华为云用户手册

登录异常提醒设置 用户可于“账号安全”开启登录异常提醒(默认关闭)。开启后，当前IP地址将与登录的常用IP地址进行对比，若当前IP地址为新IP地址，则该IP地址会被判定为陌生IP地址，触发系统发送异地登录的邮件提醒给用户。（新用户登录的前3天不触发异地登录提醒，仅用于登录信息收集） 若出现异地登录提醒，系统会发送邮箱通知至用户，邮件中可查看异常登录的区域及具体的IP地址。其中可能包含用户自行登录邮箱但因网络变化变动或者开启代理等原因导致IP地址变更，则可忽略。但也可能存在非用户本人登录，请及时修改密码，且后续请妥善管理登录账密。如有必要，可要求管理员单独为该账号设置登录限制（具体可参考登录限制）。 父主题： 设置

背景信息 使用云盘组件RAID磁盘阵列 表1 常见RAID磁盘阵列介绍 RAID级别 简介 读写性能 安全性能 磁盘使用率 组建不同RAID阵列所需的最少磁盘数量 RAID0 RAID0将数据分条存储在多个磁盘上，可实现并行读写，提供最快的读写速率。 多个磁盘并行读写获取更高性能 最差 没有冗余能力，一个磁盘损坏，整个RAID阵列数据都不可用 100% 两块 RAID1 通过构造数据镜像实现数据冗余，阵列中一半的磁盘容量投入使用，另一半磁盘容量用来做镜像，提供数据备份。 读性能：与单个磁盘相同 写性能：需要将数据写入是两个磁盘，写性能低于单个磁盘 最高 提供磁盘数据的完整备份，当阵列中的一个磁盘失效时，系统可以自动采用镜像磁盘的数据 50% 两块 RAID01 结合RAID0和RAID1两种磁盘阵列，先将一半磁盘组建成RAID0分条存储数据，再用另一半磁盘做RAID1镜像。 读性能：和RAID0相同 写性能：和RAID1相同 比RAID10的安全性能低 50% 四块 RAID10 结合RAID1和RAID0两种磁盘阵列，先将磁盘两两组建成RAID1镜像，再组建RAID0将数据分条存储。 读性能：RAID0相同 写性能：RAID1相同 和RAID1的安全性能相同 50% 四块 RAID5 RAID5不需要单独指定数据校验磁盘，而是将每块磁盘生成的校验信息分块存储至阵列中的每块磁盘中。 读性能：和RAID0相同 写性能：由于要写入奇偶校验信息，写性能低于单个磁盘 比RAID10的安全性能低 66.7% 三块

其他邮箱 用户可以在华为云 企业邮箱 添加其他邮箱，如私人邮箱或者其他邮箱服务商的企业邮箱，成功添加后，可于本平台内统一收发。 添加其他邮箱：如仅需代收其他邮箱的邮件，则需要填写其他邮箱的地址和密码，原邮箱服务器的接收服务器地址及端口，连接方式（选择POP则仅收取其收件箱的邮件；IMAP 为收取其所有文件夹的邮件），传输方式、接收范围、接收文件夹、可选择原邮箱保留备份，自动收取（定时自动收取），填写完成后，点击“测试”按钮，验证是否能连接上原邮箱服务器，如连接成功，则点击保存即可。 如需配置其他邮箱的发件：需要启用SMTP发信，可设定发信昵称，填写原邮箱服务器的发信服务器地址及端口，传输方式及邮箱密码，点击“测试”按钮，验证是否能连接上原邮箱服务器，如连接成功，则点击保存即可。 3. 设定了其他邮箱的收信配置后，可以在对应接收文件夹右侧，点击快捷收取按钮，即可立马收取邮件。 4. 设定了其他邮箱的发信配置后，则在写信时，可以选择该邮箱作为发件人。 父主题： 设置

超大附件 写信时，上传的超大附件（大于100MB）将会临时存储于文件中转站。上传后默认保存15天，到期后将自动删除。文件中转站的存储空间为4GB,若存储空间不足，可删除部分文件以释放更多存储空间。 可重命名，下载文件中转站中的超大附件。 对于文件中转站中的超大附件，可直接作为新邮件的附件，进入写邮件窗口，以便快捷发送，无需重复上传。 文件中转站的重要超大附件，可勾选后，进行续期保存时间，可延后15天。 父主题： 文件中转站

个人通讯录 用户可管理个人通讯录，管理自己的其他外部联系人，则后续写信时可自动选择该联系人，无需手动数据。 2. 添加联系人：可新建单个联系人或者批量导入联系人。 方式1-新建单个联系人：姓名和邮箱地址为必填项，其他信息选填 方式2-批量导入：先下载导入模板，其中姓名和邮箱地址必填，其他选填，完成后导入即可。 3. 联系人详情：可查看联系人信息、进行编辑及删除操作、快捷对其发送邮件。 4. 批量操作：点击批量按钮后，勾选对应的联系人，进行对其发邮件，导出，复制到群组、删除操作。 5. 写信快捷选择：手动输入匹配联系人或者点击右侧通讯录图标，选择个人通讯录中的联系人。 父主题： 通讯录

关键特性 表1 openLooKeng特性 主要特性 功能 说明 毫秒级查询性能 索引 openLooKeng提供基于Bitmap Index、Bloom Filter以及Min-max Index等索引。通过在现有数据上创建索引，并且把索引结果存储在数据源外部，在查询计划编排时便利用索引信息过滤掉不匹配的文件，减少需要读取的数据规模，从而加速查询过程。 Cache openLooKeng提供丰富多样的Cache，包括元数据cache、执行计划cache、ORC行数据cache等。通过这些多样的cache，可加速用户多次对同一SQL或者同一类型SQL的查询时延响应。 动态过滤 动态过滤是指是在运行时（run time）将join一侧表的过滤信息的结果应用到另一侧表的过滤器的优化方法，openLooKeng不仅提供了多种数据源的动态过滤优化特性，还将这一优化特性应用到了DataCenter Connector，从而加速不同场景关联查询的性能。 算子下推 openLooKeng通过Connector框架连接到RDBMS等数据源时，由于RDBMS具有较强的计算能力，一般情况下将算子下推到数据源进行计算可以获取到更好的性能。openLooKeng目前支持多种数据源的算子下推，包括Oracle、HANA等，特别地，针对DC Connector也实现了算子下推，从而实现了更快的查询时延响应。 高可用 HA AA双活 openLooKeng引入了高可用的AA特性，支持coordinator AA双活机制，能够保持多个coordinator之间的负载均衡，同时也保证了openLooKeng在高并发下的可用性。 Auto-scaling openLooKeng的弹性伸缩特性支持将正在执行任务的服务节点平稳退服，同时也能将处于不活跃状态的节点拉起并接受新的任务。openLooKeng通过提供“已隔离”与“隔离中”等状态接口供外部资源管理者（如Yarn、Kubernetes等）调用，从而实现对coordinator和worker节点的弹性扩缩容。 融合场景 - 实时分析、离线分析、交互式分析这三种场景中在很多实际业务中都是同时存在的， DLI 引入openLooKeng引擎之初就考虑了如何跟已有的Spark引擎进行元数据层面的互通，从而实现离线分析结果，免数据搬迁直接就可以用openLooKeng引擎进行交互式分析。Spark和openLooKeng都支持Hive的建表方式，通过这种方式，实现了元数据层面的互通。 统一目录，跨域跨DC查询 并行数据访问 worker可以并发访问数据源以提高访问效率， 客户端也可以并发从服务端获取数据以加快数据获取速度。 数据压缩 在数据传输期间进行序列化之前，先使用GZIP压缩算法对数据进行压缩，以减少通过网络传输的数据量。 跨DC动态过滤 过滤数据以减少从远端提取的数据量，从而确保网络稳定性并提高查询效率。

文件夹 进入邮箱后，左侧展示文件夹列表，支持用户选择不同文件夹切换查看各文件夹中的邮件。 文件夹列表中除草稿箱文件夹，其他文件夹支持通过数字标展示各文件夹中的未读文件数；草稿箱文件夹的数字标为该文件夹中的草稿邮件数。 支持新建文件夹、拖拽对文件夹进行移动，以及对非系统文件夹的清空、重命名、新建其下子文件夹和删除；系统文件夹可新建子文件夹及清空。 支持自定义标签，给邮件打标签，随后可筛选来自某个标签的所有邮件。 父主题： 读信

与 表格存储服务 （CloudTable）的关系 表格存储 服务（CloudTable Service）作为DLI的数据来源及数据存储，与DLI配合一起使用，关系有如下两种。 数据来源：DLI服务提供DataFrame和SQL方式从CloudTable中导入数据到DLI。 存储查询结果：DLI使用标准SQL的Insert语法将日常作业的查询结果数据存放到CloudTable表中。 通过DLI跨源连接访问CloudTable数据请参考《跨源分析开发方式参考》。

与 云搜索服务 （ CSS ）的关系 云搜索 服务（Cloud Search Service）作为DLI的数据来源及数据存储，与DLI配合一起使用，关系有如下两种。 数据来源：DLI服务提供DataFrame和SQL方式从 CS S中导入数据到DLI。 存储查询结果：DLI使用标准SQL的Insert语法将日常作业的查询结果数据存放到CSS表中。 通过DLI跨源连接访问DWS数据请参考《跨源分析开发方式参考》。

与文档数据库服务（DDS）的关系 文档数据库服务（Document Database Service）作为DLI的数据来源及数据存储，与DLI配合一起使用，关系有如下两种。 数据来源：DLI服务提供DataFrame和SQL方式从DDS中导入数据到DLI。 存储查询结果：DLI使用标准SQL的Insert语法将日常作业的查询结果数据存放到DDS表中。 通过DLI跨源连接访问DWS数据请参考《跨源分析开发方式参考》。

与 数据治理中心 （ DataArts Studio ）的关系 在 数据治理 中心DataArts Studio中，数据开发是一个一站式的大数据协同开发平台，提供全托管的大数据调度能力。它可管理多种大数据服务，极大降低用户使用大数据的门槛，帮助用户快速构建大数据处理中心。 通过数据治理中心的DLI SQL节点传递SQL语句到DLI中执行，请参考《DLI SQL》。 通过数据治理中心的DLI Flink Job节点执行一个预先定义的DLI作业，请参考《DLI Flink Job》。 通过数据治理中心的DLI Spark节点执行一个预先定义的Spark作业，请参考《DLI Spark》。

与 对象存储服务 （OBS）的关系 对象存储服务（Object Storage Service）作为DLI的数据来源及数据存储，与DLI配合一起使用，关系有如下四种。 数据来源：使用DLI服务提供API，将OBS对应路径的数据导入到DLI。 具体API请参考《导入数据》。 存储数据：DLI中支持创建OBS表，该类型表在DLI服务中只有元数据，实际数据在该表对应的OBS路径中。 创建OBS表的SQL语法请参考《使用DataSource语法创建OBS表》和《使用Hive语法创建OBS表》。 备份数据：使用DLI提供导出API，将DLI的数据导出到OBS中备份。 具体API请参考《导出数据》。 存储查询结果：DLI提供API供用户将日常作业的查询结果数据保存到OBS。 具体API请参考《导出查询结果》。

与分布式缓存服务（DCS）的关系 分布式缓存服务（Distributed Cache Service）作为DLI的数据来源及数据存储，与DLI配合一起使用，关系有如下两种。 数据来源：DLI服务提供DataFrame和SQL方式从DCS中导入数据到DLI。 存储查询结果：DLI使用标准SQL的Insert语法将日常作业的查询结果数据存放到DCS表中。 通过DLI跨源连接访问DWS数据请参考《跨源分析开发方式参考》。

与关系型数据库服务（RDS）的关系 关系型数据库（Relational Database Service）作为DLI的数据来源及数据存储，与DLI配合一起使用，关系有如下两种。 数据来源：DLI服务提供DataFrame和SQL方式从RDS中导入数据到DLI。 存储查询结果：DLI使用标准SQL的Insert语法将日常作业的查询结果数据存放到RDS表中。 通过DLI跨源连接访问RDS数据请参考《跨源分析开发方式参考》。

与 MapReduce服务 （ MRS ）的关系 MapReduce服务（MapReduce Service）作为DLI的数据来源及数据存储，与DLI配合一起使用，关系有如下两种。 数据来源：DLI服务提供DataFrame和SQL方式从MRS中导入数据到DLI。 存储查询结果：DLI使用标准SQL的Insert语法将日常作业的查询结果数据存放到MRS表中。 通过DLI跨源连接访问DWS数据请参考《跨源分析开发方式参考》。

访问控制 您可以使用 统一身份认证 服务（Identity and Access Management，简称 IAM ）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制华为云资源的访问。 关于IAM的详细介绍，请参见IAM产品介绍。 权限根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：不允许某用户组删除集群，仅允许DLI基本操作（如创建、查询作业等）。 DLI支持的授权项请参见权限管理概述。 如表3-1所示，包括了DLI的所有系统权限。 系统角色/策略名称 描述 类别 授权方式 DLI FullAccess 数据湖探索 所有权限。 系统策略 具体的授权方式请参考创建IAM用户并授权使用DLI以及《如何创建子用户》和《如何修改用户策略》。 DLI ReadOnlyAccess 数据湖 探索只读权限。 系统策略 Tenant Administrator 租户管理员。 操作权限：具有所有云服务的管理和使用权限。创建后，可通过ACL赋权给其他子用户使用。 作用范围：项目级服务。 系统角色 DLI Service Admin DLI服务管理员。 操作权限：具有数据湖探索服务队列、数据的管理和使用权限。创建后，可通过ACL赋权给其他子用户使用。 作用范围：项目级服务。 系统角色

计费模式 DLI在不同的计费项下有不同的计费模式，具体详见表2说明。 表2 DLI计费模式 计费项 计费模式 计费模式说明 计算计费 包年/包月 按照队列/弹性资源池包年/包月的固定费用计费 按需计费 按需的队列或弹性资源池资源使用CU时进行计费。 计算费用=单价*CU数*小时数 CU时套餐包 包括以下两种CU时套餐包： 队列CU时套餐包 弹性资源池CU时套餐包 DLI表的数据存储 按需计费 按照存储在DLI服务中的数据存储量（单位为“GB”）收取存储费用。 存储费用=单价*存储数据量（GB）*小时数 存储套餐包 购买了存储量套餐包，按需使用过程中优先抵扣存储套餐包的规格额度，超过套餐包额度的按照按需计费。存储套餐的额度每个小时会重置。 数据扫描量 按需计费 扫描量计费=单价*扫描量数据（GB） 扫描数据量套餐包 购买了扫描数据量套餐包，按需使用过程中优先抵扣扫描数据量套餐包的规格额度，超过扫描数据量套餐包额度的按照按需计费。扫描数据量套餐的额度每个月会重置。 边缘鉴权码 包年 按照边缘鉴权码包年的固定费用计费 计算计费根据使用的资源不同又分为计算计费-队列CU时计费和计算计费-弹性资源池CU时计费。

欠费和续费 如果购买队列或弹性资源池时选择“包年/包月”计费模式，可在购买页面勾选“自动续费”。若未勾选自动续费，到期后会导致欠费，系统将自动提醒用户续费。 按月购买，自动续费周期为1个月。按年购买，自动续费周期为1年。 如果购买队列或弹性资源池时选择“按需计费”计费模式，将按小时扣费，余额不足时，无法对上一个小时的费用进行扣费，会导致欠费，系统将自动提醒用户续费。 如果购买队列或弹性资源池时选择套餐包， 计费时优先使用套餐中的资源，套餐中资源使用完后，超出部分按需付费。暂时不提供自动续费。 欠费后用户不能在DLI服务中提交作业，包括SQL作业，Spark作业和Flink作业。 DLI服务会为用户保留其相关资源一段时间。具体请参考《费用中心》。保留期内用户续费可继续正常使用。如果在保留期内用户没有续费，DLI将在保留期结束后终止服务，释放资源。 在保留期中进行的续费，将先扣除所欠费用。 续费步骤如下： 在管理控制台页面顶端菜单栏中，在“费用”菜单中选择“续费管理”。 图3 续费管理 在“续费管理”页面，勾选需要续费的订单，单击“操作”栏中的“续费”进行续费。

计算计费-弹性资源池CU时计费 使用DLI的弹性资源池资源时，按照弹性资源池CU时进行计费，分为•按需计费和•弹性资源池CU时套餐包两种方式。 弹性资源池单个计费周期内小于1CU的向上取整。 计费是基于弹性资源池实际CU数计费，即按照实际物理资源占用来计费。 弹性资源池扩缩容的开始时间点是以实际扩缩容成功后时间点开始计算，不是按照扩缩容配置的时间开始计费。 弹性资源池队列扩容成功后，系统开始对扩容的CU进行计费，直到缩容成功停止对扩容的CU计费。 当业务发生调整，对这部分CU没有使用需求时，请及时清理释放资源，否则扩容的CU会持续计费。 按需计费 弹性资源池CU时按照时间顺序分为三个周期来计费，分别为：弹性资源池创建周期、弹性资源池使用中周期、弹性资源池删除周期。三个周期时间范围定义可以参考图2所示。 图2 弹性资源池CU时计费的三个周期示意图 start_time：弹性资源池创建成功状态为“可使用”时间点。 start_time_next：弹性资源池创建成功状态为“可使用”时间点的下一个整点。比如当前start_time为9点45分，则start_time_next为10点00分。 end_time：弹性资源池删除成功的时间点。 end_time_before：弹性资源池删除成功时间点的上一个整点。比如当前end_time为14点25分，则end_time_before为14点00分。 弹性资源池创建周期 = start_time_next - start_time 弹性资源池使用中周期 = end_time_before - start_time_next 弹性资源池删除周期 = end_time - end_time_before 弹性资源池CU时在三个周期的计费有所差异，详细可参考表3的场景说明： 表3 弹性资源池CU时计费场景说明 场景 弹性资源池创建周期 弹性资源池使用中周期 弹性资源池删除周期 弹性资源池创建成功状态为“可使用”时间点为：09:40，则下一个整点为10:00 弹性资源池删除成功时间点为：11:40，则上一个整点为11:00 弹性资源池整个周期CU数为64CU，期间没有执行过弹性扩缩容 创建周期时长按小时计算： （10:00-09:40）=1/3小时 总的CU时 = 64CU/3 （向上取整） = 22CU时 使用中周期时长按小时计算： （11:00-10:00）=1小时 总的CU时 = 64CU/1 = 64CU时 删除周期时长按小时计算： （11:40-11:00）=2/3小时 总的CU时 = 64CU*2/3（向上取整） = 43CU时 弹性资源池创建成功状态为“可使用”时间点为：09:40，则下一个整点为10:00 弹性资源池删除成功时间点为：11:40，则上一个整点为11:00 弹性资源池初始CU数为64CU，在10点10分弹性扩容到128CU，在11点10分弹性缩容到64CU 创建周期时长按小时计算： （10:00-09:40）=1/3小时 总的CU时 = 64CU/3 （向上取整） = 22CU时 使用中周期时长按小时计算： 弹性扩容前时长=10:10-10:00=1/6时 弹性扩容后时长=11:00-10:10=5/6时 总的CU时 = （64CU*1/6 + 128CU*5/6）（向上取整） = 118CU时 删除周期时长按小时计算： 弹性缩容前时长=11:10-11:00=1/6时 弹性缩容后时长=11:40-11:10=1/2时 总的CU时 = （128CU*1/6+64CU*1/2）（向上取整） = 54CU时 弹性资源池创建成功状态为“可使用”时间点为：09:40，则下一个整点为10:00 弹性资源池删除成功时间点为：10:50，则上一个整点为10:00 弹性资源池初始CU数为64CU，在10点10分弹性扩容到128CU 创建周期时长按小时计算： （10:00-09:40）=1/3小时 总的CU时 = 64CU/3 （向上取整） = 22CU时 无 删除周期时长按小时计算： 弹性缩容前时长=10:10-10:00=1/6时 弹性缩容后时长=10:50-10:10=2/3时 总的CU时 = （64CU*1/6+128CU*2/3）（向上取整） = 96CU时 弹性资源池CU时套餐包 购买了弹性资源池CU时套餐包时，按需使用过程中优先抵扣弹性资源池CU时套餐包的规格额度，超过额度的使用量按照按需计费。弹性资源池CU时套餐包的额度每个月会重置。 数据湖探索的计费详情及样例，请参见产品价格详情。您可以通过DLI提供的价格计算器，选择您需要的队列规格，快速计算出购买DLI队列的参考价格。 通常情况下，建议您针对不同的业务创建项目： 开发项目：在此项目下，大多是工程师开发调试时使用，作业随机性大，数据量小。针对这种情况，建议您使用按CU时计费模式，能够帮您有效控制成本，将资源消耗控制在一定范围内。如果您有短时的专属资源需求，也可以在购买按需队列时勾选专属资源模式，享受资源专属。 生产项目：在此项目下，您的作业相对稳定（经过开发调试再上线），建议您使用包年/包月计费模式，可以更优惠。同时，按需计费的队列，在空闲1小时后，系统会自动释放计算资源，再次使用时，需要重新分配计算资源，可能会耗费5~10min时间。使用包年/包月计费模式则可避免这种情况，节省等待时间。 队列空闲是指该队列上没有正在运行的作业。

计费项 数据湖探索的计费项包括存储计费、扫描量计费、计算计费和边缘鉴权码计费。数据湖探索的计费详情及样例，请参见产品价格详情。您可以通过DLI提供的价格计算器，选择您需要的队列规格，快速计算出购买DLI队列的参考价格。 表1 DLI计费项 计费项 说明 计算计费 按照“CU时”收取计算费用。 CU是队列的计价单位。 1CU= 1Core 4GMem。不同规格的队列对应的计算能力不一样，规格越高计算能力越好。 当前支持Spark、Flink、OpenLookeng计算。 存储计费 按照存储在DLI服务中的表数据存储量（单位为“GB”）收取存储费用。 在估算存储费用时，请特别注意，DLI采用压缩存储，通常能压缩到原文件大小的 1/5 。DLI存储按照压缩后的大小计费。 如果数据存储在OBS服务中，则DLI服务不收取存储费用，对应的费用由OBS服务收取。 扫描量计费 按照用户每个作业的数据扫描量（单位为“GB”）收取计算费用。 当前仅适用于在默认default队列中提交作业按扫描数据量计费。 边缘鉴权码计费 边缘鉴权码 按照节点收取费用。 目前只支持按1年购买，计费周期从购买成功的时间点开始计算。支持续费和退订。 同一时间段只支持绑定一个边缘节点，边缘节点只有绑定鉴权码之后才可以正常启动/停止作业。 按CU时计费和按数据扫描量计费，这两种计费模式是互斥的，可根据需要选择其中一种。建议优先选择按CU时计费，成本核算清晰。 按CU时计费支持创建专属队列，独享计算资源，可创建增强型跨源。 default队列中提交作业按扫描数据量计费。

审计与日志 DLI对接 云审计 服务 云审计服务（Cloud Trace Service， CTS ），是华为 云安全 解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 CTS可记录的DLI操作列表详见云审计服务支持的DLI操作列表说明。用户开通云审计服务并创建和配置追踪器后，CTS开始记录操作事件用于审计。关于如何开通云审计服务以及如何查看追踪事件，请参考《云审计服务快速入门》中的相关章节。 CTS支持配置关键操作通知。用户可将与IAM相关的高危敏感操作，作为关键操作加入到CTS的实时监控列表中进行监控跟踪。当用户使用DLI服务时，如果触发了监控列表中的关键操作，那么CTS会在记录操作日志的同时，向相关订阅者实时发送通知。 DLI的作业日志 在创建DLI作业时，可以在作业编辑页面，通过保存作业日志功能，将作业运行时的日志信息保存到OBS。 查询作业日志信息，参考查看DLI SQL日志。 作业日志为日常的服务运维提供了重要保障，包括跟踪资源使用情况、检测作业运行安全性、追踪资源消耗、检测错误等。 父主题： 安全

创建IAM用户并授权使用 RAM 给用户组授权之前，请您了解用户组可以添加的RAM权限，并结合实际需求进行选择，RAM支持的系统权限，如表1所示。 表1 RAM系统权限 权限名称 描述 RAM FullAccess 拥有该权限的用户可以执行RAM服务支持的所有功能，包括创建、更改、删除、查询等操作。 RAM ReadOnlyAccess RAM服务只读权限，拥有该权限的用户仅可以查看RAM服务相关信息，不允许进行任何更改。 RAM ResourceShareParticipantAccess 拥有该权限的用户可以接受、拒绝共享邀请，并查看相应的共享信息。 默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 创建用户并授权使用RAM服务的操作步骤如下： 创建用户组并授权 在IAM控制台创建用户组，并授予RAM所有执行权限“RAM FullAccess”。 创建用户并加入用户组 在IAM控制台创建用户，并将其加入步骤一中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台，验证RAM服务的“RAM FullAccess”权限。

修订记录 发布日期 修订记录 2022-12-14 第八次正式发布。 步骤2：创建边缘业务章节开启IPv6增加相关约束。 2022-09-23 第七次正式发布。 步骤2：创建边缘业务章节删除通用计算型（S6）、内存优化型（M6）和GPU加速型（G5r和Pi2）规格并增加开启IPv6功能。 2022-04-07 第六次正式发布。 “创建边缘业务”章节中实例名称增加说明。 2021-09-13 第五次正式发布。 “步骤2：创建边缘业务”章节新增委托相关内容。 2021-07-01 第四次正式发布。 新增实例名称前缀功能内容。 新增通用计算型（s6）和内存优化型（m6）规格描述。 2021-06-08 第三次正式发布。 优化“步骤2：创建边缘业务”章节的“后续操作”相关内容。 修正“步骤2：创建边缘业务”章节的相关参数描述内容。 2021-01-30 第二次正式发布。 在“步骤2：创建边缘业务”章节新增支持选择运营商线路的相关内容。 2020-10-30 第一次正式发布。

产品功能 开天企业工作台 属于全局性服务，产品功能如表1所示。 表1 开天 企业工作台 功能概览 功能 简介 工作台配置 提供门户，移动门户的定义，门户可以通过行业管理员或者企业管理员来定义（二级门户定义），行业管理员定义的门户将默认被租户继承。 工作台提供登录页定义的能力，登录页设置包括：icon（网站地址logo）、登录页背景、登录页标题。 账号管理 自动为用户添加应用账号，提供账号的注册、密码重置、禁用等功能。 组织管理 组织管理包括： 部门管理：企业管理员管理本企业部门结构，支持手动创建或导入创建。 成员管理：企业管理员为部门添加成员，添加后将自动生成登录账号。成员添加有两种模式：直接添加或成员邀请（成员邀请可通过三种方式：邀请码、二维码、邀请URL）。 权限管理：企业管理员可以通过创建角色并将角色赋予企业成员来分配管理权限。 统一登录 提供统一登录认证、应用间账号的免登录、账号登录日志、账号密码重置等相关功能。 统一授权 统一管理企业自建应用和在云市场采购的应用，并对应用进行统一授权管理，支持的授权方式包括：用户授权、部门授权、用户组授权。 企业向服务提供商主动授权用户数据，涉及手机号、邮箱等。 应用管理 应用分为四类：内置应用、预装应用、订阅应用、自建应用。 内置应用：企业工作台预置的应用，如云盘、待办、日程、待办中心等。 预装应用：由系统配置，配置完成后即可使用。预装应用又包括两种：联邦应用和SaaS应用。 订阅应用：由企业管理员或者拥有企业采购能力员工通过云市场订单订购而来。 自建应用：企业内IT自建的应用或者通过 集成工作台 发布的企业内应用。 应用管理包括：应用详情查看，应用分组、跳转云市场（查看市场应用并订购）。 行业管理 提供行业下租户的统一管理。 行业预装应用管理：可以预置行业下租户开通时预装的应用列表。 行业商城管理：满足行业独立商城配置，实现应用的即订即用。 行业新闻管理：行业新闻可以推送到行业下所有租户。 行业登录页管理：自定义行业登录页，包括背景、logo、网站logo、行业标题等内容。 系统配置 开天企业工作台提供了登录页面定制的功能，企业管理员可以根据需要自定义门户的登录界面，可选择开天企业工作台提供的内置数据，也可自定义数据。在自定义数据中，企业管理员可以修改网站logo、网站名称、平台logo、平台名称、登录标题、背景图、底图等参数。 实例管理 企业开通企业工作台后，企业工作台会给企业分派默认三级域名，并为企业绑定预装的应用列表。 企业可以查看用户登录和管理侧的登录地址，并能跳转到管理后台对企业进行管理操作。 公告 公告会主动推送给企业内部的用户，及时知会企业或系统重要通知事项。 新闻 分类管理是新闻管理的重要功能之一，通过对发布的新闻进行分类，可实现对应的权限管控、展示不同字段内容信息，发布的新闻会推送给企业内所有成员，也可以置顶显示。 消息 消息和通讯录是日常工作沟通的重要功能，可进行在线沟通交流与文件传递、群聊等能力。 日程 管理个人时间和进行事项提醒，可显示已经预约的相关会议或任务等。 云盘 企业成员间速度快、够安全、易于分享的企业云盘。

数据保护技术 企业工作台通过数据保护手段，保障企业工作台数据可靠性。 表1 企业工作台的数据保护手段 数据保护手段 简要说明 传输加密（HTTPS） 企业工作台外部接口支持HTTPS传输协议，保障数据传输的安全性。 服务端加密 企业工作台涉及个人数据处理，包括：姓名、手机号码、邮箱等。这些数据在企业工作台内加密存储，避免个人数据的泄露。 数据容灾保护 企业工作台内的数据，包括RDS（Relational Database Service）、DCS（Distributed Cache Service），启用了定时备份机制，定时全量备份（默认每天）与增量备份（默认5分钟）。 同时，RDS、DCS启用了双AZ（Availability Zone）容灾，当一个AZ异常后，可以无缝切换到另一个AZ上继续使用。 父主题： 安全

服务韧性 企业工作台提供了3级可靠性架构，通过双AZ容灾、AZ内集群容灾、数据容灾技术方案，保障服务的持久性与可靠性。 表1 企业工作台可靠性架构 可靠性方案 简要说明 双AZ容灾 企业工作台实现2AZ双活，一个AZ异常时不影响云服务持续提供服务。 AZ内集群容灾 企业工作台通过集群提供服务，集群中每个微服务都有多个实例，当一个或部分实例异常时，其他实例可以持续提供服务。 数据容灾 企业工作台数据存储在RDS、DCS服务中，RDS、DCS实现了AZ容灾方案，数据持续会同步到容灾站点，当生产站点的RDS异常后，容灾站点可以接管业务，保障云服务持续运行。 父主题： 安全

修订记录 发布日期 修订记录 2023-01-06 第五次正式发布。 优化如下章节： 计费说明 2022-12-08 第四次正式发布。 新增如下章节： 图解开天企业工作台 计费说明 优化如下章节： 产品优势 产品功能 约束与限制 2022-11-03 第三次正式发布。 新增如下章节： 权限管理 2022-09-15 第二次正式发布。 优化如下章节： 什么是开天企业工作台 新增如下章节： 产品功能 安全 与其他服务的关系 基本概念 2022-04-30 第一次正式发布。

操作步骤 用户获取“用户访问域名”，域名在管理员添加用户时，会通过短信或邮件的形式告知用户，添加用户详情请参考添加员工。或您可以直接登录开天企业工作台用户工作台。 登录方式有两种，一种是输入用户名和密码，另一种是输入手机和验证码，如图1所示，然后单击“登录”，进入用户门户首页。 图1 企业用户登录 通过管理员手动添加企业成员的方式创建的账号，首次登录或者未设置密码时，只可通过手机验证码的方式登录，登录后请根据弹窗提示前往设置密码，如图2所示。设置密码后，下次才可使用账号密码登录。如需修改密码，请参见设置/修改密码。 图2 设置密码

与其他服务的关系 企业工作台与周边服务的依赖关系如下： 图1 开天企业工作台与其他服务的关系 表1 企业工作台云服务与其他服务的关系 服务名称 企业工作台与其他服务的关系 主要交互功能 华为云IAM 企业登录华为云后，在Console中开通企业工作台服务。 基于华为云认证的客户来开通企业工作台。 通过华为云IAM提供接口获取客户的信息和用户的信息。 OneAccess 企业用户的认证、企业内应用的管理授权功能。 通过OneAccess实现对企业内用户的管理。 通过OneAccess实现对企业内部门的管理。 通过OneAccess实现对企业内应用的管理。 通过OneAccess实现对企业用户的登录认证。 通过OneAccess实现对企业应用的注册、授权。 云商店 企业客户在云市场订购应用，应用会同步到企业工作台，并授权给企业内部的用户使用。 通过云市场的订单来通知企业工作台订购的应用。 应用的续订，取消等。 集成工作台 企业内IT人员通过集成工作台开发应用并同步到企业工作台使用。 通过集成工作台开发轻应用并发布企业工作台。 开发者联盟 企业工作台收到云市场订单通知后，根据应用ID查询应用的相关信息，并在系统中对应用进行实例化。 通过开发者联盟来查询应用的详情。

操作步骤 在登录页面单击“注册账号”。 在注册页面输入管理员告知您的邀请码。若您获得的是邀请链接，可跳过此步骤。 在加入企业页面，输入您的个人信息，如图1所示。 图1 加入企业页面 输入个人信息完成后，单击“立即加入”。 进入结果页面。若您已经在企业内会告知您已在企业中，若您不在会将您加入企业中，并自动开通账号。企业工作台会将您的账号及登录地址通过短信发送至您注册的手机号码，请注意查收。如图2所示。 图2 注册成功