华为云用户手册

响应示例 状态码： 200 请求成功。 { "common_configuration" : { "home_region" : "string", "cloud_trail_type" : true }, "logging_configuration" : { "access_logging_bucket" : { "retention_days" : 5475 }, "logging_bucket" : { "retention_days" : 5475 } }, "organization_structure" : [ { "organizational_unit_name" : "string", "organizational_unit_type" : "CORE", "accounts" : [ { "account_name" : "string", "account_type" : " LOG GING" } ] } ], "regions" : [ { "region" : "string", "region_configuration_status" : "ENABLED" } ] }

响应参数 状态码： 200 表1 响应Body参数 参数 参数类型 描述 common_configuration CommonConfiguration object Landing Zone配置信息。 logging_configuration LoggingConfiguration object Landing Zone日志配置。 organization_structure Array of OrganizationStructureBaseLineRsp objects 纳管账号体系基础设置。 regions Array of regionConfigurationList objects 纳管的区域信息。 表2 CommonConfiguration 参数 参数类型 描述 home_region String 主区域名。 最小长度：1 最大长度：64 cloud_trail_type Boolean CTS 配置状态。 表3 LoggingConfiguration 参数 参数类型 描述 access_logging_bucket AccessLoggingBucketBaseline object 访问日志基础设置。 logging_bucket LoggingBucketBaseline object 日志基础设置。 表4 AccessLoggingBucketBaseline 参数 参数类型 描述 retention_days Integer 桶保留天数。 最小值：1 最大值：5475 表5 LoggingBucketBaseline 参数 参数类型 描述 retention_days Integer 桶保留天数。 最小值：1 最大值：5475 表6 OrganizationStructureBaseLineRsp 参数 参数类型 描述 organizational_unit_name String 注册OU名称。 最小长度：1 最大长度：64 organizational_unit_type String 可设置的注册OU类型。包括核心注册OU和自定义注册OU。 枚举值： CORE CUSTOM accounts Array of AccountBaselineRsp objects 纳管账号基本信息。 数组长度：0 - 100 表7 AccountBaselineRsp 参数 参数类型 描述 account_name String 纳管账号名称。 最小长度：6 最大长度：30 account_id String 纳管账号的唯一标识符（ID）。 最小长度：0 最大长度：36 account_email String 纳管账号邮箱。 最小长度：0 最大长度：64 account_type String 纳管账号类型。类型包括LOGGING，SECURITY和CUSTOM。 枚举值： LOGGING SECURITY CUSTOM 表8 regionConfigurationList 参数 参数类型 描述 region String 区域名字。 最小长度：1 最大长度：36 region_configuration_status String 纳管账号类型LOGGING,SECURITY。 枚举值： ENABLED DISABLED

响应参数 状态码： 200 表2 响应Body参数 参数 参数类型 描述 identifier String 控制策略ID。 最小长度：1 最大长度：128 implementation String 服务控制策略（SCP），配置规则。 最小长度：1 最大长度：64 guidance String 控制策略必须性。 最小长度：1 最大长度：64 resource Object 治理资源。 service String 控制策略所属服务。 最小长度：1 最大长度：64 behavior String 控制策略类型。包括主动性控制策略Proactive、检测性控制策略Detective、预防性控制策略Preventive。 最小长度：1 最大长度：64 control_objective String 控制策略目标。 最小长度：1 最大长度：128 framework Array of strings 治理策略来自的框架。 artifacts Array of Artifact objects 控制策略内容。 aliases Array of strings 控制策略别名。 owner String 纳管账号的创建来源，包括CUSTOM和RGC。 最小长度：1 最大长度：128 severity String 控制策略严重性。 最小长度：1 最大长度：64 version String 控制策略版本。 最小长度：1 最大长度：128 release_date String 控制策略发布时间。 表3 Artifact 参数 参数类型 描述 content Content object 控制策略内容。 type String 策略类型。 表4 Content 参数 参数类型 描述 en String 英文策略内容。 最小长度：1 最大长度：20480 ch String 中文策略内容。 最小长度：1 最大长度：20480

响应示例 状态码： 200 请求成功。 { "identifier" : "string", "implementation" : "string", "guidance" : "string", "resource" : [ "string" ], "service" : "string", "behavior" : "string", "control_objective" : "string", "framework" : [ "string" ], "artifacts" : [ { "content" : { "en" : "string", "ch" : "string" }, "type" : "string" } ], "aliases" : [ "string" ], "owner" : "string", "severity" : "string", "version" : "string", "release_date" : "2023-11-21T06:55:57.419Z" }

URI GET /v1/governance/managed-organization-units/{managed_organization_unit_id}/compliance-status 表1 路径参数 参数 是否必选 参数类型 描述 managed_organization_unit_id 是 String 注册OU ID。 最大长度：64 表2 Query参数 参数 是否必选 参数类型 描述 control_id 否 String 启用的控制策略信息。 最小长度：1 最大长度：128

权限和授权项说明 如果您需要对您所拥有的RGC进行精细的权限管理，您可以使用 统一身份认证 服务（Identity and Access Management，简称 IAM ），如果华为账号所具备的权限功能已经能满足您的要求，您可以跳过本章节，不影响您使用RGC服务的其他功能。 通过IAM，您可以通过授权控制主体（IAM用户、用户组、IAM委托）对华为云资源的访问范围。 账号下的IAM用户发起API请求时，该IAM用户必须具备调用该接口所需的权限，否则，API请求将调用失败。每个接口所需要的权限，与各个接口所对应的授权项相对应，只有发起请求的用户被授予授权项所对应的策略，该用户才能成功调用该接口。 例如，用户要查询Landing Zone设置状态，那么这个IAM用户被授予的策略中必须包含允许“rgc:landingZoneStatus:get”的授权项，该接口才能调用成功。 父主题： 权限和授权项

响应示例 状态码： 200 请求成功。 { "drift_details" : [ { "manage_account_id" : "string", "drift_type" : "string", "drift_target_id" : "string", "drift_target_type" : "string", "drift_message" : "string", "parent_organization_unit_id" : "string" } ] }

响应参数 状态码： 200 表1 响应Body参数 参数 参数类型 描述 drift_details Array of DriftDetail objects 漂移详细信息。 表2 DriftDetail 参数 参数类型 描述 manage_account_id String 管理纳管账号ID。 最小长度：1 最大长度：64 drift_type String 漂移类型。 最小长度：1 最大长度：64 drift_target_id String 漂移发生的纳管账号ID或注册OU ID。 最小长度：1 最大长度：64 drift_target_type String 漂移目标类型，类型有accountId和policyId。 最小长度：1 最大长度：64 drift_message String 漂移信息。 最小长度：1 最大长度：512 parent_organization_unit_id String 父注册OU ID。 最小长度：1 最大长度：64

文件系统 权限 对应API接口 授权项 依赖的授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 创建文件系统 POST /v1/{project_id}/sfs-turbo/shares sfsturbo:shares:createShare 创建SFS Turbo实例时，需要vpc相关权限，包括校验vpc、子网、安全组，创建vip以及port，创建安全组规则等，需要增加授权项： "vpc:*:*" 加密实例需要在项目上配置KMS Administrator权限 专属场景，需要增加授权项： "dss:*:get", "dss:*:list", "dss:*:count" √ √ 查询所有文件系统详细信息 GET /v1/{project_id}/sfs-turbo/shares/detail sfsturbo:shares:getAllShares - √ √ 查询单个文件系统详细信息 GET /v1/{project_id}/sfs-turbo/shares/{share_id} sfsturbo:shares:getShare - √ √ 删除文件系统 DELETE /v1/{project_id}/sfs-turbo/shares/{share_id} sfsturbo:shares:deleteShare 删除SFS Turbo实例时，需要vpc相关权限，包括删除vip以及port，删除安全组规则等，需要增加授权项： "vpc:*:*" 如果是专属场景，需要增加授权项： "dss:*:get", "dss:*:list", "dss:*:count" √ √ 绑定后端存储 POST /v1/{project_id}/sfs-turbo/shares/{share_id}/targets sfsturbo:shares:createBackendTarget 用户需要额外配置OBS Adminstrator权限。 √ √ 查询后端存储列表 GET /v1/{project_id}/sfs-turbo/shares/{share_id}/targets sfsturbo:shares:listBackendTargets - √ √ 获取后端存储详细信息 GET /v1/{project_id}/sfs-turbo/shares/{share_id}/targets/{target_id} sfsturbo:shares:showBackendTargetInfo - √ √ 删除后端存储 DELETE /v1/{project_id}/sfs-turbo/shares/{share_id}/targets/{target_id} sfsturbo:shares:deleteBackendTarget - √ √ 创建数据导入导出任务 POST /v1/{project_id}/sfs-turbo/{share_id}/hpc-cache/task sfsturbo:shares:createDataRepositoryTask - √ √ 查询数据导入导出任务详情 GET /v1/{project_id}/sfs-turbo/{share_id}/hpc-cache/task/{task_id} sfsturbo:shares:getDataRepositoryTask - √ √ 查询数据导入导出任务列表 GET /v1/{project_id}/sfs-turbo/{share_id}/hpc-cache/tasks sfsturbo:shares:getAllDataRepositoryTasks - √ √

Console引用 权限 对应API接口 授权项 依赖的授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 更改安全组 Console引用 sfsturbo:shares:shareAction 更改安全组需要安全组相关权限： vpc:securityGroups:* vpc:securityGroupRules:* √ √ 查询sfs turbo配额 Console引用 sfsturbo:shares:getQuota - √ √ 获取可用区信息 Console引用 sfsturbo:shares:getAZInfo - √ √ 获取sfs turbo规格信息 Console引用 sfsturbo:shares:getFlavors - √ √ 检查文件系统名称 Console引用 sfsturbo:shares:checkShareName - √ √

修订记录 发布日期 修订记录 2024-01-04 第三十一次正式发布。 新增文件系统配额管理相关说明。 2023-12-11 第三十次正式发布。 新增资源包管理相关说明。 2023-09-06 第二十九次正式发布。 新增SFS Turbo文件系统相关特性说明：SFS Turbo文件系统。 2023-07-27 第二十八次正式发布。 容量调整、备份，更新并添加相关约束说明。 2023-03-30 第二十七次正式发布。 本次更新说明如下： 新增通用文件系统低频特性相关说明，见生命周期管理。 2022-05-25 第二十六次正式发布。 本次更新说明如下： 增加SFS Turbo更多规格的文件系统相关说明。 2021-05-10 第二十五次正式发布。 本次更新说明如下： 下线“自动扩容”相关功能说明。 2020-09-14 第二十四次正式发布。 本次更新说明如下： 将“SFS文件系统”修改为“SFS容量型文件系统”。 2020-06-08 第二十三次正式发布。 本次更新说明如下： 更新“SFS Turbo性能测试”章节的截图。 2020-04-01 第二十二次正式发布。 本次更新说明如下： 删除基于策略的访问控制公测的相关内容。 2019-11-11 第二十一次正式发布。 本次更新说明如下： 增加“配置多账户访问”章节。 2019-08-23 第二十次正式发布。 本次更新说明如下： 增加“将数据迁移至SFS Turbo”章节 2019-07-22 第十九次正式发布。 本次更新说明如下： 增加“创建告警规则”章节。 2019-05-30 第十八次正式发布。 本次更新说明如下： 增加“权限管理”章节。 2019-04-30 第十七次正式发布。 本次更新说明如下： 下线SFS Turbo文件系统的扩容特性，“容量调整”章节删除相关描述。 “监控”章节增加监控指标说明。 “SFS Turbo性能测试”章节补充性能计算公式相关描述。 2019-03-30 第十六次正式发布。 本次更新说明如下： 大纲结构及章节名称调整。 增加“SFS Turbo性能测试”章节。 2019-03-01 第十五次正式发布。 本次更新说明如下： “查看文件系统”章节增加企业项目相关内容。 “管理VPC”章节优化用户权限和用户root权限参数说明。 2019-02-15 第十四次正式发布。 本次更新说明如下： 增加“配额”章节。 2019-01-30 第十三次正式发布。 本次更新说明如下： “查看文件系统”章节新增“查看监控数据”操作。 优化“查看监控数据”章节内容描述。 原“问题处理”章节已修改为《弹性文件服务故障排除》单独发布。 2018-12-07 第十二次正式发布。 本次更新说明如下： 支持CIFS协议文件系统，增加相关说明。 “容量调整”章节新增SFS Turbo扩容相关内容。 2018-11-02 第十一次正式发布。 本次更新说明如下： 新增SFS Turbo新类型文件系统相关说明。 新增支持文件系统加密相关说明。 新增支持对文件系统VPC进行管理的说明。 新增支持使用Windows挂载文件系统的说明。 2018-06-15 第十次正式发布。 本次更新说明如下： 增加“查看监控数据”章节。 增加“查看追踪事件”章节。 2018-05-25 第九次正式发布。 本次更新说明如下： 资料层级拆分。 2018-02-07 第八次正式发布。 本次更新说明如下： 变更“8.2 配置DNS”章节中解析文件系统域名的DNS服务器的IP地址。 修改“1.5.2 约束与限制”章节，变更信息为“所有支持NFSv3协议的弹性云服务器都可以成功挂载文件系统”。 删除常见问题“文件系统支持Windows系统云服务器挂载吗”。 新增常见问题“VPC的安全组是否影响弹性文件服务的使用”。 新增常见问题“如何购买弹性文件服务”。 2018-01-12 第七次正式发布。 本次更新说明如下： 软件框架切换，刷新图片。 修改“删除文件系统”章节，新增删除文件系统的二次确认描述以及图片。 优化“弹性文件服务简介”章节。 更新“应用场景”和“约束与限制”章节。 2017-09-23 第六次正式发布。 本次更新说明如下： 文档大纲调整。 新增5章“典型应用举例”。 2017-04-10 第五次正式发布。 本次更新说明如下： 更新2.3章“挂载文件系统到云服务器”的前提条件和操作步骤，新增通过域名方式挂载文件系统的介绍。 新增2.4章“配置DNS”。 2017-03-22 第四次正式发布。 本次更新说明如下： 增加支持文件系统挂载的操作系统信息。 更新4.8章“文件系统数据如何保存？”。 2016-12-30 第三次正式发布。 本次更新说明如下： 更新2.3章“挂载文件系统到云服务器”，新增复制共享路径的操作步骤。 更新3.1章查询文件系统信息相关截图。 2016-09-30 第二次正式发布。 本次新增说明如下： 新增第5.2章“文件系统挂载失败”和第5.3章“云服务器无法访问文件系统”。 2016-08-25 第一次正式发布。

概述 AI训练和推理、高性能数据预处理、EDA、渲染、仿真等场景下，您可以通过SFS Turbo文件系统来加速OBS对象存储中的数据访问。SFS Turbo文件系统支持无缝访问存储在OBS对象存储桶中的对象。您可以指定SFS Turbo内的目录与OBS对象存储桶进行关联，然后通过创建导入导出任务实现数据同步。您可以在上层训练等任务开始前将OBS对象存储桶中的数据提前预热到SFS Turbo中，加速对OBS对象存储中的数据访问；上层任务产生的中间和结果等数据可以直接高速写入到SFS Turbo缓存中，中间缓存数据可被下游业务环节继续读取并处理，结果数据可以异步方式导出到关联的OBS对象存储中进行长期低成本存储。同时，您还可以配置缓存数据淘汰功能，及时将长期未访问的数据从SFS Turbo缓存中淘汰，释放SFS Turbo高性能缓存空间。

绑定OBS桶 登录弹性文件服务管理控制台。 在文件系统列表中，单击创建的文件系统名称，进入文件系统详情页面。 进入第三个页签“OBS绑定目标”，单击“绑定OBS”。 图1 绑定OBS 在右侧弹窗“绑定OBS目标”中，填写如下参数。 参数 含义 限制 配置后可编辑 路径名称 SFS Turbo文件系统根目录下会以该名称创建一个子目录，该目录将绑定对应的OBS桶 子目录名称不能重复 子目录名称必须是文件系统根目录下不存在的目录名 子目录名称不能是“.”或“..” 不支持 桶名 OBS存储桶桶名 无法绑定不存在的存储桶 目前仅支持OBS存储桶，不支持OBS并行文件系统 不支持 OBS Endpoint OBS区域域名 OBS存储桶必须和SFS Turbo文件系统在同一个Region 不支持 勾选“将OBS桶读写权限授权给SFS Turbo服务进行OBS目标绑定”，并单击“确定”，完成绑定。 目前仅支持OBS存储桶，不支持OBS并行文件系统。 绑定OBS桶时，会在OBS桶上添加名为"Sid": "PolicyAddedBySFSTurbo"的桶策略，请不要修改或删除该桶策略，否则可能导致联动功能异常。 绑定OBS桶后，OBS桶原有的桶策略会被名为"Sid": "PolicyAddedBySFSTurbo"的桶策略覆盖。

元数据导入功能 SFS Turbo文件系统绑定OBS桶后，可以使用元数据导入功能。 当您使用SFS Turbo文件系统访问OBS桶的数据时，您需要使用元数据导入功能提前将OBS数据文件的元数据（名称、大小、最后修改时间）导入到SFS Turbo文件系统中。只有元数据导入之后，您才可以在文件系统的联动子目录中去访问OBS存储桶中的数据。元数据导入功能仅会导入文件元数据，文件内容会在首次访问时从OBS存储桶中加载并缓存在SFS Turbo中，后续重复访问会直接命中，无需再从OBS存储桶中加载。 SFS Turbo文件系统提供快速导入和附加元数据导入两种元数据导入方式。元数据导入之后，您可以在联动子目录下看到导入的目录和文件列表。 快速导入：当您绑定的OBS桶中存储的数据不是来源于SFS Turbo导出时，可以选择快速导入方式，快速导入方式仅会导入OBS的元数据（名称、大小、最后修改时间），不会导入其它附加元数据（如uid、gid、mode），SFS Turbo会生成默认的附加元数据（uid:0、gid:0、目录权限:755、文件权限:644）。快速导入能够提供更快的元数据导入性能，推荐您使用快速导入。 附加元数据导入：当您绑定的OBS桶中存储的数据是来源于SFS Turbo导出时，可以使用附加元数据导入方式，附加元数据导入方式会导入OBS的元数据（名称、大小、最后修改时间）以及来源于SFS Turbo导出时的附加元数据（如uid、gid、mode）。 在绑定OBS桶之后，单击“导入”选项。 图2 元数据导入 “导入前缀”请填写绑定OBS桶内对象的前缀，可以具体到某个对象名。如果要导入整个OBS桶内的所有对象，则不用填写。 勾选“附加元数据导入”将会采用附加元数据导入方式，不勾选“附加元数据导入”将采用快速导入方式。 点击“确定”，提交导入任务。 在OBS数据导入到SFS Turbo之后，若OBS桶中的数据发生新增或修改，需要重新导入到SFS Turbo中。

数据导出功能 SFS Turbo文件系统绑定OBS桶后，可以使用数据导出功能。 当您在联动目录创建一些文件，或者对从OBS导入的文件进行修改后，需要将这些文件存储到OBS桶里，可以使用数据导出功能。数据导出支持指定前缀，只有满足指定前缀的目录和文件才会被导出到OBS桶里。 在绑定OBS桶之后，单击“导出”选项。 图3 数据导出 “导出前缀”请填写需要导出的目录和文件前缀（路径不包含联动目录），可以具体到某个文件。如果要导出整个联动目录到OBS桶，则不用填写。 单击“确定”，提交导出任务。 数据导出功能会启动异步任务对导出目录内的文件进行扫描并导出，若扫描时发现文件10s内发生过更新，则本次任务不会导出该文件。 对于一个文件的所有修改，导出到OBS桶之后，下次再提交该文件的导出任务时，若该文件未发生过变化，则该文件不会被再次导出，即使OBS桶里已经将导出的对象删掉了，也不会再导出该文件。 从SFS Turbo导出的对象，在OBS对象的自定义元数据里保存了一些SFS Turbo的元数据信息，名称以x-obs-meta-sfsturbo-st-开头。 不支持超长路径，可导出文件路径的最大长度为1023个字符。 文件系统内单个文件大小上限为320TB、可导出的单个文件大小上限为48.8TB。 大文件导出时OBS桶内x-obs-upload-sfsturbo-temp-part目录会存储大文件导出过程中产生的临时文件，导出完成后会自动删除该目录及临时文件。 导出数据时： 导入到SFS Turbo的对象，当在SFS Turbo里修改了，再从SFS Turbo导出这个对象时，若OBS桶里该对象没有发生过修改，则会覆盖OBS桶里的对象，若OBS桶里该对象发生过修改，则不会覆盖。 对象正在被导出时，上传同名对象可能会造成新上传的对象被覆盖。 开启WORM策略的OBS桶，无法从SFS Turbo导出数据到OBS桶。

数据淘汰功能 SFS Turbo文件系统绑定OBS桶之后，可以配置数据淘汰功能。SFS Turbo会自动释放设定时间内没有访问过的文件数据内容，仅保留文件元数据，数据内容释放后不占用SFS Turbo文件系统上的存储空间，再次访问该文件时，将重新从OBS中加载文件数据内容。 配置（冷）数据淘汰时间请参考以下步骤进行操作。 登录弹性文件服务管理控制台。 在文件系统列表中，单击创建的SFS Turbo文件系统名称，进入文件系统详情页面。 在“基本信息”页签，设置（冷）数据淘汰时间。 图4 设置冷数据淘汰时间 数据淘汰默认开启，淘汰时间默认为60小时。配置冷数据淘汰时间的API请参考更新文件系统。 如果SFS Turbo文件系统存储空间写满，会影响业务运行，建议在 云监控服务 CES上配置SFS Turbo已用容量的监控告警。 当触发容量阈值告警时请手动缩短数据淘汰时间，例如从60小时配置成40小时，加速（冷）数据淘汰，或者对SFS Turbo存储空间进行扩容。

FAQ 什么情况下会发生数据淘汰? 从OBS导入到SFS Turbo的文件，当文件在设定数据淘汰时间内没有被访问时，会自动对该文件进行淘汰。 在SFS Turbo上创建的文件，只有已经导出到OBS并且满足数据淘汰时间，才会进行淘汰，如果还没有导出到OBS，则不会淘汰。 数据淘汰之后，怎么重新将数据导入到SFS Turbo文件系统？ 对文件进行读写操作时会重新从OBS桶加载文件数据到SFS Turbo文件系统； 使用数据预热功能重新将数据从OBS桶加载到SFS Turbo文件系统。 什么场景下会发生数据预热失败？ 当只导入了文件元数据，或者SFS Turbo中发生了数据淘汰，SFS Turbo中只剩下文件元数据，但OBS桶中的对象又被删除时，进行数据预热或访问文件内容时会发生失败。 导入/导出任务是同步的，还是异步的？ 是异步的，任务提交后马上返回，您可以通过任务id查询异步任务完成状态。 删除SFS Turbo联动目录内的文件，OBS桶里对应的对象会删除吗？ 不会。

使用限制 支持存储联动的SFS Turbo文件系统规格有：20MB/s/TiB、40MB/s/TiB、125MB/s/TiB、250MB/s/TiB、500MB/s/TiB、1000MB/s/TiB。 SFS Turbo目录和OBS配置联动后不支持以下操作：硬链接、重命名和目录配额。 单个SFS Turbo文件系统最多可配置16个OBS联动目录。 数据淘汰只与数据淘汰时间有关，与SFS Turbo文件系统存储空间大小无关，用户需要根据实际业务场景评估文件系统存储空间用量，权衡数据淘汰时间。 创建 OBS 后端存储库，依赖的服务是 对象存储服务 OBS。用户需要额外配置OBS Adminstrator权限。 同一层目录下不允许同样名称的文件和目录存在。 不支持超长路径，数据流动支持的路径最大长度是1023字符。 开启WORM策略的OBS桶，只能从OBS桶导入数据到SFS Turbo，无法从SFS Turbo导出数据到OBS桶。

数据预热功能 SFS Turbo文件系统绑定OBS桶后，可以使用数据预热功能。 默认情况下，元数据导入完成后，数据不会导入到SFS Turbo文件系统中，初次访问会按需从OBS中加载数据，对文件的第一次读取操作可能耗时较长。如果您的业务对时延比较敏感，并且您知道业务需要访问哪些目录和文件，比如AI训练等场景涉及海量小文件，对时延比较敏感，可以选择提前预热指定目录和文件。 数据预热功能会同时导入元数据和数据内容，数据预热功能的具体操作请参考创建SFSTurbo 和 OBS 之间的联动任务。 在OBS数据导入到SFS Turbo之后，若OBS桶中的数据发生新增或修改，需要重新导入到SFS Turbo中。

操作步骤 查询证书列表。 接口相关信息 URI格式：GET /v3/scm/certificates 详情请参见查询证书列表。 请求示例 GET: https://{endpoint}/v3/scm/certificates {endpoint}信息请从地区和终端节点获取。 Body: { "limit": "2", "offset": "0" } 响应示例 { "certificates" : [ { "id" : "scs1554192131150", "name" : "test", "domain" : "www.zx.com", "type" : "OV_SSL_CERT", "brand" : "GEOTRUST", "expire_time" : "2021-05-27 16:46:25.0", "domain_type" : "MULTI_DOMAIN", "validity_period" : 12, "status" : "ISSUED", "domain_count" : 2, "wildcard_count" : 0, "description" : null } ], "total_count" : 1 } 推送SSL证书。 接口相关信息 URI格式：POST /v3/scm/certificates/{certificate_id}/push 详情请参见推送证书。 请求示例 POST: https://{endpoint}/v3/scm/certificates/scs1554192131150/push {endpoint}信息请从地区和终端节点获取。 响应示例 { } 或 { "error_code" : "SCM.XXX", "error_msg" : "XXX" }

操作步骤 导入证书。 接口相关信息 URI格式：POST /v3/scm/certificates/import 详情请参见导入证书。 请求示例 POST: https://{endpoint}/v3/scm/certificates/import {endpoint}信息请从地区和终端节点获取。 响应示例 { "certificate_id" : "scs1554192131150" } 查询证书列表。 接口相关信息 URI格式：GET /v3/scm/certificates 详情请参见查询证书列表。 请求示例 GET: https://{endpoint}/v3/scm/certificates {endpoint}信息请从地区和终端节点获取。 Body: { "limit": "2", "offset": "0" } 响应示例 { "certificates" : [ { "id" : "scs1554192131150", "name" : "test", "domain" : "www.zx.com", "type" : "OV_SSL_CERT", "brand" : "GEOTRUST", "expire_time" : "2021-05-27 16:46:25.0", "domain_type" : "MULTI_DOMAIN", "validity_period" : 12, "status" : "ISSUED", "domain_count" : 2, "wildcard_count" : 0, "description" : null } ], "total_count" : 1 } 推送证书。 接口相关信息 URI格式：POST /v3/scm/certificates/{certificate_id}/push 详情请参见推送证书。 请求示例 POST: https://{endpoint}/v3/scm/certificates/scs1554192131150/push {endpoint}信息请从地区和终端节点获取。 响应示例 { } 或 { "error_code" : "SCM.XXX", "error_msg" : "XXX" }

操作步骤 查询证书列表。 接口相关信息 URI格式：GET /v3/scm/certificates 详情请参见查询证书列表。 请求示例 GET: https://{endpoint}/v3/scm/certificates {endpoint}信息请从地区和终端节点获取。 Body: { "limit": "2", "offset": "0" } 响应示例 { "certificates" : [ { "id" : "scs1554192131150", "name" : "test", "domain" : "www.zx.com", "type" : "OV_SSL_CERT", "brand" : "GEOTRUST", "expire_time" : "2021-05-27 16:46:25.0", "domain_type" : "MULTI_DOMAIN", "validity_period" : 12, "status" : "ISSUED", "domain_count" : 2, "wildcard_count" : 0, "description" : null } ], "total_count" : 1 } 删除证书。 接口相关信息 URI格式：DELETE /v3/scm/certificates/{certificate_id} 详情请参见删除证书。 请求示例 DELETE: https://{endpoint}/v3/scm/certificates/scs1554192131150 {endpoint}信息请从地区和终端节点获取。 Body: { certificate_id:scs1554192131150 } 响应示例 { } 或 { "error_code" : "SCM.XXX", "error_msg" : "XXX" }

支持的授权项 策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应，授权项列表说明如下： 权限：允许或拒绝某项操作。 对应API接口：自定义策略实际调用的API接口。 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。 依赖的授权项：部分Action存在对其他Action的依赖，需要将依赖的Action同时写入授权项，才能实现对应的权限功能。 IAM项目(Project)/企业项目(Enterprise Project)：自定义策略的授权范围，包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目，表示此授权项对应的自定义策略，可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目，不支持企业项目，表示仅能在IAM中给用户组授权并生效，如果在企业管理中授权，则该自定义策略不生效。关于IAM项目与企业项目的区别，详情请参见：IAM与企业管理的区别。 “√”表示支持，“x”表示暂不支持。 云证书管理服务 （CCM）支持的自定义策略授权项如下所示： SSL证书管理 私有证书管理

基本概念 账号 用户注册时的账号，账号对其所拥有的资源及云服务具有完全的访问权限，可以重置用户密码、分配用户权限等。由于账号是付费主体，为了确保账号安全，建议您不要直接使用账号进行日常管理工作，而是创建用户并使用创建的用户进行日常管理工作。 用户 由账号在IAM中创建的用户，是云服务的使用人员，具有身份凭证（密码和访问密钥）。 在我的凭证下，您可以查看账号ID和用户ID。通常在调用API的鉴权过程中，您需要用到账号、用户和密码等信息。 区域（Region） 从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region，通用Region指面向公共租户提供通用云服务的Region；专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 详情请参见区域和可用区。 可用区（AZ，Availability Zone） 一个AZ是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 项目 区域默认对应一个项目，这个项目由系统预置，用来隔离物理区域间的资源（计算资源、存储资源和网络资源），以默认项目为单位进行授权，用户可以访问您账号中该区域的所有资源。如果您希望进行更加精细的权限控制，可以在区域默认的项目中创建子项目，并在子项目中创建资源，然后以子项目为单位进行授权，使得用户仅能访问特定子项目中资源，使得资源的权限控制更加精确。 图1 项目隔离模型 企业项目 企业项目是项目的升级版，针对企业不同项目间资源的分组和管理，是逻辑隔离。企业项目中可以包含多个区域的资源，且项目中的资源可以迁入迁出。 关于企业项目ID的获取及企业项目特性的详细信息，请参见企业管理服务用户指南。 父主题： 使用前必读

请求方法 HTTP请求方法（也称为操作或动词），它告诉服务你正在请求什么类型的操作。 GET：请求服务器返回指定资源。 PUT：请求服务器更新指定资源。 POST：请求服务器新增资源或执行特殊操作。 DELETE：请求服务器删除指定资源，如删除对象等。 HEAD：请求服务器资源头部。 PATCH：请求服务器更新资源的部分内容。当资源不存在的时候，PATCH可能会去创建一个新的资源。 在获取用户Token的URI部分，您可以看到其请求方法为“POST”，则其请求为： POST https://iam.cn-north-4.myhuaweicloud.com/v3/auth/tokens

请求URI 请求URI由如下部分组成。 {URI-scheme} :// {Endpoint} / {resource-path} ? {query-string} 尽管请求URI包含在请求消息头中，但大多数语言或框架都要求您从请求消息中单独传递它，所以在此单独强调。 URI-scheme： 表示用于传输请求的协议，当前所有API均采用HTTPS协议。 Endpoint： 指定承载REST服务端点的服务器域名或IP，不同服务不同区域的Endpoint不同，您可以从地区和终端节点获取。 例如IAM服务在“华北-北京四”区域的Endpoint为“iam.cn-north-4.myhuaweicloud.com”。 resource-path： 资源路径，也即API访问路径。从具体API的URI模块获取，例如“获取用户Token”API的resource-path为“/v3/auth/tokens”。 query-string： 查询参数，是可选部分，并不是每个API都有查询参数。查询参数前面需要带一个“？”，形式为“参数名=参数取值”，例如“limit=10”，表示查询不超过10条数据。 例如您需要获取IAM在“华北-北京四”区域的Token，则需使用“华北-北京四”区域的Endpoint（iam.cn-north-4.myhuaweicloud.com），并在获取用户Token的URI部分找到resource-path（/v3/auth/tokens），拼接起来如下所示。 https://iam.cn-north-4.myhuaweicloud.com/v3/auth/tokens 图1 URI示意图 为查看方便，在每个具体API的URI部分，只给出resource-path部分，并将请求方法写在一起。这是因为URI-scheme都是HTTPS，同一个服务的Endpoint在同一个区域也相同，所以简洁起见将这两部分省略。

请求消息头 附加请求头字段，如指定的URI和HTTP方法所要求的字段。例如定义消息体类型的请求头“Content-Type”，请求鉴权信息等。 如下公共消息头需要添加到请求中。 Content-Type：消息体的类型（格式），必选，默认取值为“application/json”，有其他取值时会在具体接口中专门说明。 X-Auth-Token：用户Token，可选，当使用Token方式认证时，必须填充该字段。用户Token也就是调用获取用户Token接口的响应值，该接口是唯一不需要认证的接口。 API同时支持使用AK/SK认证，AK/SK认证是使用SDK对请求进行签名，签名过程会自动往请求中添加Authorization（签名认证信息）和X-Sdk-Date（请求发送的时间）请求头。 AK/SK认证的详细说明请参见AK/SK认证。 对于获取用户Token接口，由于不需要认证，所以只添加“Content-Type”即可，添加消息头后的请求如下所示。 POST https://iam.cn-north-4.myhuaweicloud.com/v3/auth/tokens Content-Type: application/json

请求消息体 请求消息体通常以结构化格式发出，与请求消息头中Content-type对应，传递除请求消息头之外的内容。若请求消息体中参数支持中文，则中文字符必须为UTF-8编码。 每个接口的请求消息体内容不同，也并不是每个接口都需要有请求消息体（或者说消息体为空），GET、DELETE操作类型的接口就不需要消息体，消息体具体内容需要根据具体接口而定。 对于获取用户Token接口，您可以从接口的请求部分看到所需的请求参数及参数说明。将消息体加入后的请求如下所示，加粗的斜体字段需要根据实际值填写，其中username为用户名，domainname为用户所属的账号名称，********为用户登录密码，xxxxxxxxxxxxxxxxxx为project的名称，如“cn-north-4”，您可以从地区和终端节点获取，对应地区和终端节点页面的“区域”字段的值。 scope参数定义了Token的作用域，下面示例中获取的Token仅能访问project下的资源。您还可以设置Token作用域为某个账号下所有资源或账号的某个project下的资源，详细定义请参见获取用户Token。 POST https://iam.cn-north-4.myhuaweicloud.com/v3/auth/tokens Content-Type: application/json { "auth": { "identity": { "methods": [ "password" ], "password": { "user": { "name": "username", "password": "********", "domain": { "name": "domainname" } } } }, "scope": { "project": { "name": "xxxxxxxxxxxxxxxxxx" } } } } 到这里为止这个请求需要的内容就具备齐全了，您可以使用curl、Postman或直接编写代码等方式发送请求调用API。对于获取用户Token接口，返回的响应消息头中“x-subject-token”就是需要获取的用户Token。有了Token之后，您就可以使用Token认证调用其他API。

请求示例 添加一个协调节点。 POST https://gaussdb-opengauss.cn-north-1.myhuaweicloud.com/v3/0483b6b16e954cb88930a360d2c4e663/instances/dsfae23fsfdsae3435in14/action { "expand_cluster": { "coordinators": [ { "az_code": "az_code" } ] } } 添加多个协调节点。 POST https://gaussdb-opengauss.cn-north-1.myhuaweicloud.com/v3/0483b6b16e954cb88930a360d2c4e663/instances/dsfae23fsfdsae3435in14/action { "expand_cluster": { "coordinators": [ { "az_code": "az_code" }, { "az_code": "az_code" }, { "az_code": "az_code" } ] } } 添加一个DN分片。 POST https://gaussdb-opengauss.cn-north-1.myhuaweicloud.com/v3/0483b6b16e954cb88930a360d2c4e663/instances/dsfae23fsfdsae3435in14/action { "expand_cluster": { "shard": { "count": 1 } } } 扩容磁盘到400GB。 POST https://gaussdb-opengauss.cn-north-1.myhuaweicloud.com/v3/0483b6b16e954cb88930a360d2c4e663/instances/dsfae23fsfdsae3435in14/action { "enlarge_volume": { "size": 400 } }

请求消息 表2 参数说明 名称 是否必选 参数类型 说明 expand_cluster 否 Object CN横向扩容/DN分片扩容时必填。 详情请参见表3。 enlarge_volume 否 Object 扩容实例磁盘时必填。 所需扩容到的磁盘容量大小。 详情请参见表6。 is_auto_pay 否 String 包周期实例时可指定，表示是否自动从账户中支付，此字段不影响自动续订的支付方式。 true，表示自动从账户中支付。 false，表示手动从账户中支付，默认为该方式。 表3 expand_cluster字段数据结构说明 名称 是否必选 参数类型 说明 coordinators 否 Array of Coordinators objects CN扩容时必选。需要填写表4参数。 shard 否 Shard object DN分片扩容时必选。需要填写表5参数。 表4 coordinators参数填写说明 名称 是否必选 参数类型 说明 az_code 是 String 新增CN横向扩容每个节点的可用区。如果需要扩容多个CN，请分别填写待扩容CN所在的可用区。 不同区域的可用区请参考地区和终端节点。 表5 shard参数填写说明 名称 是否必选 参数类型 说明 count 是 Integer 新增DN分片的数量。 表6 enlarge_volume字段数据结构说明 名称 是否必选 参数类型 说明 size 是 Integer GaussDB 磁盘大小要求（分片数*4GB）的倍数；取值范围：（分片数*40GB）~（分片数*24TB）。