华为云用户手册

什么是NB-IoT？ 基于蜂窝的窄带物联网（Narrow Band Internet of Things, NB-IoT）是万物互联网络的一个重要分支。NB-IoT构建于蜂窝网络，只消耗大约180KHz的带宽，可直接部署于GSM网络、UMTS网络或LTE网络，以降低部署成本、实现平滑升级。 NB-IoT是IoT领域一个新兴的技术，支持低功耗设备在广域网的蜂窝数据连接，也被叫作低功耗广域网（LPWAN）。NB-IoT支持待机时间长、对网络连接要求较高设备的高效连接。据说NB-IoT设备电池寿命可以提高至至少10年，同时还能提供非常全面的室内蜂窝数据连接覆盖。 目前，NB-IoT应用场景有：智慧锁、智慧城市、智慧水表、智慧气表、智慧跟踪器、智慧仓储、智慧路灯...它们都是把原始的数据诉求给平台方，云平台通过NB模块实现数据的整合，传递给人类进行有效数据的分析使用。 父主题： 方案咨询

IoT Device SDK 和IoT Device SDK Tiny有什么区别？ 相比于IoT Device SDK，Tiny版本更加轻量，适用于内存以及磁盘空间更小的设备，且一般很少挂载子设备，在编译中没有使用动态链接库，代码提供了操作系统抽象层，可适配多种OS，例如FreeRTOS、linux、NovaOS、ucos_ii、OpenHarmony LiteOS-M等；除MQTT(S)还支持LwM2M,CoAP协议，Tiny使用的mbedtls加密，IoT Device SDK C采用的openssl加密。详细请参考IoT Device SDK介绍。

IoT Device SDK C Tiny相关问题 LiteOS操作系统层面相关技术问题解答。 请移步LiteOS社区。 日志中出现诸如mqtt_imp_init: ###please implement mqtt by yourself####此类问题。 首先检查编译架构中对于__attribute__ ((weak))函数的支持性，如果不支持，建议将这些函数全部注释掉；如果出现link_tcpip_imp_init:###please implement this function by yourself####，建议检查一下是否实现网络层的适配。 在使用SDK时发现某些任务执行顺序与任务优先级顺序不符？ SDK中默认使用的优先级从大到小依次为0-31，用户可根据不同的操作系统自行调整相应任务的优先级。 SDK移植流程主要包括哪些步骤？ 移植过程主要包括操作系统注册到OSAL层以及TCPIP注册到SAL层，同时可以根据需求进行模块化裁剪，详见开发指南。 使用MQTT协议对接华为云时，返回错误码2 具体日志如下所示

NB模组无法正常上报数据怎么办？ NB模组绑定设备是和第一条数据上报一起完成的，如果NB模组绑定失败，即NB模组发送数据给平台，但是从 物联网平台 上看到的设备仍然未激活，请参照NB模组绑定设备失败怎么办？进行排查。 以下定位指导，是基于物联网平台上看到设备已经在线的前提。 发送给NB模组的AT+NMGS命令是否以\r\n结尾？ 发送给NB模组的每条指令都必须以\r\n结尾。如果不以\r\n结尾，命令会在NB模组中缓存。 发送的AT+NMGS的payload，是否可以被编解码插件正确解析？ 使用编解码插件检查工具，检测自己准备发送的码流中的payload，查看解析后输出的消息结构是否正确，是否符合产品模型定义。

NB设备接入时，出现513错误？ 终端设备每次上电后，都会向物联网平台发起TUP注册流程。TUP协议为华为私有协议，包装在CoAP协议之上，与LWM2M协议类似。海思芯片设置TUP注册过程不能超过4s，如果在4s内未完成TUP注册，则上报513错误。 当出现此513错误时，可以按照如下方法进行处理： 当网络环境状态不佳时，会导致注册过程概率性超过4s，从而出现513错误。请联系NB网络运营商检查网络状态。 通过AT+NMGS发送业务数据会触发注册，如果4秒钟内没有收到t/d资源（收发业务数据资源）的订阅，就会返回错误，但依赖CoAP层的重传继续注册，最长160秒后还是没有收到t/d资源的订阅，这次注册就会失败。160s基本可以保障终端设备能够注册成功，4s返回ERROR只会丢掉第一包的数据。建议设备重启并再发送AT+NMGS触发上述注册流程。 可通过 AT+NMSTATUS 查询注册状态，返回+NMSTATUS:MO_DATA_ENABLED 表示成功注册。

NB模组绑定设备失败怎么办？ 使用NB模组和真实NB网络接入物联网平台时，第一步就是接入平台绑定设备。 如果设备绑定失败，可能的原因有很多种，您可按照下述指导逐个定位排查问题。 在物联网平台上注册设备时，设备标识（对应应用侧注册设备接口的nodeId）是否为NB模组的IMEI号？timeout设置的时间是否够长？ 使用NB模组接入物联网平台时，必须直接使用NB模组的IMEI号作为nodeId。同时，timeout设置的时间也不要太短，设备必须在注册成功后的这个时间内发送绑定请求到物联网平台。 注册设备时的产品信息是否和产品模型一致？ 使用控制台注册设备时注意选择正确的产品模型。 NB模组是否能收到NB基站的信号？ NB模组，通过AT+ CS Q?命令查询NB信号强度。没有信号或强度过低，需要联系运营商进行调整。 NB模组是否能够附着网络？ NB模组，通过AT+CEREG？获取注册网络信息，如果返回状态为未注册或者注册被拒绝，则联系运营商，进行沟通。可能是NB模组的版本与运营商基站的版本不匹配。 NB模组是否能够ping通华为云物联网平台？ NB模组，通过AT+NPING命令，尝试ping华为云物联网平台。如果无法ping通，则说明运营商网络无法连接到公网。则需要联系运营商，询问该地运营商的核心网是否没有连到公网，是否只能连接该地运营商的物联网平台；或者与运营商协商，看怎么能够打通隧道，连到公网。 NB模组是否正确设置平台的域名和端口？ NB模组，通过AT+NCDP命令，设置连接的华为云物联网平台的域名和端口。域名和端口请登录设备接入管理控制台，查看协议为CoAP或CoAPS的设备对接信息。 发送给NB模组的AT命令是否以\r\n结尾？ 发送给NB模组的每条指令都必须以\r\n结尾。如果不以\r\n结尾，命令会在NB模组中缓存。 NB模组检测发送的数据上报状态是否为SENT? NB模组，通过AT+NQMGS，检查已经发送的命令状态。 PENDING，表示数据已发出，但是平台没有进行响应。 SENT，表示数据已发出，且平台进行了响应。 ERROR，表示数据上报异常。 如果状态为PENDING和ERROR，一般来说是网络问题，需要从基站和核心网侧进行分析。 NB模组发送的AT+NMGS数据是否能够被正常解析？ 使用编解码插件检查工具，检测自己准备发送的码流是否可被正常解析。

IAM 用户访问API提示没有权限？(是否区分版本？) 2020/04/23 设备接入服务 上线了细粒度策略权限控制，如果未对IAM用户授予IoTDA的权限，使用IAM用户访问设备接入资源提示没有权限，返回"Operation not allowed. The user does not have the permission"报错。您可以参考如下步骤为IAM用户所在的用户组授予IoTDA FullAccess预置系统策略权限。 操作步骤： 访问 统一身份认证 服务IAM，单击“立即使用”进入IAM服务控制台。 点击左侧导航栏的“用户组”。在用户组列表点击该IAM用户所在的用户组右侧的“权限配置”。 点击左上方的“配置权限”按钮。 选择作用范围。 选择“区域级项目”。 根据token级别，在下拉框中选择需要授权的区域。 指定所有项目与指定区域（如北京四）的区别：因使用IAM获取token时会指定scope是domain或project级别，若您用的是domain级别的token则应该选择所有项目，反之则选择指定区域。 在下拉框分别选择“系统策略”和“ 设备接入IoTDA ”，或者在右侧搜索框输入“IoTDA”。 勾选“IoTDA FullAccess”，点击右下角的“确认”，完成用户组授权。 父主题： 方案咨询

创建规则或者设置资源文件存储时候提示赋予Security Administrator权限 使用IAM用户访问设备接入服务，创建规则或者设置资源文件存储时提示“请联系管理员给您所在的用户组赋予Security Administrator的权限”，表明IAM用户没有授予委托管理权限，请参考以下操作配置权限。 方法1：创建一个自定义策略（包括查询、创建委托、查询角色等功能），并添加到IAM用户所在的用户组中（推荐该方法） 使用管理员账号登录IAM控制台，单击左侧导航栏的“权限管理--权限”，单击页面右上角的“创建自定义策略”。 策略名称：自定义； 策略配置方式：json视图； 策略内容：参考如下填写； { "Version": "1.1", "Statement": [ { "Action": [ "iam:agencies:createAgency", "iam:agencies:listAgencies", "iam:agencies:getAgency", "iam:permissions:listRolesForAgencyOnDomain", "iam:permissions:listRolesForAgencyOnProject", "iam:permissions:grantRoleToAgencyOnProject", "iam:permissions:revokeRoleFromAgencyOnProject", "iam:permissions:grantRoleToAgencyOnDomain", "iam:permissions:revokeRoleFromAgencyOnDomain", "iam:permissions:checkRoleForAgencyOnProject", "iam:permissions:checkRoleForAgencyOnDomain", "iam:roles:createRole", "iam:roles:listRoles", "iam:roles:getRole" ], "Effect": "Allow" } ]} 点击确定，完成自定义策略的创建 选择左侧导航栏的“用户组”，单击对应用户组进入用户组详情。 单击“授权记录“页签，点击“授权“按钮。 进入“授权--选择策略“页面，勾选步骤1中创建的策略，点击”下一步” 在”授权--设置最小授权范围”页面，选择”所有资源”，点击”确定”，完成授权。 方法2：为IAM用户所在的用户组授予Security Administrator的权限 登录IAM控制台，选择左侧导航栏的“用户组”，单击对应用户组进入用户组详情。 在“授权记录”页签下单击“授权”，搜索”Security Administrator”然后选择”Security Administrator”策略，单击”下一步”。 注：该权限具有委托、角色、用户管理等所有功能，权限范围大，请按实际需要分配。 在”授权--设置最小授权范围”页面，选择”所有资源”，点击”确定”，完成授权。 父主题： 方案咨询

连接IoT平台的业务场景有哪些？ 连接IoT平台的业务有四个场景： 设备 + IoT平台 + 应用 该场景为最通用的场景，设备将数据上报到IoT平台，IoT平台对设备进行管理，同时针对不同的事件类型，会将数据推送到用户应用，同时应用可以将命令下发到IoT平台，平台可以缓存/实时下发命令给设备。 图1 设备 + IoT平台 + 应用 设备 + IoT平台 + 华为云其他云服务 该场景为数据流转场景，设备将数据上报到IoT平台后，IoT平台对设备进行管理，通过自定义数据转发规则，将设备数据转发到华为云其他云服务，进行跨服务的业务处理。 图2 设备 + IoT平台 + 第三方云服务 设备 + IoT平台 + 第三方云服务 + 应用 该场景为前两个场景的结合，设备将数据上报到IoT平台后，IoT平台对设备进行管理，用户可以通过应用获取数据/下发命令等，同时也可以通过自定义规则将数据流转到第三方云服务进行处理。 图3 设备 + IoT平台 + 第三方云服务 + 应用 设备 + IoT平台 该场景比较简单，设备将数据上报到IoT平台后，通过控制台查看设备数据及监控设备状态，用户无需对设备数据进行二次处理。 图4 设备 + IoT平台 父主题： 方案咨询

在产品详情上传产品模型，弹窗提示“文件输入格式有误”？ 问题描述 客户在产品详情界面里，上传产品模型文件，提示“文件输入格式有误”。 图2 上传模型文件错误提示 可能原因 模型的json文件格式错误。 servicetype-capability.json中commands/properties的值不是数组格式。 压缩包中存在其他的文件。 解决方法 检查每个json文件的格式是否正确，可以使用第三方格式校验工具进行检查。 检查servicetype-capability.json中commands/properties的值是否为数组格式（值是否包含在中括号之内）。 检查产品模型的压缩包是否存在其他文件或者隐藏文件，如果存在其他文件或者隐藏文件，则删除后重新上传。

订阅后消息推送失败如何处理？ 问题描述 订阅后，应用服务器未正确接收到推送消息，或参考“连通性测试”，在设备接入管理控制台中使用连通性测试功能测试“第三方应用服务（HTTP推送）”，结果为推送失败。 图2 连通性测试样例 可能原因 如果订阅地址是HTTPS地址，可能是服务端的证书制作有问题或者服务端证书对应的CA证书未上传至物联网平台 订阅地址对应的服务端口未开放。 若订阅地址为域名，并且域名绑定多个IP，可能是DNS解析问题。 解决方法 如果订阅地址是HTTPS地址，商用时，推荐向证书机构申请证书，然后参考设备接入平台上传证书进行证书上传。如果是调测时请先确保证书制作过程无误。上传证书时如果打开了“是否检查CNAME ”开关，需要确保应用服务器的域名地址和证书中的CNAME一致；证书中的CNAME可通过证书校验工具查看。 请确认订阅地址对应的服务端口是否开放。可在其他外网机器上使用telnet命令验证下您的IP和端口是否已开放，若未开放，请将其开放或修改订阅的IP和端口。 若订阅地址为域名，并且域名绑定多个IP，请确认DNS解析后的IP地址是否正确且可达。 使用设备接入管理控制台提供的“消息跟踪”功能，触发推送后，查看消息跟踪的数据，确认平台是否触发订阅推送，以及是否推送成功。 请在应用服务器抓包确认是否接收到设备接入平台推送的消息。

设备数据变化通知和批量设备数据变化通知的区别是什么？ 设备数据变化通知和批量设备数据变化通知接口都是订阅设备的数据变化，只是封装的数据格式不一样。 例如：一款水表设备有Battery和Connectivity两种服务类型，每次上报数据都会上报这两个服务的数据。 如果订阅deviceDatachanged（设备数据变化通知），则物联网平台分两次将数据推送到应用服务器，第一次推送Battery服务数据，第二次推送Connectivity服务数据。例如： { "notifyType":"deviceDataChanged", "deviceId":"70a8d7cd-5ecd-4bda-a87c-afc16bd31bda", "gatewayId":"70a8d7cd-5ecd-4bda-a87c-afc16bd31bda", "requestId":null, "service":{ "serviceId":"battery", "serviceType":"battery", "data":{ "batteryLevel":66 }, "eventTime":"20170211T034003Z" }} { "notifyType":"deviceDataChanged", "deviceId":"70a8d7cd-5ecd-4bda-a87c-afc16bd31bda", "gatewayId":"70a8d7cd-5ecd-4bda-a87c-afc16bd31bda", "requestId":null, "service":{ "serviceId":"Connectivity", "serviceType":"Connectivity", "data":{ "signalStrength":72, "cellId":4022250974, "tac":61374, "mnc":91, "mcc":235 }, "eventTime":"20170211T092317Z" }} 如果订阅deviceDataschanged（批量设备数据变化通知），则物联网平台将两次服务的数据封装在一起发送到应用服务器。 { "notifyType":"deviceDatasChanged", "requestId":null, "deviceId":"70a8d7cd-5ecd-4bda-a87c-afc16bd31bda", "gatewayId":"70a8d7cd-5ecd-4bda-a87c-afc16bd31bda", "services":[ { "serviceId":"battery", "serviceType":"battery", "data":{ "batteryLevel":66 }, "eventTime":"20170211T034003Z" }, { "serviceId":"Connectivity", "serviceType":"Connectivity", "data":{ "signalStrength":72, "cellId":4022250974, "tac":61374, "mnc":91, "mcc":235 }, "eventTime":"20170211T034003Z" } ]}

为什么设备上报一条数据后应用服务器会收到多条推送？ 可能有以下几种情况： 如果订阅的“notifyType”为“deviceDataChanged”，且多条消息推送的内容不同，可能是因为设备上报的数据包含了多个service（即“data”参数内包括多个JSON对象），物联网平台会将其拆成多条消息推送。 如果是接到两条消息，且一条消息的“notifyType”为“deviceDataChanged”，另一条消息的“notifyType”为“deviceDatasChanged”，说明您同时订阅了设备数据变化和设备数据批量变化，这种情况下设备上报数据物联网平台会推送两条消息。 如果是相同的消息反复推送，可能是因为应用服务器没有及时对推送消息返回响应，物联网平台认为推送失败了，启动了重推机制反复推送相同的消息。

调用订阅接口时，回调地址如何获取？ 以业务应用订阅设备数据变化通知为例，订阅和推送的流程如下： 图1 订阅推送流程图 应用服务器通过调用物联网平台的订阅接口订阅设备数据变化通知（携带回调地址和通知类型），物联网平台将业务应用的回调地址和订阅的通知类型存储到订阅列表中以便向业务应用推送设备数据变化消息。 设备上报数据给物联网平台。 物联网平台根据订阅时设置的回调地址，将设备数据主动推送给业务应用。 什么是回调地址？ 回调地址（callbackUrl）是指业务应用自定义的，供外部访问的restful接口地址。当物联网平台向业务应用推送消息时，实际是调用业务应用的restful接口把数据发给业务应用。 回调地址的请求方式必须为POST。 怎样获取回调地址？ 回调地址由通信方式、业务应用的访问地址和restful接口的URL组成，如https://server:port/URL。 通信方式建议使用https协议，保证业务应用与物联网平台的通信安全。使用https协议通信时，物联网平台需要加载证书，制作证书参考证书制作。 由于业务应用所在的网络不同，业务应用的访问地址也不同。 业务应用部署在公网时，业务应用的访问地址就是业务应用的公网IP:端口（或域名:端口）。 业务应用部署在局域网时，需要在业务应用配置网络穿透，生成业务应用的公网访问地址，具体配置自行从网上获取网络穿透工具的配置步骤。 不同通知类型的订阅，回调地址可以相同也可以不同，根据业务需求自定义。

在产品详情中上传产品模型，无法点击确认按钮？ 问题描述 用户在产品详情页面中上传了产品模型，无法点击确认按钮。 图1 上传模型文件样例 可能原因 上传的产品模型文件命名不符合规范。 上传的产品模型的压缩文件不是zip格式的。 解决方法 检查产品模型文件的名称是否符合deviceType_manufacturerId_model.zip的格式，并检查“deviceType”、“manufacturerId”、“model”三个字段是否和devicetype-capability.json中的定义一致。 检查产品模型文件是否压缩为zip格式。如非zip格式，请解压后重新压缩、上传。

设备管理服务和设备接入服务合一后的差异点是什么？ 设备管理服务和设备接入服务合一后，主要有以下变更点： 功能：全新升级后的设备接入服务（IoTDA），整合了原设备接入服务和设备管理服务的功能，新用户只需开通设备接入服务，即可同时使用设备接入和设备管理的全部功能。 计费：已开通过设备接入服务的用户，可叠加使用设备管理服务的功能，按消息数计费的方式不变；原设备接入服务和设备管理服务都已开通使用的用户， 业务使用不受影响， 自2020年3月26日00:00（北京时间）起，计费方式仅保留按消息数计费，不再按设备数计费。 父主题： 方案咨询

在线开发产品模型时，如何选择数据类型？ 数据类型的配置可以参考如下原则： int：当上报的数据为整数或布尔值时，可以匹配为此类型。插件开发中可匹配int型或array类型。 decimal：当上报的数据为小数时，可以匹配为此类型。插件开发中可匹配string或者int或者array类型。 string：当上报的数据为字符串、枚举值或布尔值时，可以配置为此类型。如果为枚举值或布尔值，值之间需要用英文逗号（“,”）分隔。插件开发中可匹配string类型或者array类型。 dateTime：当上报的数据为日期时，可以配置为此类型。插件开发中可匹配string类型或者array类型。 jsonObject：当上报的数据为json结构体时，可以配置为此类型。插件开发者可匹配string或者array类型。

物联网平台支持在华为云的哪些区域开通？ 设备接入服务（IoTDA）当前支持在“华北-北京四”、“华东-上海一”、“华南-广州”和“华南-广州-友好用户环境”“中国-香港”、“亚太-新加坡”、“亚太-曼谷”区域开通服务。企业版当前仅支持在“华北-北京四”、“华东-上海一”、“华南-广州”区域开通服务。 原设备接入服务和设备管理服务只支持在“华北-北京一”区域使用，且不支持新用户开通此服务。 设备发放、 全球SIM联接 、数据分析支持在“华北-北京四”区域开通服务。 父主题： 方案咨询

基本流程 通过委托信任功能，您可以将自己帐号中的资源操作权限委托给更专业、高效的其他帐号，被委托的帐号可以根据权限代替您进行资源运维工作。 只能对帐号进行委托，不能对IAM用户进行委托。 如下以A帐号委托B帐号管理资源为例，讲述委托的原理及方法。A帐号为委托方，B帐号为被委托方。 帐号A创建委托。 图1 帐号A创建委托 （可选）帐号B分配委托权限。 创建用户组并授予用户组管理委托的权限。 创建用户并将用户加入到用户组中。 图2 帐号B分配委托权限 帐号B或者IAM用户管理委托资源。 被委托方登录自己的帐号，切换角色到帐号A。 切换到被授权的区域A，管理帐号A的资源。 图3 帐号B切换角色 父主题： 委托其他帐号管理资源

企业管理系统与华为云联邦身份认证交互流程 图4为用户在发起单点登录请求后，企业管理系统与华为云间的交互流程。 图4 联邦身份认证交互流程 为方便您查看交互的请求及断言消息，建议您使用Chrome浏览器并安装插件“SAML Message Decoder”。 从图4中可知，联邦身份认证的步骤为： 用户在浏览器中打开创建身份提供商后生成的登录链接，浏览器向华为云发起单点登录请求。 华为云根据登录链接中携带的信息，查找IAM身份提供商中对应的Metadata文件，构建SAML Request，发送给浏览器。 浏览器收到请求后，转发SAML Request给企业IdP。 用户在企业IdP推送的登录页面中输入用户名和密码，企业IdP对用户提供的身份信息进行验证，并构建携带用户信息的SAML断言，向浏览器发送SAML Response。 浏览器响应后转发SAML Response给华为云。 华为云从SAML Response中取出断言，并根据已配置的身份转换规则映射到具体的IAM用户组，颁发Token。 用户完成单点登录，访问华为云。 断言中要携带签名，否则会导致登录失败。

联邦身份认证的配置步骤 建立企业管理系统与华为云的联邦身份认证关系，配置流程如下。 建立互信关系并创建身份提供商：交换华为云与企业IdP的元数据文件，建立信任关系，如图1所示，并在华为云上创建身份提供商。 图1 交换Metadata文件模型 在华为云配置身份转换规则：通过配置身份转换规则，将IdP中的用户、用户组及其访问权限映射到华为云，用户转换模型如图2所示。 图2 用户转换模型 配置企业管理系统登录入口：将华为云的访问入口配置到企业管理系统中，用户可通过登录企业管理系统直接访问华为云，如图3所示。 图3 配置单点登录模型

联邦身份认证配置示例 由于不同的企业IdP的配置存在较大差异，华为云帮助文档对于企业IdP的配置不做详述，具体操作请参考企业IdP的帮助文档。常见IdP与华为云建立联邦身份认证的操作，请参见： 使用Active Directory Federation Services建立与华为云的联邦身份认证 使用Shibboleth IdP建立与华为云的联邦身份认证 使用Azure AD建立与华为云的联邦身份认证 使用 OneAccess 建立与华为云的联合认证

参数说明 表1 参数说明 参数 含义 值 Version 角色的版本 1.0：代表基于角色的访问控制。 Statement： 角色的授权语句 Action：授权项 操作权限 格式为：服务名:资源类型:操作 "DNS:Zone:*"：表示对DNS的Zone所有操作。其中“DNS”为服务名；“Zone”为资源类型；“*”为通配符，表示对Zone资源类型可以执行所有操作。 Effect：作用 定义Action中的操作权限是否允许执行 Allow：允许执行。 Deny：不允许执行。 说明： 当同一个Action的Effect既有Allow又有Deny时，遵循Deny优先的原则。 Depends： 角色的依赖关系 catalog 依赖的角色所属服务 服务名称。例如：BASE、VPC。 display_name 依赖的角色名称 角色名称。 说明： 给用户组授予示例的“DNS Administraor”角色时，必须同时勾选该角色依赖的角色“Tenant Guest”和“VPC Administrator”，“DNS Administraor”才会生效。 了解更多角色依赖关系，请参考：系统权限。

创建项目 在IAM控制台的左侧导航窗格中，选择“项目”页签，单击“创建项目”。 图2 创建项目 在“所属区域”下拉列表中选择需要创建子项目的区域。 输入“项目名称”。 项目名称的格式为：区域默认项目名称_子项目名称，区域默认项目名称不允许修改。 项目名称可以由字母、数字、下划线（_）、中划线（-）组成。“区域名称_项目名称”的总长度不能大于64个字符。 （可选）输入“描述”。 单击“确定”，项目列表中显示新创建的项目。

角色内容 给用户组选择角色时，单击角色前面的，可以查看角色的详细内容，以“DNS Administrator”为例，说明角色的内容。 图1 DNS Administrator角色内容 { "Version": "1.0", "Statement": [ { "Action": [ "DNS:Zone:*", "DNS:RecordSet:*", "DNS:PTRRecord:*" ], "Effect": "Allow" } ], "Depends": [ { "catalog": "BASE", "display_name": "Tenant Guest" }, { "catalog": "VPC", "display_name": "VPC Administrator" } ]}

系统策略更名详情 现对系统策略（即细粒度策略类型）名称进行调整，新的策略名称将于2020/2/6 22:30:00（北京时间）正式生效。本次调整仅涉及对系统策略名称的修改，不会影响您的业务，请放心使用。原始系统策略为Version 1.0，目标系统策略为Version 1.1，当前IAM兼容两个版本。 表1 系统策略更名详情 服务 原始系统策略名称 目标系统策略名称 AOM AOM Admin AOM FullAccess AOM Viewer AOM ReadOnlyAccess APM APM Admin APM FullAccess APM Viewer APM ReadOnlyAccess Auto Scaling AutoScaling Admin AutoScaling FullAccess AutoScaling Viewer AutoScaling ReadOnlyAccess BMS BMS Admin BMS FullAccess BMS User BMS CommonOperations BMS Viewer BMS ReadOnlyAccess BSS EnterpriseProject_BSS_Administrator EnterpriseProject BSS FullAccess CBR CBR Admin CBR FullAccess CBR User CBR BackupsAndVaultsFullAccess CBR Viewer CBR ReadOnlyAccess CCE CCE Admin CCE FullAccess CCE Viewer CCE ReadOnlyAccess CCI CCI Admin CCI FullAccess CCI Viewer CCI ReadOnlyAccess CDM CDM Admin CDM FullAccess CDM Operator CDM FullAccessExceptUpdateEIP CDM Viewer CDM ReadOnlyAccess CDM User CDM CommonOperations CDN CDN Domain Configuration Operator CDN DomainConfigureAccess CDN Domain Viewer CDN DomainReadOnlyAccess CDN Logs Viewer CDN LogsReadOnlyAccess CDN Refresh And Preheat Operator CDN RefreshAndPreheatAccess CDN Statistics Viewer CDN StatisticsReadOnlyAccess CES CES Admin CES FullAccess CES Viewer CES ReadOnlyAccess CS CS Admin CS FullAccess CS Viewer CS ReadOnlyAccess CS User CS CommonOperations CSE CSE Admin CSE FullAccess CSE Viewer CSE ReadOnlyAccess DCS DCS Admin DCS FullAccess DCS Viewer DCS ReadOnlyAccess DCS User DCS UseAccess DDM DDM Admin DDM FullAccess DDM Viewer DDM ReadOnlyAccess DDM User DDM CommonOperations DDS DDS Admin DDS FullAccess DDS DBA DDS ManageAccess DDS Viewer DDS ReadOnlyAccess DLF DLF Admin DLF FullAccess DLF Developer DLF Development DLF Operator DLF OperationAndMaintenanceAccess DLF Viewer DLF ReadOnlyAccess DMS DMS Admin DMS FullAccess DMS Viewer DMS ReadOnlyAccess DMS User DMS UseAccess DNS DNS Admin DNS FullAccess DNS Viewer DNS ReadOnlyAccess DSS DSS Admin DSS FullAccess DSS Viewer DSS ReadOnlyAccess DWS DWS Admin DWS FullAccess DWS Viewer DWS ReadOnlyAccess ECS ECS Admin ECS FullAccess ECS Viewer ECS ReadOnlyAccess ECS User ECS CommonOperations ELB ELB Admin ELB FullAccess ELB Viewer ELB ReadOnlyAccess EPS EPS Admin EPS FullAccess EPS Viewer EPS ReadOnlyAccess EVS EVS Admin EVS FullAccess EVS Viewer EVS ReadOnlyAccess GES GES Admin GES FullAccess GES Viewer GES ReadOnlyAccess GES User GES Development ICITY iCity Admin iCity FullAccess iCity Viewer iCity ReadOnlyAccess IMS IMS Admin IMS FullAccess IMS Viewer IMS ReadOnlyAccess Image Recognition Image Recognition User Image Recognition FullAccess KMS DEW Keypair Admin DEW KeypairFullAccess DEW Keypair Viewer DEW KeypairReadOnlyAccess KMS CMK Admin KMS CMKFullAccess LTS LTS Admin LTS FullAccess LTS Viewer LTS ReadOnlyAccess MRS MRS Admin MRS FullAccess MRS Viewer MRS ReadOnlyAccess MRS User MRS CommonOperations ModelArts ModelArts Admin ModelArts FullAccess ModelArts User ModelArts CommonOperations Moderation Moderation User Moderation FullAccess NAT NAT Admin NAT FullAccess NAT Viewer NAT ReadOnlyAccess OBS OBS Operator OBS OperateAccess OBS Viewer OBS ReadOnlyAccess RDS RDS Admin RDS FullAccess RDS DBA RDS ManageAccess RDS Viewer RDS ReadOnlyAccess RES RES Admin RES FullAccess RES Viewer RES ReadOnlyAccess ROMA Connect ROMA Admin ROMA FullAccess ROMA Viewer ROMA ReadOnlyAccess SCM SCM Admin SCM FullAccess SCM Viewer SCM ReadOnlyAccess SCM Viewer SCM ReadOnlyAccess SFS SFS Admin SFS FullAccess SFS Viewer SFS ReadOnlyAccess SFS Turbo SFS Turbo Administrator SFS Turbo FullAccess SFS Turbo Viewer SFS Turbo ReadOnlyAccess ServiceStage ServiceStage Admin ServiceStage FullAccess ServiceStage Developer ServiceStage Development ServiceStage Viewer ServiceStage ReadOnlyAccess VPC VPC Admin VPC FullAccess VPC Viewer VPC ReadOnlyAccess 父主题： 权限管理

联邦用户登录验证 检查登录链接是否可以跳转到企业的IdP服务器提供的登录界面。 在IAM控制台的“身份提供商”页面，单击“操作”列的“查看”（如图8所示），进入“身份提供商基本信息”页面；单击“登录链接”右侧的“复制”，如图9所示，并在浏览器中打开。 图8 查看身份提供商 图9 复制登录链接 检查浏览器页面是否跳转到IdP登录界面，如果跳转失败，请确认获取的企业元数据文件以及企业IdP服务器配置是否正确。 输入企业IdP的用户名和密码验证是否可以登录到华为云。 登录成功：表示单点登录验证成功，您可以将该地址以链接的形式配置到企业管理系统。 登录失败：请检查您的用户名和密码。 此时联邦用户只能访问华为云，没有任何权限。为联邦用户配置权限需要配置身份转换规则，具体说明请参见：步骤2：配置身份转换规则。

相关操作 查看身份提供商信息：在身份提供商列表中，单击“查看”，可查看身份提供商的基本信息、元数据详情、身份转换规则。 单击“查看身份提供商”页面下方的“修改身份提供商”，可直接进入“修改身份提供商”界面。 修改身份提供商信息：在身份提供商列表中，单击“修改”进入“修改身份提供商”界面。可修改身份提供商的状态（“启用”或“停用”）、描述信息、元数据信息和身份转换规则。 删除身份提供商：在身份提供商列表中，单击“删除”，删除对应的身份提供商。

前提条件 企业管理员在华为云上注册了可用的帐号，并已在IAM中创建用户组并授权，具体方法请参见：创建用户组并授权。在华为云IAM上创建的用户组是用于与企业IdP上的用户建立映射关系，使得IdP中的用户获取华为云IAM中用户组的权限。 企业管理员已获取企业IdP的帮助文档或了解企业IdP使用方法。由于不同的企业IdP的配置存在较大差异，华为云帮助文档对于企业IdP的配置不做详述，获取企业IdP的元数据文件、华为云元数据上传至企业IdP等具体操作请参考企业IdP的帮助文档。

建立企业IdP对华为云的信任关系 在企业IdP中配置华为云的元数据文件，以建立企业IdP对华为云的信任。常用企业IdP，如Microsoft Active Directory（AD FS）和Shibboleth的配置步骤，请参见：与华为云集成第三方IdP解决方案提供商示例。 下载华为云系统的元数据文件（metadata文件）。 访问网址：https://auth.huaweicloud.com/authui/saml/metadata.xml。下载华为云元数据文件，并设置文件名称，例如“SP-metadata.xml”。 将上述文件上传到企业IdP服务器上。上传方法请参见企业IdP的帮助文档。 获取企业IdP的元数据文件。获取方法请参见企业IdP的帮助文档。