华为云用户手册

创建工作负载时设置 创建Deployment、StatefulSet、DaemonSet等不同类型的工作负载时添加Service的方法一致。 参考创建无状态负载、创建有状态负载或创建守护进程集，在服务配置步骤，单击，进行工作负载服务配置。 Service名称：自定义服务名称，取值范围为1-50字符。 访问类型：选择“节点访问 NodePort”。 服务亲和： 集群级别：集群下所有节点的IP+访问端口均可以访问到此服务关联的负载，服务访问会因路由跳转导致一定性能损失，且无法获取到客户端源IP。 节点级别：只有通过负载所在节点的IP+访问端口才可以访问此服务关联的负载，服务访问没有因路由跳转导致的性能损失，且可以获取到客户端源IP。 端口配置： 协议：TCP或UDP，请根据业务的协议类型选择。 服务端口：容器端口映射到集群虚拟IP上的端口，用虚拟IP访问应用时使用，端口范围为1-65535，可任意指定。 容器端口：容器镜像中应用程序实际监听的端口，需用户确定。例如：nginx程序实际监听的端口为80。 节点端口：容器端口映射到节点私有IP上的端口，用私有IP访问应用时使用，端口范围为30000-32767，建议选择“自动生成”。 自动生成：系统会自动分配端口号。 指定端口：指定固定的节点端口，默认取值范围为30000-32767。若指定端口时，请确保同个集群内的端口唯一性。 设置完成后，单击“确认”。 单击“下一步：调度与差异化”，进行集群调度与差异化配置。设置完成后，单击“创建工作负载”完成创建。 获取访问地址。 单击左侧导航栏“服务与路由”，选择“服务”页签。 单击所添加的Service名称进入“服务详情”界面，获取部署集群的访问地址。如果集群下节点有绑定弹性IP，则可以通过集群下关联实例所在节点弹性IP地址 + 节点端口的形式访问后端负载。

相关操作 通过U CS 控制台，您还可以执行表1中的操作。 表1 相关操作 操作 说明 YAML创建 单击右上角“YAML创建”，可使用已有的YAML创建服务。 查看详情 选择服务所在的命名空间。 （可选）根据服务名称进行搜索。 单击服务名称即可查看服务详情，包括基本信息以及各集群的部署信息。 在服务详情页的部署集群栏中单击“查看YAML”，可查看各个集群中部署的服务实例YAML，并支持下载。 编辑YAML 单击服务名称后的“编辑YAML”，可查看并编辑当前服务的YAML文件。 更新 单击服务名称后的“更新”。 根据访问参数更改信息。 单击“确认”提交已修改的信息。 删除 单击服务名称后的“删除”，并单击“是”进行确认。 批量删除 勾选需要删除的服务。 单击左上角的“批量删除”。 单击“是”进行确认。

创建工作负载后设置 登录UCS控制台，在左侧导航栏中选择“容器舰队”。 在“容器舰队”页签下找到已开通集群联邦的舰队，单击名称进入详情页。 在左侧导航栏中选择“服务与路由”，选择“服务”页签。 选择服务所在命名空间，并单击右上角“创建服务”。如需新建命名空间，请参见创建命名空间。 设置访问参数。 图1 创建服务 Service名称：自定义服务名称，可与工作负载名称保持一致。 服务类型：选择“节点访问 NodePort”。 服务亲和： 集群级别：集群下所有节点的IP+访问端口均可以访问到此服务关联的负载，服务访问会因路由跳转导致一定性能损失，且无法获取到客户端源IP。 节点级别：只有通过负载所在节点的IP+访问端口才可以访问此服务关联的负载，服务访问没有因路由跳转导致的性能损失，且可以获取到客户端源IP。 端口配置： 协议：TCP或UDP，请根据业务的协议类型选择。 服务端口：容器端口映射到集群虚拟IP上的端口，用虚拟IP访问应用时使用，端口范围为1-65535，可任意指定。 容器端口：容器镜像中应用程序实际监听的端口，需用户确定。例如：nginx程序实际监听的端口为80。 节点端口：容器端口映射到节点私有IP上的端口，用私有IP访问应用时使用，端口范围为30000-32767，建议选择“自动生成”。 自动生成：系统会自动分配端口号。 指定端口：指定固定的节点端口，默认取值范围为30000-32767。若指定端口时，请确保同个集群内的端口唯一性。 命名空间：服务所在命名空间。 选择器：服务通过选择器与负载（标签）关联。单击“引用负载标签”，可选择已有的工作负载。 负载类型：选择需要关联的负载类型。 工作负载：选择一个已有的工作负载。如工作负载列表未显示，请单击刷新。 标签：选择工作负载后自动获取对应的标签，不可修改。 图2 引用负载标签 单击“确认”。创建成功后可在“服务”页签的列表中查看。 获取访问地址。 单击左侧导航栏“服务与路由”，选择“服务”页签。 单击所添加的Service名称进入“服务详情”界面，获取部署集群的访问地址。如果集群下节点有绑定弹性IP，则可以通过集群下关联实例所在节点弹性IP地址 + 节点端口的形式访问后端负载。

创建工作负载后设置 登录UCS控制台，在左侧导航栏中选择“容器舰队”。 在“容器舰队”页签下找到已开通集群联邦的舰队，单击名称进入详情页。 在左侧导航栏中选择“服务与路由”，选择“服务”页签。 选择服务所在命名空间，并单击右上角“创建服务”。如需新建命名空间，请参见创建命名空间。 设置访问参数。 图2 创建服务 Service名称：自定义服务名称，可与工作负载名称保持一致。 服务类型：选择“集群内访问 ClusterIP”。 端口配置： 协议：TCP或UDP，请根据业务的协议类型选择。 服务端口：容器端口映射到集群虚拟IP上的端口，用虚拟IP访问应用时使用，端口范围为1-65535，可任意指定。 容器端口：容器镜像中应用程序实际监听的端口，需用户确定。例如：nginx程序实际监听的端口为80。 命名空间：服务所在命名空间。 选择器：服务通过选择器与负载（标签）关联。单击“引用负载标签”，可选择已有的工作负载。 负载类型：选择需要关联的负载类型。 工作负载：选择一个已有的工作负载。如工作负载列表未显示，请单击刷新。 标签：选择工作负载后自动获取对应的标签，不可修改。 图3 引用负载标签 单击“确认”。创建成功后可在“服务”页签的列表中查看。

相关操作 通过UCS控制台，您还可以执行表1中的操作。 表1 相关操作 操作 说明 YAML创建 单击右上角“YAML创建”，可使用已有的YAML创建服务。 查看详情 选择服务所在的命名空间。 （可选）根据服务名称进行搜索。 单击服务名称即可查看服务详情，包括基本信息以及各集群的部署信息。 在服务详情页的部署集群栏中单击“查看YAML”，可查看各个集群中部署的服务实例YAML，并支持下载。 编辑YAML 单击服务名称后的“编辑YAML”，可查看并编辑当前服务的YAML文件。 更新 单击服务名称后的“更新”。 根据服务参数更改信息。 单击“确认”提交已修改的信息。 删除 单击服务名称后的“删除”，并单击“是”进行确认。 批量删除 勾选需要删除的服务。 单击左上角的“批量删除”。 单击“是”进行确认。

创建工作负载时设置 创建Deployment、StatefulSet、DaemonSet等不同类型的工作负载时添加Service的方法一致。 参考创建无状态负载、创建有状态负载或创建守护进程集，在服务配置步骤，单击，进行工作负载服务配置。 Service名称：服务名称，可自定义，取值范围为1-50字符。 访问类型：选择“集群内访问 ClusterIP”。 端口配置： 协议：TCP或UDP，请根据业务的协议类型选择。 服务端口：容器端口映射到集群虚拟IP上的端口，用虚拟IP访问应用时使用，端口范围为1-65535，可任意指定。 容器端口：容器镜像中应用程序实际监听的端口，需用户确定。例如：nginx程序实际监听的端口为80。 图1 工作负载服务配置 设置完成后，单击“确认”。 单击“下一步：调度与差异化”，进行集群调度与差异化配置。设置完成后，单击“创建工作负载”完成创建。 获取访问地址。 单击左侧导航栏“服务与路由”，选择“服务”页签。 单击所添加的Service名称进入“服务详情”界面，获取部署集群的访问地址。

Q：告警消息推送APP端的配置以及消息推送常见问题的排查 A：排查步骤： 告警功能分app在线告警和app离线告警（Android和iOS均支持在线告警，Android上支持HMS（华为推送服务）的设备才能收到离线告警，iOS手机均支持离线告警）。 离线告警功能目前还不完善，有支持推送服务的系统才能离线告警，一般大厂手机支持，后续会陆续集成进来，比如小米、OPPO等厂商手机。 告警功能说明： 在线告警：指华为好望APP正在系统中运行，APP在前台（正在使用）或者在后台但还没被系统杀死，这个时候，APP能接收到行业视频管理服务（原 好望云服务 ）推送的告警，并进行提示。 离线告警：指华为好望APP没有在系统中运行，这个时候，APP无法感知行业视频管理服务（原好望云服务）的所有推送（因为没有建立连接通道），只能依靠操作系统自身的推送服务来实现告警通知，比如iOS和华为的推送服务。 可配置选项： 告警消息提醒 声音 震动 消息提醒间隔： 默认20秒时间间隔，iOS或部分系统可能会对消息提醒优化，有一些时间偏差。 父主题： 【个人版】

Q：设备扫码无法接入？ A：排查步骤： 登录设备，查看设备是否显示在线。 若设备不在线，请准备一台PC设备接入交换机中，设置IP地址于同一网段，然后，ping一下行业视频管理服务（原好望云服务） 域名 （device.holosens.huawei.com）。 若ping域名未成功，请检查网络连接是否有问题。 若ping域名成功可检查设备系统时间是否正确，设备证书等配置是否变更过，如有异常修复异常后重新接入即可。 若未排查出异常可提供设备日志找设备维护人员分析，提供设备ID找行业视频管理服务（原好望云服务）运维工程师分析。 父主题： 【个人版】

Q：实况/录像播放一直在缓冲中是什么原因？ A：最常见问题为设备侧设置为主码流，APP当前默认为子码流。 （ 好望设备请流会带码流参数，默认请求标清，设备侧如果只打开主码流，APP上实况就会一直在缓冲中，无法实况，国标设备APP不支持切换码流，标清还是高清由设备侧设置决定，APP页面显示的都是标清。） 后面的摄像机版本会改成如果收到标清流请求，如果未打开就会自动去打开，解决这个问题，当前需要修改摄像机视频流配置中，“码流类别”中将“主码流”修改为“主码流，子码流1”（如下图所示），修改保存后重新连接实况。 另外实况无法出图还有许多其他原因，如果在缓冲中失败的，多为设备推流异常导致，需要拿到设备侧日志交给技术人员分析。 父主题： 【个人版】

Q：SDC硬件支持目标、周界，APP上为什么无法配置使用？ A：当前SDC版本不支持。 SDC8.1.1支持过线、热度图、人群密度、排队长队配置。暂不支持目标、周界和告警布防，设备侧在8.2.0版本才做的上报手机APP。 版本节奏： 8.2.0版本支持：越线检测、入侵检测、徘徊检测、区域进入检测、区域离开检测、快速移动检测、过线计数、排队长度、人群密度、口罩告警、目标识别、快速移动、移动侦测、三方算法。 9.0.0版本新增：电瓶车、离岗检测、遗留物品、移走物品。 父主题： 【个人版】

Q：同一设备通道实况可以支撑多少人同时在线观看？ A：行业视频管理服务（原好望云服务）未做限制，如最多支持分享了100个用户，那么100个用户也可以同时观看，前提是云端资源未消耗完；有一定连接数为P2P连接，不占云端带宽，超过一定连接数之后实况通过行业视频管理服务（原好望云服务）转发消耗行业视频管理服务（原好望云服务）带宽。 P2P支持路数说明： SDC建立总连接数与SDC型号相关，最少的款型只支持四路视频流连接，假设该SDC支持4路视频流，一路连接到NVR，一路连接到监控屏，那么P2P连接到APP就只支持2路，再多的连接就通过行业视频管理服务（原好望云服务）转发。 NVR与APP P2P 支持的路数限制为通道数*2，超过的走行业视频管理服务（原好望云服务）转发。 父主题： 【个人版】

Q：国标设备添加以后一直显示“未注册”状态是怎么回事，是由哪些原因导致的？ A: “未注册”状态是国标设备未接入到行业视频管理服务（原好望云服务）。 处理步骤： 检查设备所在的网络是否能访问sip服务网关。 检查设备portal页面配置是否按照接入指导正确配置。 断网重启下设备，接入网络后重新按照指导进行正确配置。 如果还有问题可以从以下几个地方进行修改排查。 确认关闭了媒体流保护活开关：因为设备支持但是目前行业视频管理服务（原好望云服务）还不支持。 确认关闭了H.265协议：因为目前只支持H.264协议。 修改心跳到20：默认60，可能导致心跳过长一直离线。 如果是M系列设备，如下图，首先确认配置参数是否正确；端口号是否有勾选，如有取消勾选。 父主题： 【企业版】

安装专业版节点 在“节点管理”的节点列表选择您需要安装的节点，单击右侧“安装”，获得提示。 图5 安装 选择支持架构和安装目录，然后单击复制安装命令，使用SSH工具以root用户登录边缘节点服务器后台系统，执行安装命令。 图6 提示 安装命令的选择需要与购买的ecs的架构保持一致。 图7 执行安装 图8 安装命令执行成功 单击“我知道了”，等待边缘节点的状态变为“在线”，表示该节点已安装并连接成功。 您可以单击“节点名称”，查看该节点详细信息，关于节点详情描述可参见节点概览。

高危操作清单 表1 高危操作一览表 危险操作 操作影响 关闭服务 关闭服务后会立即清理该通道下正在使用或者已经存储的相关数据资源，详细说明如下： 管理服务：该通道所有媒体相关服务，如实况播放，录像回放等。 收录服务：停止该通道云端录像计划，删除已存储的云端录像文件。 行业数据流服务：停止该通道行业数据流数据存储及转发能力，删除已存储的行业数据流数据。 删除设备 删除设备后，会自动关闭该设备下所有通道开通的服务，同时将该设备从设备列表（含持有人及被分享人）中删除。 解散企业 解散企业后会将该企业下所有设备进行删除。 用户注销 用户注销后，会将该用户下所有用户数据进行清除，包含个人信息，个人所拥有设备信息，个人与企业权限关系等。 若用户属于某企业，用户注销只会删除用户与企业的权限关系，不影响企业下设备的正常使用。 解绑设备 用户可以选择登录设备页面后进行设备与云服务解绑。 解绑后，该设备在云服务开通的服务会关闭，用户绑定关系会进行删除，该设备可以重新进行添加绑定。 删除aksk 企业开发者删除aksk后，原有企业凭证申请的所有AccessToken均会失效。 申请AccessToken 单个aksk只维护最新两个AccessToken的有效性，申请新的AccessToken会自动覆盖较早AccessToken有效性。 父主题： 参考

收货地址解析 从文本中解析出收货人信息，如姓名、联系电话、具体地址、邮编号码等具体信息。 输入参数 用户配置收货地址解析执行动作，相关参数说明如表2所示。 表2 收货地址解析输入参数说明 参数 必填 说明 示例值/默认值 待解析文本 是 输入需要解析的文本内容。 马云13800138000杭州市滨江区网商路699号。 输出参数 用户可以在之后的执行动作中调用该输出参数，输出参数说明请参考表3。 表3 收货地址解析输出参数说明 参数 说明 示例值/默认值 移动电话号码 收货人电话号码。 13800138000 收货人姓名 收货人姓名。 马云 省/特区/自治区/直辖市 该地址所在的省。 浙江省 城市 该地址所在的城市。 杭州市 县区 该地址所在位置的县区。 滨江区 邮编 邮编（文本中优先否则默认区县级）。 310052 完整地址 收货具体地址。 浙江省杭州市滨江区网商路699号

更多操作 连接创建完成后，您可以执行如表3的操作。 表3 相关操作 操作 说明 查看连接信息 在连接列表中，单击连接名称。可以查看连接的基本信息、关联的流，也可以对关联的流进行操作。 查看连接所属连接器信息 在连接列表中，单击连接器名称。可以查看连接器详情、连接器关联的流模板。 编辑连接 在连接列表中，单击“操作”列的“编辑”。 说明： 修改连接后，正在使用该连接的流将在下一次运行时自动使用最新的连接，请确保该连接的正确性。 复制连接 在连接列表中，单击“操作”列的“复制”。 删除连接 在连接列表中，单击“操作”列的“删除”。 说明： 在执行删除操作前，请确保将云服务器上的数据已完成备份或者迁移，删除数据后，数据无法找回，请谨慎操作。 如果该连接正在被使用时，系统会自动提示“该连接正在被使用，请先删除正在使用的资源”，单击当前正在使用的引用资源的名称，进入资源界面进行处理，处理完毕后在进行删除。 查询连接 在连接列表右上方，搜索框中输入连接名称，单击。 控制列隐藏或显示 在连接列表右上方，单击，勾选需要显示的列，或去勾选不需要显示的列。 刷新连接列表 在连接列表右上方，单击。 筛选连接列表 在连接列表中，通过对“类型”“状态”列进行筛选。

Astro轻应用 Astro轻应用是华为云为行业客户、合作用户、开发者量身打造的一款零代码和低代码应用开发平台，通过Astro轻应用 AstroZero提供的界面、逻辑、对象等可视化编排工具，以“拖、拉、拽”的方式来快速构建应用，从而实现所见即所得的快速应用开发和构建。 Astro轻应用是开天 集成工作台 （MSSI）集成的Astro轻应用（AstroZero）服务，关于Astro轻应用的详细介绍文档请参考Astro轻应用 AstroZero。

API生命周期 API生命周期包括API的创建、发布、下线和删除所经历的完整生命周期过程，为您提供高性能、高可用、高安全的API托管服务，能快速将企业服务能力包装成标准 API服务 ，帮助您轻松构建、管理和部署任意规模的API，并上架API市场进行售卖。借助API网关，可以简单、快速、低成本、低风险地实现内部系统集成、业务能力开放及业务能力变现。API网关帮助您变现服务能力的同时，降低企业研发投入，让您专注于企业核心业务，提升运营效率。 API生命周期是开天集成工作台（MSSI）集成API网关（APIG）服务的“共享版”能力，关于API生命周期的详细介绍文档请参考API网关（APIG）服务的“共享版”能力。

管理调度任务 调度任务按照调度任务列表和已结束任务列表两个页面进行展示。 调度任务列表：调度任务列表中的任务是“正常调度中”或者“暂停调度”的周期执行任务。 在任务调度页面，单击“调度任务列表”页签，进入调度任务列表页面。 您可以通过任务状态、调度类型、或者在搜索框中通过任务ID、任务名称进行条件筛选，查看任务信息。 图3 搜索任务 您还可以对调度任务进行以下的操作管理。 查看任务详情：在已完成任务列表操作栏单击“查看详情”，查看本次调度“任务信息”。 图4 任务详情 对于“正常调度中”的任务，可以通过单击“立即触发一次调度”，触发立即调度指令。任务执行成功后，可以在“调度执行记录”页签下查看本次调度执行详情。 在分组列表中查看执行日志及分组详情，还可以查看、修改、复制、删除SQL语句等。 图5 管理SQL 查看调度执行记录：在已完成任务列表操作栏单击“查看调度执行记录”，查看任务执行详情及日志。 查看日志：在已完成任务列表操作栏单击“查看日志”，查看日志详情。 终止任务：在已完成任务列表操作栏，单击“终止”，被终止的任务将从“任务调度”列表移到“已结束任务”列表。 暂停任务：在已完成任务列表操作栏，单击“暂停调度”，该任务状态将从“正常调度中”变为“暂停调度”，可通过单击“恢复调度”回到正常调度状态。 已结束任务：已结束任务列表中的任务是“已终止”的周期执行任务或“已结束”的立即执行和定时执行任务。 在任务调度页面，单击“已结束任务”页签，进入已结束任务列表页面。 您可通过任务状态、调度类型、或者在搜索框中通过任务ID及任务名称进行条件筛选，查看任务信息。 图6 查看任务信息 您还可以对调度任务进行以下的操作管理。 查看任务详情：在已完成任务列表操作栏单击“查看详情”，查看本次调度“任务信息”。 对于已结束的定时和立即执行任务，可以通过单击“立即触发一次调度”，触发立即调度指令。任务执行成功后，可以在“调度执行记录”页签下查看本次调度执行详情。 在分组列表中查看执行日志及分组详情，还可以查看、修改、复制、删除SQL语句等。 查看调度执行记录：在已完成任务列表操作栏单击“查看调度执行记录”，查看任务执行详情，分组执行情况、SQL内容及分组日志等信息。 查看日志：在已完成任务列表操作栏单击“查看日志”，查看日志详情。 删除任务：在已完成任务列表操作栏，单击“删除任务”，将从数据库中清除该任务信息。

方案概述 云上用户经常会遇到多云或者跨Region采集Kubernetes日志场景，典型场景有两种，分别是： 场景一：将互联网数据中心（Internet Data Center，以下简称IDC）或者第三方云厂商的日志采集到华为云LTS。 图1 第三方云厂商日志采集 场景二：将华为云RegionA的日志采集到华为云RegionB的LTS。 图2 跨Region日志采集 对于场景一和场景二，您需要先打通网络，再安装ICAgent，最后按照日志接入向导即可以将日志采集到LTS。 ICAgent：ICAgent是华为 云日志 服务的日志采集器，通过在主机上安装ICAgent，您可以将日志采集到LTS。 安装ICAgent前，请确保本地浏览器的时间、时区与主机的时间、时区一致。 网络互通： 场景一：自建IDC或者第三方云厂商与华为云之间网络互通的典型方式是云专线DC，如果没有专线，您可以尝试VPN/公网IP方式。 场景二：华为云不同Region之间网络互通典型的方式是云连接CC/云专线DC，您也可以使用VPN/公网IP方式。 跳板机 安装在自建IDC/第三方云厂商/跨华为云Region的ICAgent无法直接访问华为云管理面上报日志的网段，需要配置跳板机进行数据转发；当您在进行POC测试，或者日志流量并不大的情况下，可以使用跳板机的方案。对于大流量的日志场景，如果您希望在生产环境中去掉跳板机，请提交工单给华为云网络技术支持工程师帮您设计网络直通的方案。 典型的跳板机配置是2vCPUs | 4GB，每台跳板机可以支持约30MB/s的流量转发，您可以根据自身的日志流量配置合理数量的跳板机，多台跳板机前面配置ELB进行流量分发。 本文将详细介绍将阿里云主机日志采集到华为云云日志服务（LTS）的操作步骤，客户自建IDC和华为云上跨region采集日志的操作方式与采集阿里云主机日志的方式类似。 以下将阿里云-华北二北京局点的日志采集到华为云华东-上海一局点的LTS服务，云主机的操作系统为Linux环境。

配置日志接入 Kubernetes集群在一个节点上安装成功即可，不需要所有节点重复操作。 请提前获取AK/SK，请参考获取华为账号的AK/SK。 配置跳板机。 在弹性云服务器管理控制台找到已创建的机器，获取私有IP。 图8 获取私有IP 在 云日志服务LTS （LTS）控制台，选择“主机管理”，单击“安装ICAgent”，进入安装ICAgent详情页面。按下图配置，填入ECS私有IP，生成安装口令并复制。 图9 安装ICAgent 登录跳板机ECS，执行上一步的命令并根据提示输入节点密码，若无报错，表示安装成功。 图10 执行生成的安装命令 如上图所示， 在文本框中输入跳板机的公网ip，关闭历史命里记录，复制命令并在跳板机ecs上执行，根据提示输入当前账号的AK、SK，当显示“ICAgent install success”时，表示安装成功。 配置日志接入规则。具体操作请参考自建K8s应用日志接入LTS。

LTS权限 默认情况下，管理员创建的 IAM 用户没有任何权限，您需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对LTS进行操作。 LTS部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问LTS时，需要先切换至授权区域。 权限根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。 如表1所示，包括了LTS的所有系统权限。 表1 LTS系统权限 策略名称 描述 策略类别 依赖关系 LTS FullAccess 云日志服务的所有权限，拥有该权限的用户可以操作并使用LTS。 系统策略 CCE Administrator、OBS Administrator、 AOM FullAccess、FunctionGraph FullAccess LTS ReadOnlyAccess 云日志服务的只读权限，拥有该权限的用户仅能查看LTS数据。 系统策略 CCE Administrator、OBS Administrator、AOM FullAccess LTS Administrator 云日志服务的管理员权限。 系统角色 Tenant Guest、Tenant Administrator 表2列出了LTS常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表2 常用操作与系统权限 操作 LTS FullAccess LTS ReadOnlyAccess LTS Administrator 查询日志组 √ √ √ 创建日志组 √ × √ 修改日志组 √ × √ 删除日志组 √ × √ 查询日志流 √ √ √ 创建日志流 √ × √ 修改日志流 √ × √ 删除日志流 √ × √ 配置主机日志接入 √ × √ 查询仪表盘 √ √ √ 创建仪表盘 √ × √ 修改仪表盘 √ × √ 删除仪表盘 √ × √ 查询结构化配置 √ √ √ 配置结构化 √ × √ 开启快速分析 √ × √ 关闭快速分析 √ × √ 配置分词 √ × √ 查询过滤器 √ √ √ 禁用过滤器 √ × √ 启用过滤器 √ × √ 删除过滤器 √ × √ 查询告警规则 √ √ √ 创建告警规则 √ × √ 修改告警规则 √ × √ 删除告警规则 √ × √ 查看日志转储 √ √ √ 添加日志转储 √ × √ 修改日志转储 √ × √ 删除日志转储 √ × √ 开启周期性转储 √ × √ 暂停周期性转储 √ × √ 安装ICAgent √ × √ 升级ICAgent √ × √ 卸载ICAgent √ × √ 使用自定义细粒度策略，请使用管理员用户进入 统一身份认证 （IAM）服务，按需选择云日志服务的细粒度权限进行授权操作。 云日志服务细粒度权限依赖说明请参见表3。 表3 云日志服务细粒度权限依赖说明 权限名称 权限描述 权限依赖 lts:agents:list 查询Agent列表 无 lts:buckets:get 查询指定桶 无 lts:groups:put 修改指定日志组 无 lts:transfers:create 创建日志转储 obs:bucket:PutBucketAcl obs:bucket:GetBucketAcl obs:bucket:GetEncryptionConfiguration obs:bucket:HeadBucket dis:streams:list dis:streamPolicies:list lts:groups:get 查询指定日志组 无 lts:transfers:put 修改日志转储 obs:bucket:PutBucketAcl obs:bucket:GetBucketAcl obs:bucket:GetEncryptionConfiguration obs:bucket:HeadBucket dis:streams:list dis:streamPolicies:list lts:resourceTags:delete 删除资源标签 无 lts:ecsOsLogPaths:list 查询指定镜像的系统日志路径 无 lts:structConfig:create 创建LTS结构化配置 无 lts:agentsConf:get 查询指定Agent配置 无 lts:logIndex:list 查询日志索引列表 无 lts:transfers:delete 删除日志转储 无 lts:regex:create 提取结构化字段 无 lts:subscriptions:delete 删除指定订阅 无 lts:overviewLogsLast:list 查询用户的最近日志 无 lts:logIndex:get 查询指定日志索引 无 lts:sqlalarmrules:create 添加告警相关 无 lts:agentsConf:create 创建Agent配置 无 lts:sqlalarmrules:get 查询告警相关 无 lts:datasources:batchdelete 批量删除datasource 无 lts:structConfig:put 修改LTS结构化配置 无 lts:groups:list 查询日志组列表 无 lts:sqlalarmrules:delete 删除告警相关 无 lts:transfers:action 启停日志转储 无 lts:datasources:post 创建datasource 无 lts:topics:create 创建日志主题 无 lts:resourceTags:get 查询资源标签 无 lts:filters:put 修改日志过滤器 无 lts:logs:list 查询日志列表 无 lts:subscriptions:create 创建订阅 无 lts:filtersAction:put 启停日志过滤器 无 lts:overviewLogsTopTopic:get 查询日志量最大的主题的数据指标 无 lts:datasources:put 修改datasource 无 lts:structConfig:delete 删除LTS结构化配置 无 lts:logIndex:delete 删除指定日志索引 无 lts:filters:get 查询指定日志过滤器 无 lts:topics:delete 删除指定日志主题 无 lts:agentSupportedOsLogPaths:list 查询Agent支持的操作系统日志的路径 无 lts:topics:put 修改指定日志主题 无 lts:agentHeartbeat:post 上传agent心跳 无 lts:logsByName:upload 根据日志组和日志主题的名字上传日志 无 lts:buckets:list 查询桶列表 无 lts:logIndex:post 创建日志索引 无 lts:logContext:list 查询日志上下文 无 lts:groups:delete 删除指定日志组 无 lts:filters:delete 删除日志过滤器 无 lts:resourceTags:put 更新资源标签 无 lts:structConfig:get 查询LTS结构化配置 无 lts:overviewLogTotal:get 查询当前用户的日志总量 无 lts:subscriptions:put 修改指定订阅 无 lts:subscriptions:list 查询订阅器列表 无 lts:datasources:delete 删除指定datasource 无 lts:transfersStatus:get 查询日志转储状态 无 lts:logIndex:put 修改指定日志索引 无 lts:sqlalarmrules:put 修改告警相关 无 lts:logs:upload 上传日志 无 lts:agentDetails:list 查询agent诊断日志 无 lts:agentsConf:put 修改Agent配置 无 lts:logstreams:list 筛选日志流资源 无 lts:subscriptions:get 查询指定订阅 无 lts:disStreams:list 查询DIS通道 无 lts:groupTopics:put 创建日志组和日志主题 无 lts:resourceInstance:list 查询资源实例 无 lts:transfers:list 查询日志转储列表 无 lts:topics:get 查询指定日志主题 无 lts:agentsConf:delete 删除指定Agent配置 无 lts:agentEcs:list 查询ECS列表 无 lts:indiceLogs:list 搜索日志 无 lts:topics:list 查询日志主题列表 无

企业项目授权后仍报权限不足的说明 IAM项目(Project)/企业项目(Enterprise Project)：自定义策略的授权范围，包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目，表示此授权项对应的自定义策略，可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目，不支持企业项目，表示仅能在IAM中给用户组授权并生效，如果在企业管理中授权，则该自定义策略不生效。关于IAM项目与企业项目的区别，详情请参见：IAM和企业管理的区别。 LTS当前仅日志组、日志流、仪表盘资源接口支持企业项目方式授权，其他资源的接口仅支持IAM项目方式授权，因此针对仅支持IAM项目方式授权时需注意： 授权时选择“IAM项目视图”。 图1 IAM项目视图 选择授权范围时，建议根据最小化授权原则，选择“指定区域项目资源”，具体请根据实际业务情况选择授权范围。

权限说明 如果您需要对华为云上购买的LTS资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制LTS资源的访问。 通过IAM，您可以在华为账号中给员工创建IAM用户，并使用策略来控制其对LTS资源的访问范围。例如您的员工中有负责软件开发的人员，您希望员工拥有LTS的使用权限，但是不希望员工拥有删除服务发现规则等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用服务发现规则，但是不允许删除服务发现规则的权限策略，控制其对服务发现规则资源的使用范围。 如果华为账号已经能满足您的使用需求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用LTS的其它功能。 IAM是华为云提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。关于IAM的详细介绍，请参见IAM产品介绍。

使用场景 以最基础的数据库用户名及密码管理为示例，为您介绍凭据管理服务基本的使用场景。 使用场景：管理员角色负责存入、更新凭据值的操作，使用者通过第三方应用服务获取所需的凭据值，具体使用流程如图 凭据登录流程所示。 图1 凭据登录流程 流程说明如下： 您首先需要在凭据管理服务中使用控制台或者API创建一个凭据，用来存储数据库的相关信息（例如：数据库地址、端口、密码）。 当您使用应用程序访问数据库时，凭据管理服务会去查询管理员通过步骤1所创建的凭据内存储的内容。 凭据管理服务检索并解密凭据密文，将凭据中保存的信息通过凭据管理API安全地返回到应用程序中。 应用程序获取到解密后的凭据明文信息，使用这些安全的信息访问数据库。 父主题： 凭据管理

DEW权限 默认情况下，KMS管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 DEW部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如华北-北京1）对应的项目（cn-north-1）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问DEW时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对DEW服务，KMS管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分，权限的最小粒度为API授权项（action）。DEW支持的API授权项请参见DEW权限及授权项。 如表 KMS系统策略所示，包括了DEW的所有系统权限。 表1 KMS系统策略 系统角色/策略名称 描述 类别 依赖关系 KMS Administrator 密钥管理服务(KMS)管理员，拥有该服务下的所有权限。 系统角色 无 KMS CMKFullAccess 密钥管理服务(KMS)的加密密钥所有权限。拥有该权限的用户可以完成基于策略授权的所有操作。 系统策略 无 KMS CMKReadOnlyAccess 密钥管理服务(KMS)的加密密钥只读权限。拥有该权限的用户可以完成基于策略授权的所有操作。 系统策略 无 表2 KPS系统策略 系统角色/策略名称 描述 类别 依赖关系 DEW KeypairFullAccess 数据加密 服务中密钥对管理服务(KPS)的所有权限。拥有该权限的用户可以完成基于策略授权的所有操作。 系统策略 无 DEW KeypairReadOnlyAccess 数据加密服务中密钥对管理服务(KPS)的查看权限。拥有该权限的用户仅能查看密钥对管理服务(KPS)数据。 系统策略 无 表3 C SMS 系统策略 系统角色/策略名称 描述 类别 依赖关系 CSMS FullAccess 数据加密服务中凭据管理服务(CSMS)的所有权限。拥有该权限的用户可以完成基于策略授权的所有操作。 系统策略 无 CSMS ReadOnlyAccess 数据加密服务中凭据管理服务(CSMS)的只读权限。拥有该权限的用户可以完成基于策略授权的所有操作。 系统策略 无 DEW KeypairFullAccess、DEW KeypairReadOnlyAccess策略用于进行企业项目授权时，对个人用户授权后无法生效。 如果个人用户需使用企业项目授权，需将个人用户加入用户组，对用户组整体进行授权后，该个人用户才能正常使用企业项目。 表4列出了DEW常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表4 常用操作与KMS系统权限的关系 操作 KMS Administrator KMS CMKFullAccess 创建密钥 √ √ 启用密钥 √ √ 禁用密钥 √ √ 计划删除密钥 √ √ 取消计划删除密钥 √ √ 修改密钥别名 √ √ 修改密钥描述 √ √ 创建随机数 √ √ 创建数据密钥 √ √ 创建不含明文数据密钥 √ √ 加密数据密钥 √ √ 解密数据密钥 √ √ 获取密钥导入参数 √ √ 导入密钥材料 √ √ 删除密钥材料 √ √ 创建授权 √ √ 撤销授权 √ √ 退役授权 √ √ 查询授权列表 √ √ 查询可退役授权列表 √ √ 加密数据 √ √ 解密数据 √ √ 签名消息 √ √ 验证签名 √ √ 开启密钥轮换 √ √ 修改密钥轮换周期 √ √ 关闭密钥轮换 √ √ 查询密钥轮换状态 √ √ 查询密钥实例 √ √ 查询密钥标签 √ √ 查询项目标签 √ √ 批量添加删除密钥标签 √ √ 添加密钥标签 √ √ 删除密钥标签 √ √ 查询密钥列表 √ √ 查询密钥信息 √ √ 查询公钥信息 √ √ 查询实例数 √ √ 查询配额 √ √ 查询密钥对列表 x x 创建或导入密钥对 x x 查询密钥对 x x 删除密钥对 x x 更新密钥对描述 x x 绑定密钥对 x x 解绑密钥对 x x 查询绑定任务信息 x x 查询失败的任务 x x 删除所有失败的任务 x x 删除失败的任务 x x 查询正在处理的任务 x x

版本说明 专属加密提供标准版、铂金版（国内）专属加密实例，具体服务内容如表1所示。 带*条目根据不同型号设备略有不同，请联系客服进行确认。 表1 专属加密 功能 服务内容 标准版-虚拟共享 铂金版（国内）-单用户独占 独享芯片加密 用户独享云端密码芯片资源，实现用户密钥硬件隔离的同时保障业务性能 支持 支持 全业务支持 支持金融支付、身份认证、数字签名等应用安全，满足各种重要系统对于数据安全性的严苛要求 支持 支持 弹性扩展 可根据您的业务需要弹性的增加和缩减密码运算资源 支持 支持 高可靠 后端硬件设备可以HA双机（主-备）部署，实现高可靠（需订购2个实例实现） 支持 支持 兼容性 提供与实体密码设备相同的功能与接口，方便向云端迁移，具体支持： PKCS#11接口，CSP接口，JCE接口，GM/T 0018-2012 SDF接口等 支持 支持 机框、电源独占 用户独享硬件加密机机框、电源资源 不支持 支持 网络独占 用户独享硬件加密机网络带宽、接口资源 不支持 支持 FIPS 140-2认证 采用符合 FIPS 140-2 第 3 级标准的 HSM 上生成和使用加密密钥 不支持 不支持 通用算法 对称算法 AES AES 非对称算法 RSA（1024，4096）* RSA（1024，4096）* 摘要算法 SHA1、SHA256、SHA384 SHA1、SHA256、SHA384 国密算法 对称算法 SM1、SM4、SM7 * SM1、SM4、SM7 * 非对称算法 SM2 SM2 摘要算法 SM3 SM3 通用算法性能 RSA2048验签运算性能 3,500 TPS 40,000 TPS RSA2048签名运算性能 400 TPS 4,000 TPS 国密算法性能 SM1加密运算性能 600 TPS 15,000 TPS SM2签名运算性能 3,000 TPS 80,000 TPS SM2验签运算性能 2,000 TPS 15,000 TPS SM4加密运算性能 4000~35000Tps* 35000~40000Tps* SM4解密运算性能 4000~30000Tps* 35000~40000Tps* SM7算法性能 1000Tps* 1000Tps* 数据通讯 TCP/IP 最大并发连接 64 2,048 父主题： 专属加密

数据加密服务 数据是企业的核心资产，每个企业都有自己的核心敏感数据。这些数据都需要被加密，从而保护它们不会被他人窃取。 数据加密服务（Data Encryption Workshop, DEW）是一个综合的云上数据加密服务。它提供密钥管理（KMS）、凭据管理（CSMS）、密钥对管理（KPS）、专属加密(DHSM）、密码系统服务（CPCS）五个微服务，安全可靠的为您解决数据安全、密钥安全、密钥管理复杂等问题。其密钥由硬件安全模块（Hardware Security Module，HSM） 保护，并与多个华为云服务集成。您也可以借此服务开发自己的加密应用。 表1 服务介绍 名称 定义 更多信息 密钥管理服务 （Key Management Service, KMS） 密钥管理是一种安全、可靠、简单易用的密钥托管服务，帮助您轻松创建和管理密钥，保护密钥的安全。 KMS通过使用硬件安全模块（Hardware Security Module，HSM）保护密钥安全，HSM模块满足FIPS 140-2 Level 3安全要求。帮助用户轻松创建和管理密钥，所有的用户密钥都由HSM中的根密钥保护，避免密钥泄露。 密钥概述 云凭据管理服务 （Cloud Secret Management Service，CSMS） 凭据管理是一种安全、可靠、简单易用的凭据托管服务。 用户或应用程序通过凭据管理服务，创建、检索、更新、删除凭据，轻松实现对敏感凭据的全生命周期和统一管理，有效避免程序硬编码或明文配置等问题导致的敏感信息泄密以及权限失控带来的业务风险。 创建凭据 密钥对管理服务 （Key Pair Service, KPS） 密钥对管理是一种安全、可靠、简单易用的SSH密钥对托管服务，帮助用户集中管理SSH密钥对，保护SSH密钥对的安全。 KPS是利用HSM产生的硬件真随机数来生成密钥对，并提供了一套完善和可靠的密钥对的管理方案，帮助用户轻松创建、导入和管理SSH密钥对。生成的SSH密钥对的公钥文件均保存在KPS中，私钥文件由用户自己下载保存在本地，从而保障了SSH密钥对的私有性和安全性。 创建密钥对 专属加密 （Dedicated Hardware Security Module，Dedicated HSM） 专属加密是一种云上数据加密的服务，可处理加解密、签名、验签、产生密钥和密钥安全存储等操作。 Dedicated HSM为您提供经国家密码管理局检测认证的加密硬件，帮助您保护弹性云服务器上数据的安全性和完整性，满足监管合规要求。同时，用户能够对专属加密实例生成的密钥进行安全可靠的管理，也能使用多种加密算法来对数据进行可靠的加解密运算。 专属加密 密码系统服务 （Cloud Platform Cryptosystem Service，CPCS） 云平台密码系统服务，提供专属的密码服务以及服务集群化部署能力。具备密码服务集群的全生命周期管理的能力，包括自动化部署与释放、集群弹性伸缩、集群调用的应用级隔离等，同时提供简单的应用管理、物理环境信息以及管理制度导入功能，并对各类能力进行集中监控、配置等，帮助租户快速通过密评。 -

前提条件 已接入服务实例，具体操作请参考注册Native Service。 已在需要调用原生服务的应用中，添加待调用的原生服务。添加后，在该应用的服务编排中，才可以调用Native服务。 “Internal dependencies”为内部依赖文件夹，导入的BO服务或者Native服务，在打包上层应用时也会随应用打包发布出去。 “External dependencies”为外部依赖文件夹，导入的BO服务或者Native服务，在打包上层应用时不会打包出去。 图1 应用中添加原生服务 若AstroZero开启了根证书校验，请先上传原生服务的根证书，再调用原生服务。关于根证书的更多内容，请参考开启根证书校验。

IAM的优势 对华为云的资源进行精细访问控制 您注册华为云后，系统自动创建账号，账号是资源的归属以及使用计费的主体，对其所拥有的资源具有完全控制权限，可以访问华为云所有的云服务。 如果您在华为云购买了多种资源，例如弹性云服务器、云硬盘、裸金属服务器等，您的团队或应用程序需要使用您在华为云中的资源，您可以使用IAM的用户管理功能，给员工或应用程序创建IAM用户，并授予IAM用户刚好能完成工作所需的权限，新创建的IAM用户可以使用自己单独的用户名和密码登录华为云。IAM用户的作用是多用户协同操作同一账号时，避免分享账号的密码。 除了IAM外，还有企业管理服务同样可以进行资源权限管理，相对于IAM，企业管理对资源的控制粒度更为精细，同时还支持企业项目费用的管理，建议结合企业需求选择IAM或是企业管理进行资源权限管理，关于两者的详细区别，请参见：IAM与企业管理的区别。