华为云用户手册

Fn::GetBytes 内部函数Fn::GetBytes返回一个字符串UTF-8编码的字节数组。 JSON {"Fn::GetBytes": "content"} 表4 参数说明 参数名称 类型 说明 content String 待编码的字符串。 返回值 byte[] 字符串UTF-8编码后的字节数组。 示例如下： { "Fn::GetBytes": "testvalue" } return: "7465737476616c7565" //为了方便展示，此处转化为16进制字符串

Fn::Join 内部函数Fn::Join可将多个字符串（数量最大值为10）拼接成一个字符串。 JSON {"Fn::Join": ["element", "element"...]} 表6 参数说明 参数名称 类型 说明 element String 需拼接的字符串。 返回值 String 子字符串拼接在一起后的字符串。 示例如下： { "Fn::Join": ["123", "456", "789"] } return: "123456789"

Fn::Sub 内部函数Fn::Sub将输入字符串中的变量替换为指定的值。在模板中您可以使用此函数来构造一个动态的字符串。 JSON { "Fn::Sub" : [ "String", { "Var1Name": Var1Value, "Var2Name": Var2Value } ] } 表15 参数说明 参数名称 类型 说明 String String 一个包含变量的字符串，变量使用“${}”占位符定义。 VarName String 变量名称，必须在参数“String”中定义。 VarValue String 变量的取值，支持函数嵌套。 返回值 String 返回原始“String”参数字符串变量替换后的值。 示例如下： { "Fn::Sub": ["${token};hmacsha256", { "token": { "Fn::HmacSHA256": ["${iotda::mqtt::username}", { "Fn::Base64Decode": "${iotda::mqtt::client_id}" }] } }] } 当变量 ${iotda::mqtt::username}="test_device_username" ${iotda::device::client_id}="OozqTPlCWTTJjEH/5s+T6w==" return："0773c4fd6c92902a1b2f4a45fdcdec416b6fc2bc6585200b496e460e2ef31c3d"

Fn::Base64Decode 内部函数Fn::Base64Decode将一个字符串按BASE64解码成一个字节数组。 JSON { "Fn::Base64Decode" : "content" } 表2 参数说明 参数名称 类型 说明 content String 待解码的字符串。 返回值 byte[] base64解码后的字节数组。 示例如下： { "Fn::Base64Decode": "123456"] } return: d76df8e7 //为了方便展示，此处转化为16进制字符串

使用说明 华为云IoTDA提供了多个内部函数供用户在模板中使用，使用时请认真阅读每个函数的功能定义，包括入参类型，参数长度，返回值类型等。 整个函数必须是合法的Json格式。 函数中可使用${}变量占位符或者"Ref"函数引用入参定义的参数值。 函数所使用的参数必须在模板参数中声明。 单一入参的函数后面直接跟参数，比如："Fn::Base64Decode": "${iotda::mqtt::username}"。 多个入参的函数后面接数组格式，比如："Fn::HmacSHA256": ["${iotda::mqtt::username}", "${iotda::device::secret}"]。 函数可以嵌套使用，即一个函数的参数可以是另一个函数，注意嵌套函数的返回值必须跟当前函数参数类型一致，比如：{"Fn::HmacSHA256": ["${iotda::mqtt::username}", {"Fn::Base64Encode": "${iotda::device::secret}"}]}

相关推荐 相关文档 相关产品 设备数据上报 使用HTTP/HTTPS转发 使用AMQP转发 查看运行日志（旧版） 消息通知 服务 SMN 数据接入服务 DIS 分布式消息服务Kafka 对象存储服务 OBS 应用与 数据集成平台 ROMA Connect 云日志 服务（LTS） 函数工作流 FunctionGraph 分布式消息服务（RocketMQ） 云数据库 GeminiDB Influx MapReduce服务 （ MRS Kafka） 云数据库MySQL 区块链 服务 BCS

概述 数据转发功能用于提供IoTDA与其他第三方以及华为云服务的连接通道，从而实现将设备数据平滑流转至消息中间件、存储、数据分析、业务应用。各转发方式在各规格的支持情况，详见产品规格说明中 基础版、标准版与企业版实例功能差异。当前 物联网平台 支持如下转发方式： 表1 数据转发概述 分类 转发目标 说明 操作指导 第三方服务 第三方应用服务（HTTP推送） 将数据转发至客户的HTTP服务器，客户可以在数据转发界面创建流转规则，并指定推送的URL，将订阅的数据源信息推送到指定URL的服务器。 使用限制：支持基础版、标准版、企业版。 使用HTTP/HTTPS转发 AMQP推送消息队列 客户可以通过数据转发界面，订阅指定的AMQP通道，将订阅的数据源信息推送到指定AMQP通道，用户可通过AMQP的客户端与IoT平台建立链接，接收数据。 使用限制：支持基础版、标准版、企业版。 使用AMQP转发 MQTT推送消息队列 客户可以通过数据转发界面，订阅指定的MQTT Topic，将订阅的数据源信息推送到指定MQTT Topic，用户可通过Mqtt的客户端与IoT平台建立链接，接收数据。 使用限制：支持标准版、企业版。 使用MQTT转发 设备间通信 物联网平台支持基于MQTT协议实现设备间的消息通信，客户可以通过数据转发界面，订阅指定的Topic，平台会将设备上报的消息推送到指定的Topic，其他设备可以通过订阅该Topic来接收不同设备的消息。 使用限制：支持标准版、企业版。仅支持消息上报。 设备间通信 数据分析 数据接入服务 DIS 将数据流转到华为云DIS云服务。目前DIS支持数据转存储至对象存储服务 OBS、MapReduce服务 MRS、 数据湖探索 DLI 、 数据仓库服务 DWS 、 表格存储服务 CloudTable 。具体DIS支持的转存储任务已实际购买的实例为准。 应用场景：数据接入服务主要解决云服务外的数据实时传输到云服务内的问题。 规格参考：通道规格理论1个分区1M/秒接入，2M/秒读取。 使用限制：支持基础版、标准版、企业版。 数据转发至DIS 分布式消息服务Kafka版 将数据流转到华为云DMS Kafka云服务，适用于构建实时数据管道、流式数据处理、第三方解耦、流量削峰去谷等场景，具有大规模、高可靠、高并发访问、可扩展且完全托管的特点。 应用场景：在日志收集、流式数据传输、在线/离线系统分析、实时监控等领域有广泛的应用。 规格参考：Kafka实例规格。 使用限制：支持基础版、标准版、企业版。 数据转发至Kafka存储 应用与数据集成平台ROMAConnect 将数据流转到华为云ROMA Connect，可以实现无缝联接应用、消息、数据、API、设备，帮助企业快速、简单的打通并管理遗留系统与云原生应用，ROMA Connect是一个全栈式的应用与数据集成平台，源自华为数字化转型集成实践，聚焦应用和数据连接，适配多种企业常见的使用场景。 规格参考：ROMA实例规格。 使用限制：支持企业版。 - 分布式消息服务RocketMQ版 将数据流转到华为云RocketMQ云服务，兼容开源RocketMQ客户端。提供顺序、延迟、定时、重投、死信、事务消息等功能。提供消息追踪、消息溯源、链路诊断、死信导出、监控告警等能力，帮助您全方面的了解服务状况，保证业务正常运行。 应用场景：适用于电商、金融等多样的业务场景。 规格参考：RocketMQ实例规格。 使用限制：支持标准版、企业版。 数据转发至RokcetMQ 云日志服务 LTS 将数据流转到华为云LTS云服务，实现一站式日志采集、秒级搜索、海量存储、结构化处理、转储和可视化图表等功能。 应用场景：适用于应用运维、网络日志可视化分析、等保合规和运营分析等应用场景。 规格参考：日志流规格。 使用限制：支持基础版、标准版、企业版。 查看运行日志 函数工作流 FunctionGraph 将数据流转到华为云FunctionGraph云服务，客户只需要在FunctionGraph中编写业务函数代码并设置运行的条件，无需配置和管理服务器等基础设施，函数以弹性、免运维、高可靠的方式运行。此外，按函数实际执行资源计费，不执行不产生费用。 使用限制：支持标准版、企业版。 数据转发转发至FunctionGraph函数工作流 MapReduce服务 MRS 将数据转发到华为云MRS Kafka云服务，它的Kafka集群是一个分布式的、分区的、多副本的消息发布-订阅系统，它提供了类似于JMS的特性，但在设计上完全不同，它具有消息持久化、高吞吐、分布式、多客户端支持、实时等特性，适用于离线和在线的消息消费，如常规的消息收集、网站活性跟踪、聚合统计系统运营数据（监控数据）、日志收集等大量数据的互联网服务的数据收集场景。 使用限制：支持企业版。 - 区块链服务 B CS 将数据转发到华为云BCS云服务，作为面向企业及开发者提供的区块链技术服务平台，可以帮助客户快速部署、管理、维护区块链网络，降低客户使用区块链的门槛，让客户可以更专注于自身业务的开发与创新，实现业务快速上链。 规格参考：BCS产品规格。 使用限制：支持企业版。 数据转发至BCS可信上链 数据存储 云数据库 GeminiDB Influx 将数据流转到华为云GeminiDB Influx，兼容InfluxDB生态的云原生 时序数据库 。提供高性能读写、高压缩率、冷热分层存储以及弹性扩容、监控告警等服务能力，可以实现大并发的时序数据读写，压缩存储和类SQL查询等功能，支持多维聚合计算和 数据可视化 分析能力。 应用场景：广泛应用于资源监控、业务监控分析、物联网设备实时监控、工业生产监控、生产质量评估和故障回溯等。提供了高吞吐量和并发性，可以通过快速的响应时间来支持大量的连接，非常适合要求苛刻的物联网应用。 规格参考：InfluxDB规格。 使用限制：支持标准版、企业版。 数据转发至GeminiDB Influx 云数据库 RDS for MySQL 将数据流转到华为云RDS MySQL，相比自建数据库，RDS价格便宜、 即开即用，便捷运维，支持弹性伸缩并具备实例管理、实例监控、备份恢复、日志管理、参数管理等功能，支持单机和主备部署。 应用场景：网站业务、移动应用、游戏业务、电商业务、金融业务以及企业应用等。 规格参考：Mysql性能规格。 使用限制：支持标准版、企业版。 数据转发至MySQL 对象存储服务 OBS 将数据流转至华为云OBS云服务，OBS为客户提供海量、安全、高可靠、低成本的数据存储能力，使用时无需考虑容量限制，并且提供多种存储类型供选择，满足客户各类业务场景诉求，OBS也支持对接实时计算CS云服务，实时分析数据流，分析结果对接到其他云服务或者第三方应用进行数据可视化等。 应用场景：适用于海量大数据存储分析的场景。 规格参考：OBS存储规格。 使用限制：支持基础版、标准版、企业版。 数据转发至OBS长期存储 文档数据库服务DDS功能 将数据流转至华为云文档数据库服务DDS，DDS完全兼容MongoDB协议，具备安全审计，多账号管理，时间点备份恢复能力，支持集群和副本集部署架构。10倍备份恢复能力，分钟级横向扩容，轻松承载海量数据的高并发写入。 应用场景：游戏业务，物联网业务，电商、考勤系统等有典型高并发场景，对数据库性能要求较高。 规格参考：DDS性能规格 使用限制：支持企业版。 数据转发至MongoDB存储 通过公网进行数据转发流量限制不超过1M/s，超过后消息会直接丢弃。如果要使用更大的流量进行数据转发，推荐使用企业版，企业版支持私网进行数据转发，无此限制。

策略变量 在策略中定义resource时，如果不知道对设备资源或条件键的精确值，可以使用策略变量作为占位符，进行发布/订阅主题筛选。策略变量在校验MQTT的主题时，会把变量变为接入设备对应的ID值，再进行匹配。 变量使用前缀“$”标记，后面跟一对大括号“{ }”，其中包含请求中值的变量名称。如下表，假设MQTT设备是在客户端ID为test_clientId，产品ID为test_productId，设备ID为test_deviceId。 表3 策略变量 策略变量 描述 MQTT中主题示例 适用于MQTT主题示例的策略示例 ${devices.deviceId} 设备ID test/test_deviceId/topic test/${devices.deviceId}/topic ${devices.clientId} 客户端ID test/test_clientId/topic test/${devices.clientId}/topic ${devices.productId} 产品ID test/test_productId/topic test/${devices.productId}/topic 表4 定义策略变量示例 场景 策略Topic定义示例 描述 想通过topic区分不同设备的自定义上报时。 “test/${devices.deviceId}/topic” 允许Topic为“test/${本设备ID}/topic”的主题订阅或发布。有利于设备间数据隔离。 想通过topic区分不同设备的自定义上报、区分同一设备不同时间段上报的数据时。 “test/${devices.clientId}/topic” 允许Topic为“test/${本设备的clientId}/topic”的主题订阅或发布。与deviceId不同的是，clientId携带时间戳。可用主题来区分时间段。

策略通配符 策略中具有不同的通配符，使用前需注意。在策略中，“*”表示字符的任意组合，问号“? ”表示任何单个字符，而通配符“+”和“#”被视为没有特殊含义的字符。 表1 策略通配符 通配符 是MQTT通配符 策略配置是否适用 MQTT中主题示例 适用于MQTT主题示例的策略示例 # 是 否 test/# 不适用，“#”被视为没有特殊含义的字符。 + 是 否 test/+/some 不适用，“+”被视为没有特殊含义的字符。 * 否 是 不适用，“*”被视为没有特殊含义的字符。 test/* test/*/some ？ 否 是 不适用，“？”被视为没有特殊含义的字符。 test/????/some test/set?????/some 表2 定义策略通配符示例 发布/订阅的Topic 策略Topic定义 解释 假设设备需要订阅/发布以下Topic: “test/topic1/some” “test/topic2/some” “test/topic3/some” “topic:test/topic?/some” 在发布、订阅的Topic中可以发现有共同点：“test/topic”+ 某一字符 + “/some”，而在策略定义中“?”代表某一字符。所以策略Topic可以定义为“topic:test/topic?/some” 假设设备需要订阅/发布以下Topic: “test/topic1/pub/some” “test/topic2/sub/some” “test/topic3/some” “topic:test/topic*/some” 在发布、订阅的Topic中可以发现有共同点：“test/topic”+ 一个或多个字符 + “/some”，而在策略定义中“*”代表多个或一个字符。所以策略Topic可以定义为“topic:test/topic*/some”

概述 设备策略主要用于对发布/订阅的非$oc开头自定义topic中的数据进行传输限制。通过灵活访问的控制模型，提供了基于用户角色的访问控制，能够管理客户端发布/订阅主题的授权。借助策略功能，可以用于管理一个或多个设备/产品/群组发布、订阅的权限，以保证非$oc开头的自定义Topic的通信安全。设备Topic策略用于发布、订阅机制的协议，比如说设备侧的MQTT、MQ TTS 协议。目前华南友好局点、海外局点支持。 对于使用IOTDA的用户，新增的资源空间会默认加入策略“system_default_policy”，system_default_policy策略会允许该资源空间下所有设备的非$oc开头的自定义Topic的订阅与发布。当业务场景不适用时，可以删除该策略。 图1 策略概念图

操作步骤 进入“策略”界面，单击展开“静态策略”，单击“添加实例”。 图1 创建静态策略详情 按照下方参数说明填写关键参数信息后，单击“确定”。 表1 静态策略参数列表 参数名称 说明 示例 关键字 即关键字来源中的关键字。设备发放时，如果关键字来源字符串中包含设置的关键字，则可按该实例进行发放。 将设备名称携带Beijing的设备发放至华北-北京四的物联网平台。 设备名称：WaterMeter-Beijing0001、WaterMeter-Beijing0002 关键字来源：设备名称 关键字：Beijing 发放区域：华北-北京四 发放应用：beijing-app1 将上报信息中携带Beijing的设备发放至华北-北京四的物联网平台。 关键字来源：数据上报 topic“$oc/devices/${device_id}/sys/bootstrap/up”上报信息：{ "baseStrategyKeyword": "WaterMeter-Beijing0003"} 关键字：Beijing 发放区域：华北-北京四 发放应用：beijing-app1 关键字来源 关键字来源指的是用于匹配关键字的字符串信息的数据来源。目前支持设备名称与数据上报两种形式。 如果为设备名称，则匹配关键字的字符串取设备创建后的设备名称。 如果为数据上报，则匹配关键字的字符串取设备发放过程中，发起发放请求Topic“$oc/devices/${device_id}/sys/bootstrap/up” 的上报信息json中的baseStrategyKeyword属性。 优先级别 发放策略的优先级，取值范围1 - 5级，1级为最低优先级。当一个设备符合多个发放策略时，按照优先级最高的策略实例发放。 发放区域 发放到指定区域后，设备将接入对应区域的 设备接入服务 。 所选区域未开通设备接入服务时，如果确定添加实例，系统将自动为您开通设备接入服务。不同区域设备接入服务价格不同，收费详情请参考价格说明。 发放应用 选择对应设备接入服务区域已创建的应用。在物联网平台中，设备由应用统一管理。 如果对应设备接入服务区域未创建应用，需要前往对应服务创建应用。

概述 静态策略，即设备关键字模糊匹配的发放策略。每条静态策略实例指：匹配上该策略实例的设备，将会被发放到该条策略实例关联的设备接入实例的对应资源空间（即应用）下。 设备匹配静态策略实例的机制为： 设备的发放策略为“静态策略”，设备的关键字来源字符串包含某一静态策略实例的关键字，即被认为该设备匹配上该条策略实例。关键字来源有以下两种来源类型： 设备名称：如果设备名称包含设置的关键字，即可按照该行策略指定的发放应用进行实例发放。 数据上报：如果设备在连接后，进行发放publish时，上报Topic “$oc/devices/${deviceId}/sys/bootstrap/up” 中，json上报的属性 “baseStrategyKeyword” 包含设置的关键字，即可按该实例进行发放。 一个设备最多匹配一条静态策略实例； 当一个设备匹配上多条静态策略实例时，则以优先级最高的策略实例为优先。

设备引导 下载并修改华为SDK示例代码进行设备引导（这里以java sdk代码为示例）。 用IDEA/Eclipse打开SDK代码工程，修改DEMO示例BootstrapSample中的参数，其中deviceId和secret替换为步骤3中生成的设备ID和密钥即可，bootstrapUri为获取设备发放终端节点对应的终端节点。 运行DEMO程序，看到如下日志，代表设备发放成功，并且已经收到设备发放下发的设备接入地址。如果程序运行没报错，在对应的设备接入平台可以看到设备，并已在线。

生成设备证书 使用OpenSSL工具为设备证书生成密钥对（设备私钥）： openssl genrsa -out deviceCert.key 2048 使用设备密钥对，生成证书签名请求文件： openssl req -new -key deviceCert.key -out deviceCert.csr 生成证书签名请求文件时，要求填写证书唯一标识名称（Distinguished Name，DN）信息，参数说明如下表2所示。 表3 证书签名请求文件参数说明 提示 参数名称 取值样例 Country Name (2 letter code) []: 国家/地区 CN State or Province Name (full name) []: 省/市 GuangDong Locality Name (eg, city) []: 城市 ShenZhen Organization Name (eg, company) []: 组织机构（或公司名） Huawei Technologies Co., Ltd. Organizational Unit Name (eg, section) []: 机构部门 Cloud Dept. Common Name (eg, fully qualified host name) []: CA名称（CN） Huawei IoTDP CA Email Address []: 邮箱地址 / A challenge password []: 证书密码，如您不设置密码，可以直接回车 / An optional company name []: 可选公司名称，如您不设置，可以直接回车 / 使用CA证书、CA证书私钥和CSR文件创建设备证书（deviceCert.crt）。 openssl x509 -req -in deviceCert.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out deviceCert.crt -days 36500 -sha256 生成设备证书用到的“rootCA.crt”和“rootCA.key”这两个文件，为“制作CA证书”中所生成的两个文件，且需要完成“上传并验证CA证书”。 “-days”后的参数值指定了该证书的有效天数，此处示例为36500天，您可根据实际业务场景和需要进行调整。

制作CA证书 在浏览器中访问这里，下载并进行安装OpenSSL工具，安装完成后配置环境变量。 在 D:\certificates 文件夹下，以管理员身份运行cmd命令行窗口。 生成密钥对（rootCA.key）： 生成“密钥对”时输入的密码在生成“证书签名请求文件”、“CA证书”，“验证证书”以及“设备证书”时需要用到，请妥善保存。 openssl genrsa -des3 -out rootCA.key 2048 使用密钥对生成证书签名请求文件： 生成证书签名请求文件时，要求填写证书唯一标识名称（Distinguished Name，DN）信息，参数说明如下表1 所示。 表1 证书签名请求文件参数说明 提示 参数名称 取值样例 Country Name (2 letter code) []: 国家/地区 CN State or Province Name (full name) []: 省/市 GuangDong Locality Name (eg, city) []: 城市 ShenZhen Organization Name (eg, company) []: 组织机构（或公司名） Huawei Technologies Co., Ltd. Organizational Unit Name (eg, section) []: 机构部门 Cloud Dept. Common Name (eg, fully qualified host name) []: CA名称（CN） Huawei IoTDP CA Email Address []: 邮箱地址 / A challenge password []: 证书密码，如您不设置密码，可以直接回车 / An optional company name []: 可选公司名称，如您不设置，可以直接回车 / openssl req -new -key rootCA.key -out rootCA.csr 生成CA证书（rootCA.crt）： openssl x509 -req -days 50000 -in rootCA.csr -signkey rootCA.key -out rootCA.crt “-days”后的参数值指定了该证书的有效天数，此处示例为50000天，您可根据实际业务场景和需要进行调整。

上传并验证CA证书 登录设备发放控制台，进入“证书”界面，单击右上角“上传CA证书”，填写“证书名称”并上传上述“制作CA证书”步骤后生成的“CA证书（rootCA.crt文件）”，单击“确定”。 图1 上传CA证书 验证步骤1中上传的CA证书，只有成功验证证书后该证书方可使用。 为验证证书生成密钥对。 openssl genrsa -out verificationCert.key 2048 获取随机验证码。 图2 上传CA证书完成页 图3 复制验证码 利用此验证码生成证书签名请求文件CSR。 openssl req -new -key verificationCert.key -out verificationCert.csr CSR文件的Common Name (e.g. server FQDN or YOUR name) 需要填写前一过程中获取到的随机验证码。 使用CA证书、CA证书私钥和CSR文件创建验证证书（verificationCert.crt）。 openssl x509 -req -in verificationCert.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out verificationCert.crt -days 500 -sha256 生成验证证书用到的“rootCA.crt”和“rootCA.key”这两个文件，为“制作CA证书”中所生成的两个文件。 “-days”后的参数值指定了该证书的有效天数，此处示例为500天，您可根据实际业务场景和需要进行调整。 上传验证证书进行验证。 图4 上传验证证书

连接鉴权 MQTT.fx 是目前主流的MQTT桌面客户端，它支持 Windows, Mac, Linux，可以快速验证是否可以与设备发放服务进行连接并发布或订阅消息。 本文主要介绍 MQTT.fx 如何与华为设备发放交互，其中设备发放服务MQTT的南向接入地址请参考获取终端节点。 下载 MQTT.fx（默认是64位操作系统，如果是32位操作系统，单击此处下载 MQTT.fx ），安装MQTT.fx工具。。 打开 MQTT.fx 客户端程序，单击“设置”。 填写 Connection Profile 相关信息和 General 信息。其中General 信息可以用工具默认的参数配置。 填写 User Credentials 信息。 其中Username 参考MQTT CONNECT连接鉴权参数说明（无需填写Password）。 注：注册组的场景不存在选择产品，所以命名需要注意：如果命名字符串有“_”，那么第一项必须为对应设备接入已经存在的产品ID，如果不包括“_”，那么可以随意命名。 选择开启 SSL/TLS，勾选Self signed certificates，配置相关证书内容。 CA File为设备发放对应的CA证书。 Client Certificate File为设备的设备证书。 Client Key File为设备的私钥。 完成以上步骤后，单击“Apply”和“OK”进行保存，并在配置文件框中选择刚才创建的文件名，单击“Connect”，当右上角圆形图标为绿色时，说明连接设备发放服务成功，可进行订阅（Subscribe）和消息推送（Publish）操作。

了解函数接口定义 函数服务对函数有明确的接口定义。 以java语言为例，接口定义为：作用域 返回参数 函数名（函数参数，Context参数）。 作用域：提供给FunctionGraph调用的用户函数必须定义为public。 返回参数：用户定义，FunctionGraph负责转换为字符串，作为HTTP Response返回。对于返回参数对象类型，HTTP Response该类型的JSON字符串。 函数名：用户定义函数名称。 用户定义参数：当前函数只支持一个用户参数。对于复杂参数，建议定义为对象类型，以JSON字符串提供数据。FunctionGraph调用函数时，解析JSON为对象。 Context参数：runtime提供函数执行上下文，其接口定义在SDK接口说明。 创建Java函数时，函数入口参数需要提供函数完整的名字空间，参数格式为：包名.类名.函数名。 设备发放在此基础上，要求函数代码满足如下条件： 返回参数：需满足设备发放对返回参数的约束； 函数参数：需满足设备发放对函数参数的约束； 函数接口实现：从函数参数中的备选接入点中选择一个接入点，调用发放设备接口，根据接口响应拼接参数返回。

添加自定义策略 进入“策略”界面，单击展开“自定义策略”，单击“添加函数”。 图1 添加自定义策略 按照下方参数说明填写关键参数信息后，单击“确定”。 参数名称 说明 示例 函数 即在函数服务中实现的自定义策略。如果下拉框没有您想要的函数，可以单击创建新函数来实现您的自定义策略需求。 将需要通过函数“function”发放的设备发放至华北-北京四的物联网平台。 需通过函数“function”发放的设备：WaterMeter-Beijing0001、WaterMeter-Beijing0002 函数：function 发放区域：华北-北京四 发放区域 发放到指定区域后，设备将接入对应区域的设备接入服务。 所选区域未开通设备接入服务时，如果确定添加实例，系统将自动为您开通设备接入服务。不同区域设备接入服务价格不同，收费详情请参考价格说明。

设备发放对返回参数的约束 表1 TdpFuncResult 名称 说明 类型 statusCode String 函数执行状态码，用于标识函数执行过程是否出现异常，遵循HTTP状态码含义。 body String 字符串，但格式为JSON，结构为TdpFuncBody。 表2 TdpFuncBody 名称 说明 类型 status String 设备发放业务功能标识，allow表示发放成功，deny表示发放失败，设备发放使用此标识判断函数内业务功能执行成功与否。 context TdpFuncBodyContext 扩展字段，用于承载函数执行结果。 表3 TdpFuncBodyContext 名称 说明 类型 allocationResult String 发放结果，存放发放接口返回的响应结构体。 errorCode String 错误码，如发放失败，则此值需不为空。 errorMsg String 错误描述，如发放失败，则此值需不为空。 发放设备成功的返回参数样例 { "statusCode": 200, "body": "{\"status\":\"allow\",\"context\":{\"allocationResult\":\"dps返回的下发结果\"}}" } 发放设备失败的返回参数样例 { "statusCode": 200, "body": "{\"status\":\"deny\",\"context\":{\"errorCode\":\"错误码\",\"errorMsg\":\"错误描述\"}}" }

创建授权关系 被授权方进入“授权”界面，单击在“被授权列表”下的“发起授权请求”。 图1 发起授权请求 被授权方填写授权方的账号名称或者账号ID（即 IAM 的Domain Name或Domain ID），单击“获取短信验证码”。 图2 发起授权请求详情 系统将向授权方绑定的手机号发送短信验证码，被授权方从授权方获取到短信验证码，填入验证码输入框，填写“描述”信息。 被授权方单击“确定”，授权请求完成，授权关系建立。 被授权方将在“被授权列表”中查看到与其他租户建立的授权关系，授权方将在“授权列表”中查看到与其他租户建立的授权关系。被授权方可删除某一条授权关系，授权方可禁用或删除某一条授权关系。

连接鉴权 MQTT.fx 是目前主流的MQTT桌面客户端，它支持 Windows, Mac, Linux，可以快速验证是否可以与设备发放服务进行连接并发布或订阅消息。 本文主要介绍 MQTT.fx 如何与华为设备发放交互，其中设备发放服务MQTT的南向接入地址请参考获取终端节点。 下载 MQTT.fx（默认是64位操作系统，如果是32位操作系统，单击此处下载 MQTT.fx ），安装MQTT.fx工具。 打开 MQTT.fx 客户端程序，单击“设置”。 填写 Connection Profile 相关信息和 General 信息。其中General 信息可以用工具默认的参数配置。 填写 User Credentials 信息。 其中Username 参考MQTT CONNECT连接鉴权参数说明（无需填写Password）。 选择开启 SSL/TLS，勾选Self signed certificates，配置相关证书内容。 CA File为设备发放对应的CA证书。 Client Certificate File为设备的设备证书。 Client Key File为设备的私钥。 完成以上步骤后，单击“Apply”和“OK”进行保存，并在配置文件框中选择刚才创建的文件名，单击“Connect”，当右上角圆形图标为绿色时，说明连接设备发放服务成功，可进行订阅（Subscribe）和消息推送（Publish）操作。

操作步骤 进入“策略”界面，单击展开“证书策略”，单击“添加实例”。 图1 添加证书策略 按照下方参数说明填写关键参数信息后，单击“确定”。 表1 证书策略参数列表 参数名称 说明 示例 证书名称 即所要根据证书属性将设备发放到指定的目标区域，选择对应的证书。 将需要通过证书“certificates”发放的设备发放至华北-北京四的物联网平台。 需通过证书“certificates”发放的设备：WaterMeter-Beijing0001、WaterMeter-Beijing0002 证书名称：certificates 发放区域：华北-北京四 发放应用：beijing-app1 发放区域 发放到指定区域后，设备将接入对应区域的设备接入服务。 所选区域未开通设备接入服务时，如果确定添加实例，系统将自动为您开通设备接入服务。不同区域设备接入服务价格不同，收费详情请参考价格说明。 发放应用 选择对应设备接入服务区域已创建的应用。在物联网平台中，设备由应用统一管理。 如果对应设备接入服务区域未创建应用，需要前往对应服务创建应用。

概述 证书策略，即通过平台认证设备的设备CA证书匹配的发放策略。每条证书策略实例指：匹配上该策略实例的设备，将会被发放到该策略实例关联的设备接入实例的对应资源空间（即应用）下。 设备匹配证书策略实例的机制为： 设备的发放策略指定为“证书策略”时，其认证方式也必须为X.509证书认证且同时指定了认证设备的设备CA证书，当设备关联的设备CA证书与证书策略实例关联的证书为同一个证书时，即被认为该设备匹配上该条策略实例； 一个设备最多匹配一条证书策略实例；一个CA证书最多被一条证书策略关联。

连接鉴权 MQTT.fx 是目前主流的MQTT桌面客户端，它支持 Windows, Mac, Linux，可以快速验证是否可以与设备发放服务进行连接并发布或订阅消息。 本文主要介绍 MQTT.fx 如何与华为设备发放交互，其中设备发放服务MQTT的南向接入地址请参考获取终端节点。 下载 MQTT.fx（默认是64位操作系统，如果是32位操作系统，单击此处下载 MQTT.fx ），安装MQTT.fx工具。 打开 MQTT.fx 客户端程序，单击“设置”。 填写 Connection Profile 相关信息和 General 信息。其中General 信息可以用工具默认的参数配置。 填写 User Credentials 信息。 其中Username 和Password 参数参考MQTT CONNECT连接鉴权参数说明。 选择开启 SSL/TLS，勾选CA certificate file，CA Certificate File指定为物联网平台根证书（请先下载物联网平台的根证书，解压后，选择其中c或java目录下PEM后缀的文件）的本地路径。 完成以上步骤后，单击“Apply”和“OK”保存，并在配置文件框中选择刚才创建的文件名，单击“Connect”，当右上角圆形图标为绿色时，说明连接设备发放服务成功，可进行订阅（Subscribe）和消息推送（Publish）操作。

生成设备证书 使用OpenSSL工具为设备证书生成密钥对（设备私钥）： openssl genrsa -out deviceCert.key 2048 使用设备密钥对，生成证书签名请求文件： openssl req -new -key deviceCert.key -out deviceCert.csr 生成证书签名请求文件时，要求填写证书唯一标识名称（Distinguished Name，DN）信息，参数说明如下表2所示。 表3 证书签名请求文件参数说明 提示 参数名称 取值样例 Country Name (2 letter code) []: 国家/地区 CN State or Province Name (full name) []: 省/市 GuangDong Locality Name (eg, city) []: 城市 ShenZhen Organization Name (eg, company) []: 组织机构（或公司名） Huawei Technologies Co., Ltd. Organizational Unit Name (eg, section) []: 机构部门 Cloud Dept. Common Name (eg, fully qualified host name) []: CA名称（CN） Huawei IoTDP CA Email Address []: 邮箱地址 / A challenge password []: 证书密码，如您不设置密码，可以直接回车 / An optional company name []: 可选公司名称，如您不设置，可以直接回车 / 使用CA证书、CA证书私钥和CSR文件创建设备证书（deviceCert.crt）。 openssl x509 -req -in deviceCert.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out deviceCert.crt -days 36500 -sha256 生成设备证书用到的“rootCA.crt”和“rootCA.key”这两个文件，为“制作CA证书”中所生成的两个文件，且需要完成“上传并验证CA证书”。 “-days”后的参数值指定了该证书的有效天数，此处示例为36500天，您可根据实际业务场景和需要进行调整。

连接鉴权 MQTT.fx 是目前主流的MQTT桌面客户端，它支持 Windows, Mac, Linux，可以快速验证是否可以与设备发放服务进行连接并发布或订阅消息。 本文主要介绍 MQTT.fx 如何与华为设备发放交互，其中设备发放服务MQTT的南向接入地址请参考获取终端节点。 下载 MQTT.fx（默认是64位操作系统，如果是32位操作系统，单击此处下载 MQTT.fx ），安装MQTT.fx工具。 打开 MQTT.fx 客户端程序，单击“设置”。 填写 Connection Profile 相关信息和 General 信息。其中General 信息可以用工具默认的参数配置。 填写 User Credentials 信息。 其中Username 参考MQTT CONNECT连接鉴权参数说明（无需填写Password）。 注：注册组的场景不存在选择产品，所以命名需要注意：如果命名字符串有“_”，那么第一项必须为对应设备接入已经存在的产品ID，如果不包括“_”，那么可以随意命名。 选择开启 SSL/TLS，勾选Self signed certificates，配置相关证书内容。 CA File为设备发放对应的CA证书。 Client Certificate File为设备的设备证书。 Client Key File为设备的私钥。 完成以上步骤后，单击“Apply”和“OK”保存，并在配置文件框中选择刚才创建的文件名，单击“Connect”，当右上角圆形图标为绿色时，说明连接设备发放服务成功，可进行订阅（Subscribe）和消息推送（Publish）操作。

上传并验证CA证书 登录设备发放控制台，进入“证书”界面，单击右上角“上传CA证书”，填写“证书名称”并上传上述“制作CA证书”步骤后生成的“CA证书（rootCA.crt文件）”，单击“确定”。 图1 上传CA证书 验证步骤1中上传的CA证书，只有成功验证证书后该证书方可使用。 为验证证书生成密钥对。 openssl genrsa -out verificationCert.key 2048 获取随机验证码。 图2 上传CA证书完成页 图3 复制验证码 利用此验证码生成证书签名请求文件CSR。 openssl req -new -key verificationCert.key -out verificationCert.csr CSR文件的Common Name (e.g. server FQDN or YOUR name) 需要填写前一过程中获取到的随机验证码。 使用CA证书、CA证书私钥和CSR文件创建验证证书（verificationCert.crt）。 openssl x509 -req -in verificationCert.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out verificationCert.crt -days 500 -sha256 生成验证证书用到的“rootCA.crt”和“rootCA.key”这两个文件，为“制作CA证书”中所生成的两个文件。 “-days”后的参数值指定了该证书的有效天数，此处示例为500天，您可根据实际业务场景和需要进行调整。 上传验证证书进行验证。 图4 上传验证证书

制作CA证书 在浏览器中访问这里，下载并进行安装OpenSSL工具，安装完成后配置环境变量。 在 D:\certificates 文件夹下，以管理员身份运行cmd命令行窗口。 生成密钥对（rootCA.key）： 生成“密钥对”时输入的密码在生成“证书签名请求文件”、“CA证书”，“验证证书”以及“设备证书”时需要用到，请妥善保存。 openssl genrsa -des3 -out rootCA.key 2048 使用密钥对生成证书签名请求文件： 生成证书签名请求文件时，要求填写证书唯一标识名称（Distinguished Name，DN）信息，参数说明如下表1 所示。 表2 证书签名请求文件参数说明 提示 参数名称 取值样例 Country Name (2 letter code) []: 国家/地区 CN State or Province Name (full name) []: 省/市 GuangDong Locality Name (eg, city) []: 城市 ShenZhen Organization Name (eg, company) []: 组织机构（或公司名） Huawei Technologies Co., Ltd. Organizational Unit Name (eg, section) []: 机构部门 Cloud Dept. Common Name (eg, fully qualified host name) []: CA名称（CN） Huawei IoTDP CA Email Address []: 邮箱地址 / A challenge password []: 证书密码，如您不设置密码，可以直接回车 / An optional company name []: 可选公司名称，如您不设置，可以直接回车 / openssl req -new -key rootCA.key -out rootCA.csr 生成CA证书（rootCA.crt）： openssl x509 -req -days 50000 -in rootCA.csr -signkey rootCA.key -out rootCA.crt “-days”后的参数值指定了该证书的有效天数，此处示例为50000天，您可根据实际业务场景和需要进行调整。

新增注册组 创建注册组。 图2 新增注册组 注册组密钥为长度在”32~128“字节的字节码。在创建密钥注册组时，返回的注册组密钥为“base64编码后的注册组密钥字符串”。 若不指定注册组密钥，则注册组密钥由设备发放服务生成。 若指定注册组密钥，在创建中注册组时需在密钥输入框内填写“指定字节码Base64编码后生成的字符串”。 图3 创建密钥注册组 如果需要下发初始化配置，那么对应在初始设备配置选项中填写对应的JSON字符串，设备发放不理解该字段，只是透传该JSON字符串，由设备理解解析。如果不需要下发该字段则不填 创建完成后会返回注册组密钥，单击复制保存注册组密钥。 图4 创建密钥注册组响应