细粒度策略授权 登录 IAM 服务管理控制台，创建自定义策略。 具体操作，请参见《 统一身份认证 服务用户指南》中的创建自定义策略。 说明如下： 您必须使用IAM管理员用户，即属于admin用户组的用户，因为只有IAM管理员用户具备创建用户组及用户、修改用户组权限等操作权限。 由于 GaussDB (DWS)服务属于项目级服务，“作用范围”必须选择“项目级服务”，如果需要该策略对多个项目生效，需要对多个项目分别授权。 在IAM中，预置了以下两种GaussDB(DWS)策略模板。在创建自定义策略时，您可以选择以下模板，然后基于模板修改策略授权语句。 DWS Admin：拥有对 数据仓库 服务的所有执行权限。 DWS Viewer：拥有对数据仓库服务的只读权限。 在策略授权语句中，您可以在Action列表中，添加如授权项列表所述的GaussDB(DWS)资源操作或REST API对应的“授权项”，从而使策略获得相应的操作权限。 例如，在策略语句的Action列表中，添加“dws:cluster:create”，那么该策略就拥有了创建/恢复集群的权限。 如果需要使用其他服务，您同时还需授予其他服务的相关操作权限，具体内容请查阅相关服务的帮助文档。 例如，创建GaussDB(DWS) 集群时，需要配置集群所属的虚拟私有云，为了能获取VPC列表，您需在策略语句中添加授权项“vpc:*:get*”。 创建用户组。 具体操作，请参见《统一身份认证服务用户指南》中的创建用户组。 将用户加入用户组，并将新创建的自定义策略授权给用户组，使用户组中的用户具有策略定义的权限。 具体操作，请参见《统一身份认证服务用户指南》中的查看或修改用户组。

检查规则 当用户被授予多个策略，或者一个策略中包含多个授权语句，这些策略中既有Allow又有Deny的授权语句时，遵循Deny优先的原则。在用户访问资源时，权限检查逻辑如下。 图3 系统鉴权逻辑图 每条策略做评估时， Action之间是或(or)的关系。 用户访问系统，发起操作请求。 系统评估用户被授予的访问策略，鉴权开始。 在用户被授予的访问策略中，系统将优先寻找显式拒绝指令。如找到一个适用的显式拒绝，系统将返回Deny决定。 如果没有找到显式拒绝指令，系统将寻找适用于请求的任何Allow指令。如果找到一个显式允许指令，系统将返回Allow决定。 如果找不到显式允许，最终决定为Deny，鉴权结束。

授权项列表 在IAM中创建自定义策略时，您可以根据需求在策略授权语句的Action列表中添加GaussDB(DWS)资源操作或REST API所对应的“授权项”，使得该策略具有相应的操作权限。GaussDB(DWS) 细粒度策略的授权项列表如下： REST API GaussDB(DWS) REST API的授权项列表，请参见权限策略和授权项。 管理控制台操作 GaussDB(DWS)资源操作及对应的授权项如表1所示。 GaussDB(DWS)部分授权项依赖的授权项包括了E CS 、VPC、EVS、ELB、 MRS 或OBS等服务的授权项，如果这些服务没有对接相应的服务授权项，则需要添加对应服务的Admin系统权限。 由于GaussDB(DWS)接口较多，以下列表仅列举了重点高频操作接口，剩余未展示接口仅支持project项目（即IAM鉴权），不支持企业项目鉴权，故如果要使用，请在IAM鉴权界面配置。 表1 GaussDB(DWS) 资源操作授权项列表 GaussDB(DWS) 资源操作 授权项 依赖的授权项 授权项作用域 创建集群 "dws:cluster:create" "dws:*:get*", "dws:*:list*", "ecs:*:get*", "ecs:*:list*", "ecs:*:create*", "vpc:*:get*", "vpc:*:list*", "vpc:*:create*", "vpc:securityGroupRules:delete", "vpc:ports:update", "evs:*:get*", "evs:*:list*", "evs:*:create*", 支持： 项目（Project） 企业项目（Enterprise Project） 获取集群列表 "dws:cluster:list" -- 支持： 项目（Project） 企业项目（Enterprise Project） 获取单个集群详情 "dws:cluster:getDetail" "dws:*:get*", "dws:*:list*", "vpc:vpcs:list", "vpc:securityGroups:get" 支持： 项目（Project） 企业项目（Enterprise Project） 设置自动快照 "dws:cluster:setAutomatedSnapshot" "dws:backupPolicy:list" 支持： 项目（Project） 企业项目（Enterprise Project） 设置安全参数/参数组 "dws:cluster:setSecuritySettings" "dws:*:get*", "dws:*:list*", 支持： 项目（Project） 企业项目（Enterprise Project） 重启集群 "dws:cluster:restart" "dws:*:get*", "dws:*:list*", 支持： 项目（Project） 企业项目（Enterprise Project） 扩容集群 "dws:cluster:scaleOut" "dws:*:get*", "dws:*:list*", "dws:cluster:scaleOutOrOpenAPIResize", "ecs:*:get*", "ecs:*:list*", "ecs:*:create*", "vpc:*:get*", "vpc:*:list*", "vpc:*:create*", "vpc:*:update*", "evs:*:get*", "evs:*:list*", "evs:*:create*", 支持： 项目（Project） 企业项目（Enterprise Project） 使用API扩容集群或调整大小 "dws:cluster:scaleOutOrOpenAPIResize" "dws:*:get*", "dws:*:list*", "vpc:vpcs:list", "vpc:ports:create", "vpc:ports:get", "vpc:ports:update", "vpc:subnets:get", "vpc:subnets:update", "vpc:subnets:create", "vpc:routers:get", "vpc:routers:update", "vpc:networks:create", "vpc:networks:get", "vpc:networks:update", "ecs:serverInterfaces:use", "ecs:serverInterfaces:get", "ecs:cloudServerFlavors:get" 支持： 项目（Project） 企业项目（Enterprise Project） 重置密码 "dws:cluster:resetPassword" "dws:*:get*", "dws:*:list*", 支持： 项目（Project） 企业项目（Enterprise Project） 删除集群 "dws:cluster:delete" "dws:*:get*", "dws:*:list*", "ecs:*:get*", "ecs:*:list*", "ecs:*:delete*", "vpc:*:get*", "vpc:*:list*", "vpc:*:delete*", "evs:*:get*", "evs:*:list*", "evs:*:delete*", 支持： 项目（Project） 企业项目（Enterprise Project） 设置可维护时间段 "dws:cluster:setMaintainceWindow" "dws:*:get*", "dws:*:list*", 支持： 项目（Project） 企业项目（Enterprise Project） 绑定EIP "dws:eip:operate" "dws:*:get*", "dws:*:list*", "eip:*:get*", "eip:*:list*" 支持： 项目（Project） 企业项目（Enterprise Project） 解绑EIP "dws:eip:operate" "dws:*:get*", "dws:*:list*", "eip:*:get*", "eip:*:list*" 支持： 项目（Project） 企业项目（Enterprise Project） 创建DNS 域名 "dws:dns:create" "dws:*:get*", "dws:*:list*", 支持： 项目（Project） 企业项目（Enterprise Project） 释放DNS域名 "dws:dns:release" "dws:*:get*", "dws:*:list*", 支持： 项目（Project） 企业项目（Enterprise Project） 修改DNS域名 "dws:dns:edit" "dws:*:get*", "dws:*:list*", 支持： 项目（Project） 企业项目（Enterprise Project） 创建MRS连接 "dws:MRSConnection:create" "dws:*:get*", "dws:*:list*", "mrs:*:get*", "mrs:*:list*", "mrs:cluster:create", "ecs:*:get*", "ecs:*:list*", "ecs:*:create*", "vpc:*:get*", "vpc:*:list*", "vpc:*:create*", "evs:*:get*", "evs:*:list*", "evs:*:create*" 支持： 项目（Project） 企业项目（Enterprise Project） 更新MRS连接 "dws:MRSConnection:update" "dws:*:get*", "dws:*:list*", "mrs:*:get*", "mrs:*:list*", "mrs:cluster:create", "ecs:*:get*", "ecs:*:list*", "ecs:*:create*", "vpc:*:get*", "vpc:*:list*", "vpc:*:create*", "evs:*:get*", "evs:*:list*", "evs:*:create*" 支持： 项目（Project） 企业项目（Enterprise Project） 删除MRS连接 "dws:MRSConnection:delete" "dws:*:get*", "dws:*:list*", "mrs:*:get*", "mrs:*:list*", "mrs:cluster:create" "ecs:*:get*", "ecs:*:list*", "ecs:*:delete*", "vpc:*:get*", "vpc:*:list*", "vpc:*:delete*", "evs:*:get*", "evs:*:list*", "evs:*:delete*", 支持： 项目（Project） 企业项目（Enterprise Project） MRS数据源列表 "dws:MRSSource:list" "mrs:cluster:list", "mrs:tag:listResource", "mrs:tag:list", "dws:*:get*", "dws:*:list*" 支持： 项目（Project） 企业项目（Enterprise Project） 添加/删除标签 "dws:tag:addAndDelete" "dws:*:get*", "dws:*:list*", "dws:openAPITag:update", "dws:openAPITag:getResourceTag", 支持： 项目（Project） 企业项目（Enterprise Project） 编辑标签 "dws:tag:edit" "dws:*:get*", "dws:*:list*", "dws:openAPITag:update", "dws:openAPITag:getResourceTag", 支持： 项目（Project） 企业项目（Enterprise Project） 创建快照 "dws:snapshot:create" "dws:*:get*", "dws:*:list*", 支持： 项目（Project） 企业项目（Enterprise Project） 获取快照列表 "dws:snapshot:list" -- 支持： 项目（Project） 企业项目（Enterprise Project） 查看单个集群快照列表 "dws:clusterSnapshot:list" "dws:cluster:list", "dws:openAPICluster:getDetail" 支持： 项目（Project） 企业项目（Enterprise Project） 删除快照 "dws:snapshot:delete" "dws:snapshot:list" 支持： 项目（Project） 企业项目（Enterprise Project） 复制快照 "dws:snapshot:copy" "dws:snapshot:list", "dws:snapshot:create" 支持： 项目（Project） 企业项目（Enterprise Project） 恢复到新集群 "dws:cluster:restore" "dws:*:get*", "dws:*:list*", "ecs:*:get*", "ecs:*:list*", "ecs:*:create*", "vpc:*:get*", "vpc:*:list*", "vpc:*:create*", "evs:*:get*", "evs:*:list*", "evs:*:create*" 支持： 项目（Project） 企业项目（Enterprise Project） 集群调整大小 "dws:cluster:resize" "dws:*:get*", "dws:*:list*", "ecs:*:get*", "ecs:*:list*", "ecs:*:create*", "ecs:*:delete*", "vpc:*:get*", "vpc:*:list*", "vpc:*:create*", "vpc:*:delete*", "evs:*:get*", "evs:*:list*", "evs:*:create*", "evs:*:delete*" 支持： 项目（Project） 企业项目（Enterprise Project） 主备恢复 "dws:cluster:switchover" "dws:*:get*", "dws:*:list*" 支持： 项目（Project） 企业项目（Enterprise Project） 查询弹性负载均衡列表 "dws:elb:list" "dws:*:get*", "dws:*:list*", "elb:*:get*", "elb:*:list*", 支持： 项目（Project） 企业项目（Enterprise Project） 绑定弹性负载均衡 "dws:elb:bind" "dws:*:get*", "dws:*:list*", "ecs:*:get*", "ecs:*:list*", "vpc:*:get*", "vpc:*:list*", "evs:*:get*", "evs:*:list*", "elb:*:get*", "elb:*:list*", "elb:*:delete*", "elb:*:create*", 支持： 项目（Project） 企业项目（Enterprise Project） 解绑弹性负载均衡 "dws:elb:unbind" "dws:*:get*", "dws:*:list*", "ecs:*:get*", "ecs:*:list*", "vpc:*:get*", "vpc:*:list*", "evs:*:get*", "evs:*:list*", "elb:*:get*", "elb:*:list*", "elb:*:delete*", 支持： 项目（Project） 企业项目（Enterprise Project） 查询快照配置参数 "dws:snapshotConfig:list" "dws:*:get*", "dws:*:list*", 支持： 项目（Project） 企业项目（Enterprise Project） 更新快照策略 "dws:backupPolicyDetail:update" "dws:*:get*", "dws:*:list*", 支持： 项目（Project） 企业项目（Enterprise Project） 删除快照策略 "dws:backupPolicy:delete" "dws:*:get*", "dws:*:list*", 支持： 项目（Project） 企业项目（Enterprise Project） 查询快照策略 "dws:backupPolicy:list" "dws:cluster:list" 支持： 项目（Project） 企业项目（Enterprise Project） 查询集群加密信息 "dws:clusterEncryptInfo:list" "dws:*:get*", "dws:*:list*", "KMS Administrator" 支持： 项目（Project） 企业项目（Enterprise Project） 创建代理 "dws:createAgency:create" "dws:*:get*", "dws:*:list*", "security administrator" 支持： 项目（Project） 企业项目（Enterprise Project） 查询obs桶信息 "dws:queryBuckets:list" "dws:*:get*", "dws:*:list*", 支持： 项目（Project） 企业项目（Enterprise Project） 扩容节点 "dws:expandWithExistedNodes:update" "dws:*:get*", "dws:*:list*", "ecs:*:get*", "ecs:*:list*", "ecs:*:create*", "vpc:*:get*", "vpc:*:list*", "vpc:*:create*", "vpc:*:update*", "evs:*:get*", "evs:*:list*", "evs:*:create*"， 支持： 项目（Project） 企业项目（Enterprise Project） 删除容灾备份 "dws:disasterRecovery:delete" "dws:*:get*", "dws:*:list*", "ecs:*:get*", "ecs:*:list*", "ecs:*:delete*", "vpc:*:get*", "vpc:*:list*", "vpc:*:delete*", "evs:*:get*", "evs:*:list*", "evs:*:delete*" 支持： 项目（Project） 企业项目（Enterprise Project） 创建容灾备份 "dws:disasterRecovery:create" "dws:*:get*", "dws:*:list*", "ecs:*:get*", "ecs:*:list*", "ecs:*:create*", "vpc:*:get*", "vpc:*:list*", "vpc:*:create*", "evs:*:get*", "evs:*:list*", "evs:*:create*"， 支持： 项目（Project） 企业项目（Enterprise Project） 容灾备份其他操作 "dws:disasterRecovery:otherOperate" "dws:*:get*", "dws:*:list*", "ecs:*:get*", "ecs:*:list*", "ecs:*:create*", "vpc:*:get*", "vpc:*:list*", "vpc:*:create*", "evs:*:get*", "evs:*:list*", "evs:*:create*" 支持： 项目（Project） 企业项目（Enterprise Project） 容灾备份查询操作 "dws:disasterRecovery:get" "dws:*:get*", "dws:*:list*", "ecs:*:get*", "ecs:*:list*", "vpc:*:get*", "vpc:*:list*", "evs:*:get*", "evs:*:list*" 支持： 项目（Project） 企业项目（Enterprise Project） 增加CN节点 "dws:module:install" "dws:*:get*", "dws:*:list*", 支持： 项目（Project） 企业项目（Enterprise Project） 删除CN节点 "dws:module:uninstall" "dws:*:get*", "dws:*:list*", 支持： 项目（Project） 企业项目（Enterprise Project） 删除节点 "dws:clusterNodes:operate" "dws:*:get*", "dws:*:list*" 支持： 项目（Project） 企业项目（Enterprise Project） 更新节点别名 dws:instanceAliasName:update dws:cluster:list 支持： 项目（Project） 企业项目（Enterprise Project） 实施重分布 "dws:redistribution:operate" "dws:*:get*", "dws:*:list*", 支持： 项目（Project） 企业项目（Enterprise Project） 查询重分布 "dws:redistributionInfo:list" "dws:*:get*", "dws:*:list*", 支持： 项目（Project） 企业项目（Enterprise Project） 停止重分布 "dws:redistribution:suspend" "dws:*:get*", "dws:*:list*", 支持： 项目（Project） 企业项目（Enterprise Project） 恢复重分布 "dws:redistribution:recover" "dws:*:get*", "dws:*:list*", 支持： 项目（Project） 企业项目（Enterprise Project） 磁盘扩容 "dws:disk:expand" "dws:*:get*", "dws:*:list*", "ecs:*:get*", "ecs:*:list*", "ecs:*:create*", "vpc:*:get*", "vpc:*:list*", "vpc:*:create*", "evs:*:get*", "evs:*:list*", "evs:*:create*"， 支持： 项目（Project） 企业项目（Enterprise Project） 集群缩容 "dws:cluster:shrink" "dws:*:get*", "dws:*:list*", "dws:createAgency:create", "ecs:*:get*", "ecs:*:list*", "ecs:*:delete*", "vpc:*:get*", "vpc:*:list*", "vpc:*:delete*", "evs:*:get*", "evs:*:list*", "evs:*:delete*" 支持： 项目（Project） 企业项目（Enterprise Project） 查询规格产品信息 "dws:specProduct:list" "dws:*:get*", "dws:*:list*", "ecs:*:get*", "ecs:*:list*" 支持： 项目（Project） 企业项目（Enterprise Project） 按需转包周期 "dws:ondemandToPeriod:operate" "dws:*:get*", "dws:*:list*", "ecs:*:get*", "ecs:*:list*", "ecs:*:create*", "vpc:*:get*", "vpc:*:list*", "vpc:*:create*", "vpc:securityGroupRules:delete", "evs:*:get*", "evs:*:list*", "evs:*:create*"， "bss:coupon:view", "bss:order:pay", "bss:order:view", "bss:contract:update", "bss:balance:view", "bss:renewal:view", "bss:unsubscribe:update", "bss:renewal:update", "bss:order:update" 支持： 项目（Project） 企业项目（Enterprise Project） 获取DWS资源 "dws:resources:list" "dws:*:get*", "dws:*:list*", "ecs:*:get*", "ecs:*:list*", "ecs:*:create*", "vpc:*:get*", "vpc:*:list*", "vpc:*:create*", "evs:*:get*", "evs:*:list*", "evs:*:create*"， "bss:coupon:view", "bss:order:pay", "bss:order:view", "bss:contract:update", "bss:balance:view", "bss:renewal:view", "bss:unsubscribe:update", "bss:renewal:update", "bss:order:update" 支持： 项目（Project） 企业项目（Enterprise Project） 修改包周期集群 "dws:periodCluster:modify" "dws:*:get*", "dws:*:list*", "ecs:*:get*", "ecs:*:list*", "ecs:*:delete*", "vpc:*:get*", "vpc:*:list*", "vpc:*:delete*", "evs:*:get*", "evs:*:list*", "evs:*:delete*", "bss:coupon:view", "bss:order:pay", "bss:order:view", "bss:contract:update", "bss:balance:view", "bss:renewal:view", "bss:unsubscribe:update", "bss:renewal:update", "bss:order:update" 支持： 项目（Project） 企业项目（Enterprise Project） 创建包周期集群 "dws:periodCluster:create" "dws:*:get*", "dws:*:list*", "ecs:*:get*", "ecs:*:list*", "ecs:*:create*", "vpc:*:get*", "vpc:*:list*", "vpc:*:create*", "evs:*:get*", "evs:*:list*", "evs:*:create*"， "bss:coupon:view", "bss:order:pay", "bss:order:view", "bss:contract:update", "bss:balance:view", "bss:renewal:view", "bss:unsubscribe:update", "bss:renewal:update", "bss:order:update" 支持： 项目（Project） 企业项目（Enterprise Project） 创建集群前检查 "dws:checkCluster:create" "dws:*:get*", "dws:*:list*", "ecs:*:get*", "ecs:*:list*", "ecs:*:create*", "vpc:*:get*", "vpc:*:list*", "vpc:*:create*", "evs:*:get*", "evs:*:list*", "evs:*:create*"， 支持： 项目（Project） 企业项目（Enterprise Project） 包周期集群磁盘扩容前检查 "dws:periodExpandPrecheck:operate" "dws:*:get*", "dws:*:list*", "ecs:*:get*", "ecs:*:list*", "ecs:*:create*", "vpc:*:get*", "vpc:*:list*", "vpc:*:create*", "evs:*:get*", "evs:*:list*", "evs:*:create*"， 支持： 项目（Project） 企业项目（Enterprise Project） 绑定管理面IP "dws:bindManageIp:operate" "dws:*:get*", "dws:*:list*" 支持： 项目（Project） 企业项目（Enterprise Project） 获取用户授权 "dws:checkAuthorize:operate" "dws:*:get*", "dws:*:list*", "dws:checkSupport:operate" 支持： 项目（Project） 企业项目（Enterprise Project） 用户授权 "dws:authorize:operate" "dws:*:get*", "dws:*:list*", "dws:checkSupport:operate" 支持： 项目（Project） 企业项目（Enterprise Project） 获取用户数据库 "dws:userDatabase:list" "dws:*:get*", "dws:*:list*", "dws:checkSupport:operate" 支持： 项目（Project） 企业项目（Enterprise Project） 获取用户结构 "dws:schemas:list" "dws:*:get*", "dws:*:list*", "dws:checkSupport:operate" 支持： 项目（Project） 企业项目（Enterprise Project） 获取用户表 "dws:tables:list" "dws:*:get*", "dws:*:list*", 支持： 项目（Project） 企业项目（Enterprise Project） 表恢复 "dws:tableRestore:operate" "dws:*:get*", "dws:*:list*", 支持： 项目（Project） 企业项目（Enterprise Project） 用户恢复表名检测 "dws:tableRestoreCheck:operate" "dws:*:get*", "dws:*:list*", 支持： 项目（Project） 企业项目（Enterprise Project） 检测集群是否支持细粒度备份 "dws:checkSupport:operate" "dws:*:get*", "dws:*:list*", 支持： 项目（Project） 企业项目（Enterprise Project） 查询支持变更的规格列表 "dws:supportFlavors:list" "dws:*:get*", "dws:*:list*", 支持： 项目（Project） 企业项目（Enterprise Project） 执行弹性变更规格 "dws:specResize:operate" "dws:*:get*", "dws:*:list*", "ecs:*:get*", "ecs:*:list*", "ecs:*:create*" 支持： 项目（Project） 企业项目（Enterprise Project） 停止快照 "dws:snapshot:stop" "dws:snapshot:list" 支持： 项目（Project） 企业项目（Enterprise Project） 终止会话 "dws:dmsSession:terminate" "dws:dmsGrpcOuter:operation" 支持： 项目（Project） 企业项目（Enterprise Project） 负荷诊断报告操作 "dws:dmsWorkloadDiagnosisReport:create" "dws:dmsGrpcOuter:operation" 支持： 项目（Project） 企业项目（Enterprise Project） 修改告警规则 "dws:dmsAlarmRule:update" "dws:dmsQuery:list" 支持： 项目（Project） 企业项目（Enterprise Project） 启用告警规则 "dws:dmsAlarmRule:enable" "dws:dmsQuery:list" 支持： 项目（Project） 企业项目（Enterprise Project） 启用集群告警 "dws:dmsClusterAlarm:enable" "dws:dmsQuery:list" 支持： 项目（Project） 企业项目（Enterprise Project） 禁用集群告警 "dws:dmsClusterAlarm:disable" "dws:dmsQuery:list" 支持： 项目（Project） 企业项目（Enterprise Project） GRPC对外服务 "dws:dmsGrpcOuter:operation" "dws:dmsQuery:list", "dws:cluster:setSecuritySettings", "obs:bucket:ListAllMyBuckets" 支持： 项目（Project） 企业项目（Enterprise Project） 新增SQL探针 "dws:dmsProbe:add" "dws:dmsGrpcOuter:operation" 支持： 项目（Project） 企业项目（Enterprise Project） 修改SQL探针 "dws:dmsProbe:update" "dws:dmsGrpcOuter:operation" 支持： 项目（Project） 企业项目（Enterprise Project） 删除SQL探针 "dws:dmsProbe:delete" "dws:dmsGrpcOuter:operation" 支持： 项目（Project） 企业项目（Enterprise Project） 启用/禁用SQL探针 "dws:dmsProbe:enable" "dws:dmsGrpcOuter:operation" 支持： 项目（Project） 企业项目（Enterprise Project） 创建用户面板 "dws:dmsUserBoard:create" "dws:dmsQuery:list" 支持： 项目（Project） 企业项目（Enterprise Project） 修改用户面板 "dws:dmsUserBoard:update" "dws:dmsQuery:list" 支持： 项目（Project） 企业项目（Enterprise Project） 删除用户面板 "dws:dmsUserBoard:delete" "dws:dmsQuery:list" 支持： 项目（Project） 企业项目（Enterprise Project） 终止查询 "dws:dmsQuery:terminate" "dws:dmsGrpcOuter:operation" 支持： 项目（Project） 企业项目（Enterprise Project） 启停DMS监控服务 "dws:dmsService:enableOrDisable" "dws:dmsQuery:list" 支持： 项目（Project） 企业项目（Enterprise Project） 修改DMS存储配置 "dws:dmsStorageConfig:modify" "dws:dmsQuery:list" 支持： 项目（Project） 企业项目（Enterprise Project） DDL审核创建获取 "dws:dmsDdlExamine:getOrCreate" "dws:dmsGrpcOuter:operation" 支持： 项目（Project） 企业项目（Enterprise Project） 负荷快照操作 "dws:dmsWorkloadDiagnosisSnapshot:create" "dws:dmsGrpcOuter:operation" 支持： 项目（Project） 企业项目（Enterprise Project） 创建告警规则 "dws:dmsAlarmRule:add" "dws:dmsQuery:list" 支持： 项目（Project） 企业项目（Enterprise Project） 删除告警规则 "dws:dmsAlarmRule:delete" "dws:dmsQuery:list" 支持： 项目（Project） 企业项目（Enterprise Project） 执行SQL探针 "dws:dmsProbe:execute" "dws:dmsGrpcOuter:operation" 支持： 项目（Project） 企业项目（Enterprise Project） 删除监控项 "dws:dmsPerformanceMonitor:delete" "dws:dmsQuery:list" 支持： 项目（Project） 企业项目（Enterprise Project） 启停DMS监控采集项 "dws:dmsCollectItem:enableOrDisable" "dws:dmsGrpcOuter:operation" 支持： 项目（Project） 企业项目（Enterprise Project） 修改DMS监控采集配置 "dws:dmsCollectConfig:modify" "dws:dmsGrpcOuter:operation" 支持： 项目（Project） 企业项目（Enterprise Project） 条件查询 "dws:dmsQuery:list" "dws:cluster:list" 支持： 项目（Project） 企业项目（Enterprise Project） OPENAPI条件查询 "dws:dmsOpenapiQuery:list" "dws:cluster:list" 支持： 项目（Project） 企业项目（Enterprise Project） 禁用告警规则 "dws:dmsAlarmRule:disable" "dws:dmsQuery:list" 支持： 项目（Project） 企业项目（Enterprise Project） 删除告警记录 "dws:dmsAlarmRecord:delete" "dws:dmsQuery:list" 支持： 项目（Project） 企业项目（Enterprise Project） 检查SQL探针 "dws:dmsProbe:check" "dws:dmsGrpcOuter:operation" 支持： 项目（Project） 企业项目（Enterprise Project） 新增监控项 "dws:dmsPerformanceMonitor:add" "dws:dmsQuery:list" 支持： 项目（Project） 企业项目（Enterprise Project） 修改监控项 "dws:dmsPerformanceMonitor:update" "dws:dmsQuery:list" 支持： 项目（Project） 企业项目（Enterprise Project） 下载历史监控趋势 "dws:dmsTrendHistory:down" "dws:dmsQuery:list" 支持： 项目（Project） 企业项目（Enterprise Project） 获取集群ring环信息 "dws:ring:list" "dws:*:get*", "dws:*:list*" 支持： 项目（Project） 企业项目（Enterprise Project） 获取群进程拓扑 "dws:processTopo:list" "dws:*:get*", "dws:*:list*" 支持： 项目（Project） 企业项目（Enterprise Project） 查询智能运维信息 "dws:operationalTask:get" "dws:*:get*", "dws:*:list*" 支持： 项目（Project） 企业项目（Enterprise Project） 智能运维执行操作 "dws:operationalTask:operate" "dws:*:get*", "dws:*:list*" 支持： 项目（Project） 企业项目（Enterprise Project） 逻辑集群增删改操作 "dws:logicalCluster:operate" "dws:*:get*", "dws:*:list*" 支持： 项目（Project） 企业项目（Enterprise Project） 逻辑集群查询操作 "dws:logicalCluster:get" "dws:*:get*", "dws:*:list*" 支持： 项目（Project） 企业项目（Enterprise Project） 逻辑集群弹性计划操作 "dws:logicalClusterPlan:operate" "dws:*:get*", "dws:*:list*", "dws:logicalCluster:*", "dws:cluster:scaleOut", "iam:agencies:*", "iam:permissions:*Agency*" 支持： 项目（Project） 企业项目（Enterprise Project） 创建终端节点服务 "dws:vpcEndpointService:create" "dws:*:get*", "dws:*:list*" 支持： 项目（Project） 企业项目（Enterprise Project） 查询资源管理信息 "dws:workLoadManager:get" "dws:*:get*", "dws:*:list*" 支持： 项目（Project） 企业项目（Enterprise Project） 资源管理相关操作 "dws:workLoadManager:operate" "dws:*:get*", "dws:*:list*" 支持： 项目（Project） 企业项目（Enterprise Project） 云日志 服务相关操作 "dws:ltsAccess:operate" "dws:*:get*", "dws:*:list*" 支持： 项目（Project） 企业项目（Enterprise Project） 查询云日志服务信息 "dws:ltsAccess:get" "dws:*:get*", "dws:*:list*" 支持： 项目（Project） 企业项目（Enterprise Project） 查询事件信息 "dws:event:list" "dws:*:get*", "dws:*:list*" 不支持 企业项目（Enterprise Project） 支持： 项目（Project） 查询事件规格信息 "dws:event:list" "dws:*:get*", "dws:*:list*" 不支持 企业项目（Enterprise Project） 支持： 项目（Project） 查询事件订阅信息 "dws:eventSub:list" "dws:*:get*", "dws:*:list*" 不支持 企业项目（Enterprise Project） 支持： 项目（Project） 创建事件订阅信息 "dws:eventSub:create" "dws:*:get*", "dws:*:list*", 不支持 企业项目（Enterprise Project） 支持： 项目（Project） 更新事件订阅信息 "dws:eventSub:update" "dws:*:get*", "dws:*:list*" 不支持 企业项目（Enterprise Project） 支持： 项目（Project） 删除事件订阅信息 "dws:eventSub:delete" "dws:*:get*", "dws:*:list*" 不支持 企业项目（Enterprise Project） 支持： 项目（Project） 查询告警统计信息 "dws:alarmStatistic:list" "dws:*:get*", "dws:*:list*" 不支持 企业项目（Enterprise Project） 支持： 项目（Project） 查询告警详情信息 "dws:alarmDetail:list" "dws:*:get*", "dws:*:list*" 不支持 企业项目（Enterprise Project） 支持： 项目（Project） 查询告警配置信息 "dws:alarmConfig:list" "dws:*:get*", "dws:*:list*" 不支持 企业项目（Enterprise Project） 支持： 项目（Project） 查询告警订阅信息 "dws:alarmSub:list" "dws:*:get*", "dws:*:list*" 不支持 企业项目（Enterprise Project） 支持： 项目（Project） 创建告警订阅信息 "dws:alarmSub:create" "dws:*:get*", "dws:*:list*", 不支持 企业项目（Enterprise Project） 支持： 项目（Project） 更新告警订阅信息 "dws:alarmSub:update" "dws:*:get*", "dws:*:list*" 不支持 企业项目（Enterprise Project） 支持： 项目（Project） 删除告警订阅信息 "dws:alarmSub:delete" "dws:*:get*", "dws:*:list*" 不支持 企业项目（Enterprise Project） 支持： 项目（Project） 下发集群升级相关操作（升级、回滚、提交、重试） "dws:cluster:doUpdate" "dws:*:get*", "dws:*:list*" 不支持 企业项目（Enterprise Project） 支持： 项目（Project） 查询集群可用的升级路径信息 "dws:cluster:getUpgradePaths" "dws:*:get*", "dws:*:list*" 不支持 企业项目（Enterprise Project） 支持： 项目（Project） 查询集群升级记录 "dws:cluster:getUpgradeRecords" "dws:*:get*", "dws:*:list*" 不支持 企业项目（Enterprise Project） 支持： 项目（Project） 启动集群 "dws:cluster:startCluster" "dws:*:get*", "dws:*:list*", "ecs:*:get*", "ecs:*:list*", "ecs:*:start", "ecs:*:stop" 不支持 企业项目（Enterprise Project） 支持： 项目（Project） 停止集群 "dws:cluster:stopCluster" "dws:*:get*", "dws:*:list*", "ecs:*:get*", "ecs:*:list*", "ecs:*:start", "ecs:*:stop" 不支持 企业项目（Enterprise Project） 支持： 项目（Project）

策略语法 在IAM左侧导航窗格中，单击“策略”，单击策略名称，可以查看策略的详细内容，以“DWS ReadOnlyAccess”为例，说明细粒度策略的语法。 图2 设置策略 { "Version": "1.1", "Depends": [], "Statement": [ { "Effect": "Allow", "Action": [ "dws:*:get*", "dws:*:list*", "ecs:*:get*", "ecs:*:list*", "vpc:*:get*", "vpc:*:list*", "evs:*:get*", "evs:*:list*", "mrs:*:get*", "bss:*:list*", "bss:*:get*" ] } ] } Version：标识策略的版本号，主要用于区分Role-Based Access Control（RBAC）策略和细粒度策略。 1.0：RBAC策略。RBAC策略是将服务作为一个整体进行授权，授权后，用户可以拥有这个服务的所有权限。 1.1：经典细粒度策略。相比RBAC策略，细粒度策略基于服务的API接口进行权限拆分，授权更加精细。授权后，用户可以对这个服务执行特定的操作。细粒度策略包括系统预置和用户自定义两种。 Depends：依赖项。 Statement：策略授权语句，描述策略的详细信息，包含Effect（作用）和Action（授权项）。 Effect（作用） 作用包含两种：Allow（允许）和Deny（拒绝），系统预置策略仅包含Allow（允许）的授权语句，自定义策略中可以同时包含Allow（允许）和Deny（拒绝）的授权语句，当策略中既有Allow（允许）又有Deny（拒绝）的授权语句时，遵循Deny（拒绝）优先的原则。 Action（授权项） 对资源的具体操作权限，格式为：“服务名:资源类型:操作”，支持单个或多个操作权限，支持通配符号*，通配符号表示所有。 示例："dws:cluster:create"，其中dws为服务名，cluster为资源类型，create为操作，该授权项表示创建GaussDB(DWS) 集群的权限。

步骤3：（可选）激活站点 购买“部署位置”为“公有云”的数字化制造基础服务后，您还需要按照界面指引激活站点，才能使用数字化制造基础服务。 登录CraftArts IPDCenter控制台。 在左侧导航栏中，单击“数字化制造基础服务”，进入数字化制造基础服务页面。 选择“公有云运行服务”页签，单击服务记录左侧的。 在“状态”为“新建”的站点“操作”列中单击“激活站点”，系统弹出“激活站点”窗口。 选择组织。 （可选）没有组织或想创建新的组织时，请参考以下步骤创建组织： 单击“没有组织？去创建”。 在弹出的“创建组织”窗口中，输入组织名称，单击“下一步”。 组织名称由1~60个中文、英文、数字及合法字符组成。 在弹出的“设置组织的域名”窗口中，配置组织的域名，单击“下一步”。 输入组织简称，可使用2~30位字母、数字或它们的组合，如abc，后缀名为固定的.orgid.top。 设置组织域名后，管理员为组织创建成员时，成员的管理式华为账号会默认带有固定域名后缀。如设置的组织域名为abc.orgid.top，那么管理员创建的成员账号名显示则会为xxx@abc.orgid.top。OrgID支持使用自有域名，可在域名管理中添加域名并在创建成员时选择账号后缀的域名。 阅读“管理式华为账号”相关声明，单击“同意”。 组织创建成功，返回至“激活站点”窗口。 单击“请选择”的下拉框，在已有的组织列表中选择组织。 单击“确定”。 站点激活成功后，即可通过控制台或Web网页方式登录数字化制造基础服务。

步骤2：购买数字化制造基础服务 用户可以根据实际业务需求，在CraftArts IPDCenter控制台购买数字化制造基础服务。针对不同的应用场景，用户可以自定义站点数量、用户数量和购买时长，全方位贴合实际业务诉求。 进入购买数字化制造基础服务页面。 根据页面提示，配置如下信息。 表1 数字化制造基础服务配置说明 类型 配置项 配置说明 基础配置 部署位置 数字化制造基础服务的部署位置，支持“公有云”和“边缘云”。 可用区 仅“部署位置”选择“边缘云”时显示。选择数字化制造基础服务所属的可用区。 可选值来源于位置服务（Location Service，LCS ）授予账号使用的对应边缘可用区（Availability Zone，AZ）。 计费模式 包年/包月：数字化制造基础服务的预付费模式。 运行服务名称 用户自定义，表示需要购买的数字化制造基础服务的名称。 企业项目 仅对开通企业项目的企业客户账号显示。如需使用该功能，请联系客服申请开通。 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理，默认项目为default。了解更多企业项目相关信息，请参见企业项目管理。 虚拟私有云 仅“部署位置”选择“边缘云”时显示。表示在华为云上构建的逻辑隔离的网络空间，一个虚拟私有云由至少一个子网组成。系统会为您在每个地域提供默认的虚拟私有云和子网。 如现有的虚拟私有云/子网不符合您的要求，可以在虚拟私有云控制台进行创建，具体操作请参见创建虚拟私有云和子网。 同一虚拟私有云内资源默认内网互通。 安全组 仅“部署位置”选择“边缘云”时显示。表示一个逻辑上的分组，为具有相同安全保护需求并相互信任的云服务器提供访问策略。系统会为您提供一个默认安全组，默认安全组的规则是在出方向上的数据报文全部放行，入方向访问受限，安全组内的云服务器无需添加规则即可互相访问。 如现有的安全组不符合您的要求，可以在虚拟私有云控制台进行创建，具体操作请参见创建安全组。 站点配置 站点 通常一个站点对应一个物理的制造基地（工厂）。站点数量最少为1。 单击“增加站点”，可增加您需要购买站点的数量。 单击“删除”，可减少您需要购买站点的数量。 用户数量 设置对应站点您需要购买用户的数量。单个站点的对应的用户数量最少为1。 购买时长 - 选择您需要购买的数字化制造基础服务的时长。 勾选“自动续费”，可避免数字化制造基础服务到期时需要进行手动续费的操作。 单击“下一步”，进入待购买服务规格确认页面。 确认购买清单中的资源配置信息后，阅读并勾选同意协议。 协议详细内容请参见CraftArts IPDCenter服务声明。 单击“立即购买”。 购买包年/包月的数字化制造基础服务，请根据页面提示完成支付。 待系统提示购买成功后，即可进入CraftArts IPDCenter控制台查收您的数字化制造基础服务。

注意事项 数字化制造基础服务目前仅在华北-北京四、华南-广州上线，请在控制台页面左上角的区域中选择“华北-北京四”或“华南-广州”。 1个华为账号只能购买5个数字化制造基础服务站点（不同区域、部署位置分开计算）。 仅当购买“部署位置”为“公有云”的数字化制造基础服务时才需要进行激活站点操作： 1个数字化制造基础服务站点只能绑定1个组织，且1个组织不能同时被多个数字化制造基础服务站点绑定。 站点所绑定的组织的创建者即数字化制造基础服务业务系统的超级管理员。

创建OBS桶 ModelArts使用 对象存储服务 （Object Storage Service，简称OBS）进行数据存储以及模型的备份和快照，实现安全、高可靠和低成本的存储需求。因此，在使用ModelArts之前通常先创建一个OBS桶，然后在OBS桶中创建文件夹用于存放数据。 本文档也以将运行代码以及输入输出数据存放OBS为例，请参考创建OBS桶，例如桶名：standard-llama2-13b。并在该桶下创建文件夹目录用于后续存储代码使用，例如：training_data。

使用行业视频管理账号登录行业视频管理后台 进入行业视频管理服务后台。 在华为账号登录框下方，单击“行业视频管理帐号”，进入行业视频管理服务登录界面。 单击“注册账号”。 在注册页面，输入手机号、验证码、密码、验证码并确认密码，完成后勾选协议，单击“注册”。 此处注册的行业视频管理服务账号与 注册华为账号 并开通华为云中注册的华为账号（华为云实名认证）不同。 行业视频管理服务账号用于登录行业视频管理服务后台，创建企业后可以对所在企业或组织的人员、设备等进行管理。 华为账号指真实的个人或企业登录华为云的账号信息，客户的基本信息、订单信息、费用信息都和客户的账号相关联。 进入行业视频管理帐号登录页面进行登录。

使用华为账号登录行业视频管理后台 进入行业视频管理服务后台。 在华为账号登录框，使用已有的华为账号直接登录。 如果没有华为账号，单击“注册”，进入账号注册界面。 单击选中“华为账号”，在华为账号注册页面，输入手机号、验证码、密码并确认密码，单击“注册”。 如果需要注册行业视频管理账号，则单击选中“行业视频管理服务账号”，跳转至行业视频管理服务账号注册页面，参考登录行业视频管理后台进行创建。 此处注册的华为账号与注册华为账号并开通华为云中注册的华为账号（华为云实名认证）不同。 此处的华为账号用于登录行业视频管理服务后台，创建企业后可以对所在企业或组织的人员、设备等进行管理。 注册华为账号并开通华为云中的华为账号指真实的个人或企业登录华为云的账号信息，客户的基本信息、订单信息、费用信息都和客户的账号相关联。 进入华为帐号登录界面登录。

策略语法 给用户组选择策略时，单击策略下方的，可以查看策略的详细内容，以“DWS Administrator”为例，说明RBAC策略的语法。 图2 RBAC策略语法 { "Version": "1.0", "Statement": [ { "Effect": "Allow", "Action": [ "dws:dws:*" ] } ], "Depends": [ { "catalog": "BASE", "display_name": "Server Administrator" }, { "catalog": "BASE", "display_name": "Tenant Guest" } ] } 参数 含义 值 Version 策略的版本。 固定为“1.0”。 Statement Action 定义对GaussDB(DWS) 的具体操作。 格式为：服务名:资源类型:操作 "dws:dws:*"，表示对GaussDB(DWS) 的所有操作，其中dws为服务名称；“*”为通配符，表示对所有GaussDB(DWS) 的资源类型可以执行所有操作。 Effect 定义Action中所包含的具体操作是否允许执行。 Allow：允许执行。 Deny：不允许执行。 Depends catalog 依赖的其他策略的所属目录。 服务名称 例如：BASE display_name 依赖的其他权限的名称。 权限名称 例如：Server Administrator 在使用RBAC鉴权时要注意Depends参数，使用时要把依赖的其他权限同时授予。 例如DWS Administrator权限使用时依赖Server Administrator以及Tenant Guest，在给用户授权时要同时把依赖的两个权限授予用户。

创建OBS操作步骤 登录OBS管理控制台，在桶列表页面右上角单击“创建桶”，创建OBS桶。例如，创建名称为“c-flowers”的OBS桶。 图2 创建桶 创建桶的区域需要与ModelArts所在的区域一致。例如：当前ModelArts在华北-北京一区域，在对象存储服务创建桶时，请选择华北-北京一。 如何查看OBS桶与ModelArts的所处区域，请参见查看OBS桶与ModelArts是否在同一区域。 请勿开启桶加密，ModelArts不支持加密的OBS桶，会导致ModelArts读取OBS中的数据失败。 在桶列表页面，单击桶名称，进入该桶的概览页面。 图3 桶列表 单击左侧导航的“对象”，在对象页面单击新建文件夹，创建OBS文件夹。例如，在已创建的OBS桶“c-flowers”中新建一个文件夹“flowers”。 图4 新建文件夹 在OBS桶中创建完文件夹，既可以上传文件，上传文件操作请参见

添加密钥 登录RES管理控制台，在左侧导航栏单击“全局配置”，进入“全局配置”页面。 单击“添加密钥””，填写获取的访问密钥。 访问密钥（AK）：输入密钥文件中的Access Key Id字段内容。 私有访问密钥（SK）：输入密钥文件中Secret Access Key字段内容。 在添加AK/SK前，需要在OBS至少创建一个桶，否则会校验失败。具体操作请参见创建OBS桶。 请确保所填写的AK、SK为当前账号所获取的。 如果您添加访问密钥时，提示“上传的AK/SK不可用”，可能账号状态异常，欠费或被冻结。如有欠费，请您为华为云账户充值。如有其它问题请您提工单联系工程师解决。 单击“确认”，完成访问密钥的添加。

注册华为账号并开通华为云 在使用华为云服务之前您需要申请华为云账号并进行实名认证。通过此账号，您可以使用所有华为云服务，并且只需为您所使用的服务付费。 如果您已有一个华为云账号，请跳到下一个任务。如果您还没有华为云账号，请参考以下步骤创建。 打开华为云官网，单击“注册”。 根据提示信息完成注册，详细操作请参见注册华为账号并开通华为云。 注册成功后，系统会自动跳转至您的个人信息界面。 参考实名认证完成个人或企业账号实名认证。 父主题： 准备工作

开通盘古大模型服务 盘古大模型具备文本补全和多轮对话能力，用户在完成盘古大模型套件的订购操作后，需要开通大模型服务，才可以调用模型，实现与模型对话问答。 登录盘古大模型套件平台。 在左侧导航栏中选择“服务管理”，在相应服务的操作列单击“查看详情”，可在服务列表中申请需要开通的服务。 文本补全：提供单轮文本能力，常用于文本生成、文本摘要、闭卷问答等任务。 多轮对话：提供多轮文本能力，常用于多轮对话、聊天任务。 图1 服务管理 图2 申请开通服务 您可按照需要选择是否开启 内容审核 。 开启内容审核后，可以有效拦截大模型输入输出的有害信息，保障模型调用安全，推荐进行开启。 图3 大模型内容审核 购买内容审核套餐包时，如果使用“文本补全”和“多轮对话”功能，需要选择“ 文本内容审核 ”套餐。 父主题： 准备工作