华为云用户手册

产品使用约束 使用前应规划好云上VPC和本地IDC的网段，需保证云上VPC网段和本地IDC网段不会重叠。 VPC内云服务地址网段100.64.0.0/10、127.0.0.0/8、169.254.0.0/16、224.0.0.0/3 为VPC保留网段，请勿使用以上网段作为云专线的远端子网。 为您提供端口规格是1G和10G并且传输距离为10公里的光模块，超过10公里的光模块或者购买端口规格是40G和100G端口均需自行购买光模块。 如果您需要从专线访问ELB，请您使用ELB源IP负载均衡算法代替ELB会话保持功能。 云专线默认不支持对接企业交换机（ESW），如果您需要从专线访问ESW，请您提交工单开通ESW对接功能。 云专线只支持回应Ping探测的普通ICMP报文（type=8、code=0的echo报文且不携带ip option），不支持回应其余类型的ICMP报文。 云专线对物理连接端口接收到的本端网关IP的Ping探测限速为30次/秒。

施工规则 施工方进入机房施工时，请遵守机房运营商和工程师向您展示的施工规定，如果施工方不遵守机房规定，将无法完成施工。 机房不支持托管任何光电转换设备，施工方携带的任何光电设备无法安装到机房。 政策封网或华为云管理封网都将影响专线延时施工，如果遇到华为云封网，请向您的专线经理咨询。 接入点机房是电信运营商或第三方租赁的机房，如果存在专线入楼费和楼内线缆费，需接入方向机房运营商支付。 接入点机房是电信运营商或第三方数据中心运营，进入机房施工需提供机房专线接入授权书，请在施工前完成授权书申请。

高速上云 本地数据中心可以通过VPN或者云专线连通VPC，利用建立的终端节点通过内网访问终端节点服务（用户私有服务、云服务）。 图1 高速上云场景示意图 如图1所示，本地数据中心通过VPN或者云专线与VPC 1连通，实现： 利用终端节点1，通过内网访问云服务（如OBS、DNS等）。 利用终端节点2，访问VPC 1的云资源（如E CS 1）。 利用终端节点3，跨VPC访问VPC 2的云资源（如ECS 2）。 这种场景具有以下优势： 简单快速 本地数据中心直连终端节点服务，无需经过公网，访问时延小，效率高。 成本低廉 本地数据中心访问云上资源不占用用户的公网资源，降低使用成本。 具体示例请参考配置访问OBS服务内网地址的终端节点。

跨VPC连接 在同一区域中，由于VPC之间逻辑隔离，不同VPC内的云资源不能直接通信。利用在不同VPC间建立的终端节点到终端节点服务的连接通道，可以实现跨VPC的资源通信。 VPC终端节点 的跨VPC通信与VPC的对等连接在安全性、通信方向、路由配置等方面存在差异。 详细内容，请参考VPC终端节点和对等连接有什么区别？。 图2 跨VPC连接场景示意图 如图2所示，利用终端节点与终端节点服务建立的跨VPC连接通道，实现VPC 1中的云资源（如ECS）通过内网访问VPC 2中的云资源（如ELB）。 这种场景具有以下优势： 性能高效 每个网关节点可支持百万级会话。 简化操作 资源秒级创建，快速生效，操作简单。 具体示例请参考： 配置跨VPC通信的终端节点（同一账号） 配置跨VPC通信的终端节点（不同账号）

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的 云安全 挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 类云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、 虚拟主机 和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

VPCEP权限 默认情况下，账号管理员创建的 IAM 用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 VPCEP部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如华北-北京1）对应的项目（cn-north-1）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问VPCEP时，需要先切换至授权区域。 如表1所示，包括了VPCEP的所有系统角色。 表1 VPCEP系统角色 系统角色 描述 类别 依赖关系 VPCEndpoint Administrator VPC终端节点的所有执行权限。 系统角色 该角色有依赖，需要在同项目中勾选依赖的角色：Server Administrator、VPC Administrator和DNS Administrator。 表2列出了VPCEP服务常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表2 常用操作与系统权限的关系 操作 VPCEndpoint Administrator 创建终端节点 √ 删除终端节点 √ 查询终端节点 √ 修改终端节点 √ 创建终端节点服务 √ 删除终端节点服务 √ 查询终端节点服务 √ 修改终端节点服务 √

项目和企业项目的区别 IAM项目 IAM项目是针对同一个区域内的资源进行分组和隔离，是物理隔离。在IAM项目中的资源不能转移，只能删除后重建。 企业项目 企业项目是IAM项目的升级版，是针对企业不同项目间资源的分组和管理。企业项目中可以包含多个区域的资源，且项目中的资源可以迁入迁出。如果您开通了企业管理，将不能创建新的IAM项目（只能管理已有项目）。未来IAM项目将逐渐被企业项目所替代，推荐使用更为灵活的企业项目。 项目和企业项目都可以授权给一个或者多个用户组进行管理，管理企业项目的用户归属于用户组。通过给用户组授予策略，用户组中的用户就能在所属项目/企业项目中获得策略中定义的权限。 关于如何创建项目、企业项目，以及如何授权，请参阅《企业项目管理用户指南》。

与其他服务的关系 VPC终端节点与周边服务的依赖关系如图1所示。 图1 VPC终端节点与其他服务的关系示意图 VPC终端节点与其他服务的关系如表1所示。 表1 与其他服务的关系 交互功能 相关服务 相关内容 用户可以将自己VPC中的服务资源配置为终端节点服务。 虚拟私有云 配置跨VPC通信的终端节点（同一账号） 配置跨VPC通信的终端节点（不同账号） 本地数据中心可以通过VPN，利用建立的终端节点以内网访问云服务。 虚拟专用网络 配置访问OBS服务内网地址的终端节点 本地数据中心可以通过云专线，利用建立的终端节点以内网访问云服务。 云专线 配置访问OBS服务内网地址的终端节点 当企业存在多用户访问VPC终端节点服务时，可以使用IAM新建用户，以及控制这些用户账号对企业名下资源具有的操作权限。 统一身份认证 服务 权限管理 由系统配置为“网关”型终端节点服务，可以购买终端节点访问该终端节点服务。 对象存储服务 购买终端节点 由系统配置为“接口”型终端节点服务，可以购买终端节点访问该终端节点服务。 云解析服务 购买终端节点 API网关 私有依赖库 管理控制台 容器镜像服务 智能边缘平台 镜像源 数据接入服务 支持将用户私有服务创建为终端节点服务，可以购买终端节点访问该终端节点服务。 弹性负载均衡 创建终端节点服务 支持将用户私有服务创建为终端节点服务，可以购买终端节点访问该终端节点服务。 云服务器 创建终端节点服务 支持将用户私有服务创建为终端节点服务，可以购买终端节点访问该终端节点服务。 裸金属服务器 创建终端节点服务

“网关”型终端节点服务 “网关”型是由系统配置的云服务类别的终端节点服务，用户无需创建，可以直接使用，如表1所示。 系统在不同区域支持的云服务不同，具体以管理控制台可配置的“服务列表”为准。 仅“拉美-墨西哥城一”、“拉美-圣保罗一”和“拉美-圣地亚哥”区域支持通过控制台直接选择“网关”类型的OBS终端节点服务。 其他区域的“网关”类型的OBS终端节点服务目前需要按照名称查找并关联终端节点，终端节点服务名称请提交工单或联系OBS服务运维人员获取。 表1 “网关”型终端节点服务 服务名称 服务类别 终端节点服务类型 终端节点服务示例 说明 对象存储服务 云服务 网关 以“拉美-墨西哥城一”为例： com.myhuaweicloud.na-mexico-1.obs obs：实现通过终端节点访问OBS内网地址。 请参见配置访问OBS服务内网地址的终端节点

“接口”型终端节点服务 “接口”型终端节点服务包括： 由系统配置的云服务类别的终端节点服务，用户无需创建，可以直接使用。 由用户私有服务创建的终端节点服务。 系统在不同区域支持的云服务不同，具体以管理控制台可配置的“服务列表”为准。 表2 “接口”型终端节点服务 服务名称 服务类别 终端节点服务类型 终端节点服务示例 说明 云解析服务 云服务 接口 以“华北-北京四”为例： com.myhuaweicloud.cn-north-4.dns dns：实现通过终端节点访问内网DNS。 API网关 云服务 接口 以“华北-北京四”为例： com.myhuaweicloud.cn-north-4.api api：实现通过终端节点访问API网关。 私有依赖库 云服务 接口 以“华南- 广州”为例： com.myhuaweicloud.cn-south-1.cloudartifact cloudartifact：实现通过终端节点访问CloudArtifact。 容器 镜像服务 云服务 接口 以“华北-北京四”为例： com.myhuaweicloud.cn-north-4.swr swr：实现通过终端节点访问SWR。 请参见通过VPC终端节点访问SWR 智能边缘平台 云服务 接口 以“华北-北京四”为例： com.myhuaweicloud.cn-north-4.ief-placement com.myhuaweicloud.cn-north-4.ief-edgeaccess com.myhuaweicloud.cn-north-4.ief-telemetry ief：实现通过终端节点访问IEF，IEF包括以下三种终端节点服务类型： ief-placement：用于边缘节点的纳管和升级。 ief-edgeaccess：用于边缘节点与IEF发送边 云消息 。 ief-telemetry：边缘节点上传监控和日志数据。 请参见通过专线或VPN连接IEF 镜像源 云服务 接口 以“华北-北京四”为例： repo2.myhuaweicloud.com repo：实现通过终端节点访问镜像源。 数据接入服务 云服务 接口 以“华北-北京四”为例： com.myhuaweicloud.cn-north-4.dis dis：实现通过终端节点访问DIS。 弹性负载均衡 用户私有服务 接口 无 弹性负载均衡：适用于高访问量业务和对可靠性和容灾性要求较高的业务。 云服务器 用户私有服务 接口 无 ECS：作为服务器使用。 裸金属服务器 用户私有服务 接口 无 BMS：作为服务器使用。

第三方客户端绑定 支持常见第三方客户端绑定。用户如需使用第三方邮件客户端（如Outlook、Foxmail等其他邮件App）绑定华为云 企业邮箱 账号，需生成客户端专有密码后绑定。 成员登录邮箱后，在“设置-客户端设置”中生成第三方客户端登录的专有密码，凭此专有密码和邮箱地址在第三方邮件客户端绑定华为邮箱。 具体步骤可参考： 1. 第三方客户端绑定—专用密码生成 2. Outlook 2019 客户端绑定华为云企业邮箱 3. Foxmail 7.2 客户端绑定华为云企业邮箱 4. Foxmail 7.0 客户端绑定华为云企业邮箱 5. 网易邮箱大师客户端绑定华为云企业邮箱 6. Windows 10 自带邮件绑定华为云企业邮箱 7. Mac自带邮件客户端绑定华为云企业邮箱 8. 移动端IOS 自带邮件应用绑定华为云企业邮箱 9. 移动端IOS Outlook App绑定华为云企业邮箱 10. 移动端Android 自带邮件应用绑定华为云企业邮箱 11. Welink(蓝版) App绑定华为云企业邮箱 12. 企业微信App绑定华为云企业邮箱 13. 钉钉App绑定华为云企业邮箱 14. window7系统绑定第三方客户端，使用SSL加密端口报错解决方案

采用三层架构 数据采集接入层 ICAgent采集数据 给主机安装ICAgent（插件式的数据采集器）并通过ICAgent上报相关的运维数据。 API接入数据 通过 AOM 提供的OpenAPI接口或者Exporter接口，将业务指标作为自定义指标，接入到AOM。 传输存储层 数据传输：AOM Access是用来接收运维数据的代理服务，运维数据接收上来之后，会将数据投放到Kafka队列中，利用Kafka高吞吐的能力，实时将数据传输给业务计算层。 数据存储：运维数据经过AOM后端服务的处理，将数据写入到数据库中，其中Cassandra用来存储数据，Redis用来查询缓存，ETCD用来存储AOM的配置数据，ElasticSearch用来存储资源、日志、告警和事件。 业务计算层 AOM提供告警、日志、监控、指标等基础运维服务，同时也提供异常检测与分析等AI服务。

操作系统使用限制 AOM支持多个操作系统，在购买主机时您需选择AOM支持的操作系统，详见表1，否则无法使用AOM对主机进行监控。 表1 AOM支持的操作系统及版本 操作系统 版本 SUSE SUSE Enterprise 11 SP4 64bit SUSE Enterprise 12 SP1 64bit SUSE Enterprise 12 SP2 64bit SUSE Enterprise 12 SP3 64bit OpenSUSE 13.2 64bit 42.2 64bit 15.0 64bit（该版本暂不支持syslog日志采集） EulerOS 2.2 64bit 2.3 64bit 2.5 64bit 2.9 64bit 2.10 64bit CentOS 6.3 64bit 6.5 64bit 6.8 64bit 6.9 64bit 6.10 64bit 7.1 64bit 7.2 64bit 7.3 64bit 7.4 64bit 7.5 64bit 7.6 64bit Ubuntu 14.04 server 64bit 16.04 server 64bit 18.04 server 64bit Fedora 24 64bit 25 64bit 29 64bit Debian 7.5.0 32bit 7.5.0 64bit 8.2.0 64bit 8.8.0 64bit 9.0.0 64bit Kylin Kylin V10 SP1 64bit 对于Linux x86_64服务器，AOM支持上表中所有的操作系统及版本。 对于Linux ARM服务器，CentOS操作系统仅支持7.4 及其以上版本，上表所列的其他操作系统对应版本均支持。

指标 指标是对资源性能的数据描述或状态描述，指标由命名空间、维度、指标名称和单位组成。 其中，命名空间特指指标的命名空间，可将其理解为存放指标的容器，不同命名空间中的指标彼此独立，因此来自不同应用程序的指标不会被错误地聚合到相同的统计信息中。维度是指标的分类，每个指标都包含用于描述该指标的特定特征，可以将维度理解为这些特征的类别。图1以集群指标为例，介绍了命名空间、维度和指标的关系。 图1 集群指标 AOM的基础版和按需版所对应的指标存储时长及计费方式不同，详见收费详情。

告警 告警是指AOM自身或ServiceStage、CCE、 APM 等外部服务在异常情况或在可能导致异常情况下上报的信息，告警会引起业务异常，您需要对告警进行处理。 告警清除方式包括自动清除和手动清除两种。 自动清除：产生告警的故障消除后，AOM会自动清除告警，您不需要做任何操作，例如：阈值告警。 手动清除：产生告警的故障消除后，AOM不会自动清除告警，您需要手动清除告警，例如：ICAgent安装失败告警。

拓扑 拓扑是对服务间调用关系和依赖关系的可视化展示（拓扑图）。拓扑图主要是由圆圈、箭头连线和资源组成。每个圆圈代表一个服务，圆圈上每个分区代表一个实例。每个圆圈中的分数表示活跃的实例/总实例数。分数下的内容分别表示在当前所选的时间内服务被调用次数、响应时延、错误数。每个箭头连线代表一个调用关系。调用次数越多，连线越粗。连线上的数据表示吞吐量和整体时延。吞吐量即所选时间的调用次数。拓扑使用Apdex对应用性能满意度进行量化，并使用不同颜色对不同区间Apdex的值进行标识，方便您快速发现问题，并进行定位。 图2 拓扑图

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 类云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

裸金属服务器 裸金属服务器（Bare Metal Server，简称BMS）为您和您的企业提供专属的云上物理服务器，为核心数据库、关键应用系统、高性能计算、大数据等业务提供卓越的计算性能以及数据安全，结合云中资源的弹性优势，租户可灵活申请，按需使用。 您购买了裸金属服务器（裸金属服务器操作系统需满足表1中的使用限制，且购买后需要给裸金属服务器安装ICAgent，否则无法使用AOM监控）后，在AOM界面可对裸金属服务器的基础资源和运行在其上的应用进行监控，同时在AOM界面还可查看相关的日志和告警。

应用管理与运维平台 应用管理与运维平台（ServiceStage）是面向企业的一站式PaaS平台服务，提供应用云上托管解决方案，帮助企业简化部署、监控、运维和治理等应用生命周期管理问题；提供微服务框架，兼容主流开源生态，不绑定特定开发框架和平台，帮助企业快速构建基于微服务架构的分布式应用。 通过AOM界面您可监控ServiceStage的基础资源和运行在其上的应用，同时在AOM界面还可查看相关的日志和告警。

应用编排服务 资源编排 服务（Resource Formation Service，简称 RFS ）通过图形化设计器，直观便捷的进行云服务资源开通和应用部署，将复杂的云服务资源配置和应用部署配置通过模板描述，从而实现一键式云资源与应用的开通与复制；同时在示例模板中提供了海量的免费应用模板，覆盖各热点云服务应用场景，方便您直接使用或为您设计个性化模板提供参考。 通过AOM界面您可监控RFS的基础资源和运行在其上的应用，同时在AOM界面还可查看相关的日志和告警。

消息通知 服务 消息通知服务（Simple Message Notification，简称 SMN ）可以依据您的需求主动推送通知消息，最终您可以通过短信、电子邮件、应用等方式接收通知信息。您也可以在应用之间通过消息通知服务实现应用的功能集成，降低系统的复杂性。 AOM使用SMN提供的消息发送机制，当您因不在现场而无法通过AOM查询阈值规则状态的变更信息时，能及时将该变更信息以邮件或短信的方式发送给相关人员，以便您及时获取资源运行状态等信息并采取相应措施，避免因资源问题造成业务损失。

云容器引擎服务 云容器引擎服务（Cloud Container Engine，简称CCE）是提供高性能可扩展的容器服务，基于云服务器快速构建高可靠的容器集群，深度整合网络和存储能力，兼容Kubernetes及Docker容器生态。帮助您轻松创建和管理多样化的容器工作负载，并提供容器故障自愈，监控日志采集，自动弹性扩容等高效运维能力。 通过AOM界面您可监控CCE的基础资源和运行在其上的应用，同时在AOM界面还可查看相关的日志和告警。

智能边缘平台 智能边缘平台（Intelligent EdgeFabric，简称IEF）通过纳管您的边缘节点，提供将云上应用延伸到边缘的能力，联动边缘和云端的数据，满足客户对边缘计算资源的远程管控、数据处理、分析决策、智能化的诉求，同时，在云端提供统一的设备/应用监控、日志采集等运维能力，为企业提供完整的边缘和云协同的一体化服务的边缘计算解决方案。 AOM提供对IEF资源的运维能力，无需额外安装其他插件，通过AOM您可监控IEF的资源（例如：边缘节点、应用、函数），同时在AOM还可以查看IEF资源的日志和告警。

弹性云服务器 弹性云服务器（Elastic Cloud Server，简称ECS）是由CPU、内存、镜像、云硬盘组成的一种可随时获取、弹性可扩展的计算服务器，同时它结合虚拟私有云、虚拟防火墙、数据多副本保存等能力，为您打造一个高效、可靠、安全的计算环境，确保您的服务持久稳定运行。弹性云服务器创建成功后，您就可以像使用自己的本地PC或物理服务器一样，在云上使用弹性云服务器。 您购买了弹性云服务器（弹性云服务器操作系统需满足表1中的使用限制，且购买后需要给弹性云服务器安装ICAgent，否则无法使用AOM监控）后，在AOM界面可对弹性云服务器的基础资源和运行在其上的应用进行监控，同时在AOM界面还可查看相关的日志和告警。

场景描述 在配置作业调度时，可以选择每个月的最后一天执行。如果您需要配置作业的调度时间为每月最后一天，请参考下面两种方法。 表1 配置每月最后一天进行调度 配置方法 优势 如何配置 调度周期配置为天，通过条件表达式进行判断是否为每月最后一天 可以灵活适用多种场景。只需要编写条件表达式就可以灵活调度作业去运行。例如，每月最后一天，每月七号等。 方法1 调度周期配置为月，勾选每月最后一天 通过配置调度周期来执行任务调度。不用编写开发语句，通过勾选需要调度的时间去执行任务。 方法2

创建用户组并授予系统角色DAYU User 使用华为账号登录统一身份认证服务IAM控制台。 在IAM服务控制台中，单击“用户组”，在用户组页面单击右上方的“创建用户组”。 图3 创建用户组 在“创建用户组”界面，输入“用户组名称”DQC。 图4 用户组名称 单击“确定”，用户组创建完成，用户组列表中显示新创建的用户组。 您最多可以创建20个用户组，如果当前资源配额无法满足业务需要，您可以申请扩大配额，具体方法请参见：如何申请扩大配额？ 在用户组列表中，单击新建用户组右侧的“授权”。 图5 进入用户组权限设置页面 在搜索框中输入DAYU User，勾选该系统角色，单击“下一步”。 图6 角色授权 请勿勾选“DAYU Administrator”权限，“DAYU Administrator”权限具有 DataArts Studio 服务的所有执行权限，不受工作空间权限管控。 授权范围方案选择需要授予的区域项目，单击“确定”，完成授权。 DataArts Studio部署时通过物理区域划分，为项目级服务。授权时，“授权范围方案”如果选择“所有资源”，则该权限在所有区域项目中都生效；如果选择“指定区域项目资源”，则该权限仅对此项目生效。IAM用户授权完成后，访问DataArts Studio时，需要先切换至授权区域。 图7 设置最小授权范围

操作流程 创建用户组并授予系统角色DAYU User：创建数据运营工程师IAM账号所在的用户组，并授予DAYU User权限。 去除用户组依赖服务权限并配置最小权限合集：为用户组去除默认的依赖服务管理员权限，然后配置最小权限。 创建IAM用户并加入用户组：为数据运营工程师创建IAM账号，并加入到用户组中。 自定义工作空间角色：在角色管理页面，新建自定义角色，仅授权某一组件权限，本案例中以数据质量为例。 添加工作空间成员并配置角色：将新创建的IAM用户加入到工作空间并配置为新建的自定义角色。 用户登录并验证权限：使用新创建的用户登录控制台，验证权限配置是否符合预期。 图2 最小化授权操作流程

添加工作空间成员并配置角色 使用华为账号登录DataArts Studio管理控制台的首页，单击“空间管理”。 图19 空间管理 选择需要加入的工作空间，单击“编辑”。 图20 编辑工作空间 在空间信息界面，单击“添加”。 图21 添加成员 将新建的IAM用户加入工作空间，单击“确定”。 用户类型：选择“按用户添加”。 成员账号：选择创建IAM用户并加入用户组章节中新建的IAM用户。 设置角色：选择自定义工作空间角色章节中新建的自定义角色。 图22 添加成员 加入到工作空间后，该用户即可拥有DataArts Studio数据质量组件的操作权限，其余组件仅有查看权限但无法编辑。

实践场景及目标 某数据运营工程师专职负责数据质量监控相关工作，仅需要服务数据质量组件的操作权限。 图1 权限体系 服务的权限体系如图1所示。如果项目管理员直接赋予该数据运营工程师IAM账号“DAYU User系统角色+工作空间开发者角色”权限，则会出现如下非必需权限过大的风险： 依赖服务权限过大：服务作为平台型服务，DAYU User系统角色预置了依赖服务（如 MRS 、DWS等相关服务）的管理员权限。当为数据运营工程师IAM账号授予DAYU User系统角色后，会导致其拥有依赖服务的管理员权限。 服务其他组件操作权限不受控制：工作空间开发者角色默认具备该工作空间内所有组件的操作权限。当为数据运营工程师IAM账号授权工作空间开发者角色后，会导致其拥有数据质量组件之外的其他组件操作权限。 为了解决此问题，项目管理员可以按照如下解决方案进行权限最小化配置，这样既能满足实际业务使用，也避免了权限过大的风险。 为数据运营工程师IAM账号授予DAYU User系统角色权限，然后删除IAM账号中的依赖服务权限，再赋予依赖服务的最小权限合集。 在服务内，创建一个仅保留数据质量组件操作权限的自定义角色“Developer_DQC”，然后将数据运营工程师IAM账号添加为工作空间成员并赋予此角色。

创建IAM用户并加入用户组 在IAM服务控制台中，左侧导航窗格中，选择“用户”，单击右上方的“创建用户”。 图13 创建用户 在“创建用户”页面按照下图配置“用户信息”，完成配置后单击页面右下角的“下一步”。 用户信息：用户名填写为DataArts Studio-DQC。 访问方式：选择“管理控制台访问”和“编程访问”。 仅当创建IAM用户时的访问方式勾选“编程访问”后，此IAM用户才能通过认证鉴权，从而使用API、SDK等方式访问DataArts Studio。 凭证类型：勾选访问密钥和密码，推荐为用户自定义初始密码。 登录保护：根据需求选择，一般无需开启。 图14 配置用户信息 选择将用户加入到DQC用户组，单击页面右下角的创建用户。 图15 创建用户按钮 创建完成可返回用户列表查看。 图16 创建成功