华为云用户手册

开启虚拟MFA功能 Multi-Factor Authentication (简称MFA) 是一种非常简单的安全实践方法，建议您给华为账号以及您账号中具备较高权限的用户开启MFA功能，它能够在用户名和密码之外再额外增加一层保护。启用MFA后，用户登录控制台时，系统将要求用户输入用户名和密码（第一安全要素），以及来自其MFA设备的验证码（第二安全要素）。这些多重要素结合起来将为您的账户和资源提供更高的安全保护。 MFA设备可以基于硬件也可以基于软件，系统目前仅支持基于软件的虚拟MFA，虚拟MFA是能产生6位数字认证码的应用程序，此类应用程序可在移动硬件设备（包括智能手机）上运行，非常方便。

在E CS 实例上运行的应用程序使用ECS委托 在华为云ECS实例上运行的应用程序需要凭证才能访问其他华为云服务。若要以安全的方式提供应用程序所需的凭证，可使用ECS委托获取临时访问密钥。在ECS获取临时访问密钥，需要在 IAM 上对ECS授权，并对相应的弹性云服务器资源进行授权委托管理。ECS通过向IAM申请指定委托的临时凭证，从而安全访问资源。ECS会为您自动轮换这些临时凭证，从而确保每次申请的临时凭证安全、有效。 当您启动ECS实例时，您可指定实例的委托，以作为启动参数。在ECS实例上运行的应用程序在访问华为云资源时可使用委托的临时访问密钥，同时委托的权限将确定允许访问资源的应用程序。

不给华为账号创建访问密钥 华为账号是您华为云资源归属、资源使用计费的主体，对其所拥有的资源及云服务具有完全的访问权限。密码与访问密钥（AK/SK）都是账号的身份凭证，具有同等效力，密码用于登录界面控制台，是您必须具备的身份凭证，访问密钥用于使用开发工具进行编程调用，是第二个身份凭证，为辅助性质，非必须具备。为了提高账号安全性，建议您仅使用密码登录控制台即可，不要给账号创建第二个身份凭证（访问密钥），避免因访问密钥泄露带来的信息安全风险。

合理设置访问方式 IAM支持为用户设置编程访问、管理控制台访问方式，请参考如下说明为IAM用户设置访问方式： 如果IAM用户仅需登录管理控制台访问云服务，建议访问方式选择管理控制台访问，凭证类型为密码。 如果IAM用户仅需编程访问华为云服务，建议访问方式选择编程访问，凭证类型为访问密钥。 如果IAM用户需要使用密码作为编程访问的凭证（部分API要求），建议访问方式选择编程访问，凭证类型为密码。 如果IAM用户使用部分云服务时，需要在其控制台验证访问密钥（由IAM用户输入），建议访问方式选择编程访问和管理控制台访问，凭证类型为密码和访问密钥。例如IAM用户在控制台使用 云数据迁移 CDM服务创建数据迁移，需要通过访问密钥进行身份验证。

常用系统权限设置案例 请参考以下文档给IAM用户设置常见云服务的访问权限。 设置弹性云服务器（ECS）的权限 设置弹性负载均衡（ELB）的权限 设置关系型数据库（RDS）的权限 设置云硬盘（EVS）的权限 设置 云监控 （ CES ）的权限 设置云容器引擎（CCE）的权限 设置 对象存储服务 （OBS）的权限 设置云备份（CBR）的权限 设置虚拟私有云（VPC）的权限 设置分布式缓存服务（DCS）的权限 设置文档数据库服务（DDS）的权限 设置费用中心的权限 设置提交工单的权限

步骤五：IAM用户登录控制台 IAM用户Alice可以在2025年3月8日上午8时05分22秒至2025年3月9日上午8时05分22秒之间登录页面，单击登录下方的“IAM用户”，在“IAM用户登录”页面，输入“租户名/原华为云账号名”、“IAM用户名/邮件地址”和“IAM用户密码”。 图15 IAM用户登录 表5 登录信息 参数 示例 说明 租户名/原华为云账号名 Company-A IAM用户所属的账号。此处假设A公司的账号名为“Company-A”。 IAM用户名/邮件地址 Alice 在IAM创建用户时，输入的IAM用户名/邮件地址。如果不知道IAM用户名及初始密码，请向管理员获取。 IAM用户密码 ******** IAM用户的密码，非账号密码。此处需要输入上一步中下载的Alice用户的密码。 单击“登录”，IAM用户Alice登录华为云。 若在上述时间范围之外登录并访问 统一身份认证 服务，将无法创建IAM用户。

步骤三：为IAM用户组授权 在用户组列表中，单击新建用户组“Group”右侧的“授权”。 图5 授权 在用户组选择策略页面中，勾选步骤一创建的策略“example-policy”。单击“下一步”。 图6 选择权限 选择权限的作用范围。系统会根据您所选择的策略，自动推荐授权范围方案，便于为用户选择合适的授权作用范围，表1为IAM提供的所有授权范围方案。 表1 授权范围方案 可选方案 方案说明 所有资源 授权后，IAM用户可以根据权限使用账号中所有资源，包括企业项目、区域项目和全局服务资源。 指定企业项目资源 选择指定企业项目，IAM用户可以根据权限使用该企业项目中的资源。仅开通企业项目后可选。 如果您暂未开通企业项目，将不支持基于企业项目授权，了解企业项目请参考：什么是企业项目管理。如需开通，请参考：开通企业项目。 指定区域项目资源 选择指定区域项目，IAM用户可以根据权限使用该区域项目中的资源。 如果选择作用范围为“区域项目”，且所勾选的策略包含全局服务权限，系统自动将全局服务权限的作用范围设置为所有资源，勾选的区域项目权限的作用范围仍为指定区域项目。 说明： 不支持选择专属云DEC的区域项目。 全局服务资源 IAM用户可以根据权限使用全局服务。全局服务部署时不区分物理区域。访问全局级服务时，不需要切换区域，如对象存储服务（OBS）、内容分发网络（CDN）等。 如果选择作用范围为“全局服务”，且所勾选的策略包含项目级服务权限，系统自动将项目权限作用范围设置为所有资源，勾选的全局服务权限的作用范围仍为全局服务。 单击“确定”，完成用户组授权。

IAM用户访问密钥疑似泄露处理方案 场景一： 若确认该访问密钥尚未在您的业务中使用，请在IAM控制台直接停用并删除IAM用户的访问密钥。如您无权限，请联系有IAM操作权限的管理员。具体操作请参见管理IAM用户的访问密钥。 场景二： 若确认访问密钥已经在使用中且可以直接轮转，请尽快轮转。 请先创建一个新的访问密钥并妥善保管（每个IAM用户最多只能创建两个访问密钥）。同时将原访问密钥替换为新的访问密钥，验证业务正常运行后，在IAM控制台及时停用并删除原有的访问密钥。具体操作请参见管理IAM用户访问密钥。（访问密钥删除后无法恢复，建议先停用并确保对业务无影响后再删除） 场景三： 若确认访问密钥在使用中且短期内无法轮转，为降低访问密钥泄露的影响，您可以按照如下步骤进行处置。完成后务必尽快轮转。 缩小访问密钥权限。 请根据您的实际业务诉求，尽快缩小疑似泄露访问密钥的权限，在不影响正常业务的情况下，禁止高危操作，避免核心资产受损。在访问密钥轮转后再解除该限制。 建议禁止的高危权限，例如： 禁止该IAM用户创建新的IAM用户和授权； 禁止计算资源实例的操作，如关闭ECS、BMS服务器等； 禁止存储资源实例的操作，如删除OBS桶、删除EVS云硬盘，删除RDS实例等； 禁止删除日志，如删除 云日志 LTS上的日志、删除 CTS 追踪器等。 具体操作，详见创建自定义策略、给IAM用户授权。 同时建议您明确实际业务需要的权限，将不需要的权限全部移除，确保当前针对该访问密钥的授权符合最小权限集的安全要求。 开启IAM用户的登录保护。 建议您为华为云账号下所有可访问控制台的IAM用户开启登录保护，并建议您设置验证方式为安全等级更高的虚拟MFA。 设置华为云账号下的IAM用户登录控制台必须开启登录保护。具体操作请参见查看或修改IAM用户信息。 为用户绑定虚拟MFA设备。具体操作请参见为IAM用户绑定MFA设备。 检查是否存在访问密钥异常操作。 检查访问密钥是否存在异常操作行为，并排查是否有其他疑似泄露的访问密钥。 检查方式： 在CTS控制台的事件列表中，过滤筛选“操作用户”为疑似泄露访问密钥的用户，查看是否有异常操作行为。 除检查已知存在泄露风险的访问密钥之外，还需进一步排查是否还有其他IAM用户和访问密钥存在异常操作行为。若发现异常行为，建议与对应人员确认操作是否由本人执行。若排查发现存在疑似泄露风险，建议按以下方式处理： 疑似泄露的IAM用户如需继续使用，建议立即修改IAM用户密码并开启登录保护。 疑似泄露的IAM用户如果为非正常创建或闲置，可先将其禁用，确认对业务无影响后再进行删除。 如果访问密钥存在异常操作，参照上述方法先缩减权限后再进行轮转。 检查是否存在异常费用。 若在费用中心检查发现存在异常费用和账单，请结合上述操作实施防护措施。

华为 云安全 措施 华为云一直致力于保护您的云身份及云资源安全。当华为云发现您的访问密钥已经泄露，将通过您预留的联系方式及时通知您。为避免导致更大的资产损失，华为云有可能会采取限制该访问密钥的部分操作，如会限制该访问密钥创建的身份（如IAM用户、委托等），详情请参见访问密钥限制性保护说明。 请您务必及时关注短信、邮箱、电话等渠道的通知，并结合业务实际需求及时处置。同时，请及时关注您账号下的云资源情况，以免影响业务的正常运行。 华为云作为云服务提供商，无法也不可能掌握您全部访问密钥的安全现状。根据安全责任共担模型，云上的安全由您和华为云共同承担。其中访问密钥属于账号或IAM用户的访问凭证，相关安全责任完全由您负责，因此建议您妥善保管访问密钥。

华为云账号（主账号）访问密钥疑似泄露处理方案 场景一： 若确认该访问密钥尚未在您的业务中使用，请在我的凭证页面直接停用并删除该访问密钥。 场景二： 若确认该访问密钥已经在使用中。请使用以下方案轮转访问密钥。 方案1：在我的凭证页面，请先为账号创建一个新的访问密钥并妥善保管。同时将原访问密钥替换为新的访问密钥，验证业务正常运行后及时停用并删除原有的访问密钥。 方案2（推荐）：建议您创建一个IAM用户，为用户创建访问密钥并授予其业务必需的最小权限，使用该访问密钥代替主账号的访问密钥。同时，请停用并删除主账号的原访问密钥。 访问密钥删除后无法恢复，建议先停用并确保对业务无影响后再删除。

应用场景 假如您是一位开发者，开发了一个应用程序，这个应用程序运行在ECS实例上，应用程序的代码中涉及调用API访问华为云服务。此时，因为华为云服务要求访问请求方出示访问凭证，所以您的API调用将会面临提供访问凭证的问题。 访问凭证按照时效性可分为永久凭证和临时凭证，相较于永久性访问凭证，例如用户名和密码，临时访问密钥因为有效期短且刷新频率高，所以安全性更高。因此，您的应用程序若想要以更安全的方式访问云服务，需要获取临时访问凭证，而IAM的委托功能，则支持通过ECS委托获取临时访问密钥。 图1 应用程序获取临时访问密钥 如图1所示，以访问数据库服务举例。因为数据库服务要求访问请求方提供访问凭证，所以应用程序需要获得委托的临时访问密钥AK、SK。应用程序与ECS元数据服务通信，ECS元数据服务再与IAM通信，拿到临时AK、SK后返回给应用程序。然后，应用程序将临时AK、SK作为访问凭证出示给数据库服务，数据库服务收到请求后，先校验访问凭证是否合法，凭证通过校验后，ECS实例上的应用程序才能访问数据库服务。

解决方案 针对以上应用场景，可使用IAM对ECS云服务的委托来获取临时访问密钥。在IAM上对ECS云服务授权，并对应用程序所在的ECS实例进行授权委托管理。ECS实例获得委托权限之后，应用程序可申请指定委托的临时访问密钥，从而以临时访问密钥为凭证安全访问华为云资源。详细方案如下： 创建ECS云服务委托。账号在IAM控制台创建委托，指定委托对象为ECS云服务。委托创建时，选择权限策略，选择可访问的资源范围，不同的委托对应不同的权限策略。 ECS实例配置委托。在ECS实例的配置项中选择上一步创建的委托，一个ECS实例只可以选择一个委托。 获取委托的临时凭证。ECS实例配置了委托参数后，就获得了委托权限。此时，ECS实例上运行的应用程序可获取委托的临时访问密钥AK、SK。拥有临时访问密钥的应用程序可与华为云服务进行交互，交互行为遵循账号授予的权限策略和资源使用范围。

开通并创建企业项目 通过本节在企业管理控制台创建名为“企业项目A”、“企业项目B”的企业项目。如果您已开通企业项目，请直接操作步骤 4。 A公司使用注册的华为账号登录华为云控制台，单击“用户名”，选择“基本信息”。 在基本信息页面，单击“开通企业项目”。 如果您为未实名认证的账号，请先进行企业实名认证。 在开通企业项目页面，勾选“我已阅读并同意《华为云企业管理使用协议》”，单击“申请开通”，开通企业项目。 在华为云控制台，单击“企业”，选择“项目管理”。 图2 进入企业管理服务 在企业项目管理页面，单击“创建企业项目”。 图3 进入创建企业项目页面 在创建企业项目页面，输入“名称”为“企业项目A”，单击“确定”，完成“企业项目A”创建。 重复步骤5~6，创建“企业项目B”。 创建企业项目后，项目管理列表中显示新创建的“企业项目A”和“企业项目B”。

解决方案 针对需求1：当前华为云提供的企业管理服务（EPS）和统一身份认证服务（IAM），均可实现项目之间的资源隔离，但两种服务的实现逻辑及功能不同。 企业管理服务：在企业管理服务中创建企业项目，企业项目之间的资源是逻辑隔离，针对企业不同项目间的资源进行分组和管理，一个企业项目中可以包含多个区域的资源。企业项目内的资源可以动态的迁入和迁出，某些服务可以实现指定资源的迁入迁出，例如迁入迁出某一台ECS服务器。 统一身份认证服务：在统一身份认证服务中创建IAM项目可以实现资源之间的物理隔离，针对同一个区域内的资源进行分组和隔离，一个IAM项目中只能包含一个区域中的资源。 综上，企业管理服务能够实现项目间跨区域的资源隔离，隔离逻辑更加灵活，因此，推荐A公司使用企业管理服务进行项目资源管理，以下需求将基于企业管理服务提出解决方案。如需了解更多统一身份认证和企业管理的区别，请参见：统一身份认证和企业管理的区别。 针对需求2：A公司需要配合使用企业管理服务和统一身份认证服务，在统一身份认证服务中创建用户组、为每个员工创建IAM用户并加入用户组，再将用户组添加至需求1创建的企业项目，并按照表1为各企业项目中的用户组授予相应的资源使用权限。 图1 A公司人员配置模型 表1 A公司各用户组权限配置模型 用户组 职责 所需权限 描述 财务组 负责管理项目费用的使用情况。 Enterprise Project BSS FullAccess 企业项目费用的管理权限。 开发组 负责使用资源进行项目开发。 ECS FullAccess 弹性云服务器（ECS）的所有执行权限。 OBS FullAccess 对象存储服务（OBS）的所有执行权限。 ELB FullAccess 弹性负载均衡（ELB）的所有执行权限。 安全维护组 负责项目的安全运维。 ECS CommonOperations 弹性云服务器（ECS）的普通操作权限。 CAD Administrator DDoS高防服务 （AAD）的所有执行权限。 运营组 负责所有项目的总体运营。 EPS FullAccess 企业管理服务的所有执行权限，包括修改、启用、停用、查看企业项目。 如需了解华为云所有云服务的系统权限，请参见：系统权限。

企业需求 需求1：A公司需要同时在“华北-北京四”和“华东-上海一”多地域购买多种资源，A公司希望将资源按需分配给两个项目团队，某些服务可实现指定资源的分配，例如某一台ECS服务器只分配给指定IAM用户使用，且两个项目中的资源相互隔离。 需求2：每个项目团队的成员只能访问其所在项目团队的资源，且仅拥有能够完成工作的资源使用最小权限。 需求3：A公司希望两个项目团队能够独立核算成本，项目费用一目了然。

解决方案 针对需求1：当前华为云提供的企业管理服务（EPS）和统一身份认证服务（IAM），均可实现项目之间的资源隔离，但两种服务的实现逻辑及功能不同。 企业管理服务：在企业管理服务中创建企业项目，企业项目之间的资源是逻辑隔离，针对企业不同项目间的资源进行分组和管理，一个企业项目中可以包含多个区域的资源。企业项目内的资源可以动态的迁入和迁出，某些服务可以实现指定资源的迁入迁出，例如迁入迁出某一台ECS服务器。 统一身份认证服务：在统一身份认证服务中创建IAM项目可以实现资源之间的物理隔离，针对同一个区域内的资源进行分组和隔离，一个IAM项目中只能包含一个区域中的资源。 综上，企业管理服务能够实现项目间跨区域的资源隔离，隔离逻辑更加灵活，因此，推荐A公司使用企业管理服务进行项目资源管理，以下需求将基于企业管理服务提出解决方案。如需了解更多统一身份认证和企业管理的区别，请参见：统一身份认证和企业管理的区别。 针对需求2：A公司需要配合使用企业管理服务和统一身份认证服务，在统一身份认证服务中创建用户组、为每个员工创建IAM用户并加入用户组，再将用户组添加至需求1创建的企业项目，并按照表1为各企业项目中的用户组授予相应的资源使用权限。 图1 A公司人员配置模型 表1 A公司各用户组权限配置模型 用户组 职责 所需权限 描述 财务组 负责管理项目费用的使用情况。 Enterprise Project BSS FullAccess 企业项目费用的管理权限。 开发组 负责使用资源进行项目开发。 ECS FullAccess 弹性云服务器（ECS）的所有执行权限。 OBS FullAccess 对象存储服务（OBS）的所有执行权限。 ELB FullAccess 弹性负载均衡（ELB）的所有执行权限。 安全维护组 负责项目的安全运维。 ECS CommonOperations 弹性云服务器（ECS）的普通操作权限。 CAD Administrator DDoS高防服务（AAD）的所有执行权限。 运营组 负责所有项目的总体运营。 EPS FullAccess 企业管理服务的所有执行权限，包括修改、启用、停用、查看企业项目。 如需了解华为云所有云服务的系统权限，请参见：系统权限。

操作流程 针对A公司的企业需求及其解决方案，按照如下流程构建项目团队、购买资源，实现企业项目管理。 图2 企业项目管理流程图 步骤1：开通并创建企业项目：开通企业项目，并在企业管理服务控制台创建企业项目。 步骤2：创建IAM用户及用户组：在统一身份认证服务控制台为各职能团队创建用户组、为员工创建IAM用户，并将IAM用户加入用户组，实现人员分组。 步骤3：企业项目与IAM用户组关联授权：在统一身份认证服务控制台为各用户组授予应有的权限，并将其加入相应的企业项目，实现人员授权。 步骤4：购买资源并关联企业项目：在云服务控制台购买资源，并选择所属企业项目，实现资源隔离。 后续操作：企业项目管理：在企业管理服务控制台进行人员、资源、财务管理。

开通并创建企业项目 通过本节在企业管理控制台创建名为“企业项目A”、“企业项目B”的企业项目。如果您已开通企业项目，请直接操作步骤 4。 A公司使用注册的华为账号登录华为云控制台，单击“用户名”，选择“基本信息”。 在基本信息页面，单击“开通企业项目”。 如果您为未实名认证的账号，请先进行企业实名认证。 在开通企业项目页面，勾选“我已阅读并同意《华为云企业管理使用协议》”，单击“申请开通”，开通企业项目。 在华为云控制台，单击“企业”，选择“项目管理”。 图3 进入企业管理服务 在企业项目管理页面，单击“创建企业项目”。 图4 进入创建企业项目页面 在创建企业项目页面，输入“名称”为“企业项目A”，单击“确定”，完成“企业项目A”创建。 重复步骤5~6，创建“企业项目B”。 创建企业项目后，项目管理列表中显示新创建的“企业项目A”和“企业项目B”。

企业需求 需求1：A公司需要同时在“华北-北京四”和“华东-上海一”多地域购买多种资源，A公司希望将资源按需分配给两个项目团队，某些服务可实现指定资源的分配，例如某一台ECS服务器只分配给指定IAM用户使用，且两个项目中的资源相互隔离。 需求2：每个项目团队的成员只能访问其所在项目团队的资源，且仅拥有能够完成工作的资源使用最小权限。 需求3：A公司希望两个项目团队能够独立核算成本，项目费用一目了然。

操作流程 以B账号将委托分配给IAM用户进行管理为例，说明使用IAM的用户授权功能，实现分配委托以及对委托进行精细授权的操作方法，委托权限分配完成后，B账号中的IAM用户通过切换角色的方式，可以切换到A账号中，管理委托方授权的资源。B账号需要提前获取委托公司的华为账号名称、所创建的委托名称以及委托的ID。 创建用户组并授权。 B账号在统一身份认证服务左侧导航窗格中，单击“用户组”。 在“用户组”界面中，单击“创建用户组”。 输入“用户组名称”，例如“委托管理”。 单击“确定”。 返回用户组列表，用户组列表中显示新创建的用户组。 单击新建用户组右侧的“授权”，进入授权界面。 如果需要用户仅管理一个特定的委托，请执行以下步骤对委托进行精细授权。 如果需要用户管理所有委托，请跳过该步骤，直接执行下一步。 在选择策略页面，单击权限列表右上角“新建策略”。 输入“策略名称”，例如“管理A公司的委托1”。 “策略配置方式”选择“JSON视图”。 在“策略内容”区域，填入以下内容： { "Version": "1.1", "Statement": [ { "Action": [ "iam:agencies:assume" ], "Resource": { "uri": [ "/iam/agencies/b36b1258b5dc41a4aa8255508xxx..." ] }, "Effect": "Allow" } ] } "b36b1258b5dc41a4aa8255508xxx..."需要替换为待授权委托的ID，需要提前向委托方获取，其他内容不需修改，直接拷贝即可。 单击“下一步”，继续完成授权。 选择上一步中创建的自定义策略“管理A公司的委托1”，或者“Agent Operator”权限。 自定义策略：用户仅能管理指定ID的委托，不能管理其他委托。 “Agent Operator”权限：用户可以管理所有委托。 选择授权作用范围。 单击“确定”。 创建用户并加入用户组。 在统一身份认证服务左侧导航窗格中，单击“用户” 在“用户”界面，单击“创建用户”。 在“创建用户”界面，输入“用户名”“邮箱”。 “访问方式”选择“管理控制台访问”。 “凭证类型”选择“首次登录时设置”。 “登录保护”选择“开启”，并选择身份验证方式，单击“下一步”。 在“加入用户组”页面，选择步骤2中创建的用户组“委托管理”，单击“创建用户”。 切换角色。 使用步骤3创建的用户，使用“IAM用户登录”方式，登录华为云。登录方法，请参见：IAM用户登录。 在控制台页面，右上方的用户名中，选择“切换角色”。 图1 切换角色 在“切换角色”页面中，输入委托方的账号名称，输入账号名称后，系统将会按照顺序自动匹配委托名称。 如果自动匹配的是没有授权的委托，系统将提示没有权限访问，可以删除委托名称，在下拉框中选择已授权的委托名称。 单击“确定”，切换至委托方账号中。

被委托方跨账号管理 当A账号与B账号创建委托关系后，即B账号为被委托方，B账号通过切换角色的方法，可以切换到A账号中，管理委托方授权的资源。B账号需要提前获取A账号的华为账号名称以及所创建的委托名称。 B账号登录华为云，进入控制台。 在右上方的用户名中，选择“切换角色”。 图3 切换角色 在“切换角色”页面中，输入委托方的账号名称，输入账号名称后，系统将会按照顺序自动匹配委托名称。 图4 切换角色 单击“确定”，B账号切换至委托方A账号中，直接对A账号华东-上海一区域的VPC资源进行管理。

被委托方分配委托权限 以B账号将委托分配给IAM用户进行管理为例，实现分配委托以及对委托进行精细授权。委托权限分配完成后，B账号中的IAM用户通过切换角色的方式，可以切换到A账号中，管理委托方授权的资源。 B账号需要提前获取委托公司的华为账号名称、所创建的委托名称以及委托的ID。 创建用户组并授权。 B账号在统一身份认证服务左侧导航窗格中，单击“用户组”。 在“用户组”界面中，单击“创建用户组”。 输入“用户组名称”，例如“委托管理”。 单击“确定”。 返回用户组列表，用户组列表中显示新创建的用户组。 单击新建用户组右侧的“授权”，进入授权界面。 如果需要用户仅管理一个特定的委托，请执行以下步骤对委托进行精细授权。 如果需要用户管理所有委托，请跳过该步骤，直接执行下一步。 在选择策略页面，单击权限列表右上角“新建策略”。 输入“策略名称”，例如“管理A公司的委托1”。 “策略配置方式”选择“JSON视图”。 在“策略内容”区域，填入以下内容： { "Version": "1.1", "Statement": [ { "Action": [ "iam:agencies:assume" ], "Resource": { "uri": [ "/iam/agencies/b36b1258b5dc41a4aa8255508xxx..." ] }, "Effect": "Allow" } ] } "b36b1258b5dc41a4aa8255508xxx..."需要替换为待授权委托的ID，需要提前向委托方获取，其他内容不需修改，直接拷贝即可。 单击“下一步”，继续完成授权。 选择上一步中创建的自定义策略“管理A公司的委托1”，或者“Agent Operator”权限。 自定义策略：用户仅能管理指定ID的委托，不能管理其他委托。 “Agent Operator”权限：用户可以管理所有委托。 选择授权作用范围。 单击“确定”。 创建用户并加入用户组。 B账号在统一身份认证服务左侧导航窗格中，单击“用户” 在“用户”界面，单击“创建用户”。 在“创建用户”界面，输入“用户名”“邮箱”。 “访问方式”选择“管理控制台访问”。 “凭证类型”选择“首次登录时设置”。 “登录保护”选择“开启”，并选择身份验证方式，单击“下一步”。 在“加入用户组”页面，选择步骤2中创建的用户组“委托管理”，单击“创建用户”。 切换角色。 使用步骤2创建的IAM用户，通过“IAM用户登录”方式，登录华为云。登录方法，请参见：IAM用户登录。 IAM用户在控制台页面，右上方的用户名中，选择“切换角色”。 图5 切换角色 IAM用户在“切换角色”页面中，输入委托方的账号名称，输入账号名称后，系统将会按照顺序自动匹配委托名称。 如果自动匹配的是没有授权的委托，系统将提示没有权限访问，可以删除委托名称，在下拉框中选择已授权的委托名称。 单击“确定”，切换至委托方账号中。IAM用户可以对B账号分配委托权限的A账号资源进行管理操作。

解决方案 针对以上企业需求，可以使用IAM的委托功能来实现跨账号的资源授权与管理。 A账号在IAM控制台创建一个委托，指定委托的使用者为B账号，并将需要代运维的资源授权给这个委托。 B账号进一步授权，将A账号委托的资源分配给账号下专职管理委托的IAM用户，让IAM用户帮助管理。 当合作关系发生变更时，A账号随时可以修改或者删除这个委托，B账号以及账号下可以管理该委托的用户对该委托的使用权限将自动修改或者撤销。 图1 跨账号授权模型

步骤3：IAM用户登录并验证权限 IAM用户登录有多种方式，如下步骤仅讲述其中一种，更多登录方式请参见：登录华为云。 IAM用户James或Alice在华为云登录页面，单击右下角的“IAM用户登录”。 在“IAM用户登录”页面，输入A公司账号名Company-A、IAM用户名及用户密码。 账号名为该IAM用户所属华为云账号的名称。 用户名和密码为账号在IAM创建用户时输入的用户名和密码。 图12 IAM用户登录 登录成功后，IAM用户进入华为云控制台，请先切换至授权区域“华东-上海二”。 在“服务列表”中选择 虚拟私有云VPC 、弹性负载均衡ELB， 云解析服务DNS ，可以进入这些服务的主页面并进行管理操作，权限配置成功。 在“服务列表”中选择除以上服务外的任一服务，系统提示权限不足，权限配置成功。 切换区域至除“华东-上海二”的任一区域，无法进入任何服务主页面，包括虚拟私有云VPC、弹性负载均衡ELB，云解析服务DNS，表示权限配置成功。

步骤二：创建IAM用户并加入用户组 A公司管理员在统一身份认证服务，左侧导航中，选择“用户”。 在用户页面，单击右上角“创建用户”。 图8 创建用户 配置用户基本信息。在“创建用户”界面填写“用户信息”和“访问方式”。如需一次创建多个用户，可以单击“添加用户”进行批量创建，每次最多可创建10个用户。 图9 配置用户信息 用户可以使用此处设置的用户名、邮件地址或手机号任意一种方式登录华为云。 当用户忘记密码时，可以通过此处绑定的邮箱或手机自行重置密码，如果用户没有绑定邮箱或手机号码，只能由管理员重置密码。 表3 用户信息 用户信息 说明 取值样例 用户名 必填。IAM用户登录华为云的用户名。 James、Alice 邮件地址 “凭证类型”选择“首次登录时设置”时必填，选择其他时选填。IAM用户绑定的邮件地址可作为IAM用户的登录凭证，也可由IAM用户自己绑定。 暂不配置 手机号 选填。IAM用户绑定的手机号，可作为IAM用户的登录凭证，也可由IAM用户自己绑定。 暂不配置 描述 选填。记录IAM用户相关信息。 暂不配置 图10 配置访问方式 表4 访问方式 访问方式 说明 取值样例 编程访问 为IAM用户启用访问密钥或密码，支持用户通过API、CLI、SDK等开发工具访问云服务。 勾选 管理控制台访问 为IAM用户启用密码，支持用户登录管理控制台访问云服务。此时凭证类型“密码”为必选项。 勾选 如果IAM用户仅需登录管理控制台访问云服务，建议访问方式选择管理控制台访问，凭证类型为密码。 如果IAM用户仅需编程访问华为云服务，建议访问方式选择编程访问，凭证类型为访问密钥。 如果IAM用户需要使用密码作为编程访问的凭证（部分API要求），建议访问方式选择编程访问，凭证类型为密码。 如果IAM用户使用部分云服务时，需要在其控制台验证访问密钥（由IAM用户输入），建议访问方式选择编程访问和管理控制台访问，凭证类型为密码和访问密钥。例如IAM用户在控制台使用云数据迁移 CDM 服务创建数据迁移，需要通过访问密钥进行身份验证。 表5 配置凭证类型和登录保护 凭证类型与登录保护 说明 取值样例 访问密钥 访问密钥（AK/SK，Access Key ID/Secret Access Key）包含访问密钥ID（AK）和秘密访问密钥（SK）两部分，是您在华为云的长期身份凭证，您可以通过访问密钥对华为云API的请求进行签名。 创建用户完成后即可下载本次创建的所有用户的访问密钥（AK/SK）。 不勾选 密码 自定义 自定义用户密码，并选择用户首次登录时是否需要重置密码。 如果您是用户的使用主体，建议您选择该方式，设置自己的登录密码，且无需勾选首次登录时重置密码。 选择 自动生成 系统自动生成IAM用户的登录密码，创建完用户即可下载excel形式的密码文件。将密码文件提供给用户，用户使用该密码登录。 仅在创建单个用户时适用。 - 首次登录时设置 系统通过邮件发一次性登录链接给用户，用户登录控制台并设置密码。 如果您不是用户的使用主体，建议选择该方式，同时输入用户的邮件地址和手机，用户通过邮件中的一次性链接登录华为云，自行设置密码。该链接7天内有效。 - 登录保护 开启登录保护 开启登录保护后，IAM用户登录时，除了在登录页面输入用户名和密码外（第一次身份验证），还需要在登录验证页面输入验证码（第二次身份验证）。 该功能是一种安全实践，您可以选择通过手机、邮件地址、虚拟MFA进行登录验证。 - 不开启 创建完成后，如需开启登录保护，请参见：登录保护。 选择 单击“下一步”，将IAM用户James、Alice加入到上一步中创建的“网络域运维”用户组。 如果该用户是管理员，可以将用户加入默认用户组“admin”中。 一个用户可以同时加入多个用户组。 单击“下一步”，IAM用户创建完成，用户列表中显示新创建的IAM用户James和Alice。如果3勾选了“凭证类型”中的“访问密钥”，可在此页面下载访问密钥。 图11 创建成功

资源规划 根据A公司中员工所负责的不同职能，将员工划分为以下七个团队： 图1 权限设置模型 资源总运维：负责管理公司所有资源的团队。 财务管理：负责管理公司财务的团队。 查看资源：负责查看并监控所有资源使用情况的团队。 计算域运维：负责计算域运维的团队。 网络域运维：负责网络域运维的团队。 数据库运维：负责数据库运维的团队。 安全域运维：负责安全域运维的团队。 通过表1，给公司中不同的职能团队设置不同的权限，可以实现各团队之间权限隔离，各司其职。如需了解华为云所有云服务的系统权限，请参见：系统权限。 表1 系统权限 职能团队 需要授予的策略 权限说明 资源总运维 Tenant Administrator 除IAM外，其他所有云资源的所有执行权限，包括费用中心、资源中心、账号中心的权限，可以购买资源，管理续费，查看账单等。 财务管理 BSS Administrator 费用中心、资源中心、账号中心的所有执行权限，包括管理发票、管理订单、管理合同、管理续费、查看账单等权限。仅拥有该权限的用户不能购买资源，用户如果购买资源需要拥有对应资源的管理员权限。 查看资源 Tenant Guest 除IAM外，其他所有资源的只读权限。 计算域运维 ECS FullAccess 弹性云服务器（ECS）的所有执行权限，包括购买ECS的权限，仅拥有该权限的用户不能查看ECS以及其他资源的总体消费情况，如果需要查看消费情况，需要配合BSS Administrator使用。 CCE FullAccess 云容器引擎（CCE）的所有执行权限，包括购买CCE的权限，仅拥有该权限的用户不能查看CCE以及其他资源的总体消费情况，如果需要查看消费情况，需要配合BSS Administrator使用。 AutoScaling FullAccess 弹性伸缩（AS）的所有执行权限，包括购买AS的权限，仅拥有该权限的用户不能查看AS以及其他资源的总体消费情况，如果需要查看消费情况，需要配合BSS Administrator使用。 网络域运维 VPC FullAccess 虚拟私有云（VPC）的所有执行权限，包括购买VPC的权限，仅拥有该权限的用户不能查看VPC以及其他资源的总体消费情况，如果需要查看消费情况，需要配合BSS Administrator使用。 ELB FullAccess 弹性负载均衡（ELB）的所有执行权限，包括购买ELB的权限，仅拥有该权限的用户不能查看ELB以及其他资源的总体消费情况，如果需要查看消费情况，需要配合BSS Administrator使用。 数据库运维 RDS FullAccess 云数据库（RDS）的所有执行权限，包括购买RDS的权限，仅拥有该权限的用户不能查看RDS以及其他资源的总体消费情况，如果需要查看消费情况，需要配合BSS Administrator使用。 DDS FullAccess 文档数据库服务（DDS）的所有执行权限，包括购买DDS的权限，仅拥有该权限的用户不能查看DDS以及其他资源的总体消费情况，如果需要查看消费情况，需要配合BSS Administrator使用。 DDM FullAccess 分布式数据库 中间件的所有执行权限。 安全领域运维 Anti-DDoS Administrator Anti-DDoS流量清洗服务的所有执行权限。 CAD Administrator DDoS高防服务的所有执行权限。 KMS Administrator 数据加密 服务（DEW）的所有执行权限，包括购买DEW的权限，仅拥有该权限的用户不能查看DEW以及其他资源的总体消费情况，如果需要查看消费情况，需要配合BSS Administrator使用。 根据以上职能团队的划分，资源规划情况包含以下内容： 表2 资源规划 资源 资源名称 资源说明 数量 管理员账号 Company-A A公司用于管理资源和权限所创建的账号。 1 IAM用户组 网络域运维 A公司根据团队职能需要划分为七个用户组，此处仅以创建用户组“网络域运维”为例。 1 IAM用户 James、Alice 此处仅以创建IAM用户“James”和“Alice”为例。 2 权限 VPC FullAccess、ELB FullAccess 根据上表可知，需要为“网络域运维”用户组配置两个权限。 2 因为统一身份认证服务为免费服务，因此此最佳实践中不涉及费用。

虚机部署的应用通过Sermant Agent接入到ServiceComb引擎 安装Sermant Agent。 登录Linux弹性云服务器。 请参考Linux弹性云服务器登录方式概述选择相应方式登录弹性云服务器。 下载并安装Sermant Agent。 参考如下命令通过shell脚本方式下载并安装Java Agent。 wget -O- https://cse-bucket-cn-east-3.obs.cn-east-3.myhuaweicloud.com/javaagent/install.sh | sh 安装成功后，脚本将输出安装目录。目录为当前用户主目录。 启动应用。 在应用的启动参数上添加如下参数，添加启动参数后，待应用启动完成。 -javaagent:${HOME}/java-agent/java-agent.jar=appName=default -Ddynamic_config_serverAddress={CSE_CONFIG_CENTER_ENDPOINTS} -Dregister.service.address={CSE_REGISTRY_ENDPOINTS} 表1 启动参数说明 参数项 说明 appName agent服务名称，默认default，无需修改。 dynamic_config_serverAddress ServiceComb引擎配置中心地址，多个地址使用逗号隔开。 register.service.address ServiceComb引擎服务注册发现地址。 若需配置APP名称（默认default）、版本（默认1.0.0），请分别使用环境变量-Dservice_meta_application=yourAppName、-Dservice_meta_version=yourVersion进行设置。 ServiceComb引擎服务注册发现地址与ServiceComb引擎配置中心地址需替换为实际地址，可参考如下方式获取： ServiceComb引擎服务注册发现地址：获取ServiceComb引擎服务注册发现地址。 ServiceComb引擎配置中心地址：获取ServiceComb引擎配置中心地址。 验证应用接入ServiceComb引擎。 参考查看微服务列表查看您的应用是否已接入ServiceComb引擎。

方法一：制作快照方式获得镜像 如果后续镜像没有变化，可采用方法一制作镜像。 具体操作如下： 找一台主机，安装容器引擎软件。 启动一个空白的基础容器，并进入容器。 例如：启动一个CentOS的容器。 docker run -it centos 执行安装任务。 yum install XXX git clone https://github.com/lh3/bwa.git cd bwa;make 请预先安装好Git，并检查本机是否有ssh key设置。 输入exit退出容器。 制作快照。 docker commit -m "xx" -a "test" container-id test/image:tag -a：提交的镜像作者。 container-id：步骤2中的容器id。可以使用docker ps -a查询得到容器id。 -m：提交时的说明文字。 test/image:tag：仓库名/镜像名:TAG名。 执行docker images可以查看到制作完成的容器镜像。

Dockerfile基本语法 FROM： 指定待扩展的父级镜像（基础镜像）。除注释之外，文件开头必须是一个FROM指令，后面的指令便在这个父级镜像的环境中运行，直到遇到下一个FROM指令。通过添加多个FROM命令，可以在同一个Dockerfile文件中创建多个镜像。 MAINTAINER： 声明创建镜像的作者信息：用户名、邮箱，非必须参数。 RUN： 修改镜像的命令，常用来安装库、安装程序以及配置程序。一条RUN指令执行完毕后，会在当前镜像上创建一个新的镜像层，接下来的指令会在新的镜像上继续执行。RUN 语句有两种形式： RUN yum update：在/bin/sh路径中执行的指令。 RUN ["yum", "update"]：直接使用系统调用exec来执行。 RUN yum update && yum install nginx：使用&&符号将多条命令连接在同一条RUN语句中。 EXPOSE： 指明容器内进程对外开放的端口，多个端口之间使用空格隔开。 运行容器时，通过设置参数-P（大写）即可将EXPOSE里所指定的端口映射到主机上其他的随机端口，其他容器或主机可以通过映射后的端口与此容器通信。 您也可以通过设置参数-p（小写）将Dockerfile中EXPOSE中没有列出的端口设置成公开。 ADD： 向新镜像中添加文件，这个文件可以是一个主机文件，也可以是一个网络文件，也可以是一个文件夹。 第一个参数：源文件（夹）。 如果是相对路径，必须是相对于Dockerfile所在目录的相对路径。 如果是URL，会将文件先下载下来，然后再添加到镜像里。 第二个参数：目标路径。 如果源文件是主机上的zip或者tar形式的压缩文件，容器引擎会先解压缩，然后将文件添加到镜像的指定位置。 如果源文件是一个通过URL指定的网络压缩文件，则不会解压。 VOLUME： 在镜像里创建一个指定路径（文件或文件夹）的挂载点，这个容器可以来自主机或者其它容器。多个容器可以通过同一个挂载点共享数据，即便其中一个容器已经停止，挂载点也仍可以访问。 WORKDIR： 为接下来执行的指令指定一个新的工作目录，这个目录可以是绝对目录，也可以是相对目录。根据需要，WORKDIR可以被多次指定。当启动一个容器时，最后一条WORKDIR指令所指的目录将作为容器运行的当前工作目录。 ENV： 设置容器运行的环境变量。在运行容器的时候，通过设置-e参数可以修改这个环境变量值，也可以添加新的环境变量。 例如： docker run -e WEBAPP_PORT=8000 -e WEBAPP_HOST=www.example.com ... CMD： 用来设置启动容器时默认运行的命令。 ENTRYPOINT： 用来指定容器启动时的默认运行的命令。区别在于：运行容器时添加在镜像之后的参数，对ENTRYPOINT是拼接，CMD是覆盖。 若在Dockerfile中指定了容器启动时的默认运行命令为ls -l，则运行容器时默认启动命令为ls -l，例如： ENTRYPOINT [ "ls", "-l"]：指定容器启动时的程序及参数为ls -l。 docker run centos：当运行centos容器时，默认执行的命令是docker run centos ls -l docker run centos -a：当运行centos容器时拼接了-a参数，则默认运行的命令是docker run centos ls -l -a 若在Dockerfile中指定了容器启动时的默认运行命令为--entrypoint，则在运行容器时如果需要替换默认运行命令，可以通过添加--entrypoint参数来替换Dockerfile中的指定。例如： docker run gutianlangyu/test --entrypoint echo "hello world" USER： 为容器的运行及RUN、CMD、ENTRYPOINT等指令的运行指定用户或UID。 ONBUILD： 触发器指令。构建镜像时，容器引擎的镜像构建器会将所有的ONBUILD指令指定的命令保存到镜像的元数据中，这些命令在当前镜像的构建过程中并不会执行。只有新的镜像使用FROM指令指定父镜像为当前镜像时，才会触发执行。 使用FROM以这个Dockerfile构建出的镜像为父镜像，构建子镜像时： ONBUILD ADD . /app/src：自动执行ADD . /app/src

为什么已有镜像自动同步不成功？ 镜像自动同步是帮助您把最新推送的镜像自动同步到其他区域镜像仓库内，后期镜像有更新时，目标仓库的镜像也会自动更新，但已有的镜像不会自动同步。 已有镜像的同步，需要手动操作： 在镜像详情页面的“镜像版本”页签选择具体的镜像版本后，单击“镜像同步”，如图1。 图1 已有镜像的同步 在弹出的对话框中，选择镜像同步的目标区域、目标组织及是否覆盖。 图2 镜像同步 父主题： 镜像同步