示例代码 在ModelArts notebook平台，Session鉴权无需输入鉴权参数。其它平台的Session鉴权请参见Session鉴权。 方式1：已部署为在线服务predictor的初始化 1 2 3 4 5 from modelarts.session import Session from modelarts.model import Predictor session = Session() predictor_instance = Predictor(session, service_id="your_service_id") 方式2：部署在线服务predictor 部署服务到公共资源池 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 from modelarts.session import Session from modelarts.model import Model from modelarts.config.model_config import ServiceConfig, TransformerConfig, Schedule session = Session() model_instance = Model(session, model_id='your_model_id') vpc_id = None # （可选）在线服务实例部署的虚拟私有云ID，默认为空 subnet_network_id = None # （可选）子网的网络ID，默认为空 security_group_id = None # （可选）安全组，默认为空 configs = [ServiceConfig(model_id=model_instance.model_id, weight="100", instance_count=1, specification="modelarts.vm.cpu.2u")] # 参考表3中specification字段 predictor_instance = model_instance.deploy_predictor( service_name="service_predictor_name", infer_type="real-time", vpc_id=vpc_id, subnet_network_id=subnet_network_id, security_group_id=security_group_id, configs=configs, # predictor配置参数, 参考下文configs参数格式说明 schedule = [Schedule(op_type='stop', time_unit='HOURS', duration=1)] # （可选）设置在线服务运行时间 ) 参数“model_id”代表将部署成在线服务的模型。“model_id”可以通过查询模型列表或者ModelArts管理控制台获取。 部署服务到专属资源池 from modelarts.config.model_config import ServiceConfig configs = [ServiceConfig(model_id=model_instance.model_id, weight="100", instance_count=1, specification="modelarts.vm.cpu.2u")] predictor_instance = model_instance.deploy_predictor( service_name="your_service_name", infer_type="real-time", configs=configs, cluster_id="your dedicated pool id" ) configs参数格式说明：SDK提供了ServiceConfig类对其定义，configs为list，list中的元组对象是ServiceConfig。定义代码如下： 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 configs = [] envs = {"model_name":"mxnet-model-1", "load_epoch":"0"} service_config1 = ServiceConfig( model_id="model_id1", # model_id1和model_id2必须是同一个模型的不同版本对应的model_id weight="70", specification="modelarts.vm.cpu.2u", # 参考表3中specification字段 instance_count=2, envs=envs) # （可选）设置环境变量的值，如：envs = {"model_name":"mxnet-model-1", "load_epoch":"0"} service_config2 = ServiceConfig( model_id='model_id2', weight="30", specification="modelarts.vm.cpu.2u", # 参考表3中specification字段 instance_count=2, envs=envs) # （可选）设置环境变量的值，如：envs = {"model_name":"mxnet-model-1", "load_epoch":"0"} configs.append(service_config1) configs.append(service_config2) 方式3：部署批量服务transformer 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 from modelarts.session import Session from modelarts.model import Model from modelarts.config.model_config import TransformerConfig session = Session() model_instance = Model(session, model_id='your_model_id') vpc_id = None # （可选）批量服务实例部署的虚拟私有云ID，默认为空 subnet_network_id = None # （可选）子网的网络ID，默认为空 security_group_id = None # （可选）安全组，默认为空 transformer = model_instance.deploy_transformer( service_name="service_transformer_name", infer_type="batch", vpc_id=vpc_id, subnet_network_id=subnet_network_id, security_group_id=security_group_id, configs=configs # transformer配置参数, 参考下文configs参数格式说明 ) configs参数格式说明：SDK提供了TransformerConfig类对其定义，configs都是list，list中的元组对象是TransformerConfig。定义代码如下： 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 configs = [] mapping_rule = None # （可选）输入参数与csv数据的映射关系 mapping_type= "file" # file或者csv envs = {"model_name":"mxnet-model-1", "load_epoch":"0"} transformer_config1 = TransformerConfig( model_id="model_id", specification="modelarts.vm.cpu.2u", # 参考表3中specification字段 instance_count=2, src_path="/shp-cn4/sdk-demo/", # 批量任务输入数据的OBS路径，如："/your_obs_bucket/src_path" dest_path="/shp-cn4/data-out/", # 批量任务输出结果的OBS路径，如："/your_obs_bucket/dest_path" req_uri="/", mapping_type=mapping_type, mapping_rule=mapping_rule, envs=envs) # （可选）设置环境变量的值，如：envs = {"model_name":"mxnet-model-1", "load_epoch":"0"} configs.append(transformer_config1)

响应示例 状态码： 200 OK { "page_num" : null, "page_size" : null, "total_size" : null, "total_pages" : null, "result" : [ { "project_id" : "", "region_id" : "", "env_id" : "", "env_name" : "", "env_status" : "", "env_app_link_status" : null, "env_app_link_status_msg" : null, "endpoint" : null, "job_id" : null, "env_conf_info" : "", "env_app_link_id" : null, "app_id" : null, "app_version" : null, "app_name_en" : null, "app_name_cn" : null, "enabled" : "", "expire_time" : null, "last_deploy_time" : null, "deploy_user_id" : null, "charging_mode" : "", "create_time" : null, "resource_id" : "", "deployable" : "", "uninstallable" : "" } ] }

响应参数 状态码： 200 表3 响应Body参数 参数 参数类型 描述 page_num Integer 参数解释： 分页查询的页数。 取值范围： 不涉及。 默认取值： 1。 page_size Integer 参数解释： 分页查询时，每页最多展示的记录数。 取值范围： 不涉及。 默认取值： 10。 total_size Integer 参数解释： 总共条数。 取值范围： 不涉及。 默认取值： 不涉及。 total_pages Integer 参数解释： 总共页数。 取值范围： 不涉及。 默认取值： 不涉及。 result Array of result objects 参数解释： 运行服务详情。 取值范围： 不涉及。 默认取值： 不涉及。 表4 result 参数 参数类型 描述 project_id String 参数解释： 项目ID。 取值范围： 只能由英文字母、数字组成，且长度为36个字符。 默认取值： 不涉及。 region_id String 参数解释： 区域ID。 取值范围： 不涉及。 默认取值： 不涉及。 env_id String 参数解释： 运行服务的ID。 取值范围： 不涉及。 默认取值： 不涉及。 env_name String 参数解释： 运行服务的名称。 取值范围： 不涉及。 默认取值： 不涉及。 env_status String 参数解释： 运行服务的状态。 取值范围： 不涉及。 默认取值： 不涉及。 env_type String 参数解释： 服务的类型。 取值范围： 不涉及。 默认取值： 不涉及。 env_app_link_status String 参数解释： 运行服务与应用间的状态。 取值范围： 不涉及。 默认取值： 不涉及。 env_app_link_status_msg String 参数解释： 运行服务与应用间的状态信息。 取值范围： 不涉及。 默认取值： 不涉及。 endpoint String 参数解释： 访问方式。 取值范围： 不涉及。 默认取值： 不涉及。 job_id String 参数解释： 创建运行服务的jobId。 取值范围： 不涉及。 默认取值： 不涉及。 env_conf_info String 参数解释： 运行服务的配置信息。 取值范围： 不涉及。 默认取值： 不涉及。 env_app_link_id String 参数解释： 环境应用关联ID。 取值范围： 不涉及。 默认取值： 不涉及。 app_id String 参数解释： 部署的应用ID。 取值范围： 不涉及。 默认取值： 不涉及。 app_version String 参数解释： 部署的应用版本。 取值范围： 不涉及。 默认取值： 不涉及。 app_name_en String 参数解释： 部署应用的英文名称。 取值范围： 不涉及。 默认取值： 不涉及。 app_name_cn String 参数解释： 部署应用的中文名称。 取值范围： 不涉及。 默认取值： 不涉及。 app_environment String 参数解释： 应用环境。 取值范围： 不涉及。 默认取值： 不涉及。 enabled Boolean 参数解释： 应用是否可用。 取值范围： 不涉及。 默认取值： 不涉及。 expire_time Long 参数解释： 运行服务的过期时间。 取值范围： 不涉及。 默认取值： 不涉及。 last_deploy_time Long 参数解释： 最后部署时间。 取值范围： 不涉及。 默认取值： 不涉及。 deploy_user_id String 参数解释： 上次部署应用的 IAM 用户ID。 取值范围： 不涉及。 默认取值： 不涉及。 charging_mode String 参数解释： 计费模式。 取值范围： 不涉及。 默认取值： 不涉及。 create_time Long 参数解释： 运行服务的创建时间。 取值范围： 不涉及。 默认取值： 不涉及。 resource_id String 参数解释： 绑定主资源ID。 取值范围： 不涉及。 默认取值： 不涉及。 resource_spec_code String 参数解释： 资源规格编码。 取值范围： 不涉及。 默认取值： 不涉及。 org_code String 参数解释： 组织编码。 取值范围： 不涉及。 默认取值： 不涉及。 org_name String 参数解释： 组织名称。 取值范围： 不涉及。 默认取值： 不涉及。 app_login_url String 参数解释： 应用登录首页。 取值范围： 不涉及。 默认取值： 不涉及。 deployable Boolean 参数解释： 是否支持部署。 取值范围： 不涉及。 默认取值： 不涉及。 app_create_time String 参数解释： 应用创建时间。 取值范围： 不涉及。 默认取值： 不涉及。 database_type String 参数解释： 数据库类型。 取值范围： 只是Mysql和Postgresql。 默认取值： 不涉及。 uninstallable Boolean 参数解释： 是否支持卸载。 取值范围： 不涉及。 默认取值： 不涉及。 vpc_id String 参数解释： 虚拟私有云ID。 取值范围： 不涉及。 默认取值： 不涉及。 enterprise_project_id String 参数解释： 企业项目ID。 取值范围： 不涉及。 默认取值： 不涉及。 read_write_user_limit String 参数解释： 读写用户数量。 取值范围： 不涉及。 默认取值： 不涉及。 runtime_instance_limit String 参数解释： 运行服务节点数量。 取值范围： 不涉及。 默认取值： 不涉及。 private_ip_id String 参数解释： 内网ID。 取值范围： 不涉及。 默认取值： 不涉及。 private_ip String 参数解释： 内网IP。 取值范围： 不涉及。 默认取值： 不涉及。 security_group_id String 参数解释： 安全组ID。 取值范围： 不涉及。 默认取值： 不涉及。 workflow_used_status String 参数解释： 流程引擎开启状态。 取值范围： 不涉及。 默认取值： 不涉及。 experiences_deployable String 参数解释： 是否可部署体验版。 取值范围： 不涉及。 默认取值： 不涉及。 change_able String 参数解释： 是否可变更。 取值范围： 不涉及。 默认取值： 不涉及。 delete_able String 参数解释： 是否删除。 取值范围： 不涉及。 默认取值： 不涉及。 grace_time String 参数解释： 宽限期结束时间。 取值范围： 不涉及。 默认取值： 不涉及。 release_time String 参数解释： 资源释放时间。 取值范围： 不涉及。 默认取值： 不涉及。 frozen_time String 参数解释： 冻结时间。 取值范围： 不涉及。 默认取值： 不涉及。 linkx_quota_resp String 参数解释： LinkX-F配额详情。 取值范围： 不涉及。 默认取值： 不涉及。 structured_data_package_limit String 参数解释： 结构化数据增量包。 取值范围： 不涉及。 默认取值： 不涉及。 file_data_package_limit String 参数解释： 文件数据增量包。 取值范围： 不涉及。 默认取值： 不涉及。 hostname String 参数解释： 默认 域名 。 取值范围： 不涉及。 custom_hostname String 参数解释： 用户自定义域名。 取值范围： 不涉及。 默认取值： 不涉及。 public_ip String 参数解释： 公网IP。 取值范围： 不涉及。 默认取值： 不涉及。 access_control_type String 参数解释： 访问控制类型。 取值范围： 不涉及。 默认取值： 不涉及。 hostname_waf_status String 参数解释： 默认域名WAF防护状态。 取值范围： 不涉及。 默认取值： 不涉及。 custom_hostname_waf_status String 参数解释： 自定义域名WAF防护状态。 取值范围： 不涉及。 默认取值： 不涉及。 control_custom_ips String 参数解释： 访问控制IP列表。 取值范围： 不涉及。 默认取值： 不涉及。 internal_ip String 参数解释： 内网地址。 取值范围： 不涉及。 默认取值： 不涉及。 internal_ip_status String 参数解释： 内网访问开启状态。 取值范围： 不涉及。 默认取值： 不涉及。 custom_hostname_effective_status String 参数解释： 客户自定义域名是否生效。 取值范围： 0:未生效，1:已生效。 默认取值： 不涉及。

URI GET /v1/{project_id}/envs 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 参数解释： 项目ID。 获取方法请参见获取项目ID。 约束限制： 不涉及。 取值范围： 只能由英文字母、数字组成，且长度为[1-36]个字符。 默认取值： 不涉及。 表2 Query参数 参数 是否必选 参数类型 描述 page_num 否 Integer 参数解释： 分页查询的页数。 取值范围： 不涉及。 默认取值： 不涉及。 page_size 否 Integer 参数解释： 分页查询时，每页最多展示的记录数。 取值范围： 不涉及。 默认取值： 不涉及。 env_types 否 String 参数解释： 服务的类型。 取值范围： STUDIO：iDME设计服务。 CLOUD_BASIC：部署在公有云上的基础版数据建模引擎。 CLOUD_BASIC_LITE：部署在公有云上的基础版-Lite数据建模引擎。 CLOUD_TRIAL：部署在公有云上的体验版数据建模引擎。 EDGE_BASIC：部署在边缘云上的基础版数据建模引擎。 CLOUD_LINKX：部署在公有云上的基础版数字主线引擎。 CLOUD_LINKX_LITE：部署在公有云上的基础版-Lite数字主线引擎。 EDGE_LINKX：部署在边缘云上的基础版数字主线引擎。 默认取值： 不涉及。

服务流程 企业版业务流程 企业版是华为与权威的第三方机构合作提供的专业的安全专家人工服务并提供专业的检测报告。 企业版业务流程如图1所示。各步骤说明如表5所示。 图1 企业版业务流程图 表5 企业版业务流程说明 步骤 流程操作 说明 1 购买企业版 在购买时，您需要选择购买资源数量。 2 需求沟通&资质审核 购买成功后，管理检测与响应将在1个工作日内联系您，与您沟通确定服务内容和审核资质。 3 管理检测与响应团队执行管理检测与响应 审核通过后，华为 云安全 专家团执行本次管理检测与响应。 网站安全体检 主机安全体检 安全加固指导 安全监测服务 应急响应服务 安全配置服务 安全防护服务开通与部署 定期策略更新与维护 安全漏洞预警服务 主动安全预警服务 安全设备维护服务 漏洞管理服务 电子取证、司法鉴定 4 提交管理检测与响应服务报告 服务周期到期后，管理检测与响应上传本次管理检测与响应服务报告。 5 验收管理检测与响应 管理检测与响应完成审核后，上传管理检测与响应报告，此时您会收到验收短息，请您前往管理检测与响应管理控制台进行验收本次管理检测与响应。 等保建设助手 等保建设助手凭借华为安全团队自身及客户等保认证经验，为您提供等保定级和差距评估咨询，并根据系统情况提供定级参考意见和相关技术建议书以及等保条款分析情况汇总。 等保建设助手流程如图2所示，各流程步骤说明如表6所示。 图2 等保建设助手业务流程图 表6 等保建设助手业务流程说明 步骤 操作 说明 1 购买等保建设助手 购买前，请拨打950808按1转1或直接联系您的客户经理，确定项目报价后再下单。 购买时，您需要选择服务类型、数量，以及您的信息。 2 需求沟通&资质审核 购买成功后，管理检测与响应将在1个工作日内联系您，审核资质。 3 华为安全团队执行管理检测与响应 审核通过后，管理检测与响应团队将根据您IT系统的实际情况提供定级意见、差距分析以及安全加固建议。 4 提交管理检测与响应报告 管理检测与响应上传安全加固方案或差距分析报告。 5 验收管理检测与响应 服务完成后，您验收本次管理检测与响应。 专项版业务流程 专项版服务内容包括业务信息收集、安全保障方案制定、安全自查与整改、安全防护加固、安全团队建设、现场+远程监控及响应、安全服务保障总结。 专项版业务流程如图3所示，各流程步骤说明如表7所示。 图3 专项版业务流程图 表7 专项版业务流程说明 步骤 操作 说明 1 购买专项版 购买前，请拨打950808按1转1或直接联系您的客户经理，确定项目报价后再下单。 购买时，您需要选择服务类型、数量，以及您的信息。 2 需求沟通&资质审核 购买成功后，管理检测与响应将在1个工作日内联系您。指导您进行安全服务的选型和部署，对网络、主机、数据库、安全管理制度等进行整改。 3 等保测评机构执行管理检测与响应 审核通过后，由权威等保测评机构执行等保测评工作。 4 提交管理检测与响应报告 管理检测与响应上传整改解决方案和差距分析报告。 5 验收管理检测与响应 服务完成后，您验收本次管理检测与响应。 密评建设助手业务流程 密评建设助手提供“密评”合规、国密改造、密码安全评估咨询服务，根据密码应用情况提供密码合规参考意见、相关技术建议书以及密评条款分析情况汇总。 密评建设助手业务流程如所示，各流程步骤说明如表8所示。 图4 密评建设助手业务流程图 表8 密评建设助手业务流程说明 步骤 操作 说明 1 购买密评建设助手 购买前，请拨打950808按1转1或直接联系您的客户经理，确定项目报价后再下单。 购买时，您需要选择服务类型、数量，以及您的信息。 2 需求沟通&资质审核 购买成功后，管理检测与响应将在1个工作日内联系您。指导您进行安全服务的选型和部署，对网络、主机、数据库、安全管理制度等进行整改。 3 等保测评机构执行管理检测与响应 审核通过后，由权威等保测评机构执行等保测评工作。 4 提交管理检测与响应报告 管理检测与响应上传整改解决方案和差距分析报告。 5 验收管理检测与响应 服务完成后，您验收本次管理检测与响应。

服务概述 管理检测与响应（Managed Detection Response，MDR）是结合华为30年安全经验积累，以云服务的形式，为客户建立由管理、技术与运维构成的安全风险管控体系，结合企业与机构业务的安全需求反馈和防控效果对用户安全防护进行持续改进，帮助企业与机构实现对安全风险与安全事件的有效监控，并及时采取有效措施持续降低安全风险，消除安全事件带来的损失。 管理检测与响应提供企业版、等保建设助手、专项版和密评建设助手5种服务类型。 管理检测与响应的有效期为1年，请务必在有效期内使用。到期以后，需重新购买。

服务内容 企业版 企业版管理检测与响应结合您实际业务场景，通过云服务方式，为您提供华为云安全标准化的运维运营服务。企业版服务详细内容请参见表1。 表1 企业版服务说明 服务内容 响应时间 交付件 网站安全体检：远程提供安全监测服务支持HTTP/HTTPS协议进行实时安全监测；支持网页木马、恶意篡改、坏链、对外开放服务、可用性、审计、脆弱性这七个维度对网站进行监测；支持WEB安全 漏洞扫描 及域名劫持进行实时安全监测；定期推送网站安全体检报告。 8小时内响应 服务后5个工作日内提交测试报告 提供专业的《监控季度总结报告》和《年度总结报》。 主机安全体检：通过 日志分析 、漏洞扫描等技术手段对主机进行威胁识别；通过基线检查发现主机操作系统、中间件存在的错误配置、不符合项和弱口令等风险。 8小时内响应 5个工作日内评估主机安全 提供专业的《主机安全评估报告》。 安全加固：对主机服务器、中间件进行漏洞扫描、基线配置加固；分析操作系统及应用面临的安全威胁，分析操作系统补丁和应用系统组件版本；提供相应的整改方案，并在您的许可下完成相关漏洞的修复和补丁组件的加固工作。 8小时内响应 单次服务10-20个系统后10个工作日内提交测试报告。 提供专业的《安全加固交付报告》。 安全监测：通过远程查找及处置主机系统内的恶意程序，包括病毒、木马、蠕虫等；通过远程查找及处置Web系统内的可疑文件，包括Webshell、黑客工具和暗链等；提出业务快速恢复建议，协助您快速恢复业务。 工作日内8小时响应。 5个工作日内评估项目总体人工天与预计周期。 提供专业的《安全监测报告》。 应急响应：业务系统出现安全问题的情况下，提供24小时安全应急响应服务，由安全团队协助处理中毒、中木马等应急事宜，每次处理完成后华为侧提供应急响应报告，分析问题根因，并提供改进建议。 工作日1小时内响应，非工作日内4小时响应。 单次服务10台设备以内后3个工作日内以提交报告时间为准。 提供专业的《应急响应报告》。 安全配置服务：根据客户业务需求，如主机IP、主机系统版本、域名、流量、加密、数据库防护等级等信息。输出安全解决方案并制订安全防护体系包括安全服务规格、数量、策略。 工作日1小时内响应，非工作日内4小时响应。 提供专业的《安全配置方案》。 安全防护服务开通与部署：安全服务交付，如主机安全、WAF、DDoS高防、 堡垒机 、漏洞扫描等服务的部署。云安全设置，提供云安全设置服务，包括安全组、防火墙策略等的设置操作 工作日1小时内响应，非工作日内4小时响应。 提供专业的《安全服务交付报告》。 定期策略更新与维护：从主机安全、应用安全、网络安全、数据安全、安全管理等方面定期完成漏洞检测、基线扫描、策略优化、巡检监控等操作，并输出整改方案报告。 工作日8小时内响应。 7个工作日内评估项目总体人工天与预计周期。 提供专业的《安全运维服务周期性报告》。 安全漏洞预警：根据最新的安全漏洞、病毒木马、黑客技术和安全动态信息，结合客户实际的操作系统、中间件、应用和网络情况等，定期将相关安全信息如安全漏洞、病毒木马资讯、安全隐患/入侵预警和安全事件动态等内容，以电子邮件方式进行通报，并提出合理建议和解决方案等。 固定发送安全资讯周报 工作日1小时内响应，非工作日内4小时响应。 不定时发送漏洞预警 提供专业的《安全周报和漏洞预警》。 主动安全预警：主机存在被入侵并对外攻击问题，主动邮件或电话知会客户排查；针对主动发现的影响客户使用的安全问题，进行主动通知工作。 工作日1小时内响应，非工作日内4小时响应。 提供专业的《配置核查报告》、《安全策略优化报告》、《弱口令检查报告》。 安全设备维护：对各类安全设备开展基础维护，包括设备配置定期备份、设备特征库升级、设备版本升级、设备切换、设备配置调整等。 每周固定发送安全巡检周报，不定时发送设备维护报告 提供专业的《安全设备维护报告》。 漏洞管理：通过华为云主机安全、漏洞扫描等安全服务，对实现云上业务系统的web应用、操作系统、中间件等漏洞的统一管理。 工作日1小时内响应，非工作日内4小时响应。 单次服务结束后3个工作日内以提交报告时间为准。 提供专业《漏洞扫描报告》。 等保建设助手 等保建设助手凭借华为安全团队自身及客户等保认证经验，为您提供等保定级和差距评估咨询，并根据系统情况提供定级参考意见和相关技术建议书以及等保条款分析情况汇总。 等保建设助手提供基础版和高级版两种服务类型，服务内容和典型应用场景如表2所示。您可根据实际业务需求，选择购买需要的服务类型。 表2 等保建设助手说明 服务类型 服务内容 典型应用场景 基础版 提供等保定级和差距评估咨询，根据系统情况提供定级参考意见和相关技术建议书以及等保条款分析情况汇总 等保安全加固方案：根据等级保护差距要求，远程方式提供安全加固建议 适用于您已找好等保测评机构，但缺乏对等保要求的深入了解，不知道如何整改且拖延整改周期。 高级版 提供等保定级和差距评估咨询，现场方式进行系统情况提供定级参考意见和相关技术建议书以及分析情况汇总 等保安全加固方案：根据等级保护差距要求，现场方式提供安全加固建议 专项版 专项版通过业务信息收集、安全保障方案制定、安全自查与整改、安全防护加固、安全团队建设、现场+远程监控及响应、安全服务保障总结等方式，支撑各类会议稳定、圆满进行。 专项版提供云会议安全保障和特级安全保障两种服务类型，服务内容和典型应用场景如表3所示。您可根据实际业务需求，选择购买需要的服务类型。 表3 专项版说明 服务类型 服务内容 服务特色 典型应用场景 云会议安全保障 业务信息收集 安全保障方案制定 安全自查与整改 安全防护加固 安全团队建设 现场+远程监控及响应 安全服务保障总结 针对您的业务问题提供修复建议 提供保障服务的历史漏洞和修复建议 安排专职专家远程职守、实时监控 适用于重大会议 特级安全保障 业务信息收集 安全保障方案制定 安全自查与整改 安全防护加固 安全团队建设 现场+远程监控及响应 安全服务保障总结 对您的业务问题进行修复并提供建议 对您的保障业务系统进行风险评估并整改 修复保障服务的历史漏洞并定期跟踪 安排专职专家现场职守、实时监控 适用于特级会议 密评建设助手 密评建设助手面向政府和大型企事业单位提供“密评”合规、国密改造、密码安全评估咨询服务，根据密码应用情况提供密码合规参考意见、相关技术建议书以及密评条款分析情况汇总。密评建设助手详细服务内容请参见表4。 表4 密评建设助手说明 服务项 服务内容 交付件 用户调研 项目需求沟通 提供需求沟通会议纪要 信息收集与分析 填写《信息系统调研表》 调研表分析及评审 提供《信息系统调研表》 差距分析 密评技术条例分析 提供《差距分析报告》 密评管理条例分析 现状分析与差距评估 整改方案 密评技术条例整改指导 密评技术条例解读 根据测评结果判定，指导进行密评技术条例不满足项的整改 提供整改方案、管理制度模板 密评管理条例整改指导 密评管理条例解读 根据测评结果判定，指导进行密评管理条例不满足项的整改 技术及管理层面整改取证指导 方案评估 密评专家进行方案评估 密评专家进行方案评估，审查被测系统责任单位的密码应用/密码设计/实施/应急方案 专家评估结论输出 提供《评估报告》

创建命名空间 通过控制台创建命名空间 登录U CS 控制台，在左侧导航栏中单击“服务网格”。 单击服务网格名称，进入详情页。 在左侧导航栏，单击“服务中心”下的“命名空间”，进入命名空间列表页。 单击右上角“创建命名空间”。 图1 创建命名空间 参照下表信息设置命名空间参数。 参数 参数说明 名称 新建命名空间的名称，命名必须唯一。 描述 输入对命名空间的描述信息。 标签 为命名空间添加标签键值对 建议根据需要在命名空间中设置资源配额，避免因资源过载导致集群或节点异常。 例如：在集群中每个节点可以创建的实例（Pod）数默认为110个，如果您创建的是50节点规格的集群，则最多可以创建5500个实例。因此，您可以在命名空间中自行设置资源配额以确保所有命名空间内的实例总数不超过5500个，以避免资源过载。 设置完成后，单击“确定”。 通过YAML创建命名空间 apiVersion: v1 kind: Namespace # 创建服务类别为命名空间 metadata: name: weather # 命名空间名 annotations: namespaceDesc: description labels: app: forecast # 标签键值对 restartNamespacePod: false # 重启服务关闭 istio-injection: disabled # 注入数据面代理关闭

更新命名空间 控制台更新命名空间，操作步骤如下： 登录UCS控制台，在左侧导航栏中单击“服务网格”。 单击服务网格名称，进入详情页。 在左侧导航栏，单击“服务中心”下的“命名空间”，进入命名空间列表页。 单击命名空间列表右侧操作列下的“更新”，弹出“更新命名空间”对话框。 更新命名空间参数。 表1 命名空间参数 参数 参数说明 描述 添加或修改描述。 标签 添加或删除标签键值对。 注入数据面代理 开启后，新创建的Pod会自动注入 istio-proxy sidecar，已存在的Pod需要配合重启服务才能生效注入istio-proxy sidecar。 重启服务 Sidecar自动注入开启时，将立即重启未注入sidecar的服务负载以注入sidecar；Sidecar自动注入关闭时，将立即重启已注入sidecar的服务负载以取消sidecar注入。 设置完成后，单击右下角“确定”。更新命名空间完成。 YAML编辑更新命名空间，操作步骤如下： 登录UCS控制台，在左侧导航栏中单击“服务网格”。 单击服务网格名称，进入详情页。 在左侧导航栏，单击“服务中心”下的“命名空间”，进入命名空间列表页。 单击命名空间列表右侧操作列下的“YAML编辑”，弹出YAML编辑界面。 更新标签、描述和是否注入数据面代理设置。 设置完成后，单击右下角“确定”。更新命名空间完成。

解决方案 针对以上应用场景，可使用IAM对ECS云服务的委托来获取临时访问密钥。在IAM上对ECS云服务授权，并对应用程序所在的ECS实例进行授权委托管理。ECS实例获得委托权限之后，应用程序可申请指定委托的临时访问密钥，从而以临时访问密钥为凭证安全访问华为云资源。详细方案如下： 创建ECS云服务委托。账号在IAM控制台创建委托，指定委托对象为ECS云服务。委托创建时，选择权限策略，选择可访问的资源范围，不同的委托对应不同的权限策略。 ECS实例配置委托。在ECS实例的配置项中选择上一步创建的委托，一个ECS实例只可以选择一个委托。 获取委托的临时凭证。ECS实例配置了委托参数后，就获得了委托权限。此时，ECS实例上运行的应用程序可获取委托的临时访问密钥AK、SK。拥有临时访问密钥的应用程序可与华为云服务进行交互，交互行为遵循账号授予的权限策略和资源使用范围。

应用场景 假如您是一位开发者，开发了一个应用程序，这个应用程序运行在ECS实例上，应用程序的代码中涉及调用API访问华为云服务。此时，因为华为云服务要求访问请求方出示访问凭证，所以您的API调用将会面临提供访问凭证的问题。 访问凭证按照时效性可分为永久凭证和临时凭证，相较于永久性访问凭证，例如用户名和密码，临时访问密钥因为有效期短且刷新频率高，所以安全性更高。因此，您的应用程序若想要以更安全的方式访问云服务，需要获取临时访问凭证，而IAM的委托功能，则支持通过ECS委托获取临时访问密钥。 图1 应用程序获取临时访问密钥 如图1所示，以访问数据库服务举例。因为数据库服务要求访问请求方提供访问凭证，所以应用程序需要获得委托的临时访问密钥AK、SK。应用程序与ECS元数据服务通信，ECS元数据服务再与IAM通信，拿到临时AK、SK后返回给应用程序。然后，应用程序将临时AK、SK作为访问凭证出示给数据库服务，数据库服务收到请求后，先校验访问凭证是否合法，凭证通过校验后，ECS实例上的应用程序才能访问数据库服务。

响应参数 状态码： 200 表4 响应Body参数 参数 参数类型 描述 request_id String 请求的唯一标识ID。 jobs Array of EncodeServerJob objects 任务信息。 表5 EncodeServerJob 参数 参数类型 描述 encode_server_id String 编码服务的唯一标识ID，编码服务相关任务包含此字段。 job_id String 任务的唯一标识。 error_code String 错误码。 error_msg String 错误说明。

请求示例 批量重启encode_server_ids列表中的服务器上的编码容器 POST https://{CPH Endpoint}/v1/{project_id}/cloud-phone/encode-servers/batch-restart{ "encode_server_ids" : [ "d5cfa92995da40168c39b38d2aa478b3", "00b00d1b35094f13b360cdfe15a9bfee" ]}

响应示例 状态码： 200 OK { "jobs" : [ { "job_id" : "e9d7b1a2572c4f2c9bf056a3d1b35e39", "encode_server_id" : "d5cfa92995da40168c39b38d2aa478b3" }, { "job_id" : "4d0a42447cac4c9697b97f07934b74bd", "encode_server_id" : "00b00d1b35094f13b360cdfe15a9bfee" } ], "request_id" : "c775bdf09bc0400a9138199b346cab62"}

操作步骤 进入终端节点服务页面。 在终端节点服务列表右上角的过滤和搜索框可以快速定位终端节点服务： 通过终端节点服务的“名称”或者“ID”进行搜索： 在过滤框中选择“名称”或者“ID”。 在搜索框中输入关键字。 单击“”开始搜索。 搜索完成后，终端节点服务列表中显示包含关键字的终端节点服务。 通过终端节点服务预先设置的标签进行搜索： 在“标签搜索”中单击“”展开标签搜索区域。 输入标签“键”和“值”。 直接输入或者在下拉框中选择标签的“键”和“值”。 最多支持设置10组标签用于搜索终端节点服务。 单击“搜索”开始搜索。 搜索完成后，终端节点服务列表中显示设置了指定标签的终端节点服务。 若设置多组标签，则显示设置了所有指定标签的终端节点服务。 单击要查看的终端节点服务名称，您可以查看终端节点服务的基本信息。 图1 终端节点服务详情 终端节点服务详情中涉及的参数如表1所示。 表1 参数说明 页签 参数名称 说明 基本信息 名称 终端节点服务名称。 基本信息 ID 终端节点服务ID。 基本信息 后端资源类型 提供服务的后端资源类型。 基本信息 模式 终端节点服务的模式。 基本信息 网络类型 终端节点服务的网络类型。 基本信息 后端资源名称 提供服务的后端资源名称。 基本信息 虚拟私有云 终端节点服务所属VPC。 基本信息 状态 终端节点服务状态。 基本信息 连接审批 终端节点服务是否开启连接审批。 基本信息 服务类型 终端节点服务类型。 基本信息 创建时间 终端节点服务创建时间。 连接管理 终端节点ID 终端节点的ID。 连接管理 报文标识 终端节点ID的标识，用来识别是哪个终端节点。 连接管理 状态 终端节点的状态。 关于终端节点的各个状态，请查看终端节点服务和终端节点有哪些状态？。 连接管理 拥有者 终端节点创建者的账号ID。 连接管理 创建时间 终端节点的创建时间。 连接管理 操作 终端节点服务对终端节点的连接审批，可选择“接受”或“拒绝”。 权限管理 授权账号ID 连接访问终端节点的授权账号ID或者*。 若“授权账号ID”列为“*”，表示所有用户均可访问该终端节点服务。 权限管理 操作 对连接访问终端节点的授权账号进行操作，支持将授权账号从白名单中删除。 端口映射 协议 终端节点服务与终端节点进行通信支持的协议。 端口映射 服务端口 终端节点服务提供服务的端口。 端口映射 终端端口 终端节点访问终端节点服务的端口。 端口映射 操作 对已添加的端口映射信息进行操作。 标签 键 终端节点服务的标签“键”。 标签 值 终端节点服务的标签“值”。 标签 操作 对终端节点服务标签进行操作，可选择“编辑”或“删除”标签。