华为云用户手册

数据安全 权限点 管理员 开发者 运维者 访客 新建数据溯源任务 Y Y N N 删除数据溯源任务 Y Y N N 操作数据溯源任务 Y Y N N 查询数据溯源任务 Y Y Y Y 编辑数据溯源任务 Y Y N N 新建数据分类权限 Y Y Y N 删除数据分类权限 Y Y Y N 查询数据分类权限 Y Y Y Y 编辑数据分类权限 Y Y Y N 新建访问权限管理 Y Y N N 删除访问权限管理 Y Y N N 查询访问权限管理 Y Y Y Y 编辑访问权限管理 Y Y N N 新建动态策略 Y N N N 删除动态策略 Y N N N 查询动态策略 Y Y Y Y 编辑动态策略 Y N N N 新建密级 Y Y N N 删除密级 Y Y N N 查询密级 Y Y Y Y 编辑密级 Y Y N N 新建动态脱敏策略 Y N N N 删除动态脱敏策略 Y N N N 查询动态脱敏策略 Y Y Y Y 编辑动态脱敏策略 Y N N N 新建动态脱敏订阅策略 Y N N N 删除动态脱敏订阅策略 Y N N N 查询动态脱敏订阅策略 Y Y Y Y 新建资源权限策略 Y N N N 删除资源权限策略 Y N N N 查询资源权限策略 Y Y Y Y 编辑资源权限策略 Y N N N 操作安全任务调度 Y Y Y N 新建权限申请审批 Y Y Y N 查询权限申请审批 Y Y Y Y 编辑权限申请审批 Y Y Y N 新建用户同步任务 Y Y Y N 删除用户同步任务 Y Y Y N 查询用户同步任务 Y Y Y Y 编辑用户同步任务 Y Y Y N 新建数据脱敏任务 Y Y N N 删除数据脱敏任务 Y Y N N 操作数据脱敏任务 Y Y N N 查询数据脱敏任务 Y Y Y Y 编辑数据脱敏任务 Y Y N N 操作数据安全细粒度权限控制 Y N N N 查询数据安全细粒度权限控制 Y Y Y Y 编辑数据安全细粒度权限控制 Y N N N 新建权限集权限 Y Y Y N 删除权限集权限 Y Y Y N 查询权限集权限 Y Y Y Y 编辑权限集权限 Y Y Y N 查询总览 Y Y Y Y 新建权限跨源同步策略 Y N N N 删除权限跨源同步策略 Y N N N 查询权限跨源同步策略 Y Y Y Y 编辑权限跨源同步策略 Y N N N 查询成员管理 Y Y Y Y 编辑成员管理 Y Y Y N 新建权限集成员 Y Y Y N 删除权限集成员 Y Y Y N 查询权限集成员 Y Y Y Y 查询获取委托 Y Y Y Y 新建脱敏策略 Y Y N N 删除脱敏策略 Y Y N N 操作脱敏策略 Y Y Y Y 查询脱敏策略 Y Y Y Y 编辑脱敏策略 Y Y N N 查询数据访问审计 Y N N N 新建规则分组 Y Y Y N 删除规则分组 Y Y N N 操作规则分组 Y Y Y N 查询规则分组 Y Y Y Y 编辑规则分组 Y Y Y N 查询权限同步失败日志 Y Y Y Y 新建敏感发现任务 Y Y Y N 删除敏感发现任务 Y Y N N 操作敏感发现任务 Y Y Y N 查询敏感发现任务 Y Y Y Y 编辑敏感发现任务 Y Y N N 新建权限集 Y Y Y N 删除权限集 Y Y Y N 查询权限集 Y Y Y Y 编辑权限集 Y Y Y N 查询数据源 Y Y Y Y 查询目录权限策略 Y Y Y Y 新建行级访问策略 Y N N N 删除行级访问策略 Y N N N 查询行级访问策略 Y Y Y Y 编辑行级访问策略 Y N N N 新建队列策略 Y N N N 删除队列策略 Y N N N 查询队列策略 Y Y Y Y 编辑队列策略 Y N N N 新建安全诊断 Y N N N 查询安全诊断 Y Y Y Y 查询资源权限配置 Y Y N N 新建数据水印嵌入 Y Y N N 删除数据水印嵌入 Y Y N N 操作数据水印嵌入 Y Y N N 查询数据水印嵌入 Y Y Y Y 编辑数据水印嵌入 Y Y N N

数据服务 权限点 管理员 开发者 运维者 访客 新建流控策略 Y Y N N 删除流控策略 Y Y N N 操作流控策略 Y Y Y N 查询流控策略 Y Y Y Y 编辑流控策略 Y Y N N 新建应用 Y Y N N 删除应用 Y Y N N 操作应用 Y Y Y N 查询应用 Y Y Y Y 编辑应用 Y Y N N 操作审核 Y Y Y N 查询审核 Y Y Y Y 新建API目录 Y Y Y N 删除API目录 Y Y Y N 查询API目录 Y Y Y Y 编辑API目录 Y Y Y N 删除集群 Y Y N N 操作集群 Y Y N N 查询集群 Y Y Y Y 新建审核人 Y Y N N 删除审核人 Y N N N 操作审核人 Y Y Y N 查询审核人 Y Y Y N 新建API Y Y N N 删除API Y Y N N 操作API Y Y Y N 查询API Y Y Y Y 编辑API Y Y N N 查询数据源 Y Y N N 查询总览 Y Y Y Y

数据目录 权限点 管理员 开发者 运维者 访客 查询数据源数据 Y Y Y N 操作任务实例 Y Y Y N 查询任务实例 Y Y Y Y 新建采集任务 Y Y N N 删除采集任务 Y Y N N 操作采集任务 Y Y Y N 查询采集任务 Y Y Y Y 编辑采集任务 Y Y N N 编辑审批单 Y Y N N 编辑资产报告 Y Y N N 新建标签 Y Y N N 删除标签 Y Y N N 查询标签 Y Y Y Y 编辑标签 Y Y N N 新建资产 Y Y N N 删除资产 Y Y N N 操作资产 Y Y Y N 查询资产 Y Y Y Y 编辑资产 Y Y N N 新建目录 Y Y N N 删除目录 Y Y N N 查询目录 Y Y Y Y 编辑目录 Y Y N N 新建分类 Y Y N N 删除分类 Y Y N N 查询分类 Y Y Y Y 编辑分类 Y Y N N 新建数据权限规则 Y N N N 删除数据权限规则 Y N N N 查询数据权限规则 Y Y Y Y 编辑数据权限规则 Y N N N

数据质量 权限点 管理员 开发者 运维者 访客 数据质量监控 查询总览 Y Y Y Y 操作实例 Y Y Y N 查询实例 Y Y Y Y 新建规则模板 Y N N N 删除规则模板 Y N N N 操作规则模板 Y N N N 查询规则模板 Y Y Y Y 编辑规则模板 Y N N N 查询运行结果 Y Y N N 新建规则 Y Y N N 删除规则 Y Y N N 操作规则 Y Y Y N 查询规则 Y Y Y Y 编辑规则 Y Y N N 编辑质量评分 Y N N N 新建目录 Y Y N N 删除目录 Y Y N N 查询目录 Y Y Y Y 编辑目录 Y Y N N

数据开发 权限点 管理员 开发者 部署者 运维者 访客 新建Schema Y Y N N N 删除Schema Y Y N N N 查询Schema Y Y N Y Y 编辑Schema Y Y N N N 操作备份 Y Y N Y N 查询备份 Y Y Y Y Y 新建补数据 Y Y N N N 操作补数据 Y Y N Y N 查询补数据 Y Y N Y Y 操作脏数据 Y Y N Y N 操作恢复备份 Y N N Y N 查询恢复备份 Y Y Y Y Y 新建目录 Y Y N N N 删除目录 Y Y N N N 查询目录 Y Y N Y Y 编辑目录 Y Y N N N 新建通知 Y Y 说明： 企业模式下，开发者没有新建通知的权限。 N N N 删除通知 Y Y N N N 查询通知 Y Y N Y Y 编辑通知 Y Y N N N 新建数据库 Y Y N N N 删除数据库 Y Y N N N 查询数据库 Y Y N Y Y 编辑数据库 Y Y N N N 新建解决方案 Y Y N N N 删除解决方案 Y Y N N N 操作解决方案 Y Y N Y N 查询解决方案 Y Y N Y Y 编辑解决方案 Y Y N N N 查询 IAM 代理 Y Y Y Y Y 更新IAM代理 Y N N N N 操作环境变量 Y Y N N N 查询环境变量 Y Y N Y Y 编辑环境变量 Y Y N N N 操作作业节点 Y Y N Y N 查看发布包 Y Y Y Y Y 操作发布包 Y N Y Y N 新建数据连接 Y Y N N N 删除数据连接 Y Y N N N 操作数据连接 Y Y N Y N 查询数据连接 Y Y N Y Y 编辑数据连接 Y Y N N N 撤销发布 Y Y Y Y N 新建数据表 Y Y N N N 删除数据表 Y Y N N N 查询数据表 Y Y N Y Y 编辑数据表 Y Y N N N 操作作业实例 Y Y N Y N 查询作业实例 Y Y N Y Y 新建资源 Y Y N N N 删除资源 Y Y N N N 操作资源 Y Y N Y N 查询资源 Y Y N Y Y 编辑资源 Y Y N N N 编辑环境变量映射 N N N N N 操作脚本编辑锁 Y Y N Y N 新建脚本 Y Y N N N 删除脚本 Y Y N N N 操作脚本 Y Y N Y N 查询脚本 Y Y N Y Y 编辑脚本 Y Y N N N 新建作业标签 Y Y N Y N 删除作业标签 Y Y N Y N 查询作业标签 Y Y N Y Y 新建作业 Y Y N N N 删除作业 Y Y N N N 操作作业 Y Y N Y N 查询作业 Y Y N Y Y 编辑作业 Y Y N Y N 查询作业编辑锁详情 Y Y N Y Y 操作作业编辑锁 Y Y N Y N

数据架构 权限点 管理员 开发者 运维者 访客 新建原子指标 Y Y N N 删除原子指标 Y Y N N 查询原子指标 Y Y Y Y 编辑原子指标 Y Y N N 操作备份管理 Y Y Y N 新建逻辑实体/物理表 Y Y N N 删除逻辑实体/物理表 Y Y N N 查询逻辑实体/物理表 Y Y Y Y 编辑逻辑实体/物理表 Y Y N N 新建配置中心 Y N N N 删除配置中心 Y N N N 查询配置中心 Y Y Y Y 编辑配置中心 Y N N N 操作审批中心 Y Y N N 新建主题设计 Y Y N N 删除主题设计 Y Y N N 查询主题设计 Y Y Y Y 编辑主题设计 Y Y N N 新建业务指标 Y Y N N 删除业务指标 Y Y N N 查询业务指标 Y Y Y Y 编辑业务指标 Y Y N N 新建汇总表 Y Y N N 删除汇总表 Y Y N N 查询汇总表 Y Y Y Y 编辑汇总表 Y Y N N 新建通用配置 Y Y N N 删除通用配置 （指已发布状态的逻辑实体或表，对其在编辑并保存后产生的草稿的删除操作） Y Y N N 操作通用配置 （指逻辑实体或表的导入、导出、发布、下线、同步、逆向等操作） Y Y Y N 查询通用配置 （指已发布状态的逻辑实体或表，对其在编辑并保存后产生的草稿的查询操作） Y Y Y Y 编辑通用配置 （指已发布状态的逻辑实体或表，对其在编辑并保存后产生的草稿的编辑操作） Y Y N N 删除维度表 Y Y N N 查询维度表 Y Y Y Y 新建流程设计 Y Y N N 删除流程设计 Y Y N N 查询流程设计 Y Y Y Y 编辑流程设计 Y Y N N 新建码表管理 Y Y N N 删除码表管理 Y Y N N 查询码表管理 Y Y Y Y 编辑码表管理 Y Y N N 新建模型 Y Y N N 删除模型 Y Y N N 查询模型 Y Y Y Y 编辑模型 Y Y N N 新建衍生/复合指标 Y Y N N 删除衍生/复合指标 Y Y N N 操作衍生/复合指标 Y Y N N 查询衍生/复合指标 Y Y Y Y 编辑衍生/复合指标 Y Y N N 新建关联质量规则 Y Y N N 删除关联质量规则 Y Y N N 查询关联质量规则 Y Y Y Y 编辑关联质量规则 Y Y N N 新建事实表 Y Y N N 删除事实表 Y Y N N 查询事实表 Y Y Y Y 编辑事实表 Y Y N N 新建目录 Y Y N N 删除目录 Y Y N N 查询目录 Y Y Y Y 编辑目录 Y Y N N 新建维度 Y Y N N 删除维度 Y Y N N 查询维度 Y Y Y Y 编辑维度 Y Y N N 新建时间限定 Y Y N N 删除时间限定 Y Y N N 查询时间限定 Y Y Y Y 编辑时间限定 Y Y N N 新建数据标准 Y Y N N 删除数据标准 Y Y N N 查询数据标准 Y Y Y Y 编辑数据标准 Y Y N N

管理中心 权限点 管理员 开发者 运维者 访客 查询集群列表( MRS &DWS& CDM ) Y Y Y Y 新建数据库 Y Y N N 删除数据库 Y Y N N 查询数据库 Y Y Y Y 编辑数据库 Y Y N N 新建数据表 Y Y N N 删除数据表 Y Y N N 查询数据表 Y Y Y Y 编辑数据表 Y Y N N 新建资源迁移 Y Y N N 操作资源迁移 Y Y Y N 查询资源迁移 Y Y Y Y 新建数据连接 Y Y N N 删除数据连接 Y Y N N 操作数据连接 Y Y Y N 查询数据连接 Y Y Y Y 编辑数据连接 Y Y N N 删除RDS驱动包 Y N N N 操作RDS驱动包 Y N N N 查询RDS驱动包 Y Y Y Y 新建 DLI 资源映射配置 N N N N 删除DLI资源映射配置 N N N N 查询DLI资源映射配置 N N N N

版本模式说明 为了实现灵活的资源配置并提供轻量化的 数据治理 能力， DataArts Studio 对的版本模式进行了切换。 对于后续新购买的DataArts Studio，仅能选择按照新版本模式的版本进行购买，具体包含免费版、初级版、专家版和企业版版本。 对于切换前已购买的DataArts Studio，实例依然为旧版本模式的版本，具体包含初级版、基础版、高级版、专业版和企业版版本。 新版本模式相对于旧版本模式，价格门槛更低、资源拓展更加灵活，强力推荐您将已开通的旧版本模式手动升级至新版本模式，升级方法详见版本模式升级。版本模式升级过程及升级后，对功能、业务操作和运行均无任何影响。我们承诺在相同资源下，新版本模式价格更低。 关于新版本模式与旧版本模式相比的变化，详见表7。 表7 新旧版本模式对比 差异项 旧版本模式 新版本模式 提供的版本 初级版：数据集成+数据开发 基础版：数据集成+数据开发+数据治理 高级版：数据集成+数据开发+数据治理 专业版：数据集成+数据开发+数据治理 企业版：数据集成+数据开发+数据治理 免费版：数据集成+数据开发 初级版：数据集成+数据开发 专家版：数据集成+数据开发+轻量数据治理 企业版：数据集成+数据开发+数据治理 免费版本 不支持。 支持。提供免费版本，以供试用。 轻量数据治理能力 不支持。除初级版外，均提供全功能数据治理能力，使用成本高。 支持。专家版提供轻量数据治理能力，满足中小企业数据治理需求。 支持的增量包 仅提供功能增量包： 批量数据迁移增量包 数据服务专享集群增量包 提供功能增量包和规格增量包（如何购买请参考购买DataArts Studio增量包，免费版不支持）： 功能增量包： 批量数据迁移增量包 数据集成资源组增量包 数据服务专享集群增量包 规格增量包： 作业节点调度次数/天增量包 技术资产数量增量包 数据模型数量增量包 版本模式变更 支持升级到新版本模式。 不支持回退到旧版本模式。

版本模式升级 对于已开通的旧版本模式实例，需要您手动将旧模式升级到新模式。模式升级的处理原则如下： 旧版本模式的初级版直接切换到新版本模式的初级版，功能体验、版本规格和计费标准均保持不变。 旧版本模式除初级版外的其他版本升级到新版本模式，为保证数据治理功能体验一致，会转换为新版本模式下的非标准企业版（与标准企业版的支持组件一致，但规格不同）；同时版本规格相比旧模式有所提升，且计费标准不变或下降（如果计费标准下降，DataArts Studio会自动将后期使用时长的差价原路返回到您的付款账户中）。 因此，我们强力推荐您将已有DataArts Studio实例从旧模式升级为新模式。各版本切换前后的情况对比如图1所示。 图1 模式切换前后对比（费用仅做示意，实际收费以官网显示为准） 版本模式升级操作不可回退，升级过程及升级后对功能、业务操作和运行均无任何影响。值得注意的是，切换到新商业模式后，不再支持免费试用基础版。建议您通过体验活动进行功能试用。 如果您需要将旧版本模式升级为新版本模式，可以参考如下步骤进行操作： 参考访问DataArts Studio实例控制台，以华为账号、拥有DAYU Administrator或Tenant Administrator权限的用户登录DataArts Studio控制台。 从DataArts Studio控制台，进入DataArts Studio实例列表。 如果当前区域下有多个DataArts Studio实例，则默认进入实例列表。 如果当前区域下仅有一个DataArts Studio实例，则默认进入DataArts Studio控制台首页。您需要在旧版首页单击实例名右侧的，或在新版首页单击用户名下侧的，进入实例列表。 在需要升级版本模式的实例卡片上，找到“模式切换”按钮并单击进入模式切换界面。 图2 模式切换按钮 在模式切换界面，您可以看到当前旧版本模式切换前后的对比和询价情况。如果您确认切换，单击右下方“切换”按钮，随系统提示进行升级即可。 图3 模式切换 版本模式升级完成需要约5分钟，升级过程及升级后对功能、业务操作和运行均无任何影响。在切换成功后，如果计费标准有所下降，DataArts Studio会自动将后期使用时长的差价原路返回到您的付款账户中。升级完成后，则您可以基于新的版本模式继续使用DataArts Studio。

版本规格说明（旧版本模式） 表5 DataArts Studio版本支持的组件 DataArts Studio组件 初级版 基础版 高级版 专业版 企业版 数据集成 √ √ √ √ √ 管理中心 √ √ √ √ √ 数据架构 x √ √ √ √ 数据开发 √ √ √ √ √ 数据质量 x √ √ √ √ 数据目录 x √ √ √ √ 数据服务 x √ √ √ √ 数据安全 x √ √ √ √ 表6 DataArts Studio版本规格说明（单实例规格） DataArts Studio规格 初级版 基础版 高级版 专业版 企业版 DataArts Studio数据集成集群[1] 集群数量：1个 规格名称：cdm.medium vCPUs/内存：4核 8GB 集群数量：1个 规格名称：cdm.medium vCPUs/内存：4核 8GB 集群数量：1个 规格名称：cdm.large vCPUs/内存：8核 16GB 集群数量：1个 规格名称：cdm.xlarge vCPUs/内存：16核 32GB 集群数量：1个 规格名称：cdm.xlarge vCPUs/内存：16核 32GB 作业节点调度次数/天[2] 5,000次/天 20,000次/天 40,000次/天 80,000次/天 200,000次/天 技术资产数量[3] 不支持 1,000 2,000 4,000 10,000 数据模型数量[4] 不支持 1,000 2,000 4,000 10,000 注释： [1] DataArts Studio数据集成集群：DataArts Studio实例赠送的数据集成集群，由于规格限制，仅用于测试、试用等非正式业务场景。用于业务场景的数据集成集群可以通过“批量数据迁移增量包”进行购买，且不建议同时作为数据连接Agent代理和运行数据迁移作业使用。如何购买请参考购买批量数据迁移增量包。 [2] 作业节点调度次数/天：该规格是以每天执行的数据开发作业、质量作业、对账作业、业务场景和元数据采集作业的调度次数之和计算的。其中数据开发作业的每天调度次数，是以节点（包含Dummy节点）为粒度进行度量的，另外补数据、空跑也会计入度量次数，但测试运行、失败重试不会计入。例如某作业包含2个DWS SQL节点和1个Dummy节点，每天00:00开始执行，隔10小时调度一次，当天额外进行了过去10天的补数据，则该作业当天调度次数为2*3+2*3*10=66，后续每天调度次数为2*3=6。 另外，当作业节点调度的已使用次数+运行中次数+本日将运行次数之和大于此版本规格，执行调度批处理作业或者启动实时作业时就会提示作业节点调度次数/天超过配额。 [3] 技术资产数量：该规格指的是数据目录中表和OBS文件的数量。 [4] 数据模型数量：该规格指的是数据架构中逻辑模型、物理模型、维度表、事实表和汇总表的数量。

版本规格说明（新版本模式） DataArts Studio新版本模式下包含免费版、初级版、专家版和企业版，各版本支持的组件组件功能不同，如表2所示。 表2 DataArts Studio版本支持的组件 DataArts Studio组件 免费版 初级版 专家版 企业版 数据集成 √ √ √ √ 管理中心 √ √ √ √ 数据架构 x x x √ 数据开发 √ √ √ √ 数据质量 x x 支持，但不支持对账作业和质量报告。 √ 数据目录 x x 支持，但不支持通过管理中心资源迁移进行数据目录（分类、标签、采集任务）导出。 √ 数据服务 x x √ √ 数据安全 x x 基础数据安全特性 高级数据安全特性 其中，高级数据安全特性如表3所示，除此之外的数据安全能力均为基础数据安全特性。 表3 高级数据安全特性清单 能力模块 子能力模块 高级特性 内测/商用 访问权限管理 权限审批 申请字段权限 审批策略 有效期管理 权限通知 建库申请 建库审批 全网商用 权限应用 账号映射 未来表权限 全网商用 DataArts资源权限 一级目录权限 下载权限控制 全网商用 敏感数据识别 数据识别规则 组合规则 数据入湖检测规则 全网商用 敏感数据发现 推荐识别（入湖检测规则） 推荐识别（AI推荐识别） 文件内容敏感检测 北京四、上海一内测 隐私保护管理 脱敏策略 展示层脱敏策略 北京四、上海一内测 数据加密 密钥管理 文件加密 外部接口 北京四、上海一内测 数据安全运营 表权限报告 表权限视图 全网商用 成员权限视图 成员权限视图 全网商用 另外，DataArts Studio为不同版本配置了不同的使用规格，具体如表4所示。如果您在使用过程中因业务增长导致规格不足，则可在控制台页面购买规格增量包作为补充。 表4 DataArts Studio版本规格说明（单实例规格） DataArts Studio规格 免费版[5] 初级版 专家版 企业版 DataArts Studio数据集成集群[1] 赠送36小时cdm.large规格的CDM集群折扣套餐，需通过“ 云数据迁移 CDM”服务使用，详见CDM用户指南。 集群数量：1个 规格名称：cdm.medium vCPUs/内存：4核 8GB 集群数量：1个 规格名称：cdm.medium vCPUs/内存：4核 8GB 集群数量：1个 规格名称：cdm.medium vCPUs/内存：4核 8GB 作业节点调度次数/天[2] 500次/天 5,000次/天 5,000次/天 5,000次/天 技术资产数量[3] 不支持 不支持 500 5000 数据模型数量[4] 不支持 不支持 不支持 100 注释： [1] DataArts Studio数据集成集群：DataArts Studio实例赠送的数据集成集群，推荐作为管理中心数据连接的Agent代理使用，不建议同时作为Agent代理和运行数据迁移作业使用。用于运行数据迁移作业的其他规格数据集成集群推荐通过“批量数据迁移增量包”进行购买（免费版需通过“云数据迁移 CDM”服务购买CDM集群），如何购买请参考购买批量数据迁移增量包。 [2] 作业节点调度次数/天：该规格是以每天执行的数据开发作业、质量作业、对账作业、业务场景和元数据采集作业的调度次数之和计算的，可以通过“作业节点调度次数/天增量包”进行扩容，如何购买请参考购买作业节点调度次数/天增量包。其中数据开发作业的每天调度次数，是以节点（包含Dummy节点）为粒度进行度量的，另外补数据、空跑也会计入度量次数，但测试运行、失败重试不会计入。例如某作业包含2个DWS SQL节点和1个Dummy节点，每天00:00开始执行，隔10小时调度一次，当天额外进行了过去10天的补数据，则该作业当天调度次数为2*3+2*3*10=66，后续每天调度次数为2*3=6。 另外，当作业节点调度的已使用次数+运行中次数+本日将运行次数之和大于此版本规格，执行调度批处理作业或者启动实时作业时就会提示作业节点调度次数/天超过配额。 [3] 技术资产数量：该规格指的是数据目录中表和OBS文件的数量，可以通过“技术资产数量增量包”进行扩容，如何购买请参考购买技术资产数量增量包。 [4] 数据模型数量：该规格指的是数据架构中逻辑模型、物理模型、维度表、事实表和汇总表的数量，可以通过“数据模型数量增量包”进行扩容，如何购买请参考购买数据模型数量增量包。 [5] 免费版：免费版定位于试用场景，每个账号在每个区域下仅能有一个免费版实例。使用免费版前，请您了解如下约定： 免费版不自带数据集成集群，而是首次购买时赠送36小时cdm.large规格的CDM集群折扣套餐，1年内有效。使用折扣套餐包时，您需要在“云数据迁移 CDM”服务创建一个与DataArts Studio实例区域一致的cdm.large规格集群，集群运行时会自动扣除折扣套餐包时长，折扣套餐包时长到期后需要删除此集群，否则会产生相关费用。关于CDM服务的计费详情可参见CDM用户指南。 免费版不支持购买增量包，例如无法购买批量数据迁移增量包或作业节点调度次数/天增量包。 免费版数据开发组件的脚本数和作业数的配额限制分别为20。 免费版仅用于试用场景，在业务负荷大的场景下，无法保证免费版实例上业务的正常运行。 免费版不支持通过API调用的方式使用，仅支持控制台方式使用。 免费版受成本、资源等因素限制，提供的总数量有限。当全网免费版数量超过限额时，将无法继续创建免费版实例。 免费版支持升级到其他付费版本。升级到其他版本或删除当前免费版实例后，您可以再次购买免费版，但不能再勾选“CDM套餐包”，折扣套餐仅在首次购买免费版时赠送。

版本场景概述 为了实现灵活的资源配置并提供轻量化的数据治理能力，DataArts Studio对版本模式进行了切换，关于切换前后的新旧版本模式说明详见版本模式说明。 对于后续新购买的DataArts Studio，仅能选择按照新版本模式的版本进行购买，具体包含免费版、初级版、专家版和企业版版本。 对于切换前已购买的DataArts Studio，实例依然为旧版本模式的版本，具体包含初级版、基础版、高级版、专业版和企业版版本。 新版本模式相对于旧版本模式，价格门槛更低、资源拓展更加灵活，强力推荐您将已开通的旧版本模式手动升级至新版本模式，升级方法详见版本模式升级。版本模式升级过程及升级后，对功能、业务操作和运行均无任何影响。我们承诺在相同资源下，新版本模式价格更低。 各版本的建议使用场景如表1所示。其中新版本模式的免费版定位于试用场景，仅包含DataArts Studio初级版功能，此处不再列出。 表1 DataArts Studio各版本建议使用场景 版本模式 版本 建议使用场景 新版本模式 初级版 建设初期 数据湖 项目，主要为大数据开发场景的数据ETL任务管理，不涉及数据治理。 专家版 中小企业规模，具备全职数据开发治理人员，需要轻量数据治理能力，如数据质量、数据目录和数据服务等，性价比首选。 企业版 有完善的数据管理团队和体系，中大型企业规模，需要进行企业信息架构、数据标准、数据模型、数据指标的落地，匹配完整的DAYU数据治理方法论。 旧版本模式 初级版 建设初期数据湖项目，无全职数据开发人员、不涉及数据治理。 基础版 拥有1~2名全职数据开发人员，原始数据规模小于1000张表。 高级版 拥有5~10名全职数据开发人员，有明确的数据标准、数据质量管理、数据规模小于2000张表。 专业版 有完善的数据管理团队和体系，拥有10~30名全职数据开发人员，中大型企业规模。 企业版 大型企业，多分支机构企业。

DataArts Studio控制台功能依赖的角色或策略 DataArts Studio服务各组件功能所需依赖服务的权限如表2所示。在实际授权场景中，推荐为开发者用户配置DataArts Studio服务级别的依赖服务最小权限（可参考如何最小化授权IAM用户使用DataArts Studio，为用户配置最小权限），开发者用户的最小依赖服务权限如表3所示。 在实际授权场景中，DAYU Administrator和DAYU User系统角色已经预置了依赖服务的管理员权限。为了避免普通用户/用户组被授予DAYU User系统角色导致其拥有的依赖服务权限过大的风险，您可以在为用户组授权DAYU User系统角色后，手动删除用户组的周边依赖权限，再为用户组授予所需依赖服务的最小权限合集。 表2 DataArts Studio控制台依赖服务的角色或策略 控制台功能 依赖服务 需配置角色/策略 具体功能 管理中心 BSS bss:coupon:view bss:renewal:update bss:discount:view bss:order:view bss:order:pay bss:order:update 创建增量包或DataArts Studio实例 KMS kms:cmk:get kms:cmk:list kms:cmk:create kms:cmk:decrypt kms:cmk:encrypt kms:dek:create kms:dek:encrypt kms:dek:decrypt 创建数据连接时，使用KMS加解密 DWS dws:cluster:list dws:cluster:getDetail dws:openAPICluster:getDetail 创建DWS数据连接 MRS mrs:cluster:get mrs:cluster:list 创建MRS数据连接 VPC vpc:publicIps:get vpc:publicIps:list vpc:vpcs:get vpc:subnets:get 创建MRS数据连接 RDS rds:*:get rds:*:list 创建RDS数据连接 数据集成 VPC vpc:publicIps:get vpc:publicIps:list vpc:vpcs:get vpc:vpcs:list vpc:subnets:get vpc:securityGroups:get vpc:firewalls:list vpc:routeTables:list vpc:subNetworkInterfaces:list 创建CDM集群或DataArts Studio实例 E CS ecs:flavors:get ecs:cloudServerFlavors:get ecs:availabilityZones:list 创建CDM集群或DataArts Studio实例 CDM cdm:cluster:create 创建CDM集群 KMS kms:cmk:get kms:cmk:list kms:cmk:create kms:cmk:decrypt kms:cmk:encrypt kms:dek:create kms:dek:encrypt kms:dek:decrypt 创建数据连接时，使用KMS加解密 MRS mrs:cluster:get mrs:cluster:list mrs:job:get mrs:job:list 创建MRS数据连接 DWS dws:cluster:list dws:cluster:getDetail dws:openAPICluster:getDetail 创建DWS数据连接 CDM cdm:cluster:get cdm:cluster:list cdm:link:operate cdm:job:operate 通过CDM控制台操作时，需要CDM服务权限 CES ces:*:get ces:*:list 查看CES监控 CSS css:*:get css:*:list 创建CSS连接 CloudTable cloudtable:*:get cloudtable:*:list 创建CloudTable连接 RDS rds:*:get rds:*:list 创建RDS连接 Config rms:resources:list 创建CDM集群 数据开发 OBS obs:object:GetObject obs:object:PutObject obs:bucket:GetBucketLocation obs:bucket:ListAllMyBuckets obs:bucket:ListBucket obs:bucket:CreateBucket 运行脚本、运行作业以及备份作业 SMN smn:topic:publish smn:topic:list 作业通知 KMS kms:cmk:get kms:cmk:list kms:cmk:create kms:cmk:decrypt kms:cmk:encrypt kms:dek:create kms:dek:encrypt kms:dek:decrypt 创建数据连接时，使用KMS加解密 MRS mrs:cluster:get mrs:cluster:list mrs:job:submit mrs:job:delete mrs:job:stop mrs:sql:execute mrs:sql:cancel mrs:job:get mrs:job:list MRS类型作业节点运行： MRS Presto SQL、MRS Spark、MRS Spark Python、MRS Flink Job、 MRS MapReduce MRS Spark SQL、MRS Hive SQL DLI dli:queue:submitJob dli:jobs:create dli:jobs:update dli:jobs:get dli:jobs:list dli:jobs:listAll DLI类型作业节点运行： DLI SQL、DLI Spark OBS obs:object:GetObject obs:object:PutObject obs:object:DeleteObject obs:bucket:GetBucketLocation obs:bucket:ListAllMyBuckets obs:bucket:ListBucket obs:bucket:ListBucketVersions obs:bucket:CreateBucket obs:bucket:DeleteBucket OBS类型作业节点运行： Create OBS、Delete OBS、OBS Manager DWS dws:cluster:list dws:cluster:getDetail dws:openAPICluster:getDetail 创建DWS数据连接 CDM cdm:cluster:get cdm:cluster:list cdm:job:operate 数据连接需要Agent的相关脚本、作业，以及CDM作业运行： RDS SQL、DWS SQL、Hive SQL、SPARK SQL、Shell、Python CES ces:metricData:list 运维概览，查询DLI队列CPU GES ges:graph:access ges:graph:operate ges:graph:list ges:graph:getDetail ges:metadata:create ges:metadata:operate ges:metadata:delete ges:metadata:list ges:metadata:getDetail ges:jobs:list ges:jobs:getDetail Import GES作业节点运行 ECS ecs:servers:list ecs:servers:get ecs:servers:stop ecs:servers:start ecs:cloudServers:list Open/Close Resource作业节点运行，创建主机连接 DLI dli:queue:submitJob dli:queue:cancelJob dli:group:useGroup dli:group:getGroup dli:group:updateGroup dli:group:deleteGroup dli:group:listAllGroup dli:database:createDatabase dli:database:dropDatabase dli:database:displayDatabase dli:database:displayAllDatabases dli:database:explain dli:database:createView dli:database:createTable dli:database:displayAllTables dli:database:createFunction dli:database:describeFunction dli:database:showFunctions dli:database:dropFunction dli:table:select dli:table:update dli:table:delete dli:table:dropTable dli:table:describeTable dli:table:showCreateTable dli:table:showPartitions dli:table:showSegments dli:table:showTableProperties dli:table:insertOverwriteTable dli:table:insertIntoTable dli:table:compaction dli:table:truncateTable dli:table:alterView dli:table:alterTableRename dli:table:alterTableAddColumns dli:table:alterTableDropColumns dli:table:alterTableChangeColumn dli:table:alterTableSetLocation dli:table:alterTableAddPartition dli:table:alterTableRenamePartition dli:table:alterTableSetProperties dli:table:alterTableRecoverPartition dli:table:alterTableDropPartition dli:column:select dli:jobs:create dli:jobs:delete dli:jobs:start dli:jobs:stop dli:jobs:update dli:jobs:export dli:jobs:get dli:jobs:list dli:jobs:listAll dli:resource:useResource dli:resource:updateResource dli:resource:deleteResource dli:resource:getResource dli:resource:listAllResource dli:variable:update dli:variable:delete DLI类型作业/脚本运行 IAM iam:agencies:listAgencies 获取作业委托 DIS DIS Operator DIS User DIS类型作业节点运行： DIS Stream、DIS Dump、DIS Client SWR SWR Admin 仅当在数据开发组件作业中使用DLI Spark节点选择自定义镜像时，需要 容器镜像服务 中的镜像读取权限。 推荐通过镜像授权管理，添加所需镜像的读取权限。不推荐直接为用户授予SWR Admin系统角色， 可能存在权限过大的风险。 数据目录 OBS obs:object:GetObject obs:bucket:GetBucketStorage obs:bucket:GetBucketLocation obs:bucket:ListAllMyBuckets obs:bucket:ListBucket OBS元数据采集 DIS dis:streams:list dis:transferTasks:list DIS元数据采集 CSS css:cluster:list CSS元数据采集 GES ges:graph:list ges:graph:getDetail ges:metadata:list ges:metadata:getDetail GES元数据采集 DLI dli:database:displayDatabase dli:database:displayAllDatabases dli:table:select dli:table:describeTable dli:table:showPartitions dli:table:showTableProperties dli:jobs:create dli:jobs:get DLI元数据采集&数据概要分析 CDM cdm:cluster:list CSS元数据采集 数据质量 SMN smn:topic:publish smn:topic:list 配置作业通知 OBS obs:object:GetObject obs:object:PutObject obs:bucket:GetBucketLocation obs:bucket:ListAllMyBuckets obs:bucket:ListBucket obs:bucket:CreateBucket 导出质量报告 MRS mrs:job:submit mrs:sql:execute mrs:sql:cancel mrs:job:get MRS质量作业运行 DLI dli:queue:submitJob dli:jobs:get dli:jobs:listAll DLI质量作业运行 数据安全 DLI dli:queue:submitJob dli:queue:cancelJob dli:database:displayDatabase dli:database:displayAllDatabases dli:database:displayAllTables dli:table:describeTable dli:jobs:create dli:jobs:stop dli:jobs:get dli:resource:deleteResource dli:resource:getResource dli:resource:listAllResource DLI权限管控 DWS dws:cluster:list dws:cluster:getDetail dws:openAPICluster:getDetail DWS权限管控 MRS mrs:cluster:list mrs:job:submit mrs:job:stop MRS权限管控 KMS kms:cmk:list kms:cmk:encrypt kms:cmk:decrypt 使用KMS加解密 CDM 任意cdm权限，例如cdm:cluster:get DWS和MRS权限管控 表3 开发者用户的依赖服务最小权限合集 权限类型 角色与策略权限-系统角色 角色与策略权限-自定义策略 角色与策略权限-自定义策略 是否必配 必配 必配 必配 权限 DIS Operator DIS User （可选，不推荐）SWR Admin 说明： 仅当在数据开发组件作业中使用DLI Spark节点选择自定义镜像时，需要容器 镜像服务 中的镜像读取权限。 推荐通过镜像授权管理，添加所需镜像的读取权限。不推荐直接为用户授予SWR Admin系统角色， 可能存在权限过大的风险。 依赖的全局级（global级）云服务的自定义策略DataArtsStudio_PermissionsOfDependentServices_global： { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "obs:object:GetObject", "obs:object:PutObject", "obs:object:DeleteObject", "obs:bucket:GetBucketStorage", "obs:bucket:GetBucketLocation", "obs:bucket:ListAllMyBuckets", "obs:bucket:ListBucket", "obs:bucket:ListBucketVersions", "obs:bucket:CreateBucket", "obs:bucket:DeleteBucket", "rms:resources:list", "iam:agencies:listAgencies" ] } ] } 依赖的项目级（region级）云服务的自定义策略DataArtsStudio_PermissionsOfDependentServices_region： { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "cdm:cluster:get", "cdm:cluster:list", "cdm:cluster:create", "cdm:link:operate", "cdm:job:operate", "ces:*:get", "ces:*:list", "cloudtable:*:get", "cloudtable:*:list", "css:*:get", "css:*:list", "dis:streams:list", "dis:transferTasks:list", "dli:queue:submitJob", "dli:queue:cancelJob", "dli:table:insertOverwriteTable", "dli:table:insertIntoTable", "dli:table:alterView", "dli:table:alterTableRename", "dli:table:compaction", "dli:table:truncateTable", "dli:table:alterTableDropColumns", "dli:table:alterTableSetProperties", "dli:table:alterTableChangeColumn", "dli:table:showSegments", "dli:table:alterTableRecoverPartition", "dli:table:dropTable", "dli:table:update", "dli:table:alterTableDropPartition", "dli:table:alterTableAddPartition", "dli:table:alterTableAddColumns", "dli:table:alterTableRenamePartition", "dli:table:delete", "dli:table:alterTableSetLocation", "dli:table:describeTable", "dli:table:showPartitions", "dli:table:showCreateTable", "dli:table:showTableProperties", "dli:table:select", "dli:resource:updateResource", "dli:resource:useResource", "dli:resource:getResource", "dli:resource:listAllResource", "dli:resource:deleteResource", "dli:database:explain", "dli:database:createDatabase", "dli:database:dropFunction", "dli:database:createFunction", "dli:database:displayAllDatabases", "dli:database:displayAllTables", "dli:database:displayDatabase", "dli:database:describeFunction", "dli:database:createView", "dli:database:createTable", "dli:database:showFunctions", "dli:database:dropDatabase", "dli:group:useGroup", "dli:group:updateGroup", "dli:group:listAllGroup", "dli:group:getGroup", "dli:group:deleteGroup", "dli:column:select", "dli:jobs:start", "dli:jobs:export", "dli:jobs:update", "dli:jobs:list", "dli:jobs:listAll", "dli:jobs:get", "dli:jobs:delete", "dli:jobs:create", "dli:jobs:stop", "dli:variable:update", "dli:variable:delete", "dws:cluster:list", "dws:cluster:getDetail", "dws:openAPICluster:getDetail", "ecs:servers:get", "ecs:servers:list", "ecs:servers:stop", "ecs:servers:start", "ecs:flavors:get", "ecs:cloudServerFlavors:get", "ecs:cloudServers:list", "ecs:availabilityZones:list", "ges:graph:access", "ges:metadata:create", "ges:jobs:list", "ges:graph:operate", "ges:jobs:getDetail", "ges:graph:getDetail", "ges:graph:list", "ges:metadata:list", "ges:metadata:getDetail", "ges:metadata:delete", "ges:metadata:operate", "kms:cmk:get", "kms:cmk:list", "kms:cmk:create", "kms:cmk:decrypt", "kms:cmk:encrypt", "kms:dek:create", "kms:dek:encrypt", "kms:dek:decrypt", "mrs:cluster:get", "mrs:cluster:list", "mrs:job:get", "mrs:job:list", "mrs:job:submit", "mrs:job:stop", "mrs:job:delete", "mrs:sql:execute", "mrs:sql:cancel", "rds:*:get", "rds:*:list", "smn:topic:publish", "smn:topic:list", "vpc:publicIps:list", "vpc:publicIps:get", "vpc:vpcs:get", "vpc:vpcs:list", "vpc:subnets:get", "vpc:securityGroups:get", "vpc:firewalls:list", "vpc:routeTables:list", "vpc:subNetworkInterfaces:list" ] } ] }

DataArts Studio权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 DataArts Studio部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问DataArts Studio时，需要先切换至授权区域。 DataArts Studio仅支持基于系统角色的授权，不支持策略授权。为了实现精细的权限管控，DataArts Studio提供了系统角色+工作空间角色授权的能力，由工作空间角色授权具体的操作权限，并支持自定义不同权限点的工作空间角色。 IAM提供了以下两种授权机制。注意，DataArts Studio仅支持其中的IAM角色方式，不支持IAM策略。 IAM角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。传统的IAM角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 IAM策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。 如图1和表1所示，DataArts Studio的IAM系统角色包括DAYU Administrator、DAYU User和DataArts Studio User；工作空间角色是基于IAM角色DAYU User或DataArts Studio User进一步授予的，权限列表列出了DataArts Studio常用操作与工作空间角色的授权关系，您可以参照这些权限列表选择合适的角色。 图1 权限体系 表1 DataArts Studio系统角色 系统角色名称 描述 类别 DAYU Administrator 实例管理员，拥有对DataArts Studio实例及工作空间的所有管理权限、依赖服务权限，以及所有工作空间内的所有业务操作权限。 说明： Tenant Administrator具有除 统一身份认证 服务外，其他所有服务的所有执行权限。即Tenant Administrator权限的用户也拥有对DataArts Studio的所有执行权限。 系统角色 DAYU User 普通用户，具备DataArts Studio实例及工作空间的查看权限，以及依赖服务权限。普通用户需要被授予任一工作空间角色后，才能拥有对应角色的业务操作权限。 工作空间有管理员、开发者、部署者、运维者和访客五种预置角色和自定义角色，每种角色的介绍如下，具体操作权限请参见权限列表。 管理员：工作空间管理员，拥有工作空间内所有的业务操作权限。建议将项目负责人、开发责任人、运维管理员设置为管理员角色。 开发者：开发者拥有工作空间内创建、管理工作项的业务操作权限。建议将任务开发、任务处理的用户设置为开发者。 运维者：运维者具备工作空间内运维调度等业务的操作权限，但无法更改工作项及配置。建议将运维管理、状态监控的用户设置为运维者。 访客：访客可以查看工作空间内的数据，但无法操作业务。建议将只查看空间内容、不进行操作的用户设置为访客。 部署者：企业模式独有，具备工作空间内任务包发布的相关操作权限。在企业模式中，开发者提交脚本或作业版本后，系统会对应产生发布任务。开发者确认发包后，需要部署者审批通过，才能将修改后的作业同步到生产环境。 自定义角色：如果预置角色不能满足您的需求，您也可以创建自定义角色。自定义角色的权限可自由配置，实现业务操作权限最小化。 系统角色 DataArts Studio User 普通用户，具备DataArts Studio实例及工作空间的查看权限，但不具备依赖服务权限。普通用户需要被授予依赖服务权限+任一工作空间角色后，才能拥有对应角色的业务操作权限。 依赖服务权限详见表2。 工作空间有管理员、开发者、部署者、运维者和访客五种预置角色和自定义角色，每种角色的介绍如下，具体操作权限请参见权限列表。 管理员：工作空间管理员，拥有工作空间内所有的业务操作权限。建议将项目负责人、开发责任人、运维管理员设置为管理员角色。 开发者：开发者拥有工作空间内创建、管理工作项的业务操作权限。建议将任务开发、任务处理的用户设置为开发者。 运维者：运维者具备工作空间内运维调度等业务的操作权限，但无法更改工作项及配置。建议将运维管理、状态监控的用户设置为运维者。 访客：访客可以查看工作空间内的数据，但无法操作业务。建议将只查看空间内容、不进行操作的用户设置为访客。 部署者：企业模式独有，具备工作空间内任务包发布的相关操作权限。在企业模式中，开发者提交脚本或作业版本后，系统会对应产生发布任务。开发者确认发包后，需要部署者审批通过，才能将修改后的作业同步到生产环境。 自定义角色：如果预置角色不能满足您的需求，您也可以创建自定义角色。自定义角色的权限可自由配置，实现业务操作权限最小化。 系统角色

访问控制 您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制华为云资源的访问。关于IAM的详细介绍，请参见IAM产品介绍。 DataArts Studio仅支持基于系统角色的授权，不支持策略授权。为了实现精细的权限管控，DataArts Studio提供了系统角色+工作空间角色授权的能力，由工作空间角色授权具体的操作权限，并支持自定义不同权限点的工作空间角色。 如图1和表1所示，DataArts Studio的IAM系统角色包括DAYU Administrator、DAYU User和DataArts Studio User；工作空间角色是基于IAM角色DAYU User或DataArts Studio User进一步授予的，权限列表列出了DataArts Studio常用操作与工作空间角色的授权关系，您可以参照这些权限列表选择合适的角色。 图1 权限体系 表1 DataArts Studio系统角色 系统角色名称 描述 类别 DAYU Administrator 实例管理员，拥有对DataArts Studio实例及工作空间的所有管理权限、依赖服务权限，以及所有工作空间内的所有业务操作权限。 说明： Tenant Administrator具有除统一身份认证服务外，其他所有服务的所有执行权限。即Tenant Administrator权限的用户也拥有对DataArts Studio的所有执行权限。 系统角色 DAYU User 普通用户，具备DataArts Studio实例及工作空间的查看权限，以及依赖服务权限。普通用户需要被授予任一工作空间角色后，才能拥有对应角色的业务操作权限。 工作空间有管理员、开发者、部署者、运维者和访客五种预置角色和自定义角色，每种角色的介绍如下，具体操作权限请参见权限列表。 管理员：工作空间管理员，拥有工作空间内所有的业务操作权限。建议将项目负责人、开发责任人、运维管理员设置为管理员角色。 开发者：开发者拥有工作空间内创建、管理工作项的业务操作权限。建议将任务开发、任务处理的用户设置为开发者。 运维者：运维者具备工作空间内运维调度等业务的操作权限，但无法更改工作项及配置。建议将运维管理、状态监控的用户设置为运维者。 访客：访客可以查看工作空间内的数据，但无法操作业务。建议将只查看空间内容、不进行操作的用户设置为访客。 部署者：企业模式独有，具备工作空间内任务包发布的相关操作权限。在企业模式中，开发者提交脚本或作业版本后，系统会对应产生发布任务。开发者确认发包后，需要部署者审批通过，才能将修改后的作业同步到生产环境。 自定义角色：如果预置角色不能满足您的需求，您也可以创建自定义角色。自定义角色的权限可自由配置，实现业务操作权限最小化。 系统角色 DataArts Studio User 普通用户，具备DataArts Studio实例及工作空间的查看权限，但不具备依赖服务权限。普通用户需要被授予依赖服务权限+任一工作空间角色后，才能拥有对应角色的业务操作权限。 依赖服务权限详见表2。 工作空间有管理员、开发者、部署者、运维者和访客五种预置角色和自定义角色，每种角色的介绍如下，具体操作权限请参见权限列表。 管理员：工作空间管理员，拥有工作空间内所有的业务操作权限。建议将项目负责人、开发责任人、运维管理员设置为管理员角色。 开发者：开发者拥有工作空间内创建、管理工作项的业务操作权限。建议将任务开发、任务处理的用户设置为开发者。 运维者：运维者具备工作空间内运维调度等业务的操作权限，但无法更改工作项及配置。建议将运维管理、状态监控的用户设置为运维者。 访客：访客可以查看工作空间内的数据，但无法操作业务。建议将只查看空间内容、不进行操作的用户设置为访客。 部署者：企业模式独有，具备工作空间内任务包发布的相关操作权限。在企业模式中，开发者提交脚本或作业版本后，系统会对应产生发布任务。开发者确认发包后，需要部署者审批通过，才能将修改后的作业同步到生产环境。 自定义角色：如果预置角色不能满足您的需求，您也可以创建自定义角色。自定义角色的权限可自由配置，实现业务操作权限最小化。 系统角色

② VPC客户端和访问的目的地址冲突 如果VPC客户端和访问的服务端均采用IPv4地址，可能存在客户端网段和访问的服务端网段冲突，通过云原生应用网络可以解决地址冲突的问题。 如图3，客户端VPC ECS-1 IP地址为10.1.1.2，服务端ECS-2 IP地址为10.1.1.2，客户端与服务端地址冲突。 配置ANC网络后，客户端访问服务A的 域名 ，即可以通过ANC访问服务端ECS-2。 图3 通过ANC访问

① 跨区域极简网络配置访问 跨区域网络配置访问，用于在多个全球跨区域互联的VPC内，您需要部署网络访问多个跨区域VPC实例的场景。 规划的云原生应用网络，应用使用统一的网络部署业务，基于ANC实现网络互通和隔离，无需再统一规划VPC。连接无需感知任何网络信息，应用跨账号、跨区域、跨VPC无感互联。应用灵活编排，网络配置简单，操作便捷。 图1 传统VPC网络与ANC网络配置区别 图2 配置ANC网络

入门指南 服务简介 服务是一种可独立部署的软件单元，包含路由规则、成员组等组件。用户可以通过ANC，根据定义的路由规则，访问服务中的资源（成员）。 服务由成员、路由规则、健康检查（可选）等元素组成。 成员可以是云服务器实例、辅助弹性网卡或弹性负载均衡实例等。由一个或多个成员的逻辑集合组成成员组。 路由规则是服务默认组件，用于将请求转发多个成员组中的一个。每条规则由优先级和权重组成。路由规则决定由客户端请求所转发的目标成员组。 服务会定期向成员发送请求以测试其运行状态，这些测试称为健康检查。通过健康检查来判断成员是否可用。

服务 服务是一种可独立部署的软件单元，接受客户端请求的服务载体。接受来自客户端的请求，根据定义的路由规则将请求转发到成员组的成员。 表2 服务说明 服务类型 说明 同区域 同一个服务可以添加相同区域的成员组。 在服务A中，添加区域A的路由规则，并添加区域A的多个成员组。 同一服务同一区域中，可添加1个路由规则。 跨区域 同一个服务可以添加不同区域的成员组。 在服务B中，添加区域A的路由规则和成员组。添加区域B的路由规则和成员组。

关联VPC 关联VPC是将客户端所在的VPC关联到云原生应用网络。您可以将不同区域的VPC关联至云原生应用网络。例如，将区域C的VPC-C1和区域D的VPC-D1关联至云原生应用网络。 与云原生应用网络关联的VPC客户端可以发现与云原生应用网络关联的服务，可以向与云原生应用网络关联的服务发出请求。 表4 关VPC客户端访问路径说明 客户端访问 说明 允许访问路径 客户端可以访问与客户端相同区域的服务。 客户端可以访问与客户端不同区域的服务。 客户端优先访问与客户端区域近的服务。 不允许访问路径 客户端无法向与云原生网络关联的其他VPC中的客户端发送请求。

Token认证 Token的有效期为24小时，需要使用一个Token鉴权时，可以先缓存起来，避免频繁调用。 Token在计算机系统中代表令牌（临时）的意思，拥有Token就代表拥有某种权限。Token认证就是在调用API的时候将Token加到请求消息头，从而通过身份认证，获得操作API的权限。 Token可通过调用获取用户Token接口获取，调用本服务API需要project级别的Token，即调用获取用户Token接口时，请求body中auth.scope的取值需要选择project，如下所示。 { "auth": { "identity": { "methods": [ "password" ], "password": { "user": { "name": "username", "password": "********", "domain": { "name": "domainname" } } } }, "scope": { "project": { "name": "xxxxxxxx" } } } } 获取Token 后，再调用其他接口时，您需要在请求消息头中添加“X-Auth-Token”，其值即为Token。例如Token值为“ABCDEFJ....”，则调用接口时将“X-Auth-Token: ABCDEFJ....”加到请求消息头即可，如下所示。 GET https://iam.cn-north-1.myhuaweicloud.com/v3/auth/projects Content-Type: application/json X-Auth-Token: ABCDEFJ.... 您还可以通过这个视频教程了解如何使用Token认证：https://bbs.huaweicloud.com/videos/101333 。

AK/SK认证 AK/SK签名认证方式仅支持请求Body体大小12M以内，12M以上的请求请使用Token认证。 AK/SK认证就是使用AK/SK对请求进行签名，在请求时将签名信息添加到消息头，从而通过身份认证。 AK(Access Key ID)：访问密钥ID。与私有访问密钥关联的唯一标识符；访问密钥ID和私有访问密钥一起使用，对请求进行加密签名。 SK(Secret Access Key)：与访问密钥ID结合使用的密钥，对请求进行加密签名，可标识发送方，并防止请求被修改。 使用AK/SK认证时，您可以基于签名算法使用AK/SK对请求进行签名，也可以使用专门的签名SDK对请求进行签名。详细的签名方法和SDK使用方法请参见API签名指南。 签名SDK只提供签名功能，与服务提供的SDK不同，使用时请注意。

解决办法 登录集群任一节点目录。 创建hss-rbac.yaml文件，并将以下内容复制并保存至hss-rbac.yaml文件中。 1 {"metadata":{"namespace":"hss","name":"hssRole"},"apiVersion":"rbac.authorization.k8s.io/v1","kind":"Role","rules":[{"resources":["configmaps"],"verbs":["create","delete","deletecollection","get","list","patch","update","watch"],"apiGroups":[""]},{"resources":["daemonsets","deployments","deployments/rollback","replicasets"],"verbs":["create","delete","deletecollection","get","list","patch","update","watch"],"apiGroups":["apps"]},{"resources":["cronjobs","jobs"],"verbs":["create","delete","deletecollection","get","list","patch","update","watch"],"apiGroups":["batch"]},{"resources":["ingresses"],"verbs":["create","delete","deletecollection","get","list","patch","update","watch"],"apiGroups":["extensions"]},{"resources":["ingresses"],"verbs":["create","delete","deletecollection","get","list","patch","update","watch"],"apiGroups":["networking.k8s.io"]}]}{"metadata":{"namespace":"hss","name":"hssRoleBinding"},"apiVersion":"rbac.authorization.k8s.io/v1","kind":"RoleBinding","subjects":[{"kind":"ServiceAccount","name":"hss-user","namespace":"hss"}],"roleRef":{"apiGroup":"rbac.authorization.k8s.io","kind":"Role","name":"hssRole"}}{"metadata":{"name":"hssClusterRole"},"apiVersion":"rbac.authorization.k8s.io/v1","kind":"ClusterRole","rules":[{"resources":["namespaces","pods","nodes","services","endpoints","configmaps","events","persistentvolumeclaims","persistentvolumes","podtemplates","replicationcontrollers","serviceaccounts","pods/log"],"verbs":["get","list"],"apiGroups":[""]},{"resources":["pods/status"],"verbs":["update"],"apiGroups":[""]},{"resources":["daemonsets","deployments","replicasets","statefulsets"],"verbs":["get","list"],"apiGroups":["apps"]},{"resources":["horizontalpodautoscalers"],"verbs":["get","list"],"apiGroups":["autoscaling"]},{"resources":["cronjobs","jobs"],"verbs":["get","list"],"apiGroups":["batch"]},{"resources":["endpointslices"],"verbs":["get","list"],"apiGroups":["discovery.k8s.io"]},{"resources":["events"],"verbs":["get","list"],"apiGroups":["events.k8s.io"]},{"resources":["ingresses"],"verbs":["get","list"],"apiGroups":["extensions"]},{"resources":["ingressclasses","ingresses","networkpolicies"],"verbs":["create","delete","update","get","list"],"apiGroups":["networking.k8s.io"]},{"resources":["clusterrolebindings","clusterroles","rolebindings","roles"],"verbs":["create","delete","deletecollection","patch","update","watch"],"apiGroups":["rbac.authorization.k8s.io"]},{"resources":["clusterrolebindings","clusterroles","rolebindings","roles"],"verbs":["get","list"],"apiGroups":["rbac.authorization.k8s.io"]},{"resources":["storageclasses","volumeattachments"],"verbs":["get","list"],"apiGroups":["storage.k8s.io"]}]}{"metadata":{"name":"hssClusterRoleBinding"},"apiVersion":"rbac.authorization.k8s.io/v1","kind":"ClusterRoleBinding","subjects":[{"kind":"ServiceAccount","name":"hss-user","namespace":"hss"}],"roleRef":{"apiGroup":"rbac.authorization.k8s.io","kind":"ClusterRole","name":"hssClusterRole"}} 执行以下命令，配置HSS所需的全量rbac权限 kubectl apply -f hss-rbac.yaml 登录HSS控制台，查看权限列表中“是否有权限”列均为“是”，表示权限恢复正常，问题解决。 详细操作请参考问题现象中查看权限列表的操作。 如果您一直停留在HSS权限列表页面，请在配置完成后刷新下页面。

约束限制 仅 企业主机安全 版本为旗舰版、网页防篡改版、容器版，且Linux Agent版本≥3.2.12或Windows Agent版本≥4.0.18时，支持Agent自保护功能。 Windows系统的Agent自保护功能依赖AV检测、HIPS检测或者勒索病毒防护功能使能驱动才能生效，只有这三个功能开启一个以上时，开启Agent自保护才会生效。确认或开启这些功能的具体操作请参见： 勒索病毒防护：开启勒索病毒防护。 AV检测、HIPS检测：配置策略。 开启自保护策略后的影响如下： Windows系统 不能通过控制面板卸载Agent，支持通过企业主机安全控制台卸载Agent。 Agent安装路径C:\Program Files\HostGuard下除了log目录、data目录（如果Agent升级过，则包含upgrade目录）外的其他目录无法访问。 企业主机安全相关的进程无法被强制结束。 Linux系统 不能通过命令卸载Agent，支持通过企业主机安全控制台卸载Agent。 通过命令停止或重启企业主机安全，需要输入验证码（验证码为执行停止或重启命令后界面回显的字符）。 企业主机安全相关的进程信息将被隐藏。

解决措施 在任一集群节点执行如下操作，即可卸载容器集群防护插件。 登录任一集群节点。 在/tmp目录下新建plugin.yaml文件，并将如下脚本内容拷贝至plugin.yaml文件中。 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 apiVersion: v1 kind: Namespace metadata: labels: admission.gatekeeper.sh/ignore: no-self-managing control-plane: controller-manager gatekeeper.sh/system: "yes" pod-security.kubernetes.io/audit: restricted pod-security.kubernetes.io/audit-version: latest pod-security.kubernetes.io/enforce: restricted pod-security.kubernetes.io/enforce-version: v1.24 pod-security.kubernetes.io/warn: restricted pod-security.kubernetes.io/warn-version: latest name: gatekeeper-system --- apiVersion: apiextensions.k8s.io/v1 kind: CustomResourceDefinition metadata: annotations: controller-gen.kubebuilder.io/version: v0.10.0 labels: gatekeeper.sh/system: "yes" name: assign.mutations.gatekeeper.sh --- apiVersion: apiextensions.k8s.io/v1 kind: CustomResourceDefinition metadata: annotations: controller-gen.kubebuilder.io/version: v0.10.0 labels: gatekeeper.sh/system: "yes" name: assignimage.mutations.gatekeeper.sh --- apiVersion: apiextensions.k8s.io/v1 kind: CustomResourceDefinition metadata: annotations: controller-gen.kubebuilder.io/version: v0.10.0 labels: gatekeeper.sh/system: "yes" name: assignmetadata.mutations.gatekeeper.sh --- apiVersion: apiextensions.k8s.io/v1 kind: CustomResourceDefinition metadata: annotations: controller-gen.kubebuilder.io/version: v0.10.0 labels: gatekeeper.sh/system: "yes" name: configs.config.gatekeeper.sh --- apiVersion: apiextensions.k8s.io/v1 kind: CustomResourceDefinition metadata: annotations: controller-gen.kubebuilder.io/version: v0.10.0 labels: gatekeeper.sh/system: "yes" name: constraintpodstatuses.status.gatekeeper.sh --- apiVersion: apiextensions.k8s.io/v1 kind: CustomResourceDefinition metadata: annotations: controller-gen.kubebuilder.io/version: v0.10.0 labels: gatekeeper.sh/system: "yes" name: constrainttemplatepodstatuses.status.gatekeeper.sh --- apiVersion: apiextensions.k8s.io/v1 kind: CustomResourceDefinition metadata: annotations: controller-gen.kubebuilder.io/version: v0.11.3 labels: gatekeeper.sh/system: "yes" name: constrainttemplates.templates.gatekeeper.sh --- apiVersion: apiextensions.k8s.io/v1 kind: CustomResourceDefinition metadata: annotations: controller-gen.kubebuilder.io/version: v0.10.0 labels: gatekeeper.sh/system: "yes" name: expansiontemplate.expansion.gatekeeper.sh --- apiVersion: apiextensions.k8s.io/v1 kind: CustomResourceDefinition metadata: annotations: controller-gen.kubebuilder.io/version: v0.10.0 labels: gatekeeper.sh/system: "yes" name: expansiontemplatepodstatuses.status.gatekeeper.sh --- apiVersion: apiextensions.k8s.io/v1 kind: CustomResourceDefinition metadata: annotations: controller-gen.kubebuilder.io/version: v0.10.0 labels: gatekeeper.sh/system: "yes" name: modifyset.mutations.gatekeeper.sh --- apiVersion: apiextensions.k8s.io/v1 kind: CustomResourceDefinition metadata: annotations: controller-gen.kubebuilder.io/version: v0.10.0 labels: gatekeeper.sh/system: "yes" name: mutatorpodstatuses.status.gatekeeper.sh --- apiVersion: apiextensions.k8s.io/v1 kind: CustomResourceDefinition metadata: annotations: controller-gen.kubebuilder.io/version: v0.11.3 labels: gatekeeper.sh/system: "yes" name: providers.externaldata.gatekeeper.sh --- apiVersion: rbac.authorization.k8s.io/v1 kind: Role metadata: creationTimestamp: null labels: gatekeeper.sh/system: "yes" name: gatekeeper-manager-role namespace: gatekeeper-system --- apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: creationTimestamp: null labels: gatekeeper.sh/system: "yes" name: gatekeeper-manager-role --- apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata: labels: gatekeeper.sh/system: "yes" name: gatekeeper-manager-rolebinding namespace: gatekeeper-system roleRef: apiGroup: rbac.authorization.k8s.io kind: Role name: gatekeeper-manager-role subjects: - kind: ServiceAccount name: gatekeeper-admin namespace: gatekeeper-system --- apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: labels: gatekeeper.sh/system: "yes" name: gatekeeper-manager-rolebinding roleRef: apiGroup: rbac.authorization.k8s.io kind: ClusterRole name: gatekeeper-manager-role subjects: - kind: ServiceAccount name: gatekeeper-admin namespace: gatekeeper-system --- apiVersion: admissionregistration.k8s.io/v1 kind: MutatingWebhookConfiguration metadata: labels: gatekeeper.sh/system: "yes" name: gatekeeper-mutating-webhook-configuration --- apiVersion: admissionregistration.k8s.io/v1 kind: ValidatingWebhookConfiguration metadata: labels: gatekeeper.sh/system: "yes" name: gatekeeper-validating-webhook-configuration 在/tmp目录下新建uninstall.sh文件，并将如下脚本内容拷贝至uninstall.sh文件中。 1 2 3 #!/bin/bash kubectl delete -f /tmp/plugin.yaml kubectl delete ns cgs-provider 执行如下命令卸载容器集群防护插件。 bash /tmp/uninstall.sh 回显如下图类似信息，表示插件卸载完成。

开启apiserver审计功能 将以下yaml内容复制并保存至yaml文件，并将yaml文件命名为“audit-policy.yaml”。 该yaml内容为K8s审计功能的配置文件，您可以直接使用或者根据实际业务情况编写。 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 apiVersion: audit.k8s.io/v1 # This is required. kind: Policy # Don't generate audit events for all requests in RequestReceived stage. omitStages: - "RequestReceived" rules: # The following requests were manually identified as high-volume and low-risk, # so drop them. # Kube-Proxy running on each node will watch services and endpoint objects in real time - level: None users: ["system:kube-proxy"] verbs: ["watch"] resources: - group: "" # core resources: ["endpoints", "services"] # Some health checks - level: None users: ["kubelet"] # legacy kubelet identity verbs: ["get"] resources: - group: "" # core resources: ["nodes"] - level: None userGroups: ["system:nodes"] verbs: ["get"] resources: - group: "" # core resources: ["nodes"] - level: None users: ["system:apiserver"] verbs: ["get"] resources: - group: "" # core resources: ["namespaces"] # Some system component certificates reuse the master user, which cannot be accurately distinguished from user behavior, # considering that subsequent new functions may continue to add system operations under kube-system, the cost of targeted configuration is relatively high, # in terms of the overall strategy, it is not recommended (allowed) for users to operate under the kube-system, # so overall drop has no direct impact on user experience - level: None verbs: ["get", "update"] namespaces: ["kube-system"] # Don't log these read-only URLs. - level: None nonResourceURLs: - /healthz* - /version - /swagger* # Don't log events requests. - level: None resources: - group: "" # core resources: ["events"] # Don't log leases requests - level: None verbs: [ "get", "update" ] resources: - group: "coordination.k8s.io" resources: ["leases"] # Secrets, ConfigMaps, and TokenReviews can contain sensitive & binary data, # so only log at the Metadata level. - level: Metadata resources: - group: "" # core resources: ["secrets", "configmaps"] - group: authentication.k8s.io resources: ["tokenreviews"] # Get responses can be large; skip them. - level: Request verbs: ["get", "list", "watch"] resources: - group: "" # core - group: "admissionregistration.k8s.io" - group: "apps" - group: "authentication.k8s.io" - group: "authorization.k8s.io" - group: "autoscaling" - group: "batch" - group: "certificates.k8s.io" - group: "extensions" - group: "networking.k8s.io" - group: "policy" - group: "rbac.authorization.k8s.io" - group: "settings.k8s.io" - group: "storage.k8s.io" # Default level for known APIs - level: RequestResponse resources: - group: "" # core - group: "admissionregistration.k8s.io" - group: "apps" - group: "authentication.k8s.io" - group: "authorization.k8s.io" - group: "autoscaling" - group: "batch" - group: "certificates.k8s.io" - group: "extensions" - group: "networking.k8s.io" - group: "policy" - group: "rbac.authorization.k8s.io" - group: "settings.k8s.io" - group: "storage.k8s.io" # Default level for all other requests. - level: Metadata 将audit-policy.yaml文件上传至/etc/kubernetes/路径下。 进入/etc/kubernetes/manifests目录，将以下内容填写至配置文件kube-apiserver.yaml中，开启apiserver审计功能。 1 2 3 4 5 --audit-policy-file=/etc/kubernetes/audit-policy.yaml --audit-log-path=/var/log/kubernetes/audit/audit.log --audit-log-maxsize=100 --audit-log-maxage=1 --audit-log-maxbackup=10 --audit-policy-file：指定审计功能所使用的配置文件。 --audit-log-path：指定用来写入审计事件的日志文件路径。不指定此标志会禁用日志后端。 --audit-log-maxsize：定义审计日志文件轮转之前的最大大小（兆字节）。 --audit-log-maxage：定义保留旧审计日志文件的最大天数。 --audit-log-maxbackup：定义要保留的审计日志文件的最大数量。 将上述启动参数填写至配置文件kube-apiserver.yaml时，注意与kube-apiserver.yaml中的启动参数格式保持一致，且不能存在制表符（tab）。 （可选）如果您的kube-apiserver是以Pod形式存在，请按如下步骤将审计日志持久化到主机上。 在kube-apiserver.yaml中找到volumeMounts字段，按如下配置挂载数据卷。 1 2 3 4 5 6 7 volumeMounts: - mountPath: /etc/kubernetes/audit-policy.yaml name: audit readOnly: true - mountPath: /var/log/kubernetes/audit/ name: audit-log readOnly: false 在kube-apiserver.yaml中找到volumes字段，按如下配置挂载。 1 2 3 4 5 6 7 8 9 volumes: - name: audit hostPath: path: /etc/kubernetes/audit-policy.yaml type: File - name: audit-log hostPath: path: /var/log/kubernetes/audit/ type: DirectoryOrCreate

前提条件 已开启容器防护，相关操作请参见开启容器节点防护。 已确认apiserver审计功能未开启，确认步骤如下： 登录到kube-apiserver所在的节点。 查看kube-apiserver.yaml文件或者已经启动的kube-apiserver进程。 进入/etc/kubernetes/manifest目录，查看kube-apiserver.yaml中是否存在--audit-log-path和--audit-policy-file，不存在即表示apiserver审计功能未正常开启。 执行ps命令，查看kube-apiserver的进程命令行中是否存在--audit-log-path和--audit-policy-file，不存在即表示apiserver审计功能未正常开启。

计费示例 假设您在2023/04/18 9:59:30为一台主机开启了按需计费企业主机安全企业版防护，然后在2023/04/18 10:45:46关闭防护，则： 第一个计费周期为9:00:00 ~ 10:00:00，在9:59:30 ~ 10:00:00间产生费用，该计费周期内的计费时长为30秒。 第二个计费周期为10:00:00 ~ 11:00:00，在10:00:00 ~ 10:45:46间产生费用，该计费周期内的计费时长为2746秒。 您需要为每个计费周期付费，计费公式如表 计费公式所示。产品价格详情中标出了资源的每小时价格，您需要将每小时价格除以3600，得到每秒价格。 表2 计费公式 资源类型 计费公式 资源单价 防护配额（专业版、企业版、旗舰版、容器版、网页防篡改版） 防护配额单价*计费时长 请参见企业主机安全价格详情中的规格单价。 图 按需计费HSS费用计算示例给出了上述示例配置的费用计算过程。 图中价格仅供参考，实际计算请以企业主机安全价格详情中的价格为准。 图1 按需计费企业主机安全费用计算示例

计费周期 按需计费企业主机安全资源包括防护配额和增值服务，其中仅“防护配额”按照计费周期进行收费。 防护配额：按使用时长计费，精确到秒，每一个小时整点结算一次费用（以UTC+8时间为准）。 增值服务：按使用次数计费，不设独立的计费周期，每一个小时整点结算一次费用（以UTC+8时间为准）。 防护配额计费周期： 计费起点：以开启企业主机安全防护成功的时间点为准。 计费终点：以关闭企业主机安全防护的时间点为准。 例如，您在8:45:30为一台主机开启了按需计费企业主机安全企业版防护，然后在8:55:00关闭防护，则计费周期为8:00:00 ~ 9:00:00，在8:45:30 ~ 8:55:30间产生费用，该计费周期内的计费时长为600秒。

变更计费模式概述 在购买企业主机安全专业版、企业版、旗舰版、容器版和网页防篡改版后，如果发现当前计费模式无法满足业务需求，您可以变更计费模式。支持变更计费模式的企业主机安全计费项如表1所示。 表1 支持变更计费模式的企业主机安全计费项 计费项 变更说明 相关文档 防护配额 企业主机安全支持变更模式的防护配额为专业版、企业版、旗舰版、容器版和网页防篡改版。 将企业主机安全专业版、企业版、旗舰版、容器版和网页防篡改版的计费模式从按需计费转为包年/包月，可以让您享受一定程度的价格优惠。 将企业主机安全专业版、企业版、旗舰版、容器版和网页防篡改版的计费模式从包年/包月转为按需计费，可以帮助您回收部分成本，并更加灵活地使用企业主机安全。 按需转包年/包月 包年/包月转按需 父主题： 变更计费模式