华为云用户手册

操作步骤 您可以使用“创建规则”， IAM 会将您填写的身份转换规则参数转换成JSON语言；也可以单击“编辑规则”直接编写JSON语言，编辑身份转换规则的详细说明和示例请参见：身份转换规则详细说明。 创建规则 管理员在IAM控制台的左侧导航窗格中，单击“身份提供商”。 在身份提供商列表中，选择您创建的身份提供商，单击“修改”。 在“身份转换规则”区域单击“创建规则”。 图1 创建规则-1 图2 创建规则-2 表1 参数说明 参数名 描述 说明 用户名 联邦用户在华为云中显示的用户名，以下简称“联邦用户名”。 为了区分华为云的用户与联邦用户，建议此处配置用户名为“FederationUser-IdP_XXX”。其中“IdP”为身份提供商名称，如ADFS、Shibboleth等，用于区分不同身份提供商下的联邦用户；“XXX”为自定义的具体名称。 须知： 同一身份提供商的联邦用户名需要确保其唯一。如果同一身份提供商内出现重复的联邦用户名，则重名的联邦用户在华为云中对应同一个IAM用户。 用户名能包含大小写字母、空格、数字或特殊字符（-_.）且不能以数字开头。不能包含”、\"、\\、\n、\r等特殊字符。 用户组 联邦用户在华为云中所属的用户组。 联邦用户拥有所属用户组的权限。可以选择已创建的用户组。 本规则生效条件 联邦用户拥有所选用户组权限的生效条件。 当满足该生效条件时，联邦用户具有所属用户组的权限；当不满足生效条件时，该规则不生效，且不满足生效条件的用户无法访问华为云。一个身份转换规则最多可以创建10条生效条件。 说明： 一个规则可以创建多条生效条件，所有生效条件均满足，此规则才可以生效。 一个身份提供商可以创建多条规则，规则共同作用。如果所有规则对某个联邦用户都不生效，那么该联邦用户禁止访问华为云。 示例：为企业管理系统管理员设定规则。 用户名：FederationUser-IdP_admin 用户组：“admin” 生效条件：“属性”：“_NAMEID_”；“条件”：“any_one_of”；“值”：“000000001”。 表示仅用户ID为000000001的用户在华为云中映射的IAM用户名为FederationUser-IdP_admin、具有“admin”用户组的权限。 在“创建规则”页面，单击“确定”。 在“修改身份提供商”页面，单击“确定”，使配置生效。 编辑规则 管理员登录华为云，进入IAM控制台，并在左侧导航窗格中，单击“身份提供商”。 在身份提供商列表中，选择您创建的身份提供商，单击“修改”。 图3 修改身份提供商 在“身份转换规则”区域单击“编辑规则”。 在编辑框内输入JSON格式的身份转换规则，具体说明请参见：身份转换规则详细说明。 单击“校验规则”，对已编辑的规则进行语法校验。 界面提示“规则正确”：在“编辑规则”页面，单击“确定”；在“修改身份提供商”页面，单击“确定”，使配置生效。 界面提示“JSON文件格式不完整”：请修改JSON语句，或单击“取消”，取消本次修改内容。

验证联邦用户权限 配置身份转换规则后，查看联邦用户是否已有相应权限。 联邦用户登录。 在IAM控制台的“身份提供商”页面，单击“操作”列的“查看”，进入“身份提供商基本信息”页面；单击“登录链接”右侧的“”，在浏览器中打开，输入企业管理系统用户名和密码，登录成功。 查看联邦用户是否具有所属用户组的权限。 例如，配置身份转换规则时，使联邦用户“ID1”对应IAM用户组“admin”，拥有所有云服务的权限。进入控制台，选择任一云服务，查看是否可以访问此服务。

创建项目 在IAM控制台的左侧导航窗格中，选择“项目”页签，单击“创建项目”。 图2 创建项目 在“所属区域”下拉列表中选择需要创建子项目的区域。 输入“项目名称”。 项目名称的格式为：区域默认项目名称_子项目名称，区域默认项目名称不允许修改。 项目名称可以由字母、数字、下划线（_）、中划线（-）组成。“区 域名 称_项目名称”的总长度不能大于64个字符。 （可选）输入“描述”。 单击“确定”，项目列表中显示新创建的项目。

操作步骤 创建用户组并授权。 在用户组界面，单击“创建用户组”。 输入“用户组名称”。 单击“确定”，用户组创建完成。 单击新建用户组右侧的“授权”。 创建自定义策略。 如果需要授予IAM用户精细的委托权限，仅管理指定的委托，请执行以下步骤创建细粒度的委托权限。如果不需要进行精细的委托授权，授予IAM用户管理所有的委托权限，请跳过该步骤，直接执行f。 在选择策略页面，单击权限列表右上角“新建策略”。 输入“策略名称”。 “策略配置方式”选择“JSON视图”。 在“策略内容”区域，填入以下内容： { "Version": "1.1", "Statement": [ { "Action": [ "iam:agencies:assume" ], "Resource": { "uri": [ "/iam/agencies/b36b1258b5dc41a4aa8255508xxx..." ] }, "Effect": "Allow" } ] } "b36b1258b5dc41a4aa8255508xxx..."需要替换为待授权委托的ID，需要提前向委托方获取，其他内容不需修改，直接拷贝即可。 本文简要讲述快速完成委托细粒度授权的必要操作，更多权限内容，详情请参考权限管理。 单击“下一步”，继续完成授权。 选择上一步创建的自定义策略或者“Agent Operator”权限，单击“下一步”。 自定义策略：用户仅能管理指定ID的委托，不能管理其他委托。 “Agent Operator”权限：用户可以管理所有委托。 选择授权范围方案。 单击“确定”，用户组授权完成。 创建IAM用户并加入用户组。 在用户界面，单击“创建用户”。 在创建用户界面，输入用户信息。 “访问方式”选择“管理控制台访问”中的“首次登录时设置”。 “登录保护”选择“开启”，并选择身份验证方式，单击“下一步”。 在“可选用户组”中，选择1中新创建的用户组，单击“创建用户”。 完成IAM用户创建。 分配委托权限操作完成，新创建的IAM用户可以通过切换角色至委托方账号中，帮助您管理委托资源。

权限 IAM预置了各服务的常用权限，例如管理员权限、只读权限，您可以直接使用这些权限。默认情况下，管理员创建的IAM用户没有任何权限。管理员可以将其加入用户组，并给用户组授予策略或角色，用户组中的用户将获得用户组的权限。同时，IAM用户也可以为自身授予权限。这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对E CS 服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。 如下图所示，如果您授予IAM用户弹性 云服务器ECS 的权限，则该IAM用户除了ECS，不能访问其他任何服务，如果尝试访问其他服务，系统将会提示没有权限。 图7 系统提示没有权限

用户组 用户组是用户的集合，IAM可以通过用户组功能实现用户的授权。您创建的IAM用户，加入特定用户组后，将具备对应用户组的权限，可以基于权限对云服务进行操作。当某个用户加入多个用户组时，此用户同时拥多个用户组的权限，即多个用户组权限的全集。 “admin”为缺省用户组，具有所有云服务资源的操作权限。将用户加入该用户组后，用户可以操作并使用所有云资源，包括但不仅限于创建用户组及用户、修改用户组权限、管理资源等。 图6 用户组

IAM的使用对象 IAM的使用对象为管理员： 账号：账号可以使用所有服务，包括IAM。 admin用户组中的用户：IAM默认用户组admin中的用户，可以使用所有服务，包括IAM。 授予了“Security Administrator”权限的用户：具备该权限的用户为IAM管理员，可以使用IAM。 推荐您在使用IAM前，开通 云审计 服务 CTS ，方便查看、审计以及回溯IAM的关键操作记录。详情请参考：开通云审计服务。

在IAM控制台创建云服务委托 登录IAM控制台。 在 统一身份认证 服务的左侧导航窗格中，选择“委托”页签，单击“创建委托”。 在创建委托页面，设置“委托名称”。 图2 云服务委托名称 “委托类型”选择“云服务”，在“云服务”中选择需要授权的云服务。 选择“持续时间”。 （可选）填写“委托描述”。建议填写描述信息。 单击“下一步”，进入给委托授权页面。 勾选需要授予委托的权限，单击“下一步”，选择权限的作用范围，给委托授权。 单击“确定”，委托创建完成。

操作步骤 委托方登录华为云。 访问网址： API Explorer -为委托授予所有项目服务权限，进入API Explorer接口运行调试平台。 获取并编辑接口调试参数。 Region 调用API的区域。选择任一区域。 Headers X-Auth-Token：委托方Token。登录华为云后已自动获取，无需编辑。 Params agency_id 在控制台右上角的用户名下拉菜单中选择“统一身份认证”，进入IAM控制台，选择“委托”页签，将鼠标移动到需要查询ID的委托上，黑色框中出现的第二行为委托ID，单击委托ID右侧的直接复制 图1 agency_id domain_id 在控制台右上角的用户名下拉菜单中选择“我的凭证”，在“我的凭证”界面，“API凭证”页签中查看并复制账号ID。 图2 domain_id role_id 权限ID。 权限名称 权限ID Tenant Administrator e2d75429549044d2b313fbdd11520f7d Tenant Guest c40fc1b70fb14140a61ac60c7c292874 role_id只能输入一个权限ID。如需修改多个委托权限，请分别调用该接口。 如需获取其它权限ID，请参见：查看权限列表。 单击“调试”，发送接口请求。 调试成功，为委托授予所有项目服务权限。

问题描述 管理员开启操作保护后，用户在进行敏感操作时，例如删除资源、生成访问密钥等，需要操作员或指定人员进行验证，避免误操作带来的风险和损失。 开启操作保护后，默认在敏感操作验证成功后的15分钟之内，进行敏感操作无需再次验证。 如当前验证方式为“操作员验证”，修改为“指定人员验证”，请参考：•当前验证方式为“操作员验证”。 如当前验证方式为“指定人员验证”，修改为“操作员验证”或修改指定人员手机号/邮件地址，请参考：•当前验证方式为“指定人员验证”。

操作步骤 当前验证方式为“操作员验证” 进入华为云“控制台”。 图1 进入控制台 在“控制台”页面，鼠标移动至右上方的用户名，在下拉列表中选择“安全设置”。 在“安全设置”页面中，选择“敏感操作”页签，单击操作保护右侧的“立即修改”。 图2 修改操作保护 在右侧弹出的“操作保护设置”页面中，选择“指定人员验证”，输入验证手机号/邮件地址、验证码。 图3 操作保护设置 单击“确定”，修改验证方式为指定人员验证。 当前验证方式为“指定人员验证” 进入华为云“控制台”。 图4 进入控制台 在“控制台”页面，鼠标移动至右上方的用户名，在下拉列表中选择“安全设置”。 在“安全设置”页面中，选择“敏感操作”页签，单击操作保护右侧的“立即修改”。 图5 修改操作保护 在右侧弹出的“操作保护设置”页面中，选择“关闭”，单击“确定”并进行身份验证，关闭操作保护。 在“安全设置”页面，“敏感操作”页签中，单击操作保护右侧的“立即启用”。 在右侧弹窗中选择“开启”，勾选“操作员验证”或“指定人员验证”。 如选择“指定人员验证”，开启操作保护时，需要进行初次身份核验，确保指定人员验证方式可用。 操作员验证：触发敏感操作的账号或IAM用户进行二次验证。 指定人员验证：账号及IAM用户触发的敏感操作均由指定人员进行验证。支持手机号、邮件地址，不支持虚拟MFA验证。 单击“确定”，修改操作保护验证方式。

解决方法 请选择正确的登录入口。请确认您输入的账号为华为账号或华为云账号，如果您已升级华为账号，请进入“华为账号登录”入口，如图1。如果您暂未升级华为账号，请进入“华为云账号登录”入口，如图2。 如需通过华为官网账号、华为企业合作伙伴、企业联邦用户登录华为云，请参考：登录华为云。 如果您是IAM用户，请进入“IAM用户登录”入口。如果您登录失败，请参考：IAM用户登录失败怎么办。 图1 华为账号登录 图2 华为云账号 “华为账号登录”方式登录华为云时，支持使用手机号、邮件地址、华为账号名、华为云账号名登录。“华为云账号登录”方式登录时，支持使用华为云账号名、邮件地址登录。 如果您已 注册华为账号 ，请输入华为账号绑定的手机号/邮件地址/华为账号名登录华为云，详情请参考：华为账号登录华为云。 如果您未注册华为账号、已注册华为云账号，且华为云账号暂未升级华为账号，请输入原华为云账号名登录。 如您通过华为账号登录，请输入华为账号的密码。如您通过华为云账号登录，请输入华为云账号的密码。

问题排查 系统提示“用户名或密码错误” 可能原因：IAM用户登录时，未切换IAM登录入口。 解决方法：单击“IAM用户”，切换登录入口。 可能原因：租户名/原华为云账号名和IAM用户名输入错误。 解决方法：输入正确的租户名/原华为云账号名和IAM用户名。如果您不知道IAM用户名和所属账号，请联系管理员。 可能原因：密码输入错误。 解决方法：输入正确的密码，如确认字母大小写等。如果您忘记密码，请参考以下方法找回：忘记密码怎么办。 可能原因：修改过期密码或找回密码后，浏览器缓存信息未刷新。 解决方法：请清理浏览器缓存后，重新登录。 系统提示“您的管理员已设置了控制台ACL规则，禁止您所在的终端登录控制台” 可能原因：管理员在IAM控制台设置了访问控制规则，不允许您所在的IP地址区间、IP地址或网段、VPC Endpoint访问华为云。 解决方法：请联系管理员查看控制台ACL规则，从允许访问的设备登录华为云或由管理员修改访问控制规则。详情请参考：访问控制。

示例场景 A公司是一家负责网站开发的公司，公司地址位于中国上海，公司中有三个职能团队。为了方便A公司统一购买、分配资源并管理用户，A公司的人员不需要每人都注册账号，而是由公司的管理员注册一个账号，在这个账号下创建IAM用户并分配权限，然后将创建的IAM用户分发给公司的人员使用。关于账号和IAM用户的概念，详情请参见：IAM基本概念。 本文以A公司使用IAM创建用户及用户组为例，帮助您快速了解，企业如何使用IAM完成服务权限的配置。 A公司人员组成 负责管理公司的人员以及资源的管理团队（对应图1中的“admin”），进行权限分配，资源调配等。团队成员包括James和Alice。 负责开发公司网站的开发团队（对应图1中的“开发人员组”）。团队成员包括Charlie和Jackson。 对开发团队开发出的网站进行测试的测试团队（对应图1中的“测试人员组”）。团队成员包括Jackson和Emily。其中Jackson同时负责开发及测试，因此他需要同时加入“开发人员组”及“测试人员组”，以分别获得两个用户组的权限。 图1 用户管理模型 A公司业务组成 admin组主要负责公司人员权限分配，需要使用IAM服务。 开发人员组在网站开发过程中，需要使用弹性云服务器（ECS）、弹性负载均衡（ELB）、虚拟私有云（VPC）、关系型数据库（RDS）、云硬盘（EVS）以及 对象存储服务 （OBS）。 测试人员主要负责网站的功能及性能测试，需要使用 应用性能管理 （ APM ）。

给用户组授权 A公司的开发人员需要使用的云服务为ECS、RDS、ELB、VPC、EVS和OBS，需要为“开发人员组”授予这六个服务的管理员权限。测试人员需要使用云服务APM，需要为“测试人员组”授予此服务的权限。完成用户组的授权后，用户组中的用户才可以使用这些云服务。如需查看所有云服务的系统权限，请参见：系统权限。 确定所需权限。 通过查看系统权限，需要设置的权限如表1所示。其中“作用范围”由该服务的物理部署位置决定。对于项目级服务，如果在某个区域的项目中设置策略，则策略只在该项目中生效。 表1 所需权限 用户组 使用的服务 所属区域 设置策略或角色 开发人员组 ECS 除全局区域外的其他区域 ECS FullAccess RDS 除全局区域外的其他区域 RDS FullAccess ELB 除全局区域外的其他区域 ELB FullAccess VPC 除全局区域外的其他区域 VPC FullAccess EVS 除全局区域外的其他区域 EVS FullAccess OBS 全局区域 OBS OperateAccess 测试人员组 APM 除全局区域外的其他区域 APM FullAccess 在用户组列表中，单击新建用户组“开发人员组”，右侧的“授权”。 图6 授权 设置区域级项目的权限。 由表1可知，除OBS外，其它服务都是项目级服务。勾选需要授予用户组的项目级服务权限，单击“下一步”。 选择授权范围方案为“区域项目”，并选择“华东-上海二”，单击“确定”。 由于A公司位于上海，因此可以在“华东-上海二”设置权限，这样A公司成员访问华为云可减少网络时延，获得更快的访问速度。设置完成后，开发人员组仅在“华东-上海二”有访问权限，访问其它区域将提示没有权限。 设置全局服务的权限。 勾选需要授予用户组的全局服务权限“OBS OperateAccess”，单击“下一步”。 选择授权范围方案为“全局服务”，单击“确定”。 参考2-5的方法，给“测试人员组”授予“华东-上海二”“APM FullAccess”的权限。

用户服务 服务 所属区域 控制台 API 委托 策略 企业项目 账号中心 BSS 除全局区域外的其他区域 √ x x √ x 费用中心 BSS 除全局区域外的其他区域 √ x x √ x 资源中心 BSS 除全局区域外的其他区域 √ x x √ x 企业管理 EPS 全局区域 √ √ x √ x 工单管理 Ticket 全局区域 √ √ x x x 网站备案 全局区域 √ x x x x 专业服务 全局区域 √ x x √ x

EI企业智能 服务 所属区域 控制台 API 委托 细粒度策略 企业项目 ModelArts 除全局区域外的其他区域 √ √ √ √ √ 数据治理中心 DataArts Studio 除全局区域外的其他区域 √ √ √ √ x MapReduce服务 MRS 除全局区域外的其他区域 √ √ x √ √ 数据仓库服务 DWS 除全局区域外的其他区域 √ √ √ √ √ 表格存储服务 CloudTable 除全局区域外的其他区域 √ √ x x √ 数据湖探索 DLI 除全局区域外的其他区域 √ √ x x √ 数据接入服务 DIS 除全局区域外的其他区域 √ √ √ x √ 云搜索服务 CSS 除全局区域外的其他区域 √ √ √ x √ 图引擎服务 GES 除全局区域外的其他区域 √ √ √ x √ 推荐系统 RES 除全局区域外的其他区域 √ √ x √ √ 内容审核 Moderation 除全局区域外的其他区域 √ √ x √ x 对话机器人服务 CBS 除全局区域外的其他区域 √ √ x x x 华为HiLens 除全局区域外的其他区域 √ x x √ x 可信智能计算服务 TICS 除全局区域外的其他区域 √ x x √ x LakeFormation 全局区域 √ √ √ √ √

应用服务 服务 所属区域 控制台 API 委托 策略 企业项目 应用管理与运维平台 ServiceStage 除全局区域外的其他区域 √ √ x x x 分布式缓存服务 DCS 除全局区域外的其他区域 √ √ √ √ √ 分布式消息服务Kafka版 除全局区域外的其他区域 √ √ x √ √ 分布式消息服务RabbitMQ版 除全局区域外的其他区域 √ √ x √ √ 分布式消息服务RocketMQ版 除全局区域外的其他区域 √ √ x √ √ 消息通知 服务 SMN 除全局区域外的其他区域 √ √ x x √ 微服务引擎 CSE 除全局区域外的其他区域 √ √ x x √ 性能测试 CodeArts PerfTest 除全局区域外的其他区域 √ √ x x x API网关 APIG 除全局区域外的其他区域 √ √ x x √ 区块链服务BCS 除全局区域外的其他区域 √ √ x √ √

管理与监管 服务 所属区域 控制台 API 委托 细粒度策略 企业项目 统一身份认证服务 IAM 全局区域 √ √ x √ x 云监控服务 CES 除全局区域外的其他区域 √ √ x √ √ 云审计服务 CTS 除全局区域外的其他区域 √ √ x x x 应用性能管理 APM 除全局区域外的其他区域 √ √ x √ √ 应用运维管理 AOM 除全局区域外的其他区域 √ √ x √ √ 云日志 服务 LTS 除全局区域外的其他区域 √ √ x √ √ 标签管理服务 TMS 全局区域 √ √ x x x 应用身份管理 服务 OneAccess 全局区域 √ x x √ x

安全与合规 服务 所属区域 控制台 API 委托 策略 企业项目 DDoS防护 Anti-DDoS 除全局区域外的其他区域 √ √ x x x DDoS防护 AAD 除全局区域外的其他区域 √ √ √ x √ DDoS防护 CNAD 全局区域 √ √ x √ x Web应用防火墙 WAF 除全局区域外的其他区域 √ x x x √ 云防火墙 CFW 除全局区域外的其他区域 √ x x √ x 漏洞扫描服务 VSS 除全局区域外的其他区域 √ x x x x 主机安全服务 HSS 除全局区域外的其他区域 √ x x x √ 数据库安全服务 DBSS 除全局区域外的其他区域 √ x x √ x 数据加密 服务 DEW 除全局区域外的其他区域 √ √ x x x 管理检测与响应 MDR 除全局区域外的其他区域 √ x x x x SSL证书管理 SCM 全局区域 √ √ x √ x 容器安全服务 CGS 除全局区域外的其他区域 √ x x √ x 态势感知 SA 全局区域 √ √ √ √ x 云堡垒机 CBH 除全局区域外的其他区域 √ √ x √ x 数据安全中心 DSC 除全局区域外的其他区域 √ √ x √ x

网络 服务 所属区域 控制台 API 委托 策略 企业项目 虚拟私有云 VPC 除全局区域外的其他区域 √ √ x √ √ 弹性负载均衡 ELB 除全局区域外的其他区域 √ √ x √ √ 云解析服务 DNS 全局区域 √ √ x x √ NAT网关 除全局区域外的其他区域 √ √ x √ √ 云专线 DC 除全局区域外的其他区域 √ x x x x 虚拟专用网络 VPN 除全局区域外的其他区域 √ x x √ x 云连接 CC 除全局区域外的其他区域 √ x x √ √ VPC终端节点 VPCEP 除全局区域外的其他区域 √ √ x x x

数据库 服务 所属区域 控制台 API 委托 策略 企业项目 云数据库 RDS 除全局区域外的其他区域 √ √ x √ √ 文档数据库服务 DDS 除全局区域外的其他区域 √ x x √ √ 分布式数据库 中间件 DDM 除全局区域外的其他区域 √ √ x √ √ 数据复制服务 DRS 除全局区域外的其他区域 √ √ x √ √ 数据管理服务 DAS 除全局区域外的其他区域 √ x x x x 云数据库 （GeminiDB） 除全局区域外的其他区域 √ √ x √ √

存储 服务 所属区域 控制台 API 委托 策略 企业项目 云硬盘 EVS 除全局区域外的其他区域 √ √ x √ √ 存储容灾服务 SDRS 除全局区域外的其他区域 √ √ x x x 云服务器备份 CSBS 除全局区域外的其他区域 √ √ x x x 云硬盘备份 VBS 除全局区域外的其他区域 √ √ x x x 对象存储服务 OBS 全局区域 √ √ √ √ √ 弹性文件服务 SFS 除全局区域外的其他区域 √ √ x √ √ 内容分发网络 CDN 全局区域 √ √ x √ √ 云备份 CBR 除全局区域外的其他区域 √ √ x √ √

计算 服务 所属区域 控制台 API 服务委托 策略 企业项目 弹性云服务器 ECS 除全局区域外的其他区域 √ √ √ √ √ 裸金属服务器 BMS 除全局区域外的其他区域 √ √ √ √ √ 弹性伸缩 AutoScaling 除全局区域外的其他区域 √ √ x √ √ 云手机服务器 CPH 除全局区域外的其他区域 √ √ x x x 镜像服务 IMS 除全局区域外的其他区域 √ √ √ √ √ 函数工作流 FunctionGraph 除全局区域外的其他区域 √ √ √ x √ 专属主机 DeH 除全局区域外的其他区域 √ x x √ √

响应示例 { "port": { "id": "d00f9c13-412f-4855-8af3-de5d8c24cd60", "name": "test", "status": "DOWN", "admin_state_up": "true", "fixed_ips": [ { "subnet_id": "70f2e74b-e660-410a-b754-0ca46744348a", "ip_address": "10.128.1.10" } ], "dns_name": "", "mac_address": "fa:16:3e:d7:f2:6c", "network_id": "5b808927-13c9-4e60-a4f4-ed6ffe225167", "tenant_id": "43f2d1cca56a40729dcb17212482f34d", "device_id": "", "device_owner": "", "security_groups": [ "02b4e8ee-74fa-4a31-802e-5490df11245e" ], "extra_dhcp_opts": [], "allowed_address_pairs": [], "binding:vnic_type": "normal", "instance_type": "RDS", "instance_id": "03a4e9ee-64eb-4a31-802e-5490df22146c", "enable_efi": false } }

响应参数 表2 响应参数 名称 参数类型 说明 port port object 端口对象，请参见表3。 表3 port字段说明 名称 参数类型 说明 id String 端口唯一标识。 name String 功能说明：端口名称。 取值：默认为空，最大长度不超过255。 network_id String 功能说明：端口所属网络的ID。 约束：必须是存在的网络ID。 说明： 网络ID的获取方式： 方法1：登录虚拟私有云服务的控制台界面，单击VPC下的子网，进入子网详情页面，查找网络ID。 方法2：通过虚拟私有云服务的API接口查询，具体操作可参考查询子网列表。 admin_state_up Boolean 功能说明：管理状态。 约束：默认为true。 mac_address String 功能说明：端口MAC地址。 约束：由系统分配，不支持指定。 fixed_ips Array of fixed_ip objects 功能说明：端口IP。例如："fixed_ips": [{"subnet_id": "4dc70db6-cb7f-4200-9790-a6a910776bba", "ip_address": "192.169.25.79"}]，请参见表4 fixed_ip对象。 约束：ipv4场景下，一个端口只支持一个fixed_ip，且不支持更新。ipv6场景下，一个端口最多可以支持两个fixed_ip，且不支持更新。 device_id String 功能说明：端口所属设备ID。 约束：不支持设置和更新，由系统自动维护。 device_owner String 功能说明：设备所属（DHCP/Router/ lb/Nova）。 取值范围：network:dhcp，network:router_interface_distributed，compute:xxx(xxx对应具体的可用区名称，例如compute:aa-bb-cc表示是被可用区aa-bb-cc上的ECS使用)，neutron:VIP_PORT，neutron:LOADBALANCERV2，neutron:LOADBALANCERV3，network:endpoint_interface，network:nat_gateway，network:ucmp。 使用说明：不支持更新，只允许用户在创建虚拟IP端口时，为虚拟IP端口设置device_owner为neutron:VIP_PORT，当端口的该字段不为空时，仅支持该字段为neutron:VIP_PORT时的端口删除。 tenant_id String 项目ID。 status String 功能说明：端口状态，Hana硬直通虚拟机端口状态总为DOWN。 取值范围：ACTIVE、BUILD、DOWN。 如果allowed_address_pairs回显值为云服务器网卡IP地址，表示虚拟IP的端口处于绑定状态。 security_groups Array of strings 安全组的UUID(扩展属性)。 allowed_address_pairs Array of allowed_address_pairs objects 功能说明：IP/Mac对列表。请参见表5 allow_address_pair对象。 约束：IP地址不允许为 “0.0.0.0/0”。 如果allowed_address_pairs配置地址池较大的CIDR（掩码小于24位），建议为该port配置一个单独的安全组。 如果allowed_address_pairs的IP地址为“1.1.1.1/0”，表示关闭源目地址检查开关。 被绑定的云服务器网卡allowed_address_pairs的IP地址填“1.1.1.1/0”。 extra_dhcp_opts Array of extra_dhcp_opt objects DHCP的扩展Option(扩展属性)，请参见表6 extra_dhcp_opt对象。 binding:vif_details binding:vif_details object vif的详细信息，参见表7。 binding:profile Object 扩展属性：提供用户设置自定义信息。 【使用说明】 internal_elb字段，布尔类型，普通租户可见。只有在创建内网ELB的虚拟IP的网卡时设置为true。普通租户没有权限更改该字段，由系统维护。 举例： {"internal_elb": true} disable_security_groups字段，布尔类型，普通租户可见。默认为false高性能通信场景下，允许指定为true普通租户可见。仅支持创建port和读取时指定。当前仅支持指定为true，不支持指定为false。 举例： {"disable_security_groups"：true }， 当前仅支持指定为true，不支持指定为false，指定为true时，FWaaS功能不生效。 仅对于“华北-北京二”区域：udp_srvports和tcp_srvports，字段，字符串类型，默认不设置udp_srvports和tcp_srvports字段。允许指定udp_srvports和tcp_srvports字段为端口号，表示这些端口的tcp报文和udp报文可支持高并发连接，但是此类报文不受ACL和安全组规则的限制。udp_srvports和tcp_srvports字段同时支持更新操作。 格式： {"tcp_srvports": "port1 port2 port3", "udp_srvports": "port1 port2 port3"} 端口号之间以空格间隔，最多允许指定的端口号总共为15个，端口号范围是1到65535。 示例： {"tcp_srvports": "80 443", "udp_srvports": "53"} 示例表示入方向目的端口为80或者443的tcp报文可支持高并发连接。入方向目的端口为53的udp报文可支持高并发连接。但是此类报文不受ACL和安全组规则的限制。 binding:vnic_type String 功能说明：绑定的vNIC类型。 取值范围：normal或者direct。 normal: 软交换direct: SRIOV硬直通（不支持）。 dns_assignment Array of dns_assignment objects 功能说明：主网卡默认内网域名信息。 约束：不支持设置和更新，由系统自动维护。 dns_name String 功能说明：主网卡默认内网DNS名称。 约束：不支持设置和更新，由系统自动维护。 instance_id String 功能说明：端口所属实例ID，例如RDS实例ID。 约束：不支持设置和更新，由系统自动维护。 instance_type String 功能说明：端口所属实例类型，例如“RDS”。 约束：不支持设置和更新，由系统自动维护。 port_security_enabled Boolean 功能说明：端口安全使能标记，如果不使能则安全组和dhcp防欺骗不生效。 zone_id String 端口所属的可用分区。 enable_efi Boolean 功能说明：是否使能efi，使能则表示端口支持vRoCE能力，默认为false。 ipv6_bandwidth_id String 功能说明：IPv6网卡绑定的共享带宽ID。 约束：只有IPv6网卡绑定了共享带宽，才会显示此参数。 表4 fixed_ip对象 名称 参数类型 说明 subnet_id String 功能说明：所属子网ID。 如果您使用管理控制台，此值即为子网详情中的“IPv4子网ID”或“IPv6子网ID”参数值。 约束：不支持更新。 ip_address String 端口IP地址。 表5 allowed_address_pairs对象 名称 参数类型 说明 ip_address String 功能说明：IP地址。 约束：不支持0.0.0.0/0。 如果allowed_address_pairs配置地址池较大的CIDR（掩码小于24位），建议为该port配置一个单独的安全组。 如果allowed_address_pairs的IP地址为“1.1.1.1/0”，表示关闭源目地址检查开关。 被绑定的云服务器网卡allowed_address_pairs的IP地址填“1.1.1.1/0”。 mac_address String MAC地址。默认使用本端口的MAC地址。 表6 extra_dhcp_opt对象 名称 参数类型 说明 opt_name String DHCP选项名称，目前仅支持填写“51”，表示DHCP租约时间。 opt_value String 功能说明：DHCP选项的值。 当“opt_name”为“51”时，参数格式为“Xh”，表示DHCP租约时间为X小时。 “X”的取值范围为1~30000或“-1”，“-1”表示DHCP租约时间无限长。 表7 binding:vif_details对象 名称 参数类型 说明 primary_interface Boolean 取值为true，表示是虚拟机的主网卡。 port_filter Boolean 表示该网络服务提供端口过滤特性，如安全组和反MAC/IP欺骗。 ovs_hybrid_plug Boolean 用于通知像nova这样的API消费者，应该使用OVS的混合插入策略。 表8 dns_assignment对象 名称 参数类型 说明 hostname String 端口hostname。 ip_address String 端口IP地址。 fqdn String 端口内网fqdn。

响应示例 { "port": { "id": "d00f9c13-412f-4855-8af3-de5d8c24cd60", "name": "test", "status": "DOWN", "admin_state_up": "true", "fixed_ips": [ { "subnet_id": "70f2e74b-e660-410a-b754-0ca46744348a", "ip_address": "10.128.1.10" } ], "dns_name": "", "mac_address": "fa:16:3e:d7:f2:6c", "network_id": "5b808927-13c9-4e60-a4f4-ed6ffe225167", "tenant_id": "43f2d1cca56a40729dcb17212482f34d", "device_id": "", "device_owner": "", "security_groups": [ "02b4e8ee-74fa-4a31-802e-5490df11245e" ], "extra_dhcp_opts": [], "allowed_address_pairs": [], "binding:vnic_type": "normal", "enable_efi": false } }

响应参数 表7 响应参数 名称 参数类型 说明 port port object 端口对象，请参见表8。 表8 port字段说明 名称 参数类型 说明 id String 端口唯一标识。 name String 功能说明：端口名称。 取值范围：默认为空，最大长度不超过255。 network_id String 功能说明：端口所属网络的ID。 约束：必须是存在的网络ID。 说明： 网络ID的获取方式： 方法1：登录虚拟私有云服务的控制台界面，单击VPC下的子网，进入子网详情页面，查找网络ID。 方法2：通过虚拟私有云服务的API接口查询，具体操作可参考查询子网列表 admin_state_up Boolean 功能说明：管理状态。 约束：默认为true。 mac_address String 功能说明：端口MAC地址。 约束：由系统分配，不支持指定。 fixed_ips Array of fixed_ip objects 功能说明：端口IP。例如："fixed_ips": [{"subnet_id": "4dc70db6-cb7f-4200-9790-a6a910776bba", "ip_address": "192.169.25.79"}]，请参见表9。 约束：ipv4场景下，一个端口只支持一个fixed_ip，且不支持更新。ipv6场景下，一个端口最多可以支持两个fixed_ip，且不支持更新。 device_id String 功能说明：端口所属设备ID。 约束：不支持设置和更新，由系统自动维护。 device_owner String 功能说明：设备所属（DHCP/Router/ lb/Nova）。 取值范围：network:dhcp，network:router_interface_distributed，compute:xxx(xxx对应具体的可用区名称，例如compute:aa-bb-cc表示是被可用区aa-bb-cc上的ECS使用)，neutron:VIP_PORT，neutron:LOADBALANCERV2，neutron:LOADBALANCERV3，network:endpoint_interface，network:nat_gateway，network:ucmp。 使用说明：不支持更新，只允许用户在创建虚拟IP端口时，为虚拟IP端口设置device_owner为neutron:VIP_PORT，当端口的该字段不为空时，仅支持该字段为neutron:VIP_PORT时的端口删除。 tenant_id String 项目ID。 status String 功能说明：端口状态，Hana硬直通虚拟机端口状态总为DOWN。 取值范围：ACTIVE、BUILD、DOWN。 security_groups Array of strings 安全组的UUID(扩展属性)。 allowed_address_pairs Array of allowed_address_pairs objects 功能说明：IP/Mac对列表。请参见表10。 约束：IP地址不允许为 “0.0.0.0/0”。 如果allowed_address_pairs配置地址池较大的CIDR（掩码小于24位），建议为该port配置一个单独的安全组。 如果allowed_address_pairs的IP地址为“1.1.1.1/0”，表示关闭源目地址检查开关。 被绑定的云服务器网卡allowed_address_pairs的IP地址填“1.1.1.1/0”。 如果allowed_address_pairs回显值为云服务器网卡IP地址，表示虚拟IP的端口处于绑定状态。 extra_dhcp_opts Array of extra_dhcp_opt objects DHCP的扩展Option(扩展属性)，请参见表11。 binding:vif_details binding:vif_details object vif的详细信息，参见表12。 binding:profile Object 扩展属性：提供用户设置自定义信息。 【使用说明】 internal_elb字段，布尔类型，普通租户可见。只有在创建内网ELB的虚拟IP的网卡时设置为true。普通租户没有权限更改该字段，由系统维护。 举例： {"internal_elb": true} disable_security_groups字段，布尔类型，普通租户可见。默认为false高性能通信场景下，允许指定为true普通租户可见。仅支持创建port和读取时指定。当前仅支持指定为true，不支持指定为false。 举例： {"disable_security_groups"：true }， 当前仅支持指定为true，不支持指定为false，指定为true时，FWaaS功能不生效。 仅对于“华北-北京二”区域：udp_srvports和tcp_srvports，字段，字符串类型，默认不设置udp_srvports和tcp_srvports字段。允许指定udp_srvports和tcp_srvports字段为端口号，表示这些端口的tcp报文和udp报文可支持高并发连接，但是此类报文不受ACL和安全组规则的限制。udp_srvports和tcp_srvports字段同时支持更新操作。 格式： {"tcp_srvports": "port1 port2 port3", "udp_srvports": "port1 port2 port3"} 端口号之间以空格间隔，最多允许指定的端口号总共为15个，端口号范围是1到65535。 示例： {"tcp_srvports": "80 443", "udp_srvports": "53"} 示例表示入方向目的端口为80或者443的tcp报文可支持高并发连接。入方向目的端口为53的udp报文可支持高并发连接。但是此类报文不受ACL和安全组规则的限制。 binding:vnic_type String 功能说明：绑定的vNIC类型。 取值范围：normal，软交换；direct，SRIOV硬直通（不支持）。 dns_assignment Array of dns_assignment objects 功能说明：主网卡默认内网域名信息。 约束：不支持设置和更新，由系统自动维护。 dns_name String 功能说明：主网卡默认内网DNS名称。 约束：不支持设置和更新，由系统自动维护。 instance_id String 功能说明：端口所属实例ID，例如RDS实例ID。 约束：不支持设置和更新，由系统自动维护。 instance_type String 功能说明：端口所属实例类型，例如“RDS”。 约束：不支持设置和更新，由系统自动维护。 port_security_enabled Boolean 功能说明：端口安全使能标记，如果不使能则安全组和dhcp防欺骗不生效。 zone_id String 端口所属的可用分区。 enable_efi Boolean 功能说明：是否使能efi，使能则表示端口支持vRoCE能力，默认为false。 ipv6_bandwidth_id String 功能说明：IPv6网卡绑定的共享带宽ID。 约束：只有IPv6网卡绑定了共享带宽，才会显示此参数。 表9 fixed_ip对象 名称 参数类型 说明 subnet_id String 功能说明：所属子网ID。 如果您使用管理控制台，此值即为子网详情中的“IPv4子网ID”或“IPv6子网ID”参数值。 约束：不支持更新。 ip_address String 端口IP地址。 表10 allowed_address_pairs对象 名称 参数类型 说明 ip_address String 功能说明：IP地址。 约束：不支持0.0.0.0/0。 如果allowed_address_pairs配置地址池较大的CIDR（掩码小于24位），建议为该port配置一个单独的安全组。 如果allowed_address_pairs的IP地址为“1.1.1.1/0”，表示关闭源目地址检查开关。 被绑定的云服务器网卡allowed_address_pairs的IP地址填“1.1.1.1/0”。 mac_address String MAC地址。默认使用本端口的MAC地址。 表11 extra_dhcp_opt对象 名称 参数类型 说明 opt_name String DHCP选项名称，目前仅支持填写“51”，表示DHCP租约时间。 opt_value String 功能说明：DHCP选项的值。 当“opt_name”为“51”时，参数格式为“Xh”，表示DHCP租约时间为X小时。 “X”的取值范围为1~30000或“-1”，“-1”表示DHCP租约时间无限长。 表12 binding:vif_details对象 名称 参数类型 说明 primary_interface Boolean 取值为true，表示是虚拟机的主网卡。 port_filter Boolean 表示该网络服务提供端口过滤特性，如安全组和反MAC/IP欺骗。 ovs_hybrid_plug Boolean 用于通知像nova这样的API消费者，应该使用OVS的混合插入策略。 表13 dns_assignment对象 名称 参数类型 说明 hostname String 端口hostname。 ip_address String 端口IP地址。 fqdn String 端口内网fqdn。

请求示例 创建一个端口，所在network id为28a1c93c-9a5e-4a9f-813b-e495bdef7d34，指定子网id为06bc2359-d75e-4f96-82f4-313e39c7148c，指定IP地址为192.168.0.38，关联安全组f2c5b3fc-b971-4a86-87b9-032586260e3e。 POST https://{Endpoint}/v1/{project_id}/ports { "port": { "fixed_ips": [ { "ip_address": "192.168.0.38", "subnet_id": "06bc2359-d75e-4f96-82f4-313e39c7148c" } ], "network_id": "28a1c93c-9a5e-4a9f-813b-e495bdef7d34", "security_groups": [ "f2c5b3fc-b971-4a86-87b9-032586260e3e" ] } }

请求参数 表2 请求参数 名称 是否必选 参数类型 说明 port 是 port object 端口对象，请参见表3。 表3 port字段说明 名称 是否必选 参数类型 说明 name 否 String 功能说明：端口名称。 取值范围：默认为空，最大长度不超过255。 network_id 是 String 功能说明：端口所属网络的ID。 约束：必须是存在的网络ID。 说明： 网络ID的获取方式： 方法1：登录虚拟私有云服务的控制台界面，单击VPC下的子网，进入子网详情页面，查找网络ID。 方法2：通过虚拟私有云服务的API接口查询，具体操作可参考查询子网列表 admin_state_up 否 Boolean 功能说明：管理状态。 约束：默认为true。 device_owner 否 String 功能说明：端口设备所属。 取值范围：目前只支持指定""和"neutron:VIP_PORT"，neutron:VIP_PORT表示创建的是VIP。 fixed_ips 否 Array of fixed_ip objects 功能说明：端口IP。例如："fixed_ips": [{"subnet_id": "4dc70db6-cb7f-4200-9790-a6a910776bba", "ip_address": "192.169.25.79"}]，请参见表4 约束：一个端口只支持一个fixed_ip，且不支持更新。 tenant_id 否 String 项目ID。 security_groups 否 Array of strings 安全组的UUID，例如："security_groups": ["a0608cbf-d047-4f54-8b28-cd7b59853fff"](扩展属性)。 allowed_address_pairs 否 Array of allowed_address_pairs objects 功能说明：IP/Mac对列表，allowed_address_pair参见表5(扩展属性)。 约束：IP地址不允许为 “0.0.0.0/0”。 如果allowed_address_pairs配置地址池较大的CIDR（掩码小于24位），建议为该port配置一个单独的安全组。 如果allowed_address_pairs的IP地址为“1.1.1.1/0”，表示关闭源目地址检查开关。 如果虚拟IP绑定云服务器资源， 则mac_address可为空或者填写被绑定云服务器网卡的Mac地址。 被绑定的云服务器网卡allowed_address_pairs的IP地址填“1.1.1.1/0”。 extra_dhcp_opts 否 Array of extra_dhcp_opt objects DHCP的扩展Option(扩展属性)，请参见表6。 表4 fixed_ip对象 名称 是否必选 参数类型 说明 subnet_id 否 String 功能说明：所属子网ID。 如果您使用管理控制台，此值即为子网详情中的“IPv4子网ID”或“IPv6子网ID”参数值。 约束：不支持更新。 ip_address 否 String 功能说明：端口IP地址。 约束：不支持更新。 表5 allowed_address_pairs对象 名称 是否必选 参数类型 说明 ip_address 是 String 功能说明：IP地址。 约束：不支持0.0.0.0/0。 如果allowed_address_pairs配置地址池较大的CIDR（掩码小于24位），建议为该port配置一个单独的安全组。 如果allowed_address_pairs的IP地址为“1.1.1.1/0”，表示关闭源目地址检查开关。 被绑定的云服务器网卡allowed_address_pairs的IP地址填“1.1.1.1/0”。 如果填写allowed_address_pairs参数，则ip_address是必选参数。 mac_address 否 String MAC地址。默认使用当前端口的MAC地址。 表6 extra_dhcp_opt对象 名称 是否必选 参数类型 说明 opt_name 否 String DHCP选项名称，目前仅支持填写“51”，表示DHCP租约时间。 opt_value 否 String 功能说明：DHCP选项的值。 当“opt_name”为“51”时，参数格式为“Xh”，表示DHCP租约时间为X小时。 “X”的取值范围为1~30000或“-1”，“-1”表示DHCP租约时间无限长。