由的匹配条件和路由策略值组成，可看做是一个路由过滤器。 匹配条件：设置路由的过滤条件，匹配上的路由，根据匹配原则，被允许通过或拒绝，具体请参见表1。 路由策略值：根据匹配条件，可匹配的路由，依据路由策略设定修改策略值，具体请参见表2。 表1 路由匹配条件说明 路由匹配条件 说明 路由类型 静态路由：用户手动配置的路由。 在ER场景下，位于ER路由表中的自定义路由和“虚拟私有云（VPC）”连接对应的传播路由属于静态路由。 BGP路由：通过BGP协议学习的路由。 在ER场景下，以云专线DC为例，DC的虚拟网关和ER在云上通信使用BGP协议，那么在ER路由表中，“虚拟网关（VGW）”连接学习来的传播路由，属于BGP路由。 “对等连接（Peering）”、“VPN网关（VPN）”以及“全球接入网关（DGW）”类型的连接同理。 IP地址前缀列表 IP地址前缀列表是一种包含一组路由信息过滤规则的过滤器，用户可以在规则中定义IP地址前缀和掩码长度范围，用于匹配路由信息的目的网段地址或下一跳地址。 地址前缀列表可以应用在各种动态路由协议中，对路由协议发布和接收的路由信息进行过滤。更多详细信息，请参见IP地址前缀列表概述。 AS_Path列表 AS_Path列表是一组针对BGP路由的AS_Path属性进行过滤的规则。在BGP的路由信息中，包含有AS_Path属性，AS_Path属性按矢量顺序记录了BGP路由从本地到目的地址所要经过的所有AS编号，因此基于AS_Path属性定义一些过滤规则，就可以实现对BGP路由信息的过滤。 由于AS_Path属性是BGP协议的私有属性，因此AS路径过滤器也仅应用于BGP协议。更多详细信息，请参见AS_Path列表概述。 表2 路由策略值说明 路由属策略值 说明 PrefVal 华为规定的路由特有属性，代表路由的优先级。PrefVal值越大，路由优先级越高。 通过在路由策略中设置PrefVal值，可以修改路由的PrefVal值。 企业路由器中不同类型连接的默认值如下： 虚拟网关（VGW）：100 对等连接（Peering）：60 VPN网关（VPN）：80 全球接入网关（DGW）：100 须知： 修改路由的PrefVal值，会影响不同类型连接路由的选路策略。如果您修改不当，可能会对业务造成影响，请您提交工单联系华为云客服，评估修改方案。 AS_Path 在BGP的路由信息中，包含有AS_Path属性，AS_Path属性按矢量顺序记录了BGP路由从本地到目的地址所要经过的所有AS编号。 通过在路由策略中设置AS_Path，可以为路由执行以下动作: 追加：在AS_Path的左侧位置中追加策略中设置的值。 替换：替换路由原有的AS_Path为路由策略中设置的值。 删除：删除路由原有AS_Path中的指定值。

路由策略匹配规则 一个路由策略中可以创建多个路由策略节点，路由策略节点中包含路由的匹配条件和路由策略值。路由策略的匹配规则如图1所示，待过滤路由按照节点号从小到大的顺序匹配路由策略节点： 当匹配上策略节点中的所有过滤条件，则执行以下操作： 如果该策略节点的匹配模式是允许，则这条路由被允许通过。 当匹配模式是允许时，如果路由策略中设置了策略值，则对已匹配路由的策略值执行指定的动作，包含修改、替换、删除。 如果该策略节点的匹配模式是拒绝，则这条路由被拒绝通过。 当遍历了路由策略中的所有策略节点，均没有匹配上，那么这条路由就被拒绝通过。 图1 路由策略匹配规则 路由策略过滤路由的原则可以总结为：顺序匹配、唯一匹配、默认拒绝。 顺序匹配：按节点号从小到大按顺序进行匹配。同一个路由策略中的多个路由策略节点设置不同的节点号，可能会有不同的过滤结果，实际配置时需要注意。 唯一匹配：待过滤路由只要与一个路由策略节点匹配，就不会再去尝试匹配其他路由策略节点。 默认拒绝：默认所有未与任何一个路由策略节点匹配的路由，均为未通过路由策略的过滤。因此在一个路由策略中创建了一个或多个拒绝模式的路由策略节点后，需要创建一个路由策略节点来允许所有其他路由通过。

导入规则模板参数-VPC防护规则表（VPC边界防护规则） 表2 VPC防护规则表参数说明 参数名称 参数说明 取值样例 顺序 定义规则序号。 1 规则名称 自定义规则名称。 只能由中文、字母、数字、下划线、连接符或空格任意一种或多种字符类型组成，且名称长度不能超过255个字符。 test 动作 选择“放行”或者“阻断”。设置防火墙对通过流量的处理动作。 放行 启用状态 选择该策略是否立即启用。 启用：表示启用，规则生效； 禁用：表示关闭，规则不生效。 启用 描述 自定义规则描述。 test 源地址类型 设置访问流量中发送数据的地址类型。 IP地址：支持设置单个IP地址、连续多个IP地址、地址段。 IP地址组：支持多个IP地址的集合。 IP地址 源IP地址 “源地址类型”选择“IP地址”时，需填写“源IP地址”。 支持以下输入格式： 单个IP地址，如：192.168.10.5 多个连续地址，中间使用“-”隔开，如：192.168.0.2-192.168.0.10 地址段，使用“/”隔开掩码，如：192.168.2.0/24 192.168.10.5 源地址组名称 “源地址类型”选择“IP地址组”时，需填写“源地址组名称”。 支持以下输入格式； 可输入中文、字母、数字、下划线、连接符或空格。 名称长度不能超过255个字符。 s_test 目的地址类型 选择访问流量中的接收数据的地址类型。 IP地址：支持设置单个IP地址、连续多个IP地址、地址段。 IP地址组：支持多个IP地址的集合。 IP地址组 目的IP地址 “目的地址类型”选择“IP地址”时，需填写“目的IP地址”。 目的IP地址支持以下输入格式： 单个IP地址，如：192.168.10.5 多个连续地址，中间使用“-”隔开，如：192.168.0.2-192.168.0.10 地址段，使用“/”隔开掩码，如：192.168.2.0/24 192.168.10.6 目的地址组名称 “目的地址类型”选择“IP地址组”时，需填写“目的地址组名称”。 支持以下输入格式； 可输入中文、字母、数字、下划线、连接符或空格。 名称长度不能超过255个字符。 d_test 服务类型 选择服务或服务组。 服务：支持设置单个服务。 服务组：支持多个服务的集合。 服务 协议/源端口/目的端口 设置需要限制的类型。 协议类型当前支持：TCP、UDP、ICMP、Any。 设置需要开放或限制的源端口。支持设置单个端口，或者连续端口组，中间使用“-”隔开，如：80-443 设置需要开放或限制的目的端口。支持设置单个端口，或者连续端口组，中间使用“-”隔开，如：80-443 TCP/443/443 服务组名称 自定义服务组名称。 只能由中文、字母、数字、下划线、连接符或空格任意一种或多种字符类型组成，且名称长度不能超过255个字符。 service_test 分组标签 用于标识规则，可通过标签实现对安全策略的分类和搜索。 k=a

导入规则模板参数-防护规则表（互联网边界防护规则） 表1 防护规则表参数说明 参数名称 参数说明 取值样例 顺序 定义规则序号。 1 规则名称 自定义规则名称。 只能由中文、字母、数字、下划线、连接符或空格任意一种或多种字符类型组成，且名称长度不能超过255个字符。 test 防护规则 选择安全策略的防护类型。 EIP防护： 防护EIP的流量，仅支持配置公网IP。 NAT防护： 防护NAT的流量，可以配置私网IP。 EIP防护 方向 选择防护方向： 外-内：外网访问内部服务器。 内-外：客户服务器访问外网。 内到外 动作 选择“放行”或者“阻断”。设置防火墙对通过流量的处理动作。 放行 规则地址类型 选择“IPv4”或者“IPv6”。设置防护的IP类型。 IPv4 启用状态 选择该策略是否立即启用。 启用：表示立即开启，规则生效； 禁用：表示关闭，规则不生效。 启用 描述 自定义规则描述。 test 源地址类型 设置访问流量中发送数据的地址类型。 IP地址：支持设置单个IP地址、连续多个IP地址、地址段。 IP地址组：支持多个IP地址的集合。 地域：支持按照地域防护。 IP地址 源IP地址 “源地址类型”选择“IP地址”时，需填写“源IP地址”。 支持以下输入格式： 单个IP地址，如：192.168.10.5 多个连续地址，中间使用“-”隔开，如：192.168.0.2-192.168.0.10 地址段，使用“/”隔开掩码，如：192.168.2.0/24 192.168.10.5 源地址组名称 “源地址类型”选择“IP地址组”时，需填写“源地址组名称”。 支持以下输入格式； 可输入中文、字母、数字、下划线、连接符或空格。 名称长度不能超过255个字符。 s_test 源大洲地域 “源地址类型”选择“地域”时，需填写“源大洲地域”。 根据模板表格中“大洲信息表”页签，填写大洲信息。 AS:亚洲 源国家地域 “源地址类型”选择“地域”时，需填写“源国家地域”。 根据模板表格中“国家信息表”页签，填写国家信息。 CN:中国大陆 目的地址类型 选择访问流量中的接收数据的地址类型。 IP地址：支持设置单个IP地址、连续多个IP地址、地址段。 IP地址组：支持多个IP地址的集合。 域名：由一串用点分隔的英文字母组成（以字符串的形式来表示服务器IP），用户通过域名来访问网站。 域名组：支持多个域名的集合。 地域：支持地域防护。 IP地址组 目的IP地址 “目的地址类型”选择“IP地址”时，需填写“目的IP地址”。 目的IP地址支持以下输入格式： 单个IP地址，如：192.168.10.5 多个连续地址，中间使用“-”隔开，如：192.168.0.2-192.168.0.10 地址段，使用“/”隔开掩码，如：192.168.2.0/24 192.168.10.6 目的地址组名称 “目的地址类型”选择“IP地址组”时，需填写“目的地址组名称”。 支持以下输入格式； 可输入中文、字母、数字、下划线、连接符或空格。 名称长度不能超过255个字符。 d_test 目的大洲地域 “目的地址类型”选择“地域”时，需填写“目的大洲地域”。 根据模板表格中“大洲信息表”页签，填写大洲信息。 AS:亚洲 目的国家地域 “目的地址类型”选择“地域”时，需填写“目的国家地域”。 根据模板表格中“国家信息表”页签，填写国家信息。 CN:中国大陆 域名 “目的地址类型”选择“域名”时，需填写“域名”。 由一串用点分隔的英文字母组成（以字符串的形式来表示服务器IP），用户通过域名来访问网站。 www.example.com 目的域名组名称 “目的地址类型”选择“域名组”时，需填写“目的域名组名称”。 输入域名组名称。 域名组1 服务类型 选择服务或服务组。 服务：支持设置单个服务。 服务组：支持多个服务的集合。 服务 协议/源端口/目的端口 设置需要限制的类型。 协议类型当前支持：TCP、UDP、ICMP、Any。 设置需要开放或限制的源端口。支持设置单个端口，或者连续端口组，中间使用“-”隔开，如：80-443 设置需要开放或限制的目的端口。支持设置单个端口，或者连续端口组，中间使用“-”隔开，如：80-443 TCP/443/443 服务组名称 自定义服务组名称。 只能由中文、字母、数字、下划线、连接符或空格任意一种或多种字符类型组成，且名称长度不能超过255个字符。 service_test 分组标签 用于标识规则，可通过标签实现对安全策略的分类和搜索。 k=a

GaussDB授权分类 表1 实例管理 API功能 授权项 授权范围 对应API接口 创建数据库实例 gaussdb:instance:create gaussdb:param:list 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) POST /v3/{project_id}/instances 扩容数据库实例的磁盘空间 gaussdb:instance:modifySpec 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) POST /v3/{project_id}/instances/{instance_id}/action 删除数据库实例 gaussdb:instance:delete 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) DELETE /v3/{project_id}/instances/{instance_id} 查询数据库实例列表 gaussdb:instance:list 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) GET /v3/{project_id}/instances 重置数据库密码 gaussdb:instance:modifyPasswd 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) POST /v3/{project_id}/instances/{instance_id}/password 修改实例名称 gaussdb:instance:rename 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) PUT /v3/{project_id}/instances/{instance_id}/name 重启数据库实例 gaussdb:instance:restart 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) POST /v3/{project_id}/instances/{instance_id}/restart 分片节点主备切换 gaussdb:instance:switchShard 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) POST /v3/{project_id}/instances/{instance_id}/switch-shard 查询实例的组件列表 gaussdb:instance:list 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) GET /v3/{project_id}/instances/{instance_id}/components 规格变更 gaussdb:instance:modifySpec 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) PUT /v3/{project_id}/instance/{instance_id}/flavor 查询实例主备平衡状态 gaussdb:instance:list 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) GET /v3/{project_id}/instances/{instance_id}/balance 查询解决方案模板配置 gaussdb:instance:list 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) GET /v3/{project_id}/deployment-form 查询已绑定的EIP列表 gaussdb:instance:list 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) GET /v3/{project_id}/instances/{instance_id}/public-ips?offset={offset}&limit={limit} 弱密码校验 gaussdb:instance:list 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) POST /v3/{project_id}/weak-password-verification 绑定/解绑弹性公网IP gaussdb:instance:bindPublicIp 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) POST /v3/{project_id}/instances/{instance_id}/nodes/{node_id}/public-ip 查询实例SSL证书下载地址 gaussdb:instance:list 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) GET /v3/{project_id}/instances/{instance_id}/ssl-cert/download-link 查询租户的实例配额 gaussdb:instance:list 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) GET /v3/{project_id}/project-quotas?type={type} 表2 参数配置 API功能 授权项 授权范围 对应API接口 获取参数模板列表 gaussdb:param:list 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) GET /v3/{project_id}/configurations?offset={offset}&limit={limit} 获取指定实例的参数 gaussdb:param:list 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) GET /v3/{project_id}/instances/{instance_id}/configurations 修改指定实例的参数 gaussdb:param:modify 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) PUT /v3/{project_id}/instances/{instance_id}/configurations 创建参数模板 gaussdb:param:create 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) POST /v3/{project_id}/configurations 删除参数模板 gaussdb:param:delete 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) DELETE /v3/{project_id}/configurations/{config_id} 查询参数模板详情 gaussdb:instance:list 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) GET /v3/{project_id}/configurations/{config_id} 复制参数模板 gaussdb:param:create 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) POST /v3/{project_id}/configurations/{config_id}/copy 重置参数组 gaussdb:param:modify 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) POST /v3/{project_id}/configurations/{config_id}/reset 比较两个参数组模板之间的差异 gaussdb:param:list 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) POST /v3/{project_id}/configurations/comparison 查询可应用实例列表 gaussdb:instance:list 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) GET /v3/{project_id}/configurations/{config_id}/applicable-instances 校验参数组名称是否存在 gaussdb:instance:list 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) GET /v3/{project_id}/configurations/name-validation?name={name} 应用参数模板 gaussdb:param:apply 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) PUT /v3/{project_id}/configurations/{config_id}/apply 查询参数模板的应用记录 gaussdb:instance:list 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) GET /v3/{project_id}/configurations/{config_id}/applied-histories 查询参数模板的修改历史 gaussdb:param:list 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) GET /v3/{project_id}/configurations/{config_id}/histories 表3 备份管理 API功能 授权项 授权范围 对应API接口 设置自动备份策略 gaussdb:instance:modifyBackupPolicy 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) PUT /v3/{project_id}/instances/{instance_id}/backups/policy 查询自动备份策略 gaussdb:backup:list 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) GET /v3/{project_id}/instances/{instance_id}/backups/policy 查询备份列表 gaussdb:backup:list 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) GET /v3/{project_id}/backups?instance_id={instance_id}&backup_id={backup_id}&backup_type={backup_type}&offset={offset}&limit={limit}&begin_time={begin_time}&end_time={end_time} 创建手动备份 gaussdb:backup:create 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) POST /v3/{project_id}/backups 删除手动备份 gaussdb:backup:delete 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) DELETE /v3/{project_id}/backups/{backup_id} 查询可恢复时间段 gaussdb:backup:list 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) GET /v3/{project_id}/instances/{instance_id}/restore-time?date={date} 恢复到新实例 gaussdb:instance:create 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) POST /v3/{project_id}/instances 查询可用于备份恢复的实例列表 gaussdb:instance:list 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) GET /v3/{project_id}/restorable-instances 根据时间点或者备份文件查询原实例信息 gaussdb:instance:list 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) GET /v3/{project_id}/instance-snapshot?instance_id={instance_id}&backup_id={backup_id}&restore_time={restore_time} 表4 引擎版本和规格 API功能 授权项 授权范围 对应API接口 查询数据库引擎的版本 gaussdb:instance:list 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) GET /v3/{project_id}/datastore/versions 查询数据库规格 gaussdb:instance:list 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) GET /v3/{project_id}/flavors?limit={limit}&offset={offset}&ha_mode={ha_mode}&version={version}&spec_code={spec_code} 查询引擎列表 gaussdb:instance:list 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) GET /v3/{project_id}/datastores 查询实例可变更规格 gaussdb:instance:list 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) GET /v3/{project_id}/instances/{instance_id}/available-flavors 表5 管理数据库和用户 API功能 授权项 授权范围 对应API接口 创建数据库 gaussdb:instance:createDatabase 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) POST /v3/{project_id}/instances/{instance_id}/database 创建数据库用户 gaussdb:instance:createDatabaseUser 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) POST /v3/{project_id}/instances/{instance_id}/db-user 创建数据库SCHEMA gaussdb:instance:createDatabaseSchema 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) POST /v3/{project_id}/instances/{instance_id}/schema 授权数据库账号 gaussdb:instance:grantDatabasePrivilege 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) POST /v3/{project_id}/instances/{instance_id}/db-privilege 重置数据库账号密码 gaussdb:instance:modifyDatabasePasswd 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) PUT /v3/{project_id}/instances/{instance_id}/db-user/password 查询数据库列表 gaussdb:instance:list 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) GET /v3/{project_id}/instances/{instance_id}/databases 查询数据库用户列表 gaussdb:instance:list 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) GET /v3/{project_id}/instances/{instance_id}/db-users 查询数据库SCHEMA列表 gaussdb:instance:list 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) GET /v3/{project_id}/instances/{instance_id}/schemas 表6 标签管理 API功能 授权项 授权范围 对应API接口 查询实例标签 gaussdb:instance:list 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) GET /v3/{project_id}/instances/{instance_id}/tags 查询项目标签 gaussdb:instance:list 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) GET /v3/{project_id}/tags 查询预定义标签 gaussdb:instance:list 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) GET /v3/{project_id}/predefined-tags 添加实例标签 gaussdb:instance:dealTag 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) POST /v3/{project_id}/instances/{instance_id}/tags 表7 磁盘管理 API功能 授权项 授权范围 对应API接口 查询实例存储空间使用信息 gaussdb:instance:list 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) GET /v3/{project_id}/instances/{instance_id}/volume-usage 查询数据库磁盘类型 gaussdb:instance:list 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) GET /v3/{project_id}/storage-type?version={version}&ha_mode={ha_mode} 表8 配额管理 API功能 授权项 授权范围 对应API接口 修改企业项目配额 gaussdb:quota:modify 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) PUT /v3/{project_id}/enterprise-projects/quotas 查询企业项目配额组 gaussdb:instance:list 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) GET /v3/{project_id}/enterprise-projects/quotas 表9 任务管理 API功能 授权项 授权范围 对应API接口 获取任务信息 gaussdb:instance:list 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) GET /v3/{project_id}/jobs?id={id} 查询任务列表 gaussdb:instance:list 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) GET /v3/{project_id}/tasks 删除任务记录 gaussdb:instance:deleteTaskRecord 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) DELETE /v3/{project_id}/jobs/{job_id} 表10 回收站 API功能 授权项 授权范围 对应API接口 设置回收站策略 gaussdb:instance:setRecyclePolicy 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) PUT /v3/{project_id}/recycle-policy 查看回收站策略 gaussdb:instance:list 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) GET /v3/{project_id}/recycle-policy 查询回收站所有引擎实例列表 gaussdb:instance:list 支持： IAM项目(Project) 支持： 企业项目(Enterprise Project) GET /v3/{project_id}/recycle-instances 父主题： 权限策略和授权项

范围分区 范围分区（Range Partition）根据为每个分区建立的分区键的值范围将数据映射到分区。范围分区是生产系统中最常见的分区类型，通常在以时间维度（Date、Time Stamp）描述数据场景中使用。范围分区有两种语法格式，示例如下： VALUES LESS THAN的语法格式 对于从句是VALUE LESS THAN的语法格式，范围分区策略的分区键最多支持16列。 单列分区键示例如下： gaussdb=# CREATE TABLE range_sales_single_key ( product_id INT4 NOT NULL, customer_id INT4 NOT NULL, time DATE, channel_id CHAR(1), type_id INT4, quantity_sold NUMERIC(3), amount_sold NUMERIC(10,2) ) PARTITION BY RANGE (time) ( PARTITION date_202001 VALUES LESS THAN ('2020-02-01'), PARTITION date_202002 VALUES LESS THAN ('2020-03-01'), PARTITION date_202003 VALUES LESS THAN ('2020-04-01'), PARTITION date_202004 VALUES LESS THAN ('2020-05-01') ); --清理示例 gaussdb=# DROP TABLE range_sales_single_key; 其中date_202002表示2020年2月的分区，将包含分区键值从2020年2月1日到2020年2月29日的数据。 每个分区都有一个VALUES LESS子句，用于指定分区的非包含上限。大于或等于该分区键的任何值都将添加到下一个分区。除第一个分区外，所有分区都具有由前一个分区的VALUES LESS子句指定的隐式下限。可以为最高分区定义MAXVALUE关键字，MAXVALUE表示一个虚拟无限值，其排序高于分区键的任何其他可能值，包括空值。 多列分区键示例如下： gaussdb=# CREATE TABLE range_sales ( c1 INT4 NOT NULL, c2 INT4 NOT NULL, c3 CHAR(1) ) PARTITION BY RANGE (c1,c2) ( PARTITION p1 VALUES LESS THAN (10,10), PARTITION p2 VALUES LESS THAN (10,20), PARTITION p3 VALUES LESS THAN (20,10) ); gaussdb=# INSERT INTO range_sales VALUES(9,5,'a'); gaussdb=# INSERT INTO range_sales VALUES(9,20,'a'); gaussdb=# INSERT INTO range_sales VALUES(9,21,'a'); gaussdb=# INSERT INTO range_sales VALUES(10,5,'a'); gaussdb=# INSERT INTO range_sales VALUES(10,15,'a'); gaussdb=# INSERT INTO range_sales VALUES(10,20,'a'); gaussdb=# INSERT INTO range_sales VALUES(10,21,'a'); gaussdb=# INSERT INTO range_sales VALUES(11,5,'a'); gaussdb=# INSERT INTO range_sales VALUES(11,20,'a'); gaussdb=# INSERT INTO range_sales VALUES(11,21,'a'); gaussdb=# SELECT * FROM range_sales PARTITION (p1); c1 | c2 | c3 ----+----+---- 9 | 5 | a 9 | 20 | a 9 | 21 | a 10 | 5 | a (4 rows) gaussdb=# SELECT * FROM range_sales PARTITION (p2); c1 | c2 | c3 ----+----+---- 10 | 15 | a (1 row) gaussdb=# SELECT * FROM range_sales PARTITION (p3); c1 | c2 | c3 ----+----+---- 10 | 20 | a 10 | 21 | a 11 | 5 | a 11 | 20 | a 11 | 21 | a (5 rows) --清理示例 gaussdb=# DROP TABLE range_sales; 多列分区的分区规则如下： 从第一列开始比较。 如果插入的值当前列小于分区当前列边界值，则直接插入。 如果插入的当前列等于分区当前列的边界值，则比较插入值的下一列与分区下一列边界值的大小。 如果插入的当前列大于分区当前列的边界值，则换下一个分区进行比较。 START END语法格式 对于从句是START END语法格式，范围分区策略的分区键最多支持1列。 示例如下： -- 创建表空间 gaussdb=# CREATE TABLESPACE startend_tbs1 LOCATION '/home/omm/startend_tbs1'; gaussdb=# CREATE TABLESPACE startend_tbs2 LOCATION '/home/omm/startend_tbs2'; gaussdb=# CREATE TABLESPACE startend_tbs3 LOCATION '/home/omm/startend_tbs3'; gaussdb=# CREATE TABLESPACE startend_tbs4 LOCATION '/home/omm/startend_tbs4'; -- 创建临时schema gaussdb=# CREATE SCHEMA tpcds; gaussdb=# SET CURRENT_SCHEMA TO tpcds; -- 创建分区表，分区键是integer类型 gaussdb=# CREATE TABLE tpcds.startend_pt (c1 INT, c2 INT) TABLESPACE startend_tbs1 PARTITION BY RANGE (c2) ( PARTITION p1 START(1) END(1000) EVERY(200) TABLESPACE startend_tbs2, PARTITION p2 END(2000), PARTITION p3 START(2000) END(2500) TABLESPACE startend_tbs3, PARTITION p4 START(2500), PARTITION p5 START(3000) END(5000) EVERY(1000) TABLESPACE startend_tbs4 ) ENABLE ROW MOVEMENT; -- 查看分区表信息 gaussdb=# SELECT relname, boundaries, spcname FROM pg_partition p JOIN pg_tablespace t ON p.reltablespace=t.oid and p.parentid='tpcds.startend_pt'::regclass ORDER BY 1; relname | boundaries | spcname -------------+------------+--------------- p1_0 | {1} | startend_tbs2 p1_1 | {201} | startend_tbs2 p1_2 | {401} | startend_tbs2 p1_3 | {601} | startend_tbs2 p1_4 | {801} | startend_tbs2 p1_5 | {1000} | startend_tbs2 p2 | {2000} | startend_tbs1 p3 | {2500} | startend_tbs3 p4 | {3000} | startend_tbs1 p5_1 | {4000} | startend_tbs4 p5_2 | {5000} | startend_tbs4 startend_pt | | startend_tbs1 (12 rows) --清理示例 gaussdb=# DROP TABLE tpcds.startend_pt; 父主题： 分区策略

哈希分区 哈希分区（Hash Partition）基于对分区键使用哈希算法将数据映射到分区。使用的哈希算法为GaussDB内置哈希算法，在分区键取值范围不倾斜（no data skew）场景下，哈希算法在分区之间均匀分布行，使分区大小大致相同。因此哈希分区是实现分区间均匀分布数据的理想方法。哈希分区也是范围分区的一种易于使用的替代方法，尤其是当要分区的数据不是历史数据或没有明显的分区键时，示例如下： gaussdb=# CREATE TABLE bmsql_order_line ( ol_w_id INTEGER NOT NULL, ol_d_id INTEGER NOT NULL, ol_o_id INTEGER NOT NULL, ol_number INTEGER NOT NULL, ol_i_id INTEGER NOT NULL, ol_delivery_d TIMESTAMP, ol_amount DECIMAL(6,2), ol_supply_w_id INTEGER, ol_quantity INTEGER, ol_dist_info CHAR(24) ) --预先定义100个分区 PARTITION BY HASH(ol_d_id) ( PARTITION p0, PARTITION p1, PARTITION p2, … PARTITION p99 ); 上述例子中，bmsql_order_line表的ol_d_id进行了分区，ol_d_id列是一个identifier性质的属性列，本身并不带有时间或者某一个特定维度上的区分。使用哈希分区策略来对其进行分表处理则是一个较为理想的选择，相比其他分区类型，除了预先确保分区键没有过多数据倾斜（某一、某几个值重复度高），只需要指定分区键和分区数即可创建分区，同时还能够确保每个分区的数据均匀，提升了分区表的易用性。 父主题： 分区策略

规则详情 表1 规则详情 参数 说明 规则名称 required-tag-check 规则展示名 资源具有指定的标签 规则描述 指定一个标签，不具有此标签的资源，视为“不合规”。 标签 tag 规则触发方式 配置变更 规则评估的资源类型 支持标签的云服务和资源类型 规则参数 specifiedTagKey：指定的标签键，字符串类型。 specifiedTagValue：指定的标签值列表，如果列表为空，表示允许所有值，数组类型，最多包含10个元素。

预设策略列表 当您在配置审计控制台添加合规规则时，可以直接选用系统内置的预设合规策略。 当前配置审计服务支持的预设策略如下表所示。 表1 配置审计支持的预设策略 云服务 预设策略 触发方式 评估资源 公共可用预设策略 资源名称满足正则表达式 配置变更 全部资源 资源具有所有指定的标签键 配置变更 支持标签的云服务和资源类型 资源存在任一指定的标签 配置变更 支持标签的云服务和资源类型 资源具有指定前后缀的标签键 配置变更 支持标签的云服务和资源类型 资源标签非空 配置变更 支持标签的云服务和资源类型 资源具有指定的标签 配置变更 支持标签的云服务和资源类型 资源属于指定企业项目ID 配置变更 全部资源 资源在指定区域内 配置变更 全部资源 API网关 APIG APIG专享版实例配置安全认证类型 配置变更 apig.instances APIG专享版实例配置访问日志 配置变更 apig.instances APIG专享版实例域名均关联SSL证书 配置变更 apig.instances 部署 CodeArts Deploy CodeArts项目下的主机集群为可用状态 配置变更 codeartsdeploy.host-cluster MapReduce服务 MRS MRS资源属于指定安全组 配置变更 mrs.mrs MRS资源属于指定VPC 配置变更 mrs.mrs MRS集群开启kerberos认证 配置变更 mrs.mrs MRS集群使用多AZ部署 配置变更 mrs.mrs MRS集群未绑定公网IP 配置变更 mrs.mrs NAT网关 NAT NAT私网网关绑定指定VPC资源 配置变更 nat.privateNatGateways VPC终端节点 VPCEP 创建了指定服务名的终端节点 周期触发 vpcep.endpoints Web应用防火墙 WAF WAF防护域名配置防护策略 配置变更 waf.instance 弹性负载均衡 ELB ELB资源不具有公网IP 配置变更 elb.loadbalancers ELB监听器配置指定预定义安全策略 配置变更 elb.loadbalancers ELB监听器配置HTTPS监听协议 配置变更 elb.loadbalancers ELB后端服务器权重检查 配置变更 elb.members 弹性公网IP EIP EIP带宽限制 配置变更 vpc.publicips 弹性公网IP未进行任何绑定 配置变更 vpc.publicips EIP在指定天数内绑定到资源实例 周期触发 vpc.publicips 弹性伸缩 AS 弹性伸缩组均衡扩容 配置变更 as.scalingGroups 弹性伸缩组使用弹性负载均衡健康检查 配置变更 as.scalingGroups 弹性伸缩组启用多AZ部署 配置变更 as.scalingGroups 弹性文件服务器 SFS 弹性文件服务通过KMS进行加密 配置变更 sfsturbo.shares 弹性云服务器 ECS ECS资源规格在指定的范围 配置变更 ecs.cloudservers ECS实例的镜像ID在指定的范围 配置变更 ecs.cloudservers ECS的镜像在指定Tag的IMS的范围内 配置变更 ecs.cloudservers 绑定指定标签的ECS关联在指定安全组ID列表内 配置变更 ecs.cloudservers ECS资源属于指定虚拟私有云ID 配置变更 ecs.cloudservers ECS资源配置秘钥对 配置变更 ecs.cloudservers ECS资源不能公网访问 配置变更 ecs.cloudservers 检查ECS资源是否具有多个公网IP 配置变更 ecs.cloudservers 关机状态的ECS未进行任意操作的时间检查 周期触发 ecs.cloudservers 分布式缓存服务 DCS DCS Memcached资源支持SSL 配置变更 dcs.memcached DCS Memcached资源属于指定虚拟私有云ID 配置变更 dcs.memcached DCS Memcached资源不存在公网IP 配置变更 dcs.memcached DCS Memcached资源需要密码访问 配置变更 dcs.memcached DCS Redis实例支持SSL 配置变更 dcs.redis DCS Redis实例高可用 配置变更 dcs.redis DCS Redis实例属于指定虚拟私有云ID 配置变更 dcs.redis DCS Redis实例不存在公网IP 配置变更 dcs.redis DCS Redis实例需要密码访问 配置变更 dcs.redis 函数工作流 FunctionGraph 函数工作流的函数并发数在指定范围内 配置变更 fgs.functions 函数工作流使用指定VPC 配置变更 fgs.functions 函数工作流的函数不允许访问公网 配置变更 fgs.functions 检查函数工作流参数设置 配置变更 fgs.functions 内容分发网络 CDN CDN使用HTTPS证书 配置变更 cdn.domains CDN回源方式使用HTTPS 配置变更 cdn.domains CDN安全策略检查 配置变更 cdn.domains CDN使用自有证书 配置变更 cdn.domains 配置审计 Config 账号开启资源记录器 周期触发 config.trackers 数据仓库服务 DWS DWS集群启用KMS加密 配置变更 dws.clusters DWS集群启用日志转储 配置变更 dws.clusters DWS集群启用自动快照 配置变更 dws.clusters DWS集群启用SSL加密连接 配置变更 dws.clusters 数据复制服务 DRS 数据复制服务实时灾备任务不使用公网网络 配置变更 drs.dataGuardJob 数据复制服务实时迁移任务不使用公网网络 配置变更 drs.migrationJob 数据复制服务实时同步任务不使用公网网络 配置变更 drs.synchronizationJob 数据加密服务 DEW KMS密钥不处于“计划删除”状态 配置变更 kms.keys KMS密钥启用密钥轮换 配置变更 kms.keys 统一身份认证服务 IAM IAM用户的AccessKey在指定时间内轮换 周期触发 iam.users IAM策略中不存在KMS的任一阻拦action 配置变更 iam.roles&iam.policies IAM用户组添加了IAM用户 配置变更 iam.groups IAM用户密码策略符合要求 配置变更 iam.users IAM策略黑名单检查 配置变更 iam.users、iam.groups、iam.agencies IAM策略不具备Admin权限 配置变更 iam.roles、iam.policies IAM自定义策略具备所有权限 配置变更 iam.roles、iam.policies IAM账号存在可使用的访问密钥 周期触发 iam.users IAM用户访问模式 配置变更 iam.users IAM用户创建时设置AccessKey 配置变更 iam.users IAM用户归属用户组 配置变更 iam.users IAM用户在指定时间内有登录行为 周期触发 iam.users IAM用户开启MFA 配置变更 iam.users IAM用户单访问密钥 配置变更 iam.users Console侧密码登录的IAM用户开启MFA认证 配置变更 iam.users 根账号开启MFA认证 周期触发 iam.users 文档数据库服务 DDS DDS实例开启SSL 配置变更 dds.instances DDS实例属于指定实例类型 配置变更 dds.instances DDS实例未绑定公网IP 配置变更 dds.instances DDS实例属于指定虚拟私有云ID 配置变更 dds.instances 消息通知服务 SMN SMN主题配置访问日志 配置变更 smn.topic 虚拟私有云 VPC 未与子网关联的网络ACL 配置变更 vpc.firewallGroups 默认安全组关闭出、入方向流量 配置变更 vpc.securityGroups VPC启用流日志 配置变更 vpc.vpcs 安全组端口检查 配置变更 vpc.securityGroups 安全组入站流量限制指定端口 配置变更 vpc.securityGroups 安全组入站流量限制SSH端口 配置变更 vpc.securityGroups 虚拟专用网络 VPN VPN连接状态为“正常” 配置变更 vpnaas.vpnConnections、vpnaas.ipsec-site-connections 云监控服务 CES CES启用告警操作 配置变更 ces.alarms CES配置监控KMS禁用或计划删除的事件监控告警 周期触发 ces.alarms CES配置监控OBS桶策略变更的事件监控告警 周期触发 ces.alarms 指定的资源类型绑定指定指标CES告警 周期触发 ces.alarms 检查特定指标的CES告警进行特定配置 配置变更 ces.alarms CES配置监控VPC变更的事件监控告警 周期触发 ces.alarms 云容器引擎 CCE CCE集群版本为处于维护的版本 配置变更 cce.clusters CCE集群运行的非受支持的最旧版本 配置变更 cce.clusters CCE集群资源不具有公网IP 配置变更 cce.clusters 云审计服务 CTS CTS追踪器通过KMS进行加密 配置变更 cts.trackers CTS追踪器启用事件分析 配置变更 cts.trackers CTS追踪器追踪指定的OBS桶 周期触发 cts.trackers CTS追踪器打开事件文件校验 配置变更 cts.trackers 创建并启用CTS追踪器 周期触发 cts.trackers 在指定区域创建并启用CTS追踪器 周期触发 cts.trackers 云数据库 RDS GaussDB资源属于指定虚拟私有云ID 配置变更 gaussdb.instance GaussDB NoSQL部署在单个可用区 配置变更 nosql.instances GaussDB NoSQL开启备份 配置变更 nosql.instances GaussDB NoSQL使用磁盘加密 配置变更 nosql.instances GaussDB NoSQL开启错误日志 配置变更 nosql.instances GaussDB NoSQL支持慢查询日志 配置变更 nosql.instances GaussDB实例开启审计日志 配置变更 gaussdb.instance GaussDB实例开启自动备份 配置变更 gaussdb.instance GaussDB实例开启错误日志 配置变更 gaussdb.instance GaussDB实例开启慢日志 配置变更 gaussdb.instance GaussDB for MySQL实例开启审计日志 配置变更 gaussdb.instance GaussDB for MySQL实例开启备份 配置变更 gaussdb.instance GaussDB for MySQL实例开启错误日志 配置变更 gaussdb.instance GaussDB for MySQL实例开启慢日志 配置变更 gaussdb.instance RDS实例开启备份 配置变更 rds.instances RDS实例开启错误日志 配置变更 rds.instances RDS实例开启慢日志 配置变更 rds.instances RDS实例支持多可用区 配置变更 rds.instances RDS实例不具有公网IP 配置变更 rds.instances RDS实例开启存储加密 配置变更 rds.instances RDS实例属于指定虚拟私有云ID 配置变更 rds.instances RDS实例配备日志 配置变更 rds.instances 云搜索服务 CSS CSS集群启用认证 配置变更 css.clusters CSS集群启用快照 配置变更 css.clusters CSS集群开启磁盘加密 配置变更 css.clusters CSS集群启用HTTPS 配置变更 css.clusters CSS集群绑定指定VPC资源 配置变更 css.clusters CSS集群具备多AZ容灾 配置变更 css.clusters CSS集群具备多实例容灾 配置变更 css.clusters CSS集群不能公网访问 配置变更 css.clusters CSS集群开启安全模式 配置变更 css.clusters CSS集群白名单不生效 配置变更 css.clusters CSS集群kibana白名单不生效 配置变更 css.clusters 云硬盘 EVS 云硬盘的类型在指定的范围内 配置变更 evs.volumes 云硬盘创建后在指定天数内绑定资源实例 周期触发 evs.volumes 云硬盘闲置检测 配置变更 evs.volumes 已挂载的云硬盘开启加密 配置变更 evs.volumes 云证书管理服务 CCM 检查私有CA是否过期 周期触发 pca.ca 检查私有证书是否过期 周期触发 pca.cert 分布式消息服务Kafka版 DMS Kafka队列打开内网SSL加密访问 配置变更 dms.kafkas DMS Kafka队列打开公网SSL加密访问 配置变更 dms.kafkas DMS Kafka队列开启公网访问 配置变更 dms.kafkas 分布式消息服务RabbitMQ版 DMS RabbitMq队列打开SSL加密访问 配置变更 dms.rabbitmqs 分布式消息服务RocketMQ版 DMS Reliability队列打开SSL加密访问 配置变更 dms.reliabilitys 父主题： 系统内置预设策略