华为云用户手册

支持的源和目标数据库 表1 支持的数据库 源数据库 目标数据库 RDS for MySQL（5.5、5.6、5.7、8.0版本） TaurusDB标准版（5.7、8.0版本） 本地自建数据库（MySQL 5.5、5.6、5.7、8.0版本） E CS 自建数据库（MySQL 5.5、5.6、5.7、8.0版本） 其他云上数据库（MySQL 5.5、5.6、5.7、8.0版本） RDS for MySQL（5.5、5.6、5.7、8.0版本） 说明： 仅支持目标库版本等于或高于源库版本。

数据库账号权限要求 在使用DRS进行迁移时，连接源库和目标库的数据库账号需要满足以下权限要求，才能启动实时迁移任务。不同类型的迁移任务，需要的账号权限也不同，详细可参考表2进行赋权。DRS会在“预检查”阶段对数据库账号权限进行自动检查，并给出处理建议。 表2 数据库账号权限 类型名称 全量迁移 全量+增量迁移 源数据库连接账号 需要具备如下最小权限： SELECT、SHOW VIEW、EVENT。 用户迁移时，如果源数据库为8.0版本，需要有mysql.user表的SELECT权限；如果为5.7及以下版本，则需要mysql系统库的SELECT权限，源数据库为阿里云数据库，则账户需要同时具有mysql.user和mysql.user_view的SELECT权限。 需要具备如下最小权限： SELECT、SHOW VIEW、EVENT、LOCK TABLES、REPLICATION SLAVE、REPLICATION CLIENT。 用户迁移时，如果源数据库为8.0版本，需要有mysql.user表的SELECT权限；如果为5.7及以下版本，则需要mysql系统库的SELECT权限，源数据库为阿里云数据库，则账户需要同时具有mysql.user和mysql.user_view的SELECT权限。当源数据库为8.0.2及以上版本时，还需要授予XA_RECOVER_ADMIN权限，以防启动时未提交的XA事务导致数据有损。 目标数据库连接账号 需要具备如下最小权限： SELECT、CREATE、ALTER、DROP、DELETE、INSERT、UPDATE、INDEX、EVENT、CREATE VIEW、CREATE ROUTINE、TRIGGER、REFEREN CES 、WITH GRANT OPTION。当目标库为8.0.14-8.0.18版本时，还需要有SESSION_VARIABLES_ADMIN权限。 用户迁移时，需要有mysql库的SELECT、INSERT、UPDATE、DELETE权限。 建议创建单独用于DRS任务连接的数据库账号，避免因为数据库账号密码修改，导致的任务连接失败。 连接源和目标数据库的账号密码修改后，请参考修改连接信息章节修改DRS任务的连接信息，避免任务连接失败后自动重试，导致数据库账号被锁定影响使用。 表2中为DRS任务所需的最小权限，如果需要DRS任务迁移grant授权的情况下，请确保DRS任务的连接账号本身具备对应权限，否则可能因为grant授权执行失败导致目标库对应用户缺少授权。例如DRS任务的连接账号本身不要求process权限，如果需要通过DRS任务迁移process授权则需要保证DRS任务的连接账号具备该权限。 表2中为DRS任务所需的最小权限，如果配置DRS任务同步源库业务产生的DDL，目标库需要授予DRS任务连接账号对应DDL的执行权限，否则可能出现DDL回放失败的情况。

发布私有组件到RPM私有依赖库 登录制品仓库，进入RPM私有依赖库。单击页面右侧“操作指导”。 在弹框中单击“下载配置文件”。 在Linux主机中执行以下命令，上传RPM组件。 curl -u {{user}}:{{password}} -X PUT https://{{repoUrl}}/{{component}}/{{version}}/ -T {{localFile}} 其中，“user”、“password”、“repoUrl”来源于上一步下载的配置文件中“rpm上传命令”部分。 user：位于curl -u与-X之间、“:”之前的字符串。 password：位于curl -u与-X之间、“:”之后的字符串。 repoUrl：“https://”与“/{{component}}”之间的字符串。 “component”、“version”、“localFile”来源于待上传的RPM组件。以组件“hello-0.17.2-54.x86_64.rpm”为例。 component：软件名称，即“hello”。 version：软件版本，即“0.17.2”。 localFile：RPM组件，即“hello-0.17.2-54.x86_64.rpm”。 完整的命令行如下图所示： 命令执行成功，进入私有依赖库，可找到已上传的RPM私有组件。

从RPM私有依赖库获取依赖包 以发布私有组件到RPM私有依赖库中发布的RPM私有组件为例，介绍如何从Rpm私有依赖库中获取依赖包。 参考发布私有组件到RPM私有依赖库，下载Rpm私有依赖库配置文件。 打开配置文件，将文件中所有“{{component}}”替换为上传Rpm文件时使用的“{{component}}”值（本文档中该值为“hello”），并删除“rpm上传命令”部分，保存文件。 将修改后的配置文件保存到Linux主机的“/etc/yum.repos.d/”目录中。 执行以下命令，下载Rpm组件。其中，hello为组件的“component”值，请根据实际情况修改。 yum install hello

华为云配置示例 以华为云为例说明简单登录的配置方法。 访问华为云，打开F12，定位账号输入框，取唯一属性 type。 图3 定位账号输入框 定位密码输入框，取唯一属性 type。 图4 定位密码输入框 定位“登录”按钮，取唯一属性id。 图5 定位登录按钮 配置简单登录的参数。 CSS 选择器可参考https://www.w3school.com.cn/cssref/css_selectors.asp。 表1 基本配置 参数 说明 应用地址 应用的访问地址，建议设置为应用首页。 登录页面地址 应用的登录页面地址。选择简单登录、三字段登录、两页面登录时，需配置该参数。 Frame地址 应用的Frame地址。选择带Frame元素登录时，需配置该参数。 用户名输入框 用户名输入框的CSS选择器。 下一步按钮 下一步按钮的CSS选择器。选择两页面登录时，需配置该参数。 密码输入框 密码输入框的CSS选择器。 额外输入框 额外输入框的的CSS选择器。选择三字段登录时，需配置该参数。 额外字段映射 额外字段的映射属性，可选择账号名、名字、密码。选择三字段登录时，需配置该参数。 登录按钮 登录按钮的CSS选择器。 自动提交 表单（用户名、密码等）是否需自动提交。如选择否，只会填充用户名和密码，不会自动提交。 说明： 涉及人机交互的验证码页面，如手机验证码，不建议勾选自动提交。 表2 账号配置 参数 说明 账号创建人 登录应用的账号归属，可选择管理员、用户。 说明： 当账号创建人为管理员时，需配置“允许用户设置的字段”。如选择密码，只允许用户设置登录应用的密码。

OneAccess 用户登录验证 使用授权用户中已授权用户访问用户门户，成功登录以后，按照页面提示下载插件或者通过下面链接进行下载： https://oneaccess-cn-north-4-obs.obs.cn-north-4.myhuaweicloud.com/plug/autoFill.zip 解压插件包，将其添加至浏览器扩展程序并开启。 图6 添加扩展程序 刷新用户门户，单击目标应用，页面弹出输入密码的窗口，输入密码后，单击“登录到 插件代填”，即可进入应用。 若4中设置“允许用户设置的字段”为“密码”，则此步只允许用户设置密码。

概述 OAuth2.0（开放授权）是一个开放标准，允许用户授权第三方应用访问其存储在资源服务器上的信息，而不需要将用户名和密码提供给第三方应用。 基于该协议进行授权的整体流程为： 用户访问第三方应用系统，第三方应用系统向OneAccess发起授权登录请求，用户同意授权第三方应用系统后，OneAccess将携带授权码code，重定向到第三方应用系统。 第三方应用系统使用授权码code调用OneAccess的API接口换取授权令牌access_token。 第三方应用系统使用授权令牌access_token（access_token有效且未超时）调用OneAccess的API接口获取用户信息。 本文主要介绍OneAccess以OAuth协议集成应用的方法。

概述 SAML即安全断言标记语言（Security Assertion Markup Language），是OASIS安全服务技术委员会的一个产品，是基于XML的开源标准数据格式。SAML可以解决Web端应用系统的单点登录（SSO）需求，在不同的安全域（security domain）之间交换认证和授权数据。 从抽象的角度来看，SAML主要包括：主要术语和授权流程。 主要术语 表1 主要术语 术语 说明 IdP 身份提供商（Identity Provider，简称IdP）。负责收集、存储用户身份信息，如用户名、密码等，在用户登录时负责认证用户的服务。 SP 服务提供商（Service Provider，简称SP）。与IdP建立信任关系，使用IdP提供的用户信息，为用户提供具体的服务。 SSO 单点登录（Single Sign-On，简称SSO）。用户在OneAccess系统登录后，就可以通过跳转链接访问已建立互信关系的SP系统。 授权流程 用户通过浏览器访问Web应用系统。 Web应用系统生成一个SAML身份验证请求。 Web应用系统将重定向网址发送到用户的浏览器，重定向网址包含应向SSO服务提交的编码SAML身份验证请求。 IdP对SAML请求进行解码。 IdP对用户进行身份验证。认证成功后，IdP生成一个SAML响应并编码返回到用户的浏览器，其中包括经过验证的用户的用户名。 浏览器将SAML响应转发到Web应用系统ACS URL。 Web应用系统使用IdP的公钥验证SAML响应，验证成功，ACS则会将用户重定向到目标网址。 用户将重定向到目标网址并登录到 Web 应用系统。

在OneAccess中配置元数据文件 配置元数据文件，即在OneAccess中配置企业SP的Metadata文件。OneAccess支持“上传文件”和“手动编辑”两种配置，选择其中一种即可。如果后续元数据有更新，需要重新上传或者编辑元数据，否则会影响企业用户通过OneAccess登录企业应用。 单击在OneAccess中添加企业应用中添加的企业应用，在应用信息页面单击应用图标。 在通用信息模块，单击“认证集成”后的打开认证集成设置，此处选择SAML协议，单击“保存”。 应用认证集成协议一旦设置不可修改。 在通用信息模块，单击“认证集成”后的“配置”，进入“参数配置”页签配置元数据文件，可以选择上传文件和手动配置两种方式。 配置参数会明文展示所输入的信息，请防止信息泄露。 上传文件 单击“上传文件”，选择获取的企业SP的元数据文件。 当显示“上传成功”时，即系统已提取元数据。 如果提示“文件格式错误，仅支持上传xml格式文件”，需要您确认元数据文件的正确性后，重新上传或者通过手动编辑提取元数据。 企业应用的元数据获取方法请参考SP提供商的帮助文档。 手动配置 在“参数配置”页签，单击“手动配置”。 在手动编辑元数据页面，输入从企业SP元数据文件中获取的“SP Entity ID”、“ACS URL”和“签名证书”等参数，单击“保存”。 表2 认证参数 参数 是否必选 说明 SP Entity ID 是 SP唯一标识，对应SP元数据文件中的“Entity ID”的值。 断言消费地址（ACS URL） 是 SP回调地址（断言消费服务地址），对应SP元数据文件中“AssertionConsumerService”的值，即当OneAccess认证成功后响应返回的地址。 Name ID 是 用户在应用系统中的账号名对应字段，可以选择用户的属性或者对应的账号属性,此字段的值将作为断言中的subject。 NameID Format 是 SP支持的用户名称标识格式。对应SP元数据文件中“NameIDFormat”的值。 Audience URI 否 允许使用SAML断言的资源，默认和SP Entity ID相同。 Single Logout URL 否 服务提供商提供会话注销功能，用户在OneAccess注销会话后返回该地址。 默认Relay State 否 使用在idp发起的认证中，作为默认的一个值。 支持ForceAuth 是 默认为否。如果SP要求重新认证，则强制用户再次认证。 Response签名 是 默认为否。是否对SAML Response使用IdP的证书签名。 断言签名 是 默认为是。断言需使用IdP的证书签名，对应SP元数据文件中“WantAssertionsSigned”值。 数字签名算法 是 默认为RSA_SHA256，是SAML Response或者断言签名的算法，可在下拉框选择。 数字摘要算法 是 默认为SHA256，是SAML Response或者断言的算法摘要算法，可在下拉框选择。 断言加密 是 默认为否。是否对断言进行加密。 验证请求签名 是 默认为是。用来对SAML Request签名进行验证，对应SP元数据文件中“AuthnRequestsSigned”值。 验证签名证书 是 SP公钥证书，用来验证SAML request的签名，对应SP元数据文件中use="signing"证书内容。

配置工作流 在使用空模板创建组合应用的时候，组合应用下默认会创建一条工作流，每条工作流的起始节点必须选择触发器作为触发事件，单击工作流上的空Action节点，然后在弹窗的“触发器”页签中选择“Open API”。 填写“Open API”的配置信息，详细配置请参见Open API。 单击工作流上的空Action节点，然后在弹窗的“连接器”页签中选择“HTTP响应”，详细配置请参见HTTP响应。 在界面的右上角单击“保存”，在“保存”弹窗中输入“名称”和“描述”，完成后单击“确定”。

功能介绍 OBS支持对桶操作进行权限控制，您可以为桶设置访问策略，指定某一个用户对某一个桶是否有权行使某一项指定操作。OBS权限控制的方式有 IAM 、桶策略和ACL三种，ACL按照粒度又分为桶ACL和对象ACL，本节将对多版本对象ACL接口进行详细介绍，更多权限相关内容可参见《 对象存储服务 权限配置指南》的OBS权限控制概述章节。 多版本对象ACL是跨账号场景的权限，设置授权的对象不是当前账号，也不是当前账号下的IAM用户，而是另一个华为云账号及其账号下的IAM用户；授权的范围是以对象为粒度的，一条ACL策略为一个对象设置策略，因此设置ACL策略时您必须明确指定对象名；多版本对象ACL授予的权限包括对象ACL和多版本对象ACL的访问权限两个方面，对象ACL包括对桶内对象的查看和编辑权限，多版本对象ACL的访问权限包括对多版本对象ACL策略的查看和编辑权限，详情可参见ACL权限控制方式介绍。 调用获取多版本对象ACL接口，您可以获取指定多版本对象的ACL策略。

接口约束 您必须是桶拥有者或拥有获取对象ACL的权限，才能获取多版本对象ACL。建议使用IAM或桶策略进行授权，如果使用IAM则需授予obs:object:GetObjectAcl权限，如果使用桶策略则需授予GetObjectAcl权限。相关授权方式介绍可参见OBS权限控制概述，配置方式详见使用IAM自定义策略、配置对象策略。 OBS支持的region以及region与endPoint的对应关系，详细信息请参见地区与终端节点。

功能介绍 访问控制列表（Access Control List，ACL）用于资源拥有者给其他账号授予资源的访问权限。默认情况下，创建存储桶或对象时仅资源拥有者对资源的完全控制权限，即桶创建者对桶拥有完全控制权限，对象上传者对对象拥有完全控制权限，而其他账号默认无权访问资源。如果资源拥有者想授予其他账号资源的读写权限，可以使用ACL实现。OBS桶和对象的ACL是基于账号进行授权，授权后对账号和账号下的IAM用户都生效。 了解更多可参见ACL权限控制方式介绍。 调用获取对象ACL接口，您可以获取指定对象的ACL。

接口约束 您必须是桶拥有者或拥有获取对象ACL的权限，才能获取对象ACL。建议使用IAM或桶策略进行授权，如果使用IAM则需授予obs:object:GetObjectAcl权限，如果使用桶策略则需授予GetObjectAcl权限。相关授权方式介绍可参见OBS权限控制概述，配置方式详见使用IAM自定义策略、配置对象策略。 OBS支持的region以及region与endPoint的对应关系，详细信息请参见地区与终端节点。

接口约束 您必须是桶拥有者或拥有删除桶标签的权限，才能删除桶标签。建议使用IAM或桶策略进行授权，如果使用IAM则需授予obs:bucket:DeleteBucketTagging权限，如果使用桶策略则需授予DeleteBucketTagging权限。相关授权方式介绍可参见OBS权限控制概述，配置方式详见使用IAM自定义策略、自定义创建桶策略。 OBS支持的Region与Endpoint的对应关系，详细信息请参见地区与终端节点。

接口约束 单个桶最多支持100条ACL。 您必须是桶拥有者或拥有设置桶ACL的权限，才能设置桶ACL。建议使用IAM或桶策略进行授权，如果使用IAM则需授予obs:bucket:PutBucketAcl权限，如果使用桶策略则需授予PutBucketAcl权限。相关授权方式介绍可参见OBS权限控制概述，配置方式详见使用IAM自定义策略、自定义创建桶策略。 OBS支持的Region与Endpoint的对应关系，详细信息请参见地区与终端节点。

功能介绍 访问控制列表（Access Control List，ACL）用于资源拥有者给其他账号授予资源的访问权限。默认情况下，创建存储桶或对象时仅资源拥有者对资源的完全控制权限，即桶创建者对桶拥有完全控制权限，对象上传者对对象拥有完全控制权限，而其他账号默认无权访问资源。如果资源拥有者想授予其他账号资源的读写权限，可以使用ACL实现。OBS桶和对象的ACL是基于账号进行授权，授权后对账号和账号下的IAM用户都生效。 了解更多可参见ACL权限控制方式介绍。 调用设置桶ACL接口，您可以修改指定桶的ACL。

方法定义 void get_object(const obs_options *options, obs_object_info *object_info, obs_get_conditions *get_conditions, server_side_encryption_params *encryption_params, obs_get_object_handler *handler, void *callback_data);

接口约束 您必须是桶拥有者或拥有图片处理的权限，才能进行图片处理。建议使用IAM或桶策略进行授权，如果使用IAM则需授予obs:object:GetObject权限，如果使用桶策略则需授予GetObject权限。相关授权方式介绍可参见OBS权限控制概述，配置方式详见使用IAM自定义策略、配置对象策略。 OBS支持的Region与Endpoint的对应关系，详细信息请参见地区与终端节点。 所有的图片处理操作均不会修改原图。 归档存储不支持图片处理。 深度归档存储不支持图片处理。 处理后的图片直接返回浏览器展示，不会保存在OBS中，也不会占用存储空间，不会产生存储费用。图片处理只收取处理的费用。 图片处理参数当前仅支持命令方式，即image/commands格式。 图片处理参数支持级联处理，可对图片文件依次实施多条命令。

接口约束 您必须是桶拥有者或拥有上传对象的权限，才能上传对象。建议使用IAM或桶策略进行授权，如果使用IAM则需授予obs:object:PutObject权限，如果使用桶策略则需授予PutObject权限。相关授权方式介绍可参见OBS权限控制概述，配置方式详见使用IAM自定义策略、配置对象策略。 OBS支持的Region与Endpoint的对应关系，详细信息请参见地区与终端节点。 单次上传对象大小范围是[0, 5GB]。 如果需要上传超过5GB的大文件，需要通过多段操作来分段上传。

方法定义 1 2 3 4 void put_object(const obs_options *options, char *key, uint64_t content_length, obs_put_properties *put_properties, server_side_encryption_params *encryption_params, obs_put_object_handler *handler, void *callback_data);

方法定义 1 2 3 void modify_object(const obs_options *options, char *key, uint64_t content_length, uint64_t position, obs_put_properties *put_properties,server_side_encryption_params *encryption_params, obs_modify_object_handler *handler, void *callback_data);

接口约束 目前接口仅在并行文件系统支持，普通对象桶不支持，如何创建并行文件系统请参考创建桶。 您必须是并行文件系统拥有者或拥有修改写对象的权限，才能修改写对象。建议使用IAM或策略进行授权，如果使用IAM则需授予obs:bucket:PutObject权限，如果使用策略则需授予PutObject权限。相关授权方式介绍可参见OBS权限控制概述，配置方式详见使用IAM自定义策略、配置对象策略。 OBS支持的Region与Endpoint的对应关系，详细信息请参见地区与终端节点。 第一次调用该接口时，如果修改的对象不存在，则会报错（HTTP状态码为404）。

接口约束 您必须是桶拥有者或拥有设置桶存储类别的权限，才能设置桶存储类别。建议使用IAM或桶策略进行授权，如果使用IAM则需授予obs:PutBucketStoragePolicy权限，如果使用桶策略则需授予PutBucketStoragePolicy权限。相关授权方式介绍可参见OBS权限控制概述，配置方式详见使用IAM自定义策略、自定义创建桶策略。 OBS支持的Region与Endpoint的对应关系，详细信息请参见地区与终端节点。

接口约束 您必须是桶拥有者或拥有下载对象的权限，才能下载对象。建议使用IAM或桶策略进行授权，如果使用IAM则需授予obs:object:GetObject权限，如果使用桶策略则需授予GetObject权限。相关授权方式介绍可参见OBS权限控制概述，配置方式详见使用IAM自定义策略、配置对象策略。 OBS支持的Region与Endpoint的对应关系，详细信息请参见地区与终端节点。 对于存储类别为归档存储或深度归档存储的对象，需要确认对象的状态为“已恢复”才能对其进行下载。

方法定义 void get_object(const obs_options *options, obs_object_info *object_info, obs_get_conditions *get_conditions, server_side_encryption_params *encryption_params, obs_get_object_handler *handler, void *callback_data);

接口约束 您必须是桶拥有者或拥有设置桶的CORS配置的权限，才能设置桶的CORS配置。建议使用IAM或桶策略进行授权，如果使用IAM则需授予obs:bucket:PutBucketCORS权限，如果使用桶策略则需授予PutBucketCORS权限。相关授权方式介绍可参见OBS权限控制概述，配置方式详见使用IAM自定义策略、自定义创建桶策略。 OBS支持的Region与Endpoint的对应关系，详细信息请参见地区与终端节点。

功能介绍 跨域资源共享（Cross Origin Resource Sharing，CORS）是由W3C标准化组织提出的一种网络浏览器的规范机制，定义了一个域中加载的客户端Web应用程序与另一个域中的资源交互的方式。而在通常的网页请求中，由于同源安全策略（Same Origin Policy，SOP）的存在，不同域之间的网站脚本和内容是无法进行交互的。OBS支持CORS规范，允许跨域请求访问OBS中的资源。 调用设置桶的CORS配置接口，您可设置指定桶的跨域资源共享规则，以允许客户端浏览器进行跨域请求。

接口约束 您必须是桶拥有者或拥有删除桶的网站配置的权限，才能删除桶的网站配置。建议使用IAM或桶策略进行授权，如果使用IAM则需授予obs:bucket:DeleteBucketWebsite权限，如果使用桶策略则需授予DeleteBucketWebsite权限。相关授权方式介绍可参见OBS权限控制概述，配置方式详见使用IAM自定义策略、自定义创建桶策略。 OBS支持的Region与Endpoint的对应关系，详细信息请参见地区与终端节点。

方法定义 void set_object_metadata(const obs_options *options, obs_object_info *object_info, obs_put_properties *put_properties, server_side_encryption_params *encryption_params, obs_response_handler *handler, void *callback_data);