华为云用户手册

操作场景 简易认证指调用API时，在HTTP请求头部消息增加一个参数X-Apig-AppCode（参数值填应用详情中“AppCode”的值），而不需要对请求内容签名，API网关也仅校验AppCode，不校验请求签名，从而实现快速响应。 当使用APP认证，且开启了简易认证模式，API请求既可以选择使用Appkey和AppSecret做签名和校验，也可以选择使用AppCode进行简易认证。 为了确保安全，简易认证仅支持HTTPS方式调用API，不支持HTTP。 每个应用最多可创建5个AppCode。

什么是跨域访问 浏览器出于安全性考虑，会限制从页面脚本内发起的跨域访问（CORS）请求，此时页面只能访问同源的资源，而CORS允许浏览器向跨域服务器，发送XMLHttpRequest请求，从而实现跨域访问。 图1 跨域访问示意图 浏览器将CORS请求分为两类： 简单请求 简单跨域请求的场景需要满足以下两个条件： 请求方法是HEAD，GET，或者POST。 HTTP的头信息不超出以下范围： Accept Accept-Language Content-Language Last-Event-ID Content-Type：取值范围：application/x-www-form-urlencoded、multipart/form-data、text/plain 对于简单请求，浏览器自动在头信息之中，添加一个Origin字段，Origin字段用于说明本次请求来自哪个源（协议+域名+端口）。服务器根据这个值，决定是否同意这次请求。服务器响应消息中包含“Access-Control-Allow-Origin”时，表示同意请求。 非简单请求 不满足简单请求两个条件的都为非简单请求。 对于非简单请求，在正式通信之前，浏览器会增加一次HTTP查询请求，称为预检请求。浏览器询问服务器，当前页面所在的源是否在服务器的许可名单之中，以及可以使用哪些HTTP请求方法和头信息字段。预检通过后，浏览器向服务器发送简单请求。

开启跨域访问 API网关默认不开启跨域访问，如果您需要开启，请参考以下说明完成跨域配置。 简单请求的跨域访问 如果是创建新的API，在定义API请求时，打开“支持跨域（CORS）”开关。详细的使用指导，可参考简单请求。 图2 支持跨域 非简单请求的跨域访问 非简单请求的跨域访问需要在API的分组中创建一个“Method”为“OPTIONS”的API，作为预检请求。 预检请求API的参数设置，请参考以下说明填写。详细的使用指导可参考非简单请求。 在API的基本信息中，安全认证选“无认证”。 图3 预检请求-使用无认证 定义API请求时，参数填写说明如下： 请求协议：选择与已开启CORS的API相同的请求协议 请求Path：填斜杠/ Method：选择“OPTIONS” 支持CORS：选择开启CORS 图4 预检请求-设置API请求 后端服务选择Mock。 图5 预检请求-后端服务类型Mock

简单请求 对于简单请求，您需要开启简单跨域访问。 场景一：已开启CORS，且后端服务响应消息中未指定跨域头时，API网关接受任意域的请求，并返回“Access-Control-Allow-Origin”跨域头，示例如下： 浏览器发送一个带Origin字段的请求消息： GET /simple HTTP/1.1 Host: www.test.com Origin: http://www.cors.com Content-Type: application/x-www-form-urlencoded; charset=utf-8 Accept: application/json Date: Tue, 15 Jan 2019 01:25:52 GMT Origin：此字段必选，表示请求消息所属源，上例中请求来源于“http://www.cors.com”，API网关/后端服务根据这个值，决定是否同意本次请求。 后端服务返回响应消息： HTTP/1.1 200 OK Date: Tue, 15 Jan 2019 01:25:52 GMT Content-Type: application/json Content-Length: 16 Server: api-gateway {"status":"200"} API网关响应消息： HTTP/1.1 200 OK Date: Tue, 15 Jan 2019 01:25:52 GMT Content-Type: application/json Content-Length: 16 Server: api-gateway X-Request-Id: 454d689fa69847610b3ca486458fb08b Access-Control-Allow-Origin: * {"status":"200"} Access-Control-Allow-Origin：此字段必选，“*”表示API网关接受任意域的请求。 场景二：已开启CORS，且后端服务响应消息中指定跨域头时，后端服务响应的跨域头将覆盖API网关增加的跨域头，示例如下： 浏览器发送一个带Origin字段的请求消息： GET /simple HTTP/1.1 Host: www.test.com Origin: http://www.cors.com Content-Type: application/x-www-form-urlencoded; charset=utf-8 Accept: application/json Date: Tue, 15 Jan 2019 01:25:52 GMT Origin：此字段必选，表示请求消息所属源，上例中请求来源于“http://www.cors.com”，API网关/后端服务根据这个值，决定是否同意本次请求。 后端服务返回响应消息： HTTP/1.1 200 OK Date: Tue, 15 Jan 2019 01:25:52 GMT Content-Type: application/json Content-Length: 16 Server: api-gateway Access-Control-Allow-Origin: http://www.cors.com {"status":"200"} Access-Control-Allow-Origin：表示后端服务接受“http://www.cors.com”的请求。 API网关响应消息： HTTP/1.1 200 OK Date: Tue, 15 Jan 2019 01:25:52 GMT Content-Type: application/json Content-Length: 16 Server: api-gateway X-Request-Id: 454d689fa69847610b3ca486458fb08b Access-Control-Allow-Origin: http://www.cors.com {"status":"200"} 后端服务响应消息中的跨域头覆盖API网关响应消息中的跨域头。

非简单请求 对于非简单请求，您需要开启跨域访问，并且创建一个“Method”为“OPTIONS”的API。 跨域共享资源插件不需要创建一个“Method”为“OPTIONS”的API。 “Method”为“OPTIONS”的API和普通API的区别如下： 所属分组：选择已开启CORS的API所在的分组。 安全认证：可选择“无认证”。无论选择哪种认证方式，API网关都按照无认证处理。 请求协议：选择与已开启CORS的API相同的请求协议。 请求Path：填斜杠/即可，也可选择与已开启CORS的API相同或者匹配的请求Path。 Method：选择“OPTIONS”。 支持CORS：选择开启CORS。 假设后端服务类型为Mock，示例如下： 浏览器发送“Method”为“OPTIONS”的API请求： OPTIONS /HTTP/1.1 User-Agent: curl/7.29.0 Host: localhost Accept: */* Origin: http://www.cors.com Access-Control-Request-Method: PUT Access-Control-Request-Headers: X-Sdk-Date Origin：此字段必选，表示请求消息所属源。 Access-Control-Request-Method：此字段必选，表示请求会使用哪些HTTP请求方法。 Access-Control-Request-Headers：此字段可选，表示请求会额外发送的头信息字段。 后端服务返回消息：无 API网关返回消息： HTTP/1.1 200 OK Date: Tue, 15 Jan 2019 02:38:48 GMT Content-Type: application/json Content-Length: 1036 Server: api-gateway X-Request-Id: c9b8926888c356d6a9581c5c10bb4d11 Access-Control-Allow-Origin: * Access-Control-Allow-Headers: X-Stage,X-Sdk-Date,X-Sdk-Nonce,X-Proxy-Signed-Headers,X-Sdk-Content-Sha256,X-Forwarded-For,Authorization,Content-Type,Accept,Accept-Ranges,Cache-Control,Range Access-Control-Expose-Headers: X-Request-Id,X-Apig-Latency,X-Apig-Upstream-Latency,X-Apig-RateLimit-Api,X-Apig-RateLimit-User,X-Apig-RateLimit-App,X-Apig-RateLimit-Ip,X-Apig-RateLimit-Api-Allenv Access-Control-Allow-Methods: GET,POST,PUT,DELETE,HEAD,OPTIONS,PATCH Access-Control-Max-Age: 172800 Access-Control-Allow-Origin：此字段必选，“*”表示API网关接受任意域的请求。 Access-Control-Allow-Headers：当请求消息中包含此字段时，此字段必选。表示允许跨域的所有请求头信息字段。 Access-Control-Expose-Headers：表示跨域访问允许查看的返回头信息字段。 Access-Control-Allow-Methods：此字段必选，表示API网关支持的所有HTTP请求方法。 Access-Control-Max-Age：此字段可选，表示本次预检的有效期，单位：秒。在有效期内，无需再次发出预检请求。 浏览器发送一个带Origin字段的请求头： PUT /simple HTTP/1.1 Host: www.test.com Origin: http://www.cors.com Content-Type: application/x-www-form-urlencoded; charset=utf-8 Accept: application/json Date: Tue, 15 Jan 2019 01:25:52 GMT 后端服务返回消息： HTTP/1.1 200 OK Date: Tue, 15 Jan 2019 01:25:52 GMT Content-Type: application/json Content-Length: 16 Server: api-gateway {"status":"200"} API网关返回消息： HTTP/1.1 200 OK Date: Tue, 15 Jan 2019 01:25:52 GMT Content-Type: application/json Content-Length: 16 Server: api-gateway X-Request-Id: 454d689fa69847610b3ca486458fb08b Access-Control-Allow-Origin: * {"status":"200"}

操作场景 自定义认证包含两种认证：前端自定义认证和后端自定义认证。 前端自定义认证：如果您希望使用自己的认证系统，而不是APP认证/华为 IAM 认证对API的访问进行认证鉴权时，您可以使用自定义认证，通过您自定义的函数进行认证鉴权。 后端自定义认证：当不同的后端服务使用不同的认证系统时，导致您需要为不同的认证系统定制化开发API，而APIG通过自定义认证功能，将多种认证系统集成，简化API开发的复杂度。您只需要在APIG中创建自定义的函数认证，APIG通过此函数对接后端认证系统，获取后端服务的访问授权。 自定义认证依赖 函数工作流 服务。如果当前Region没有上线函数工作流服务，则不支持使用自定义认证。 自定义认证的具体使用指导，可参考《API网关开发指南》的自定义认证相关章节。 使用自定义认证调用API的流程如下图所示： 图1 通过自定义认证调用API

API网关监控指标 表1 API网关共享版支持的监控指标 指标ID 指标名称 指标含义 取值范围 测量对象 监控周期（原始指标） avg_latency 平均延迟毫秒数 该指标用于统计测量api接口平均响应延时时间 ≥0 单位：毫秒 单个API 1分钟 input_throughput 流入流量 该指标用于统计测量api接口请求流量 ≥0 单位：Byte/KB/MB/GB 单个API 1分钟 max_latency 最大延迟毫秒数 该指标用于统计测量api接口最大响应延时时间 ≥0 单位：毫秒 单个API 1分钟 output_throughput 流出流量 该指标用于统计测量api接口返回流量 ≥0 单位：Byte/KB/MB/GB 单个API 1分钟 req_count 接口调用次数 该指标用于统计测量api接口调用次数 ≥0 单个API 1分钟 req_count_2xx 2xx调用次数 该指标用于统计测量api接口调用2xx的次数 ≥0 单个API 1分钟 req_count_4xx 4xx异常次数 该指标用于统计测量api接口返回4xx错误的次数 ≥0 单个API 1分钟 req_count_5xx 5xx异常次数 该指标用于统计测量api接口返回5xx错误的次数 ≥0 单个API 1分钟 req_count_error 异常次数 该指标用于统计测量api接口总的错误次数 ≥0 单个API 1分钟

绑定API 在“访问控制”页面，通过以下任意一种方法，进入“绑定API”页面。 在待绑定的访问控制策略所在行，单击“绑定API”，进入已绑定API列表页面。单击“绑定API”。 单击策略名称，进入策略详情页面。单击“绑定API”。 选择“API分组”、“环境”以及“API名称”，筛选所需的API。 勾选API，单击“绑定”，完成API绑定策略。 在访问控制策略绑定API后，如果API不需要调用此策略，单击“解除”，解除绑定。如果需要批量解绑API，则勾选待解绑的API，单击“解除”。最多同时解绑1000个API。

配置参数说明 表1 配置参数说明 信息项 描述 策略名称 访问控制策略的名称。 类型 控制访问API的类型。 IP地址：限制调用API的IP地址。 账号名：仅适用IAM认证类型的API，限制调用API的账号名。仅支持配置账号名，对账号名及账号名下的IAM用户名做限制，不支持配置IAM用户名。 账号ID：仅适用IAM认证类型的API，限制调用API的账号ID。仅支持配置账号ID，对账号ID及账号ID下的IAM用户ID做限制，不支持配置IAM用户ID。 说明： 一个API同时绑定两种类型的访问控制策略：账户维度的账户名类型和账号ID类型。访问API时，如果同时有黑白名单，只校验白名单，校验通过则访问成功；如果只有黑名单或白名单，校验通过的结果为“且”逻辑。 一个API同时绑定三种类型的访问控制策略：IP维度的IP类型、账户维度的账号名类型和账号ID类型。访问API时，IP维度和账户维度为“且”的关系，其中一方校验失败则访问失败。（一个API同时绑定IP类型和账号名/账号ID类型的访问控制策略，这两种类型的判断逻辑与三种类型的判断逻辑相同）。 动作 包括“允许”和“禁止”。 和“类型”配合使用，允许/禁止访问API的IP地址/账号名/账号ID。 IP地址 仅当“类型”为“IP地址”时需要配置。 输入允许或者禁止访问API的IP地址，或IP地址范围。 说明： 允许或禁止访问的IP地址条数，分别可以配置最多100条。 账号名 仅当“类型”为“账号名”时需要配置。 输入允许或者禁止访问API的账号名，多个账号名之间使用英文逗号（,）隔开。 您可以单击控制台右上角的用户名，选择“我的凭证”，在“我的凭证”页面获取用户的账号名。 账号ID 仅当“类型”为“账号ID”时需要配置。 输入允许或者禁止访问API的账号ID，多个账号ID之间使用英文逗号（,）隔开。 您可以单击控制台右上角的用户名，选择“我的凭证”，在“我的凭证”页面获取用户的账号ID。

查看关键操作列表 通过 云审计 服务，您可以记录与API网关相关的操作事件，便于日后的查询、审计和回溯。 表1 云审计服务支持的API Gateway操作列表 操作名称 资源类型 事件名称 创建API分组 ApiGroup createApiGroup 删除API分组 ApiGroup deleteApiGroup 更新API分组 ApiGroup updateApiGroup 绑定域名 ApiGroup createDomainBinding 修改安全传输协议 ApiGroup modifySecureTransmission 解绑域名 ApiGroup relieveDomainBinding 添加域名证书 ApiGroup addDomainCertificate 删除域名证书 ApiGroup deleteDomainCertificate 创建API Api createApi 删除API Api deleteApi 批量删除API Api batchDeleteApi 更新API Api updateApi 发布API Api publishApi 下线API Api offlineApi 批量发布/下线API Api batchPublishOrOfflineApi 切换API版本 Api switchApiVersion 根据版本号下线API Api offlineApiByVersion 调试API Api debugApi 创建环境 Environment createEnvironment 删除环境 Environment deleteEnvironment 更新环境 Environment updateEnvironment 创建环境变量 EnvVariable createEnvVariable 更新环境变量 EnvVariable updateEnvVariable 删除环境变量 EnvVariable deleteEnvVariable 创建应用 App createApp 删除应用 App deleteApp 更新应用 App updateApp 重置签名密钥 App resetAppSecret 客户端绑定API AppAuth grantAuth 客户端解绑API AppAuth relieveAuth 创建签名密钥 Signature createSignature 删除签名密钥 Signature deleteSignature 更新签名密钥 Signature updateSignature 绑定签名密钥 SignatureBinding createSignatureBinding 解绑签名密钥 SignatureBinding relieveSignatureBinding 创建访问控制 Acl createAcl 删除访问控制 Acl deleteAcl 批量删除访问控制 Acl batchDeleteAcl 更新访问控制 Acl updateAcl 增加流控黑名单 Acl addAclValue 删除流控黑名单 Acl deleteAclValue API绑定访问控制 AclBinding createAclBinding API解绑访问控制 AclBinding relieveAclBinding 批量解绑访问控制 AclBinding batchRelieveAclBinding 创建流控 Throttle createThrottle 删除流控 Throttle deleteThrottle 批量删除流控 Throttle batchDeleteThrottle 更新流控 Throttle updateThrottle 绑定流控 ThrottleBinding createThrottleBinding 解绑流控 ThrottleBinding relieveThrottleBinding 批量解绑流控 ThrottleBinding batchRelieveThrottleBinding 创建特殊流控 ThrottleSpecial createSpecialThrottle 删除特殊流控 ThrottleSpecial deleteSpecialThrottle 更新特殊流控 ThrottleSpecial updateSpecialThrottle 创建负载通道 Vpc createVpc 删除负载通道 Vpc deleteVpc 更新负载通道 Vpc updateVpc 增加负载通道成员 Vpc addVpcMember 删除负载通道成员 Vpc deleteVpcMember 导出单个API Swagger swaggerExportApi 批量导出API Swagger swaggerExportApiList 导出分组下所有API Swagger swaggerExportApiByGroup 导入API到新分组 Swagger swaggerImportApiToNewGroup 导入API到已有分组 Swagger swaggerImportApiToExistGroup 导出全部自定义后端 Swagger SwaggerExportLdApi 导入自定义后端 Swagger SwaggerImportLdApi 创建自定义认证 Authorizer createAuthorizer 删除自定义认证 Authorizer deleteAuthorizer 更新自定义认证 Authorizer updateAuthorizer 购买API分组 Market purchase 上架API分组 Market onsell 下架API分组 Market offsell 修改配额状态 Market changeStatus 锁定/解除锁定API分组 Market lockOrUnlock 冻结/解冻API分组 Market frozenOrUnfrozen 预订购API分组 Market reserve 退市 Market delist 退订 Market unsubscribe

开放API 企业或开发者通过API网关开放自身的服务与数据，实现业务能力变现。 图2 开放API基本流程 创建实例 实例是一个独立的资源空间，所有的操作都是在实例内进行，不同实例间的资源相互隔离。 创建API分组 每个API都归属到某一个API分组下，在创建API前应提前创建API分组。 绑定域名 在开放API前，您需要为API分组绑定一个独立域名，供API调用者访问API使用。 在绑定独立域名前，您可以使用系统为API分配的调试域名进行API调试，每天最多可以访问调试域名1000次。 创建API 把已有后端服务封装为标准RESTFul API，并对外开放。 API创建成功后，您可根据业务需求对API设置访问策略： 传统策略 流控控制 流量控制可限制单位时间内API的被调用次数，保护后端服务。 访问控制 访问API的IP地址和账户，您可以通过设置IP地址或账户的黑白名单来拒绝/允许某个IP地址或账户访问API。 签名密钥 签名密钥用于后端服务验证API网关的身份，在API网关请求后端服务时，保障后端服务的安全。 插件策略 跨域资源共享策略说明 跨域资源共享策略为跨域访问提供指定预检请求头和响应头、自动创建跨域预检请求API的扩展能力，可快速、灵活的实现API的跨域访问。 HTTP响应头管理策略说明 您可以自定义HTTP响应头，在返回的API响应中指定您配置的响应头。 流量控制2.0策略说明 您可以限制单位时间内API的被调用次数，支持参数流控、基础流控和基于基础流控的特殊流控。 Kafka日志推送策略说明 Kafka日志推送策略提供了把API的详细调用日志推送到Kafka的能力，方便用户获取API的调用日志信息。 断路器策略说明 断路器是API网关在后端服务出现性能问题时保护系统的内置机制。 第三方认证策略说明 您可以通过第三方认证策略配置自己的鉴权服务为API的访问进行认证。 调试API 验证 API服务 的功能是否正常可用。 发布API 把API发布到环境中，API只有在发布到环境后，才支持被调用。

前提条件 已有独立域名。可通过 域名注册服务 申请新的域名。 公网独立域名需要备案，未备案的独立域名无法被访问。备案时长需几个工作日，建议您提前进行备案。 共享版：已将独立域名CNAME解析到分组的子域名上，具体方法请参见增加CNAME类型记录集。 如果API分组中的API支持HTTPS请求协议，那么在独立域名中需要添加SSL证书，请您提前准备SSL证书。此证书不支持导入，您需要填写证书的名称、内容和密钥。

操作场景 开放API前，您需要为API分组绑定一个或多个独立域名，API网关通过独立域名定位到此分组。 共享版中，不同分组下不能绑定相同的独立域名。 在绑定域名前，您需要理解以下2个概念： 子域名：API分组创建后，系统为分组自动分配一个内部测试用的子域名，此子域名唯一且不可更改，每天最多可以访问1000次。 独立域名：您自定义的域名，最多可以添加5个独立域名，不限访问次数。API调用者通过访问独立域名来调用您开放的API。

APIG使用流程 API网关（API Gateway）是为您提供高性能、高可用、高安全的API托管服务，帮助您轻松构建、管理和部署任意规模的API。借助API网关的开放API和调用API功能，可以简单、快速、低成本、低风险地实现内部系统集成、业务能力开放。 开放API 企业或开发者通过API网关开放自身的服务与数据。 图1 API网关服务开放API 开放API的业务使用流程如下图所示。 图2 API网关服务开放API基本流程 创建实例 共享版无需购买实例，可直接进入共享版。 创建API分组 每个API都归属到某一个API分组下，在创建API前应提前创建API分组。 绑定域名 在开放API前，您需要为API分组绑定一个独立域名，供API调用者访问API使用。 在绑定独立域名前，您可以使用系统为API分配的默认子域名进行API调试，每天最多可以访问默认子域名1000次。 创建API 把已有后端服务封装为标准RESTFul API，并对外开放。 API创建成功后，您可根据业务需求对API设置访问策略： 流控控制 流量控制可限制单位时间内API的被调用次数，保护后端服务。 访问控制 访问API的IP地址和账户，您可以通过设置IP地址或账户的黑白名单来拒绝/允许某个IP地址或账户访问API。 签名密钥 签名密钥用于后端服务验证API网关的身份，在API网关请求后端服务时，保障后端服务的安全。 调试API 验证API服务的功能是否正常可用。 发布API 把API发布到环境中，API只有在发布到环境后，才支持被调用。 调用API 企业或开发者如何获取并调用他人在API网关开放的API，减少开发时间与成本。 图3 API网关服务调用API 调用API的业务使用流程如下图所示。 图4 API网关服务调用API基本流程 获取API 获取API的请求信息，包括访问域名、请求协议、请求方法、请求路径以及认证方式等信息。 创建应用 使用APP认证的API，需要在API网关中创建一个应用，以生成应用ID和密钥对（AppKey、AppSecret）。将创建的应用绑定API后，使用APP认证调用API。 获取SDK 可通过SDK对AK/SK生成签名，并调用API。 调用API 通过获取API及API访问地址，调用API。根据API使用认证方式的不同，调用API时需要进行不同的认证鉴权操作。 父主题： 共享版操作指导（存量用户）

操作须知 DDoS高防不支持下载防护日志数据。 在“概览”页面，您可以查看以下时间段的防护日志数据： DDoS攻击防护 可以查看指定高防实例和线路“24小时”、“近3天”、“近7天”、“近30天”和“自定义”的DDoS攻击防护数据，其中，“自定义”可以配置查看近90天的DDoS攻击防护数据。 CC攻击防护 可以查看防护域名“昨天”、“今天”、“近3天”、“近7天”和“近30天”的CC攻击防护数据。

操作场景 业务接入DDoS高防后，您可以通过查看高防实例线路的DDoS攻击防护日志和防护域名的CC攻击防护日志，了解当前业务的网络安全状态。 在“概览”页面，您可以查看以下防护日志信息： DDoS攻击防护 可以查看高防实例线路的高防入流量峰值、攻击流量峰值和DDoS攻击次数信息，以及流量和报文两个维度的攻击类型分布、DDoS攻击事件、TOP5攻击类型流量清洗等信息。 CC攻击防护 可以查看防护域名请求与攻击次数、攻击类型分布、TOP5攻击源IP的次数等信息。

依赖服务的权限设置 如果IAM用户需要在Console控制台拥有相应功能的查看或使用权限，请确认已经对该用户所在的用户组设置了Anti-DDoS Administrator策略的集群权限，再按如下表1增加依赖服务的角色或策略。 表1 Console中依赖服务的角色或策略 控制台功能 依赖服务 需配置角色或策略 配置Anti-DDoS日志 云日志 服务 LTS 需要增加LTS ReadOnlyAccess的系统策略，才能选择在云日志服务中创建的日志组和日志流名称。 开启Anti-DDoS告警通知 消息通知 服务 SMN 需要增加SMN ReadOnlyAccess的系统策略，才能获取消息通知服务的主题群组。 设置标签 标签管理服务 TMS 需要增加TMS FullAccess的系统策略，才能创建标签键。

依赖服务的权限设置 如果IAM用户需要在Console控制台拥有相应功能的查看或使用权限，请确认已经对该用户所在的用户组设置了CAD Administrator、AAD FullAccess或AAD ReadOnlyAccess策略的集群权限，再按如下表1增加依赖服务的角色或策略。 表1 Console中依赖服务的角色或策略 控制台功能 依赖服务 需配置角色或策略 添加域名 云证书管理服务 CCM 源站使用HTTPS转发协议时，自动拉取证书需要授予SCM ReadOnlyAccess权限。 配置DDoS高防日志 云日志服务 LTS 需要增加LTS ReadOnlyAccess的系统策略，才能选择在云日志服务中创建的日志组和日志流名称。 开启告警通知 消息通知服务 SMN 需要增加SMN ReadOnlyAccess的系统策略，才能获取消息通知服务的主题群组。 配置实例标签 标签管理服务 TMS 需要增加TMS FullAccess的系统策略，才能创建标签键。 购买实例 企业项目管理服务 EPS 需要增加EPS ReadOnlyAccess的系统策略后，才能在购买实例时选择该企业项目。

支持的授权项 策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。 权限：允许或拒绝某项操作。 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。 权限 授权项 依赖关系说明 查询Anti-DDoS默认防护策略 anti-ddos:defaultDefensePolicy:get - 配置Anti-DDoS默认防护策略 anti-ddos:defaultDefensePolicy:create - 删除Anti-DDoS默认防护策略 anti-ddos:defaultDefensePolicy:delete - 查询Anti-DDoS配置可选范围 anti-ddos:optionalDefensePolicy:list - 查询Anti-DDoS服务 anti-ddos:ip:getDefensePolicy vpc:publicIps:list 更新Anti-DDoS服务 anti-ddos:ip:updateDefensePolicy - 开通Anti-DDoS服务 anti-ddos:ip:enableDefensePolicy - 查询周防护统计情况 anti-ddos:ip:getWeeklyReport - 查询指定EIP防护流量 anti-ddos:ip:getDailyTrafficReport - 查询指定EIP异常事件 anti-ddos:ip:getDailyEventReport - 查询指定EIP防护状态 anti-ddos:ip:getDefenseStatus - 查询EIP防护状态列表 anti-ddos:ip:listDefenseStatuses - 查询Anti-DDoS任务 anti-ddos:task:list - 查询告警配置信息 anti-ddos:alertConfig:get smn:topic:list 更新告警配置信息 anti-ddos:alertConfig:update - 查询云日志服务配置 anti-ddos:logConfig:get - 更新云日志服务配置 anti-ddos:logConfig:update - 查询配额 anti-ddos:quota:list - 查询资源标签列表 anti-ddos:ip:listTagsForResource - 批量添加标签 anti-ddos:ip:tagResource - 批量删除标签 anti-ddos:ip:untagResource -

依赖服务的权限设置 如果IAM用户需要在Console控制台拥有相应功能的查看或使用权限，请确认已经对该用户所在的用户组设置了CNAD FullAccess或CNAD ReadOnlyAccess策略的集群权限，再按如下表1增加依赖服务的角色或策略。 表1 Console中依赖服务的角色或策略 控制台功能 依赖服务 需配置角色或策略 开启LTS日志 云日志服务 LTS 需要增加LTS ReadOnlyAccess的系统策略，才能选择在云日志服务中创建的日志组和日志流名称。 开启告警通知 消息通知服务 SMN 需要增加SMN ReadOnlyAccess的系统策略，才能获取消息通知服务的主题群组。 配置实例标签 标签管理服务 TMS 需要增加TMS FullAccess的系统策略，才能创建标签键。 购买实例 企业项目管理服务 EPS 需要增加EPS ReadOnlyAccess的系统策略后，才能在购买实例时选择该企业项目。

修订记录 发布日期 修改说明 2024-02-29 第五十一次正式发布。 新增配置字段转发章节。 新增修改TLS配置章节。 下线“非域名类业务接入DDoS高防”章节。 下线“转发规则管理”章节。 查看数据报表增加动态黑名单描述。 查看DDoS高防防护日志增加动态黑名单描述。 查看防护对象信息增加防护IP状态参数。 2024-01-04 第五十次正式发布。 优化购买实例步骤描述。 优化购买DDoS高防实例步骤描述。 优化购买DDoS高防国际版实例步骤描述。 优化查看Anti-DDoS公网IP参数描述。 优化配置DDoS高防日志日志字段描述。 2023-12-10 第五十次正式发布。 新增为防护对象设置防护策略章节。 新增设置频率控制规则章节。 配置Anti-DDoS日志优化了内容描述。 开启LTS日志优化了内容描述。 配置DDoS高防日志优化了内容描述。 查看DDoS高防防护日志优化攻击类型分布的参数描述。 配置CDN调度策略增加服务范围参数。 2023-11-30 第四十九次正式发布。 新增控制台的权限依赖章节。 新增控制台的权限依赖章节。 配置Anti-DDoS日志优化日志字段说明。 开启LTS日志优化日志字段说明。 “非域名类业务接入DDoS高防”章节补充端口限制说明。 配置DDoS阶梯调度策略补充约束说明。 2023-11-03 第四十八次正式发布。 新增控制台的权限依赖章节。 2023-10-30 第四十七次正式发布。 新增使用概览章节。 新增使用概览章节。 新增购买DDoS高防国际版实例章节。 新增设置标签章节。 查看云审计日志优化了内容描述。 新增配置实例标签章节。 查看云审计日志优化了内容描述。 新增配置实例标签章节。 下线“创建防护策略”章节。 设置监控告警规则优化了内容描述。 查看云审计日志优化了内容描述。 2023-08-04 第四十六次正式发布。 新增设置事件告警通知章节。 新增设置事件告警通知章节。 新增设置事件告警通知章节。 2023-06-30 第四十五次正式发布。 新增配置区域封禁章节。 优化“配置防护策略”章节内容，匹配新版控制台图例。 优化DDoS高防监控指标说明章节描述，新增4个 CES 监控指标。 2023-06-08 第四十四次正式发布。 优化购买DDoS高防实例章节描述，添加了如何选择业务带宽的描述。 2023-06-06 第四十三次正式发布。 配置协议封禁章节补充关于海外流量封禁的描述。 2023-05-22 第四十二次正式发布。 优化“移除防护对象”章节描述。 2023-04-21 第四十一次正式发布。 新增监控章节。 2023-04-20 第四十次正式发布。 新增配置CDN调度策略章节。 2022-11-29 第三十九次正式发布。 新增水印防护章节。 2022-09-20 第三十八次正式发布。 修改配置Anti-DDoS日志章节。 2022-08-11 第三十七次正式发布。 新增配置Anti-DDoS日志。 2022-08-01 第三十六次正式发布。 修改步骤三：本地验证（网站类），更新本地验证内容。 2022-07-28 第三十五次正式发布。 新增Anti-DDoS自定义策略。 新增Anti-DDoS权限及授权项。 2022-07-13 第三十四次正式发布。 购买实例，下线"电信移动联通"和"电信联通、BGP"线路，新增"BGP Pro"线路。 2022-06-06 第三十三次正式发布。 下线新BGP线路。 2022-05-30 第三十二次正式发布。 新增购买DDoS调度中心防护。 优化DDoS调度中心防护管理部分功能描述。 2022-04-27 第三十一次正式发布。 购买实例，更新购买参数。 2022-04-06 第三十次正式发布。 DDoS调度中心下线“专线回源”和“互联网回源”两种回源方式。 2022-01-24 第二十九次正式发布。 开启WEB基础防护和CC防护，新增约束条件内容描述。 2021-12-23 第二十八次正式发布。 “非域名类业务接入DDoS高防”章节，优化内容描述。 2021-12-16 第二十七次正式发布。 新增AAD自定义策略。 新增AAD权限及授权项。 2021-11-18 第二十六次正式发布。 购买实例，补充大客户版相关内容描述。 购买DDoS高防实例，更新界面截图以及相关内容描述。 2021-11-11 第二十五次正式发布。 步骤一：配置防护域名（网站类），更新界面截图。 2021-10-21 第二十四次正式发布。 查看实例信息，优化内容描述。 2021-10-14 第二十三次正式发布。 购买实例，优化内容描述。 2021-10-11 第二十二次正式发布。 设置防护策略，更新截图。 2021-09-24 第二十一次正式发布。 13.1.2-线路购买指南，优化内容描述。 2021-09-15 第二十次正式发布。 购买DDoS高防实例，更新界面截图和内容描述。 2021-09-10 第十九次正式发布。 购买实例，修改内容描述。 2021-09-06 第十八次正式发布。 “DDoS原生高级防护操作指南”章节，优化内容描述。 2021-08-27 第十七次正式发布。 “DDoS原生高级防护操作指南”章节，更新截图以及内容描述。 2021-08-10 第十六次正式发布。 购买DDoS高防实例，更新界面截图和相关内容描述。 2021-07-29 第十五次正式发布。 配置协议封禁，优化内容描述。 2021-07-19 第十四次正式发布。 修改“DDoS高防操作指南”架构和内容描述。 2021-07-14 第十三次正式发布。 新增购买自助解封配额。 购买实例、自助解封封堵IP、查看解封配额和解封IP信息，新增自助解封配额内容描述。 2021-05-31 第十二次正式发布。 新增开启阶梯调度告警通知。 2021-05-28 第十一次正式发布。 配置Anti-DDoS防护策略，更新界面截图并优化内容描述。 “转发规则管理”章节优化内容描述。 2021-05-21 第十次正式发布。 修改章节标题。 2021-04-29 第九次正式发布。 设置防护策略，更新界面截图。 2021-04-27 第八次正式发布。 新增自助解封封堵IP。 新增查看解封配额和解封IP信息。 2021-04-19 第七次正式发布。 创建用户并授权使用CNAD，删除CNAD Administrator权限策略。 2021-04-16 第六次正式发布。 购买实例，优化内容描述。 2021-03-16 第五次正式发布。 购买实例，补充约束限制。 2021-03-02 第四次正式发布。 新增CNAD自定义策略。 新增CNAD权限及授权项。 2021-02-25 第三次正式发布。 配置DDoS阶梯调度策略，新增约束限制说明。 2021-02-01 第二次正式发布。 创建用户并授权使用CNAD，优化内容描述。 2020-12-31 第一次正式发布。

请求示例 创建Spark作业，作业的Spark主类为“org.apache.spark.examples.SparkPi”，指定程序包batchTest/spark-examples_2.11-2.1.0.luxor.jar，并加载上传到 DLI 类型为jar的程序号和类型为files的资源包。 { "file": "batchTest/spark-examples_2.11-2.1.0.luxor.jar", "className": "org.apache.spark.examples.SparkPi", "sc_type": "A", "jars": ["demo-1.0.0.jar"], "files": ["count.txt"], "resources":[ {"name": "groupTest/testJar.jar", "type": "jar"}, {"name": "kafka-clients-0.10.0.0.jar", "type": "jar"}], "groups": [ {"name": "groupTestJar", "resources": [{"name": "testJar.jar", "type": "jar"}, {"name": "testJar1.jar", "type": "jar"}]}, {"name": "batchTest", "resources": [{"name": "luxor.jar", "type": "jar"}]}], "queue": " test", "name": "TestDemo4", "feature": "basic", "spark_version": "2.3.2" } 其中“batchTest/spark-examples_2.11-2.1.0.luxor.jar”已提前通过上传分组资源（废弃）接口上传。

响应示例 { "id": "07a3e4e6-9a28-4e92-8d3f-9c538621a166", "appId": "", "name": "", "owner": "test1", "proxyUser": "", "state": "starting", "kind": "", "log": [], "sc_type": "CUSTOMIZED", "cluster_name": "aaa", "queue": "aaa", "image": "", "create_time": 1607589874156, "update_time": 1607589874156 }

响应消息 表6 响应参数 参数名称 是否必选 参数类型 说明 id 否 String 批处理作业的ID。 appId 否 String 批处理作业的后台app ID。 name 否 String 创建时用户指定的批处理名称，不能超过128个字符。 owner 否 String 批处理作业所属用户。 proxyUser 否 String 批处理作业所属代理用户（资源租户）。 state 否 String 批处理作业的状态，详细说明请参见表7。 kind 否 String 批处理作业类型，只支持spark类型参数。 log 否 Array of strings 显示当前批处理作业的最后10条记录。 sc_type 否 String 计算资源类型。用户自定义时返回CUSTOMIZED。 cluster_name 否 String 批处理作业所在队列。 queue 是 String 用于指定队列，填写已创建DLI的队列名。 说明： 兼容“cluster_name”参数，即如果使用“cluster_name”指定队列仍然有效。 推荐使用“queue”参数，“queue”参数与“cluster_name”参数两者不能同时存在。 image 否 String 自定义镜像 。格式为：组织名/镜像名:镜像版本。 当用户设置“feature”为“custom”时，该参数生效。用户可通过与“feature”参数配合使用，指定作业运行使用自定义的Spark镜像。关于如何使用自定义镜像，请参考《 数据湖探索 用户指南》。 create_time 否 Long 批处理作业的创建时间。是单位为“毫秒”的时间戳。 update_time 否 Long 批处理作业的更新时间。是单位为“毫秒”的时间戳。 duration 否 Long 作业运行时长，单位毫秒。 表7 批处理作业状态说明 参数名称 参数类型 说明 starting String 批处理作业正在启动。 running String 批处理作业正在执行任务。 dead String 批处理作业已退出。 success String 批处理作业执行成功。 recovering String 批处理作业正在恢复。

请求消息 表2 请求参数 参数名称 是否必选 参数类型 说明 file 是 String 用户已上传到DLI资源管理系统的类型为jar或pyFile的程序包名。也支持指定OBS路径，例如：obs://桶名/包名。 className 是 String 批处理作业的Java/Spark主类。 queue 否 String 用于指定队列，填写已创建DLI的队列名。必须为通用类型的队列。 说明： 兼容“cluster_name”参数，即如果使用“cluster_name”指定队列仍然有效。 推荐使用“queue”参数，“queue”参数与“cluster_name”参数两者不能同时存在。 cluster_name 否 String 用于指定队列，填写已创建DLI队列的队列名称。 说明： 推荐使用“queue”参数，“queue”参数与“cluster_name”参数两者不能同时存在。 args 否 Array of Strings 传入主类的参数，即应用程序参数。 sc_type 否 String 计算资源类型，目前可接受参数A, B, C。如果不指定，则按最小类型创建。具体资源类型请参见表3。 jars 否 Array of Strings 用户已上传到DLI资源管理系统的类型为jar的程序包名。也支持指定OBS路径，例如：obs://桶名/包名。 pyFiles 否 Array of Strings 用户已上传到DLI资源管理系统的类型为pyFile的资源包名。也支持指定OBS路径，例如：obs://桶名/包名。 files 否 Array of Strings 用户已上传到DLI资源管理系统的类型为file的资源包名。也支持指定OBS路径，例如：obs://桶名/包名。 modules 否 Array of Strings 依赖的系统资源模块名，具体模块名可通过查询组内资源包（废弃）接口查看。 DLI系统提供了用于执行跨源作业的依赖模块，各个不同的服务对应的模块列表如下： CloudTable/ MRS HBase: sys.datasource.hbase CloudTable/MRS OpenTSDB: sys.datasource.opentsdb RDS MySQL: sys.datasource.rds RDS PostGre: 不需要选 DWS: 不需要选 CSS : sys.datasource.css resources 否 Array of Objects JSON对象列表，填写用户已上传到队列的类型为JSON的资源包名和类型。具体请见表4。 groups 否 Array of Objects JSON对象列表，填写用户组类型资源，格式详见请求示例。如果“resources”中的“name”未进行type校验，只要此分组中存在这个名字的包即可。具体请见表5。 conf 否 Object batch配置项，参考Spark Configuration。 name 否 String 创建时用户指定的批处理名称，不能超过128个字符。 driverMemory 否 String Spark应用的Driver内存，参数配置例如2G, 2048M。该配置项会替换“sc_type”中对应的默认参数，使用时必需带单位，否则会启动失败。 driverCores 否 Integer Spark应用Driver的CPU核数。该配置项会替换sc_type中对应的默认参数。 executorMemory 否 String Spark应用的Executor内存，参数配置例如2G, 2048M。该配置项会替换“sc_type”中对应的默认参数，使用时必需带单位，否则会启动失败。 executorCores 否 Integer Spark应用每个Executor的CPU核数。该配置项会替换sc_type中对应的默认参数。 numExecutors 否 Integer Spark应用Executor的个数。该配置项会替换sc_type中对应的默认参数。 obs_bucket 否 String 保存Spark作业的obs桶名，需要保存作业时配置该参数。 auto_recovery 否 Boolean 是否开启重试功能，如果开启，可在Spark作业异常失败后自动重试。默认值为“false”。 max_retry_times 否 Integer 最大重试次数。最大值为“100”，默认值为“20”。 feature 否 String 作业特性。表示用户作业使用的Spark镜像类型。 basic：表示使用DLI提供的基础Spark镜像。 custom：表示使用用户自定义的Spark镜像。 ai：表示使用DLI提供的AI镜像。 spark_version 否 String 作业使用Spark组件的版本号。 如果当前Spark组件版本为2.3.2，则不填写该参数。 如果当前Spark组件版本为2.3.3，则在“feature”为“basic”或“ai”时填写。若不填写，则使用默认的Spark组件版本号2.3.2。 image 否 String 自定义镜像。格式为：组织名/镜像名:镜像版本。 当用户设置“feature”为“custom”时，该参数生效。用户可通过与“feature”参数配合使用，指定作业运行使用自定义的Spark镜像。关于如何使用自定义镜像，请参考《 数据湖 探索用户指南》。 catalog_name 否 String 访问元数据时，需要将该参数配置为dli。 表3 资源类型说明 资源类型 物理资源 driverCores executorCores driverMemory executorMemory numExecutor A 8核32G内存 2 1 7G 4G 6 B 16核64G内存 2 2 7G 8G 7 C 32核128G内存 4 2 15G 8G 14 表4 resources参数说明 参数名称 是否必选 参数类型 说明 name 否 String 资源名称。也支持指定OBS路径，例如：obs://桶名/包名。 type 否 String 资源类型。 表5 groups参数说明 参数名称 是否必选 参数类型 说明 name 否 String 用户组名称。 resources 否 Array of Objects 用户组资源。具体请参考表4。

请求示例 使用ID为100000的模板创建名为myjob的Flink SQL作业，该作业执行在testQueue队列上以独享的模式运行。 { "name": "myjob", "desc": "这是个做字符记数的作业", "template_id": 100000, "queue_name": "testQueue", "sql_body": "select * from source_table", "run_mode": "exclusive_cluster", "cu_number": 2, "parallel_number": 1, "checkpoint_enabled": false, "checkpoint_mode": "exactly_once", "checkpoint_interval": 0, "obs_bucket": "my_obs_bucket", "log_enabled": false, "restart_when_exception": false, "idle_state_retention": 3600, "job_type": "flink_sql_job", "dirty_data_strategy": "0", "udf_jar_url": "group/test.jar" }

响应消息 表4 响应参数说明 参数名称 是否必选 参数类型 说明 is_success 否 Boolean 执行请求是否成功。“true”表示请求执行成功。 message 否 String 消息内容。 job 否 Object 作业状态信息。具体请参考表5。 表5 job参数说明 参数名称 是否必选 参数类型 说明 job_id 是 Long 作业ID。 status_name 否 String 当前状态名称。参数说明可以参考查询作业详情中status作业状态字段说明。 status_desc 否 String 当前状态描述。包含异常状态原因及建议。

请求消息 表2 请求参数说明 参数名称 是否必选 参数类型 说明 name 是 String 作业名称。长度限制：1-57个字符。 desc 否 String 作业描述。长度限制：0-512个字符。 template_id 否 Integer 模板ID。 如果“template_id”和“sql_body”都不为空，优先选择“sql_body”的内容；如果“template_id”不为空，“sql_body”为空，选择“template_id”的内容填充“sql_body”。 queue_name 否 String 队列名称。长度限制：0-128个字符。 sql_body 否 String Stream SQL语句，至少包含source, query, sink三个部分。长度限制：1024*1024个字符。 run_mode 否 String 作业运行模式： shared_cluster：共享。 exclusive_cluster：独享。 edge_node：边缘节点。 默认值为“shared_cluster”。 cu_number 否 Integer 用户为作业选择的CU数。默认值为“2”。 CU数量为DLI的计算单元数量和管理单元数量总和，CU也是DLI的计费单位，1CU=1核4G。当前配置的CU数量为运行作业时所需的CU数，不能超过其绑定队列的CU数量。管理单元参数设置详见：manager_cu_number。 parallel_number 否 Integer 用户设置的作业并行数目。默认值为“1”。 并行数是指同时运行Flink SQL作业的最大任务数。适度增加并行数会提高作业整体算力，但也须考虑线程增多带来的切换开销。最大并行数不能大于计算单元（CU数量-管理单元）的4倍。 管理单元参数设置详见：manager_cu_number。 checkpoint_enabled 否 Boolean 是否开启作业自动快照功能。 开启：true 关闭：false 默认：false checkpoint_mode 否 Integer 快照模式,。两种可选： 1：表示exactly_once，数据只被消费一次。 2：表示at_least_once，数据至少被消费一次。 默认值为1。 checkpoint_interval 否 Integer 快照时间间隔。单位为秒，默认值为“10”。 obs_bucket 否 String 当“checkpoint_enabled”为“true”时，该参数是用户授权保存快照的OBS桶名。 当“log_enabled” 为“true”时，该参数是用户授权保存作业日志的OBS桶名。 log_enabled 否 Boolean 是否开启作业的日志上传到用户的OBS功能。默认为“false”。 smn_topic 否 String 当作业异常时，向该SMN主题推送告警信息。 restart_when_exception 否 Boolean 是否开启作业异常自动重启。默认为“false”。 idle_state_retention 否 Integer 空闲状态保留时间。单位为秒，默认值为“3600”。 job_type 否 String 作业类型：flink_sql_job、flink_opensource_sql_job。 默认值：“flink_opensource_sql_job”。 “run_mode”为“exclusive_cluster”时，作业类型须为“flink_sql_job”或“flink_opensource_sql_job”。 “run_mode””为“shared_cluster”时作业类型必须为”flink_sql_job“。 edge_group_ids 否 Array of Strings 边缘计算组ID列表, 多个ID以逗号分隔。 dirty_data_strategy 否 String 作业脏数据策略。 “2:obsDir”：保存，obsDir表示脏数据存储路径。 “1”：抛出异常。 “0”：忽略。 默认值为“0”。 udf_jar_url 否 String 用户已上传到DLI资源管理系统的资源包名，用户sql作业的udf jar包通过该参数传入。 manager_cu_number 否 Integer 用户为作业选择的管理单元（jobmanager）CU数量，默认值为“1”。 tm_cus 否 Integer 每个taskmanager的CU数，默认值为“1”。 tm_slot_num 否 Integer 每个taskmanager的slot数，默认值为“(parallel_number*tm_cus)/(cu_number-manager_cu_number)”。 resume_checkpoint 否 Boolean 异常重启是否从checkpoint恢复。 resume_max_num 否 Integer 异常重试最大次数，单位：次/小时。取值范围：-1或大于0。默认值为“-1”，表示无限次数。 tags 否 Array of Objects Flink SQL作业的标签。具体请参考表3。 runtime_config 否 String Flink作业运行时自定义优化参数。 flink_version 否 String Flink版本。当前只支持1.10和1.12。 表3 tags参数 参数名称 是否必选 参数类型 说明 key 是 String 标签的键。 说明： 标签的键的最大长度为128个字符，标签的键可以包含任意语种字母、数字、空格和_ . : =+-@ ,但首尾不能含有空格，不能以_sys_开头。 value 是 String 标签的值。 说明： 标签值的最大长度为255个字符，标签的值可以包含任意语种字母、数字、空格和_ . : =+-@ ,但首尾不能含有空格。

修订记录 表1 修订记录 发布日期 更新特性 2024-04-08 第三十五次发布。 新增 提交SQL作业（推荐），新增请求参数engine_type。 查询作业列表，新增graph_editor_enabled、duration等响应参数。 查询作业详情，新增graph_editor_enabled、duration等响应参数。 2024-03-11 第三十四次发布。 创建增强型跨源连接，修改tag中value取值说明。 2024-02-29 第三十三次发布。 生成Flink SQL作业的静态流图新增参数flink_version。 提交SQL作业（推荐），修改dli.sql.sqlasync.enabled默认值为true。 创建增强型跨源连接，新增参数elastic_resource_pools。 2024-01-17 第三十二次发布。 新增以下接口： 数据赋权（用户或项目） 2023-12-12 第三十一次发布。 新增以下接口： 创建路由 删除路由 2023-12-07 第三十次发布。 新增以下接口： 创建跨源认证 获取跨源认证列表 更新跨源认证 删除跨源认证 2023-11-27 第二十九次发布。 下线以下接口： 模板相关API（废弃） 增强型跨源连接相关API（废弃） 跨源认证相关API（废弃） 队列相关API（废弃） 权限相关API（废弃） 资源相关API（废弃） SQL作业相关API（废弃） Spark批处理相关API（废弃） 分组资源相关API（废弃） 委托相关API（废弃） 2023-11-22 第二十八次发布。 队列相关API（推荐），修改 API Explorer 链接。 SQL作业相关API，修改API Explorer链接。 Flink作业相关API，修改API Explorer链接。 Spark作业相关API，修改API Explorer链接。 Flink作业模板相关API，修改API Explorer链接。 增强型跨源连接相关API，修改API Explorer链接。 全局变量相关API，修改API Explorer链接。 弹性资源池相关API，修改API Explorer链接。 SQL模板相关API，修改API Explorer链接。 2023-11-17 第二十七次发布。 查询批处理作业列表，新增字段result_format、result_path。 2023-11-07 第二十六次发布。 查询批处理作业列表，修改job_id为job-id。 2023-09-07 第二十五次发布。 查询所有作业新增字段cpu_cost和output_byte。 创建弹性资源池，charging_mode修改为可选参数。 查询批处理作业列表、查询批处理作业详情新增参数req_body。 2023-09-05 第二十四次发布。 DLI不再支持边缘作业场景的API调用。IEF相关API（废弃）已移动至历史API章节。 2023-03-15 第二十三次发布。 新增查询增强型跨源连接列表和查询增强型跨源连接章节的响应参数elastic_resource_pools。 2023-2-22 第三十二次正式发布。 文档结构调整，新增分组资源相关API（废弃）。 2022-11-26 第三十一次正式发布。 新增： 弹性资源池扩缩容历史记录 跨源认证相关API（废弃） 创建路由（废弃） 删除路由（废弃） SQL模板相关API 2022-11-15 第三十次正式发布。 查看表的用户权限（废弃），修改privileges参数说明。 2022-8-16 第二十九次正式发布。 新建SQL作业，补充参数flink_version。 更新SQL作业，补充参数flink_version。 2022-8-11 第二十八次正式发布。 创建队列定时扩缩容计划（废弃），修改repeat_day参数为必选。 IEF系统事件上报（废弃），修改请求示例。 创建队列请求参数，新增elastic_resource_pool_name。 2021-1-11 第二十七次正式发布。 废弃“查询作业结果”API，修改为“预览作业结果”。 新增创建数据下载作业接口。 新增生成Flink SQL作业的静态流图接口。 2020-12-2 第二十六次正式发布。 下线Spark作业中，会话和语句相关API。 2020-8-4 第二十五次正式发布。 新增委托相关API。 Flink作业相关API增加以下子章节 9.17 创建IEF消息通道 9.18 边缘Flink作业状态上报 9.19 边缘Flink作业Action回调 9.20 IEF系统事件上报 2020-7-20 第二十四次正式发布。 队列相关API（推荐）增加以下子章节 5.9 创建队列定时扩缩容计划 5.10 查看队列定时扩缩容计划 5.11 批量删除队列定时扩缩容计划 5.12 单个删除队列定时扩缩容计划 5.13 修改队列定时扩缩容计划 2020-5-30 第二十三次正式发布。 队列相关API（推荐）增加以下子章节 5.7 创建指定地址连通性测试请求 5.8 查询指定地址连通性测试详情 2020-5-19 第二十二次正式发布。 修改以下章节 2-API概览 2020-5-12 第二十一次正式发布。 增加以下章节及其子章节 13-全局变量相关API 调整目录。 将“流作业相关API”修改为“Flink作业相关API”。 将“流作业模板相关API”修改为“Flink作业模板相关API”。 2020-2-21 第二十次正式发布。 增加以下章节及其子章节 4.5-重启/扩容/缩容队列 4.6-查询队列详情 5.2.8-获取分区信息列表 9-流作业相关API 10-流作业模板相关API 2020-1-22 第十九次正式发布。 增加以下章节 11-权限策略和授权项 2019-8-16 第十八次正式发布。 增加以下章节及其子章节 4.4-增强型跨源连接相关API 2019-5-15 第十七次正式发布。 删除以下章节及其子章节 5.8-提交基因作业相关API 2018-12-13 第十六次正式发布。 增加以下章节及其子章节 5.9-跨源连接相关API 5.8.11-提交cnvkit作业 5.8.12-查询cnvkit作业 2018-8-28 第十五次正式发布。 增加以下章节及其子章节 5.8-提交基因作业相关API 2018-7-26 第十四次正式发布。 增加以下章节及其子章节 5.10.1-对接CloudTable HBase 2018-5-31 第十三次正式发布。 增加以下章节及其子章节 5.7-提交Spark作业相关API 2018-4-25 第十二次正式发布。 增加以下章节 5.2.13-检查SQL语法 5.4.4-预览表内容 2018-4-19 第十一次正式发布。 服务更名 2018-2-6 第十次正式发布。 增加以下章节及其子章节 5.1.2-创建队列 5.1.3-删除队列 6.3-错误码 修改“5-API说明”各章节参数及示例，补充出错说明 2018-01-22 第九次正式发布。 根据模板修改手册大纲 增加以下章节： 1-使用前必读 调整“5-API说明”中所有子章节的section 修改“公共消息头”为“公共参数” 增加以下内容： 5.2.1-提交SQL作业（推荐） 5.2.7-查看作业结果（推荐） 5.2.11-取消作业（推荐） 5.4.1-查看所有表（推荐） 2017-12-28 第八次正式发布。 修改以下内容： 2-接口简介 4.1-服务使用方法 5-API说明章节下的所有子章节 2017-11-30 第七次正式发布。 修改以下内容： 5.2.3-导入数据 5.2.4-导出数据 5.2.6-查询作业详细信息 5.2.9-导出查询结果 5.5.1-队列赋权 5.5.3-数据赋权 5.5.5-查看表的使用者 2017-11-22 第六次正式发布。 修改以下内容： 3.1-获取请求认证章节下的所有子章节 3.2-获取项目编号 6.1-公共请求参数 5.2.3-导入数据 5.2.4-导出数据 5.2.5-查询作业状态 5.2.6-查询作业详细信息 5.2.10-查询所有作业 5.3.2-查看所有数据库 5.4.2-查看所有表（废弃） 5.4.5-创建表 5.5-权限相关API章节下的所有子章节 2017-11-03 第五次正式发布。 修改以下内容： 4-API 2017-10-28 第四次正式发布。 2017-09-30 第三次正式发布。 2017-09-12 第二次正式发布。 修改以下内容： 全文user_id改为user_name 文档中所有queue_id的地方改为queue_name 删除以下内容： 4.2.1-新增队列 4.2.3-删除队列 2017-08-25 第一次正式发布。

请求示例 赋予某项目（项目ID：0732e57c728025922f04c01273686950）数据库db1的查询权限、数据表db1.tbl的删除权限、数据表指定列db1.tbl.column1的查询权限。 { "grant_project_Id": "0732e57c728025922f04c01273686950", "action": "grant", "privileges": [ { "object": "databases.db1.tables.tb2.columns.column1", "privileges": ["SELECT"] }, { "object": "databases.db1.tables.tbl", "privileges": ["DROP_TABLE"] }, { "object": "databases.db1", "privileges": ["SELECT"] } ] } 赋予某用户dlitest的数据库dbtest的查询数据权限。 { "action": "grant", "privileges": [ { "object": "databases.dbtest", "privileges": [ "SELECT" ] } ], "user_name": "dlitest" }