华为云用户手册

请求示例 创建组织策略。 POST https://{endpoint}/v3/{project_id}/organization-policies { "policy" : { "policy_enabled" : false, "policy_name" : "policy_create_test", "policy_operation_definition" : { "retention_duration_days" : 30, "max_backups" : -1, "day_backups" : 0, "week_backups" : 0, "month_backups" : 0, "year_backups" : 0, "timezone" : "UTC+08:00", "full_backup_interval" : -1 }, "policy_trigger" : { "properties" : { "pattern" : [ "FREQ=WEEKLY;BYDAY=MO,TU,WE,TH,FR,SA,SU;BYHOUR=14;BYMINUTE=00" ] } }, "operation_type" : "backup", "name" : "organization-policies_create_test", "description" : "" } }

响应参数 状态码： 200 表8 响应Body参数 参数 参数类型 描述 policy OrganizationPolicy object 组织策略详情 表9 OrganizationPolicy 参数 参数类型 描述 id String 组织策略ID name String 组织策略名称 最小长度：1 最大长度：64 description String 组织策略描述 最小长度：0 最大长度：255 operation_type String 组织策略类型 backup: 备份 replication: 复制 domain_id String 组织策略所属账号ID policy_name String 策略名称 最小长度：1 最大长度：64 policy_enabled Boolean 策略是否开启 policy_operation_definition PolicyoODCreate object 策略定义，备份和复制里面的具体字段各不相同，和策略的保持一致 policy_trigger PolicyTriggerReq object 策略执行时间规则 status String 组织策略状态 domain_name String 组织策略所属账号 表10 PolicyoODCreate 参数 参数类型 描述 day_backups Integer 保留日备个数，该备份不受保留最大备份数限制。取值为0到100。如果选择该参数，则timezone 也必选。 最小值：0 最大值：100 destination_project_id String 复制的目标项目ID，仅在跨区域复制时才会使用并且必须指定。 destination_region String 复制的目标区域，仅在跨区域复制时才会使用并且必须指定。长度限制：0- 255，只能由字母、数字、“_”、“-”组成 enable_acceleration Boolean 跨区域复制时，是否启用加速从而缩减复制的时间，如果不指定，默认不启用加速。 max_backups Integer 单个备份对象自动备份的最大备份数。取值为-1或0-99999。-1代表不按备份数清理。如果该字段和retention_duration_days字段同时为空，备份会永久保留。 最小值：1 最大值：99999 缺省值：-1 month_backups Integer 保留月备个数，该备份不受保留最大备份数限制。取值为0到100。如果选择该参数，则timezone 也必选。 最小值：0 最大值：100 retention_duration_days Integer 备份保留时长，单位天。最长支持99999天。-1代表不按时间清理。如果该字段和max_backups 参数同时为空，备份会永久保留。 最小值：1 最大值：99999 缺省值：-1 timezone String 用户所在时区,格式形如UTC+08:00, 如果选择年备，月备，周备，日备中任一参数，则该参数不能为空。 week_backups Integer 保留周备个数，该备份不受保留最大备份数限制。取值为0到100。如果选择该参数，则timezone 也必选。 year_backups Integer 保留年备个数，该备份不受保留最大备份数限制。取值为0到100。如果选择该参数，则timezone 也必选。 最小值：0 最大值：100 full_backup_interval Integer 每间隔多少次执行一次全量备份，当取值为 -1 时，不执行全量备份 最小值：-1 最大值：100 最小值：-1 最大值：100 表11 PolicyTriggerReq 参数 参数类型 描述 properties PolicyTriggerPropertiesReq object 调度器属性 表12 PolicyTriggerPropertiesReq 参数 参数类型 描述 pattern Array of strings 调度规则。限制24条规则。调度器的调度规则，可参照iCalendar RFC 2445规范中的事件规则，但仅支持FREQ、BYDAY、BYHOUR、BYMINUTE、INTERVAL等参数，其中FREQ仅支持WEEKLY和DAILY，BYDAY支持一周七天（MO、TU、WE、TH、FR、SA、SU），BYHOUR支持0-23小时，BYMINUTE支持0-59分钟，并且间隔不能小于一小时，一天最大24个时间点。例如，周一到周天，每天UTC时间的14:00调度，其规则为：'FREQ=WEEKLY;BYDAY=MO,TU,WE,TH,FR,SA,SU;BYHOUR=14;BYMINUTE=00'。例如：某个地区的时间为 UTC+8，如果在该地区每天14:00调度，则在14点基础上减8，其规则为'FREQ=DAILY;INTERVAL=1;BYHOUR=6;BYMINUTE=00'。

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token。 通过调用 IAM 服务获取用户Token接口获取（响应消息头中X-Subject-Token的值）。 表3 请求Body参数 参数 是否必选 参数类型 描述 policy 是 OrganizationPolicyCreate object 表4 OrganizationPolicyCreate 参数 是否必选 参数类型 描述 name 是 String 组织策略名称 最小长度：1 最大长度：64 description 否 String 组织策略描述 最小长度：0 最大长度：255 operation_type 是 String 组织策略类型 backup: 备份 replication: 复制 policy_name 是 String 策略名称 最小长度：1 最大长度：64 policy_enabled 是 Boolean 策略是否开启 policy_operation_definition 是 PolicyoODCreate object 策略定义，备份和复制里面的具体字段各不相同，和策略的保持一致 policy_trigger 是 PolicyTriggerReq object 策略执行时间规则 表5 PolicyoODCreate 参数 是否必选 参数类型 描述 day_backups 否 Integer 保留日备个数，该备份不受保留最大备份数限制。取值为0到100。如果选择该参数，则timezone 也必选。 最小值：0 最大值：100 destination_project_id 否 String 复制的目标项目ID，仅在跨区域复制时才会使用并且必须指定。 destination_region 否 String 复制的目标区域，仅在跨区域复制时才会使用并且必须指定。长度限制：0- 255，只能由字母、数字、“_”、“-”组成 enable_acceleration 否 Boolean 跨区域复制时，是否启用加速从而缩减复制的时间，如果不指定，默认不启用加速。 max_backups 否 Integer 单个备份对象自动备份的最大备份数。取值为-1或0-99999。-1代表不按备份数清理。如果该字段和retention_duration_days字段同时为空，备份会永久保留。 最小值：1 最大值：99999 缺省值：-1 month_backups 否 Integer 保留月备个数，该备份不受保留最大备份数限制。取值为0到100。如果选择该参数，则timezone 也必选。 最小值：0 最大值：100 retention_duration_days 否 Integer 备份保留时长，单位天。最长支持99999天。-1代表不按时间清理。如果该字段和max_backups 参数同时为空，备份会永久保留。 最小值：1 最大值：99999 缺省值：-1 timezone 否 String 用户所在时区,格式形如UTC+08:00, 如果选择年备，月备，周备，日备中任一参数，则该参数不能为空。 week_backups 否 Integer 保留周备个数，该备份不受保留最大备份数限制。取值为0到100。如果选择该参数，则timezone 也必选。 year_backups 否 Integer 保留年备个数，该备份不受保留最大备份数限制。取值为0到100。如果选择该参数，则timezone 也必选。 最小值：0 最大值：100 full_backup_interval 否 Integer 每间隔多少次执行一次全量备份，当取值为 -1 时，不执行全量备份 最小值：-1 最大值：100 最小值：-1 最大值：100 表6 PolicyTriggerReq 参数 是否必选 参数类型 描述 properties 是 PolicyTriggerPropertiesReq object 调度器属性 表7 PolicyTriggerPropertiesReq 参数 是否必选 参数类型 描述 pattern 是 Array of strings 调度规则。限制24条规则。调度器的调度规则，可参照iCalendar RFC 2445规范中的事件规则，但仅支持FREQ、BYDAY、BYHOUR、BYMINUTE、INTERVAL等参数，其中FREQ仅支持WEEKLY和DAILY，BYDAY支持一周七天（MO、TU、WE、TH、FR、SA、SU），BYHOUR支持0-23小时，BYMINUTE支持0-59分钟，并且间隔不能小于一小时，一天最大24个时间点。例如，周一到周天，每天UTC时间的14:00调度，其规则为：'FREQ=WEEKLY;BYDAY=MO,TU,WE,TH,FR,SA,SU;BYHOUR=14;BYMINUTE=00'。例如：某个地区的时间为 UTC+8，如果在该地区每天14:00调度，则在14点基础上减8，其规则为'FREQ=DAILY;INTERVAL=1;BYHOUR=6;BYMINUTE=00'。

响应示例 状态码： 200 OK { "policy" : { "id" : "5f5dd325-d7d1-4693-9d97-db37ecb91696", "name" : "organization-policies_update_test", "description" : "", "operation_type" : "backup", "domain_id" : "0ae13f008700d53f0fb4c01200e79660", "policy_name" : "policy_update_test", "policy_operation_definition" : { "max_backups" : -1, "retention_duration_days" : 30, "day_backups" : 0, "week_backups" : 0, "month_backups" : 0, "year_backups" : 0, "timezone" : "UTC+08:00", "full_backup_interval" : -1 }, "policy_enabled" : false, "policy_trigger" : { "properties" : { "pattern" : [ "FREQ=WEEKLY;BYDAY=MO,TU,WE,TH,FR,SA,SU;BYHOUR=14;BYMINUTE=00" ] } }, "status" : "syncing" } }

响应参数 状态码： 200 表8 响应Body参数 参数 参数类型 描述 policy OrganizationPolicy object 组织策略详情 表9 OrganizationPolicy 参数 参数类型 描述 id String 组织策略ID name String 组织策略名称 最小长度：1 最大长度：64 description String 组织策略描述 最小长度：0 最大长度：255 operation_type String 组织策略类型 backup: 备份 replication: 复制 domain_id String 组织策略所属账号ID policy_name String 策略名称 最小长度：1 最大长度：64 policy_enabled Boolean 策略是否开启 policy_operation_definition PolicyoODCreate object 策略定义，备份和复制里面的具体字段各不相同，和策略的保持一致 policy_trigger PolicyTriggerReq object 策略执行时间规则 status String 组织策略状态 domain_name String 组织策略所属账号 表10 PolicyoODCreate 参数 参数类型 描述 day_backups Integer 保留日备个数，该备份不受保留最大备份数限制。取值为0到100。如果选择该参数，则timezone 也必选。 最小值：0 最大值：100 destination_project_id String 复制的目标项目ID，仅在跨区域复制时才会使用并且必须指定。 destination_region String 复制的目标区域，仅在跨区域复制时才会使用并且必须指定。长度限制：0- 255，只能由字母、数字、“_”、“-”组成 enable_acceleration Boolean 跨区域复制时，是否启用加速从而缩减复制的时间，如果不指定，默认不启用加速。 max_backups Integer 单个备份对象自动备份的最大备份数。取值为-1或0-99999。-1代表不按备份数清理。如果该字段和retention_duration_days字段同时为空，备份会永久保留。 最小值：1 最大值：99999 缺省值：-1 month_backups Integer 保留月备个数，该备份不受保留最大备份数限制。取值为0到100。如果选择该参数，则timezone 也必选。 最小值：0 最大值：100 retention_duration_days Integer 备份保留时长，单位天。最长支持99999天。-1代表不按时间清理。如果该字段和max_backups 参数同时为空，备份会永久保留。 最小值：1 最大值：99999 缺省值：-1 timezone String 用户所在时区,格式形如UTC+08:00, 如果选择年备，月备，周备，日备中任一参数，则该参数不能为空。 week_backups Integer 保留周备个数，该备份不受保留最大备份数限制。取值为0到100。如果选择该参数，则timezone 也必选。 year_backups Integer 保留年备个数，该备份不受保留最大备份数限制。取值为0到100。如果选择该参数，则timezone 也必选。 最小值：0 最大值：100 full_backup_interval Integer 每间隔多少次执行一次全量备份，当取值为 -1 时，不执行全量备份 最小值：-1 最大值：100 最小值：-1 最大值：100 表11 PolicyTriggerReq 参数 参数类型 描述 properties PolicyTriggerPropertiesReq object 调度器属性 表12 PolicyTriggerPropertiesReq 参数 参数类型 描述 pattern Array of strings 调度规则。限制24条规则。调度器的调度规则，可参照iCalendar RFC 2445规范中的事件规则，但仅支持FREQ、BYDAY、BYHOUR、BYMINUTE、INTERVAL等参数，其中FREQ仅支持WEEKLY和DAILY，BYDAY支持一周七天（MO、TU、WE、TH、FR、SA、SU），BYHOUR支持0-23小时，BYMINUTE支持0-59分钟，并且间隔不能小于一小时，一天最大24个时间点。例如，周一到周天，每天UTC时间的14:00调度，其规则为：'FREQ=WEEKLY;BYDAY=MO,TU,WE,TH,FR,SA,SU;BYHOUR=14;BYMINUTE=00'。例如：某个地区的时间为 UTC+8，如果在该地区每天14:00调度，则在14点基础上减8，其规则为'FREQ=DAILY;INTERVAL=1;BYHOUR=6;BYMINUTE=00'。

请求示例 更新组织策略。 PUT https://{endpoint}/v3/{project_id}/organization-policies { "policy" : { "policy_enabled" : false, "policy_name" : "policy_update_test", "policy_operation_definition" : { "retention_duration_days" : 30, "max_backups" : -1, "day_backups" : 0, "week_backups" : 0, "month_backups" : 0, "year_backups" : 0, "timezone" : "UTC+08:00", "full_backup_interval" : -1 }, "policy_trigger" : { "properties" : { "pattern" : [ "FREQ=WEEKLY;BYDAY=MO,TU,WE,TH,FR,SA,SU;BYHOUR=14;BYMINUTE=00" ] } }, "name" : "organization-policies_update_test", "description" : "" } }

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token。 通过调用IAM服务获取用户Token接口获取（响应消息头中X-Subject-Token的值）。 表3 请求Body参数 参数 是否必选 参数类型 描述 policy 是 OrganizationPolicyUpdate object 表4 OrganizationPolicyUpdate 参数 是否必选 参数类型 描述 name 否 String 组织策略名称 最小长度：1 最大长度：64 description 否 String 组织策略描述 最小长度：0 最大长度：255 policy_name 否 String 策略名称 最小长度：1 最大长度：64 policy_enabled 否 Boolean 策略是否开启 policy_operation_definition 否 PolicyoODCreate object 策略定义，备份和复制里面的具体字段各不相同，和策略的保持一致 policy_trigger 否 PolicyTriggerReq object 策略执行时间规则 表5 PolicyoODCreate 参数 是否必选 参数类型 描述 day_backups 否 Integer 保留日备个数，该备份不受保留最大备份数限制。取值为0到100。如果选择该参数，则timezone 也必选。 最小值：0 最大值：100 destination_project_id 否 String 复制的目标项目ID，仅在跨区域复制时才会使用并且必须指定。 destination_region 否 String 复制的目标区域，仅在跨区域复制时才会使用并且必须指定。长度限制：0- 255，只能由字母、数字、“_”、“-”组成 enable_acceleration 否 Boolean 跨区域复制时，是否启用加速从而缩减复制的时间，如果不指定，默认不启用加速。 max_backups 否 Integer 单个备份对象自动备份的最大备份数。取值为-1或0-99999。-1代表不按备份数清理。如果该字段和retention_duration_days字段同时为空，备份会永久保留。 最小值：1 最大值：99999 缺省值：-1 month_backups 否 Integer 保留月备个数，该备份不受保留最大备份数限制。取值为0到100。如果选择该参数，则timezone 也必选。 最小值：0 最大值：100 retention_duration_days 否 Integer 备份保留时长，单位天。最长支持99999天。-1代表不按时间清理。如果该字段和max_backups 参数同时为空，备份会永久保留。 最小值：1 最大值：99999 缺省值：-1 timezone 否 String 用户所在时区,格式形如UTC+08:00, 如果选择年备，月备，周备，日备中任一参数，则该参数不能为空。 week_backups 否 Integer 保留周备个数，该备份不受保留最大备份数限制。取值为0到100。如果选择该参数，则timezone 也必选。 year_backups 否 Integer 保留年备个数，该备份不受保留最大备份数限制。取值为0到100。如果选择该参数，则timezone 也必选。 最小值：0 最大值：100 full_backup_interval 否 Integer 每间隔多少次执行一次全量备份，当取值为 -1 时，不执行全量备份 最小值：-1 最大值：100 最小值：-1 最大值：100 表6 PolicyTriggerReq 参数 是否必选 参数类型 描述 properties 是 PolicyTriggerPropertiesReq object 调度器属性 表7 PolicyTriggerPropertiesReq 参数 是否必选 参数类型 描述 pattern 是 Array of strings 调度规则。限制24条规则。调度器的调度规则，可参照iCalendar RFC 2445规范中的事件规则，但仅支持FREQ、BYDAY、BYHOUR、BYMINUTE、INTERVAL等参数，其中FREQ仅支持WEEKLY和DAILY，BYDAY支持一周七天（MO、TU、WE、TH、FR、SA、SU），BYHOUR支持0-23小时，BYMINUTE支持0-59分钟，并且间隔不能小于一小时，一天最大24个时间点。例如，周一到周天，每天UTC时间的14:00调度，其规则为：'FREQ=WEEKLY;BYDAY=MO,TU,WE,TH,FR,SA,SU;BYHOUR=14;BYMINUTE=00'。例如：某个地区的时间为 UTC+8，如果在该地区每天14:00调度，则在14点基础上减8，其规则为'FREQ=DAILY;INTERVAL=1;BYHOUR=6;BYMINUTE=00'。

HTTP 2.0业务接入WAF防护是否会对源站有影响？ HTTP 2.0业务接入WAF防护对源站有影响。HTTP 2.0业务接入WAF防护表示WAF可以处理客户端的HTTP 2.0请求，而WAF目前仅支持以HTTP 1.0/1.1协议转发回源请求，即WAF与源站间暂不支持HTTP 2.0。因此，如果您将HTTP 2.0业务接入WAF防护，则源站的HTTP 2.0特性将会受到影响，例如，源站HTTP 2.0的多路复用特性可能失效，造成源站业务请求量上升。

Web应用防火墙 是否支持SSL双向认证？ 不支持。您可以在WAF上配置单向的SSL证书。 添加防护网站时，如果“对外协议”使用了HTTPS协议，您需要上传证书使证书绑定到防护网站。 建议您使用ELB+独享WAF的模式，在ELB上配置双向认证，具体的操作如下： 购买WAF独享模式。 将网站接入WAF并配置负载均衡（ELB），具体请参见网站接入流程（独享模式）。 在ELB上配置双向认证，具体请参见HTTPS双向认证。

接入WAF对现有业务和服务器运行有影响吗？ 接入WAF不需要中断现有业务，不会影响源站服务器的运行状态，即不需要对源站服务站进行任何操作（例如关机或重启）。 以云模式的CNAME接入方式接入WAF时，您需要修改DNS解析使流量经过WAF进行转发。修改DNS解析可能会影响网站访问业务，建议您在业务量少时进行修改。有关网站接入WAF的详细操作，请参见域名接入配置。 WAF支持云模式-CNAME接入、云模式-ELB接入和独享模式三种部署模式，各部署模式支持防护的对象说明如下： 云模式-CNAME接入：域名，华为云、非华为云或云下的Web业务 云模式-ELB接入：域名或IP，华为云的Web业务 独享模式：域名或IP，华为云的Web业务 有关三个部署模式应用场景和差异的详细说明，请参见服务版本差异。

生效条件 当“接入状态”为“已接入”，表示域名/IP接入成功。 WAF每隔一小时就会自动检测防护网站的 接入状态，当WAF统计防护网站在5分钟内达到20次访问请求时，将认定该防护网站已成功接入WAF。 WAF默认只检测两周内新增或更新的域名的接入状态，如果域名创建时间在两周前，且最近两周内没有任何修改，您可以在“域名接入进度”栏，单击，手动刷新接入状态。 如果域名接入失败，即域名接入状态为“未接入”，请参考域名/IP接入状态显示“未接入”，如何处理？排查处理。

防护原理 当用户访问使用CDN服务的网站时，本地DNS服务器通过CNAME方式将最终域名请求重定向到CDN服务。CDN通过一组预先定义好的策略（如内容类型、地理区域、网络负载状况等），将当时能够最快响应用户的CDN节点IP地址提供给用户，使用户可以以最快的速度获得网站内容。 CDN支持的对象：域名，华为云、非华为云或云下的Web业务 Web应用防火墙通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 WAF支持云模式-CNAME接入、云模式-ELB接入和独享模式三种部署模式，各部署模式支持防护的对象说明如下： 云模式-CNAME接入：域名，华为云、非华为云或云下的Web业务 云模式-ELB接入：域名或IP，华为云的Web业务 独享模式：域名或IP，华为云的Web业务 CDN+WAF可以对华为云、非华为云或云下的域名进行联动防护，同时提升网站的响应速度和网站防护能力，配置原理图如图1所示。 图1 使用代理配置原理图 CDN+WAF配置后，流量被 CDN加速 后转发到WAF，WAF再将流量转到源站，在提升用户访问网站的响应速度与网站的可用性的同时，实现网站流量检测和攻击拦截。 相关配置说明如下： 云模式-CNAME接入 先将域名解析到CDN，再修改CDN源站信息，将源站域名修改为WAF的“CNAME”，同时，为了防止其他用户提前将您的域名配置到Web应用防火墙上，从而对您的域名防护造成干扰，建议您到DNS服务商处添加一条WAF的子域名和TXT记录。 云模式-ELB接入 先将域名解析到CDN，再修改CDN源站信息，将源站IP修改为ELB模式实例所绑定ELB的弹性公网IP。 独享模式 先将域名解析到CDN，再修改CDN源站信息，将源站IP修改为WAF独享引擎实例配置弹性负载均衡绑定的弹性公网IP。

前提条件 域名或IP已接入CDN，且已完成如表1所示配置操作。 表1 WAF各模式配置说明 部署模式 配置说明 云模式-CNAME接入 已购买WAF云模式。 已将域名信息（源站服务器的IP、端口等信息）添加到WAF云模式。 说明： 当源站存在IPv6地址，默认开启IPv6防护。WAF为了防止客户IPv6的业务中断，禁止关闭IPv6的开关，如果确定不需要IPv6防护，需要先修改服务器配置，在源站删除IPv6的配置，具体的操作方法请参见修改服务器配置信息。 在域名的DNS服务商处有添加域名的权限。 （可选）放行WAF回源段IP。源站服务器上已启用非华为 云安全 软件（如安全狗、云锁）时，您需要在这些软件上设置放行WAF回源段IP，防止由WAF转发到源站的正常业务流量被拦截。具体请参考通过配置E CS /ELB访问控制策略保护源站安全。 须知： 为了保证WAF的安全策略能够针对真实源IP生效，请确保域名“是否已使用代理”已配置为“七层代理”，详细操作请参见查看基本信息。 云模式-ELB接入 已购买WAF云模式。 已将域名信息添加到ELB模式。 独享模式 已购买WAF独享模式。 已将域名信息（源站服务器的IP、端口等信息）添加到WAF独享模式。 已为WAF独享模式实例配置负载均衡。 已为弹性负载均衡绑定弹性公网IP。 放行独享引擎回源IP。

注意事项 配置白名单时请确保域名已开启WAF防护，开启WAF防护的具体操作请参见配置域名防护。 如果您使用的是华为云WAF云模式，开启域名防护后系统将自动为您进行WAF回源IP加白（了解什么是回源IP），可跳过本节内容。 如果您使用的是其他WAF云模式，开启域名防护后请参考本章节添加需要通过白名单进行访问控制的IP地址。 建议您使用白名单功能并开启WAF防护，请谨慎配置黑名单。黑名单功能与WAF防护不能同时使用，如需配置黑名单，则需关闭域名防护，但会降低应用的访问安全性。

操作场景 云审计 服务（Cloud Trace Service，简称 CTS ）是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 开通云审计服务后，您可以通过云审计服务记录与工业数字模型驱动引擎（Industrial Digital Model Engine，简称iDME）相关的操作事件，便于日后的查询、审计和回溯。

支持云审计的iDME关键操作 表1 云审计服务支持的iDME操作列表 操作名称 资源类型 事件名称 云服务变更询价 cbcResource changeInquiry 订单变更 cbcResource orderChange 云服务倒计时信息查询 cbcResource countdownQuery 订购设计服务 cbcResource subscribeStudio 批量添加资源标签（设计服务） cbcResource resourceTagBatchCreate 批量删除资源标签（设计服务） cbcResource resourceTagBatchDelete 创建应用 dmeApp createDmeApp 编辑应用 dmeApp updateAppDescription 删除应用 dmeApp deleteApp 购买运行服务 dmeEnvironment subscribeRuntime 变更服务回调 dmeEnvironment cbcCallbackChange 从运行环境卸载应用 dmeEnvironment deleteEnvsApp 部署应用至运行环境 dmeEnvironment deployXdmApp 批量添加资源标签（运行服务） dmeEnvironment resourceTagBatchCreate 批量删除资源标签（运行服务） dmeEnvironment resourceTagBatchDelete 刷新环境中部署应用状态 dmeEnvironment refreshEnvAppStatus 更新环境状态 dmeEnvironment updateInstancesStatus 运营鉴权 dmeOperation orderAuthentication 获取订单号 dmeOperation createOrder 开通云服务回调校验 dmeOperation subscribeCallbackVerify 更新云服务metadata信息 dmeOperation updateMetadata 云服务加锁 dmeOperation lock 云服务解锁 dmeOperation unlock 退订iDME dmeOperation unsubscribeDme 开通服务回调 dmeOperation cbcCallbackSubscribe 创建委托并赋权 dmeOperation buildAgency 开通租户 dmeOperation createTenant 修改租户配额信息 dmeQuota modifyTenantQuotas 更新MBM公司名称 mbmOperation updateMbmCompanyName 更新MBM站点名称 mbmOperation updateMbmSiteName 激活MBM站点 mbmOperation activeMbmSite 退订组织 dmeOrg unsubscribeSaasorg

场景2：登录2024-03-31之前购买的服务 2024-03-31之前购买的基础版数据建模引擎，支持使用内网IP地址在弹性云服务器上或通过绑定成功的公网地址在iDME控制台登录应用运行态。 通过默认内网登录 登录弹性云服务器。 打开浏览器，输入已获取的内网地址，进入应用运行态登录页面。 http://{IP address}/rdm_{AppID}_app/services/getIndexUrl IP address：为内网IP地址。 AppID：为应用ID。 输入部署应用时所绑定组织下，应用可用成员范围内的组织成员账号和密码，单击“登录”，即可登录应用运行态。

服务配置概述 配置数据建模引擎服务时，不区分服务类型以及服务部署位置，均支持修改服务名称和管理服务标签。相关操作可参考： 修改服务名称 管理服务标签 在公有云场景下，基础版数据建模引擎还支持更多配置。但根据您基础版数据建模引擎的购买时间节点不同，支持的配置操作有所不同。 如果是2024-03-31之后购买的基础版数据建模引擎，部署应用成功后可使用iDME提供的默认公网域名访问应用运行态。为了提升应用运行态的访问安全性，建议开启域名防护和进行访问控制配置。如果还想在Internet上使用自定义域名来访问应用运行态，您可以通过配置自定义域名实现。相关操作可参考： 配置自定义域名 配置域名防护 管理访问控制 如果是2024-03-31之前购买的基础版数据建模引擎，部署应用成功后可使用iDME默认提供的内网IP地址访问应用运行态。当不满足通过内网IP地址访问应用运行态的条件时，您也可在绑定弹性公网IP后使用公网地址访问。绑定或解绑弹性公网IP的具体操作请参考弹性公网IP。 不论是2024-03-31之前还是之后购买的基础版数据建模引擎，均支持通过配置HTTPS证书实现应用运行态的安全访问，具体操作可参考配置HTTPS证书。 父主题： 配置数据建模引擎

前提条件 已将待配置的自定义域名按照工信部要求完成ICP备案。如有需要，您可通过华为云APP备案系统免费备案，具体操作请参考ICP备案。 已通过DNS服务提供商为自定义域名添加解析记录，并确保为域名添加记录集时参数配置中值已设置成iDME服务提供的公网IP。 如果您使用的是华为云DNS服务，请参考添加网站解析为域名添加解析记录。 如果您使用的是其他DNS服务，请参考其对应的指导手册为域名添加解析记录。

注意事项 一个基础版数据建模引擎上只支持生效一个域名。新的自定义域名生效后，旧的自定义域名或iDME提供的默认公网域名会立即失效。 如果待操作的运行服务已部署应用，添加、修改或删除自定义域名后需重新部署应用，新的自定义域名或iDME提供的默认公网域名才可生效。在此期间，您可通过原有已生效的域名继续访问应用，暂时不会影响您的业务连贯性。 如果iDME提供的默认公网域名已开启WAF防护，添加自定义域名后需为其开启WAF防护，这样才可通过自定义域名访问应用。您也可选择关闭默认域名的WAF防护或通过访问控制管理功能配置白名单后，再通过自定义域名访问您的应用。 如何开启或关闭WAF防护请参见配置域名防护。

使用前必读 工业数字模型驱动引擎（Industrial Digital Model Engine，简称iDME）提供了一系列文档，帮助您由浅入深地了解和使用iDME。 建议您在使用iDME前，先阅读本文档和其他相关帮助文档（见表1），了解iDME的基本概念、使用场景、使用方式等，从而帮助您更快速、更轻松地使用iDME。 表1 iDME帮助文档 文档 描述 成长地图 iDME帮助内容的汇聚页面，自上而下提供由浅入深的内容指引，通过了解iDME、快速入门、使用指南等多个模块，帮助您从全局掌握iDME的帮助信息，让您能轻松、精准地定位到想要查看的内容。 最新动态 iDME功能新增和文档优化的最新动态展示页面，帮助您第一时间了解iDME的最新资讯，新上线功能和文档体验快人一步。 功能总览 iDME功能汇总，您可以清晰地看到iDME支持的功能及功能发布的区域等。 产品介绍 iDME的系统性介绍文档，从服务的常用概念、产品优势、应用场景、权限管理等多个方面进行介绍，让您初步了解iDME。 计费说明 iDME的计费说明，帮助您快速了解iDME的计费规则。 快速入门 iDME的快速使用指导，帮助您快速完成创建数据模型、管理基础数据、管理数据服务、发布应用等操作。 数据建模引擎用户指南 数据建模引擎的详细使用指导，提供应用设计态和应用运行态等平台的操作指导。 数字主线引擎用户指南 数字主线引擎的详细使用指导，提供模型设计、数据联接、数据质量、数据服务等功能模块的操作。 数字化制造基础服务用户指南 数字化制造基础服务的详细使用指导，提供制造数据模型管理、计划管理、生产管理、质量管理、系统管理等功能模块的操作。 工业软件SaaS服务中心用户指南 工业软件SaaS服务中心的详细使用指导，包括工业软件SaaS服务中心使用指南和工业软件SaaS服务中心接入指南。 最佳实践 iDME在各个典型场景下的应用实践，帮助您在不同的应用场景下以更优的性能、更低的成本、更便捷地操作使用iDME完成您的业务目标。 开发指南 iDME的开发者快速使用指导，提供iDME的功能、使用方法、样例工程及代码介绍。 API参考 iDME提供在线查询API功能（即全量数据服务功能）和REST API的详细说明文档，详细介绍了各API的基本信息、请求参数、响应参数等信息，帮助您顺利使用API完成二次开发。 SDK参考 iDME SDK的详细使用指导，包括服务端SDK和客户端SDK。 常见问题 iDME使用过程中的常见问题分类汇总，解答您使用iDME过程中的各种疑问。

操作步骤 登录iDME控制台。 在左侧导航栏中，单击“组织管理”，进入组织管理页面。 在“我的组织”页签下，单击“创建组织”，弹出创建组织窗口。 输入组织名称，单击“下一步”。 设置组织的域名。 输入组织简称，可使用2~30位字母、数字或它们的组合，如abc，后缀名为固定的.orgid.top，如图1所示。单击“下一步”。 图1 设置组织域名 设置组织域名后，管理员为组织创建成员时，成员的管理式华为账号会默认带有固定域名后缀，具体显示为填写信息+固定组织域名后缀。如设置的组织域名为abc.orgid.top，输入的成员账号为“zhangsan01”，那么创建成功的账号名为“zhangsan01@abc.orgid.top”。OrgID支持使用自有域名，可在域名管理中添加域名并在创建成员时选择账号后缀的域名。 阅读“管理式华为帐号”相关声明，单击“同意”。 组织创建成功，关闭弹窗。

修订记录 发布日期 修改说明 2024-05-10 第二十二次正式发布。 新增配置HTTPS证书 2024-03-31 第二十一次正式发布。 新增 服务配置概述 配置自定义域名 配置域名防护 管理访问控制 （边缘云）登录应用运行态 修改 部署应用 登录方式概述 2024-03-03 第二十次正式发布。 新增 服务状态说明 变更服务计费模式 修改查看服务详情 2024-02-23 第十九次正式发布。 修改部署应用 2024-02-04 第十八次正式发布。 新增 续费数字主线引擎 退订数字主线引擎 修改 购买数据建模引擎 开通数字主线引擎 资源管理概述 查看服务详情 2024-01-27 第十七次正式发布。 修改开通工业软件SaaS服务中心 2024-01-13 第十六次正式发布。 新增管理连接数据建模引擎 2023-12-25 第十五次正式发布。 新增 开通工业软件SaaS服务中心 SaaS服务中心工作台 修改 使用前必读 总览 支持云审计的关键操作 2023-12-20 第十四次正式发布。 新增 开通数字化制造基础服务 数字化制造基础服务 管理基础版数据建模引擎资源 修改 使用前必读 开通数字主线引擎 创建iDME操作用户 总览 支持云审计的关键操作 2023-11-27 第十三次正式发布。 新增管理标签 修改 购买数据建模引擎 服务状态说明 管理基础版数据建模引擎资源 配额管理 2023-10-29 第十二次正式发布。 新增 删除体验版数据建模引擎 修改服务名称（数据建模引擎） 修改服务名称（数字主线引擎） 查看组织信息 取消组织分享 修改 使用前必读 购买数据建模引擎 创建应用 查看服务详情 2023-09-23 第十一次正式发布。 修改 开通iDME设计服务（免费） 购买数据建模引擎 查看服务详情 配额管理 2023-08-29 第十次正式发布。 新增 开通数字主线引擎 数字主线引擎 配额管理 修改 开通iDME设计服务（免费） 购买数据建模引擎 创建iDME操作用户 总览 2023-08-19 第九次正式发布。 新增分享组织 修改部署应用 2023-07-22 第八次正式发布。 新增 查看应用 弹性公网IP 管理服务标签 查看服务详情 修改 准备工作 总览 部署应用 登录应用运行态 搜索服务 2023-06-17 第七次正式发布。 新增 购买数据建模引擎 导出应用 搜索服务 导出服务 登录应用运行态 创建组织 修改 开通iDME设计服务（免费） 总览 创建应用 服务状态说明 2023-05-20 第六次正式发布。 新增创建iDME操作用户 修改应用管理 2023-04-15 第五次正式发布。 我的应用 我的运行服务 2023-03-18 第四次正式发布。 修改 我的应用 我的运行服务 创建应用 登录应用运行态 部署应用 2023-02-18 第三次正式发布。 修改 删除应用 部署应用 卸载应用 移除用户 2023-01-15 第二次正式发布。 我的应用 我的运行服务 2022-11-30 第一次正式发布。

基础版应用运行态 根据基础版数据建模引擎部署位置不同，对应的应用运行态的登录方式有所不同。 表1 应用运行态登录方式 部署位置 购买时间节点 登录方式 IP地址 使用场景 说明 公有云 2024-03-31之后 默认公网域名 基础版数据建模引擎默认提供公网IP 基础版数据建模引擎默认提供公网域名。 成本低，易用性高。 自定义域名 - 在Internet上使用自定义域名来访问应用运行态， 用户需要备案自定义域名并绑定至对应的基础版数据建模引擎上，详细请参见配置自定义域名。 2024-03-31之前 公网登录 弹性公网IP地址 不能通过内网IP地址访问应用运行态时，使用公网访问。 成本低，易用性高。 用户需要购买弹性公网IP，请参见弹性公网IP的计费说明。 内网登录 内网IP地址 基础版数据建模引擎默认提供内网IP地址。 当应用部署在基础版数据建模引擎上，且该运行服务与弹性云服务器（Elastic Cloud Server，简称ECS）处于同一区域，同一虚拟私有云（Virtual Private Cloud，简称VPC）时，建议单独使用内网IP地址在ECS上登录应用运行态。 安全性更高，传输速率更高，网络延迟减少。 边缘云 - 用户内网登录 用户内网IP地址 在边缘云场景下，使用SSF提供的用户登录认证和用户管理能力，实现用户本地登录认证。 安全性更高，传输速率更高，网络延迟减少。 用户需要购买智能边缘小站。

资源管理概述 当您购买的数字主线引擎规格无法满足业务需要时，可随时对资源进行变更规格，变更后将按照新的计费方式立即生效。仅支持资源升配，不支持资源降配，即变更规格时，MCU数量可以增加，不可以减少。 包年/包月的数字主线引擎到期后会影响正常运行，需在资源自动删除之前为其续费，避免服务资源被自动释放，数据丢失且不可恢复。在计费周期内可以随时退订数字主线引擎，系统将根据资源是否属于五天无理由退订、是否使用代金券和折扣券等条件返还一定金额到您的账户，详细的退订规则请参见云服务退订规则概览。 按需计费的数字主线引擎，如果不再使用且需停止计费，可删除相应资源。 变更：是指对MCU数量的变更，MCU数量只可以增加，不可以减少。包年/包月或按需计费模式的数字主线引擎均支持变更。 续费：是指对包周期资源的使用时间进行延长。如果需要延长包年/包月的数字主线引擎的使用时间，您可以从资源购买到被自动删除之前，随时为其续费。 退订：是指在包周期资源计费周期内对其停止计费。如果在计费周期内您不再使用包年/包月的数字主线引擎，可以执行退订操作。 删除：是指删除按需计费模式的资源。如果需要对按需计费的数字主线引擎停止计费，可以执行删除操作。 变更计费模式：是指将计费模式从按需计费转为包周期，或者将包周期转为按需计费。如果当前数字主线引擎的计费模式无法满足业务需求，可以执行计费模式变更操作。 父主题： 管理数字主线引擎资源

操作场景 弹性公网IP（Elastic IP，简称EIP）提供独立的公网IP资源，包括公网IP地址与公网出口带宽服务。弹性公网IP可以与弹性云服务器、裸金属服务器、虚拟IP、弹性负载均衡、NAT网关等资源灵活地绑定，提供访问公网和被公网访问的能力。 您可以通过申请弹性公网IP并将弹性公网IP绑定到基础版数据建模引擎上，部署在此运行服务的应用便可与公网通信。此时，您便可通过公网地址访问应用运行态。本章节指导您如何绑定弹性公网IP。 仅公有云场景下2024-03-31之前购买的基础版数据建模引擎支持此项配置。

注意事项 体验版数据建模引擎有以下注意事项： 体验版资源有限，仅当有空闲资源时才可申请，一个华为账号只能体验一次。体验版不保障云服务等级协议（SLA），仅适用于测试或体验场景，不可用于正式生产。 体验版在免费试用期间支持删除，删除后不再支持购买。服务被删除后，将会释放对应资源，同时对应数据将被彻底删除且无法恢复。 体验版免费试用期满后，会继续为您提供延时30天的数据免费保留服务，在此期间相关数据限制使用。为防止业务中断，您可购买基础版数据建模引擎进行数据迁移。如果在数据免费保留期间未联系运维人员进行数据备份或数据迁移，到期后对应的体验数据将被彻底删除且无法恢复。

购买基础版 管理员可以根据实际业务需求，在iDME控制台购买基础版数据建模引擎。针对不同的应用场景，管理员可以选用系统推荐的资源配置，或者自定义用户数量、节点数量和购买时长，全方位贴合实际业务诉求。 进入购买工业数字模型驱动引擎页面。 选择“数据建模引擎”，根据页面提示，配置如下信息。 如果您不确定所需配置的资源规格，请单击“资源配置推荐”查看资源配置推荐详情，参考或直接选用推荐的资源配置规格。 图1 资源配置推荐 如果节点、用户或增量包的可配置数量或基础版数据建模引擎可购买的数量不能满足购买需求时，即超过可配置的数量上限，您可申请扩大配额，详细操作请参见配额管理。 表1 基础版数据建模引擎配置说明 类型 配置项 配置说明 基础配置 部署位置 仅识别到有效的边缘可用区时才显示。 可选服务部署位置“公有云”或“边缘云”。 可用区 仅“部署位置”选择“边缘云”时显示，选择数据建模引擎所属的可用区。 可选值来源于位置服务（Location Service，LCS ）授予账号使用的对应边缘可用区（Availability Zone，AZ）。 区域 仅服务部署位置为公有云时显示，选择数据建模引擎所属的地域。 建议选择最靠近您的地域，可减少网络时延，提高访问速度。 计费模式 包年/包月：数据建模引擎的预付费模式。 运行服务名称 用户自定义，表示需要购买的数据建模引擎的名称。 数据库引擎 表示在华为云上独立运行的数据库环境，支持MySQL和PostgreSQL两种类型。 注意： 为确保后期能顺利部署应用，请选择与待部署应用一致的数据库类型。 企业项目 仅对开通企业项目的企业客户账号显示。如需使用该功能，请联系客服申请开通。 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理，默认项目为default。了解更多企业项目相关信息，请参见企业项目管理。 虚拟私有云 表示在华为云上构建的逻辑隔离的网络空间，一个虚拟私有云由至少一个子网组成。 如还未创建或现有的虚拟私有云/子网不符合您的要求，则可在虚拟私有云控制台进行创建，具体操作请参见创建虚拟私有云和子网。 同一虚拟私有云内资源默认内网互通。 安全组 表示一个逻辑上的分组，为具有相同安全保护需求并相互信任的云服务器提供访问策略。系统会为您提供一个默认安全组，默认安全组的规则是在出方向上的数据报文全部放行，入方向访问受限，安全组内的云服务器无需添加规则即可互相访问。 如现有的安全组不符合您的要求，可以在虚拟私有云控制台进行创建，具体操作请参见创建安全组。 用户配置 用户类型 表示用户的规格，选择“基础版”。 用户数量 表示需购买用户的数量。单个运行服务配置的用户数量越多代表可使用运行服务的最终用户（非开发用户）数量越多。 用户数的IT含义指iDME XDMUser表中的唯一用户记录，系统会自动对 数据实例 的创建者、更新者等数据操作者进行累计统计后去重，并记录在XDMUser表中。 节点配置 节点类型 表示需购买的节点类型。 部署位置在公有云上，选择“基础版 数据建模引擎 节点”。 说明： 单“基础版 数据建模引擎 节点”提供固定规格：应用运行4U8G*2，结构化数据存储200G，非结构化存储500G和基线数据存储20G。 部署位置在边缘云上，选择“基础版 数据建模引擎 边缘节点”。 节点数量 表示需购买节点的数量。单个运行服务配置的节点数量越多代表运行服务的规格越高。 增量包配置 增量包类型 增量包是搭配“基础版 数据建模引擎 节点”使用，用于扩容节点对应类型的数据容量。 单个结构化数据增量包可为节点扩容20GB的结构化数据容量。 单个文件数据增量包可为节点扩容500GB的文件数据容量。 单个基线数据增量包可为节点扩容40GB的基线数据容量。 选择“现在购买”，配置增量包类型。如无此需求，选择“暂不购买”。 - 购买时长 表示数据建模引擎的使用时长。 勾选“自动续费”，避免数据建模引擎到期时需要进行手动续费的操作。 单击“加入清单”，将配置完成的服务加入购买清单。 如有需要，还可进行以下操作： 删除购买清单中的单个服务，单击。 清空购买清单中的所有服务，单击“清空”。 阅读并勾选同意协议。 协议详细内容请参见《工业数字模型驱动引擎（iDME）服务声明》和《iDME数据授权声明》。 单击“立即购买”，根据页面提示完成支付。 当您付款完成后，等待1-30分钟，即可进入iDME控制台查收您的服务。

操作场景 数据建模引擎是用于应用部署和运行的计算、存储、网络等基础设施资源的集合。iDME将相同虚拟私有云（Virtual Private Cloud）下的基础设施资源组合为一个运行服务，用户可以按运行服务的维度管理资源和部署应用。iDME提供体验版和基础版的数据建模引擎。 体验版数据建模引擎是iDME提供的公共运行环境资源池，多租户共享，适合新用户尝鲜使用。 基础版数据建模引擎提供了物理隔离的运行环境，运行环境实例发放到租户虚拟私有云中，企业自用首选。

购买体验版 申请体验版名额。 体验版购买入口需进行名额申请并通过后才会显示，请通过提交工单或拨打服务热线（4000-955-988或950808）并提供账号ID及企业联系方式申请。 图2 获取账号ID 进入购买工业数字模型驱动引擎页面。 选择“数据建模引擎”，根据页面提示，填写运行服务名称，并将“节点配置”下的“节点类型”选择为“体验版 数据建模引擎 节点”。 阅读并勾选同意协议。 协议详细内容请参见《工业数字模型驱动引擎（iDME）服务声明》和《iDME数据授权声明》。 单击“立即购买”。