华为云用户手册

响应参数 表8 响应Body参数 参数 参数类型 描述 role Object 自定义策略信息。 表9 role 参数 参数类型 描述 catalog String 自定义策略所在目录。 display_name String 自定义策略展示名。 description String 自定义策略的描述信息。 links Object 自定义策略的资源链接信息。 policy Object 自定义策略的具体内容。 description_cn String 自定义策略的中文描述信息，仅在请求中传入了description_cn参数，响应体中才会返回此字段。 domain_id String 自定义策略所属账号ID。 type String 自定义策略的显示模式。 说明： AX：全局服务。 XA：区域级项目。 自定义策略的显示模式只能为AX或者XA，不能同时在全局服务和区域级项目生效（AA），或者在全局服务和区域级项目都不生效（XX）。 id String 自定义策略ID。 name String 自定义策略名。 updated_time String 自定义策略更新时间。 说明： UNIX时间戳格式，单位是毫秒，时间戳格式如：1687913793000。 created_time String 自定义策略创建时间。 说明： UNIX时间戳格式，单位是毫秒，时间戳格式如：1687913793000。 表10 role.links 参数 参数类型 描述 self String 资源链接地址。 表11 role.policy 参数 参数类型 描述 Version String 权限版本号。 说明： 1.0：系统预置的角色。以服务为粒度，提供有限的服务相关角色用于授权。 1.1：策略。 IAM 最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。 Statement Array of objects 授权语句，描述自定义策略的具体内容。 表12 role.policy.Statement 参数 参数类型 描述 Action Array of strings 授权项，指对资源的具体操作权限。支持的授权项请参考各云服务《API参考》中“权限和授权项”章节。 说明： 当自定义策略为委托自定义策略时，该字段值为： "Action": ["iam:agencies:assume"]。 Effect String 作用。包含两种：允许（Allow）和拒绝（Deny），既有Allow又有Deny的授权语句时，遵循Deny优先的原则。 取值范围： Allow Deny Resource Object 委托资源，仅在请求中传递此字段，才会返回此对象。在有其他账号与您创建了多个委托关系，即您是被委托方，需要将委托中的权限授权给不同的用户组，这些用户组中的IAM用户进行角色切换时，仅能切换到被授权的委托中，不能切换其他委托。例： "Resource": {"uri": ["/iam/agencies/07805acaba800fdd4fbdc00b8f888c7c"]} 表13 role.policy.Statement.Resource 参数 参数类型 描述 uri Array of strings 委托资源的URI，长度不超过128。格式为：/iam/agencies/委托ID。例： "uri": ["/iam/agencies/07805acaba800fdd4fbdc00b8f888c7c"]

响应示例 状态码为 200 时: 请求成功。 { "roles": [ { "domain_id": null, "flag": "fine_grained", "description_cn": "查询 域名 信息", "catalog": "CDN", "name": "system_all_11", "description": "Allow Query Domains", "links": { "next": null, "previous": null, "self": "https://iam.myhuaweicloud.com/v3/roles/db4259cce0ce47c9903dfdc195eb453b" }, "id": "db4259cce0ce47c9903dfdc195eb453b", "display_name": "CDN Domain Viewer", "type": "AX", "policy": { "Version": "1.1", "Statement": [ { "Action": [ "cdn:configuration:queryDomains", "cdn:configuration:queryOriginServerInfo", "cdn:configuration:queryOriginConfInfo", "cdn:configuration:queryHttpsConf", "cdn:configuration:queryCacheRule", "cdn:configuration:queryReferConf", "cdn:configuration:queryChargeMode", "cdn:configuration:queryCacheHistoryTask", "cdn:configuration:queryIpAcl", "cdn:configuration:queryResponseHeaderList" ], "Effect": "Allow" } ] } } ], "links": { "next": null, "previous": null, "self": "https://iam.myhuaweicloud.com/v3/domains/d78cbac186b744899480f25bd022f468/groups/077d71374b8025173f61c003ea0a11ac/roles" } }

响应参数 表3 响应Body参数 参数 参数类型 描述 links Object 资源链接信息。 roles Array of objects 权限信息列表。 表4 links 参数 参数类型 描述 self String 资源链接。 previous String 前一个邻接资源链接地址，不存在时为null。 next String 后一个邻接资源链接地址，不存在时为null。 表5 roles 参数 参数类型 描述 domain_id String 权限所属账号ID。 flag String 该参数值为fine_grained时，标识此权限为系统内置的策略。 description_cn String 权限的中文描述信息。仅在创建时中传入了description_cn参数，响应体中才会返回此字段。 catalog String 权限所在目录。 name String 系统内部呈现的权限名称。如云目录服务C CS 普通用户权限CCS User的name为ccs_user。 携带在用户的token中，云服务根据该名称来判断用户是否有权限访问。 description String 权限描述信息。 links Object 权限的资源链接信息。 id String 权限ID。 display_name String 权限名称。 type String 权限的显示模式。 说明： AX表示在domain层显示。 XA表示在project层显示。 AA表示在domain和project层均显示。 XX表示在domain和project层均不显示。 自定义策略的显示模式只能为AX或者XA，不能在domain层和project层都显示（AA），或者在domain层和project层都不显示（XX）。 policy Object 权限的具体内容。 updated_time String 权限更新时间。 说明： UNIX时间戳格式，单位是毫秒，时间戳格式如：1687913793000。 created_time String 权限创建时间。 说明： UNIX时间戳格式，单位是毫秒，时间戳格式如：1687913793000。 表6 roles.links 参数 参数类型 描述 self String 资源链接地址。 previous String 前一邻接资源链接地址，不存在时为null。 next String 后一邻接资源链接地址，不存在时为null。 表7 roles.policy 参数 参数类型 描述 Depends Array of objects 该权限所依赖的权限。 Statement Array of objects 授权语句，描述权限的具体内容。 Version String 权限版本号。 说明： 1.0：系统预置的角色。以服务为粒度，提供有限的服务相关角色用于授权。 1.1：策略。IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。 表8 roles.policy.Depends 参数 参数类型 描述 catalog String 权限所在目录。 display_name String 权限展示名。 表9 roles.policy.Statement 参数 参数类型 描述 Action Array of strings 授权项，指对资源的具体操作权限。支持的授权项请参考各云服务《API参考》中“权限和授权项”章节。 说明： 格式为：服务名:资源类型:操作，例：vpc:ports:create。 服务名为产品名称，例如ecs、evs和vpc等，服务名仅支持小写。 资源类型和操作没有大小写，要求支持通配符号*，无需罗列全部授权项。 当自定义策略为委托自定义策略时，该字段值为： "Action": ["iam:agencies:assume"]。 Effect String 作用。包含两种：允许（Allow）和拒绝（Deny），既有Allow又有Deny的授权语句时，遵循Deny优先的原则。 取值范围： Allow Deny Condition Object 限制条件。如果创建此策略未传入此字段，则返回结果中也无此字段。 说明： 以请求示例中的Condition为例：条件键（obs:prefix）和字符串（public）需相等（StringEquals）。 "Condition": { "StringEquals": { "obs:prefix": [ "public" ] } } Resource Array of strings 资源，如果创建此策略时未传入此字段，则返回结果中也无此字段。规则如下： 说明： 可填 * 的五段式：::::，例："obs:::bucket:*"。 region字段为*或用户可访问的region。service必须存在且resource属于对应service。 当该自定义策略为委托自定义策略时，该字段类型为Object，值为："Resource": {"uri": ["/iam/agencies/07805acaba800fdd4fbdc00b8f888c7c"]}。

URI GET /v3/domains/{domain_id}/groups/{group_id}/roles 表1 路径参数 参数 是否必选 参数类型 描述 domain_id 是 String 用户组所属账号ID，获取方式请参见：获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。 group_id 是 String 用户组ID，获取方式请参见：获取账号、IAM用户、项目、用户组、区域、委托的名称和ID。

操作步骤 创建应用，用于对软件应用的设计和构建。 iDME提供控制台和API两种创建方式，具体操作请参见创建应用（控制台）和创建应用（API）。 在应用设计态构建并发布应用。 构建应用：对业务规则进行设计和开发，具体操作请参见数据建模引擎用户指南。 发布应用：生成相应代码包，具体操作请参见发布应用。 部署应用，生成应用运行态，用于多租户应用集成测试及数据服务调用。 iDME提供控制台和API两种部署方式，具体操作请参见部署应用（控制台）和部署应用（API）。

GaussDB (for MySQL)实例连接失败怎么办 报错信息：Access denied for user 'user_name'@'100.xxx.xx.xx' (using password: YES)。 报错原因：GaussDB(for MySQL)数据库用户名或密码不对。 解决方法：请确认数据库用户名和密码是否正确，如果您不确认密码是否正确，可以在GaussDB控制台重置实例密码。 修改密码可能会影响业务，请谨慎操作。 如果确认账户名和密码正确，可以通过客户端或命令行工具登录数据库，执行select * from mysql.user where user = 'user_name'命令查看用户信息，如果存在100.%网段的用户，则DAS只能通过100.%网段的数据库用户去连接数据库。user_name @%与user_name @100.%是两个用户，其密码和权限都是独立的，请确认输入的密码是否是user_name @100.%用户的密码。 报错原因：DAS服务器的IP地址不在您输入用户的白名单中。 解决方法：使用客户端或命令行工具登录到数据库，创建DAS可以访问的数据库用户。 create user 'user_name'@'100.%' identified by 'password'; grant all privileges on *.* to 'user_name'@'100.%'; DAS服务器IP地址所在网段为100.%，请根据实际使用需要添加白名单。 请根据实际使用需要给user_name@100.%用户赋予权限。 报错信息： Trying to connect with ssl, but ssl not enabled in the server 报错原因： 使用SSL用户登录，服务端没有开启SSL功能。 解决方法：请执行如下语句查询用户是否是SSL用户，如果是，则在GaussDB(for MySQL)实例详情页面，将SSL开关打开。其中，ssl_type字段有值即表示此用户是SSL用户。 select user, host, ssl_type from mysql.user where user = 'user_name'; 报错信息： Client does not support authentication protocol requested by server. plugin type was = 'sha256_password' 报错原因： DAS暂不支持密码的加密方式为sha256_password的数据库用户连接登录。 解决方法：请执行如下语句将密码的加密方式改为mysql_native_password。 alter user 'user_name'@'%' identified with mysql_native_password by 'password'; 报错信息： Communications link failure The last packet sent successfully to the server was 0 milliseconds ago. The driver has not received any packets from the server 报错原因： DAS服务器与实例网络不通。 解决方法：请联系技术支持协助处理。 父主题： 连接管理

RDS for MySQ L实例 连接失败怎么办 报错信息：Access denied for user 'user_name'@'100.xxx.xx.xx' (using password: YES)。 报错原因：RDS实例用户名或密码不对。 解决方法：请确认数据库用户名和密码是否正确，如果您不确认密码是否正确，可以在RDS控制台重置实例密码。 修改密码可能会影响业务，请谨慎操作。 如果确认账户名和密码正确，可以通过客户端或命令行工具登录数据库，执行select * from mysql.user where user = 'user_name'命令查看用户信息，如果存在100.%网段的用户，则DAS只能通过100.%网段的数据库用户去连接数据库。user_name @%与user_name @100.%是两个用户，其密码和权限都是独立的，请确认输入的密码是否是user_name @100.%用户的密码。 报错原因：DAS服务器的IP地址不在您输入用户的白名单中。 解决方法：使用客户端或命令行工具登录到数据库，创建DAS可以访问的数据库用户。 create user 'user_name'@'100.%' identified by 'password'; grant select on *.* to 'user_name'@'100.%'; DAS服务器IP地址所在网段为100.%，请根据实际使用需要添加白名单。 请根据实际使用需要给user_name@100.%用户赋予权限。 报错原因： 使用SSL用户登录，服务端没有开启SSL功能。 解决方法：请执行如下语句查询用户是否是SSL用户，如果是，则在RDS实例详情页面，将SSL开关打开。其中，ssl_type字段有值即表示此用户是SSL用户。 select user, host, ssl_type from mysql.user where user = 'user_name'; 报错信息： Trying to connect with ssl, but ssl not enabled in the server 报错原因： 使用SSL用户登录，服务端没有开启SSL功能。 解决方法：请执行如下语句查询用户是否是SSL用户，如果是，则在RDS实例详情页面，将SSL开关打开。其中，ssl_type字段有值即表示此用户是SSL用户。 select user, host, ssl_type from mysql.user where user = 'user_name'; 报错信息： Client does not support authentication protocol requested by server. plugin type was = 'sha256_password' 报错原因： DAS暂不支持密码的加密方式为sha256_password的数据库用户连接登录。 解决方法：请执行如下语句将密码的加密方式改为mysql_native_password。 alter user 'user_name'@'%' identified with mysql_native_password by 'password'; 报错信息： Communications link failure The last packet sent successfully to the server was 0 milliseconds ago. The driver has not received any packets from the server 报错原因： DAS服务器与实例网络不通。 解决方法：请提交工单联系客服人员协助处理。 报错信息：Instance connect timeout, please login again. 报错原因：DAS服务器连接超时。 解决方法：请提交工单联系客服人员协助处理。 报错信息：RSA public key is not available client side (option serverRsaPublicKeyFile not set). 报错原因：数据库用户的身份认证方式对密码安全性要求较高，要求用户认证过程中在网络传输的密码是加密的。 如果是SSL加密连接，则使用SSL证书和密钥对来完成“对称加密密钥对（在TSL握手中生成）”的交换，后续使用“对称加密密钥对”加密密码和数据。 如果是非SSL加密连接，则在连接建立时客户端使用MySQL Server端的RSA公钥加密用户密码，Server端使用RSA私钥解密验证密码的正确性，可以防止密码在网络传输时被窥探。 解决方法：开启实例SSL或者修改数据库用户的身份认证方式。 父主题： 连接管理

响应示例 { "instance_list" : [ { "instance_id" : "bcfa975193f1402fa11a6d4fd6baf5fbin01", "instance_name" : "rds-sql", "instance_status" : "ACTIVE", "version" : 5.7, "ip" : "192.168.0.84", "port" : 3306, "cpu" : 2, "mem" : 8, "login_flag" : true, "slow_sql_flag" : true, "deadlock_flag" : false, "lock_blocking_flag" : false, "charge_flag" : true, "full_sql_flag" : true } ], "total_count" : 2 }

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户token。 X-Language 否 String 语言。 枚举值： zh-cn en-us 表3 Query参数 参数 是否必选 参数类型 描述 datastore_type 是 String 数据库类型。 offset 否 Integer 偏移量。从第一条数据偏移offset条数据后开始查询，默认为0（偏移0条数据，表示从第一条数据开始查询），必须为数字，不能为负数。 最小值：0 最大值：5000 limit 否 Integer 每页记录数，默认为20，最大取值200。 最小值：0 最大值：200

响应参数 状态码： 200 表4 响应Body参数 参数 参数类型 描述 instance_list Array of 表5 实例列表。 数组长度：0 - 200 total_count Integer 总数。 最小值：0 最大值：10000 表5 DASInstanceInfo 参数 参数类型 描述 instance_id String 实例id。 最小长度：1 最大长度：64 instance_name String 实例名称。 最小长度：1 最大长度：64 instance_status String 实例状态。 最小长度：1 最大长度：16 version String 实例版本号。 engine_type String 引擎类型。 最小长度：0 最大长度：64 ip String ip 最小长度：0 最大长度：128 port Integer 端口号 最小值：0 最大值：65535 cpu Integer 实例cpu核数 mem Integer 实例内存大小 login_flag Boolean 实例登录是否启用 slow_sql_flag Boolean 慢sql是否启用 deadlock_flag Boolean 死锁分析是否启用 lock_blocking_flag Boolean 锁阻塞是否启用 charge_flag Boolean 当前实例是否计费 full_sql_flag Boolean 全量sql是否启用 状态码： 400 表6 响应Body参数 参数 参数类型 描述 error_code String 错误码。 最小长度：8 最大长度：36 error_msg String 错误描述。 最小长度：2 最大长度：512 状态码： 500 表7 响应Body参数 参数 参数类型 描述 error_code String 错误码。 最小长度：8 最大长度：36 error_msg String 错误描述。 最小长度：2 最大长度：512

请求示例 导出慢SQL模板列表。 GET https://das.cn-north-1.myhuaweicloud.com/v3/054c630ff780d4cc2f40c00d7f6fb21d/instances/6243b3fcf2f948578d46ed4c52fb54eein01/slow-sql-templates?startAt=1611975464337&endAt=1611979064337&datastore_type=MySQL&db_name=db&offset=0&limit=10

响应示例 状态码： 200 Success. { "slow_sql_templates" : [ { "max_rows_examined" : 0, "max_lock_wait_time" : 0, "avg_rows_examined" : 0, "execute_count" : 27, "avg_execute_time" : 5.000509315066868, "max_execute_time" : 5.008123874664307, "avg_lock_wait_time" : 0, "sql_template" : "SELECT sleep(?);", "sql_sample" : "select sleep(5)", "avg_rows_sent" : 1, "db_names" : [ "db_01" ], "max_rows_sent" : 1 } ], "total_count" : 1 }

URI GET /v3/{project_id}/instances/{instance_id}/slow-sql-templates 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID。 获取方法请参见获取项目ID。 instance_id 是 String 实例ID。 表2 Query参数 参数 是否必选 参数类型 描述 start_at 是 Long 开始时间（Unix timestamp），单位：毫秒。 end_at 是 Long 结束时间（Unix timestamp），单位：毫秒。 datastore_type 是 String 数据库类型。支持MySQL和TaurusDB。 db_name 否 String 数据库名称。 offset 否 Integer 偏移量。从第一条数据偏移offset条数据后开始查询，默认为0（偏移0条数据，表示从第一条数据开始查询），必须为数字，不能为负数。 limit 否 Integer 每页记录数，默认为20，最大取值100。

响应参数 状态码： 200 表4 响应Body参数 参数 参数类型 描述 slow_sql_templates Array of SlowSqlTemplate objects 慢日志模板数据列表。 total_count Integer 慢日志模板总数。 表5 SlowSqlTemplate 参数 参数类型 描述 sql_template String SQL模板。 sql_sample String SQL样本。 db_names Array of strings 库名。 execute_count Long 执行次数。 avg_execute_time Double 平均执行耗时(ms)。 max_execute_time Double 最大执行耗时(ms)。 avg_lock_wait_time Double 平均锁等待时间(ms)。 max_lock_wait_time Double 最大锁等待时间(ms)。 avg_rows_examined Double 平均扫描行数。 max_rows_examined Double 最大扫描行数。 avg_rows_sent Double 平均返回行数。 max_rows_sent Double 最大返回行数。 状态码： 400 表6 响应Body参数 参数 参数类型 描述 error_code String 错误码。 最小长度：8 最大长度：36 error_msg String 错误描述。 最小长度：2 最大长度：512 状态码： 500 表7 响应Body参数 参数 参数类型 描述 error_code String 错误码。 最小长度：8 最大长度：36 error_msg String 错误描述。 最小长度：2 最大长度：512

使用须知 全量SQL默认关闭，如需使用SQL洞察功能，请先开启全量SQL收集开关。开启收集全量SQL后，实例性能损耗5%以内。 关闭收集全量SQL后，将不再采集新产生的SQL，已经收集的SQL也会被删除，请您谨慎操作。 当前全量SQL受内存缓冲区限制，业务量大的场景下，全量SQL有较小概率因缓冲区满，存在丢弃部分记录。 当前全量SQL单条记录超过4096字节时，会默认丢弃该条记录。 此限制在MySQL 5.7.33.3及以后小版本可以通过设置参数rds_sql_tracer_reserve_big_records来选择是否丢弃，5.6和8.0版本不支持设置该参数。您可以在参数设置界面，将该参数设为ON，即表示单条记录超过4096字节也不被丢弃。 免费实例的全量SQL日志仅保留1个小时，付费实例默认保留7天，最长可保存30天，到期后自动删除。 版本限制：5.6.51.1及以上版本、5.7.29.2及以上版本、8.0.20.3及以上版本支持。

示例流程 图1 给用户授权DAS权限流程 创建用户组并授权 在IAM控制台创建用户组，并授予数据管理服务 “DAS FullAccess”权限。 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 用户登录并验证权限 在“服务列表”中选择“数据管理服务 DAS”，进入DAS主界面，单击详情页左上角“新增数据库登录”，若可以正常创建数据库登录，则表示DAS所需权限策略均已生效。

隐藏账号说明 为了保证数据库的正常运行，防止必要的账户信息被误删，数据管理服务将对GaussDB(for MySQL)数据库以下账户进行隐藏。 表1 账户信息 账户名 说明 mysql.session@localhost GaussDB(for MySQL)5.7及以上版本，所配置的数据库内部账号。 mysql.sys@localhost GaussDB(for MySQL)5.7及以上版本，所配置的数据库内部账号。 mysql.infoschema@localhost 数据库内部账号。 root@% 用户创建GaussDB(for MySQL)实例时设置的账户。 rdsAdmin@localhost 管理账户，拥有最高的superuser权限，用于查询、修改实例信息、故障排查、迁移、恢复等操作。 rdsBackup@localhost 备份账户，用于后台的备份。 rdsMetric 计量账户，用于watchdog采集数据库的状态数据。 rdsRepl 复制账户，用于备实例或只读实例在主实例上同步数据。 rdsProxy 数据库代理账户，该账户在 开通读写分离 时才会自动创建，用于通过读写分离地址连接数据库时鉴权使用。 drsFull 数据复制服务 启动全量迁移任务时，系统在目标数据库中添加的账户，用于迁移数据。 drsIncremental 数据复制服务启动增量迁移任务时，系统在目标数据库中添加的账户，用于迁移数据。

DAS权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 DAS部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如华北-北京1）对应的项目（cn-north-1）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问DAS时，需要先切换至授权区域。 根据授权精确程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对DAS服务，管理员能够控制IAM用户仅能对某一类数据库资源进行指定的管理操作。 如表1所示，包括了DAS的所有系统权限。 表1 DAS系统权限 策略名称 描述 类别 依赖关系 DAS Administrator 数据管理服务管理员，拥有该服务下的所有权限。 系统角色 依赖Tenant Guest角色。 在同项目中勾选依赖的角色。 DAS FullAccess 数据管理服务的所有权限。 系统策略 无。 DAS作为数据库的管理和运维功能，依赖于其他服务。 如果您是通过细粒度方式为IAM用户授权，并且想通过DAS管理实例，在授权时一同添加DAS FullAccess系统策略即可。 在DAS中所能查看和管理的实例列表与您在对应服务配置的一致。 使用系统细粒度权限授权的用户默认具有查看开发工具数据库登录列表、删除数据库登录信息和访问DBA智能运维功能的权限，其在DAS所能看到的实例列表与您在对应服务配置的一致。 表2列出了DAS常用操作与系统权限的授权关系。您可以参照该表选择合适的系统权限。 表2 常用操作与系统权限的关系 操作 DAS Administrator DAS FullAccess 登录数据库 √ √ 新增数据库登录 √ √ 修改数据库登录 √ √ 删除数据库登录 √ √ 查看开发工具数据库登录列表 √ √ 访问DBA智能运维功能 √ √ 执行SQL诊断 √ √ 导出全量SQL数据 √ √ 订阅日报 √ √ 导出慢SQL数据 √ √ 查询全量SQL列表 √ √ 查询慢SQL列表 √ √ 查看云DBA页面 √ √ 查询TopSQL列表 √ √ 查询日报列表 √ √ 查询SQL执行计划 √ √ 表3 常用操作与对应授权项 操作名称 授权项 备注 登录数据库 das:connections:login 根据您需要登录的实例类型，选择配置其他服务查询实例列表的权限： rds:instance:list; dds:instance:list; gaussdb:instance:list; 获取登录信息列表 das:connections:list 根据您需要登录的实例类型，选择配置其他服务查询实例列表的权限： rds:instance:list; dds:instance:list; gaussdb:instance:list; 删除登录信息 das:connections:delete 根据您需要登录的实例类型，选择配置其他服务查询实例列表的权限： rds:instance:list; dds:instance:list; gaussdb:instance:list; 新增数据库登录 das:connections:create 根据您需要登录的实例类型，选择配置其他服务查询实例列表的权限： rds:instance:list; dds:instance:list; gaussdb:instance:list; 修改数据库登录 das:connections:modify 根据您需要登录的实例类型，选择配置其他服务查询实例列表的权限： rds:instance:list; dds:instance:list; gaussdb:instance:list; 修改DBA智能运维付费模式 das:clouddba:changePaymentMode 根据您需要登录的实例类型，选择配置其他服务查询实例列表的权限： rds:instance:list; dds:instance:list; gaussdb:instance:list; DBA智能运维实时、紧急kill会话 das:clouddba:deleteProcess 根据您需要登录的实例类型，选择配置其他服务查询实例列表的权限： rds:instance:list; dds:instance:list; gaussdb:instance:list; 执行SQL诊断 das:clouddba:sqlDiagnosis 根据您需要登录的实例类型，选择配置其他服务查询实例列表的权限： rds:instance:list; dds:instance:list; gaussdb:instance:list; 导出全量SQL数据 das:clouddba:fullSqlExport 根据您需要登录的实例类型，选择配置其他服务查询实例列表的权限： rds:instance:list; dds:instance:list; gaussdb:instance:list; 订阅日报 das:clouddba:dailyReportsSubscribe 根据您需要登录的实例类型，选择配置其他服务查询实例列表的权限： rds:instance:list; dds:instance:list; gaussdb:instance:list; 导出慢SQL数据 das:clouddba:slowSqlExport 根据您需要登录的实例类型，选择配置其他服务查询实例列表的权限： rds:instance:list; dds:instance:list; gaussdb:instance:list; 查询全量SQL列表 das:clouddba:fullSqlList 根据您需要登录的实例类型，选择配置其他服务查询实例列表的权限： rds:instance:list; dds:instance:list; gaussdb:instance:list; 查询慢SQL列表 das:clouddba:slowSqlList 根据您需要登录的实例类型，选择配置其他服务查询实例列表的权限： rds:instance:list; dds:instance:list; gaussdb:instance:list; 查看云DBA页面 das:clouddba:menuList 说明： 该权限为IAM授权，仅支持配置在IAM授权下，配置该权限后，方可查看DAS服务智能DBA页面，否则智能DBA页面无法显示。 查询TopSQL列表 das:clouddba:topSqlList 根据您需要登录的实例类型，选择配置其他服务查询实例列表的权限： rds:instance:list; dds:instance:list; gaussdb:instance:list; 查询日报列表 das:clouddba:dailyReportsList 根据您需要登录的实例类型，选择配置其他服务查询实例列表的权限： rds:instance:list; dds:instance:list; gaussdb:instance:list; 查询SQL执行计划 das:clouddba:getSqlExecutionPlan 根据您需要登录的实例类型，选择配置其他服务查询实例列表的权限： rds:instance:list; dds:instance:list; gaussdb:instance:list; 表4 DAS功能依赖其他服务的权限 策略名称 描述 类型 依赖关系 Tenant Administrator 操作权限： 对账号中心、费用中心和资源中心执行任意操作。 对账号拥有的所有云资源执行任意操作。 对象存储服务 （OBS）策略在全局项目下配置。 系统角色 无 OBS OperateAccess 操作权限：拥有该权限的用户可以执行列举桶、获取桶基本信息、获取桶元数据、列举对象、上传对象、下载对象、删除对象、获取对象ACL等对象基本操作。 对象存储服务（OBS）策略在全局项目下配置。 系统策略 无 DAS服务所支持的导入、导出等特性，需用到您的OBS（对象存储服务）桶，您需要配置OBS的相关系统策略，才能正常使用这些特性。 通常，建议您配置Tenant Administrator策略，以便对OBS资源执行相关操作。 当您不想其他员工拥有创建桶、删除桶等高危操作的权限时，您可以为员工用户配置OBS OperateAccess策略，以便正常使用DAS这些特性，但是无法对OBS桶执行创建、删除等操作。

CSS 服务中是否支持停止集群？ CSS不支持停止集群功能。如果是迁移集群的场景，用户需要将旧集群的功能先暂停，确认集群迁移成功后，再将旧集群删除。可以采用如下方式处理： 如果使用的集群版本支持流量控制功能，可以开启一键断流切断节点上除运维接口外的所有流量。 如服务管理控制果使用的集群版本不支持流量控制功能，可以关闭所有业务索引的读写。例如所有业务索引以log开头，在Kibana的“Dev Tools”页面执行以下命令： PUT log*/_settings { "index.blocks.read": true, "index.blocks.write": true, "index.blocks.metadata": true } 父主题： CSS集群管理

CSS服务中如何清理Elasticsearch缓存？ 清理fielddata 进行聚合和排序时，会使用fielddata数据结构，会占用较大内存。 在Kibana执行如下命令，查看scroll_id值。 GET my_index/_search/?scroll=1m 执行如下命令查看索引的fielddata占用情况。 DELETE /_search/scroll { "scroll_id" : "DXF1ZXJ5QW5kRmV0Y2gBAAAAAAAAAD4WYm9laVYtZndUQlNsdDcwakFMNjU1QQ==" } 当fielddata占用内存过高时，可以执行如下命令清理fielddata。 POST /test/_cache/clear?fielddata=true “test”为fielddata占用内存较高的索引名称。 清理segment 每个segment的FST结构都会被加载到内存中，并且这些内存是不会被垃圾回收的。因此如果索引的segment数量过大，会导致内存使用率较高，建议定期进行清理。 在Kibana执行如下命令，查看各节点的segment数量和占用内存大小。 GET /_cat/nodes?v&h=segments.count,segments.memory&s=segments.memory:desc 如果segment占用内存过高时，可以通过删除部分不用的索引、关闭索引或定期合并不再更新的索引等方式释放内存。 清理cache 在Kibana执行如下命令清理cache。 POST _cache/clear 父主题： CSS集群搜索引擎使用

是否支持跨Region迁移CSS集群？ CSS集群不支持直接迁移，但可以通过OBS桶备份和恢复的方式进行数据迁移实现集群迁移。 如果OBS桶在同一个区域，请参考备份与恢复索引进行集群迁移。 如果OBS桶跨区域，请先参考配置跨区域复制进行跨区域复制OBS桶，再参考备份与恢复索引进行集群迁移。 在跨区域复制之前，要保证目标集群设置的快照文件夹为空，否则无法将快照信息刷新到目标集群的快照列表中。 每次迁移都需要将文件夹置空。 父主题： CSS集群迁移

与其他服务之间的关系 CSS与其他服务的关系如图1所示。 图1 CSS与其他服务的关系 表1 CSS服务于其他服务的关系 相关服务 交互功能 虚拟私有云（Virtual Private Cloud，简称VPC） 云搜索服务 CSS的集群创建在虚拟私有云（VPC）的子网内，VPC通过逻辑方式进行网络隔离，为用户的集群提供安全、隔离的网络环境。详细请参考虚拟私有云用户指南。 弹性云服务器（Elastic Cloud Server，简称ECS） 云搜索 服务CSS的集群中每个节点为一台弹性云服务器（ECS）。创建集群时将自动创建弹性云服务器作为节点。 云硬盘（Elastic Volume Service，简称EVS） 云搜索服务CSS使用云硬盘（EVS）存储索引数据。创建集群时，将自动创建云硬盘用于集群存储。 对象存储服务（Object Storage Service，简称OBS） 云搜索服务CSS的集群快照存储在对象存储服务（OBS）的桶中。详细请参考对象存储服务用户指南。 统一身份认证 服务（Identity and Access Management，简称IAM） 云搜索服务CSS使用统一身份认证服务（IAM）进行鉴权。详细请参考统一身份认证服务用户指南。 云监控服务 （Cloud Eye） 云搜索服务使用 云监控 服务实时监测集群的指标信息，保障服务正常运行。云搜索服务当前支持的监控指标为磁盘使用率和集群健康状态。用户通过磁盘使用率指标可以及时了解集群的磁盘使用情况。通过集群健康状态指标，用户可以了解集群的健康状态。详细请参考云监控服务用户指南。 云审计 服务（Cloud Trace Service，简称 CTS ） 云审计服务（CTS）可以记录与CSS云搜索服务相关的操作事件，便于日后的查询、审计和回溯。详细请参考云审计服务用户指南。

I/O Reactor STOPPED是什么问题？ 首先根据调用栈可以定位到报错来自CloseableHttpAsyncClientBase中的90行，如下图所示： ensureRunning()方法是在每次请求执行开始的时候调用，用来确认client状态是否为ACTIVE，如果不是ACTIVE，则会报错。然后观察CloseableHttpAsyncClientBase中的status何时会变成STOPPED，发现有且仅有两处会set为STOPPED，如下图所示： 图1 第一处STOPPED 图2 第二处STOPPED 由于客户不会手动关闭客户端之后再调用接口，所以有且仅有第一处会导致status切换为STOPPED状态。 对于第一处STOPPED，reactorThread线程是用来在io events发生时调度io events，当内部抛出异常时，最终会将status改为STOPPED状态。然后在bulkAsync请求的回调中抛出异常验证status的状态切换，如下图所示： 当请求失败，status会切换为STOPPED且I/O Reactor将关闭，并使HLRC实例卡住。后续使用该HLRC实例调用任何请求都会失败。此处手动抛出异常是为了复现问题，生产环境中很难分辨是什么原因导致I/O Reactor关闭。

原因分析 导致出现I/O Reactor STOPPED的原因，大致可以分为以下3类： 回调中抛出异常导致。 客户端并发太高导致。 在日志中发现异常后，查看ElasticSearch集群监控指标，如CPU使用率、网络连接数等。 当用户集群配置为5台16U128G的i3.4xlarge.8节点时，且每天上午5点左右会做大量bulk操作，写入大概100G-200G的数据，根据集群监控指标的CPU使用率、网络流入流出速率来看对ElasticSearch节点造成不了压力，网络连接数较高，其它节点情况也相同。但是，有的节点网络连接数高达近9000，5个节点瞬间有将近5万连接数，用户的代码大致是用同一个Rest Client多个线程并发且调用HLRC的bulkAsync接口。客户端一个节点，单是ES的连接就消耗了4-5万个连接数，这种情况很容易造成客户端节点句柄数耗尽，或者连接数耗尽。 ElasticSearch的Rest client导致。建议ElasticSearch完善Rest client，添加exception handler。 Apache（HLRC和LLRC都使用了Apache HTTPComponents Async Client）手册中提到，在与会话通道交互过程中有些I/O异常是可以预料的，这些异常可能会导致单个session终止，但不会影响I/O Reactor和其他session。但某些情况下，当I/O Reactor本身遇到内部问题是，例如底层NIO的一些类中的I/O异常或者没被handle的一些Runtime Exception。这些异常是致命的，会使I/O Reactor关闭。Apache官方建议重写IOReactorExceptionHandler接口。 图3 重写IOReactorExceptionHandler接口 但是尝试了重写ExceptionHandler并放到HLRC的配置中，并通过在回调中抛出异常来模拟异常场景，最后发现这种回调的异常并不会被IOReactorExceptionHandler捕获，运行脚本后也没有异常抛出，所以此处IOReactorExceptionHandler的实现并不好验证。通过ElasticSearch社区issue中其他开发者的验证，添加了IOReactorExceptionHandler后跑很久也不会有问题。所以建议添加IOReactorExceptionHandler，但是注意不要忽略所有异常。 Elasticsearch Rest Client需要有一个exception handler，而不是让用户通过设置IOReactorExceptionHandler来处理异常，且这种方式也不会解决所有的异常。

统计图表类型 支持使用表格、柱状图、折线图等图表类型展示不同场景数据，详细请参考表1。 表1 图表类型 图表类型 使用场景 表格 表格是最常见的数据展示类型，通过对数据结构化的整理，实现数据的对比与统计。大多数场景均适用。 柱状图 柱状图描述的是分类数据，直观表现每一个分类项的大小对比关系。统计近一天各错误码类型出现的次数等分类统计场景适用。 折线图 折线图需要统计数据具备时序字段，依据时间顺序组织与聚合指标。可直观反映指标随时间的变化趋势。 饼图 饼图描述的是不同分类的占比情况，通过扇区大小来衡量各分类项的占比情况。错误码占比情况分析等占比统计场景适用。 数字图 数字图描述的是单个指标，一般选择具备有业务价值的关键性指标。统计天、周、月PV、UV等单指标场景适用。 数字折线图 折线图和数字图的组合。折线图用于表示数据趋势和变化的，数字图则展示关键性指标。在一些需要同时显示趋势和关键数据点的场合适用。 地图 地图通过图形的位置来表现数据的地理位置，通常来展示数据在不同地理区域上的分布情况。攻击IP地理分布等地理位置统计场景适用。 漏斗图 漏斗图适用于单流向单路径的业务流程，对各环节进行统计并用梯形面积表示某个环节业务量与上一个环节之间的差异。

分析日志 登录 云日志 服务控制台，进入“日志管理”页面。 单击目标日志组或日志流名称，进入日志详情页面。 选择“ 日志分析 ”页签。 在可视化页面支持交互式分析，通过该模块配置简单的分析语句，查询可视化数据，配置可视化图表。设置过滤条件，通过添加指标、添加分组、添加排序进行数据分析，方便用户操作。 选择时间范围，参考SQL分析语法介绍输入SQL语句，单击“查询”，在下方区域通过不同类型图表展示搜索结果。 时间范围有三种方式，分别是相对时间、整点时间和自定义。您可以根据自己的实际需求，选择时间范围。 相对时间：表示查询距离当前时间1分钟、5分钟、15分钟等时间区间的日志数据。例如当前时间为19:20:31，设置相对时间1小时，表示查询18:20:31~19:20:31的日志数据。 整点时间：表示查询最近整点1分钟、15分钟等时间区间的日志数据。例如当前时间为19:20:31，设置整点时间1小时，表示查询18:00:00~19:00:00的日志数据。 自定义：表示查询指定时间范围的日志数据。 SQL查询约束有： 单次查询返回结果最多10W条。 当聚合结果超过10W时，聚合结果可能存在误差。 SQL查询语句中，string类型的where条件的键值有限制： 精确查找value需添加英文单引号， 模糊查找value需添加英文单引号或者双引号，key与SQL内置保留字段名称相同时需添加英文双引号。 建议使用where条件时，使用where "key"='value'，或者where "key" like '%value%'。 SQL查询语句中，float和long类型的where条件不受限制，但当与关键词冲突时可能会导致查询异常，建议使用where "key"='value'，或者where "key" like '%value%'进行查询。 日志搜索框支持自定义上下拖动调整高度。 输入搜索语法后，单击设置格式化sql和反格式化sql，优化搜索语句，提高搜索效率。 当设置时间范围内日志量超过10亿行时会触发迭代查询，可以通过迭代查询分多次完成全部日志的查询，界面会显示“查询状态：结果精确”。 根据SQL查询返回的数据，依照业务需求选择不同图表类型，呈现查询结果。详细请参考使用统计图表将日志可视化。 对查询结果可执行如下操作： 单击“新建”，在弹出的“创建可视化图表”中，根据业务需求填写“图表名称”，开启“同时添加到仪表盘”，单击“确定”，可视化图表保存成功。 单击“保存”，对在弹出的“保存可视化图表”中，根据业务需求填写“图表名称”，开启“同时添加到仪表盘”，单击“确定”，可视化图表保存成功；当选中某个可视化图表时，单击“保存”，可对该图表进行修改。 单击“另存为”，在弹出的“另存为可视化图表”中，根据业务需求填写“图表名称”，开启“同时添加到仪表盘”，单击“确定”，对已有可视化图表进行复制。 须先保存一个图表后，才可另存为可视化图表。 单击“下载”，可下载当前SQL查询结果的可视化数据，该文件为.csv。 单击按钮添加告警，在弹出的“新建告警规则”中，为选中的可视化图表配置创建SQL告警规则。 须先保存一个图表后，才能新建告警规则。 单击“展开图表”，可对当前日志流下的可视化图表展开；单击“收起图表”，可收起当前日志流下展开的可视化图表。

数据类型 SQL查询中支持的数据类型如表1。如果当前字段数据类型需要改为其他数据类型，我们会进行数据类型的转换。例如STRING类型的字段转为LONG类型。字段数据类型转换之后的结果将会显示默认值，如STRING类型的数据转换为LONG类型的数据，结果会显示为LONG类型的默认值0。同理，当空值被转换为非空类型值时，也会使用默认值进行替换。例如，当把STRING类型空值转换为数字类型时，将会返回默认值0。 SQL语法中，字符必须被单引号（''）包裹，无符号或双引号（""）包裹的为字段或表名称，如：'msg'表示字符串msg，msg或"msg"表示日志结构化msg字段。 表1 SQL查询支持的数据类型 原生数据类型 默认值 说明 STRING "" 原生STRING类型 FLOAT 0.0 原生FLOAT类型 LONG 0 原生LONG类型

计费示例 以全文索引使用场景为例。 图中价格仅为示例，实际计算请以价格计算器中的价格为准。 假设您有1台服务器，每天产生100GB原始日志，并开启全文索引，日志存储时长30天（存储日志的时长，只存30天的日志，第31天则会删除第一天的日志）。开启智能冷存储后，标准存储层数据保存时间为7天，则冷存储时长为30-7=23天，具体明细如下表所示。 表2 计费明细表（全文索引使用场景） 计费项 说明 使用量 单价 月计费 读写流量 每天读写流量100GB/5（压缩倍率）=20GB（压缩后），30天累计20GB*30=600GB 600GB 0.18元/GB (600GB-500MB/1024) *0.18=107.91元 索引流量 索引流量为100GB*30=3000GB 3000GB 0.32元/GB (3000GB-500MB免费额度/1024) *0.32=959.84元 标准存储 标准存储量为100GB/天*7天=700GB 700GB 0.000479元/GB/小时 (700GB-500MB免费额度/1024)*0.000479*24小时*30天=241.25元 冷存储 冷存储量为100GB/天*23天=2300GB 2300GB 0.000208元/GB/小时 2300GB*0.000208*24小时*30天=344.45元 日志基础转储流量 日志基础转储流量为100GB/天*30天=3000GB 3000GB 0.05元/GB 3000GB*0.05=150元 日志高级转储流量 日志高级转储流量为100GB/天*30天=3000GB 3000GB 0.2元/GB 3000GB*0.2=600元

计费说明 如图1所示，云日志服务的计费项由日志读写流量、日志索引流量、日志存储量、日志基础转储流量和日志高级转储流量费用组成。具体内容请查看表1。 如您需要快速了解LTS服务的具体价格，请参见LTS价格详情。 如果每月免费赠送的额度已经可以满足您的使用需求，超过后希望暂停日志收集，可以在配置中心进行设置，详情请参见：配置中心。 图1 计费项 表1 计费组成表 费用类别 计费项 计费说明 付费方式 免费额度 存储费用 标准存储量 原始日志（含备份，压缩后）所产生的存储量。 例如原始日志为10GB，上传到云日志服务后，原始日志（含备份，压缩后）还是10GB。 按量付费： 标准存储量费用=标准存储量（GB）× 每GB单价 500 MB/月 冷存储量 原始日志（含备份，压缩后）所产生的存储量。 例如原始日志为10GB，上传到云日志服务后，原始日志（含备份，压缩后）还是10GB。 按量付费： 冷存储量费用=冷存储量（GB）× 每GB单价 无 流量费用 日志读写流量 日志读写流量包括写流量和读流量，详细说明如下： 写流量：数据（压缩后）被上传到日志服务时，按照传输的数据量计算写流量费用。 例如：原始数据量为5GB，则上传到云日志服务会产生1GB（压缩率20%）的写流量。 读流量：读流量暂未统计和收费。 按量付费： 读写流量费用= 写流量（GB，20%压缩率）× 每GB单价 500 MB/月 日志索引流量 日志索引流量，详细说明如下： 原始日志数据默认会构建全文索引，按照日志（未压缩）被构建索引所产生的索引数据量计算索引流量。 在写入数据时一次性收取索引流量费用，即全文索引流量费用。 对同时构建了全文索引和字段索引的字段，只计算一次索引流量费用，即全文索引流量费用。 当关闭全文索引，仅开启字段索引，则long类型和float类型的字段名将不记入索引流量中，每个字段值占用的索引流量统一为8字节。如果是String类型，则日志字段名（Key）和字段值（Value）都将作为text类型存储，字段名和字段值都被计入索引流量中。使用字段索引，可降低索引流量费用。 示例： 对request_uri字段名设置了索引（String类型），字段值为/request/path，则字符串request_uri和/request/path都会被计入索引流量中。 对status字段名设置了索引（long类型），字段值为400，则字段名status不会被计入在索引流量中，字段值400的索引流量统一为8字节。 说明： 字段索引的自定义分词符和特殊分词符仅支持白名单用户提交工单申请使用。详细操作请参考提交工单。 示例： 例如：原始日志量为10GB，写入到日志服务并开启全文索引，则索引流量以10GB 计费。 例如：原始日志量为10 GB，写入到日志服务并关闭全文索引开启其中两个字段的索引，这两个字段的数据量为5GB，则索引流量以5GB 计费。 例如：原始日志量为10GB，写入到日志服务并开启全文索引和其中两个字段的索引，则索引流量以10GB计费。 按量付费： 日志索引费用=索引流量（GB）× 每GB单价 500 MB/月 转储费用 转储费用只统计用户的日志字段，LTS的内置保留字段不参与流量统计。 但是日志转储至OBS、DIS后，储存日志等功能由OBS和DIS独立计费，收费详情请参见：华为云 定价 。 说明： 目前华北-北京一、华北-北京二、华南-广州-友好用户环境、华南-深圳、西南-贵阳一、华东-上海二、华东-青岛、华北-乌兰察布一局点已全部开启日志转储计费功能。 提供如下转储日志样例，方便进行流量统计举例说明：原始日志："192.168.0.1 200 190 /check" 该日志被结构化解析后为：{"ip":"192.168.0.1","status":200,"cost_time":190,"url":"/check"} 日志基础转储流量 转储OBS（原始日志格式/JSON格式）、转储DMS、转储DIS属于日志基础转储，典型特征是源日志流和转储目标之间不需要字段映射，日志基础转储算力消耗相对日志高级转储较少。 转储流量会统计非压缩的转储数据量，以转储DMS流量统计为例： 若用户转储原始日志：LTS会统计转储的原始日志的大小（非压缩），那么统计的转储流量是length("192.168.0.1 200 190 /check")=26字节 若用户转储结构化解析后的日志：LTS会统计转储日志的KEY和VALUE的大小（非压缩），数字统一按照8字节，那么统计的转储流量是length("ip")+length("192.168.0.1")+length("status")+8+length("cost_time")+8+length("url")+length("/check")=2+11+6+8+9+8+3+6=53字节 按量付费： 日志基础转储流量费用=转储流量（GB，非压缩）× 每GB单价 无 日志高级转储流量 转储OBS（ORC格式）、转储DWS、转储 DLI 属于日志高级转储，典型特征是源日志流和转储目标之间需要字段映射，日志高级转储算力消耗相对日志基础转储较多。 转储流量会统计非压缩的转储数据量，以转储DWS流量统计为例： 若用户将转储日志样例中的ip、status、cost_time、url 4个字段都转储到DWS数仓中，那么LTS会统计转储日志的每个字段的VALUE的大小（非压缩），数字统一按照8字节，那么统计的转储流量是length("192.168.0.1")+8+8+ length("/check")=11+8+8+6=33字节 按量付费： 日志高级转储流量费用=转储流量（GB，非压缩）× 每GB单价 无

使用流程 图1 轮转密码流程 流程说明如下： 定时触发器到期后，会发布定时触发事件。 函数工作流 接收到事件后，会生成新的随机密码，替换凭据模板内容中的占位符，随后将替换后的内容作为新版本存入凭据中。 应用程序定期通过调用API/SDK获取最新凭据版本。 凭据管理服务检索并解密凭据密文，将凭据中保存的信息通过凭据管理API安全地返回到应用程序中。 应用程序获取到解密后的凭据明文信息，使用新密码更新目标对象（数据库、服务器等），使新密码生效，后续使用新密码对目标对象进行访问。