华为云用户手册

Token认证 Token的有效期为24小时，需要使用一个Token鉴权时，可以先缓存起来，避免频繁调用。 Token在计算机系统中代表令牌（临时）的意思，拥有Token就代表拥有某种权限。Token认证就是在调用API的时候将Token加到请求消息头，从而通过身份认证，获得操作API的权限。 Token可通过调用获取用户Token接口获取，调用本服务API需要project级别的Token，即调用获取用户Token接口时，请求body中auth.scope的取值需要选择project，如下所示。 { "auth": { "identity": { "methods": [ "password" ], "password": { "user": { "name": "username", "password": "********", "domain": { "name": "domainname" } } } }, "scope": { "project": { "name": "xxxxxxxx" } } } } 获取Token 后，再调用其他接口时，您需要在请求消息头中添加“X-Auth-Token”，其值即为Token。例如Token值为“ABCDEFJ....”，则调用接口时将“X-Auth-Token: ABCDEFJ....”加到请求消息头即可，如下所示。 1 2 3 POST https://iam.cn-north-1.myhuaweicloud.com/v3/auth/projects Content-Type: application/json X-Auth-Token: ABCDEFJ....

请求消息体 请求消息体通常以结构化格式发出，与请求消息头中Content-type对应，传递除请求消息头之外的内容。若请求消息体中参数支持中文，则中文字符必须为UTF-8编码。 每个接口的请求消息体内容不同，也并不是每个接口都需要有请求消息体（或者说消息体为空），GET、DELETE操作类型的接口就不需要消息体，消息体具体内容需要根据具体接口而定。 对于获取用户Token接口，您可以从接口的请求部分看到所需的请求参数及参数说明。将消息体加入后的请求如下所示，加粗的斜体字段需要根据实际值填写，其中username为用户名，domainname为用户所属的账号名称，********为用户登录密码，xxxxxxxxxxxxxxxxxx为project的ID，获取方法请参见获取项目ID。 scope参数定义了Token的作用域，下面示例中获取的Token仅能访问project下的资源。您还可以设置Token作用域为某个账号下所有资源或账号的某个project下的资源，详细定义请参见获取用户Token。 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 POST https://iam.cn-north-1.myhuaweicloud.com/v3/auth/tokens Content-Type: application/json { "auth": { "identity": { "methods": [ "password" ], "password": { "user": { "name": "username", "password": "********", "domain": { "name": "domainname" } } } }, "scope": { "project": { "id": "xxxxxxxxxxxxxxxxxx" } } } } 到这里为止这个请求需要的内容就具备齐全了，您可以使用curl、Postman或直接编写代码等方式发送请求调用API。对于获取用户Token接口，返回的响应消息头中“x-subject-token”就是需要获取的用户Token。有了Token之后，您就可以使用Token认证调用其他API。

请求URI 请求URI由如下部分组成。 {URI-scheme} :// {Endpoint} / {resource-path} ? {query-string} 尽管请求URI包含在请求消息头中，但大多数语言或框架都要求您从请求消息中单独传递它，所以在此单独强调。 URI-scheme： 表示用于传输请求的协议，当前所有API均采用HTTPS协议。 Endpoint： 指定承载REST服务端点的服务器 域名 或IP，不同服务不同区域的Endpoint不同，您可以从表1 地区和终端节点获取。 例如：可信存证服务tde在“华北-北京四”区域的Endpoint为“tde.cn-north-4.myhuaweicloud.com”。 resource-path： 资源路径，也即API访问路径。从具体API的URI模块获取，例如“获取用户Token”API的resource-path为“/v3/auth/tokens”。 query-string： 查询参数，是可选部分，并不是每个API都有查询参数。查询参数前面需要带一个“？”，形式为“参数名=参数取值”，例如“limit=10”，表示查询不超过10条数据。 例如您需要获取 IAM 在“华北-北京一”区域的Token，则需使用“华北-北京一”区域的Endpoint（iam.cn-north-1.myhuaweicloud.com），并在获取用户Token的URI部分找到resource-path（/v3/auth/tokens），拼接起来如下所示。 1 https://iam.cn-north-1.myhuaweicloud.com/v3/auth/tokens 图1 URI示意图 为查看方便，在每个具体API的URI部分，只给出resource-path部分，并将请求方法写在一起。这是因为URI-scheme都是HTTPS，而Endpoint在同一个区域也相同，所以简洁起见将这两部分省略。

请求方法 HTTP请求方法（也称为操作或动词），它告诉服务你正在请求什么类型的操作。 GET：请求服务器返回指定资源。 PUT：请求服务器更新指定资源。 POST：请求服务器新增资源或执行特殊操作。 DELETE：请求服务器删除指定资源，如删除对象等。 HEAD：请求服务器资源头部。 PATCH：请求服务器更新资源的部分内容。当资源不存在的时候，PATCH可能会去创建一个新的资源。 在获取用户Token的URI部分，您可以看到其请求方法为“POST”，则其请求为： 1 POST https://iam.cn-north-1.myhuaweicloud.com/v3/auth/tokens

请求消息头 附加请求头字段，如指定的URI和HTTP方法所要求的字段。例如定义消息体类型的请求头“Content-Type”，请求鉴权信息等。 如下公共消息头需要添加到请求中。 Content-Type：消息体的类型（格式），必选，默认取值为“application/json”，有其他取值时会在具体接口中专门说明。 X-Auth-Token：用户Token，可选，当使用Token方式认证时，必须填充该字段。用户Token也就是调用获取用户Token接口的响应值，该接口是唯一不需要认证的接口。 对于获取用户Token接口，由于不需要认证，所以只添加“Content-Type”即可，添加消息头后的请求如下所示。 1 2 POST https://iam.cn-north-1.myhuaweicloud.com/v3/auth/tokens Content-Type: application/json

响应消息体 响应消息体通常以结构化格式（如JSON或XML）返回，与响应消息头中Content-Type对应，传递除响应消息头之外的内容。 对于获取用户Token接口，返回如下消息体。为篇幅起见，这里只展示部分内容。 1 2 3 4 5 6 7 8 9 10 11 12 { "token": { "expires_at": "2019-02-13T06:52:13.855000Z", "methods": [ "password" ], "catalog": [ { "endpoints": [ { "region_id": "az-01", ...... 当接口调用出错时，会返回错误码及错误信息说明，错误响应的Body体格式如下所示。 { "error_code": "AS.0001" "error_msg": "The format of message is error", } 其中，error_code表示错误码，error_msg表示错误描述信息。

操作步骤 登录DAC管理控制台。 在左侧导航栏单击“套餐包管理”，进入“套餐包管理”页面。 单击打开右上角 功能按钮，确定即可开启连续按需功能。 开通此按需功能后，优先扣除已购买的套餐包内次数，套餐包到期或者次数用完后的调用将按需计费，费用为3元/次，按需使用产生的费用后续无法通过购买套餐包抵扣。当账号欠费时，无法正常调用，请保证余额充足以保障业务连续性。 该功能会在“开通成功”提示框出现后大约3分钟左右生效，生效后，再去触发相关业务。

大模型微调需要的数据有要求吗？ AI原生应用引擎用于大模型微调的数据集任务领域为“ 自然语言处理 ”、数据集格式为“对话文本”。 文件内容要求为标准json数组，例如： [{"instruction": "aaa", "input": "aaa", "output": "aaa"},{"instruction": "bbb", "input": "bbb", "output": "bbb"}] 父主题： AI原生应用引擎

提供分流能力 表8 提供分流能力的相关接口 API 说明 def split(selector: OutputSelector[T]): SplitStream[T] 传入OutputSelector，重写select方法确定分流的依据(即打标记)，构建SplitStream流。即对每个元素做一个字符串的标记，作为选择的依据，打好标记之后就可以通过标记选出并新建某个标记的流。 def select(outputNames: String*): DataStream[T] 从一个SplitStream中选出一个或多个流。 outputNames指的是使用split方法对每个元素做的字符串标记的序列。

提供设置eventtime属性的能力 表6 提供设置eventtime属性的能力的相关接口 API 说明 def assignTimestampsAndWatermarks(assigner: AssignerWithPeriodicWatermarks[T]): DataStream[T] 为了能让event time窗口可以正常触发窗口计算操作，需要从记录中提取时间戳。 def assignTimestampsAndWatermarks(assigner: AssignerWithPunctuatedWatermarks[T]): DataStream[T]

提供Join能力 表12 提供Join能力的相关接口 API 说明 def join[T2](otherStream: DataStream[T2]): JoinedStreams[T, T2] 通过给定的key在一个窗口范围内join两条数据流。 join操作的key值通过where和eaualTo方法进行指定，代表两条流过滤出包含等值条件的数据。 def coGroup[T2](otherStream: DataStream[T2]): CoGroupedStreams[T, T2] 通过给定的key在一个窗口范围内co-group两条数据流。 coGroup操作的key值通过where和eaualTo方法进行指定，代表两条流通过该等值条件进行分区处理。

Flink常用接口 Flink主要使用到如下这几个类： StreamExecutionEnvironment：是Flink流处理的基础，提供了程序的执行环境。 DataStream：Flink用特别的类DataStream来表示程序中的流式数据。用户可以认为它们是含有重复数据的不可修改的集合(collection)，DataStream中元素的数量是无限的。 KeyedStream：DataStream通过keyBy分组操作生成流，数据经过对设置的key值进行分组。 WindowedStream：KeyedStream通过window窗口函数生成的流，设置窗口类型并且定义窗口触发条件，然后在窗口数据上进行一些操作。 AllWindowedStream：DataStream通过window窗口函数生成的流，设置窗口类型并且定义窗口触发条件，然后在窗口数据上进行一些操作。 ConnectedStreams：将两条DataStream流连接起来并且保持原有流数据的类型，然后进行map或者flatMap操作。 JoinedStreams：在窗口上对数据进行等值join操作，join操作是coGroup操作的一种特殊场景。 CoGroupedStreams：在窗口上对数据进行coGroup操作，可以实现流的各种join类型。 图1 Flink Stream的各种流类型转换

所有的微认证都支持批量购买及兑换吗？现在有哪些微认证支持？ 不是，当前仅有部分微认证支持批量购买及兑换。华为云开发者学堂-微认证详情页页面，含“微认证兑换”字样的微认证才可以在购买页面选择“XXXX-批量”规格，如图1，才支持完成批量购买及兑换，如无相关标识，则不可进行批量购买及兑换。 当前有如下微认证支持批量购买及兑换： 领域 微认证名称 链接 云计算 华为云计算 服务实践 购买链接 华为 云存储 服务实践 购买链接 大数据 基于Spark实现车主驾驶行为分析 购买链接 物联网 基于 物联网平台 构建智慧路灯应用 购买链接 人工智能 基于昇腾AI处理器的算子开发 购买链接 使用MindSpore训练手写数字识别模型 购买链接 听歌识曲-抖音小视频背景音乐识别 购买链接 开发与运维 基于ServiceStage托管和治理天气预报应用 购买链接 数据库 MySQL数据库迁移上云 购买链接 openGauss数据库在金融领域的使用实践 购买链接 华为云数据库服务实践 购买链接 图1 微认证详情页-微认证兑换标识 父主题： 微认证购买常见问题

报文如何填写？ 报文通俗的解释就是用户在网站界面上的所有单击操作。每个单击操作通过编辑成满足协议规范带有用户请求内容格式的码流传送给不同的第三方，最后得到一个正确或者失败响应的一个过程。得到正确的响应，这个单击动作会操作成功；得到错误的响应，界面会提示一些错误信息指导用户怎么修正。 性能测试服务支持报文的请求类型分为GET、POST、PATCH、PUT和DELETE，那么报文如何填写呢？ 首先在压测前需要确认请求接口是一个什么动作。 以查询为例，查询消息就是一个GET请求，在配置时选择GET方式即可。 如果请求消息中有涉及输入参数的情况怎么办？ 如果一个请求涉及到用户各种信息的输入，可以通过在操作时按“F12”，或抓包工具（例如wireshark）查看报文是怎么请求的，报文体是什么样的格式，如何传送到第三方接口。然后根据实际业务在压测的报文中填写。 一般情况这类请求方式会是一个POST，选择POST方式后，会有联动的选项展示出来。 图1 报文内容 标准的HTTP/HTTPS格式，报文的头域依照抓包的内容填写；报文体就是具体请求的内容，根据被测服务业务来判断，可以是游戏的登录请求，可以是银行的开户请求等等，只要满足HTTP/HTTPS的协议都可以编辑报文进行压测。 PATCH、PUT和DELETE的原理和POST是一样的。首先确认被测应用的协议类型、请求方式和请求链接，其次确认具体请求的内容。 父主题： 压测工程管理

取整脱敏 参照操作步骤进入“脱敏规则”页面。 选择“取整脱敏”，进入“取整脱敏”的页面。 系统设置了“日期取整”和“数字取整”两种算法。 “日期取整”算法对应关系型数据库中timestamp，time，data，datatime等与时间相关的字段。 “数字取整”算法对应double，float，int，long等数值类型，脱敏成功后，保持原字段类型不变。 图9 取整脱敏页面 在“数字取整”所在列，单击“编辑测试”，配置“取整值”。 脱敏原理：结果值取靠近“取整值”倍数的向下值。例如：“取整值”设置为5，“原始数据”为14，5的倍数向下靠近14的数为10，则原始数据14按此规则脱敏后为10，即“脱敏结果”为10。 图10 数字取整 输入“原始数据”，单击“测试”，在“脱敏结果”文本框中展示已完成脱敏的数据。 测试确认无误后，单击“保存”。

加密脱敏 通过加密算法和加密主密钥生成一种加密配置，达到数据脱敏的效果。加密脱敏的结果中，初始向量IV为加密字符串的前16个字节，剩余部分是加密的密文。 参照操作步骤进入“脱敏规则”页面。 选择“加密脱敏”页签，进入“加密脱敏”页面。 “主密钥算法”：在下拉框选择加密算法，DSC提供了“AES256”和“SM4”两种加密算法供您选择。 “KMS加密”可以选择“从KMS密钥中选择”和“输入KMS密钥ID”两种方式： “从KMS密钥中选择”：单击下拉框选择已有的KMS主密钥，如果没有可选择的主密钥，单击“创建KMS主密钥”进行创建，创建方式详情请参见创建KMS主密钥。 默认使用凭据管理为您创建的默认主密钥csm/default作为当前凭证的加密主密钥，您可以前往KMS服务页面创建用户密钥，使用自定义加密密钥。 “输入KMS密钥ID”：输入位于当前Region的密钥。 单击下拉框选择“数据密钥长度”，有128、192和256三种供选择。 配置完成后，单击“生成加密配置”。 如果您需要删除已配置的加密脱敏规则，可在目标规则所在列的“操作”列，单击“删除”。 单击打开轮换策略，轮换周期到期后会更新当前加密配置提升安全性。

关键字替换 利用自定义的字符串替换数据中匹配到的关键字，达到脱敏的效果。例如：原始数据为abcdefgbcdefgkjkoij，“关键字”配置为“bcde”，“替换字符串”配置为12，则“脱敏结果”显示为a12fg12fgkjkoij。 参照操作步骤进入“脱敏规则”页面。 选择“关键字替换”页签，进入“关键字替换”页面。 图6 关键字替换 设置需要替换的“关键字”，以及“替换字符串”。 配置后，“原始数据”中匹配到的“关键字”将被设置的“替换字符串”替换，以完成数据脱敏。 图7 添加关键字 输入“原始数据”，单击“测试”，在“脱敏结果”文本框中展示已完成脱敏的数据。 测试确认无误后，单击“保存”。 如果您想修改已配置的脱敏规则，可以在关键字替换规则列表的操作列，单击“编辑测试”进行修改。 如果您想删除已配置的脱敏规则，可以在关键字替换规则列表的操作列，单击“删除”。

删除脱敏 系统内置“Null脱敏”和“空值脱敏”两种算法。 Null脱敏：将任意类型字段设置为NULL。对于属性设置为“NOT NULL”的字段，该算法在拷贝时将该属性修改为“NULL”。 空值脱敏：将指定字段内容设置为空值。具体来说，将字符型的字段设置为空串，数值类的字段设置为0，日期类的字段设置为1970，时间类的字段设置为零点。 删除脱敏为DSC内置的脱敏规则，不需要配置，可参考以下方法查看脱敏规则。 参照操作步骤进入“脱敏规则”页面。 选择“删除脱敏”页签，进入“删除脱敏”的规则展示页面。 图8 删除脱敏

字符掩盖 使用指定字符“*”或随机字符，按照指定方式遮盖部分内容。 支持“保留前n后m”、“保留自x至y”、“遮盖前n后m”、“遮盖自x至y”、“特殊字符前遮盖”和“特殊字符后遮盖”六种字符掩盖的方式。 参照操作步骤进入“脱敏规则”页面。 选择“字符掩盖”页签，进入“字符掩盖”页面。 图4 字符掩盖页面 单击“添加”，配置字符脱敏规则。 图5 添加字符脱敏 输入“原始数据”，单击“测试”，在“脱敏结果”文本框中展示已完成脱敏的数据。 测试确认无误后，单击“保存”。 数据安全中心 服务中已预置多种字符脱敏规则。内置的脱敏规则不支持删除，自定义的规则可以在规则列表的“操作”列，单击“删除”，删除规则。 所有的规则都支持编辑，在规则列表的“操作”列，单击“编辑测试”，修改规则。

Hash脱敏 将字符串类型字段用Hash值代替。在关系型数据库中，当该字段长度小于Hash长度时，会将目标库中该字段的长度与Hash值长度设置相同，保证Hash值完整写入目标库。DSC默认配置了SHA256和SHA512两种Hash脱敏的算法。 Hash脱敏为DSC内置的脱敏规则，不需要配置，如果您需要测试脱敏效果，可参考以下方法查看脱敏结果。 参照操作步骤进入“脱敏规则”页面。 选择“Hash脱敏”，进入Hash脱敏的页面。 图2 Hash脱敏 在选择的SHA256或SHA512算法所在列，单击“测试”。 在弹出的页面中输入“原始数据”，并单击“测试”，在“脱敏结果”文本框中展示已完成脱敏的数据。 图3 Hash脱敏测试

约束限制 自建DB只能添加数据安全中心支持的数据源及版本，DSC支持的数据源及版本如表1所示。 表1 DSC支持的数据源及版本 数据源类型 版本 MySQL 5.6、5.7、5.8、8.0 SQL Server 2017_SE、2017_EE、2017_WEB 2016_SE、2016_EE、2016_WEB 2014_SE、2014_EE 2012_SE、2012_EE、2012_WEB 2008_R2_EE、2008_R2_WEB KingBase V8 DMDBMS 7、8 PostgreSQL 11、10、9.6、9.5、9.4、9.1 TDSQL 10.3.X Oracle 11、12

拉取实例下的元数据 云数据库实例下的授权数据库大于0时，在实例列表“操作”列，单击“刷新”自动创建元数据任务拉取实例的库、表、列信息。 不支持元数据采集的云数据库除外，如DDS等，详情请参见创建元数据采集任务章节。 添加自建数据库实例时，如果打开“创建元数据拉取任务”的开关，完成实例创建后会自动创建元数据任务拉取实例下的所有元数据。 不支持元数据采集的自建数据库除外，如SQLServer等，详情请参见创建元数据采集任务章节。 参考创建元数据采集任务章节的内容手动创建元数据任务。

示例流程 图1 给用户授权服务权限流程 创建用户组并授权 在IAM控制台创建用户组，并授予数据安全中心权限“DSC FullAccess”。 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择除数据安全中心外（假设当前策略仅包含“DSC FullAccess”）的任一服务，如果提示权限不足，表示“DSC FullAccess”已生效。

前提条件 给用户组授权之前，请您了解用户组可以添加的DSC权限，并结合实际需求进行选择，DSC支持的系统权限如表1所示。如果您需要对除DSC之外的其它服务授权，IAM支持服务的所有权限请参见系统权限。 用户在执行云资源委托授权/停止授权时必须拥有IAM的管理员权限（“Security Administrator”权限）。 表1 DSC系统权限 角色名称 描述 类别 依赖关系 DSC DashboardReadOnlyAccess 数据安全中心服务大屏服务只读权限。 系统策略 无 DSC FullAccess 数据安全中心服务所有权限。 系统策略 购买RDS包周期实例需要配置授权项： bss:order:update bss:order:pay DSC ReadOnlyAccess 数据安全中心服务只读权限。 系统策略 无

受攻击Top5 表9 受攻击Top5 参数名称 来源 更新频率 说明 受攻击数据库资产Top5 告警管理 实时 根据“告警管理”中的告警来分析展示受攻击数据库受攻击的Top5数据库资产。 受攻击API Top5 告警管理 实时 根据“告警管理”中的告警来分析展示受攻击Top5API。 受攻击数据库资产Top5 如图11所示，展示受攻击的Top5数据库资产，鼠标移动至柱状图显示“数据库名称”、“数据库类型”以及“受攻击次数”。 图11 受攻击数据库资产Top5 受攻击API Top5 如图12所示，展示受攻击的Top5API，鼠标移动至柱状图显示“API名称”、“应用名称”以及“受攻击次数”。 图12 受攻击API Top5

资产信息 如图5所示，展示资产总数以及高中风险资产总和资产数据识别情况。 表3 资产信息 参数名称 来源 更新频率 说明 资产总数 高、中、低风险资产总和。 实时 - 风险资产数 高、中风险资产总和。 实时 - 安全资产数 低风险资产数。 实时 - 敏感字段总数/总字段数 敏感数据识别。 实时 统计敏感数据列总数/列的总数。 敏感文件数/总文件数 敏感数据识别。 实时 统计OBS资产中的敏感数据文件总数/总文件数。 数据表数 敏感数据总表数。 实时 统计敏感数据表总数。 图5 资产信息

处置统计 告警处置统计 按时间展示来自“告警管理”功能的“告警总数”和“未处理告警数”。 事件处置统计 按时间展示来自“事件管理”功能的“事件总数”和“未处理事件数”。 表7 执行信息 参数名称 来源 更新频率 说明 告警总数 告警管理 实时 统计告警管理列表中的告警总数。 未处理告警数 告警管理 实时 统计告警管理列表中的告警状态为“开启”的告警数量。 事件总数 事件管理 实时 统计事件管理列表中的事件总数。 未处理事件总数 事件管理 实时 统计告警管理列表中的告警状态为“开启”和“阻塞”的事件数量。 图9 处置统计

编辑和删除Elasticsearch脱敏任务 等待运行或运行中的脱敏任务不支持编辑或删除。 在Elasticsearch脱敏任务列表中，在目标脱敏任务的“操作”列，单击“编辑”，可修改脱敏任务配置信息，配置脱敏任务信息请参见创建并运行Elasticsearch脱敏任务。 图6 编辑Elasticsearch脱敏任务 在Elasticsearch脱敏任务列表中，在目标脱敏任务的“操作”列，单击“删除”，如图7所示。 图7 删除Elasticsearch脱敏任务 脱敏任务删除后不支持恢复，建议您谨慎操作。

约束条件 DWS数据只支持smallint，integer，bigint，float4，float8，varchar，text，char类型嵌入水印。 MRS -HIVE数据只支持smallint，int，long，float，double，string类型嵌入水印。 嵌入水印单一列中的内容重复率不高于30%。 数据库的内容字符编码格式为UTF-8。 数据库注入列为非主键列。 数据表中的数据行数建议1500行以上。

机动车 行驶证识别 约束 只支持中国大陆行驶证的识别。 只支持识别PNG、JPG、JPEG、BMP、TIFF格式的图片。 图像各边的像素大小在100到8000px之间。 图像中行驶证区域有效占比超过5%，保证整张行驶证内容及其边缘包含在图像内。 支持图像中行驶证任意角度的水平旋转。 支持少量扭曲，扭曲后图像中的行驶证长宽比与实际行驶证相差不超过10%。 能处理反光、暗光、防伪标识等干扰的图片但影响识别精度。 目前只支持识别2008年版的行驶证。