华为云用户手册

响应示例 状态码： 200 请求成功。 { "api_version" : "v1", "kind" : "Agency", "agencies" : [ { "name" : "cae_trust", "roles" : [ " AOM FullAccess", "VPC FullAccess" ], "missing_roles" : [ "ELB FullAccess" ] } ] }

组件接口 表4 组件接口介绍 API 说明 创建组件 此API用来创建组件。 获取组件列表 此API用来获取当前环境下对应应用的组件列表。 获取组件详情 此API用来获取对应的组件。 更新组件 此API用来更新对应的组件。 删除组件 此API用来删除对应的组件。 创建、生效配置并部署组件 此API用来创建、生效配置并部署对应的组件。 操作组件 此API用来操作对应的组件，如部署、升级、配置、回滚、重启、停止等操作。 获取组件快照列表 此API用来获取组件的快照列表。 获取组件实例列表 此API用来获取组件实例列表。

AK/SK认证 AK/SK签名认证方式仅支持消息体大小12M以内，12M以上的请求请使用Token认证。 AK/SK既可以使用永久访问密钥中的AK/SK，也可以使用临时访问密钥中的AK/SK，但使用临时访问密钥的AK/SK时需要额外携带“X-Security-Token”字段，字段值为临时访问密钥的security_token。 AK/SK认证就是使用AK/SK对请求进行签名，在请求时将签名信息添加到消息头，从而通过身份认证。 AK(Access Key ID)：访问密钥ID。与私有访问密钥关联的唯一标识符；访问密钥ID和私有访问密钥一起使用，对请求进行加密签名。 SK(Secret Access Key)：与访问密钥ID结合使用的密钥，对请求进行加密签名，可标识发送方，并防止请求被修改。 使用AK/SK认证时，您可以基于签名算法使用AK/SK对请求进行签名，也可以使用专门的签名SDK对请求进行签名。详细的签名方法和SDK使用方法请参见API签名指南。 签名SDK只提供签名功能，与服务提供的SDK不同，使用时请注意。

Token认证 Token的有效期为24小时，需要使用一个Token鉴权时，可以先缓存起来，避免频繁调用。 使用Token前请确保Token离过期有足够的时间，防止调用API的过程中Token过期导致调用API失败。 Token在计算机系统中代表令牌（临时）的意思，拥有Token就代表拥有某种权限。Token认证就是在调用API的时候将Token加到请求消息头，从而通过身份认证，获得操作API的权限。 Token可通过调用获取用户Token接口获取，调用本服务API需要project级别的Token，即调用接口时，请求body中auth.scope的取值需要选择project，如下所示。 { "auth": { "identity": { "methods": [ "password" ], "password": { "user": { "name": "username", "password": "********", "domain": { "name": "domainname" } } } }, "scope": { "project": { "name": "xxxxxxxx" } } } } 获取Token 后，再调用其他接口时，您需要在请求消息头中添加“X-Auth-Token”，其值即为Token。例如Token值为“ABCDEFG....”，则调用接口时将“X-Auth-Token: ABCDEFG....”加到请求消息头即可，如下所示。 GET https://iam.cn-north-4.myhuaweicloud.com/v3/auth/projects Content-Type: application/json X-Auth-Token: ABCDEFG.... 您还可以通过这个视频教程了解如何使用Token认证：https://bbs.huaweicloud.com/videos/101333 。

操作步骤 。 在左侧导航栏中选择“组件配置”。 在“组件配置”页面上方的下拉框中选择需要操作的组件。 图1 选择组件 单击“ 云存储 配置”模块中的“编辑”，进入云存储配置页面。 单击选择“配置并行文件系统”。 图2 配置并行文件系统 从下拉框中选择已授权的并行文件系统名称。 如需新增授权，可以单击下拉框右侧“去授权并行文件系统”进行添加，具体操作请参考授权并行文件系统。 参考表1配置容器挂载的路径和权限。 表1 参数说明 参数 说明 文件掩码 挂载文件的文件掩码（umask）。 输入取值范围为0-7的四位数字。 默认值：0027。 说明： umask即user file-creation mask，表示用户创建文件的掩码，用来控制创建文件的权限。 在CAE云存储配置中设置umask可以控制挂载目录和文件的权限，如0027，表示设置挂载目录权限为750，挂载文件权限为640。 挂载路径 数据存储挂载到组件上的路径。 本示例使用“nginx”默认路径“/usr/share/nignx/html”。 说明： 数据存储挂载到容器上的路径，请不要挂载到系统目录下，如“/”、“/var/run”等，否则会导致容器异常。 云存储的挂载路径不能重复。 子路径 数据所引用的云存储内的子路径。 例如：在OBS并行文件系统“test-nginx”的test文件夹中存储了文件index.html，如需引用此文件，则子路径输入test/index.html。 说明： 使用子路径挂载本地磁盘，实现在单一Pod中重复使用同一个Volume。 不填写时默认挂载根路径。 并行文件系统挂载不存在的子路径会异常，需要先在挂载的桶中创建对应文件或文件夹。请参考配置了云存储配置后，为什么实例异常了？ 权限 挂载路径及挂载路径下文件，有“读写”、“只读”权限。 本示例选择“读写”权限。 图3 配置并行文件系统 （可选）单击“添加挂载路径”，可配置多条挂载路径。 单击“确定”，完成并行文件系统配置。 在“云存储配置”页面中可查看配置完成的并行文件系统。 使配置生效。 如已完成组件部署，单击页面上方“生效配置”。在右侧弹框中确认配置信息，并单击“确定”，使配置生效。 如未完成组件部署，单击页面上方“配置并部署组件”，在右侧弹框中单击“确定”，待部署执行完成后，配置生效。 可通过更新并行文件系统中的静态文件来实时更新Nginx访问页面。具体操作请参考使用CAE托管Nginx静态文件服务器。

操作步骤 登录CAE控制台。 在左侧导航栏中选择“组件配置”。 在“组件配置”页面上方的下拉框中选择需要操作的组件。 图1 选择组件 单击“云存储配置”模块中的“编辑”，进入云存储配置页面。 单击选择“配置存储桶”。 图2 配置存储桶 从下拉框中选择已授权的存储桶名称。 如需新增授权，可以单击下拉框右侧“去授权云存储桶”进行添加，具体操作请参考授权存储桶。 参考表1配置容器挂载的路径和权限。 表1 参数说明 参数 说明 文件掩码 挂载文件的文件掩码（umask）。 输入取值范围为0-7的四位数字。 默认值：0027。 说明： umask即user file-creation mask，表示用户创建文件的掩码，用来控制创建文件的权限。 在CAE云存储配置中设置umask可以控制挂载目录和文件的权限，如0027，表示设置挂载目录权限为750，挂载文件权限为640。 挂载路径 数据存储挂载到组件上的路径。 例如：在OBS存储桶“test-nginx”的中存储了文件index.html，如需引用此文件，则子路径输入index.html。 说明： 数据存储挂载到容器上的路径，请不要挂载到系统目录下，如“/”、“/var/run”等，否则会导致容器异常。 云存储的挂载路径不能重复。 子路径 数据所引用的云存储内的子路径。 说明： 使用子路径挂载本地磁盘，实现在单一Pod中重复使用同一个Volume。 不填写时默认挂载根路径。 权限 挂载路径及挂载路径下文件，有“读写”、“只读”权限。 图3 存储桶配置 （可选）单击“添加挂载路径”，可配置多条挂载路径。 单击“确定”，完成存储桶配置。 在“云存储配置”页面中可查看配置好的存储桶。 使配置生效。 如已完成组件部署，单击页面上方“生效配置”。在右侧弹框中确认配置信息，并单击“确定”，使配置生效。 如未完成组件部署，单击页面上方“配置并部署组件”，在右侧弹框中单击“确定”，待部署执行完成后，配置生效。

VPC中可以使用哪些网段（CIDR）？ 创建VPC的时候，您需要为VPC指定IPv4网段。VPC网段的选择需要考虑以下原则： IP地址数量：要为业务预留足够的IP地址，防止业务扩展给网络带来冲击。 IP地址网段：当您要创建多个VPC，并且VPC与其他VPC、或者VPC与云下数据中心需要通信时，要避免网络两端的网段冲突，否则无法正常通信。 在创建VPC的时候，建议您使用RFC 1918中指定的私有IPv4地址范围，作为VPC的网段，具体如表1所示。 表1 VPC网段（RFC 1918） VPC网段 IP地址范围 掩码范围 VPC网段示例 10.0.0.0/8-24 10.0.0.0~10.255.255.255 8~24 10.0.0.0/8 172.16.0.0/12-24 172.16.0.0~172.31.255.255 12~24 172.30.0.0/16 192.168.0.0/16-24 192.168.0.0~192.168.255.255 16~24 192.168.0.0/24 除了上述地址，您还可以使用任何可公共路由的IPv4地址（非RFC 1918指定的私有IPv4地址范围），但是必须排除表2中的系统预留地址和公网保留地址： 表2 系统预留地址和公网保留地址 系统预留地址 公网保留地址 100.64.0.0/10 214.0.0.0/7 198.18.0.0/15 169.254.0.0/16 0.0.0.0/8 127.0.0.0/8 240.0.0.0/4 255.255.255.255/32 创建VPC时，您配置的IPv4网段是VPC的主网段。当VPC创建完成后，主网段不支持修改，若主网段不够分配，您可以为VPC添加IPv4扩展网段。 父主题： 虚拟私有云与子网类

流水线官方插件YAML语法 Build构建 调用编译构建能力进行构建。 uses: CodeArtsBuild with: jobId: 878b4d13cb284d9e8f33f988a902f57c artifactIdentifier: my_pkg customParam: value jobId：编译构建任务id。获取方法：在构建任务详情页，复制浏览器URL末尾的32位数字、字母组合的字符串，即为构建任务ID。 artifactIdentifier：构建产物标识。 customParam：在构建任务定义的支持运行时设置的参数值，可能有0到多个。 TestPlan接口测试 调用CodeArts TestPlan能力进行测试。 uses: CodeArtsTestPlan with: jobId: vb180000vnrgoeib environmentModel: 1 environmentId: 7c2eff2377584811b7981674900158e8 jobId：接口测试任务的id。 environmentModel：参数来源（0表示使用全新执行参数，1表示使用选中环境的全局参数）。 environmentId：environmentModel为1时的环境id。 Deploy部署 调用CodeArts Deploy能力进行部署。 uses: CodeArtsDeploy with: jobId: 9c5a5cda6ffa4ab583380f5a014b2b31 customParam: value jobId：部署任务的id。 customParam：在部署任务处定义的支持运行时设置的参数值，可能有0到多个。 Check代码检查 调用CodeArts Check能力进行代码检查。 uses: CodeArtsCheck with: jobId: 43885d46e13d4bf583d3a648e9b39d1e checkMode: full|push_inc_full||push_multi_inc_full jobId：代码检查任务的id。 checkMode：检查模式。 full：表示对本次commit所在分支的全量代码进行检查。 push_inc_full：表示对本次commit的变更文件内容进行检查。 push_multi_inc_full：表示对上一次检查成功的commit到本次commit之间的变更文件内容进行检查。 创建仓库标签 为代码仓创建标签并推送。 uses: CreateTag with: tagName: v1 tagName为标签名称。 子流水线 配置并调用项目下其他流水线任务。 uses: SubPipeline with: pipelineId: 80ea2d9ffba94c20b9a0a0be47d3a0d8 branch: master pipelineId：调用的流水线的id。 branch：子流水线运行使用的分支。 branch参数可以不定义，表示使用子流水线默认分支运行。 若定义branch参数则表示以指定的分支运行，可以引用参数或上下文，如：使用父流水线源的运行分支，假设代码源别名为“my_repo”，则引用形式为${{ sources.my_repo.target_branch }}。 Jenkins任务 调用Jenkins任务以扩展并实现自定义动作。 uses: Jenkins with: endpoint: eac965b206e74e2b898a24a4375b6df6 jobName: job params: '{ \"key\":\"value\" }' async: true|false description: description endpoint：jenkins扩展点的id。 jobName：jenkins的job名称。 params：启动任务传递的参数（json格式）。 async：是否异步执行。 description：执行说明。 挂起流水线 配置以挂起当前流水线。 uses: SuspendPipeline 延时执行 让流水线暂停运行一段时间或暂停至指定时间点，用户可以手动继续、终止流水线运行或进行最多3次的额外延时。 uses: Delay with: timerType: delay|scheduled delayTime: 300 scheduledTime: '00:00' timeZone: China Standard Time timerType：延时类型。delay表示延时一段时间；scheduled表示延时至指定时间。 delayTime：timerType为delay时的延时时间（单位为秒）。 scheduledTime：timerType为scheduled时的延时时间点。 timeZone：对应时区，可选值见下表。 表1 时区 可选值 时区 GMT Standard Time GMT South Africa Standard Time GMT+02:00 SE Asia Standard Time GMT+07:00 Singapore Standard Time GMT+08:00 China Standard Time GMT+08:00 Pacific SA Standard Time GMT-04:00 E. South America Standard Time GMT-03:00 Central Standard Time (Mexico) GMT-06:00 Egypt Standard Time GMT+02:00 Saudi Arabia Standard Time GMT+03:00 人工审核 以单签或会签的方式配置人工审核任务。 uses: Checkpoint with: mode: members|roles approvers: 05d8ca972f114765a8984795a8aa4d41 roles: PROJECT_MANAGER checkStrategy: all|any timeout: 300 timeoutStrategy: reject|pass comment: comment mode：审核模式。members表示按成员审核，roles表示按角色审核。 approvers：审核模式为members时的审核人员用户id，多个用户以“,”分隔。 role：审核模式为roles时的角色，可选值见表2，多个角色以“,”分隔。 checkStrategy：审核模式为members时的审核策略。all表示需所有人员审核才能通过；any表示任一人员审核即可通过。 timeout：审核超时时长（单位为秒）。 timeoutStrategy：审核超时时的策略。reject表示中止；pass表示通过。 comment：审核描述。 表2 审核角色 审核角色 YAML标识 项目创建者 PROJECT_CREATOR 项目经理 PROJECT_MANAGER 开发人员 DEVELOPER 测试经理 TESTING_MANAGER 测试人员 TESTER 参与者 PARTICIPANT 浏览者 VIEWER 运维经理 OPERATION_MANAGER 产品经理 PRODUCT_MANAGER 系统工程师 SYSTEM_ENGINEER Committer COMMITTER

新增镜像包版本 在“镜像包管理”页面的“操作”列，单击目标镜像包对应的“查看版本列表”。 在“当前镜像包版本列表”页面，单击“新增版本”。 在新增镜像包版本页面，配置相关信息，然后单击“确认”。 界面参数说明请参见创建镜像包版本参数说明。 图4 创建镜像包版本 表2 创建镜像包版本参数说明 参数 参数说明 版本名称 镜像包支持有多个版本，请根据当前创建信息填入一个版本名称。镜像包版本需要和选择的OBS文件的包版本号一致。 版本描述 当前创建版本的描述信息。 版本类型 当前只支持OBS。 路径 当前创建版本所在的OBS路径。请选择到包含metadata.yaml文件的父级目录。

场景描述 ranktable路由规划是一种用于分布式并行训练中的通信优化能力，在使用NPU的场景下，支持对节点之间的通信路径根据交换机实际topo做网络路由亲和规划，进而提升节点之间的通信速度。 本案例介绍如何在ModelArts Lite场景下使用ranktable路由规划完成Pytorch NPU分布式训练任务，训练任务默认使用Volcano job形式下发到Lite资源池集群。 图1 任务示意图

约束与限制 该功能只支持贵阳一区域，如果要在其他区域使用请联系技术支持。 ModelArts Lite资源池对应的CCE集群需要安装1.10.12及以上版本的华为云版Volcano插件。Volcano调度器的安装升级请参见Volcano调度器。仅华为云版Volcano插件支持开启路由加速特性。 训练使用的Python版本是3.7或3.9，否则无法实现ranktable路由加速。 训练作业的任务节点数要大于或等于3，否则会跳过ranktable路由加速。建议在大模型场景（512卡及以上）使用ranktable路由加速。 脚本执行目录不能是共享目录，否则ranktable路由加速会失败。 路由加速的原理是改变rank编号，所以代码中对rank的使用要统一，如果rank的使用不一致会导致训练异常。

配置Lite Cluster网络 本章节介绍如何申请弹性公网IP并绑定到弹性云服务器。通过本文档，您可以实现弹性云服务器访问公网的目的。 使用华为云账号登录CCE管理控制台。 找到购买Cluster资源时选择的CCE集群，单击名称进入CCE集群详情页面，单击“节点管理”页签，在“节点”页签中单击需要登录的节点名称，跳转至弹性云服务器页面。 图1 节点管理 绑定弹性公网IP。 若已有未绑定的弹性公网IP，直接选择即可。如果没有可用的弹性公网IP，需要先购买弹性公网IP，具体操作请参见申请弹性公网IP。 图2 弹性公网IP 单击“购买弹性公网IP”，进入购买页。 图3 绑定弹性公网IP 图4 购买弹性公网IP 完成购买后，返回弹性云服务器页面，刷新列表。 选择刚才创建的弹性公网IP，单击“确定”。 图5 绑定弹性公网IP 通过SSH方式远程访问集群资源包括2种方式，密码方式或密钥方式，二选一即可。 通过SSH密钥方式登录云服务器，具体操作请参见SSH密钥登录方式。 通过SSH密码方式登录云服务器，具体操作请参见SSH密码登录方式。 父主题： Lite Cluster资源配置

安全风险知会 自动驾驶云服务中，为了最大化资源利用率，租户的子用户可以共享计算资源用于运行容器化的作业。这意味着租户的不同子用户的容器化处理作业可以运行在同一个计算节点上，共享节点的CPU、内存、磁盘、操作系统内核等资源。 自动驾驶云服务适用于您的子用户是可控的、可信任的场合，不适用于子用户不可控、不可信的场合，例如您授权其他客户作为子用户共同使用自动驾驶云服务的情况。请确保您的子用户是可控和可信任的。 计算资源：您在自动驾驶云服务中订购的通用处理节点、AI处理节点。 容器化处理作业：数据处理任务、标注任务、训练任务、推理任务、并行仿真、场景泛化、智驾模型训练、智驾模型推理等。 父主题： 安全

欠费与到期 如下图所示，包年/包月资源各个阶段的状态。购买后，在计费周期内资源正常运行，此阶段为有效期；资源到期而未续费时，将陆续进入宽限期和保留期。 当您的账号欠费后，资源不会立即停止服务，资源进入宽限期。在宽限期内客户可正常访问和使用此服务资源。 如果您在宽限期内仍未续费服务资源，那么就会进入保留期，资源状态变为“已冻结”，针对已购买的服务、扩展资源、模型，允许访问、修改、删除其中的数据，不允许创建数据。 保留期到期后，如果服务资源仍未续费，那么服务资源以及其中的数据将被自动删除，无法恢复。 图1 包年/包月资源生命周期 父主题： 计费说明

续费 包年/包月自动驾驶云服务到期后会影响云服务器正常运行。 如果您想继续使用，需要在指定的时间内为服务、资源、模型续费，否则将终止服务，系统中的数据也将被永久删除。 在到期前续费成功，所有资源、数据得以保留，且服务的使用不受影响。 表1 续费相关功能 功能 说明 手动续费 包年/包月云服务、资源从购买到自动删除之前，您可以随时在自动驾驶云服务控制台续费，以延长使用时间。 自动续费 开通云服务时勾选自动续费选项，系统会在每次到期前为您自动续费，避免因忘记手动续费而导致资源、数据被自动删除。 图1 自动续费 父主题： 计费说明

工作空间隔离资源 工作空间：是Octopus自动驾驶云服务面向企业客户提供的一个高阶功能，用于进一步将用户的资源划分在多个逻辑隔离的空间中，并支持以空间维度进行访问的权限限定。 工作空间默认有一个“default”空间，在没有创建新的工作空间之前，您操作的所有资源均默认在该空间下。当您创建新的工作空间之后，相当于您拥有了一个新的“Octopus分身”，您可以通过菜单栏的左上角进行工作空间的切换，不同工作空间中的工作互不影响。只有被授权的用户才能访问特定的工作空间（在创建、编辑工作空间进行配置），像数据资产、仿真服务等，均可以借助工作空间做访问的限制。 图2 工作空间

Octopus CommonOperations策略内容 { "Version": "1.1", "Statement": [ { "Action": [ "octopus:annotation*:*", "octopus:common*:*", "octopus:dataCache:*", "octopus:dataCalibration:*", "octopus:dataImportRecord:*", "octopus:dataJob:*", "octopus:dataMap:*", "octopus:dataOverview:get", "octopus:dataPackage:*", "octopus:dataProcessors:*", "octopus:dataReplay:get", "octopus:dataScenario:*", "octopus:dataset:*", "octopus:dataTag:*", "octopus:dataVehicle:*", "octopus:dataWarehouse:*", "octopus:imageRepo:*", "octopus:resource*:*", "octopus:sim*:*", "octopus:training*:*", "octopus:workspace:list", "octopus:workspace:get" ], "Effect": "Allow" } ] }

理解Octopus的权限与委托 如果您需要对华为云上购买的Octopus自动驾驶云服务资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用 统一身份认证 服务（Identity and Access Management，简称 IAM ）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制华为云资源的访问。 通过IAM，您可以在华为云账号中给员工创建IAM用户，并使用策略来控制IAM用户对华为云资源的访问范围，例如您的员工中有负责软件开发的人员，您希望他们拥有Octopus的使用权限，但是不希望他们拥有删除通道等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用通道，但是不允许删除通道的权限策略，控制他们对通道资源的使用范围；在使用Octopus云资源过程中需要访问用户的其他服务，需要先获得用户的授权，这个动作就是一个“委托”，用户委托Octopus代表自己访问特定的云服务，以完成其在Octopus平台上的操作。 权限：使用Octopus自动驾驶云服务平台上的镜像仓库、运维配置、工作空间、数据资产、数据合规、数据处理、标注服务、训练服务、仿真服务的所有功能，均需要通过IAM权限体系进行正确权限授权。 委托：使用Octopus自动驾驶云服务平台上的智驾模型服务中的模型微调和2D图像生成功能需要访问 对象存储服务 （OBS），均需要获得用户的委托授权。 IAM是华为云提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。关于IAM的详细介绍，请参见《IAM产品介绍》。 如果华为云账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用Octopus的其它功能。

Octopus权限管理 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。创建用户并授权使用八爪鱼自动驾驶云服务请参考创建用户并授权使用服务。 Octopus部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如华北-北京1）对应的项目（cn-north-1）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问Octopus时，需要先切换至授权区域。 图1 权限授权 IAM在对用户组授权的时候，并不是直接将具体的某个权限进行赋权，而是需要先将权限加入到“策略”当中，再把策略赋给用户组。为了方便用户的权限管理，各个云服务都提供了一些预置的“系统策略”供用户直接使用。如果预置的策略不能满足您的细粒度权限控制要求，则可以通过“自定义策略”来进行精细控制。请参考创建自定义策略。 如表1所示，包括了Octopus的所有系统权限。 表1 表1 Octopus系统策略 策略名称 描述 策略类别 角色/策略内容 Octopus FullAccess Octopus管理员权限，拥有该权限的用户可以操作并使用所有Octopus服务。 系统策略 Octopus FullAccess策略内容 Octopus CommonOperations Octopus操作权限，拥有该权限的用户拥有Octopus服务的除智驾模型服务、数据合规递送、创建工作空间、编辑工作空间、删除工作空间之外的所有操作权限。 系统策略 Octopus CommonOperations策略内容 表2列出了Octopus常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表2 Octopus常用操作与系统权限的授权关系 服务 功能 操作 Octopus FullAccess Octopus CommonOperations 镜像仓库 ALL ALL √ √ 运维配置 ALL ALL √ √ 标注服务 ALL ALL √ √ 训练服务 ALL ALL √ √ 仿真服务 ALL ALL √ √ 智驾模型服务 ALL ALL √ x 数据资产 ALL ALL √ √ 数据合规 数据合规递送 创建合规订单 √ x 获取合规订单列表 √ x 获取合规订单配置信息 √ x 更新合规订单状态 √ x 获取合规数据包列表 √ x 推送合规数据包 √ x 合规处理模板 创建合规处理模板 √ x 查询合规处理模板列表 √ x 查询合规处理模板详情 √ x 更新合规处理模板 √ x 删除合规处理模板 √ x 合规作业 查询合规作业列表 √ x 查询合规作业详情 √ x 创建合规作业 √ x 操作合规作业和作业队列 √ x 删除合规作业 √ x 数据处理 ALL ALL √ √ 工作空间 ALL 获取工作空间列表 √ √ 查看工作空间详情 √ √ 创建工作空间 √ x 编辑工作空间 √ x 删除工作空间 √ x 更详细的细粒度策略支持的授权项请参考《Octopus API参考》中“策略及授权项说明”章节。

个人数据说明 Octopus自动驾驶服务平台在自动驾驶开发的过程中，在以下场景中需要您同意授权我们收集和使用您的内容数据。 其中可能包括个人信息或个人敏感信息，对于这部分数据您有义务根据所适用国家的法律制定必要的用户隐私政策并采取足够的措施以确保用户的个人数据受到充分的保护。 详细的数据说明如下： 表1 个人数据说明 使用个人数据的场景 数据批导 数据集 通用存储 数据合规递送 收集的个人数据项 路采数据包（含有人像的2D图片，音频或视频） 自定义数据集（含有人像的2D图片，音频或视频） 路采数据包（含有人像的2D图片，音频或视频） 个人数据收集的来源和方式 对象存储导入 本地 标注 OBS 通用存储 数据递送 使用个人数据的目的以及安全保护措施 路采数据导入平台转换为平台支持的opendata格式 用于数据转换，标注，训练，仿真服务 对数据包中的人脸、车牌、点云、高程进行脱敏 个人数据的存留期限与存留策略 用户自行决定存留期限和策略。 用户自行决定存留期限和策略。 合规数据推送到数据服务后，会将源数据删除。 个人数据的销毁方式 用户自行删除 用户自行删除 平台删除 个人数据的导出方式 不涉及 提供数据集导出功能 不涉及 个人数据的导出指导 不涉及 OBS导出 不涉及

故障恢复 Octopus全球基础设施围绕华为云区域和可用区构建。 华为云区域提供多个在物理上独立且隔离的可用区，这些可用区通过延迟低、吞吐量高且冗余性高的网络连接在一起。利用可用区，您可以设计和操作在可用区之间无中断地自动实现故障转移的应用程序和数据库。与传统的单个或多个数据中心基础设施相比，可用区具有更高的可用性、容错性和可扩展性。 Octopus通过对DB的数据进行备份，保证在原数据被破坏或损坏的情况下可以恢复业务。 父主题： 安全

服务韧性 韧性特指安全韧性，即云服务受攻击后的韧性，不含可靠性、可用性。本章主要阐述Octopus服务受入侵的检测响应能力、防抖动的能力、 域名 合理使用、内容安全检测等能力。 安全防护套件覆盖和使用 堡垒机 ，增强入侵检测和防御能力 Octopus服务部署主机层、应用层、网络层和数据层的安全防护套件。及时检测主机层、应用层、网络层和数据层的安全入侵行为。 Octopus服务涉及对互联网开放的Web应用，采用了统一推荐的Web安全组件防范Web安全风险，并且通过WAF进行安全防护。 所有承载Octopus服务的主机部署了主机安全防护和 容器安全 产品。包括不限于华为自研HSS/CGS或计算安全平台 CS P。 Octopus服务部署了 漏洞扫描服务 并自行进行例行扫描，能快速发现漏洞并能及时修复。 Octopus服务通过统一的安全管控平台对云上资源进行安全运维。 Octopus服务部署了态势感知服务，以感知攻击现状，还原攻击历史，同时及时发现合规风险，对威胁告警及时响应。 Octopus对存放关键数据的数据库部署了数据库安全服务。 云服务防抖动和遭受攻击后的应急响应/恢复策略 Octopus服务具备租户资源隔离能力，避免单租户资源被攻击导致爆炸半径大，影响其他租户。 Octopus服务具备资源池和隔离能力，避免单租户资源被攻击导致爆炸半径过大风险。 Octopus服务定义并维护了性能规格用于自身的抗攻击性。例如：设置API访问限制，防止恶意接口调用等场景。 Octopus服务在攻击场景下，具备告警能力及自我保护能力。 Octopus服务提供了业务异常行为感知能力。 Octopus服务具备遭受攻击时的风险控制和应急响应能力。例如快速识别恶意租户，恶意IP。 Octopus服务具备攻击流量停止后，快速恢复业务的能力。 云服务域名使用安全及租户内容安全策略 Octopus服务使用的租户可见域名、租户不可见域名均满足如下安全相关要求， 避免了域名使用过程中的合规和钓鱼风险。其中： 租户可见域名：指租户可访问的域名，需要格外重视安全性和合规性。 租户不可见域名：指华为云服务在内网相互调用使用的域名，外部用户无法访问到对应的权威DNS服务器；或者Internet受限访问域名，只允许华为办公网络黄&绿区华为员工及合作方或外包人员访问的域名。 华为云基础域名安全使用，避免直接为租户分配基础域名。 华为云服务在内网互相调用使用的域名，避免使用外部已备案域名。 父主题： 安全

数据保护技术 Octopus通过多种数据保护手段和特性，保障存储在Octopus中的数据安全可靠。 传输加密（HTTPS）：支持HTTP和HTTPS两种传输协议，为保证数据传输的安全性，推荐您使用更加安全的HTTPS协议。 数据备份：支持设置数据库的备份和恢复，来保障数据的可靠性。 权限最小化：临时AK/SK和SecurityToken是系统颁发给用户的临时访问令牌，通过接口设置有效期，范围为15分钟至24小时，过期后需要重新获取。临时AK/SK和SecurityToken遵循权限最小化原则。使用临时AK/SK鉴权时，临时AK/SK和SecurityToken必须同时使用。 父主题： 安全

访问控制 Octopus作为一个完备的自动驾驶工具链，支持用户对其进行细粒度的权限配置，以达到精细化资源、权限管理之目的。为了支持客户对Octopus的权限做精细化控制，提供了IAM权限控制方面的能力来支撑。 IAM权限控制。 用户使用Octopus的任何功能，都需要通过IAM权限体系进行正确的权限授权。例如：用户希望在Octopus创建训练作业，则该用户必须拥有 "训练服务" 的权限才可以完成操作（无论界面操作还是API调用）。 管理员新创建的用户在没有配置细粒度授权策略时，默认具有Octopus所有权限。如果需要控制用户的详细权限，管理员可以通过IAM为用户组配置细粒度授权策略，使用户获得策略定义的权限，操作对应云服务的资源。基于策略授权时，管理员可以按Octopus的资源类型选择授权范围。详细的资源权限项可以参见API参考中的权限策略和授权项章节。

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的 云安全 挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的IaaS、PaaS和SaaS各类各项云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。华为云租户的安全责任在于对使用的IaaS、PaaS和SaaS类各项云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、 虚拟主机 和访客虚拟机的操作系统，虚拟防火墙、API网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

对象存储服务OBS 对象存储服务（Object Storage Service，OBS）是一个基于对象的海量存储服务，为客户提供海量、安全、高可靠的数据存储能力。 Octopus服务使用对象存储服务（Object Storage Service， 简称OBS）存储原始数据包以及预处理后的视频、抽帧图片等数据，实现安全、高可靠和低成本的存储需求。 OBS的更多信息请参见《对象存储服务控制台指南》。 表1 Octopus各环节与OBS的关系 功能 子任务 Octopus与OBS的关系 数据资产 地图管理 高精地图上传后存储在OBS中。 标定管理 传感器标定上传的标定文件存储在OBS中。 数据场景 场景挖掘后切出的数据包片段存储在OBS中。 数据集 数据集存储在OBS中。 数据集的标注信息存储在OBS中。 模型管理 模型文件存储在OBS中。 通用存储 支持数据导出存储在OBS中。 数据处理 数据批导 支持导入OBS存储数据，支持实时扫描数据在OBS客户端操作。 数据处理 数据处理后的结果存储在OBS中。 标注服务 项目管理 标注的图片、点云数据存储在OBS中。 标注信息数据、标注规范存储在OBS中。 标注任务日志和审核报告存储在OBS中。 训练服务 算法管理 算法文件存储在OBS中。 训练任务 训练产物、训练任务日志存储在OBS中。 模型评测 评测脚本文件、评测产物、评测任务日志存储在OBS中。 编译管理 编译产物、编译任务日志存储在OBS中。 仿真服务 场景管理 场景文件存储在OBS中。 逻辑场景管理 逻辑场景的参数空间敏感性分析文件存储在OBS中。 并行仿真 仿真结果存储在OBS中。 智驾模型服务 2D图像生成 获取OBS访问授权，生成的2D图像存储在OBS中。 模型微调 获取OBS访问授权，模型微调使用的训练数据集从OBS中获取。 运维配置 无 获取访问授权（使用委托或访问密钥授权），以便Octopus可以使用OBS存储数据。

客户域名解绑并绑定流域名（需要保证客户域名验证已成功完成） 如果使用了华为方案，实施了5.3.2验证了客户域名，需要先在 集成工作台 解绑该域名（未使用5.3.3方案则跳过步骤1）。 进入API生命周期， 进入api分组-api_flow, 进入域名管理，解除前面绑定的独立域名，点击确定 登录集成工作台，点击"API流域名管理"，复制分组子域名 将客户域名解析到上述复制的子域名（解析过程需要联系客户域名管理者进行处理） 解析完成后，在集成工作台，将API流子域名绑定到客户域名 点击域名后的"添加SSL证书"，输入证书名称，证书内容和密钥找客户域名提供者获取（证书内容和密钥内容为pem格式），上传，确定。 父主题： 前期准备

通过流模板创建第一条SAP单据同步企业微信审批流 选择"SAP同步企业微信审批模板-基于SQLQUERY"流模板，创建流 配置同步周期，默认1分钟，可修改，配置完下一步 配置查询SAP主表数据SQL语句，以及sql字段和企业微信表单主表字段的映射关系， 注：sql里必须有主键字段，sql查出的字段如果不需要对应企业微信字段，企业微信字段添加一个空输入框即可 下一步， 配置查询SAP子表数据SQL语句，以及sql字段和企业微信表单子表字段的映射关系， 注：sql里必须有主键字段，sql查出的字段如果不需要对应企业微信字段，企业微信字段添加一个空输入框即可 下一步， 创建企业微信连接 输入企业微信企业ID和应用Secret，获取方式如下 企业ID: 应用Secert： 获取后，分别填入企业id和应用id两个值里面，保存。 创建SAP连接 输入service layer访问地址、登录数据库、用户名、密码信息，保存，创建SAP连接 下一步 完成相关配置，包括企业微信表单ID（每一个流对应一个企业微信表单），单据类型选择，单据主键字段选择，主键字段类型选择（选项中没有的字段需要自行添加），SAP中表示企业微信审批提交人ID的字段名（自定义字段，需要在SQL语句中查出来）等，下一步 按需配置SAP中表示是否同步和企业微信审批流程的字段（在SAP中添加如下两个自定义字段，字段名与下图一致） 创建 更新SqlQuery子流配置 下一步 下一步 更新 父主题： 基于我的流模板创建流

通过流模板创建自定义单据回调流 对于自定义单据和正式单据，不是走SAP标准审批流，此时用"泛微OA审批结果接收流_正式单据_24_6_1"来接收泛微OA回调的结果并同步到SAP系统中 在我的流模板中选择"泛微OA审批结果接收流_正式单据_24_6_1"，创建流 配置中的连接信息前面已经创建，直接下一步 配置SAP中审批单据里的自定义流程ID字段，默认是"U_REQUESTID"，根据实际字段名配置，选择审批结果接受流对应的单据 配置SAP单据中表示审批通过或者拒绝的字段名，默认为"U_SUC CES S"，根据实际情况修改，修改后注意点击右上角"保存" 创建 记录流接口地址和AppCode 保存或者退出，将上述接口url地址和AppCode配置到OA（具体配置联系OA相关人员） 父主题： 通过流模板创建SAP审批回调同步流

创建首条审批单据同步流 在客户账号，进入我的流模板，选择"SAP同步钉钉审批模板-基于SQLQUERY"同步流模板，选择"创建流" 配置定时任务同步周期，默认1分钟，可以修改，配置完下一步 配置主表SQL，以及sql字段和钉钉表单主表字段的映射关系 配置子表SQL，以及sql字段和钉钉子表字段的映射关系 创建钉钉连接 填写钉钉应用的appkey和appsecret（在钉钉系统应用中获取） 创建SAP service layer连接 输入Service layer访问地址、数据库、用户名、密码、语言等信息，创建连接 创建后连接自动使用，下一步 完成相关配置，包括单据类型、SAP主表主键字段、SAP主键字段类型、SAP对应钉钉提交人的字段名、SAP对应钉钉部门提交人ID、钉钉审批表单的ID等信息，下一步 配置SAP中表示单据是否同步以及记录instanceID的字段名，默认是"U_ISSYN"、"U_instanceID"字段，可修改 创建 配置SqlQuery子流 下一步 下一步 更新 父主题： 基于我的流模板创建流