华为云用户手册

背景信息 智能边缘平台（Intelligent EdgeFabric，简称IEF ）满足客户对边缘计算资源的远程管控、数据处理、分析决策、智能化的诉求， 为企业提供边、云协同的一体化边缘计算解决方案。更多介绍，请参见智能边缘平台。 在AstroZero中，通过应用与华为IEF（Intelligent EdgeFabric）对接，实现在5G智慧加油站解决方案中，通过华为云IEF服务来纳管边缘节点，并通过IEF云边通信能力来向边缘节点发送业务命令。

在脚本中调用连接器 在脚本中，调用连接器实现调用IEF的接口。 参考开发一个简单脚本实例中操作，创建一个空白脚本。 图5 新建空白脚本 在脚本编辑器中，输入如下代码。 import { Decimal } from 'decimal'; import { Error } from 'error'; import * as ief from 'ief'; export class Input { @action.param({ type: "String", required: true, description: "type" }) project_id: string; // @action.param({ type: "String", required: true, description: "the operation value 2" }) // node_id: string; } export class Output { @action.param({ type: "Object", required: true }) result: Object; } export class Calculator { @action.method({ input: "Input", output: "Output", description: "do a operation" }) run(input: Input): Output { let output = new Output(); let cli = ief.newClient("ief_test"); output.result = cli.getProjectNode(input.project_id); //console.log(output.result); return output; } } 其中，ief.newClient("ief_test")中的“ief_test”为连接器的名称。 单击脚本编辑器页面上方的，保存脚本。 保存成功后，单击，运行脚本。 在输入参数页签，输入请求参数的项目ID，单击测试窗口右上角的。 { "project_id":"XXXXXXXXXXX" } 在输出参数页签，显示出边缘节点列表，表示执行脚本成功。 单击脚本编辑器页面上方的，启用脚本。

认识事件编排器 图1 事件编排器 事件编排是页面的重要组成部分，用于承载页面中的逻辑，完成事件响应，以帮助用户快速高效地实现页面所需要呈现的功能效果。 事件行为区：集中存放事件编排过程中使用的行为节点，包括系统内置的动作（例如打开页面、弹出页面、显示或隐藏控件、定时任务、提交表单、重置表单等）和自定义动作（例如获取当前组件、获取页面模型等）。 事件定义区：事件编排的操作区域，完成对事件逻辑的编排。开发者在代码编写过程中，键入特定的字符，界面会进行提示，从而自动构建智能代码补全服务，增强IDE代码补全能力。 事件内置API补全：输入“context”后，提示事件代码内可调用的API。 图2 事件内置API补全 模型名称补全：输入“context.$model.ref”后，提示当前页面中的模型。 图3 模型名称补全 服务编排名称补全：输入“context.flow”后，提示当前租户下的服务编排。 图4 服务编排名称补全 事件名称补全：输入“context.script”后，提示当前租户下的事件。 图5 事件名称补全 服务名称补全：输入“context.service”后，提示当前租户下的 API服务 ，选择API服务名称后自动补全服务地址。 图6 服务名称补全 图7 自动补全服务地址 华为OneMobile API补全：输入“xm”后，提示华为OneMobile小程序中的API。 图8 华为OneMobile API补全 WeLink API补全：输入“HWH5”后提示WeLink小程序中的API。 图9 WeLink API补全

与其他服务的关系 与代码检查服务的关系 开源治理服务中的代码检查功能由独立的代码检查（CodeArts Check）云服务提供，用户可以通过超链接跳转至代码检查的页面进行使用。当前代码检查是CodeArts云服务下的子服务，用户需开通CodeArts服务方可使用。 与漏洞管理服务的关系 开源治理服务中的主机和Web 漏洞扫描 功能由独立的漏洞管理（CodeArts Inspector）云服务提供，用户可以通过超链接跳转至漏洞管理服务页面执行相关主机和Web的漏洞扫描。

操作步骤 使用合作伙伴账号登录华为云。 单击页面右上角账号下拉框中的“伙伴中心”，进入伙伴中心。 在顶部导航栏中选择“主页”。 在“账户余额”区域，单击“提现”，进入“提现”页面。 在“可原路提现金额”区域，单击“立即提现”，进入“原路提现”页面。 设置“本次提现金额”，单击“下一步”。 确认流水信息，单击“确认提现”。 提现金额默认按照充值流水后进先出的原则退回到伙伴的充值账户，也可以按照伙伴指定的提现流水退回到伙伴的充值账户。 若充值账户为银行账户，则首次提现时，需要补录开户支行信息。 在系统弹出的“验证码验证”对话框中，获取并输入验证码。 单击“确定”。

创建源端和目的端的访问密钥（AK/SK）并授权 源端： 如果源端为华为云OBS桶，检查对应账号是否有AK/SK以及列举桶，获取桶位置，列举对象，获取对象元数据，获取对象内容等权限。如果没有，请参见创建访问密钥（AK/SK）和源端桶权限获取创建AK/SK并添加权限。 如果源端为其他云服务商，请参见各云服务商迁移教程中的准备工作创建AK/SK并添加权限。 目的端：请参见创建访问密钥（AK/SK）和目的端桶权限获取创建AK/SK并添加权限。

对象存储迁移 流程 您可直接登录管理控制台进行对象存储迁移操作，迁移流程如图1所示。 图1 对象存储迁移流程 具体说明： 创建源端和目的端的访问密钥（AK/SK）。 源端：参见源端云服务提供商的相关资料。 目的端：参见创建访问密钥（AK/SK）。 在 对象存储服务 中创建用于存放迁移数据的桶。 参见创建桶。 在对象存储迁移服务中创建迁移任务，开始迁移。 参见创建单个迁移任务。 在对象存储迁移服务中检查迁移任务的结果。 迁移任务成功，迁移完成。 迁移任务失败，查看失败详情并尝试重启。 参见查看迁移任务、管理迁移任务。

响应消息 响应参数说明请参见下表： 参数 是否必选 类型 取值范围 说明 resultCode M String 6 调用结果码。 具体请参见调用结果码说明。 resultMsg O String 255 调用结果描述。 info O InstanceInfo[] 实例详情 InstanceInfo数据结构定义如下： 参数 是否必选 类型及范围 取值范围 参数说明 instanceId M String 64 实例id appInfo O AppInfo N/A 应用实例信息。 客户购买商品后，商家需要返回登录服务地址（网站地址）或免登地址供客户后续操作。 说明： SaaS商品必须向客户提供应用使用信息，包括使用地址、账号、密码等。 如可实现通过短信、邮件等其他方式发送使用信息，则接口中允许不响应；否则，必须在接口中返回应用实例信息。 如使用信息不仅包含使用地址及账号密码，可通过如下memo参数灵活返回其他使用信息或使用说明等。 appInfo数据结构定义请参见下表。 usageInfo O UsageInfo[ N/A 应用实例关联的用量信息，按需和按需套餐包实例需要返回，对应按需套餐包，需要分别返回套餐包关联的所有费用项的用量信息。 appInfo数据结构定义如下： 参数 是否必选 类型及范围 取值范围 参数说明 frontEndUrl M String 512 前台地址。 客户购买商品后，可以访问的网站地址。 adminUrl O String 512 管理地址。 客户购买商品后，可以访问的管理后台地址。 userName O String 128 管理员帐号。 password O String 128 管理员初始密码。 memo O String 1024 备注。 说明： 如果备注包含中文内容，请将中文转换成unicode编码，例如：“中文”可以转换成“\u4e2d\u6587”。 UsageInfo数据结构定义如下： 参数 是否必选 类型及范围 最大字符长度 参数说明 relatedInstanceId O String 64 关联的按需实例ID，当查询按需套餐包实例的用量数据时，还需要返回此用量对应的按需实例id，譬如，当前套餐包包含短信100条和彩信50条，则在查询此套餐包的用量扣减时需要返回两个UsageInfo信息，分别对应短信和彩信的用量信息，relatedInstanceId分别对应短信和彩信按需实例ID usageValue M Double(12,4) 20 使用量具体值，最多支持4位有效小数，对于按需实例，应该是一个总体的累积值，对于按需套餐包实例，应该是套餐包的已用用量信息 statisticalTime M String 20 使用量统计时间，取UTC时间。 格式：yyyyMMddHHmmssSSS dashboardUrl O String 512 用量详细查看看板地址。 客户购买按需或按需套餐包商品后，可以在这个平台查看具体的用量信息。 响应消息示例： { "resultCode" : "000000", "resultMsg" : "success.", "encryptType" : "1", "info" : [{ "instanceId" : "ebc28eb6-4606-4098-b4bd-c201c99a0654", "appInfo" : { "frontEndUrl" : "https://www.***.com", "adminUrl" : "https://www.*****.com/admin", "userName" : "*****", "password" : "*****", "memo" : "have a test, 测试！" }, "usageInfo" : [{ "relatedInstanceId" : "ebc28eb6-4606-4098-b4bd-c201c99a0654", "usageValue" : "0.12", "statisticalTime" : "20221101025113409", "dashboardUrl" : "https://www.baidu.com/dashboard" } ] }, { "instanceId" : "fe28e27e-1157-4105-8592-24cc9488db10", "appInfo" : { "frontEndUrl" : "https://www.***.com", "adminUrl" : "https://www.***.com/admin", "userName" : "*****", "password" : "*****", "memo" : "have a test, 测试！" }, "usageInfo" : [{ "relatedInstanceId" : "fe28e27e-1157-4105-8592-24cc9488db10", "usageValue" : "2042", "statisticalTime" : "20221101025113409", "dashboardUrl" : "https://www.baidu.com/dashboard" } ] }, { "instanceId" : "92df74e4-163e-4e0b-a206-d9800d33881b", "appInfo" : { "frontEndUrl" : "https://www.baidu.com", "adminUrl" : "https://www.baidu.com/admin", "userName" : "huawei", "password" : "huawei123456", "memo" : "have a test, 测试！" }, "usageInfo" : [{ "relatedInstanceId" : "ebc28eb6-4606-4098-b4bd-c201c99a0654", "usageValue" : "3309", "statisticalTime" : "20221101025113409", "dashboardUrl" : "https://www.baidu.com/dashboard" }, { "relatedInstanceId" : "fe28e27e-1157-4105-8592-24cc9488db10", "usageValue" : "3309", "statisticalTime" : "20221101025113409", "dashboardUrl" : "https://www.baidu.com/dashboard" } ] } ] }

请求方法：GET 请求参数说明请参见下表： 表1 请求参数表 参数 是否必选 类型 最大字符长度 说明 authToken M String 50 安全校验令牌。 取值请参见authToken取值说明。 activity M String 20 接口请求标识，用于区分接口请求场景。 查询实例场景取值：queryInstance timeStamp M String 20 请求发起时的时间戳，取UTC时间。 格式：yyyyMMddHHmmssSSS instanceId M String 64 实例ID，支持批量，多个实例批量查询时用逗号分隔，单次最多支持100个实例查询。 testFlag O String 2 是否为调试请求。 1：调试请求 0：非调试业务 默认取值为“0”。 请求示例： https://example.isv.com?activity=queryInstance&instanceId=ebc28eb6-4606-4098-b4bd-c201c99a0654%2Cfe28e27e-1157-4105-8592-24cc9488db10%2C92df74e4-163e-4e0b-a206-d9800d33881b&testFlag=1&timeStamp=20230327065233980&authToken=Eh%2F3Ud%2BR1j3d%2FwOui5CAcvRipM8IuribvgkXfJAsTfE%3D

响应消息 响应参数说明请参见下表： 表2 响应参数表 参数 是否必选 类型 最大字符长度 说明 resultCode M String 6 调用结果码。 具体请参见调用结果码说明。 resultMsg O String 255 调用结果描述。 encryptType O String 3 敏感信息加密算法 1：AES256_CBC_PK CS 5Padding（默认值） 2：AES128_CBC_PKCS5Padding 说明： 敏感信息加密算法是AES256_CBC_PKCS5Padding时返回值为1； 敏感信息加密算法是AES128_CBC_PKCS5Padding时返回值为2； info O InstanceInfo[] / 实例详情 InstanceInfo数据结构定义如下： 参数 是否必选 类型及范围 最大字符长度 参数说明 instanceId M String 64 实例id appInfo O AppInfo N/A 应用实例信息。 客户购买商品后，商家需要返回登录服务地址（网站地址）或免登地址供客户后续操作。 说明： SaaS商品必须向客户提供应用使用信息，包括使用地址、账号、密码等。 如可实现通过短信、邮件等其他方式发送使用信息，则接口中允许不响应；否则，必须在接口中返回应用实例信息。 如使用信息不仅包含使用地址及账号密码，可通过如下memo参数灵活返回其他使用信息或使用说明等。 appInfo数据结构定义请参见下表。 usageInfo O UsageInfo[] N/A 应用实例关联的用量信息，按需和按需套餐包实例需要返回，对应按需套餐包，需要分别返回套餐包关联的所有费用项的用量信息。 AppInfo数据结构定义如下： 参数 是否必选 类型及范围 最大字符长度 参数说明 frontEndUrl M String 512 前台地址。 客户购买商品后，可以访问的网站地址。 adminUrl O String 512 管理地址。 客户购买商品后，可以访问的管理后台地址。 userName O String 128 加密后的管理员账号。 客户购买商品后，访问商家管理后台的账号（一般为邮箱和手机号）。该值由16位iv加密向量和base编码后的用户名密文组成。 iv+base64(AES_CBC(accessKey,userName)) 需要使用Key值对账号做加密处理，加密算法以encryptType参数为准。代码示例请参见ISV Server对资源开通后的用户名和密码加密。 password O String 128 加密后的管理员初始密码。 客户购买商品后，访问商家管理后台的密码（一般由商家生成）。该值由16位iv加密向量和base编码后的密码密文组成。 iv+base64(AES_CBC(accessKey,pwd)) 需要使用Key值对密码做加密处理，加密算法以encryptType参数为准。代码示例请参见ISV Server对资源开通后的用户名和密码加密。 memo O String 1024 备注。 说明： 如果备注包含中文内容，请将中文转换成unicode编码，例如：“中文”可以转换成“\u4e2d\u6587”。 UsageInfo数据结构定义如下： 参数 是否必选 类型及范围 最大字符长度 参数说明 relatedInstanceId O String 64 关联的按需实例ID，当查询按需套餐包实例的用量数据时，还需要返回此用量对应的按需实例id，譬如，当前套餐包包含短信100条和彩信50条，则在查询此套餐包的用量扣减时需要返回两个UsageInfo信息，分别对应短信和彩信的用量信息，relatedInstanceId分别对应短信和彩信按需实例ID usageValue M Double(12,4) 20 使用量具体值，最多支持4位有效小数，对于按需实例，应该是一个总体的累积值，对于按需套餐包实例，应该是套餐包的已用用量信息 statisticalTime M String 20 使用量统计时间，取UTC时间。 格式：yyyyMMddHHmmssSSS dashboardUrl O String 512 用量详细查看看板地址。 客户购买按需或按需套餐包商品后，可以在这个平台查看具体的用量信息。 响应消息示例： { "resultCode" : "000000", "resultMsg" : "success.", "encryptType" : "1", "info" : [{ "instanceId" : "ebc28eb6-4606-4098-b4bd-c201c99a0654", "appInfo" : { "frontEndUrl" : "https://www.***.com", "adminUrl" : "https://www.*****.com/admin", "userName" : "*****", "password" : "*****", "memo" : "have a test, 测试！" }, "usageInfo" : [{ "relatedInstanceId" : "ebc28eb6-4606-4098-b4bd-c201c99a0654", "usageValue" : "0.12", "statisticalTime" : "20221101025113409", "dashboardUrl" : "https://www.baidu.com/dashboard" } ] }, { "instanceId" : "fe28e27e-1157-4105-8592-24cc9488db10", "appInfo" : { "frontEndUrl" : "https://www.***.com", "adminUrl" : "https://www.***.com/admin", "userName" : "*****", "password" : "*****", "memo" : "have a test, 测试！" }, "usageInfo" : [{ "relatedInstanceId" : "fe28e27e-1157-4105-8592-24cc9488db10", "usageValue" : "2042", "statisticalTime" : "20221101025113409", "dashboardUrl" : "https://www.baidu.com/dashboard" } ] }, { "instanceId" : "92df74e4-163e-4e0b-a206-d9800d33881b", "appInfo" : { "frontEndUrl" : "https://www.baidu.com", "adminUrl" : "https://www.baidu.com/admin", "userName" : "huawei", "password" : "huawei123456", "memo" : "have a test, 测试！" }, "usageInfo" : [{ "relatedInstanceId" : "ebc28eb6-4606-4098-b4bd-c201c99a0654", "usageValue" : "3309", "statisticalTime" : "20221101025113409", "dashboardUrl" : "https://www.baidu.com/dashboard" }, { "relatedInstanceId" : "fe28e27e-1157-4105-8592-24cc9488db10", "usageValue" : "3309", "statisticalTime" : "20221101025113409", "dashboardUrl" : "https://www.baidu.com/dashboard" } ] } ] }

请求方法：GET 请求参数说明请参见下表： 表1 请求参数表 参数 是否必选 类型 最大字符长度 说明 authToken M String 50 安全校验令牌。 取值请参见authToken取值说明。 activity M String 20 接口请求标识，用于区分接口请求场景。 查询实例场景取值：queryInstance timeStamp M String 20 请求发起时的时间戳，取UTC时间。 格式：yyyyMMddHHmmssSSS instanceId M String 64 实例ID，支持批量，多个实例批量查询时用逗号分隔，单次最多支持100个实例查询。 testFlag O String 2 是否为调试请求。 1：调试请求 0：非调试业务 默认取值为“0”。 请求示例： https://example.isv.com?activity=queryInstance&instanceId=ebc28eb6-4606-4098-b4bd-c201c99a0654%2Cfe28e27e-1157-4105-8592-24cc9488db10%2C92df74e4-163e-4e0b-a206-d9800d33881b&testFlag=1&timeStamp=20230327065233980&authToken=Eh%2F3Ud%2BR1j3d%2FwOui5CAcvRipM8IuribvgkXfJAsTfE%3D

响应消息 响应参数说明请参见下表： 表2 响应参数表 参数 是否必选 类型 最大字符长度 说明 resultCode M String 6 调用结果码。 具体请参见调用结果码说明。 resultMsg O String 255 调用结果描述。 encryptType O String 3 敏感信息加密算法 1：AES256_CBC_PKCS5Padding（默认值） 2：AES128_CBC_PKCS5Padding 说明： 敏感信息加密算法是AES256_CBC_PKCS5Padding时返回值为1； 敏感信息加密算法是AES128_CBC_PKCS5Padding时返回值为2； info O InstanceInfo[] / 实例详情 InstanceInfo数据结构定义如下： 参数 是否必选 类型及范围 最大字符长度 参数说明 instanceId M String 64 实例id appInfo O AppInfo N/A 应用实例信息。 客户购买商品后，商家需要返回登录服务地址（网站地址）或免登地址供客户后续操作。 说明： SaaS商品必须向客户提供应用使用信息，包括使用地址、账号、密码等。 如可实现通过短信、邮件等其他方式发送使用信息，则接口中允许不响应；否则，必须在接口中返回应用实例信息。 如使用信息不仅包含使用地址及账号密码，可通过如下memo参数灵活返回其他使用信息或使用说明等。 appInfo数据结构定义请参见下表。 usageInfo O UsageInfo[] N/A 应用实例关联的用量信息，按需和按需套餐包实例需要返回，对应按需套餐包，需要分别返回套餐包关联的所有费用项的用量信息 AppInfo数据结构定义如下： 参数 是否必选 类型及范围 最大字符长度 参数说明 frontEndUrl M String 512 前台地址。 客户购买商品后，可以访问的网站地址。 adminUrl O String 512 管理地址。 客户购买商品后，可以访问的管理后台地址。 userName O String 128 加密后的管理员账号。 客户购买商品后，访问商家管理后台的账号（一般为邮箱和手机号）。该值由16位iv加密向量和base编码后的用户名密文组成。 iv+base64(AES_CBC(accessKey,userName)) 需要使用Key值对账号做加密处理，加密算法以encryptType参数为准。代码示例请参见ISV Server对资源开通后的用户名和密码加密。 password O String 128 加密后的管理员初始密码。 客户购买商品后，访问商家管理后台的密码（一般由商家生成）。该值由16位iv加密向量和base编码后的密码密文组成。 iv+base64(AES_CBC(accessKey,pwd)) 需要使用Key值对密码做加密处理，加密算法以encryptType参数为准。代码示例请参见 ISV Server对资源开通后的用户名和密码加密。 memo O String 1024 备注。 说明： 如果备注包含中文内容，请将中文转换成unicode编码，例如：“中文”可以转换成“\u4e2d\u6587”。 UsageInfo数据结构定义如下： 参数 是否必选 类型及范围 最大字符长度 参数说明 relatedInstanceId O String 64 关联的按需实例ID，当查询按需套餐包实例的用量数据时，还需要返回此用量对应的按需实例id，譬如，当前套餐包包含短信100条和彩信50条，则在查询此套餐包的用量扣减时需要返回两个UsageInfo信息，分别对应短信和彩信的用量信息，relatedInstanceId分别对应短信和彩信按需实例ID usageValue M Double(12,4) 20 使用量具体值，最多支持4位有效小数，对于按需实例，应该是一个总体的累积值，对于按需套餐包实例，应该是套餐包的已用用量信息 statisticalTime M String 20 使用量统计时间，取UTC时间。 格式：yyyyMMddHHmmssSSS dashboardUrl O String 512 用量详细查看看板地址。 客户购买按需或按需套餐包商品后，可以在这个平台查看具体的用量信息。 响应消息示例： { "resultCode" : "000000", "resultMsg" : "success.", "encryptType" : "1", "info" : [{ "instanceId" : "ebc28eb6-4606-4098-b4bd-c201c99a0654", "appInfo" : { "frontEndUrl" : "https://www.***.com", "adminUrl" : "https://www.***.com/admin", "userName" : "******", "password" : "********", "memo" : "have a test, 测试！" }, "usageInfo" : [{ "relatedInstanceId" : "ebc28eb6-4606-4098-b4bd-c201c99a0654", "usageValue" : "0.12", "statisticalTime" : "20221101025113409", "dashboardUrl" : "https://www.baidu.com/dashboard" } ] }, { "instanceId" : "fe28e27e-1157-4105-8592-24cc9488db10", "appInfo" : { "frontEndUrl" : "https://www.****.com", "adminUrl" : "https://www.*****.com/admin", "userName" : "******", "password" : "***********", "memo" : "have a test, 测试！" }, "usageInfo" : [{ "relatedInstanceId" : "fe28e27e-1157-4105-8592-24cc9488db10", "usageValue" : "2042", "statisticalTime" : "20221101025113409", "dashboardUrl" : "https://www.baidu.com/dashboard" } ] }, { "instanceId" : "92df74e4-163e-4e0b-a206-d9800d33881b", "appInfo" : { "frontEndUrl" : "https://www.*****.com", "adminUrl" : "https://www.*****.com/admin", "userName" : "*****", "password" : "*******", "memo" : "have a test, 测试！" }, "usageInfo" : [{ "relatedInstanceId" : "ebc28eb6-4606-4098-b4bd-c201c99a0654", "usageValue" : "3309", "statisticalTime" : "20221101025113409", "dashboardUrl" : "https://www.baidu.com/dashboard" }, { "relatedInstanceId" : "fe28e27e-1157-4105-8592-24cc9488db10", "usageValue" : "3309", "statisticalTime" : "20221101025113409", "dashboardUrl" : "https://www.baidu.com/dashboard" } ] } ] }

获取软件包下载地址 在做应用自动化部署时，商家需要将软件包上传到云商店资产中心，资产的创建和软件包的上传请参考《新增资产操作指导》。 资产创建成功后，商家将获得资产ID、资产类型和资产的版本，如下图所示。 资产ID、资产类型和资产版本将在Terraform模板中使用，商家可以通过Data Sources：huaweicloud_koogallery_assets，查询托管在云商店的软件包，示例代码如下，商家可以在Shell和PowerShell脚本中通过${ software_url_decode }获得软件包的下载地址，获得下载地址后，商家可以下载软件包并进行解压安装。 data "huaweicloud_koogallery_assets" "assets" { asset_id = "asset_id" deployed_type = "software_package" asset_version = "V1.0" } locals { software_url = data.huaweicloud_koogallery_assets.assets.assets[0].software_pkg_deployed_object[0].internal_path software_url_decode = jsondecode("\"${local.software_url}\"") } 父主题： 发布应用资产，上传软件包和模板

一级 域名 有备案号 如果一级域名与二级域名为同一接入商，一级域名备案成功后使用二级域名无需备案（政府组成部门的二级域名需要备案）。 如果一级域名与二级域名为不同接入商，一级域名在原来的接入商备案成功后，在二级域名解析指向的新的接入商处需要将该一级域名进行新增接入备案，并将所接入二级域名填写在备案信息备注中。 示例： ***.com在A接入商备案，***.***.com在华为云接入（域名解析到华为云IP），则***.com需要在华为云申请新增接入备案。 政府机构后缀为.gov.cn的二级域名需要备案。 事业单位进行 ICP 备案，网站应用服务使用的域名需带有“.cn”或“.公益”后缀，历史备案成功信息中非“.cn”或“.公益”的网站，可能无法进行变更

法人授权书在哪下载 法人授权书包括“授权主体负责人”和“授权网站负责人”两种。请根据需要选择所需的模板，如表1所示。 表1 备案材料下载模板 类别 模板下载地址 各省份通用 主体负责人授权书 ICP负责人授权书 不涉及药品及医疗器械承诺书（除特殊省份通用） 不涉及新闻承诺书（除特殊省份通用） 不涉及教育承诺书（除特殊省份通用） 不涉及互联网直播承诺书（除特殊省份通用） 不涉及规定文化类目经营承诺书（除特殊省份通用） ICP备案不涉及前置审批承诺书（除特殊省份通用） 不涉及出版物承诺书（除特殊省份通用） 不涉及保险承诺书（除特殊省份通用） 企业网站建设方案书 北京 北京不涉及前置审批承诺书（新闻/网约车） 北京注销网站备案申请表 北京不涉及医疗及药品承诺书 北京不涉及校外培训承诺书 北京不涉及文化承诺书 天津 天津注销网站备案申请表 天津网站迁移情况说明 天津不涉及前置审批承诺书（新闻/拍卖） 天津不涉及医疗器械承诺书 天津不涉及教育承诺书 天津不涉及规定文化类目经营承诺书 天津不涉及前置审批承诺书（广播） 河北 河北不涉及药品及医疗器械承诺书 河北注销网站备案申请表 河北不涉及教育承诺书 河北不涉及规定文化类目经营承诺书. 河北不涉及前置审批承诺书（广播/网约车/出版） 山西 山西不涉及文化承诺书 山西不涉及教育承诺书 山西不涉及医疗器械承诺书 山西注销网站备案申请表（企业） 山西注销网站备案申请表（个人） 山西不涉及前置审批承诺书（网约车/广播/出版） 内蒙 内蒙古不涉及教育承诺书 内蒙古注销申请表 内蒙古不涉及在线直播教育承诺书 内蒙古不涉及药品及医疗器械承诺书 内蒙古不涉及增值电信业务承诺书（网站） 内蒙古不涉及增值电信业务承诺书（APP） 内蒙古新增接入承诺书（个人） 内蒙古新增接入承诺书（企业） 上海 上海域名授权书 上海不涉及文化承诺书（网站） 上海不涉及文化承诺书（APP） 上海非经营性互联网信息服务备案ICP负责人授权书模板（2023版） 上海市非经营性互联网信息服务备案承诺书-企业（2023版） 上海市非经营性互联网信息服务备案承诺书-个人（2023版） 江苏 江苏注销网站备案申请表 江苏省注销网站授权书 ICP备案信息真实性责任告知书 ICP备案信息真实性承诺书 浙江 浙江注销网站备案申请表 浙江省不涉及教育承诺书 安徽 安徽注销网站备案申请表 福建 福建不涉及前置审批承诺书 福建不涉及教育承诺书 江西 江西省注销网站备案申请表 江西不涉及前置审批承诺书（出版） 江西不涉及教育承诺书 江西不经营广播节目制作承诺书 江西不涉及药品及医疗器械承诺书 江西不涉及规定文化类目承诺书 广东 广东注销网站备案申请表 广东互联网信息服务备案承诺书（企业） 广东互联网信息服务备案承诺书（个人） 广东省线下培训承诺书 广东省线上培训承诺书 广东省不涉及校外培训承诺书 广西 广西不涉及药品及医疗器械承诺书 广西不涉及规定文化类目经营的承诺书 广西不涉及前置审批承诺书（广播/新闻/出版） 广西不涉及教育承诺书 广西注销网站备案申请表 海南 海南注销网站备案申请表 河南 河南注销网站备案申请表 河南电子商务承诺书 河南个人网站备案承诺书 河南商贸、百货备案承诺书 河南省不涉及相关审批的承诺书 湖北 湖北注销网站备案申请表 湖北不涉及销售备案承诺书（APP） 湖北不涉及销售备案承诺书（网站） 湖北不开展教育培训承诺书（APP） 湖北不开展教育培训承诺书（网站） 湖北涉及销售备案承诺书（APP） 湖北涉及销售备案承诺书（网站） 湖南 湖南注销网站备案申请表 湖南个人备案网站建设方案书 湖南不涉及药品及医疗器械承诺书 湖南不涉及教育承诺书 湖南不涉及规定文化类目经营承诺书 湖南不涉及前置审批承诺书（广播电视节目/网约车） 湖南不涉及出版承诺书 湖南不涉及新闻承诺书 陕西 陕西注销网站备案申请表 陕西不涉及药品及医疗器械承诺书 陕西不涉及规定文化类目经营承诺书 陕西不涉及前置审批承诺书（广播电视节目制作/新闻） 陕西不涉及教育承诺书 陕西不涉及出版承诺书 陕西不涉及网络预约车承诺书 甘肃 甘肃不涉及药品及医疗器械的情况说明 甘肃不涉及教育说明书 甘肃不涉及前置审批承诺书（新闻/出版/广播电视节目制作） 甘肃不涉及互联网金融说明书 甘肃不涉及规定文化类目经营的承诺书 青海 青海不涉及规定文化类目经营的承诺书 宁夏 宁夏网站情况说明书（备案网站数5个以上） 宁夏个人备案承诺书 宁夏不涉及非法应用人类辅助生殖技术经营活动承诺书（医疗服务、健康咨询、母婴保健） 重庆 重庆注销网站备案申请表 重庆企业备案承诺书 重庆个人备案承诺书 重庆不涉及药品及医疗器械承诺书 四川 四川关于不涉及前置审批承诺书 四川注销网站备案申请表 四川网站名称情况说明（网站名称与单位名称无关联） 四川备案情况说明（域名超过5个以上） 四川不涉及教育承诺书 四川不涉及药品及医疗器械承诺书 四川不涉及动漫游戏开发承诺书 四川不涉及互联网游戏承诺书 四川不涉及游戏开发承诺书 四川不涉及广播电视节目制作承诺书 四川不涉及信息网络试听传播节目承诺书 四川不涉及互联网新闻承诺书 四川不涉及保险代理业务承诺书 四川不涉及出版承诺书 四川不涉及金融承诺书 四川不涉及融资、融资担保承诺书 四川不涉及 区块链 承诺书 四川不涉及直播承诺书 贵州 贵州注销网站备案申请表 贵州不涉及前置审批的承诺书 黑龙江 黑龙江不涉及前置审批项承诺书（网站） 黑龙江不涉及前置审批项承诺书（APP） 黑龙江网站不涉及金融专项内容承诺书 吉林 吉林注销网站备案申请表 辽宁 辽宁不涉及药品及医疗器械承诺书 辽宁网站不涉及互联网金融承诺书 辽宁不涉及前置审批承诺书（新闻/文化/出版/广播） 辽宁不涉及教育承诺书 下载模板前，请先登录华为云平台。 如果未登录状态下直接单击下载地址，可能会出现页面跳转异常。此时，请根据界面提示登录华为云，并重新单击下载地址。 父主题： 上传资料与真实性核验

下载备案材料模板 各省份的备案材料下载模板如表1所示： 表1 备案材料下载模板 类别 模板下载地址 各省份通用 主体负责人授权书 ICP负责人授权书 不涉及药品及医疗器械承诺书（除特殊省份通用） 不涉及新闻承诺书（除特殊省份通用） 不涉及教育承诺书（除特殊省份通用） 不涉及互联网直播承诺书（除特殊省份通用） 不涉及规定文化类目经营承诺书（除特殊省份通用） ICP备案不涉及前置审批承诺书（除特殊省份通用） 不涉及出版物承诺书（除特殊省份通用） 不涉及保险承诺书（除特殊省份通用） 企业网站建设方案书 北京 北京不涉及前置审批承诺书（新闻/网约车） 北京注销网站备案申请表 北京不涉及医疗及药品承诺书 北京不涉及校外培训承诺书 北京不涉及文化承诺书 天津 天津注销网站备案申请表 天津网站迁移情况说明 天津不涉及前置审批承诺书（新闻/拍卖） 天津不涉及医疗器械承诺书 天津不涉及教育承诺书 天津不涉及规定文化类目经营承诺书 天津不涉及前置审批承诺书（广播） 河北 河北不涉及药品及医疗器械承诺书 河北注销网站备案申请表 河北不涉及教育承诺书 河北不涉及规定文化类目经营承诺书. 河北不涉及前置审批承诺书（广播/网约车/出版） 山西 山西不涉及文化承诺书 山西不涉及教育承诺书 山西不涉及医疗器械承诺书 山西注销网站备案申请表（企业） 山西注销网站备案申请表（个人） 山西不涉及前置审批承诺书（网约车/广播/出版） 内蒙 内蒙古不涉及教育承诺书 内蒙古注销申请表 内蒙古不涉及在线直播教育承诺书 内蒙古不涉及药品及医疗器械承诺书 内蒙古不涉及增值电信业务承诺书（网站） 内蒙古不涉及增值电信业务承诺书（APP） 内蒙古新增接入承诺书（个人） 内蒙古新增接入承诺书（企业） 上海 上海域名授权书 上海不涉及文化承诺书（网站） 上海不涉及文化承诺书（APP） 上海非经营性互联网信息服务备案ICP负责人授权书模板（2023版） 上海市非经营性互联网信息服务备案承诺书-企业（2023版） 上海市非经营性互联网信息服务备案承诺书-个人（2023版） 江苏 江苏注销网站备案申请表 江苏省注销网站授权书 ICP备案信息真实性责任告知书 ICP备案信息真实性承诺书 浙江 浙江注销网站备案申请表 浙江省不涉及教育承诺书 安徽 安徽注销网站备案申请表 福建 福建不涉及前置审批承诺书 福建不涉及教育承诺书 江西 江西省注销网站备案申请表 江西不涉及前置审批承诺书（出版） 江西不涉及教育承诺书 江西不经营广播节目制作承诺书 江西不涉及药品及医疗器械承诺书 江西不涉及规定文化类目承诺书 广东 广东注销网站备案申请表 广东互联网信息服务备案承诺书（企业） 广东互联网信息服务备案承诺书（个人） 广东省线下培训承诺书 广东省线上培训承诺书 广东省不涉及校外培训承诺书 广西 广西不涉及药品及医疗器械承诺书 广西不涉及规定文化类目经营的承诺书 广西不涉及前置审批承诺书（广播/新闻/出版） 广西不涉及教育承诺书 广西注销网站备案申请表 海南 海南注销网站备案申请表 河南 河南注销网站备案申请表 河南电子商务承诺书 河南个人网站备案承诺书 河南商贸、百货备案承诺书 河南省不涉及相关审批的承诺书 湖北 湖北注销网站备案申请表 湖北不涉及销售备案承诺书（APP） 湖北不涉及销售备案承诺书（网站） 湖北不开展教育培训承诺书（APP） 湖北不开展教育培训承诺书（网站） 湖北涉及销售备案承诺书（APP） 湖北涉及销售备案承诺书（网站） 湖南 湖南注销网站备案申请表 湖南个人备案网站建设方案书 湖南不涉及药品及医疗器械承诺书 湖南不涉及教育承诺书 湖南不涉及规定文化类目经营承诺书 湖南不涉及前置审批承诺书（广播电视节目/网约车） 湖南不涉及出版承诺书 湖南不涉及新闻承诺书 陕西 陕西注销网站备案申请表 陕西不涉及药品及医疗器械承诺书 陕西不涉及规定文化类目经营承诺书 陕西不涉及前置审批承诺书（广播电视节目制作/新闻） 陕西不涉及教育承诺书 陕西不涉及出版承诺书 陕西不涉及网络预约车承诺书 甘肃 甘肃不涉及药品及医疗器械的情况说明 甘肃不涉及教育说明书 甘肃不涉及前置审批承诺书（新闻/出版/广播电视节目制作） 甘肃不涉及互联网金融说明书 甘肃不涉及规定文化类目经营的承诺书 青海 青海不涉及规定文化类目经营的承诺书 宁夏 宁夏网站情况说明书（备案网站数5个以上） 宁夏个人备案承诺书 宁夏不涉及非法应用人类辅助生殖技术经营活动承诺书（医疗服务、健康咨询、母婴保健） 重庆 重庆注销网站备案申请表 重庆企业备案承诺书 重庆个人备案承诺书 重庆不涉及药品及医疗器械承诺书 四川 四川关于不涉及前置审批承诺书 四川注销网站备案申请表 四川网站名称情况说明（网站名称与单位名称无关联） 四川备案情况说明（域名超过5个以上） 四川不涉及教育承诺书 四川不涉及药品及医疗器械承诺书 四川不涉及动漫游戏开发承诺书 四川不涉及互联网游戏承诺书 四川不涉及游戏开发承诺书 四川不涉及广播电视节目制作承诺书 四川不涉及信息网络试听传播节目承诺书 四川不涉及互联网新闻承诺书 四川不涉及保险代理业务承诺书 四川不涉及出版承诺书 四川不涉及金融承诺书 四川不涉及融资、融资担保承诺书 四川不涉及区块链承诺书 四川不涉及直播承诺书 贵州 贵州注销网站备案申请表 贵州不涉及前置审批的承诺书 黑龙江 黑龙江不涉及前置审批项承诺书（网站） 黑龙江不涉及前置审批项承诺书（APP） 黑龙江网站不涉及金融专项内容承诺书 吉林 吉林注销网站备案申请表 辽宁 辽宁不涉及药品及医疗器械承诺书 辽宁网站不涉及互联网金融承诺书 辽宁不涉及前置审批承诺书（新闻/文化/出版/广播） 辽宁不涉及教育承诺书

步骤八：订购和使用云资源（操作主体：具备权限的用户） 创建好VPC和子网后，就可以为各个企业项目订购云资源了。首次在华为云上订购云资源时，往往会一次性订购大量的云资源，涉及的资源类型也很多，包括计算、存储、网络、数据库、安全、大数据等云资源，如果使用不同权限的用户组分别订购的话，来回切换用户组不是很方便，所以建议首次订购时直接使用admin组下的用户完成所有初始资源的订购。后面再由其他具备权限的用户组成员针对某类资源执行扩容、修改、启停等操作，如由计算管理组成员对云主机进行弹性伸缩设置、创建镜像、开关机等操作。 订购云资源时，需要选择将资源放入对应的VPC和子网。以企业项目“A1生产”为例，申购的ECS云主机时将其VPC设置为“VPC_部门A_生产”，如果该云主机用于部署应用软件，则将其子网设置为“A1应用子网”，如果该云主机用于部署数据库软件，则将其子网设置为“A1数据子网”。后续由安全管理员为“A1应用子网”和“A1数据子网”设置网络ACL进行安全访问控制。 订购云资源的时候要指定一个企业项目，这些订购的云资源被创建出来后将归属到该企业项目进行成本核算和权限控制，用户还可以在资源管理控制台、云服务器控制台等地方按照企业项目筛选查看资源。每个账号下面有一个default企业项目，可用于包含统一管理、统一订购的云资源，供其他企业项目共享使用，针对大型企业的特点，推荐但不局限于将以下云资源放到default项目进行共享： 表1 多个企业共享使用的云资源 资源分类 推荐放入default企业项目供其他企业项目共享使用的云资源 计算 镜像服务 IMS等 存储 云备份CBR（含云服务器备份、云硬盘备份和混合云备份）、 对象存储OBS 、CDN等 网络 虚拟私有云VPC 、共享带宽、云连接DC、域名解析DNS等 安全 DDoS高防等 应用中间件 应用与 数据集成平台 ROMA、API网关等 大数据及AI 智能数据湖 运营平台DAYU、 云数据迁移 CDM等 华为云上各个云服务在持续对接企业项目的过程中，目前阶段并不是所有的云服务都支持放置到企业项目，随着对接过程的完成，未来会更新上表中的内容。 订购云资源时或者在创建完资源后可以给这些资源打标签（需要具备TMS管理员权限），打完标签后，可以在资源管理控制台、云服务器控制台按照标签筛选查看资源，也可以在创建资源合规检查的时候按照标签筛选要检查的目标资源。 父主题： 云上IT治理最佳实践

步骤五：授予权限（操作主体：子账号） 表2中的用户组有不同的权限级别，权限级别为账号的用户组，如计算管理组、存储管理组、网络管理组等，其权限在 IAM 中授予。权限级别为企业项目的用户组，如应用开发组、应用测试组、应用管理组和项目管理组，其权限在企业项目中授予。 以集团公司的部门A为例，使用部门A的子账号登录华为云，进入IAM控制台，为计算管理组、存储管理组、网络管理组、安全管理组、数据库管理组、中间件管理组、大数据及AI管理组、财务管理组、统一运维组授予表2所推荐的权限。在IAM控制台进行授权时需要选择合适的作用范围：全局服务或者区域级项目，前者适用于全局级云服务，如OBS、TMS、CDN、SCM等云服务，后者适用于按区域部署的云服务，如ECS、RDS等。例如，为安全管理组授予SCM FullAccess权限时需要将作用范围选为全局服务；为数据库管理组授予RDS FullAccess权限时需要将作用范围选为区域级项目并选择具体的区域，按照最小授权原则，尽量不要选择“所有项目”，而是选择要管理的RDS资源所在的区域项目。 上述区域级项目是指IAM项目，默认情况下一个区域对应一个IAM项目。 然后进入企业项目控制台，为企业项目“A1生产”添加用户组“应用管理组for A1”并授予相应权限；为企业项目“A1开发”添加用户组“应用开发组 for A1”并授予相应权限。通过这种权限设置方式，用户组“应用管理组for A1”的成员（该成员没有加入其他用户组）只能访问企业项目“A1生产”内的云资源，同理，用户组“应用开发组 for A1”的成员（该成员没有加入其他用户组）只能访问企业项目“A1开发”内的云资源。部门A下面其他企业项目的用户组授权以此类推。 应用开发组、应用测试组和项目管理组的成员在为企业项目创建云资源时，可能会用到放置到default项目的共享云资源，例如创建一个ECS云主机时会用到default项目中的VPC、共享带宽等。因此需要在default项目中为这些用户组授予共享云资源的ReadOnly权限。 admin用户组是系统默认生成的，拥有账号下的所有操作权限，无需手动设置该用户组的权限。 图1所示的用户组划分方式将统一管控的范围限制在了部门级（对应子账号），无法做到公司级（对应主账号）的统一管控。如果大公司仍然希望在公司级进行统一资源管控，也可以考虑在公司级（主账号）下创建统一管控资源的用户组，然后在各个子账号下分别创建“普通账号”的委托类型，将子账号下面的资源管理权限委托给主账号，主账号再将这些委托权限分配给统一管控资源的用户组。 涉及到的操作如下： 创建用户组并授权：您可以通过 统一身份认证 服务（IAM）来创建用户组并授权。管理员可以创建用户组，并给用户组授予策略或角色，然后将用户加入用户组，使得用户组中的用户获得相应的权限。 为企业项目关联用户组并授权：将用户组与企业项目关联，并为其设置一定的权限策略，该用户组中的用户即可拥有策略定义的对该企业项目中资源的使用权限。 为企业项目关联用户并授权：将用户与企业项目关联，并为其设置一定的权限策略，该用户即可拥有策略定义的对该企业项目中资源的使用权限。 父主题： 云上IT治理最佳实践

大企业IT治理架构 大企业的业务覆盖范围很广泛，分布在不同的子行业和地理区域，为支持整个公司的长期稳定运行和有效管理，通常采用集团化和等级式管理模式。随着经营范围和规模的不断扩大，需要不断建立子公司、分公司，子公司再建立孙公司，大部门也逐步拆分成多个小部门，组织结构的层级也就越来越多。大企业的IT治理架构也会受到组织结构的影响，以下是一个典型的大企业IT治理架构，由于图片空间有限，该架构图中没有列出全部的层级，如IT项目A331的功能小组、成员和运行环境没有呈现出来。本章所描述的大企业IT治理最佳实践以下图的IT治理架构为基础，将其映射到华为云上有效运转起来。 图1 大企业IT治理架构 在上述大企业IT治理架构中，各个层级的具体含义如下： 集团公司：是指以资本为主要联结纽带，以母子公司为主体，以集团章程为共同行为规范的，由母公司、子公司及其他成员共同组成的企业法人联合体。 子公司：其50%以上有投票表决权的股份或资本被另一企业（母公司）所拥有的企业，母公司对子公司的一切重大事项拥有实际上的决定权。子公司具有独立法人资格，在法律上是完全独立的公司，是独立的核算主体和纳税主体。子公司可以根据经营管理需求再成立自己的子公司或分公司。 分公司：分公司是母公司管辖的分支机构，是指母公司在其住所以外设立的以自己的名义从事活动的机构。分公司不具有企业法人资格，其民事责任由母公司承担。 独立法人：独立法人是指依法在工商部门登记的拥有企业独立法人营业执照的经济组织，具备独立的民事行为能力，能够独立承担民事责任。 部门：母公司、子公司和分公司都可以基于自己的经营管理需求设立部门，如软件企业可以按照不同的软件产品线设立不同的部门，工业制造企业可以按照业务流程设立研发部、制造部、采购部、销售部、服务部等。大部门还可以再进一步拆分成小部门。 IT项目：企业按照自己的项目管理模式设置的信息化、数字化或软件开发项目，IT项目中应用系统的开发、测试、实施和运行需要消耗一定的计算、存储、网络、安全、数据库、中间件、大数据、AI服务等资源。 功能小组：参与IT项目的成员按照职责不同可以划分为不同的功能小组，如一个ERP项目可以划分为计算组、存储组、网络组、安全组、数据组、应用组、财务组、系统管理员组等。 成员：一个成员代表一个参与IT项目的人，可加入到同一部门下不同的IT项目和功能小组，但一般不参加其他部门的IT项目。 运行环境：IT项目中的应用系统（如ERP系统）通常要部署到不同的运行环境：互联网环境、生产环境、开发环境和测试环境。多个IT项目可以共享一套运行环境，大型IT项目（如大型电商、大型ERP系统）也可以独占一套运行环境。 上述大企业IT治理架构中各个层级之间的关系如下图所示： 图2 企业IT治理架构的层级关系 父主题： 大企业IT治理最佳实践

步骤二：规划和创建组织和子账号（操作主体：主账号） 以集团公司为例，使用上面创建的主账号登录华为云，进入企业中心页面，针对集团公司下面每一个管理IT项目的部门（部门A、部门A3）和分公司（分公司F），在华为云上分别创建对应层级的组织单元，如图1所示。并给每个组织单元添加一个子账号，该子账号代表该组织单元在华为云上行使管理职能。 创建子账号时，可以设置以下权限：查看子账号财务信息、查看子账号消费消息、禁止子账号自行开票、允许代子账号开票、允许子账号继承主账号商务折扣。 子部门A33虽然也管理IT项目，但属于三级部门，层级较深的部门不建议在华为云上创建对应的组织单元，而是将其管理的IT项目A331挂到上级部门A3下面，如图1所示。不管理IT项目的部门（部门B、子部门A4）和分公司（分公司E），与华为云不产生交互关系，所以无需为此在华为云上创建对应的组织单元。 涉及到的操作如下： 新建组织：企业主账号可以创建组织，用于将关联的子账号挂载在组织单元上，挂载后可以按组织统计资金的消费情况。 管理组织策略：您可以通过设置组织策略决定子账号的云服务访问权限。 关联子账号：企业主账号通过创建子账号或邀请子账号的方式，建立企业主子关联关系。您可以通过两种方式关联子账号，即新建子账号和邀请子账号。 给子账号授权：企业主账号可以在关联子账号时，完成主账号对子账号的授权，也可以在关联后变更子账号权限。您还可以查看权限说明，具体了解主账号与子账号组成的多种权限策略。 图1 集团公司映射到华为云 其他子公司和孙公司下面的组织按照同样的方式创建，如下图所示。 图2 子公司和孙公司映射到华为云 父主题： 云上IT治理最佳实践

步骤十：资源合规检查（操作主体：admin组成员） 使用一个admin组的成员登录华为云，进入配置审计控制台，添加资源合规规则，可以直接选用系统内置预设策略快速添加一组合规规则，用于评估资源是否满足合规要求。添加资源合规规则时可以指定评估的资源范围，还可以通过资源ID或标签指定资源类型下的某个具体资源参与规则评估。通过资源合规检查可以满足企业的安全合规要求。 在安全合规方面，启用华为 云安全 服务，如 企业主机安全 、 Web应用防火墙 、 云堡垒机 、数据库安全审计、加密服务、 态势感知 和MDR安全专业服务等，确保应用系统的安全合规和稳定运行。 父主题： 云上IT治理最佳实践

步骤四：规划和创建用户组（操作主体：子账号） 以集团公司的部门A为例，使用部门A的子账号登录华为云，进入IAM控制台，针对IT项目A1、A2下面的三个功能小组：应用开发组A、网络管理组B、应用管理组C，在华为云上创建与之对应的3个用户组，并创建用户A、B、C、D、E，加入到对应的用户组，如图1所示。 以子部门A3为例，使用子部门A3的子账号登录华为云，针对IT项目A31下面的功能小组：财务管理组D、应用测试组E，在华为云上创建与之对应的2个用户组，并创建用户F、G加入到对应的用户组。用户组、用户和企业项目的关系如表1所示。 表1 用户组及其参与的企业项目 华为云用户组 华为云用户 参与的企业项目 应用开发组A 用户A、用户B A1开发 网络管理组B 用户B、用户C、用户D A1生产、A1开发、A1测试、A2生产、A2开发、A2测试 应用管理组C 用户C、用户D、用户E A2生产 财务管理组D 用户F、用户G A31生产、A31开发、A32生产、A33测试 应用测试组E 用户G A32测试 上面的用户组划分并不全面，只是为了演示用户组和各个层级的关系，具体实践时的用户组划分更加复杂。下面着重考虑到大企业在统一运维管控和统一财务管控的诉求，为大企业在华为云上的一个子账号推荐用户组的具体划分方式，以及各个用户组的职责和应该具备的权限，如表2所示。权限级别为账号的用户组，如admin组、计算管理组、存储管理组、网络管理组等，在整个账号层面对资源进行统一管控。权限级别为企业项目的用户组，如应用开发组、应用测试组、应用管理组和项目管理组，仅管理所参与的1到多个企业项目的云资源。应用开发组成员只能访问和管理开发环境的云资源，应用测试组成员只能访问和管理测试环境的云资源。 表2 用户组划分及权限设置 用户组 权限级别 职责 推荐的权限 admin 账号 该用户组是默认生成的，拥有所有操作权限。该用户组不需要创建，也不能被删除。通常将账号所关联的组织单元的负责人加入到全局管理组 该用户组默认具备了所有操作权限，无需手动设置该用户组的权限 计算管理组 账号 该组成员负责统一管理和运维账号下所有的计算资源，包括云主机、物理机、K8S容器引擎、虚拟机镜像、 函数工作流 等，可以设置自动弹性伸缩策略 ECS FullAccess BMS FullAccess AutoScaling FullAccess IMS FullAccess CCE FullAccess CCI FullAccess FunctionGraph Administrator 存储管理组 账号 该组成员负责统一管理和运维账号下所有的存储资源，包括云硬盘、对象存储、弹性文件系统等；同时负责管理备份容灾资源，如云备份、存储容灾服务等 EVS FullAccess OBS Administrator SFS FullAccess SDRS Administrator CBR FullAccess DSS FullAccess 网络管理组 账号 该组成员负责统一管理和运维账号下所有的网络资源，包括VPC、弹性负载均衡、VPN、云专线、DNS、NAT、CDN等 VPC FullAccess ELB FullAccess NAT FullAccess VPN Administrator DNS FullAccess VPCEndpoint Administrator Direct Connect Administrator CDN Administrator 安全管理组 账号 该组成员负责统一管理账号下的身份认证服务，包括用户、用户组、权限、委托等；同时管理账号下的所有安全云服务，如应用防火墙、DDoS高仿、主机安全、数据库安全、 数据加密 、 容器安全 、 云审计 等 Security Administrator Anti-DDoS Administrator CAD Administrator VSS Administrator HSS FullAccess DBSS Security Administrator KMS Administrator WAF FullAccess SCM FullAccess CGS FullAccess SA FullAccess CBH FullAccess CTS Administrator 数据库管理组 账号 该组成员负责统一管理和运维账号下所有的数据库相关的云资源和服务，包括RDS、文档数据库、 数据复制服务 、数据管理服务、 分布式数据库 中间件等 RDS FullAccess DDS FullAccess DRS Administrator DAS Administrator DDM FullAccess 大数据及AI管理组 账号 该组成员负责统一管理和运维账号下所有的大数据及AI云资源及服务，包括MapReduce、 数据仓库 、 数据湖 、实时流计算、图引擎、推荐系统、ElasticSearch、 表格存储 等 ModelArts FullAccess MRS FullAccess DWS FullAccess DLI Service Admin DGC Administrator GES FullAccess Elasticsearch Administrator DIS Administrator CS FullAccess CloudTable Administrator DLF FullAccess RES FullAccess HiLens FullAccess 中间件管理组 账号 该组成员负责统一管理和运维账号下所有的中间件相关的云资源和服务，包括微服务引擎、分布式缓存、分布式消息、API网关、容器镜像、ServiceStage、区块链等 ServiceStage FullAccess CSE FullAccess DCS FullAccess DMS Administrator SMN Administrator APIG FullAccess BCS Administrator SWR Admin 财务管理组 账号 该组成员负责账号内的统一财务管理，包括管理发票、管理订单、管理合同、管理续费、查看账单等权限。不能购买和操作云资源。 BSS Administrator 统一运维组 账号 该组成员负责统一监控和运维账号内的所有云资源，但不负责具体的资源订购和资源操作。 建议设置各个云服务的ReadOnlyAccess权限，以及下面的权限： AOM FullAccess CES FullAccess APM FullAccess TMS Administrator 项目管理组 企业项目 需要为每一个企业项目创建一个项目管理组，该组成员全权管理项目下的所有资源，包括对企业项目本身进行管理。 建议设置所参与企业项目内所有云服务的FullAccess权限，设置default项目中共享给其他项目使用的云资源的ReadOnly权限，以及以下项目管理权限： EPS FullAccess EnterpriseProject BSS FullAccess 应用开发组 企业项目 该组成员仅负责管理所参与的1到多个企业项目在开发环境的云资源 建议设置所参与企业项目在开发环境的所有云服务的FullAccess权限，同时设置default项目中共享给其他项目使用的云资源的ReadOnly权限 应用测试组 企业项目 该组成员仅负责管理所参与的1到多个企业项目在测试环境的云资源 建议设置所参与企业项目在测试环境的所有云服务的FullAccess权限，同时设置default项目中共享给其他项目使用的云资源的ReadOnly权限 应用管理组 企业项目 该组成员仅负责运维所参与的1到多个企业项目内的应用系统，主要管理企业项目在生产环境的云资源，也可以管理开发环境和测试环境的云资源。应用管理组也需要对资源进行操作。 建议设置生产环境下所有相关云服务的CommonOperations、Operator权限以及下面的权限： AOM FullAccess CES FullAccess APM FullAccess TMS Administrator 上述为用户组推荐的权限没有列举所有必要的权限，也有可能配置了过多和过大的权限，实际应用过程中可根据申请的云资源类型，并按照最小授权原则为用户组授予必要的权限。例如，在华为云上不需要启用WAF（Web应用防火墙），就无需为安全管理组添加WAF FullAccess权限。 基于上述用户组的具体划分方式，集团公司的部门A和子部门A3的用户组规划如图1所示，尽管这两个部门是父子关系，但在华为云是两个不同的账号，需要给每个账号都分别创建统一管控账号范围内资源的用户组。由于图片空间有限，并没有把项目管理组呈现出来，每一个企业项目都应该设置独立的项目管理组。 需要注意的是，这种方式将统一管控的范围限制在了部门级（对应子账号），无法做到公司级（对应主账号）的统一管控，对大企业比较合适，中小企业则应该在公司级（主账号）下创建统一管控资源的用户组。 除了在每一个部门（子账号）创建一个财务管理组之外，也需要在公司层面（主账号）下创建一个财务管理组，统一在华为云上充值、申请信用额度和激活代金券，再划拨给各个子账号，定期核算企业在华为云的消费情况。 图1 部门A和子部门A3的用户组规划 涉及到的操作如下： 创建用户组：您可以通过统一身份认证服务（IAM）来创建用户组。 父主题： 云上IT治理最佳实践

步骤三：规划和创建企业项目（操作主体：子账号） 如果1个IT项目中的应用系统需要部署到多个运行环境（生产环境、开发环境和测试环境），为了做好项目成员的权限控制，应该按照这个应用系统所需的运行环境在华为云上创建不同的企业项目。也就是说1个IT项目可以映射到华为云上的多个企业项目，如图1和图2所示。 以集团公司的部门A为例，该部门在上云前管理两个IT项目A1和A2，这两个IT项目的应用系统都需要部署在生产环境、开发环境和测试环境。接下来就用部门A的子账号登录华为云，进入项目管理控制台为IT项目A1创建3个企业项目：A1生产、A1开发、A1测试，再为IT项目A2创建3个企业项目：A2生产、A2开发、A2测试。通过这种方式划分企业项目，再结合后面的用户组划分和权限设置，可以确保开发组成员只能看到开发环境的云资源，测试组成员只能看到测试环境的云资源。 以子部门A3为例，该部门在上云前直接管理2个IT项目A31、A32，以及下属部门A33（该部门没有映射到华为云）管理的IT项目A331。A31只需要生产和开发环境，A32只需要生产和测试环境，A331只需要开发和测试环境，接下来就用部门A3的子账号登录华为云，进入项目管理控制台为IT项目A31创建2个企业项目：A31生产、A31开发，为IT项目A32创建2个企业项目：A32生产、A32测试，为IT项目A331创建2个企业项目：A331开发、A331测试，如图1所示。 分公司F下的IT项目F1 只需要生产环境，那么就用分公司F的子账号登录华为云为IT项目F1创建1个企业项目：F1生产。子公司C、子公司D、孙公司D1下面的IT项目到企业项目的映射就不赘述了，如图2所示。 涉及到的操作如下： 企业项目的应用场景：在规划企业项目之前，您可以先了解企业项目的应用场景。 如何开通企业项目：企业账号可申请开通企业项目。如果您的账号未进行实名认证，请先进行企业实名认证。如果企业账号注册成为华为云合作伙伴，将无法进入企业项目管理页面。如果您的账号已进行个人实名认证，则需将账号升级为企业账号，才可以申请开通企业项目，具体请参见如何变更为企业账号。 如何进入项目管理页面：若您的企业账号已进行实名认证并已申请开通企业项目，可按此步骤进入项目管理页面。 创建企业项目：您可以根据部门或者业务，创建对应的企业项目。创建企业项目的用户必须是管理员，或在IAM侧已关联EPS FullAccess策略的用户。每个主账号默认可以创建100个企业项目。 集团公司或大的子公司不推荐直接管理IT项目，而是由下面的部门或分公司（对应华为云上的子账号）管理IT项目。 每个主账号或子账号下面有一个默认企业项目default，该项目由系统自动生成，未选择企业项目的云资源会被放到default项目内。 父主题： 云上IT治理最佳实践

步骤九：开启云审计（操作主体：安全管理组成员） 使用一个安全管理组的成员登录华为云，进入云审计服务的控制台，开通云审计服务，将会生成一个名为“system”的管理事件追踪器，开通云审计后系统将自动跟踪当前租户在当前区域（Region）内所有云资源的操作记录。云服务审计仅保存近7天的操作记录，如果需要保存更长时间的操作记录，需要开通OBS（对象存储服务）转储，将操作记录长期保存到OBS中。开通云审计服务可以满足企业的安全审计和合规要求。 接下来创建关键操作通知，在发生特定操作（如创建或删除资源）时，使用SMN（ 消息通知 服务）主题，向用户手机、邮箱发送消息，也可直接发送http/https消息。可用于实时感知高危操作、触发特定操作或对接租户自有审计分析系统。 CTS（云审计服务）的作用范围是区域级，如果租户同时在多个区域订购了资源，需要分别在这几个区域开通云审计服务和关键操作通知。 父主题： 云上IT治理最佳实践

步骤六：规划和创建VPC（操作主体：网络管理组成员） 以上面集团公司为例，需要针对每个子账号（部门A、部门A3、分公司F）提供多种运行环境：生产环境、开发环境、测试环境，各个运行环境之间需要有一定的安全隔离措施。VPC之间的网络默认不通，具备很好的隔离性，所以推荐在大企业中采用VPC来创建隔离的运行环境，通常一个VPC对应一个隔离的运行环境，推荐的VPC规划如图1所示，具体考量因素如下： 一个VPC不能跨子账号，所以不能让不同子账号下面的企业项目共享一个VPC，每个子账号都有自己独立的生产、开发和测试VPC。 在生产环境内，由于安全隔离要求较高，将各个企业项目的应用系统和数据库系统放在不同的子网，通过网络ACL或安全组对子网间通信进行安全访问控制。 在开发和测试环境内，企业项目A1开发、A1测试、A2开发、A2测试、A31开发对安全隔离要求较高，在开发、测试环境中也要求将应用系统和数据库系统部署在不同的子网；而企业项目A32测试、A331开发、A331测试对安全隔离要求较低，在开发、测试环境中将应用系统和数据库系统部署在同一个子网。 同一个企业项目在同一运行环境的应用子网和数据子网建议尽量放在同一个可用区内，应用系统和数据库系统之间进行跨可用区通信会引入1-2毫秒的网络时延。例如，企业项目“A1生产”对应的两个子网“A1应用子网”和“A1数据子网”应该设置为在同一个可用区。 需要考虑不同子账号下的应用系统之间的交互关系，如果位于不同子账号下的应用系统需要互通，这对应的VPC的网段就不要产生冲突。例如，如果部门A下面的A1生产系统需要与部门A3下面的A31生产系统进行交互，则对应的两个VPC“VPC_部门A_生产”和“VPC_部门A3_生产”的网段不能冲突。 有频繁交互关系的VPC尽量创建在同一个区域内，否则跨区域的VPC通信需要额外购买带宽包。 图1 集团公司的VPC规划 规划完VPC之后需要在华为云上将其创建出来，以集团公司的部门A为例，使用一个网络管理组的成员登录华为云，进入VPC控制台，按照图1的VPC规划为部门A创建生产、开发、测试VPC，并为每个企业项目创建相应的应用子网和数据子网。由于这几个VPC内的网络由多个企业项目共享使用，所以创建这些VPC的时候，可以选择归属到default企业项目。 涉及到的操作如下： 网络规划：在创建VPC之前，您需要根据具体的业务需求规划VPC的数量、子网的数量、IP网段划分和互连互通方式等。 创建虚拟私有云和子网：当创建新账户或账户余额不足时，主账号可以对现金账户进行充值操作。 父主题： 云上IT治理最佳实践

操作步骤 登录管理控制台。 在左侧导航中单击“上网管理”。 进入“互联网访问”页面。 单击互联网页面右上角“开通互联网”。 弹出“开通互联网”界面。 配置开通互联网信息。 开通类型。 小规模经济型（弹性公网IP）：小规模经济型通过弹性公网Ip访问互联网，每个桌面绑定一个EIP，适用于桌面数量少的场景。 开通小规模经济型互联网会为您创建以下网络资源： 弹性公网IP（Elastic IP）提供独立的公网IP资源，包括公网IP地址与公网出口带宽服务。 计费模式，用户可根据需求自行选择。 包年/包月，如表1所示。 按需计费，如表2所示。 表1 包年/包月 参数类型 说明 样例 计费方式 选择“包年/包月”计费方式。 包年/包月 带宽大小 宽带大小范围为1~280Mbit/s，用户可自定义，用户可根据界面提示的范围自定义。 - 企业项目 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。用户根据需求自行选择。 - 购买时长 根据需要选择购买时长。 说明： 用户可自行选择是否勾选“自动续费”。 - 选择桌面 选择桌面： 根据桌面名称/分配用户搜索需要开通互联网的桌面。 根据所需勾选列表下的桌面名称。 单个桌面开通互联网：在选择桌面列表下勾选单个需要开通互联网的桌面名称，单击“确认配置”。 批量桌面开通互联网：在选择桌面列表下批量勾选需要开通互联网的桌面名称，单击“确认配置”。 - 表2 按需计费 参数类型 说明 样例 计费方式 选择“按需计费”。 按需计费。 公网宽带 按业务场景选择带宽计费类型。 按带宽计费：指定带宽上限，按使用时间计费，与使用的流量无关。适用于流量较大或较稳定场景使用。带宽范围：1~280Mbit/s。 按流量计费：指定带宽上限，按实际使用的出公网流量计费，与使用时间无关。适用于流量小或流量波动较大的场景。带宽范围：1~260Mbit/s - 选择桌面 选择桌面： 根据桌面名称/分配用户搜索需要开通互联网的桌面。 根据所需勾选列表下的桌面名称。 单个桌面开通互联网：在选择桌面列表下勾选单个需要开通互联网的桌面名称，单击“确认配置”。 批量桌面开通互联网：在选择桌面列表下批量勾选需要开通互联网的桌面名称，单击“确认配置”。 - 计费方式选择“包年/包月”执行5~8，完成操作。 计费方式选择“按需”执行9~10，完成操作。 单击“确认配置”，进入“支付”配置信息界面。 单击“确定”，进入“支付”页面。 检查“云服务订单”和所需支付费用。 选定支付方式并成功付款后，购买完成。 单击“确认配置”，进入“开通互联网”配置信息界面。 单击“确认”，购买完成。

计费规则 重装系统盘不涉及计费。此处为变更系统盘的计费规则。 云桌面 切换操作系统功能不收费。但涉及到资源变更会根据实际情况收取配置费用和镜像费用。 云桌面提供的Windows公共镜像为市场镜像，因镜像规格变更导致的价差，计费遵循其统一的升降配判定规则： 镜像规格升配时，需要向ISV服务商补齐差价。 镜像规格降配时，费用不变，且ISV服务商不退费。 目前云桌面提供的Windows公共镜像规格一致，不会产生价差。故变更系统盘时，实际的计费规则如下： 按需计费的云桌面切换成功后，如果镜像类型未变化（私有镜像变更到私有镜像，公共镜像变更到公共镜像），系统将按照新的配置费用进行计费。如果由私有镜像变更为公共镜像，系统将按照新的配置费用和镜像费用进行计费。 包年/包月模式的云桌面变更镜像，如果镜像类型未变化（私有镜像变更到私有镜像，公共镜像变更到公共镜像），无需补交费用系统即进行系统盘变更。如果由私有镜像变更为公共镜像，系统将在管理员支付订单后进行系统盘变更。

创建rf_admin_trust委托（可选） 进入华为云官网，打开控制台管理界面，鼠标移动至个人账号处，打开“统一身份认证”菜单。 图1 控制台管理界面 图2 统一身份认证菜单 进入“委托”菜单，搜索“rf_admin_trust”委托。 图3 委托列表 如果委托存在，则不用执行接下来的创建委托的步骤 如果委托不存在时执行接下来的步骤创建委托 单击步骤2界面中的“创建委托”按钮，在委托名称中输入“rf_admin_trust”，委托类型选择“云服务”，输入“ RFS ”，单击“下一步”。 图4 创建委托 在搜索框中输入“Tenant Administrator”权限，并勾选搜索结果，单击“下一步”。 图5 选择策略 选择“所有资源”，并单击“下一步“完成配置。 图6 设置授权范围 “委托”列表中出现“rf_admin_trust”委托则创建成功。 图7 委托列表

安全组规则修改（可选） 安全组实际是网络流量访问策略，包括网络流量入方向规则和出方向规则，通过这些规则为安全组内具有相同保护需求并且相互信任的云服务器、云容器、云数据库等实例提供安全保护。 如果您的实例关联的安全组策略无法满足使用需求，比如需要添加、修改、删除某个TCP端口，请参考以下内容进行修改。 添加安全组规则：根据业务使用需求需要开放某个TCP端口，请参考添加安全组规则添加入方向规则，打开指定的TCP端口。 修改安全组规则：安全组规则设置不当会造成严重的安全隐患。您可以参考修改安全组规则，来修改安全组中不合理的规则，保证云服务器等实例的网络安全。 删除安全组规则：当安全组规则入方向、出方向源地址/目的地址有变化时，或者不需要开放某个端口时，您可以参考删除安全组规则进行安全组规则删除。

MongoDB数据库密码修改（可选） 登录弹性云服务器控制平台，选择创建的后缀为primary的云服务器，单击远程登录，进入Linux弹性云服务器。 图1 登录弹性云服务器控制平台 图2 登录Linux弹性云服务器 在Linux云服务器中输入账号和密码后回车。 图3 登录Linux云服务器 输入命令mongo -uroot -p密码 --authenticationDatabase "admin"登录数据库 图4 登录MongoDB数据库 如果要修改MongoDB数据库的root用户密码。在进入MongoDB数据库的情况下，切换到admin数据库，输入db.changeUserPassword("root"，"新密码")后按回车。修改完成后输入命令‘exit’,退出MongoDB数据库。 图5 切换到admin数据库，修改MongoDB数据库的root用户密码