华为云用户手册

组件说明 表1 dew-provider组件 容器组件 说明 资源类型 dew-provider dew-provider负责与凭据管理服务交互，从凭据管理服务中获取指定的凭据，并挂载到业务Pod内。 DaemonSet secrets-store-csi-driver secrets-store-csi-driver负责维护两个CRD资源，即SecretProviderClass（以下简称为SPC）和SecretProviderClassPodStatus（以下简称为spcPodStatus），其中SPC用于描述用户感兴趣的凭据信息（比如指定凭据的版本、凭据的名称等），由用户创建，并在业务Pod中进行引用；spcPodStatus用于跟踪Pod与凭据的绑定关系，由csi-driver自动创建，用户无需关心。一个Pod对应一个spcPodStatus，当Pod正常启动后，会生成一个与之对应的spcPodStatus；当Pod生命周期结束时，相应的spcPodStatus也会被删除。 DaemonSet

使用控制台安装插件 在CCE服务控制台，单击集群名称进入对应集群，单击左侧导航栏的“插件中心”，在右侧找到dew-provider插件，单击“安装”。 在安装插件页面，在参数配置栏进行参数配置。参数配置说明如表 参数配置表所示。 表2 参数配置表 参数 参数说明 rotation_poll_interval 轮转时间间隔。单位：分钟，即m（注意不是min）。 轮转时间间隔表示向云凭据管理服务发起请求并获取最新的凭据的周期，合理的时间间隔范围为[1m, 1440m]，默认值为2m。 单击“安装”。待插件安装完成后，选择对应的集群，然后单击左侧导航栏的“插件中心”，可在“已安装插件”页签中查看相应的插件。 插件成功使用需使用已在 数据加密 服务中创建好的凭据，否则挂载失败会导致Pod无法运行。具体创建凭据操作请参见创建通用凭据。 插件安装完成后即可进行使用，具体操作步骤参见CCE密钥管理插件使用说明。

使用KMS加密DWS数据库流程 当选择KMS对DWS进行密钥管理时，加密密钥层次结构有三层。按层次结构顺序排列，这些密钥为主密钥（CMK）、集群加密密钥 (CEK)、数据库加密密钥 (DEK)。 主密钥用于给CEK加密，保存在KMS中。 CEK用于加密DEK，CEK明文保存在DWS集群内存中，密文保存在DWS服务中。 DEK用于加密数据库中的数据，DEK明文保存在DWS集群内存中，密文保存在DWS服务中。 密钥使用流程如下： 用户选择主密钥。 DWS随机生成CEK和DEK明文。 KMS使用用户所选的主密钥加密CEK明文并将加密后的CEK密文导入到DWS服务中。 DWS使用CEK明文加密DEK明文并将加密后的DEK密文保存到DWS服务中。 DWS将DEK明文传递到集群中并加载到集群内存中。 当该集群重启时，集群会自动通过API向DWS请求DEK明文，DWS将CEK、DEK密文加载到集群内存中，再调用KMS使用主密钥CMK来解密CEK，并加载到集群内存中，最后用CEK明文解密DEK，并加载到集群内存中，返回给集群。

使用KMS加密DWS数据库（控制台） 在DWS管理控制台，单击“购买 数据仓库 集群”。 打开“加密数据库”开关。 在“高级配置”中选择“自定义”，出现“加密数据库”开关。 图1 加密数据库 表示打开“加密数据库”开关，启用数据库加密。每个区域的每个项目首次启用数据库加密时，系统会弹出一个“创建委托”的对话框，单击“是”创建委托以授权DWS访问KMS，如果单击“否”将不会启用加密功能。然后在“密钥名称”的下拉列表中选择已创建的密钥。如果没有密钥，可以登录KMS服务进行创建，详细操作请参见《数据加密服务用户指南》。 表示关闭“加密数据库”开关，不启用数据库加密。 创建委托。 打开“加密数据库”开关，如果当前未授权DWS访问KMS，则会弹出“创建委托”对话框，单击“是”，授权DWS访问KMS，当授权成功后，DWS可以获取KMS密钥用来加解密云硬盘。 当您需要使用数据库加密功能时，需要授权DWS访问KMS。如果您有授权资格，则可直接授权。如果权限不足，需先联系拥有“Security Administrator”权限的用户授权，然后再重新操作。 加密设置。 打开“加密数据库”开关，如果已经授权，会弹出“加密设置”对话框。 图2 加密设置 密钥名称是密钥的标识，您可以通过“密钥名称”下拉框选择需要使用的密钥。 根据界面提示，配置其他基本信息。详细参数说明请参见创建集群。

哪些用户有权限使用DWS数据库加密 安全管理员（拥有“Security Administrator”权限）可以直接授权DWS访问KMS，使用加密功能。 普通用户（没有“Security Administrator”权限）使用加密功能时，根据该普通用户是否为当前区域或者项目内第一个使用加密特性的用户，作如下区分： 是，即该普通用户是当前区域或者项目内第一个使用加密功能的，需先联系安全管理员进行授权，然后再使用加密功能。 否，即区域或者项目内的其他用户已经使用过加密功能，该普通用户可以直接使用加密功能。 对于一个租户而言，同一个区域内只要安全管理员成功授权DWS访问KMS，则该区域内的普通用户都可以直接使用加密功能。 如果当前区域内存在多个项目，则每个项目下都需要安全管理员执行授权操作。

简介 在DWS中，您可以为集群启用数据库加密，以保护静态数据。当您为集群启用加密时，该集群及其快照的数据都会得到加密处理。您可以在创建集群时启用加密。加密是集群的一项可选且不可变的设置。要从未加密的集群更改为加密集群(或反之)，必须从现有集群导出数据，然后在已启用数据库加密的新集群中重新导入这些数据。 如果希望加密，可以在集群创建时启用加密。加密是DWS集群中的一项可选设置，建议您为包含敏感数据的集群启用该设置。

约束条件 已通过 统一身份认证 服务添加华为云文档数据库服务所在区域的KMS Administrator权限。权限添加方法请参见《统一身份认证服务用户指南》的“如何管理用户组并授权？”章节。 如果用户需要使用自定义密钥加密上传对象，则需要先通过数据加密服务创建密钥。使用数据加密服务创建密钥详情请参见创建密钥。 实例创建成功后，不可修改磁盘加密状态，且无法更改密钥。存放在 对象存储服务 上的备份数据不会被加密。 华为云文档数据库服务实例创建成功后，请勿禁用或删除正在使用的密钥，否则会导致数据库不可用，数据无法恢复。 选择磁盘加密的实例，新扩容的磁盘空间依然会使用原加密密钥进行加密。

文件系统加密的密钥 SFS加密文件系统使用KMS提供的密钥，包括默认主密钥和用户主密钥 (CMK，Customer Master Key)： 默认主密钥：系统会为您创建默认主密钥，名称为“sfs/default”。 默认主密钥不支持禁用、计划删除等操作。 用户主密钥：即您已有的密钥或者新创建密钥，具体请参见创建密钥。 如果加密文件系统使用的用户主密钥被执行禁用或计划删除操作，当操作生效后，使用该用户主密钥加密的文件系统仅可以在一段时间内（默认为60s）正常使用。请谨慎操作。 SFS Turbo文件系统无默认主密钥，可以使用您已有的密钥或者创建新的密钥，具体请参见创建密钥。

简介 当您由于业务需求需要对存储在文件系统的数据进行加密时，弹性文件服务为您提供加密功能，可以对新创建的文件系统进行加密。 加密文件系统使用的是密钥管理服务（KMS）提供的密钥，无需您自行构建和维护密钥管理基础设施，安全便捷。当用户希望使用自己的密钥材料时，可通过KMS管理控制台的导入密钥功能创建密钥材料为空的用户主密钥，并将自己的密钥材料导入该用户主密钥中。具体操作请参见导入密钥材料。 当您需要使用文件系统加密功能时，创建SFS文件系统需要授权SFS访问KMS。如果创建SFS Turbo文件系统，则不需要授权。

哪些用户有权限使用文件系统加密 安全管理员（拥有“Security Administrator”权限）可以直接授权SFS访问KMS，使用加密功能。 普通用户（没有“Security Administrator”权限）使用加密功能时，需要联系系统管理员获取安全管理员权限。 同一个区域内只要安全管理员成功授权SFS访问KMS，则该区域内的普通用户都可以直接使用加密功能。 如果当前区域内存在多个项目，则每个项目下都需要安全管理员执行授权操作。

调用API接口加解密 以保护服务器HTTPS证书为例，采用调用KMS的API接口方式进行说明，如图3所示。 图3 保护服务器HTTPS证书 流程说明如下： 用户需要在KMS中创建一个用户主密钥。 用户调用KMS的加密数据密钥接口，使用指定的用户主密钥将明文证书加密为密文证书。 用户在服务器上部署密文证书。 当服务器需要使用证书时，调用KMS的解密数据密钥接口，将密文证书解密为明文证书。 由于控制台输入的加密原文会经过一次Base64转码后才传至后端，所以当调用API接口解密密文的时候，返回的明文就是加密原文经过Base64转码得到的字符串，故API加密密文后需要调用API进行解密，如果使用控制台解密API加密密文则会产生乱码。

在线工具加解密 加密数据 单击目标自定义密钥的名称，进入密钥信息页面后，单击“工具”页签。 在“加密”文本框中输入待加密的数据，如图1所示。 图1 加密数据 单击“执行”，在“加解密结果”栏显示加密后的密文数据。 加密数据时，使用当前指定的密钥加密数据。 单击“清除”，清除已输入的数据。 在“加密结果”栏，单击拷贝加密后的密文数据，并保存到本地文件中。 解密数据 解密数据时，可单击任意“启用”状态的非默认密钥别名，进入该密钥的在线工具页面。 单击“解密”，在文本框中输入待解密的密文数据，如图2所示。 在线工具自动识别并使用数据被加密时使用的密钥解密数据。 如果该密钥已被删除，会导致解密失败。 图2 解密数据 单击“执行”，在“加解密结果”栏显示解密后的密文数据。 在“解密结果”栏，单击拷贝解密后的明文数据，并保存到本地文件中。 通过命令行或者API加密的信息，不能包含特殊字符，可能会导致控制台解密结果无法显示。 在控制台输入的明文，会进行base64编码得到加密后的字符。 如果直接调用API接口进行解密，得到的解密结果是进行了base64编码的内容。需再进行一次base64解码才能得到与控制台输入明文一致的内容。

请求参数 表2 请求Body参数 参数 是否必选 类型 说明 algorithmName 是 String 算法名字。 parameters 是 parameters Object 算法参数。 表3 parameters 参数 是否必选 类型 说明 source 是 String 输入路径的起点ID。 directed 否 Boolean 是否考虑边的方向。取值为true或false。 说明： false当前版本在有权图上不支持。 当数据集不包含inedge时，若directed=true，选择一个不依赖于Inedge的算法实现版本计算输出，性能会下降；若directed=false，会报错。 weight 否 String 边上权重。取值为：空或字符串。 空：边上的权重、距离默认为1。 字符串：对应的边上的属性将作为权重，当某边没有对应属性时，权重将默认为1。

响应参数 表4 响应Body参数 参数 类型 说明 errorMessage String 系统提示信息，执行成功时，字段可能为空。执行失败时，用于显示错误信息。 errorCode String 系统提示信息，执行成功时，字段可能为空。执行失败时，用于显示错误码。 jobId String 执行算法任务ID。请求失败时，字段为空。 说明： 可以利用返回的jobId查看任务执行状态、获取算法返回结果，详情参考查询Job状态(1.0.0)。 distance List 源节点（source）到图中各节点的路径长度： [{vertexId:distanceValue},...], 其中, vertexId：string类型。 distanceValue：double类型。 source String 源点id。

请求示例 POST http://{SERVER_URL}/ges/v1.0/{project_id}/hyg/{graph_name}/algorithm { "algorithmName":"sssp ", "parameters":{ "source":"1", "directed":true, "weight": "" } } SERVER_URL：图的访问地址，取值请参考业务面API使用限制。

响应示例 状态码： 200 成功响应示例 Http Status Code: 200 { "jobId": "4448c9fb-0b16-4a78-8d89-2a137c53454a001679122" } 状态码： 400 失败响应示例 Http Status Code: 400 { "errorMessage": "Parameter error!", "errorCode": "GES.8005" }

响应参数 表2 响应Body参数说明 参数 类型 说明 graphs Array of graphs objects 返回的图列表。 result String 查询成功时值为success，失败时值为failed。 表3 graphs 参数 类型 说明 graphName String 返回的图名。 idType String ID类型。 idLength Integer ID长度。 sortKeyType String sortKey类型。 averageImportRate Integer 平均导入率。

响应示例 状态码： 200 成功响应示例 Http Status Code: 200 { "graphs": [ { "graphName": "movieee", "idType": "fixedLengthString", "idLength": 20, "sortKeyType": "varString"， "averageImportRate": 0 }, { "graphName": "ldbc", "idType": "fixedLengthString", "idLength": 20, "sortKeyType": "int"， "averageImportRate": 0 } ], "result": "success" } 状态码： 400 失败响应示例 Http Status Code: 400 { "errorMessage": "Parameter error!", "errorCode": "GES.8005" }

最短路径（shortest_path） 表1 parameters参数说明 参数 是否必选 类型 说明 source 是 String 输入路径的起点ID。 target 是 String 输入路径的终点ID。 directed 否 Boolean 是否考虑边的方向，取值为true。 timeWindow 否 Object 用于进行时间过滤的时间窗，具体请参见表2。 说明： timeWindow目前不支持带weight的最短路，即timeWindow与weight不可同时输入。 表2 timeWindow参数说明 参数 是否必选 类型 说明 filterName 否 String 字符串：对应的点/边上的属性作为时间 filterType 否 String 在点或边上过滤，默认值为BOTH。 V：点上 E：边上 BOTH：点和边上 startTime 否 String 起始时间，Date型字符串或时间戳。 endTime 否 String 终止时间，Date型字符串或时间戳。 表3 response_data参数说明 参数 类型 说明 path List 最短路径，格式： [vertexId,...] 其中, vertexId：string类型 source String 起点ID target String 终点ID 父主题： 算法API参数参考

请求参数 表2 请求Body参数 参数 是否必选 类型 说明 exportPath 是 String 转存路径。 obsParameters 是 String OBS认证参数。具体请见表 obsParameters参数说明。 erase 否 Boolean 转存后是否删除原job任务的结果，取值为true或false，默认值为true即表示默认删除job结果并释放资源。 表3 obsParameters参数说明 参数 是否必选 类型 说明 accessKey 是 String ak值。 secretKey 是 String sk值。

响应参数 表4 响应Body参数 参数 类型 说明 errorMessage String 系统提示信息。 执行成功时，字段可能为空。 执行失败时，用于显示错误信息。 errorCode String 系统提示信息。 执行成功时，字段可能为空。 执行失败时，用于显示错误码。 jobId String 执行该异步任务的jobId。请求失败时，字段为空。 说明： 可以利用返回的jobId查看任务执行状态、获取算法返回结果，详情参考查询Job状态(1.0.0)。

请求示例 执行算法结果转存，返回jobId。 POST http://{SERVER_URL}/ges/v1.0/{project_id}/hyg/{graph_name}/jobs/{job_id}/export-result { "exportPath": "demo_movie/", "erase": true, "obsParameters": { "accessKey": "xxxx", "secretKey": "xxxx" } } SERVER_URL：图的访问地址，取值请参考业务面API使用限制。

响应示例 状态码： 200 成功响应示例 Http Status Code: 200 { "jobId": "f99f60f1-bba6-4cde-bd1a-ff4bdd1fd500000168232" } 状态码： 400 失败响应示例 Http Status Code: 400 { "errorMessage": "Parameter error!", "errorCode": "GES.8005" }

业务面API使用限制 用户访问业务面API有三种方式： 通过E CS 访问，且创建ECS的VPC和创建图选定的VPC是同一个。如果安全组选择的是同一个，则可以直接访问；如果安全组不是同一个，要在创建图的安全组开通该ECS的访问限制，即入方向放开80和443端口，出方向放开所有端口（分别对应支持HTTP和HTTPS访问）。这种场景，API的SERVER_URL为GES Console图详情的内网访问地址或者管理面API查询图详情返回体的"private_ip"字段的值。 通过ECS访问，但创建ECS的VPC和创建图选定的VPC不是同一个。需要对ECS所在的VPC和建图用的VPC创建VPC对等连接，创建VPC对等连接请参考创建对等连接。同时要在创建图的安全组开通该ECS的访问限制，即入方向放开80和443端口，出方向放开所有端口。这种场景，API的SERVER_URL为GES Console图详情的内网访问地址或者管理面API查询图详情返回体的"private_ip"字段的值。 通过公网访问。此时要求创建弹性公网IP（EIP），且要在创建图的安全组开通客户端的访问限制，即入方向放开80和443端口，出方向放开所有端口。这种场景，API的SERVER_URL为GES Console图详情的公网访问地址或者管理面API查询图详情返回体的"publicIp"字段的值，也即用户绑定或者自动创建的弹性公网IP地址。 父主题： 约束与限制

响应示例 状态码： 200 成功响应示例 Http Status Code: 200 { "jobId": "f9987cab-64d3-4b3d-ac43-e91ae0c21bef168127124", "jobType": 0 } 状态码： 400 失败响应示例 Http Status Code: 400 { "errorMessage":"Parameter error!", "errorCode":"GES.8005" }

响应参数 表3 响应Body参数 参数 类型 说明 errorMessage String 系统提示信息。 执行成功时，字段可能为空。 执行失败时，用于显示错误信息。 errorCode String 系统提示信息。 执行成功时，字段可能为空。 执行失败时，用于显示错误码。 jobId String 查询边任务ID。 说明： 可以查询jobId查看任务执行状态、获取返回结果，详情参考Job管理API。 jobType String 执行该异步任务的jobType。

请求示例 新增元数据，元数据存储地址为devdata/unionsdk/unionsdk_test.xml，不覆盖文件，元数据的名字为unionsdk_test，对元数据的描述为测试。 POST https://{Endpoint}/v2/{project_id}/graphs/metadatas { "metadata_path" : "devdata/unionsdk/unionsdk_test.xml", "is_overwrite" : false, "name" : "unionsdk_test", "description" : "测试", "ges_metadata" : { "labels" : [ { "name" : "friends" }, { "name" : "movie", "properties" : [ { "dataType" : "string", "name" : "ChineseTitle", "cardinality" : "single" }, { "dataType" : "int", "name" : "Year", "cardinality" : "single" }, { "dataType" : "string", "name" : "Genres", "cardinality" : "set" } ] }, { "name" : "user", "properties" : [ { "dataType" : "string", "name" : "ChineseName", "cardinality" : "single" }, { "typeName1" : "F", "typeName2" : "M", "typeNameCount" : "2", "dataType" : "enum", "name" : "Gender", "cardinality" : "single" }, { "typeName1" : "Under 18", "typeName2" : "18-24", "typeName3" : "25-34", "typeName4" : "35-44", "typeNameCount" : "7", "dataType" : "enum", "name" : "Age", "typeName5" : "45-49", "typeName6" : "50-55", "cardinality" : "single", "typeName7" : "56+" }, { "dataType" : "string", "name" : "Occupation", "cardinality" : "single" }, { "dataType" : "char array", "name" : "Zip-code", "maxDataSize" : "12", "cardinality" : "single" } ] }, { "name" : "rate", "properties" : [ { "dataType" : "int", "name" : "Score", "cardinality" : "single" }, { "dataType" : "date", "name" : "Datetime", "cardinality" : "single" } ] } ] } }

响应参数 状态码： 200 表6 响应Body参数 参数 参数类型 描述 id String 元数据ID。 name String 元数据名字。 状态码： 400 表7 响应Body参数 参数 参数类型 描述 error_code String 系统提示信息。 执行成功时，字段可能为空。 执行失败时，用于显示错误码。 error_msg String 系统提示信息。 执行成功时，字段可能为空。 执行失败时，用于显示错误信息。

关联路径（n_paths）(1.1.2) 表1 parameters参数说明 参数 是否必选 说明 类型 取值范围 默认值 source 是 输入路径的起点ID。 String - - target 是 输入路径的终点ID。 String - - directed 否 是否考虑边的方向。 Boolean true或false false n 否 路径个数。 Integer [1,100] 10 k 否 层数。 Integer [1,10] 5 表2 response_data参数说明 参数 类型 说明 paths List source节点和target节点之间的路径，格式： [[path1],[path2]] 其中，路径（path）的格式可参考：最短路径（Shortest Path）。 paths_number Integer 路径个数 source String 起点ID target String 终点ID 父主题： 算法API参数参考

响应示例 状态码： 200 成功响应示例 Http Status Code: 200 { "jobId": "4448c9fb-0b16-4a78-8d89-2a137c53454a001679122", "jobType": 1 } 状态码： 400 失败响应示例 Http Status Code: 400 { "errorMessage":"graph [demo] is not found", "errorCode":"GES.8402" }