华为云用户手册

  • 根因分析方法 “智能洞察”根因分析方法是一种基于调用链下钻的根因分析方法,分为离线训练和在线推理两个阶段: 离线训练阶段:在用户开通“智能洞察”功能后,后台会自动开启基于调用链的根因分析模型的离线训练任务,并自动获取应用接口发生调用时产生的调用链数据,然后根据应用近7天的调用链数据来训练调用链模型。默认每14天后台自动更新模型,并将模型保存在后台数据库中。 在线推理阶段:当用户点击事件卡片,进入到根因分析页面时,会触发根因分析模型的在线推理任务,在线推理任务会基于上一步离线训练完的调用链模型与事件发生期间的异常调用进行模式对比,分析事件根因,进行快速定位。
  • 更多操作 脚本创建完成后,您可以在脚本列表页面查看脚本的名称、版本号、创建时间等信息,还可执行表3中的操作。 表3 相关操作 操作 说明 管理脚本的版本信息 单击“操作”列的“版本管理”,进入“版本管理”界面,可查看、修改脚本的版本信息,并根据需要执行脚本。 复制并新建脚本 在“版本管理”界面对已上线或已下线状态的脚本可单击操作列的“复制并新建”,复制原有脚本内容进行创建脚本。 管理未上线脚本 在“版本管理”界面对未上线过的脚本可单击操作列的“上线”、“编辑”或“删除”,对脚本进行上线、编辑或删除操作。一个脚本有且只有一个上线版本。下线的版本关联的任务将不能再次执行,待版本重新上线后,恢复执行功能。
  • 执行脚本 脚本上线完成后,您可以在脚本列表页面执行脚本任务。执行脚本依赖uniAgent的能力,用户需要确保执行脚本的E CS 实例已经安装uniAgent且为运行中状态。 在左侧导航栏中选择“脚本管理”,在脚本管理页面,单击脚本列表待执行脚本所在行操作列的“执行”。 输入脚本参数、超时时长、执行账号,也可以勾选“敏感参数”,勾选后脚本参数框对输入的内容不直接显示。 图3 脚本参数 选择“目标实例”。 单击“添加资源”,弹出选择实例页面。 实例类型默认为“ECS”。选择方式默认采用“手动选择”方式,选择方式的详细说明请参见表2。 图4 添加实例 表2 选择方式说明 选择方式 说明 手动选择 输入搜索条件,在实例列表中通过搜索条件来选取实例,默认按照名称搜索。 过滤条件 输入过滤属性和对应的过滤值,指定过滤条件来选择实例。 支持设置多个过滤条件,搜索时多个过滤属性之间为“与”的关系。 该方式对未来新增的实例也生效。 标签 设置标签键和对应的标签值,指定一个或多个标签来选取实例。 选择多个标签时,按照“与”的关系搜索。 该方式对未来新增的实例也生效。 从CMDB中选择 输入搜索条件或关键字,从CMDB服务中选取实例。当前节点类型支持两种选择方式,静态IP和动态节点。 静态IP:可选中指定CMDB应用下的ECS实例。 动态节点:选择CMDB应用中的节点,从而动态获取节点下的ECS实例。该方式对节点下未来新增的实例也生效。 选择完成后单击“确定”。 单击“立即执行”进入任务执行界面,查看任务执行情况。 也可单击“保存”,将创建好的任务展现在任务管理页面,方面后续对任务进行执行或其他操作。
  • 创建脚本 登录 AOM 2.0控制台。 在左侧导航栏单击“自动化运维(日落)”,即可进入“自动化运维”界面。 在左侧导航栏中选择“脚本管理”,单击右上角的“创建脚本”。 设置脚本信息,具体的参数说明请参见表1。 图1 创建脚本信息 表1 脚本信息说明 参数类型 参数名称 说明 - 脚本名称 脚本的名称。最多可输入64个字符,只能由大小写字母、数字、下划线和中文字符组成。 版本号 脚本的版本信息,请按照实际输入。 企业项目 选择所属的企业项目。 脚本描述 脚本的描述信息,最多可输入1000个字符。 版本内容 手工输入命令行,目前支持执行Shell、Python、Bat、Powershell语言的脚本,脚本大小最大支持输入30000字节。若Python脚本中存在中文字符,需要在python脚本头部增加如下编码说明,否则可能造成无法解析脚本导致任务执行失败: # -*- coding: UTF-8 -*- 说明: Shell与Python语言的脚本仅支持在Linux主机执行。 Bat与Powershell语言的脚本仅支持在Windows主机执行。 Uniagent读取脚本标准输出的内容写入日志,python的print()输出有缓存,可能无法实时刷新到标准输出,导致python脚本的执行日志无法实时刷新,为了实时输出python的日志,有以下三种方法可供参考: 使用sys.stdout.flush()打印输出。 使用sys.stderr.write()打印输出。 使用print(message.flush=True)打印输出。 填写完成后,单击“校验高危命令”。校验高危命令为正则校验,校验不通过可能会导致风险。高危命令的详细说明请参见表1。 执行策略 分批发布 选择是否开启分批发布开关,默认不打开。 每批发布 开启分批发布后需填写每批发布数量。 每批间隔 开启分批发布后需填写每批发布的时间间隔。 审批配置 人工审核 选择是否开启人工审核开关,默认不打开。 审批配置不允许更改,如需更改,需在工具市场中对该原子服务卡片进行审批配置。 审批人设置 开启人工审核后,需要选择审批人。 通过选择“主题”的方式配置审批人,您需要在 消息通知 服务中,创建一个新主题,并为这个主题添加订阅。 单击“保存”完成创建。
  • 创建关闭ECS实例任务 登录AOM 2.0控制台。 在左侧导航栏单击“自动化运维(日落)”,即可进入“自动化运维”界面。 在左侧导航栏中选择“服务场景”,在服务场景页面单击“关闭ECS实例”卡片,或单击卡片右上角的选择“创建任务”,进入创建关闭ECS实例任务页面。 填写基本信息,具体的参数说明请参见表1。 图1 创建关闭ECS实例任务 表1 关闭ECS实例 参数名称 说明 任务名称 自定义任务名称。 最多可输入64个字符,只能由大小写字母、数字、下划线、中划线以及中文字符组成。默认勾选“自动命名”,系统将自动生成任务名称。 企业项目 选择所属的企业项目。 关机类型 选择关机类型,默认为SOFT。 SOFT:普通关机 HARD:强制关机 选择实例。 单击“添加资源”,弹出选择实例页面。单个任务最多支持选择100个实例。 实例类型默认为“ECS”。选择方式默认采用“手动选择”方式,选择方式的详细说明请参见表2。 图2 选择实例 表2 选择方式说明 选择方式 说明 手动选择 输入搜索条件,在实例列表中通过搜索条件来选取实例,默认按照名称搜索。 过滤条件 输入过滤属性和对应的过滤值,指定过滤条件来选择实例。 支持设置多个过滤条件,搜索时多个过滤属性之间为“与”的关系。 该方式对未来新增的实例也生效。 标签 设置标签键和对应的标签值,指定一个或多个标签来选取实例。 选择多个标签时,按照“与”的关系搜索。 该方式对未来新增的实例也生效。 从CMDB中选择 输入搜索条件或关键字,从CMDB服务中选取实例。当前节点类型支持两种选择方式,静态IP和动态节点。 静态IP:可选中指定CMDB应用下的ECS实例。 动态节点:选择CMDB应用中的节点,从而动态获取节点下的ECS实例。该方式对节点下未来新增的实例也生效。 如需设置审批配置、执行策略,可展开“更多设置”进行配置,配置参数如表3。 表3 更多设置 参数类别 参数名称 说明 审批配置 人工审核 选择是否开启人工审核开关,默认不打开。 审批配置不允许更改,如需更改,需在工具市场中对该原子服务卡片进行审批配置。 审批人设置 开启人工审核后,需要选择审批人。 通过选择“主题”的方式配置审批人,您需要在消息通知服务中,创建一个新主题,并为这个主题添加订阅。 执行策略 分批发布 选择是否开启分批发布开关,默认不打开。 每批发布 开启分批发布后需填写每批发布数量。 每批间隔 开启分批发布后需填写每批发布的时间间隔。 单击“立即执行”进入任务执行界面,查看任务执行情况。 也可单击“保存”,将创建好的任务展现在任务管理页面,方面后续对任务进行执行或其他操作。
  • 创建重启CCE工作负载任务 登录AOM 2.0控制台。 在左侧导航栏单击“自动化运维(日落)”,即可进入“自动化运维”界面。 在左侧导航栏中选择“服务场景”,在服务场景页面单击“重启CCE工作负载”卡片,或单击卡片右上角的选择“创建任务”,进入创建重启CCE工作负载任务页面。 填写基本信息,具体的参数说明请参见表1。 图1 重启CCE工作负载 表1 重启CCE工作负载 参数名称 说明 任务名称 自定义任务名称。 最多可输入64个字符,只能由大小写字母、数字、下划线、中划线以及中文字符组成。默认勾选“自动命名”,系统将自动生成任务名称。 企业项目 选择所属的企业项目。 重启超时 CCE工作负载任务重启超时时间,输入值必须在10-600之间。 选择实例。 单击“添加资源”,弹出选择实例页面。单任务一次最多重启10个负载实例。 实例类型默认为“CCE”。选择方式默认采用“手动选择”方式,选择方式的详细说明请参见表2。 图2 重启CCE工作负载选择实例 表2 选择方式说明 选择方式 说明 手动选择 输入搜索条件,在实例列表中通过搜索条件来选取实例,默认按照名称搜索。 过滤条件 选择负载类型、集群名称、命名空间的方式来选择实例,该方式对未来新增的实例也生效。 从CMDB中选择 输入搜索条件或关键字,从CMDB服务中选取实例。当前节点类型支持两种选择方式,静态IP和动态节点。 静态IP:可选中指定CMDB应用下的CCE实例。 动态节点:选择CMDB应用中的节点,从而动态获取节点下的CCE实例。该方式对节点下未来新增的实例也生效。 如需设置审批配置、执行策略,可展开“更多设置”进行配置,配置参数如表3。 表3 更多设置 参数类别 参数名称 说明 审批配置 人工审核 选择是否开启人工审核开关,默认不打开。 审批配置不允许更改,如需更改,需在工具市场中对该原子服务卡片进行审批配置。 审批人设置 开启人工审核后,需要选择审批人。 通过选择“主题”的方式配置审批人,您需要在消息通知服务中,创建一个新主题,并为这个主题添加订阅。 执行策略 分批发布 选择是否开启分批发布开关,默认不打开。 每批发布 开启分批发布后需填写每批发布数量。 每批间隔 开启分批发布后需填写每批发布的时间间隔。 单击“立即执行”进入任务执行界面,查看任务执行情况。 也可单击“保存”,将创建好的任务展现在任务管理页面,方面后续对任务进行执行或其他操作。
  • 创建启动ECS实例任务 登录AOM 2.0控制台。 在左侧导航栏单击“自动化运维(日落)”,即可进入“自动化运维”界面。 在左侧导航栏中选择“服务场景”,在服务场景页面单击“启动ECS实例”卡片,或单击卡片右上角的选择“创建任务”,进入创建启动ECS实例任务页面。 填写基本信息,具体的参数说明请参见表1。 图1 创建启动ECS实例任务 表1 创建ECS任务 参数名称 说明 任务名称 自定义任务名称。 最多可输入64个字符,只能由大小写字母、数字、下划线、中划线以及中文字符组成。默认勾选“自动命名”,系统将自动生成任务名称。 企业项目 选择所属的企业项目。 选择实例。 单击“添加资源”,弹出选择实例页面。单个任务最多支持选择100个实例。 实例类型默认为“ECS”。选择方式默认采用“手动选择”方式,选择方式的详细说明请参见表2。 图2 选择实例 表2 选择方式说明 选择方式 说明 手动选择 输入搜索条件,在实例列表中通过搜索条件来选取实例,默认按照名称搜索。 过滤条件 输入过滤属性和对应的过滤值,指定过滤条件来选择实例。 支持设置多个过滤条件,搜索时多个过滤属性之间为“与”的关系。 该方式对未来新增的实例也生效。 标签 设置标签键和对应的标签值,指定一个或多个标签来选取实例。 选择多个标签时,按照“与”的关系搜索。 该方式对未来新增的实例也生效。 从CMDB中选择 输入搜索条件或关键字,从CMDB服务中选取实例。当前节点类型支持两种选择方式,静态IP和动态节点。 静态IP:可选中指定CMDB应用下的ECS实例。 动态节点:选择CMDB应用中的节点,从而动态获取节点下的ECS实例。该方式对节点下未来新增的实例也生效。 如需设置审批配置、执行策略,可展开“更多设置”进行配置,配置参数如表3。 表3 更多设置 参数类别 参数名称 说明 审批配置 人工审核 选择是否开启人工审核开关,默认不打开。 审批配置不允许更改,如需更改,需在工具市场中对该原子服务卡片进行审批配置。 审批人设置 开启人工审核后,需要选择审批人。 通过选择“主题”的方式配置审批人,您需要在消息通知服务中,创建一个新主题,并为这个主题添加订阅。 执行策略 分批发布 选择是否开启分批发布开关,默认不打开。 每批发布 开启分批发布后需填写每批发布数量。 每批间隔 开启分批发布后需填写每批发布的时间间隔。 单击“立即执行”进入任务执行界面,查看任务执行情况。 也可单击“保存”,将创建好的任务展现在任务管理页面,方面后续对任务进行执行或其他操作。
  • 创建重启RDS实例任务 登录AOM 2.0控制台。 在左侧导航栏单击“自动化运维(日落)”,即可进入“自动化运维”界面。 在左侧导航栏中选择“服务场景”,在服务场景页面单击“重启RDS实例”,或单击卡片右上角的选择“创建任务”,进入创建重启RDS实例任务页面。 填写基本信息,具体的参数说明请参见表1。 图1 重启RDS实例 表1 重启RDS实例任务 参数名称 说明 任务名称 自定义任务名称。 最多可输入64个字符,只能由大小写字母、数字、下划线、中划线以及中文字符组成。默认勾选“自动命名”,系统将自动生成任务名称。 企业项目 选择所属的企业项目。 选择实例。 单击“添加资源”,弹出选择实例页面。单任务一次最多重启20个实例。 实例类型默认为“RDS”。选择方式默认采用“手动选择”方式,选择方式的详细说明请参见表2。 图2 选择实例 表2 选择方式说明 选择方式 说明 手动选择 输入搜索条件,在实例列表中通过搜索条件来选取实例,默认按照名称搜索。 过滤条件 输入过滤属性和对应的过滤值,指定过滤条件来选择实例。 支持设置多个过滤条件,搜索时多个过滤属性之间为“与”的关系。 该方式对未来新增的实例也生效。 标签 设置标签键和对应的标签值,指定一个或多个标签来选取实例。 选择多个标签时,按照“与”的关系搜索。 该方式对未来新增的实例也生效。 从CMDB中选择 输入搜索条件或关键字,从CMDB服务中选取实例。当前节点类型支持两种选择方式,静态IP和动态节点。 静态IP:可选中指定CMDB应用下的RDS实例。 动态节点:选择CMDB应用中的节点,从而动态获取节点下的RDS实例。该方式对节点下未来新增的实例也生效。 如需设置审批配置、执行策略,可展开“更多设置”进行配置,配置参数如表3。 表3 更多设置 参数类别 参数名称 说明 审批配置 人工审核 选择是否开启人工审核开关,默认不打开。 审批配置不允许更改,如需更改,需在工具市场中对该原子服务卡片进行审批配置。 审批人设置 开启人工审核后,需要选择审批人。 通过选择“主题”的方式配置审批人,您需要在消息通知服务中,创建一个新主题,并为这个主题添加订阅。 执行策略 分批发布 选择是否开启分批发布开关,默认不打开。 每批发布 开启分批发布后需填写每批发布数量。 每批间隔 开启分批发布后需填写每批发布的时间间隔。 单击“立即执行”进入任务执行界面,查看任务执行情况。 也可单击“保存”,将创建好的任务展现在任务管理页面,方面后续对任务进行执行或其他操作。
  • 创建修改ECS非管理员密码任务 登录AOM 2.0控制台。 在左侧导航栏单击“自动化运维(日落)”,即可进入“自动化运维”界面。 在左侧导航栏中选择“服务场景”,在服务场景页面单击“修改ECS非管理员密码”卡片,或单击卡片右上角的选择“创建任务”,进入创建修改ECS非管理员密码任务页面。 填写基本信息,具体的参数说明请参见表1。 图1 创建修改ECS非管理员密码任务 表1 修改ECS非管理员密码基本信息 参数名称 说明 任务名称 自定义任务名称。 最多可输入64个字符,只能由大小写字母、数字、下划线、中划线以及中文字符组成。默认勾选“自动命名”,系统将自动生成任务名称。 企业项目 选择所属的企业项目。 用户名 非管理员用户名。 最多可输入64个字符,只能由大小写字母、数字、下划线组成。 可以单击,从参数库中选择。 新密码 非管理员用户的新密码。 长度范围8到26个字符。 只能包含大小写字母、数字和特殊字符,且至少包含这4种类型中的3种。 不能包含用户名或用户名的逆序。 可以单击,从参数库中选择。 确认密码 非管理员用户的新密码。 与新密码保持一致。 长度范围8到26个字符。 只能包含大小写字母、数字和特殊字符,且至少包含这4种类型中的3种。 不能包含用户名或用户名的逆序。 可以单击,从参数库中选择。 选择实例。 单击“添加资源”,弹出选择实例页面。单个任务最多支持选择100个实例。 实例类型默认为“ECS”。选择方式默认采用“手动选择”方式,选择方式的详细说明请参见表2。 图2 选择实例 表2 选择方式说明 选择方式 说明 手动选择 输入搜索条件,在实例列表中通过搜索条件来选取实例,默认按照名称搜索。 过滤条件 输入过滤属性和对应的过滤值,指定过滤条件来选择实例。 支持设置多个过滤条件,搜索时多个过滤属性之间为“与”的关系。 该方式对未来新增的实例也生效。 标签 设置标签键和对应的标签值,指定一个或多个标签来选取实例。 选择多个标签时,按照“与”的关系搜索。 该方式对未来新增的实例也生效。 从CMDB中选择 输入搜索条件或关键字,从CMDB服务中选取实例。当前节点类型支持两种选择方式,静态IP和动态节点。 静态IP:可选中指定CMDB应用下的ECS实例。 动态节点:选择CMDB应用中的节点,从而动态获取节点下的ECS实例。该方式对节点下未来新增的实例也生效。 如需设置审批配置、执行策略,可展开“更多设置”进行配置,配置参数如表3。 表3 更多设置 参数类别 参数名称 说明 审批配置 人工审核 选择是否开启人工审核开关,默认不打开。 审批配置不允许更改,如需更改,需在工具市场中对该原子服务卡片进行审批配置。 审批人设置 开启人工审核后,需要选择审批人。 通过选择“主题”的方式配置审批人,您需要在消息通知服务中,创建一个新主题,并为这个主题添加订阅。 执行策略 分批发布 选择是否开启分批发布开关,默认不打开。 每批发布 开启分批发布后需填写每批发布数量。 每批间隔 开启分批发布后需填写每批发布的时间间隔。 单击“立即执行”进入任务执行界面,查看任务执行情况。 也可单击“保存”,将创建好的任务展现在任务管理页面,方面后续对任务进行执行或其他操作。
  • 更多操作 文件包创建完成后,您可以在文件管理列表单击对应的文件名称进入该文件的详情页面,查看文件包的基本信息、状态、定时运维引用的任务数、标准化运维引用的任务数和版本列表,还可执行表3中的操作。 表3 相关操作 操作 说明 新建版本 单击右上角的“新建版本”,进行创建。 编辑文件包基本信息 单击右上角的“编辑”,进入编辑页面进行修改。 文件包安装/文件包卸载 单击版本列表操作列的“文件包安装”或“文件包卸载”,可以对文件包指导版本进行安装或卸载。 复制并新建文件包版本 单击版本列表操作列的“复制并新建”,复制原有版本内容进行创建文件包版本。 上线 单击版本列表操作列的“上线”,对应版本文件包上线。 编辑 单击版本列表操作列的“编辑”,编辑文件包的版本号、文件来源以及平台等信息。 删除 单击版本列表操作列的“删除”,删除对应版本的文件包。
  • 执行安装/卸载任务 文件包创建完成后,您可以在文件列表页面对文件执行安装或卸载任务。执行脚本依赖uniAgent的能力,用户需要确保执行脚本的ECS实例已经安装uniAgent且为运行中状态。 在左侧导航栏中选择“文件管理”,在文件管理页面,单击文件列表待执行任务的文件所在行操作列的“安装”或“卸载”。 进入文件包安装或文件包卸载页面,选择“执行账号”,指定执行任务的OS账号。 选择“目标实例”。 单击“添加资源”,弹出选择实例页面。 实例类型默认为“ECS”。选择方式默认采用“手动选择”方式,选择方式的详细说明请参见表2。 图2 添加实例 表2 选择方式说明 选择方式 说明 手动选择 输入搜索条件,在实例列表中通过搜索条件来选取实例,默认按照名称搜索。 过滤条件 输入过滤属性和对应的过滤值,指定过滤条件来选择实例。 支持设置多个过滤条件,搜索时多个过滤属性之间为“与”的关系。 该方式对未来新增的实例也生效。 标签 设置标签键和对应的标签值,指定一个或多个标签来选取实例。 选择多个标签时,按照“与”的关系搜索。 该方式对未来新增的实例也生效。 从CMDB中选择 输入搜索条件或关键字,从CMDB服务中选取实例。当前节点类型支持两种选择方式,静态IP和动态节点。 静态IP:可选中指定CMDB应用下的ECS实例。 动态节点:选择CMDB应用中的节点,从而动态获取节点下的ECS实例。该方式对节点下未来新增的实例也生效。 选择完成后单击“确定”。 单击“立即执行”进入任务执行界面,查看任务执行情况。 也可单击“保存”,将创建好的任务展现在任务管理页面,方面后续对任务进行执行或其他操作。
  • AOM控制台功能依赖的角色或策略 如果 IAM 用户需要在AOM控制台拥有相应功能的查看或使用权限,请确认已经对该用户所在的用户组设置了AOM FullAccess或AOM ReadOnlyAccess策略的集群权限,再按如下表7增加依赖服务的角色或策略。 用户首次开通AOM服务,AOM会为其创建服务委托,用户除需授权AOM FullAccess外,还需要授予Security Administrator。 表7 AOM控制台依赖服务的角色或策略 控制台功能 依赖服务 需配置角色/策略 工作负载 集群监控 Prometheus for CCE 云容器引擎 CCE 如果使用Prometheus for CCE、工作负载监控和集群监控,需要设置CCE FullAccess权限。 数据订阅 分布式消息服务Kafka版 如果使用数据订阅功能,需要设置DMS ReadOnlyAccess权限。
  • 细粒度权限说明 使用自定义细粒度策略,请使用管理员用户进入 统一身份认证 (IAM)服务,按需选择AOM的细粒度权限进行授权操作。AOM细粒度权限说明请参见表6。 表6 AOM细粒度权限说明 权限名称 权限描述 权限依赖 应用场景 cms:workflow:create 创建任务 ecs:cloudServers:list ecs:cloudServers:listServerInterfaces rds:instance:list 创建任务 cms:workflow:update 更新任务 functiongraph:function:create functiongraph:function:updateCode 更新任务 cms:workflow:list 获取任务列表 无 查询任务列表 cms:execution:get 获取任务执行信息 查询执行详情 cms:execution:create 执行任务 functiongraph:function:create functiongraph:function:invoke functiongraph:function:list 执行任务,如执行脚本,作业,安装和卸载文件包等 cms:template:get 获取模板信息 无 查询模板详情,查询作业执行方案详情 cms:template:list 获取模板列表 查询作业执行方案列表,查询可用于创建任务的模板列表 cms:script:get 查询脚本信息 查询脚本详情 cms:script:list 查询脚本列表 查询脚本列表 cms:job:list 查询作业列表 查询作业列表 aom:cmdbApplication:get 获取应用详情 无 根据应用ID获取应用详情、根据应用名称获取应用详情 aom:cmdbApplication:update 修改应用 修改应用 aom:cmdbApplication:delete 删除应用 删除应用 aom:cmdbApplication:get 获取应用详情 获取应用详情 aom:cmdbComponent:get 查询组件详情 根据组件ID查询组件详情、根据组件名称查询组件详情 aom:cmdbComponent:create 新增组件 新增组件 aom:cmdbComponent:update 更新组件 更新组件 aom:cmdbComponent:delete 删除组件 删除组件 aom:cmdbComponent:move 转移组件 转移组件 aom:cmdbComponent:list 查询组件列表 查询组件列表 aom:cmdbEnvironment:create 创建环境 创建环境 aom:cmdbEnvironment:update 修改环境 修改环境 aom:cmdbEnvironment:get 获取环境详情 根据环境ID获取环境详情、根据环境名称Region和组件ID获取环境详情 aom:cmdbEnvironment:delete 删除环境 删除环境 aom:cmdbSubApplication:get 查询子应用详情 查询子应用详情 aom:cmdbSubApplication:update 修改子应用 修改子应用 aom:cmdbSubApplication:move 转移子应用 转移子应用 aom:cmdbSubApplication:delete 删除子应用 删除子应用 aom:cmdbSubApplication:create 创建子应用 创建子应用 aom:cmdbSubApplication:list 查询子应用列表 查询子应用列表 aom:cmdbResources:unbind 解绑资源 解绑资源 aom:cmdbResources:bind 绑定资源 绑定资源 aom:cmdbResources:move 转移资源 转移资源 aom:cmdbResources:get 查询资源详情 查询资源详情 aom:alarm:put 上报告警 无 上报自定义告警 aom:event2AlarmRule:create 新增一条事件类告警规则 新增一条事件类告警规则 aom:event2AlarmRule:set 更新事件类告警规则 更新事件类告警规则 aom:event2AlarmRule:delete 删除事件类告警规则 删除事件类告警规则 aom:event2AlarmRule:list 查询全部事件类告警规则 查询全部事件类告警规则 aom:actionRule:create 新增告警行动规则 新增告警行动规则 aom:actionRule:delete 删除告警行动规则 删除告警行动规则 aom:actionRule:list 获取告警行动规则列表 获取告警行动规则列表 aom:actionRule:update 修改告警行动规则 修改告警行动规则 aom:actionRule:get 通过规则名称获取告警行动规则 通过规则名称获取告警行动规则 aom:alarm:list 获取告警发送结果 获取告警发送结果 aom:alarmRule:create 创建阈值规则 创建阈值规则 aom:alarmRule:set 修改阈值规则 修改阈值规则 aom:alarmRule:get 查询阈值规则 根据ID查询单个阈值规则或者查询所有阈值规则 aom:alarmRule:delete 删除阈值规则 批量删除阈值规则或者根据ID删除单个阈值规则 aom:discoveryRule:list 查看应用发现规则 查询系统中已有应用发现规则 aom:discoveryRule:delete 删除应用发现规则 删除应用发现规则 aom:discoveryRule:set 添加应用发现规则 添加应用发现规则 aom:metric:list 查询时间序列 查询时间序列 aom:metric:list 查询时序数据 查询时序数据 aom:metric:get 查询指标 查询指标 aom:metric:get 查询监控数据 查询监控数据 aom:muteRule:delete 删除静默规则 无 删除静默规则 aom:muteRule:create 新增静默规则 新增静默规则 aom:muteRule:update 修改静默规则 修改静默规则 aom:muteRule:list 获取静默规则列表 获取静默规则列表
  • 自动化运维常用操作与系统权限 表4列出了自动化运维常用操作与系统权限的授权关系,您可以参照该表选择合适的系统权限。 表4 自动化运维常用操作与系统权限的关系 操作 CMS FullAccess CMS ReadOnlyAccess 创建脚本 √ x 编辑脚本 √ x 复制并新建脚本 √ x 编辑版本 √ x 查看脚本下的版本 √ √ 创建文件包 √ x 查看文件包 √ √ 编辑文件包 √ x 查看文件包版本列表 √ √ 修改文件包版本 √ x 删除文件包 √ x 创建任务 √ x 编辑任务 √ x 删除任务 √ x 查看任务列表 √ √ 查看任务详情 √ √ 执行任务 √ x
  • 采集管理常用操作与系统权限 表5列出了采集管理常用操作与系统权限的授权关系,您可以参照该表选择合适的系统权限。 表5 采集管理常用操作与系统权限的关系 操作 AOM FullAccess AOM ReadOnlyAccess 查询代理区域 √ √ 编辑代理区域 √ x 删除代理区域 √ x 新建代理区域 √ x 查询某代理区域内所有的代理机 √ √ 查询全部代理区域 √ √ 安装Agent结果详情 √ √ 获取对应主机的安装命令 √ √ 获取对应主机的心跳及和server的连接状况 √ √ 批量卸载运行中的Agent √ x 查询Agent首页 √ √ 测试安装机和目标机的连通性 √ x 批量导入安装Agent √ x 获取Agent最近一次操作的执行日志相关信息 √ √ 获取Agent安装时可选择的版本列表 √ √ 获取当前项目ID下所有Agent版本号列表 √ √ 删除多条Agent主机 √ x 根据ecs_id查询Agent信息 √ √ 删除单条Agent主机 √ x 设置安装机 √ x 重置安装机参数 √ x 查询当前登录用户的项目能够被设置成安装机的列表 √ √ 查询Agent安装机列表 √ √ 删除安装机 √ x 批量升级Agent √ x 查询历史任务详情日志 √ √ 查询历史任务详情 √ √ 查询全部历史任务 √ √ 获取所有种类的执行状态和任务类型 √ √ 获取历史任务详情里Agent的执行状态种类 √ √ 编辑代理机 √ x 删除Agent代理主机 √ x 设置代理主机 √ x 查询当前用户能够被设置成代理机的列表 √ √ 批量更新插件 √ x 批量卸载插件 √ x 批量安装插件 √ x 查询插件历史任务详情日志 √ √ 查询插件执行历史记录的分页列表 √ √ 根据任务id,查询插件执行记录详情的分页列表 √ √ 获取历史任务详情里插件的执行状态的种类 √ √ 获取全部插件列表 √ √ 查询插件对应的版本号 √ √ 查询当前支持的插件列表 √ √ 获取租户下CCE集群信息列表 √ √ 获取租户下某个CCE集群下的Agent信息列表 √ √ 给租户下某个CCE集群安装ICAgent √ x 给租户下某个CCE集群升级ICAgent √ x 给租户下某个CCE集群卸载ICAgent √ x 获取CCE集群列表 √ √ 获取ICAgent机器列表 √ √ CCE集群机器安装ICAgent √ x CCE集群机器升级ICAgent √ x CCE集群机器卸载ICAgent √ x
  • 资源监控常用操作与系统权限 表3列出了资源监控常用操作与系统权限的授权关系,您可以参照该表选择合适的系统权限。 表3 资源监控常用操作与系统权限的关系 操作 AOM FullAccess AOM ReadOnlyAccess 创建告警规则 √ x 修改告警规则 √ x 删除告警规则 √ x 创建告警模板 √ x 修改告警模板 √ x 删除告警模板 √ x 创建告警行动规则 √ x 修改告警行动规则 √ x 删除告警行动规则 √ x 创建消息模板 √ x 修改消息模板 √ x 删除消息模板 √ x 创建分组规则 √ x 修改分组规则 √ x 删除分组规则 √ x 创建抑制规则 √ x 修改抑制规则 √ x 删除抑制规则 √ x 创建静默规则 √ x 修改静默规则 √ x 删除静默规则 √ x 创建仪表盘 √ x 修改仪表盘 √ x 删除仪表盘 √ x 创建Prometheus实例 √ x 修改Prometheus实例 √ x 删除Prometheus实例 √ x 创建应用发现规则 √ x 修改应用发现规则 √ x 删除应用发现规则 √ x 订阅阈值告警 √ x 配置虚机日志采集路径 √ x
  • 应用资源管理常用操作与系统权限 表2列出了应用资源管理常用操作与系统权限的授权关系,您可以参照该表选择合适的系统权限。 表2 应用资源管理常用操作与系统权限的关系 操作 AOM FullAccess AOM ReadOnlyAccess 查询应用详情 √ √ 查询子应用详情 √ √ 查询组件详情 √ √ 查询环境详情 √ √ 查询环境标签 √ √ 查询资源详情 √ √ 新建应用 √ x 更新应用 √ x 删除应用 √ x 新建子应用 √ x 更新子应用 √ x 删除子应用 √ x 转移子应用 √ x 新建组件 √ x 更新组件 √ x 删除组件 √ x 转移组件 √ x 新建环境 √ x 更新环境 √ x 删除环境 √ x 创建环境标签 √ x 更新环境标签 √ x 删除环境标签 √ x 导入资源 √ x 更新资源 √ x 删除资源 √ x 转移资源 √ x 资源同步 √ x 绑定资源 √ x 解绑资源 √ x 开通资源授权 √ x 取消资源授权 √ x 获取应用列表 √ √ 获取子应用列表 √ √ 获取组件列表 √ √ 获取应用下标签列表 √ √ 获取资源列表 √ √ 查询节点拓扑关系 √ √ 查询操作记录 √ √
  • AOM权限 默认情况下,管理员创建的IAM用户没有任何权限,您需要将其加入用户组,并给用户组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对AOM进行操作。 AOM部署时通过物理区域划分,为项目级服务。授权时,“作用范围”需要选择“区域级项目”,然后在指定区域对应的项目中设置相关权限,并且该权限仅对此项目生效;如果在“所有项目”中设置权限,则该权限在所有区域项目中都生效。访问AOM时,需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系,因此给用户授予角色时,可能需要一并授予依赖的其他角色,才能正确完成业务。角色并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对ECS服务,管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分,AOM支持的API授权项请参见策略和授权项说明。 如表1所示,包括了AOM的所有系统权限。 表1 AOM系统权限 子服务名称 策略名称 描述 类别 依赖系统权限 应用资源管理/监控中心/采集管理 AOM FullAccess AOM2.0管理员权限,拥有该权限的用户可以操作并使用AOM。 系统策略 CCE FullAccess、DMS ReadOnlyAccess AOM ReadOnlyAccess AOM2.0只读权限,拥有该权限的用户仅能查看AOM数据。 系统策略 CCE ReadOnlyAccess、DMS ReadOnlyAccess 自动化运维 CMS FullAccess 自动化运维管理员权限,拥有该权限的用户可以操作并使用自动化运维。 系统策略 - CMS ReadOnlyAccess 自动化运维只读权限,拥有该权限的用户仅能查看自动化运维数据。 系统策略
  • ICAgent安装类常见问题 ICAgent安装机和目标机器网络不通,报错提示“[warn] ssh connect failed, 1.2.1.2:22”如何解决? 答:安装之前先在安装页面单击连接测试,选择网络能通的安装机。 ICAgent安装成功后,后续的心跳和注册都失败,代理机网络不通,如何解决? 答:在目标机器上执行“telnet 代理机ip”,检查代理机和目标机器间的网络连通性。 安装ICAgent时需要开放8149、8102、8923、30200、30201和80端口,安装完成后80端口是否可以关闭? 答:80端口仅用做k8s软件包拉取,ICAgent安装完成后即可关闭。 在K8S集群中安装ICAgent,当K8S集群版本升级后是否会对原本安装的ICAgent有影响? 答:升级k8s集群版本后系统会重启ICAgent,并将ICAgent的版本升级到最新。 父主题: 采集管理
  • ICAgent和UniAgent是同一个插件吗? ICAgent属于插件,UniAgent不属于插件,二者不是同一个含义。 UniAgent:UniAgent的全称是统一数据采集Agent,主要是作为云服务运维系统的底座,为AOM提供指令下发,如脚本下发和执行,用于插件集成(ICAgent、 CES 、telescope等)并维护其状态。UniAgent对外功能主要是为AOM服务提供中间件指标采集和自定义指标采集的能力,为COC和CAST服务提供作业通道。 UniAgent本身不提供数据采集能力,运维数据由不同的插件分工采集。 ICAgent:ICAgent插件主要是作为AOM和LTS的采集端,用于指标采集和日志采集。 图1 ICAgent和UniAgent概述图 父主题: 采集管理
  • 如何将Prometheus数据接入到AOM? 将Prometheus数据接入到AOM。具体的操作步骤如下: 创建Prometheus实例。 根据需要参考对应的创建操作,具体请参见: Prometheus实例 for ECS Prometheus实例 for CCE Prometheus实例 for Remote Write 将原生Prometheus的指标通过Remote Write地址上报到AOM服务端。具体请参见 将Prometheus的数据上报到AOM。 父主题: Prometheus监控
  • 步骤二:查看规则评估结果 在“规则”页签下的列表中,单击上一步骤添加的合规规则的规则名称。 进入规则详情的“基本信息”页。 左侧的评估结果列表默认展示合规评估结果为“不合规”的资源,您可以在列表上方的筛选框中通过合规评估结果、资源名称或资源ID对评估结果进行筛选检索,还支持导出全部评估结果数据。 此合规规则的评估结果列表中展示的不合规资源,为超过90天未登录过管理控制台的IAM用户,您可以根据合规评估结果对这些闲置IAM用户进行处理。
  • 准备工作 如果您已有一个华为账号,请忽略此步骤。如果您还没有华为账号,请参考以下步骤创建。 打开华为云官网,单击“注册”。 根据提示信息完成注册,详细操作请参见“ 注册华为账号 并开通华为云”。 注册成功后,系统会自动跳转至您的个人信息界面。 参考个人账号如何完成实名认证或企业账号如何完成实名认证,完成个人或企业账号实名认证。 为账号充值。 配置审计 服务本身为免费服务,但使用资源记录器时资源转储OBS桶和消息通知 SMN 主题至少需要配置一个,因此资源记录器使用的消息通知服务(SMN)或 对象存储服务 (OBS)可能会产生相应的费用,具体请参见SMN计费说明和OBS计费说明。 您需要确保账号有足够的余额,避免因账号余额不足或欠费导致资源记录器的相关功能无法使用,从而影响Config的其他功能也无法使用。如何充值请参见账户充值。 开启并配置资源记录器。 添加、修改、启用合规规则和触发规则评估需要开启资源记录器,资源记录器处于关闭状态时,合规规则仅支持查看、停用和删除操作。且仅被资源记录器收集的资源可参与资源评估,为保证资源合规规则的评估结果符合预期,建议您配置资源记录器时选择监控全部资源。
  • 相关信息 当您完成添加合规规则、查看规则评估结果等基本操作后,您还可以结合业务情况使用以下功能,满足不同资源合规审计场景的需求。 自定义合规规则:当Config提供的系统内置预设策略不能满足检测资源合规性的需求时,您可以通过编写FunctionGraph函数代码,添加自定义策略来完成复杂场景的资源审计。 组织合规规则:在使用资源合规时,如果您是组织管理员或Config服务的委托管理员,您可以添加组织类型的资源合规规则,直接作用于您组织内的成员账号中。 合规规则修正配置:当您通过系统预设策略或自定义策略创建合规规则后,您可以为合规规则创建修正配置,按照您自定义的修正逻辑对规则检测出的不合规资源进行快速修正。 合规规则包:合规规则包是合规规则的集合,通过使用合规规则包可以批量部署多条合规规则,并统一查看合规性数据。
  • 步骤一:添加合规规则 如下步骤仅针对示例进行参数设置和介绍,其他参数的详细说明请参见添加预定义合规规则。 登录管理控制台。 单击页面左上角的图标,在弹出的服务列表中,选择“管理与监管”下的“配置审计 Config”。 单击左侧导航栏的“资源合规”,进入“资源合规”页面。 在“规则”页签下单击“添加规则”。 进入“基础配置”页面,选择预设策略“IAM用户在指定时间内有登录行为”,单击“下一步”。 进入“规则参数”页面,根据如下说明配置完成后,单击“下一步”。 参数 示例 说明 周期频率 24小时 设置合规规则周期执行的频率。 系统将按照您设定的频率,周期性的触发此规则的评估任务。 可选项:1小时、3小时、6小时、12小时、24小时。 指定资源范围 全部 指定待评估资源所在的区域。 合规规则将仅评估您指定区域下的相关资源。 规则参数 90 指定IAM用户未登录的天数,默认值为90。 若IAM用户在指定时间内没有登录行为,视为“不合规”。 进入“确认规则”页面,确认规则信息无误后,单击“提交”按钮。 合规规则创建后会立即自动触发首次评估。
  • 操作场景 资源合规特性帮助您快速创建一组合规规则,用于评估您的资源是否满足合规要求。您可以选择Config提供的系统内置预设策略或自定义策略,并指定需要评估的资源范围来创建一个合规规则;合规规则创建后,有多种机制触发规则评估,然后查看合规规则的评估结果来了解资源的合规情况。 本章节以添加预设策略“IAM用户在指定时间内有登录行为”为例,用于及时发现账号下不活跃的IAM用户,减少闲置用户或降低密码泄露的风险,提升账号安全。
  • 约束与限制 每个账号最多可以添加500个合规规则。 添加、修改、启用合规规则和触发规则评估需要开启资源记录器,资源记录器处于关闭状态时,合规规则仅支持查看、停用和删除操作。 仅被资源记录器收集的资源可参与资源评估,为保证资源合规规则的评估结果符合预期,强烈建议您保持资源记录器的开启状态,不同场景的说明如下: 如您未开启资源记录器,则资源合规规则无法评估任何资源数据。历史的合规规则评估结果依然存在。 如您已开启资源记录器,但仅在资源记录器监控范围内勾选部分资源,则资源合规规则仅会评估所选择的资源数据。 关于如何开启并配置资源记录器请参见:配置资源记录器。
  • 操作场景 当Config提供的系统内置预设策略不能满足检测资源合规性的需求时,您可以通过编写FunctionGraph函数代码,添加自定义策略来完成复杂场景的资源审计。 自定义策略是一个用户开发并发布在 函数工作流 (FunctionGraph)上的函数。将合规规则和函数相关联,函数接收Config发布的事件,从事件中接收到规则参数和Config服务收集到的资源属性;函数评估该规则下资源的合规性并通过Config的OpenAPI回传Config服务合规评估结果。合规规则的事件发送因触发类型为配置变更或周期执行而异。要了解如何使用FunctionGraph函数以及如何开发它们,请参阅《FunctionGraph用户指南》。 本章节指导您如何通过自定义策略来添加资源合规规则,主要包含如下步骤: 创建FunctionGraph函数; 添加自定义合规规则。
  • 开启并配置资源记录器 开启并配置资源记录器的资源转储和主题功能后,当对接服务上报Config的资源变更(被创建、修改、删除等)、资源关系变更时,您均可收到通知,同时还可对您的资源变更消息和资源快照进行定期存储。 登录管理控制台。 单击页面左上角的图标,在弹出的服务列表中,选择“管理与监管”下的“配置审计 Config”,进入“资源清单”页面。 单击左侧导航栏的“资源记录器”,进入“资源记录器”页面。 打开资源记录器开关,在弹出的确认框中单击“确定”,资源记录器开启成功。 图1 开启资源记录器 选择资源的监控范围。 默认情况下,资源记录器的监控范围会覆盖当前Config支持的全部资源。您可以根据需要修改资源记录器的监控范围,选择指定的资源类型进行监控。 资源记录器默认收集Config服务的所有资源数据,不支持取消勾选的操作。 图2 选择监控范围 配置资源转储。 选择OBS桶,用于存储资源变更消息及资源快照。 如果您先配置了SMN主题,则也可以不配置资源转储(OBS桶)。 配置当前账号下OBS桶: 选择“您账号的桶”,然后在下拉列表中选择您账号下的OBS桶,用于存储资源变更消息及资源快照。如果您需要将资源变更消息及资源快照存储在OBS桶内的某个文件夹下,则在选择OBS桶后,还需输入“桶前缀”,该前缀指OBS桶内某个文件夹的名称。如您的账号下无OBS桶,则需先创建OBS桶,详见创建桶。 配置其他账号下OBS桶: 选择“另一账号的桶”,并输入区域ID和桶名称,如果您需要将资源变更消息及资源快照存储在OBS桶内的某个文件夹下,则还需输入“桶前缀”,该前缀指OBS桶内某个文件夹的名称。需先使用其他账号对当前账号授予相关OBS桶的权限,具体操作请参见跨账号授权。 开启资源记录器时,如果指定了当前账号或其他账号下的OBS桶,Config会向目标OBS桶中写入一个名为ConfigWritabilityCheckFile的空文件,此文件仅用于验证资源转储是否能够成功写入OBS桶。当界面出现报错信息时,如何处理请参见为什么开启并配置资源记录器后,将数据转储至当前账号或其他账号的OBS桶时报错?。 图3 配置资源转储 配置数据保留周期。 资源记录器收集到的资源配置信息数据默认保留7年(2557天),您可以将配置信息数据设置自定义保留周期,自定义数据保留周期的可设置范围为最短30天,最长7年(2557天)。 虽然Config使用SMN和OBS发送资源变更消息通知和存储资源变更消息及资源快照,但Config自身也会保存资源的历史变更信息。此处配置的数据保留时间仅针对于Config,不会对SMN和OBS存储的数据产生影响。 当您配置数据保留周期后,Config会在指定周期内保留您的资源历史数据,超出指定周期的数据将会被删除。 如果您后续对数据保留周期进行了修改,此时新生成的资源数据将按照您新设置的保留周期进行存储,历史资源数据还将按照之前设置的数据保留周期进行存储。例如您先将数据保留周期设置为100天,此时生成的资源数据将保留100天,后续又将数据保留周期修改为30天,此时新生成的资源数据将保留30天,但修改数据保留周期之前生成的资源数据还是会保留100天。 图4 配置数据保留周期 (可选)开启并配置消息通知(SMN)主题。 打开主题开关,选择主题所在区域和主题名,用于接收资源变更时产生的消息通知。 配置当前账号下消息通知主题: 选择“您自己的主题”,并选择主题所在区域和主题名,用于接收资源变更时产生的消息通知。如无SMN主题,则需先创建SMN主题,详见创建主题。 配置其他账号下消息通知主题: 选择“另一账号的主题”,并输入主题URN,关于主题URN的详细信息请参见基本概念。需先使用其他账号对当前账号授予相关SMN主题的权限,具体操作请参见跨账号授权。 创建SMN主题后,还需执行“添加订阅”和“请求订阅”操作,消息通知才会生效。 图5 配置SMN主题 进行授权,选择“快速授权”或“自定义授权”。 快速授权:将为您快速创建一个名为“rms_tracker_agency”的委托权限,该权限是可以让资源记录器正常工作的权限,包含调用消息通知服务(SMN)发送通知的权限和对象存储服务(OBS)的写入权限(例如SMN Administrator和OBS OperateAccess权限)。由于快速授权的委托中并不包含KMS的相关权限,因此资源记录器无法将资源变更消息和资源快照存储到“使用KMS方式加密的OBS桶”中。如有需要,您可以在委托中添加对应权限(KMS Administrator)或使用自定义授权,具体请参见资源变更消息和资源快照转储至OBS加密桶。 如何为委托添加权限请参见删除或修改委托。 自定义授权:您可自行在统一身份认证服务(IAM)中创建委托权限,并进行自定义授权,授权对象为云服务Config,但必须包含可以让资源记录器正常工作的权限(调用消息通知服务(SMN)发送通知的权限和对象存储服务(OBS)的写入权限至少包含一个)。如果需要将资源变更消息和资源快照存储到“使用KMS方式加密的OBS桶”中,还需要添加KMS的密钥管理员权限(KMS Administrator),具体请参见资源变更消息和资源快照转储至OBS加密桶。创建委托详见委托其他云服务管理资源。 图6 授权 配置完成后,单击“保存”。 在弹出的确认框中单击“确定”,资源记录器配置成功。
  • 跨账号授权 跨账号授予SMN主题发送通知的权限 用授权账号登录管理控制台,进入对应区域的SMN服务控制台。 参考设置主题策略对待授权账号授予相关SMN主题的权限。 如未对待授权账号进行授权,则该账号将无法通过此SMN主题接收资源变更消息通知。 跨账号授予OBS桶存储文件的权限 用授权账号登录管理控制台,进入OBS管理控制台。 参考自定义创建桶策略(JSON视图)对待授权账号授予相关OBS桶的权限。 桶策略的示例如下,配置该桶策略,将允许被授权账号的资源记录器将转储文件存放至本OBS桶的指定路径内,以下参数需要您根据实际使用场景手动替换: ${account_id}:需要被授权的账号的账号ID(domain_id); ${agency_name}:被授权的委托名称,如果您使用快速授权方式,则该值为“rms_tracker_agency”; ${bucket_name}:用于存储文件的OBS桶的桶名; ${folder_name}:用于存储文件的OBS桶内文件夹的名称。如果您未设置OBS桶内文件夹,则需删除“/${folder_name}”。 { "Statement": [ { "Sid": "org-bucket-policy", "Effect": "Allow", "Principal": { "ID": [ "domain/${account_id}:agency/${agency_name}" ] }, "Action": [ "PutObject" ], "Resource": [ "${bucket_name}/${folder_name}/ RMS Logs/*/Snapshot/*", "${bucket_name}/${folder_name}/RMSLogs/*/Notification/*" ] } ] }
共100000条