华为云用户手册

DEW权限 默认情况下，KMS管理员创建的 IAM 用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 DEW部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如华北-北京1）对应的项目（cn-north-1）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问DEW时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对DEW服务，KMS管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分，权限的最小粒度为API授权项（action）。DEW支持的API授权项请参见DEW权限及授权项。 如表 KMS系统策略所示，包括了DEW的所有系统权限。 表1 KMS系统策略 系统角色/策略名称 描述 类别 依赖关系 KMS Administrator 密钥管理服务(KMS)管理员，拥有该服务下的所有权限。 系统角色 无 KMS CMKFullAccess 密钥管理服务(KMS)的加密密钥所有权限。拥有该权限的用户可以完成基于策略授权的所有操作。 系统策略 无 KMS CMKReadOnlyAccess 密钥管理服务(KMS)的加密密钥只读权限。拥有该权限的用户可以完成基于策略授权的所有操作。 系统策略 无 表2 KPS系统策略 系统角色/策略名称 描述 类别 依赖关系 DEW KeypairFullAccess 数据加密 服务中密钥对管理服务(KPS)的所有权限。拥有该权限的用户可以完成基于策略授权的所有操作。 系统策略 无 DEW KeypairReadOnlyAccess 数据加密服务中密钥对管理服务(KPS)的查看权限。拥有该权限的用户仅能查看密钥对管理服务(KPS)数据。 系统策略 无 表3 CS MS系统策略 系统角色/策略名称 描述 类别 依赖关系 C SMS FullAccess 数据加密服务中凭据管理服务(CSMS)的所有权限。拥有该权限的用户可以完成基于策略授权的所有操作。 系统策略 无 CSMS ReadOnlyAccess 数据加密服务中凭据管理服务(CSMS)的只读权限。拥有该权限的用户可以完成基于策略授权的所有操作。 系统策略 无 DEW KeypairFullAccess、DEW KeypairReadOnlyAccess策略用于进行企业项目授权时，对个人用户授权后无法生效。 若个人用户需使用企业项目授权，需将个人用户加入用户组，对用户组整体进行授权后，该个人用户才能正常使用企业项目。 表4列出了DEW常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表4 常用操作与KMS系统权限的关系 操作 KMS Administrator KMS CMKFullAccess 创建密钥 √ √ 启用密钥 √ √ 禁用密钥 √ √ 计划删除密钥 √ √ 取消计划删除密钥 √ √ 修改密钥别名 √ √ 修改密钥描述 √ √ 创建随机数 √ √ 创建数据密钥 √ √ 创建不含明文数据密钥 √ √ 加密数据密钥 √ √ 解密数据密钥 √ √ 获取密钥导入参数 √ √ 导入密钥材料 √ √ 删除密钥材料 √ √ 创建授权 √ √ 撤销授权 √ √ 退役授权 √ √ 查询授权列表 √ √ 查询可退役授权列表 √ √ 加密数据 √ √ 解密数据 √ √ 签名消息 √ √ 验证签名 √ √ 开启密钥轮换 √ √ 修改密钥轮换周期 √ √ 关闭密钥轮换 √ √ 查询密钥轮换状态 √ √ 查询密钥实例 √ √ 查询密钥标签 √ √ 查询项目标签 √ √ 批量添加删除密钥标签 √ √ 添加密钥标签 √ √ 删除密钥标签 √ √ 查询密钥列表 √ √ 查询密钥信息 √ √ 查询公钥信息 √ √ 查询实例数 √ √ 查询配额 √ √ 查询密钥对列表 x x 创建或导入密钥对 x x 查询密钥对 x x 删除密钥对 x x 更新密钥对描述 x x 绑定密钥对 x x 解绑密钥对 x x 查询绑定任务信息 x x 查询失败的任务 x x 删除所有失败的任务 x x 删除失败的任务 x x 查询正在处理的任务 x x

OBS服务端加密 用户使用OBS（Object Storage Service，OBS）服务端加密方式上传时，可以选择“SEE-KMS加密”，从而使用KMS提供的密钥来加密上传的文件，如图1所示。更多信息请参见《 对象存储服务 用户指南》。 图1 OBS服务端加密 可供选择的用户主密钥包含以下两种： KMS为使用OBS的用户创建一个默认密钥“obs/default”。 用户通过KMS界面创建的自定义密钥。 SM4加密算法仅支持华北-乌兰察布一区域。 用户也可以通过调用OBS API接口，选择服务端加密SSE-KMS方式（SSE-KMS方式是指OBS使用KMS提供的密钥进行服务端加密）上传文件，详情请参考《对象存储服务API参考》。 父主题： 使用KMS加密的云服务

基本概念 本文解释了数据加密服务（Data Encryption Workshop, DEW）的基本术语概念，帮助您正确理解和使用DEW。 表1 通用加密术语 名称 定义 更多信息 对称密钥加密 对称密钥加密又称专用密钥加密。信息的发送方和接收方使用相同密钥去加密和解密数据。 优点：加密和解密速度快。 缺点：每对密钥需保持唯一性，所以用户量大时密钥管理困难。 适用场景：加密大量数据。 密钥概述 非对称密钥加密 非对称密钥加密又称公开密钥加密。它需要使用一对密钥来分别完成加密和解密的操作，一个公开发布，即公开密钥，另一个由用户自己秘密保存，即私用密钥。 优点：加密和解密使用密钥不同，所以安全性高。 缺点：加密和解密速度较慢。 适用场景：对敏感信息加密。 密钥概述 国密 国密即国家密码局认定的国产密码算法。其中包括对称加密算法、椭圆曲线非对称加密算法、摘要算法。包括 SM2、SM4 等。 SM1为对称加密算法，加密强度为128位，采用硬件实现。 SM2为非对称加密算法，其加密强度为256位。 SM3为密码摘要算法，消息分组长度为 512 位，摘要值长度为 256 位。 SM4为对称加密算法，加密强度为128位。 - HMAC算法 （Hash-based Message Authentication Code，HMAC） HMAC算法是一种基于密钥的消息认证码算法。HMAC算法使用信息与密钥结合，使用哈希函数对结果进行加密，由此实现对信息完整性的保护以及信息验证。 - 数字签名 数字签名（Digital Signature）又称公钥数字签名，通常用于验证消息的真实性和完整性。使用者通过私钥将信息加密后发送给接收方，接收方通过公钥进行解密，通过信息对比保障电子文件的安全性。 - 表2 密钥管理服务术语 名称 定义 更多信息 硬件安全模块 （Hardware Security Module，HSM） 硬件安全模块是一种用于保护和管理强认证系统所使用的密钥同时提供相关密码学操作的计算机硬件设备。 - 用户主密钥 （Customer Master Key，CMK） 用户主密钥是用户或云服务通过密钥管理创建的密钥，是一种密钥加密密钥，主要用于加密并保护数据加密密钥。一个用户主密钥可以加密多个数据加密密钥。 用户主密钥分为自定义密钥和默认密钥。 什么是用户主密钥？ 默认密钥 （Default Key） 默认密钥是对象存储服务（Object Storage Service，OBS）等其他云服务自动通过密钥管理为用户创建的用户主密钥，其别名后缀为“/default”。 什么是默认密钥？ 密钥材料 （Key Material） 密钥材料是密码运算操作的重要输入之一，与密钥ID、基本元数据共同组成用户主密钥（Customer Master Key，CMK）。 - 信封加密 （Envelope Encryption） 信封加密是一种加密手段，将加密数据的数据密钥封入信封中存储、传递和使用，不再使用用户主密钥直接加解密数据。 信封加密方式有什么优势？ 数据加密密钥 （Data Encrypt Key，DEK） 数据加密密钥是用于加密数据的密钥。 什么是数据加密密钥？ HYOK （Hold Your Own Key，HYOK） 用户可以完全控制其密钥，密钥始终归用户所有。 专属密钥库 表3 SSH密钥对术语 名称 定义 更多信息 SSH密钥对 SSH密钥对是一种用于加密和验证网络连接的安全协议。它由两个部分组成：私钥和公钥。 私钥是一个加密的文件，只有持有者可以访问它。 公钥是一个非加密的文件，可以与任何人共享。当一个用户想要连接到另一个用户的计算机时，可以使用公钥来加密消息，并使用私钥来解密消息。 这种加密方式比传统的密码验证更安全，因为私钥只有持有者可以访问，而公钥可以在不暴露私钥的情况下共享。 密钥对管理 私有密钥对 私有密钥对是仅支持当前帐号查看或使用的密钥对。 创建密钥对 帐号密钥对 帐号密钥对是支持本帐号下所有用户查看或使用的密钥对。 升级密钥对

凭据安全检索 应用程序访问数据库或其他服务时，需要提供如密码、令牌、证书、SSH 密钥、API 密钥等各种类型的凭据信息进行身份校验，通常是直接使用明文方式将上述凭据嵌入在应用程序的配置文件中。该场景存在凭据信息硬编码、明文存储易泄露和安全性较低等风险问题。 通过凭据管理服务，用户可以将代码中的硬编码替换为对API 的调用，以便用编程的方式动态查询凭据，由于该凭据中不包含敏感信息，保证凭据不被泄露。 解决方案说明如下： 应用读取配置时，调用凭据管理服务API检索读取凭据（代替硬编码和明文凭据）。

凭据事件通知 用户为凭据对象订阅关联事件后，当事件为启用状态且基础事件类型在凭据对象上触发时，通过 消息通知 服务（ SMN ）对应事件通知会发送至事件指定的通知主题上。基础事件类型包括：凭据新版本创建，凭据版本过期，凭据删除，凭据轮转。配置事件通知后，用户可以通过 函数工作流 服务(FunctionGraph)中基于事件驱动的托管函数来自动化轮转凭据。 解决方案说明如下： 1.管理员通过凭据管理服务的事件通知控制台或者调用API接口新增事件。 2.创建或更新凭据时，关联订阅所需的事件对象。 3.用户在凭据状态发生改变时收到事件通知消息，并可在函数工作流服务(FunctionGraph)中配置函数，来实现凭据自动更新或轮转等功能。

凭据管理基本功能 表1 凭据管理基本功能 功能 服务内容 凭据全生命周期管理 创建、查看、定时删除、取消删除凭据 修改凭据的加密密钥和描述信息 凭据版本管理 创建、查看凭据版本 查看凭据值 凭据版本到期设置 凭据版本状态管理 更新、查询、删除凭据版本状态 凭据标签管理 添加、搜索、编辑、删除标签 凭据事件管理 创建、查看、删除事件 修改凭据事件类型 凭据通知管理 查看变更事件类型、事件名称、凭据名称

轮换凭据和密钥 为提升系统安全性，需要对敏感凭据进行定期更新。凭据轮换时要求对目标凭据具备依赖性的应用或配置同步更新，多应用系统凭据更新容易遗漏，可能带来业务中断风险。 通过凭据管理服务，提供凭据多版本管理，应用节点通过API/SDK调用实现应用层凭据安全轮换。 解决方案说明如下： 管理员通过凭据管理控制台或API接口新增凭据版本，更新目标凭据内容。 应用节点通过调用API/SDK 获取最新凭据版本，或指定版本状态的凭据，实现全量或灰度的凭据轮换。 定期重复步骤1和步骤2实现凭据定期轮转。 加密密钥开启密钥轮换，提高存储安全性。

修订记录 发布日期 修改说明 2023-11-03 第三十九次正式发布。 新增基本概念章节，新增HAMC算法、数字签名概念，修改密钥对概念。 新增场景示例章节。 修改产品优势章节，新增高易用性描述。 2023-09-25 第三十八次正式发布。 修改产品优势章节，新增对接CCE服务描述。 2023-08-24 第三十七次正式发布。 删除计费说明章节。计费说明更换为手册。 2023-08-02 第三十六次正式发布。 修改功能特性章节，新增专属密钥库、HYOK特性描述。 2023-06-30 第三十五次正式发布。 修改功能特性章节，新增HMAC密钥算法类型描述。 修改功能特性章节，新增凭据事件通知描述。 修改产品优势章节，新增凭据变更通知描述。 2022-11-22 第三十三次正式发布。 新增版本说明章节。 2022-11-15 第三十二次正式发布。 新增安全章节。 2022-08-18 第三十一次正式发布。 修改什么是数据加密服务章节，新增密钥对、私有密钥对、帐号密钥对概念。 2022-07-08 第三十次正式发布。 修改什么是数据加密服务章节，新增国密概念。 2022-05-18 第二十九次正式发布 修改什么是数据加密服务章节，优化基本概念。 2022-05-10 第二十八次正式发布。 修改功能特性，优化内容介绍。 修改1.8-计费说明章节，优化计费说明。 2022-03-29 第二十七次正式发布。 修改1.8-计费说明章节，优化计费说明。 2022-02-25 第二十六次正式发布。 修改1.5.1功能特性章节，新增支持导入的密钥对算法 2021-12-27 第二十五次正式发布。 修改1.4.1功能特性章节，优化功能特性。 修改1.4.3使用场景章节，优化使用场景介绍。 2021-11-15 第二十四次正式发布。 修改1.8-计费说明章节，优化计费说明。 2021-09-30 第二十三次正式发布。 修改使用场景章节，新增相关文档链接。 修改1.8-计费说明章节，优化计费说明。 2021-07-20 第二十二次正式发布。 修改凭据管理章节，优化功能特性。 修改功能特性章节，优化功能特性。 2021-06-30 第二十一次正式发布。 新增凭据管理章节。 修改什么是数据加密服务章节，增加凭据管理描述。 修改DEW权限管理章节，增加“常用操作与系统权限的关系”表。 2020-12-14 第二十次正式发布。 增加个人数据保护机制章节。 2020-08-25 第十九次正式发布。 “数据安全治理”下线。 2020-08-18 第十八次正式发布。 修改1.8-计费说明章节中引用的链接。 2020-05-27 第十七次正式发布。 新增1.8-计费说明。 2020-02-10 第十六次正式发布。 DEW系统策略名称变更：“DEW Keypair Admin”修改为“DEW KeypairFullAccess”，“DEW Keypair Viewer” 修改为“DEW KeypairReadOnlyAccess”，“KMS CMK Admin”修改为“KMS CMKFullAccess”。 2020-01-20 第十五次正式发布。 根据IAM界面变化更新产品介绍中DEW权限管理章节的内容。 2019-12-13 第十四次正式发布。 产品介绍修改功能特性章节，删除基础版和专业版相关描述。 2019-10-16 第十三次正式发布。 新增细粒度授权相关内容。 2019-06-24 第十二次正式发布。 在如何使用中补充使用流程。 在功能特性中新增支持的加密机类型。 2019-05-27 第十一次正式发布。 产品介绍优化DEW权限管理章节。 2019-03-30 第十次正式发布。 优化产品介绍目录结构，方便用户查阅。 2018-11-08 第九次正式发布。 修改“如何使用”章节，增加“与弹性文件服务配合使用”的说明。 修改与其他云服务的关系章节，增加“与弹性文件服务的关系”的说明。 2018-05-25 第八次正式发布。 修改如何使用章节，增加“与云数据库配合使用”的说明。 修改与其他云服务的关系章节，增加“与云数据库的关系”的说明。 2018-05-17 第七次正式发布。 修改与其他云服务的关系章节，新增导入私钥和导出私钥操作事件。 2018-04-12 第六次正式发布。 修改“功能介绍”章节，增加绑定密钥对说明。 2018-03-30 第五次正式发布。 修改“使用场景”，增加“登录Linux操作系统的弹性云服务器”。 修改“功能介绍”，增加创建、导入和删除密钥对功能介绍。 修改如何使用，增加与弹性云服务器配合使用的描述。 修改与其他云服务的关系，增加与弹性云服务器的关系说明，新增添加标签、删除标签、创建和导入密钥对、删除密钥对操作事件。 2017-12-15 第四次正式发布。 修改“功能介绍”章节，增加加解密小数据功能说明。 2017-11-16 第三次正式发布。 新增支持云硬盘。 新增了“项目”的概念说明。 修改“使用场景”章节。 修改与其他云服务的关系章节，增加 云审计 服务支持的KMS操作“加密数据”、“解密数据”的资源类型和事件名称。 2017-01-20 第二次正式发布。 新增了密钥管理服务相关概念、访问与使用方法以及与其他云服务的关系。 新增了默认主密钥说明。 新增了OBS、EVS、IMS定义，并优化了使用场景相关描述。 优化了SSE-KMS相关描述。 新增了创建DEK、不含明文的DEK方法相关说明。 新增了EVS、IMS与KMS的关系，如何配合使用等相关描述。 新增加了私有镜像的加密方法相关说明。 2016-08-25 第一次正式发布。

镜像包打包 上传打包的项目。 将jar文件上传到联网的linux机器上，如目录（/home/monitor）中 安装docker。 请确认你使用的系统已经安装docker(docker版本需要高于17.06，推荐18.06),安装参照docker 安装教程 制作镜像。 搜索基础镜像，基础镜像需要集成jre。 docker search jre8 选择合适的镜像（镜像需要集成了jre且版本不低于8） NAME DESCRIPTION STARS OFFICIAL AUTOMATED livingobjects/jre8 Jre8 image 4 [OK] livingobjects/jre8镜像是docker hub第三方提供的镜像，非华为公司发布，且华为公司未提供任何官方镜像。该镜像在此仅做示例，华为对该镜像的安全性不作保证。强烈建议用户自己封装镜像！ 拉取镜像 docker pull livingobjects/jre8 编写dockerfile制作镜像 dockerfile内容参照如下（具体可参考编写高效的Dockerfile ） #Version 1.0.0 FROM livingobjects/jre8 #基础镜像来源 RUN mkdir -p /opt/iot/edge/monitor / && chmod -R 777 /opt/ #授权 COPY monitor /opt/iot/edge/monitor #复制文件到指定目录,此dockerfile文件位置:/home,jar包位置:/home/monitor USER root #用户名 EXPOSE 8080 CMD ["java", "-jar", "/opt/iot/edge/monitor/monitor-app.jar", "run"] #运行命令 构建镜像 docker build -t edge_monitor:1.0.0 /home --no-cache 查看打包完成的镜像 docker images REPOSITORY TAG IMAGE ID CREATED SIZE edge_monitor 1.0.0 93f9d964bcea 12 seconds ago 243MB 镜像上传。 上传镜像 开通 容器镜像服务 SWR 镜像上传需要使用SWR镜像容器服务，开通及使用请参照容器 镜像服务 SWR_用户指南 获取SWR登录指令 请参照使用容器引擎客户端上传镜像第四节。 tag镜像 使用tag命令将镜像重命名以确定上传位置和组织，获取上传位置和组织前缀请参考pull/push命令 docker tag edge_monitor:1.0.0 swr.cn-north-4.myhuaweicloud.com/hw_swr/edge_monitor:1.0.0 上传镜像 docker push swr.cn-north-4.myhuaweicloud.com/hw_swr/edge_monitor:1.0.0 查看上传结果 上传镜像后请在SWR将镜像设置为公开。

镜像包打包 构建需要打包的项目 构建项目，此处示例，构建好的文件存放在目录 /home/ModuleSDK-Demo 下 安装docker 请确认您使用的系统已经安装Docker(Docker版本需要高于17.06，推荐18.06)，安装方法可参照docker 安装教程。 制作镜像 搜索基础镜像。 docker search dotnet 根据您的工程配置，选择合适的镜像。 镜像需要集成与您的工程配置兼容的.Net运行环境，下文使用的.Net版本仅作演示。 拉取镜像。 docker pull mcr.microsoft.com/dotnet/runtime:2.1 mcr.microsoft.com/dotnet/runtime:2.1 镜像是微软提供的镜像，非华为公司发布，且华为公司未提供任何官方镜像。该镜像在此仅做示例，华为对该镜像的安全性不作保证，强烈建议用户自己封装镜像！ 编写 Dockerfile 制作镜像。 创建 Dockerfile，内容示例如下（具体可参考编写高效的Dockerfile ）。 下面提供了ModuleSDK-Demo镜像构建样例，仅作示例展示，请按需修改。 # 基础镜像来源 FROM mcr.microsoft.com/dotnet/runtime:2.1 # 指定工作目录 WORKDIR /app # 拷贝工程二进制文件和相关文件（即项目构建发布的产物） COPY ModuleSDK-Demo/ /app ENTRYPOINT ["dotnet", "ModuleSDK-Demo.dll"] 构建镜像 docker build -t modulesdk-demo:1.0.0 -f Dockerfile . 查看打包完成的镜像 docker images 可以看到modulesdk-demo这个镜像已经制作完成。 REPOSITORY TAG IMAGE ID CREATED SIZE modulesdk-demo 1.0.0 85ed3c3dc738 8 minutes ago 182MB 上述步骤演示的是直接拷贝已编译好的工程文件来构建镜像，您也可以采取在构建镜像时编译的方式，具体可参照.Net 官方文档的指引。 镜像上传 上传镜像 镜像上传需要使用镜像容器服务(SWR)，首先需要开通容器镜像服务(SWR)。开通及使用请参照容器镜像服务(SWR)。 获取 SWR 登录指令 获取登录指令请参照获取指令。 访问密钥即AK/SK（Access Key ID/Secret Access Key），获取的AK/SK将用于登录。 登录 SWR 仓库 docker login -u [区域项目名]@[AK] -p [登录密钥] [镜像仓库地址] 可以直接从控制台获取登录命令，如下图。 镜像仓库地址 = swr.区域项目名称.myhuaweicloud.com 例如，华北-北京一对应的镜像仓库地址为：swr.cn-north-1.myhuaweicloud.com 修改镜像所属组织 修改镜像的组织名，以便推送到个人组织内。 docker tag [OPTIONS] [镜像名:版本号] [镜像仓库地址/所属组织/镜像名:版本号] 例如， docker tag modulesdk-demo:1.0.0 swr.cn-north-4.myhuaweicloud.com/iotedge/modulesdk-demo:1.0.0 上传镜像 docker push [镜像仓库地址/所属组织/镜像名:版本号] 例如， docker push swr.cn-north-4.myhuaweicloud.com/iotedge/modulesdk-demo:1.0.0 在我的镜像查看上传结果 上传镜像后请在 SWR 将镜像设置为公开。 查看镜像详情： 编辑镜像： 设置为公开： 这一步很重要，关系到后面能否正常部署应用。

镜像包打包 上传需要打包的项目。将项目上传到网络能访问到的Linux机器上，放到目录下（比如 /home/MyCApp）。 安装docker。 请确认你使用的系统已经安装docker(docker版本需要高于17.06，推荐18.06)，安装方法可参照docker 安装教程。 制作镜像。 搜索基础镜像。 对基础镜像没有要求，可自行选择合适的基础镜像，以下选用带cmake的镜像作为示例 docker search cmake 选择合适的镜像（镜像需要集成了cmake且版本不低于3.9.5） NAME DESCRIPTION STARS OFFICIAL AUTOMATED lycantropos/cmake CMake Docker image 3 [OK] 拉取镜像 lycantropos/cmake镜像是docker hub第三方提供的镜像，非华为公司发布，且华为公司未提供任何官方镜像。该镜像在此仅做示例，华为对该镜像的安全性不作保证。强烈建议用户自己封装镜像！ docker pull lycantropos/cmake 添加启动脚本start.sh，放到项目文件下（和main.c在一个目录下）。 function log(){ echo `date "+%Y-%m-%d %T"`: $1 } log "[INFO] start execute process." # 这里的路径取决于项目保存的位置 cd /opt/iot/edge/MyCApp ./MyCApp MyCApp为可执行文件，生成步骤可参考生成可执行文件 编写 Dockerfile 制作镜像 创建 Dockerfile，命名为 myapp-dockerfile 内容参照如下（具体可参考编写高效的Dockerfile ）。 下面提供myapp-dockerfile 样例，请根据具体需要修改。 注意myapp-dockerfile需要和项目放到一个目录下。 #Version 1.0.0 # 基础镜像来源 # 如果不采用在镜像中编译源文件的方式，可以任意选择基础镜像 FROM lycantropos/cmake # 创建镜像文件目录，并且授权 RUN mkdir -p /opt/iot/edge/MyCApp/conf && chmod -R 777 /opt ENV docker_path=/opt/iot/edge/MyCApp ENV LD_LIBRARY_PATH=${docker_path}:$LD_LIBRARY_PATH WORKDIR ${docker_path} # 复制工程或文件到指定目录 COPY MyCApp/MyCApp $docker_path # 将依赖库和配置文件放到对应目录下，确保编译的时候不会出错 COPY MyCApp/lib /usr/lib COPY MyCApp/conf $docker_path/conf COPY MyCApp/start.sh $docker_path # 指定容器将要监听的端口 USER root EXPOSE 8082 ENTRYPOINT ["/bin/bash", "/opt/iot/edge/MyCApp/start.sh"] 构建镜像 docker build -f ./myapp-dockerfile -t my_app_docker:v1.0.0 ./ 查看打包完成的镜像 docker images 可以看到my_app_docker这个镜像已经制作完成。 REPOSITORY TAG IMAGE ID CREATED SIZE my_app_docker v1.0.0 983b4e5aa72a 10 minutes ago 1.51GB 镜像上传 以上步骤可以通过体验馆熟悉流程。 上传镜像 镜像上传需要使用镜像容器服务(SWR)，首先需要开通容器镜像服务(SWR)。开通及使用请参照容器镜像服务(SWR)。 获取 SWR 登录指令 获取登录指令请参照获取指令。 访问密钥即AK/SK（Access Key ID/Secret Access Key），获取的密钥和AK将用于登录。 登录 SWR 仓库 docker login -u [区域项目名]@[AK] -p [登录密钥] [镜像仓库地址] 可以直接从控制台获取登录命令，如下图。 镜像仓库地址 = swr.区域项目名称.myhuaweicloud.com 例如，华北-北京一对应的镜像仓库地址为：swr.cn-north-1.myhuaweicloud.com 修改镜像所属组织 修改镜像的组织名，以便推送到个人组织内。 docker tag [OPTIONS] [镜像名:版本号] [镜像仓库地址/所属组织/镜像名:版本号] 例如， docker tag my_app_docker:v1.0.0 swr.cn-north-4.myhuaweicloud.com/iotedge/my_app_docker:v1.0.0 上传镜像 docker push [镜像仓库地址/所属组织/镜像名:版本号] 例如， docker push swr.cn-north-4.myhuaweicloud.com/iotedge/my_app_docker:v1.0.0 在我的镜像查看上传结果 上传镜像后请在 SWR 将镜像设置为公开。 步骤一： 步骤二： 步骤三： 这一步很重要，关系到后面能否正常部署应用。

公网带宽 公网带宽是指华为云实例到Internet之间的网络带宽流量。ECS实例可以通过在创建时配置公网带宽，或创建后绑定EIP的方式来开通公网带宽，即弹性公网IP带宽。 公网带宽分为入云带宽和出云带宽。 入云带宽：从Internet流入华为云方向的带宽，例如，从公网下载资源到云内ECS。 出云带宽：从华为云流出到Internet方向的带宽，例如，云内的ECS对外提供服务，外部用户下载云内ECS上的资源。

变更安全组规则和网络ACL规则时，是否对原有流量实时生效？ 安全组使用连接跟踪来标识进出实例的流量信息，入方向安全组的规则变更，对原有流量立即生效。出方向安全组规则的变更，不影响已建立的长连接，只对新建立的连接生效。 当您在安全组内增加、删除、更新规则，或者在安全组内添加、移出实例时，系统会自动清除该安全组内所有实例入方向的连接，详细说明如下： 由入方向流量建立的连接，已建立的长连接将会断开。所有入方向流量立即重新建立连接，并匹配新的安全组入方向规则。 由出方向流量建立的连接，已建立的长连接不会断开，依旧遵循原有安全组规则。出方向流量新建立的连接，将会匹配新的安全组出方向规则。 网络ACL使用连接跟踪来标识进出实例的流量信息，入方向和出方向网络ACL规则配置变更，对原有流量不会立即生效。 当您在网络ACL内增加、删除、更新规则，或者在网络ACL内添加、移出子网时，由入方向/出方向流量建立的连接，已建立的长连接不会断开，依旧遵循原有网络ACL规则。入方向/出方向流量新建立的连接，将会匹配新的网络ACL出方向规则。 对于已建立的长连接，流量断开后，不会立即建立新的连接，需要超过连接跟踪的老化时间后，才会新建立连接并匹配新的规则。比如，对于已建立的ICMP协议长连接，当流量中断后，需要超过老化时间30s后，将会新建立连接并匹配新的规则，详细说明如下： 不同协议的连接跟踪老化时间不同，比如已建立连接状态的TCP协议连接老化时间是600s，ICMP协议老化时间是30s。对于除TCP和ICMP的其他协议，如果两个方向都收到了报文，连接老化时间是180s，如果只是单方向收到了报文，另一个方向没有收到报文，则连接老化时间是30s。 TCP协议处于不同状态下的连接老化时间也不相同，比如TCP连接处于ESTABLISHED（连接已建立）状态时，老化时间是600s，处于FIN-WAIT（连接即将关闭）状态时，老化时间是30s。 父主题： 安全类

操作指引 本文提供Linux和Windows云服务器的操作指导，具体请参见表1。 表1 操作指引说明 操作系统类型 IP类型 操作步骤 Linux IPv4 本文以CentOS 8.0 64bit操作系统为例： 为多网卡Linux 云服务器配置 策略路由 (IPv4/IPv6) IPv6 Windows IPv4 本文以Windows 2012 64bit操作系统为例： 为多网卡Windows云服务器配置策略路由 (IPv4/IPv6) IPv6

操作场景 本文档以配置双网卡云服务器的策略路由为例，组网如图1所示，具体说明如下： 源端云服务器主网卡和扩展网卡位于同一个VPC内的不同子网。 源端云服务器和目的端云服务器位于同一个VPC内的不同子网，因此网络互通，即配置策略路由前，源端云服务器的主网卡可以和目的端云服务器正常通信。 为源端云服务器双网卡配置策略路由后，主网卡和扩展网卡都可以作为独立网卡和目的端云服务器正常通信。 您可以根据实际情况选择目的端地址，请在配置双网卡策略路由前，确保源端云服务器主网卡和目的端已正常通信。 图1 双网卡云服务器组网示意图

排查思路 以下排查思路根据原因的出现概率进行排序，建议您从高频率原因往低频率原因排查，从而帮助您快速找到问题的原因。 如果解决完某个可能原因仍未解决问题，请继续排查其他可能原因。 表1 排查思路 可能原因 处理措施 检查ECS安全组是否已放通 解决方法请参考检查ECS安全组是否已放通。 检查网卡的“源/目的检查”开关是否关闭 解决方法请参考检查网卡的源/目的检查开关是否关闭。 检查VPC的自定义路由是否添加正确 解决方法请参考检查VPC的自定义路由是否添加正确。

路由 您可以在默认路由表和自定义路由表中添加路由，路由包括目的地址、下一跳类型、下一跳地址等信息，来决定网络流量的走向。路由分为系统路由和自定义路由。 系统路由：系统自动添加且无法修改或删除的路由。 创建路由表后，系统会自动在路由表中添加如下的系统路由，表示VPC内实例互通。 目的地址是100.64.0.0/10、198.19.128.0/20的路由。 目的地址是子网网段的路由。 您在创建子网时，开启IPv6功能，系统将自动为当前子网分配IPv6网段，就可以在路由表中看到IPv6路由。子网网段目的地址示例如下： IPv4地址：192.168.2.0/24。 IPv6地址：2407:c080:802:be7::/64。 除以上系统路由外，系统还会自动添加目的地址是127.0.0.0/8的路由，表示本地回环地址。 自定义路由：可以修改和删除的路由。自定义路由的目的地址不能与系统路由的目的地址重叠。 您可以通过添加自定义路由来自定义网络流量的走向，您需要指定目的地址、下一跳类型、下一跳地址。支持的下一跳类型如表1所示。 您无法在VPC路由表中添加目的地址相同的两条路由，即使路由的下一跳类型不同也不行。因此不论路由的下一跳是何种类型，路由的优先级均取决于目的地址，遵循最长匹配原则，即优先选择匹配度更高的目的地址进行路由转发。 表1 下一跳类型 下一跳类型 说明 支持添加该类型路由的路由表 服务器实例 将指向目的地址的流量转发到虚拟私有云内的一台ECS实例。 默认路由表 自定义路由表 扩展网卡 将指向目的地址的流量转发到虚拟私有云内的一台ECS实例的扩展网卡。 默认路由表 自定义路由表 裸金属服务器自定义网络 将指向目的地址的流量转发到一个裸金属服务器自定义网络。 自定义路由表 VPN网关 将指向目的地址的流量转发到一个VPN网关。 自定义路由表 云专线网关 将指向目的地址的流量转发到一个云专线网关。 自定义路由表 云连接 将指向目的地址的流量转发到云连接。 自定义路由表 辅助弹性网卡 将指向目的地址的流量转发到虚拟私有云内的一台ECS实例的辅助弹性网卡。 默认路由表 自定义路由表 NAT网关 将指向目的地址的流量转发到一个NAT网关。 默认路由表 自定义路由表 对等连接 将指向目的地址的流量转发到一个对等连接。 默认路由表 自定义路由表 虚拟IP 将指向目的地址的流量转发到一个虚拟IP地址，可以通过该虚拟IP地址将流量转发到主备ECS。 默认路由表 自定义路由表 VPC终端节点 将指向目的地址的流量转发到一个VPC终端节点。 默认路由表 自定义路由表 云容器引擎 将指向目的地址的流量转发到一个云容器引擎的节点。 默认路由表 自定义路由表 企业路由器 将指向目的地址的流量转发到一个企业路由器。 默认路由表 自定义路由表 云防火墙 将指向目的地址的流量转发到一个云防火墙。 默认路由表 自定义路由表 互联网网关 将指向目的地址的流量转发到一个互联网网关。 默认路由表 自定义路由表 个别由系统下发的路由可供用户修改和删除，这取决于创建对端服务时是否已设置目的地址。 例如，创建NAT网关时，系统会自动下发一条自定义类型的路由，没有明确指定目的地址（默认为0.0.0.0/0）,此时用户可修改该目的地址。而创建VPN网关时，可以指定远端子网，也就是路由表的目的地址，系统将下发系统类型的路由。如果在路由表页面更改路由将会导致与对端数据不一致，您可以前往对端服务页面修改远端子网来调整路由表中的路由规则。

查看停机原因 登录 全球SIM联接 的SIM卡管理页面，可以查看所有的SIM卡列表。查看停机的物联网卡的“SIM卡状态”列的描述信息，可查看停机原因： 已停用：此时物联网卡处于断网状态。停机原因包括以下几个： 已停用（超流量停机）：单卡当月已用流量超出套餐额度则自动断网。 2021年8月17号后购买的实体卡可在SIM卡管理中购买当月流量叠加包恢复使用； 次月自动恢复为在用。 已停用（超流量阈值停机，超出指定阈值流量）：单卡当月已用流量超出客户指定额度则自动断网。 中国电信实体卡、中国联通和中国移动的组池卡，可自助在SIM卡管理中单击操作列的“更多”，通过修改达量断网阈值来恢复使用； 次月自动恢复为在用。 已停用（流量池停机）：流量池内所有卡当月已用流量超出套餐额度则自动断网 可激活流量池下未激活卡片来贡献流量； 购买同套餐卡片加入流量池中 ； 次月流量清零自动恢复。 已停用（套餐到期停机）：物联网卡到期不续费则自动断网并将销户处理。 已停用（主动停机）：在全球SIM联接平台主动发起停机操作，可在全球SIM联接平台执行复机操作恢复为在用。 已停用（违规停机，包含机卡分离、在手机内使用、高危地区使用等）：违规操作导致的停机，此时请联系华为工程师处理。 已停用 （流量池冻结停机） ：因帐户欠费引起后向流量池成员停机，可在费用中心充值恢复在用。 已停用（后向流量池超阈值停机）：在全球SIM联接平台设置了后向流量池用量监控自动化规则，选择操作为停机，当流量使用量达到用户设定的阈值时，会对此后向流量池的成员卡进行停机。次月自动恢复在用。

怎么查看物联网卡已用流量、剩余流量、月用量以及用量趋势？ 登录全球SIM联接的SIM卡管理页面，可以查看所有的SIM卡列表。在列表中可以查看“已用流量”和“剩余流量”。 已用流量（MB） 激活的物联网卡才会展示已用流量，此时物联网卡处于在用或已停用状态。已用流量默认截止到昨日24点，单击“已用流量”右侧的刷新按钮查询实时流量。 剩余流量（MB） 激活的物联网卡才会展示剩余流量，此时物联网卡处于在用或已停用状态。负数表示超出的流量。 单击“容器ID”列进入SIM卡详情页面，可以在“用量统计”页签查询月用量统计以及本月和上月的用量趋势。 月用量 展示SIM卡套餐六个月内的月用量统计结果。 用量趋势 展示SIM卡套餐两个月内每日的用量趋势统计结果和用量明细信息。 父主题： 流量查询

查看停机原因 登录全球SIM联接的SIM卡管理页面，可以查看所有的SIM卡列表。查看停机的物联网卡的“SIM卡状态”列的描述信息，可查看停机原因： 已停用：此时物联网卡处于断网状态。停机原因包括以下几个： 已停用（超流量停机）：单卡当月已用流量超出套餐额度则自动断网。 2021年8月17号后购买的实体卡可在SIM卡管理中购买当月流量叠加包恢复使用； 次月自动恢复为在用。 已停用（超流量阈值停机，超出指定阈值流量）：单卡当月已用流量超出客户指定额度则自动断网。 中国电信实体卡、中国联通和中国移动的组池卡，可自助在SIM卡管理中单击操作列的“更多”，通过修改达量断网阈值来恢复使用； 次月自动恢复为在用。 已停用（流量池停机）：流量池内所有卡当月已用流量超出套餐额度则自动断网 可激活流量池下未激活卡片来贡献流量； 购买同套餐卡片加入流量池中 ； 次月流量清零自动恢复。 已停用（套餐到期停机）：物联网卡到期不续费则自动断网并将销户处理。 已停用（主动停机）：在全球SIM联接平台主动发起停机操作，可在全球SIM联接平台执行复机操作恢复为在用。 已停用（违规停机，包含机卡分离、在手机内使用、高危地区使用等）：违规操作导致的停机，此时请联系华为工程师处理。 已停用 （流量池冻结停机） ：因帐户欠费引起后向流量池成员停机，可在费用中心充值恢复在用。 已停用（后向流量池超阈值停机）：在全球SIM联接平台设置了后向流量池用量监控自动化规则，选择操作为停机，当流量使用量达到用户设定的阈值时，会对此后向流量池的成员卡进行停机。次月自动恢复在用。

达量断网 支持中国电信实体卡、中国联通和中国移动的组池卡，进行达量断网操作。 物联网卡统一设置了“达量断网”功能，单卡当月已用流量超出套餐额度则自动断网，次月自动恢复。单卡当月剩余流量不累计到下个月。 前向流量池内单卡已用流量超过套餐额度可正常使用，前向流量池内所有卡当月已用流量总和超出前向流量池内SIM卡的套餐额度总和则自动断网。前向流量池当月剩余流量（如果有的话）不累计到下个月。 达量断网停机之后，无论是当月充值恢复使用，还是次月自动恢复使用，大部分设备无需重启即可正常联网。如果发现设备无法联网，重启即可。 父主题： 使用物联网卡

配置定向域名/IP 若配置定向信息有误，可能会导致流量无法使用，建议您先使用少量测试卡配置定向测试，成功后再进行全量配置。 配置定向信息时，请您在相关技术人员的指导下进行，若配置过程中遇到任何问题请联系华为技术人员支撑。 仅订单类型为“新购”的实体卡，才支持配置定向信息。 登录全球SIM联接控制台。 在左侧导航树中选择“订单及续费管理”，进入“订单及续费管理”页面。 单击目标“批次号”，进入“订单详情”页面。 在页面下方的“定向信息”页签中，您可以根据实际需求选择新增、修改、删除定向信息。 若您之前已经配置过目标定向信息，可以单击“添加历史定向信息”，在弹出的“添加历史定向信息”对话框中，勾选目标定向信息。 新增定向信息 单击“新增定向信息”，在弹出的“新增定向信息”对话框中，参考定向流量配置规则配置定向信息。 图1 新增域名定向信息 修改定向信息 在目标定向信息“操作”列，单击“修改”，修改该定向信息。 状态为“配置中”、“审核中”或“删除中”的定向信息不支持修改。 删除定向信息 在目标定向信息“操作”列，单击“删除”，删除该定向信息。 状态为“配置中”、“审核中” 的定向信息不支持删除。 已配置定向的订单无法取消定向，定向信息必须保留一个。

操作步骤 进入购买云数据库 GaussDB (for MySQL)页面。 在“服务选型”页面，计费模式选择“Serverless”，填写并选择实例相关信息后，单击“立即购买”。 图1 基本信息 表1 基本信息 参数 描述 区域 实例所在区域，也可在实例管理页面左上角切换。 须知： 不同区域内的产品内网不互通，且购买后不能更换，请谨慎选择。 实例名称 实例名称长度在4个到64个字符之间，必须以字母开头，可以包含字母、数字、中划线或下划线，不能包含其他特殊字符。 数据库引擎 GaussDB(for MySQL)。 兼容的数据库版本 MySQL 8.0。 实例类型 主备版包含1个主节点和最多1个只读节点。主节点处理读写请求，只读节点仅处理读请求。主节点如果发生故障，只读节点会自动切换为主节点，保证数据库的高可用。适用于中大型企业的生产数据库，覆盖互联网、政企税务、银行保险等行业。 可用区类型 可用区指在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。有的区域支持单可用区和多可用区，有的区域只支持单可用区。 单可用区：主节点和只读节点部署在同一个可用区。 多可用区：您选择主可用区，创建的只读节点会均匀分布在各可用区之间，保证高可靠性。 时区 由于世界各国家与地区经度不同，地方时也有所不同，因此会划分为不同的时区。时区可在创建实例时选择，后期不可修改。 图2 规格与存储（Serverless） 表2 规格与存储 参数 描述 算力配置 当前仅支持“自定义”。 算力范围 1 TCUs的算力配置约等于1U2GB的实例规格。 取值范围：1TCU~16 TCU 节点数量 每个实例默认只有1个主节点，其余节点为只读节点，Serverless实例购买时允许申请0个或1个只读节点。实例购买后不支持创建只读节点。 存储设置 您的存储空间会有必要的文件系统开销，这些开销包括索引节点和保留块，以及数据库运行必需的空间。 购买时无需选择存储容量，Serverless实例存储暂不收费。 备份空间 备份暂不收费。 图3 网络和数据库设置 表3 网络 参数 描述 虚拟私有云 GaussDB(for MySQL)数据库实例所在的 虚拟专用网络 ，可以对不同业务进行网络隔离。您需要创建或选择所需的虚拟私有云。如何创建虚拟私有云，请参见《虚拟私有云用户指南》中的“创建虚拟私有云基本信息及子网”。 如果没有可选的虚拟私有云，GaussDB(for MySQL)数据库服务默认为您分配资源。 须知： 目前GaussDB(for MySQL)实例创建完成后不支持切换虚拟私有云，请谨慎选择所属虚拟私有云。 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全性。 创建实例时GaussDB(for MySQL)会自动为您配置读写内网地址，您也可输入子网号段内未使用的读写内网地址。 说明： GaussDB(for MySQL)目前不支持IPv6网络。 内网安全组 内网安全组限制实例的安全访问规则，加强GaussDB(for MySQL)数据库服务与其他服务间的安全访问。请确保所选取的内网安全组允许客户端访问数据库实例。 如果不创建内网安全组或没有可选的内网安全组，GaussDB(for MySQL)数据库服务默认为您分配内网安全组资源。 说明： 为了保证后续数据库的连接和访问，选择内网安全组时，需在安全组的入方向放开3306端口和icmp协议。若当前选择的内网安全组未放开该端口和协议，请根据页面提示单击“设置规则”，在弹出的对话框中完成设置。 具体可参考设置安全组规则完成配置。 表4 数据库代理 参数 描述 数据库代理 默认开启。开启代理后您可以使用读写分离地址连接到数据库。读写分离地址个数将与主节点数量一致。 当节点数量等于1时，不支持开启数据库代理。 购买实例时开通数据库代理，请联系客服申请权限。 代理模式 支持读写模式和只读模式。 读写模式：所有写请求只发往主节点，所有读请求按照读权重转发到所有被选择的节点。 只读模式：不接收写请求。所有读请求按照读权重转发到已选只读节点，不会转发到主节点，即使主节点被选为服务节点。 代理实例规格 根据实际需要选择代理实例规格。 表5 数据库配置 参数 描述 管理员账户名 数据库的登录名默认为root。 管理员密码 所设置的密码，长度为8~32个字符，至少包含以下字符中的3种：大写字母、小写字母、数字、特殊字符~!@#%^*-_=+?,()&$的组合。请您输入高强度密码并定期修改，以提高安全性，防止出现密码被暴力破解等安全风险。 请妥善保管您的密码，因为系统将无法获取您的密码信息。 实例创建成功后，如需重置密码，请参见重置管理员密码。 确认密码 必须和管理员密码相同。 表6 参数模板 参数 描述 参数模板 数据库参数就像是数据库引擎配置值的容器，参数模板中的参数可应用于一个或多个相同类型的数据库实例。实例创建成功后，参数模板可进行修改。 须知： 创建数据库实例时，为确保数据库实例正常创建，自定义参数模板中相关规格参数如下不会下发，而是采用系统默认的推荐值。 “innodb_buffer_pool_size” “innodb_log_buffer_size” “max_connections” “innodb_buffer_pool_instances” “innodb_page_cleaners” “innodb_parallel_read_threads” “innodb_read_io_threads” “innodb_write_io_threads” “threadpool_size” 您可以在实例创建完成之后根据业务需要进行调整。具体请参见编辑参数模板。 表名大小写敏感 创建数据库及表时，表存储是否大小写敏感。创建后无法修改，请谨慎选择。 区分大小写：表示创建数据库及表时，区分大小写。 不区分大小写：表示创建数据库及表时，不区分大小写，默认小写。 企业项目 该参数针对企业用户使用，如需使用该功能，请联系客服申请开通。 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 请在下拉框中选择所在的企业项目，其中，default为默认项目。 如果需要自定义企业项目，请在控制台右上角单击“企业”，进入“企业项目”页面创建，具体请参见《企业管理用户指南》中“创建企业项目”的内容。 表7 标签 参数 描述 标签 可选配置，对关系型数据库的标识。使用标签可以方便识别和管理您拥有的数据库服务资源。每个实例最多支持20个标签配额。 实例创建成功后，您可以单击实例名称，在标签页签下查看对应标签。关于标签的详细操作，请参见标签。 云数据库GaussDB(for MySQL)数据库的性能，取决于用户申请GaussDB(for MySQL)实例时所选择的配置。可供用户选择的硬件配置项为性能规格、存储类型以及存储空间。 进行规格确认。 如果需要重新选择算力范围，单击“上一步”，返回上个页面修改实例信息。 如果规格确认无误，单击“提交”，完成创建实例的申请。 GaussDB(for MySQL)数据库实例创建成功后，用户可以在“实例管理”页面对其进行查看和管理。 创建实例过程中，状态显示为“创建中”。创建完成的实例状态为“正常”，此时，实例才可以正常使用。 创建实例时，系统默认开启自动备份策略。实例创建成功后，备份策略不允许关闭，并且系统会自动创建一个全量备份。 实例创建成功后，可在实例管理页面确认实例类型。 实例创建成功后，实例名称支持添加备注，以方便用户备注分类。 数据库端口默认为3306，实例创建成功后可修改。 具体请参见修改数据库端口。 为了保证数据及实例安全，建议您及时修改数据库默认端口。

响应参数 状态码： 200 表2 响应Body参数 参数 参数类型 描述 operation_id String 操作ID。 最小长度：1 最大长度：64 percentage_complete Integer 完成进度百分比。 status String 状态。 最小长度：1 最大长度：256 percentage_details Array of OrganizationalPercentageDetail objects 创建账号、纳管注册OU、纳管账号的详细进度信息。 message String 创建账号、纳管注册OU、纳管账号的错误信息描述。 最小长度：1 最大长度：256 表3 OrganizationalPercentageDetail 参数 参数类型 描述 percentage_name String 进度名称。 最小长度：1 最大长度：128 percentage_status String 创建账号、注册OU、纳管账号的进度完成状态。 最小长度：1 最大长度：64

响应示例 状态码： 200 请求成功。 { "operation_id" : "string", "percentage_complete" : 0, "status" : "string", "percentage_details" : [ { "percentage_name" : "string", "percentage_status" : "string" } ], "message" : "string" }

响应示例 状态码： 200 请求成功。 { "manage_account_id" : "string", "account_id" : "string", "account_name" : "string", "account_type" : "string", "owner" : "string", "state" : "string", "message" : "string", "parent_organization_unit_id" : "string", "parent_organization_unit_name" : "string", "identity_store_user_name" : "string", "blueprint_product_id" : "string", "blueprint_product_version" : "string", "blueprint_status" : "string", "regions" : [ { "region" : "string", "region_status" : "string" } ], "created_at" : "2023-11-15T07:32:12.283Z", "updated_at" : "2023-11-15T07:32:12.283Z" }

响应参数 状态码： 200 表2 响应Body参数 参数 参数类型 描述 landing_zone_version String Landing Zone版本。 最小长度：1 最大长度：64 manage_account_id String 管理纳管账号ID。 最小长度：1 最大长度：64 account_id String 纳管账号ID。 最小长度：1 最大长度：64 account_name String 纳管账号名称。 最小长度：1 最大长度：64 account_type String 纳管账号类型。 最小长度：1 最大长度：64 owner String 纳管账号的创建来源，包括CUSTOM和RGC。 最小长度：1 最大长度：64 state String 纳管账号状态。 最小长度：1 最大长度：64 message String 错误状态描述信息。 最小长度：1 最大长度：64 parent_organization_unit_id String 父注册OU ID。 最小长度：1 最大长度：64 parent_organization_unit_name String 父注册OU名称。 最小长度：1 最大长度：64 identity_store_user_name String Identity Center用户名。 最小长度：1 最大长度：128 blueprint_product_id String 模板ID。 最小长度：1 最大长度：128 blueprint_product_version String 模板版本。 最小长度：1 最大长度：64 blueprint_status String 模板部署状态，包括失败, 完成, 进行中。 最小长度：1 最大长度：64 regions Array of regionManagedList objects 区域信息。 created_at String 组织里某个注册OU下的纳管账号被创建的时间。 updated_at String 组织里某个注册OU下的纳管账号最后一次更新的时间。 表3 regionManagedList 参数 参数类型 描述 region String 区域名字。 最小长度：1 最大长度：36 region_status String 区域的状态，取值为可用或者不可用。 最小长度：1 最大长度：36

Token认证 Token的有效期为24小时，需要使用一个Token鉴权时，可以先缓存起来，避免频繁调用。 使用Token前请确保Token离过期有足够的时间，防止调用API的过程中Token过期导致调用API失败。 Token在计算机系统中代表令牌（临时）的意思，拥有Token就代表拥有某种权限。Token认证就是在调用API的时候将Token加到请求消息头，从而通过身份认证，获得操作API的权限。

AK/SK认证 AK/SK签名认证方式仅支持消息体大小12M以内，12M以上的请求请使用Token认证。 AK/SK认证就是使用AK/SK对请求进行签名，在请求时将签名信息添加到消息头，从而通过身份认证。 AK(Access Key ID)：访问密钥ID。与私有访问密钥关联的唯一标识符；访问密钥ID和私有访问密钥一起使用，对请求进行加密签名。 SK(Secret Access Key)：与访问密钥ID结合使用的密钥，对请求进行加密签名，可标识发送方，并防止请求被修改。 使用AK/SK认证时，您可以基于签名算法使用AK/SK对请求进行签名，也可以使用专门的签名SDK对请求进行签名。详细的签名方法和SDK使用方法请参见API签名指南。 签名SDK只提供签名功能，与服务提供的SDK不同，使用时请注意。

状态码 表1 状态码 状态码 编码 错误码说明 100 Continue 继续请求。 这个临时响应用来通知客户端，它的部分请求已经被服务器接收，且仍未被拒绝。 101 Switching Protocols 切换协议。只能切换到更高级的协议。 例如，切换到HTTP的新版本协议。 201 Created 创建类的请求完全成功。 202 Accepted 已经接受请求，但未处理完成。 203 Non-Authoritative Information 非授权信息，请求成功。 204 NoContent 请求完全成功，同时HTTP响应不包含响应体。 在响应OPTIONS方法的HTTP请求时返回此状态码。 205 Reset Content 重置内容，服务器处理成功。 206 Partial Content 服务器成功处理了部分GET请求。 300 Multiple Choices 多种选择。请求的资源可包括多个位置，相应可返回一个资源特征与地址的列表用于用户终端（例如：浏览器）选择。 301 Moved Permanently 永久移动，请求的资源已被永久的移动到新的URI，返回信息会包括新的URI。 302 Found 资源被临时移动。 303 See Other 查看其它地址。 使用GET和POST请求查看。 304 Not Modified 所请求的资源未修改，服务器返回此状态码时，不会返回任何资源。 305 Use Proxy 所请求的资源必须通过代理访问。 306 Unused 已经被废弃的HTTP状态码。 400 BadRequest 非法请求。 建议直接修改该请求，不要重试该请求。 401 Unauthorized 在客户端提供认证信息后，返回该状态码，表明服务端指出客户端所提供的认证信息不正确或非法。 402 Payment Required 保留请求。 403 Forbidden 请求被拒绝访问。 返回该状态码，表明请求能够到达服务端，且服务端能够理解用户请求，但是拒绝做更多的事情，因为该请求被设置为拒绝访问，建议直接修改该请求，不要重试该请求。 404 NotFound 所请求的资源不存在。 建议直接修改该请求，不要重试该请求。 405 MethodNotAllowed 请求中带有该资源不支持的方法。 建议直接修改该请求，不要重试该请求。 406 Not Acceptable 服务器无法根据客户端请求的内容特性完成请求。 407 Proxy Authentication Required 请求要求代理的身份认证，与401类似，但请求者应当使用代理进行授权。 408 Request Time-out 服务器等候请求时发生超时。 客户端可以随时再次提交该请求而无需进行任何更改。 409 Conflict 服务器在完成请求时发生冲突。 返回该状态码，表明客户端尝试创建的资源已经存在，或者由于冲突请求的更新操作不能被完成。 410 Gone 客户端请求的资源已经不存在。 返回该状态码，表明请求的资源已被永久删除。 411 Length Required 服务器无法处理客户端发送的不带Content-Length的请求信息。 412 Precondition Failed 未满足前提条件，服务器未满足请求者在请求中设置的其中一个前提条件。 413 Request Entity Too Large 由于请求的实体过大，服务器无法处理，因此拒绝请求。为防止客户端的连续请求，服务器可能会关闭连接。如果只是服务器暂时无法处理，则会包含一个Retry-After的响应信息。 414 Request-URI Too Large 请求的URI过长（URI通常为网址），服务器无法处理。 415 Unsupported Media Type 服务器无法处理请求附带的媒体格式。 416 Requested range not satisfiable 客户端请求的范围无效。 417 Expectation Failed 服务器无法满足Expect的请求头信息。 422 UnprocessableEntity 请求格式正确，但是由于含有语义错误，无法响应。 429 TooManyRequests 表明请求超出了客户端访问频率的限制或者服务端接收到多于它能处理的请求。建议客户端读取相应的Retry-After首部，然后等待该首部指出的时间后再重试。 500 InternalServerError 表明服务端能被请求访问到，但是不能理解用户的请求。 501 Not Implemented 服务器不支持请求的功能，无法完成请求。 502 Bad Gateway 充当网关或代理的服务器，从远端服务器接收到了一个无效的请求。 503 ServiceUnavailable 被请求的服务无效。 建议直接修改该请求，不要重试该请求。 504 ServerTimeout 请求在给定的时间内无法完成。客户端仅在为请求指定超时（Timeout）参数时会得到该响应。 505 HTTP Version not supported 服务器不支持请求的HTTP协议的版本，无法完成处理。 父主题： 附录