华为云用户手册

配置ROI ROI即Region of Interest，表示算法的检测区域。部分算法要求必须填入表示检测区域的JSON格式的字符串，例如：{"polygons":[{"data":[[84,389],[1840,349],[1824,526],[78,526]]}]}，其中[84,389]这类结构表示的是横纵坐标，{"data":[...]}表示由这些坐标点连线构成的一个图形，"polygons":[...]}表示复数个{"data":[...]}图形都为多边形区域。示例的整个字符串表示由这四个坐标点构成的多边形区域。同理{"lines":[{"data":[[238,481],[1309,481]]}]}表示由两个坐标点构成的线段。 除了直接填入表示区域的字符串外还可直接通过手工绘制的方式配置ROI，平台将根据绘制的结果自动生成对应的表示区域的JSON格式字符串。 配置ROI 绘画直线段时，单击，在图中画出期望的直线段。 图1 绘画直线段 绘画多边形时，单击，在图中画出期望的检测区域，最后一条线段不需要绘画，双击鼠标表示绘画多边形结束，区域将自动闭合。 图2 绘画多边形 绘画多边形区域时，线段不能交叉。 可在图中绘画多个多边形区域。 可以在绘制区域按钮中自定义名称和颜色。 保存ROI模板 绘制好需要的ROI之后，输入ROI名称，单击保存，将所绘的ROI保存到模板中。 图3 保存ROI模板 选择ROI模板 单击选中需要的ROI模板，则可在当前任务中使用。 图4 ROI模板 除了在新建任务过程中可以增加ROI模板外，也可以单击视频源详情进行ROI模板的绘制。 图5 ROI管理 父主题： 参考信息

查看批量任务详情 在“批量任务”页面可查看所有批量任务的算法、分组名称、任务数量、状态这些基本信息。若需要展示指定批量任务，可通过批量名称或算法服务名称进行模糊查询，或者通过算法服务、分组名称、任务状态和厂商进行精确的下拉筛选，最后可选择按照任务数量或创建时间进行升序或降序的排序。 批量任务更详情的信息可单击批量任务的名称进行查看。除了基本信息外，详情页会展示当前批量任务下关联的视频分析任务列表。关联的任务列表支持对任务筛选、启动以及查看单条任务的详情。

事件详情 在事件中心模块的“事件列表”页面可查看所有事件的视频源名称、告警事件时间、事件聚合数、告警画面，审核状态等这些基本信息。若需要展示指定的事件，可通过事件名称或视频源名称进行模糊查询，或者通过审核状态进行精确的下拉筛选，最后可选择告警事件时间进行升序或降序的排序。 单击具体事件名称，进入事件详情页面，查看事件的详细信息。 事件详情页面支持用户查看主事件的基本信息，如视频源名称，状态，标签，分组，位置，创建时间以及流地址等。也展示了从事件列表，支持从列表的分页查询，以及查看事件画面，删除，审核状态，驳回以及对它们的批量审核/删除等操作。

新增视频源 进入“视频中心”菜单栏下，单击左侧导航“视频源列表”，进入视频源列表界面，单击“新增视频源”。 参考表1填写相关的参数，单击“确认”。 表1 新增视频源参数说明 参数名称 参数说明 视频源名称 输入视频源摄像头名称。 接入方式 接入视频的算法来源。选择云上或边缘。 视频源来源 云上和边缘算法接入的视频数据来源不同，具体请参考表2选择。 OBS路径 当“视频源来源”不同时，此处的参数显示不同，以实际为准。 边缘摄像头 接入方式选择边缘时显示，当“视频源来源”不同时，此处的参数显示不同，以实际为准。 视频流经纬度 视频源所在地理位置（经纬度），非必填项。 标签 视频源标签，长度限制为10，最多可输入4组标签。每输入完一个标签按下回车键进行确认。 分组 可以选择加入已存在的视频源分组。 您在使用新增视频源前，需要先确认您的接入服务权限，然后才能相应的接入平台数据进行纳管。您可以在您的华为云控制台确认您是否开通相关云服务。 视频中心支持接入的视频数据类型如下表所示。 表2 云上和边缘算法支持接入的视频数据来源 算法类型 输入视频数据来源 说明 待准备的信息 操作参考 边缘算法 CAMERA 表示从指定的边缘摄像头中读取视频数据。 注册边缘节点并纳管 创建边缘摄像头 具体的操作步骤请参见IEF服务配置。 RESTful 表示从用户自定义的流媒体服务器中读取视频数据。 REST接口的URL地址。 准备RESTful视频源地址。 VCN 表示从视频云（Video Cloud Node，简称VCN）中读取视频数据。 VCN服务器的IP地址 端口号 用户名 密码 摄像头ID 从VCN管理员获取。 云上算法 OBS 表示从 对象存储服务 （Object Storage Service，简称OBS）中读取存储的视频数据。 租户已开通OBS服务 可以通过OBS选择视频文件。 URL 表示直接从ISV提供的实时视频流推流地址获取视频数据。 视频流推流地址 - RESTful 表示ISV提供的从用户自定义的流媒体服务器中读取视频数据。 REST接口的URL地址 rtsp地址相对位置 和边缘算法的Restful类似，区别在于云上的Restful的地址需要华为云的服务器可以访问，而边缘的Restful的地址需要用户自己的边缘服务器能访问。可参考准备RESTful视频源地址。 VCN 表示从视频云（Video Cloud Node，简称VCN）中读取视频数据。 VCN服务器的IP地址 端口号 用户名 密码 摄像头ID 从VCN管理员获取。 IVM 表示从IVM（行业视频管理）平台读取视频数据 租户已开通IVM服务 选择IVM平台已有视频源。

查看视频源详情 在“视频源列表”页面可查看所有创建的视频源的状态，视频源类型等基本信息。 若需要查看指定视频源详情，则可通过视频源名称、视频源分组和标签名称进行模糊查询，或者通过算法类型、状态、视频源来源进行精确的下拉筛选，也可选择创建时间、按照任务数量或模板数量进行升序或降序的排序。单击某条具体的视频源名称，进入该视频源详情页，查看视频源详情。 视频源详情页展示了视频源的基本信息，包括视频源名称、视频状态、标签、分组名称、视频流经纬度、创建时间、视频源来源、流地址和视频截图信息；单击视频源标签旁的修改按钮，对视频源标签进行修改。 支持查看该视频源已配置的作业信息和该视频源已保存的算法服务公共配置模板。 图1 查看指定的视频源详情

新建订阅 单击事件订阅，进入事件订阅列表页面。 单击“新建订阅”，参考表1填写相关参数。 表1 订阅事件参数填写说明 参数名称 参数描述 订阅者名称 设置订阅者名称。 视频源 选择“全部”或“部分”。 “全部”即订阅所有视频源的告警信息；“部分”即订阅所选视频源的告警信息。 订阅地址 订阅者本地PC地址。例：http://127.0.0.1:8080 请求头 随着订阅的消息一起发送给订阅者，格式为key-value。至少有一个自定义的请求头。 订阅者描述 描述信息，可选填。 新建订阅之后，平台会将产生的事件发送给订阅了该视频源的所有订阅者。

背景信息 视频智能分析服务使用RESTful的基本方式是，算法容器通过rest请求访问用户提供的服务器地址，获取response并解析得到视频源的流地址，进而接入视频源进行分析。使用RESTful接入前，如果是云上模式，必须保证云上的RESTful的地址需要华为云的服务器可以访问；如果是边缘模式，则边缘的RESTful的地址需要用户自己的边缘服务器能访问。 假如客户提供的GET方法的RESTful请求地址为http//:10.10.10.1:6006/task 对应的响应为 { "data": { "rtspurl": "rtsp://10.10.10.1/test.sdp" }} URL：客户提供的rest请求地址，参照上述示例应填写为http//:10.10.10.1:6006/task。 rtsp地址相对位置：返回body体中edgerestful流地址的相对路径，参照上述示例应填写为data/rtspurl。 图1 新增RESTful视频源URL填写示例

REST服务脚本示例 以下是用python编写的服务端脚本，其中host为rest请求地址，data为该后端服务返回的数据结构，其中request_channel_id能够唯一标识该视频源，url为真实的视频源流地址。 按照实际需求修改host和data后，启动脚本后，可以正常访问host配置的url，得到预期的返回结构体； 在视频源创建时，URL填写rest请求的服务端地址，rtsp地址相对位置根据response的数据结构填写，在上述示例中，返回的数据结构体中，视频流源地址的路径是data/url。

VIAS权限 默认情况下，管理员创建的 IAM 用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 VIAS部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如华北-北京四）对应的项目（cn-north-4）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问VIAS时，需要先切换至授权区域。 如表1所示，包括了VIAS的所有系统角色。 表1 VIAS系统策略 策略名称 描述 策略类型 依赖关系 VIAS Full Access 所有权限 系统策略 无 表2列出了VIAS常用操作与系统策略的授权关系，您可以参照该表选择合适的系统策略。 表2 VIAS操作与系统策略关系 Action Action说明 VIAS Full Access dataIngestionService:subscribe 数据接入服务 （DIS）的信息写入、读取以及查询权限 √ dataIngestionService:subscribe 为其子用户开通数据接入服务（DIS）的信息写入、读取以及查询权限 √ objectStorageService:subscribe 对象存储服务（OBS）的信息读取权限 √ objectStorageService:subscribe 为其子用户开通对象存储服务（OBS）的信息读取权限 √ videoIngestionService:subscribe 视频接入服务 （VIS）的信息读取权限 √ videoIngestionService:subscribe 为其子用户开通 视频接入 服务（VIS）的信息读取权限 √ intelligentEdgeFabric:subscribe 智能边缘平台（IEF）的查询、创建、删除权限 √ intelligentEdgeFabric:subscribe 为其子用户开通智能边缘平台（IEF）的查询、创建、删除权限 √ modelArts:subscribe AI平台（ModelArts）的查询、创建、删除权限 √ modelArts:subscribe 为其子用户开通AI平台（ModelArts）的查询、创建、删除权限 √

Step2 获取具体的分析结果 在设置的输出路径下，查看分析结果。 DIS 登录DIS控制台。 单击相应的DIS通道，查看输入流是否有数据。 通过DIS转储任务获取分析的结果数据，具体操作请参见DIS用户指南。 Webhook 服务使用post请求将任务的运行结果，包括告警结构化数据和图片数据，以JSON数据流的形式输出到用户指定的Webhook URL。 例如运行Webhook Service中的示例脚本将接收到的Webhook消息写在与脚本同目录的post.txt文件中。 以入侵检测算法为例，算法输出的JSON结果示例如下，表示识别出视频中在指定区域有人入侵。 { "event_type":196609, "timestamp":1581753322, "stream_id":"44000000581314000234#15#9f63890660f24175871c861b345e852d", "message_id":"849D1326-4FC8-11EA-8F73-0242AC110004", "image_base64":"/9j/4AAQSkZJRgA...", "task_id":"63eac48bf3704e8bb30af7f244fdcf3d", "data":{ "event_set":[ { "start_position":"in", "end_position":"in", "bounding_box":{ "y":327, "h":216, "x":876, "w":105 }, "category":0, "detection_id":"83BFC020-4FC8-11EA-9F93-0242AC110004" } ] }} 表1 JSON结果字段解释 字段 说明 task_id 表示任务ID。 data data中的内容表示算法任务运行输出的识别结果。 bounding_box 告警输出对象的矩形框。 x：矩形框左上角横坐标 y：矩形框左上角纵坐标 w：矩形框宽度 h：矩形框高度 detection_id 告警目标对应的UUID。 category 告警目标的类型： 0：人 1：车 2：其他 start_position 表示入侵开始位置： 如果是过线入侵，则是入侵开始所在线一侧的名字。 如果是区域入侵，则是“in”或者“out”。 in：表示入侵开始在区域里面。 out：表示入侵开始在区域外面。 end_position 表示入侵结束位置： 如果是过线入侵，则是入侵结束所在线一侧的名字。 如果是区域入侵，则是“in”或者“out”。 in：表示入侵结束在区域里面。 out：表示入侵结束在区域外面。

查看任务详情 在“任务列表”页面可以查看所有任务的状态、使用的视频源和算法服务、厂商和创建时间这些基本信息。若需要展示指定任务，可通过任务名称或视频源名称进行模糊查询，或者通过任务状态、算法服务进行精确的下拉筛选，最后按照创建时间进行升序或降序的排序。 单击任务名称，可以查看任务的详细信息，包括任务使用的算法配置模板和算法结果的输出配置等。 当任务状态处于运行中或运行成功时，表示任务运行状态正常。当创建的任务运行成功后，按照创建任务时选择的输出类型和路径查看任务结果。详见获取任务结果。 任务有19种运行状态，如表1所示。 表1 任务运行状态 状态类型 说明 运行成功 任务运行成功。 已停止 任务已暂停运行。 已删除 任务已经删除。 运行中 任务正常运行过程中。 调度中 任务正常调度过程中。 等待中 任务没有申请到资源，排队等待过程。 运行失败 任务运行失败。 创建失败 任务创建失败。 异常 任务出现异常。 删除中 任务正常删除过程中。 停止中 任务正在停止运行。 恢复中 任务正在恢复运行。 启动中 等待资源启动过程。 更新中 任务当前处于更新状态。 启动失败 任务启动失败。 冻结中 用户欠费时，会冻结正在运行的任务，任务处于冻结过程中。 已冻结 任务已经在边缘节点删除成功，在保留期内用户充值补交欠费后会重新启动。 创建中 任务正在创建中。 资源不足 当前任务状态下，资源不足。 父主题： 管理任务

注册华为账号 并开通华为云 在使用华为云服务之前您需要申请华为云账号，并进行实名认证。通过此账号，您可以使用所有华为云服务，并且只需为您所使用的服务付费。 进入华为云首页，单击页面右上角的“注册”。 设置手机号、短信验证码、密码并勾选“我已阅读并同意《华为云用户协议》和《隐私政策声明》”。 单击“同意协议并注册”，页面提示注册成功。 注册成功后即可自动登录华为云，您需要完成“实名认证”才可以正常使用服务。具体认证方式请参见账号实名认证。

新建分组 单击左侧导航“视频源分组”，进入视频源分组界面。 在该页面单击“新建分组”，填写相关参数，创建新的视频源分组，参数填写请参考表1。 表1 新增视频源分组参数说明 参数 参数说明 分组名称 输入视频源分组名称。 接入方式 选择云上或边缘。云上接入包含OBS、URL、云上VCN、云上RESTful和IVM，边缘接入包含CAMERA、边缘VCN和边缘RESTful。 视频源来源 根据接入方式提供对应类型的视频源列表，从提供视频源列表中可直接选择视频源名称，或输入视频源名称搜索后选择。 分组描述 填写分组描述，选填。

部署算法服务 华为自研的边缘算法、非华为自研的云上、边缘算法在使用前均需进行部署，当算法的部署状态为“运行中”时，才能下任务进行使用。 进入“算法服务”，单击目标算法服务“操作”列的“部署”，进入“部署算法”页面。 参考表1填写相关参数。 表1 部署算法参数说明 参数名称 参数说明 选择路数 本次部署预计需要支持的最大路数。后台会自动申请、创建足够多的算法资源支撑作业的运行。 资源池规格 选择本次部署所使用的资源池。 服务启动参数 本次部署传入的参数信息，不同的算法服务启动参数不同，参数的功能请咨询算法开发者。 当部署状态为“运行中”、“部署中”时，可单击“停止部署”进行停止部署。

查看分组详情 在“视频源分组”页面可查看所有分组的状态，视频源数量，任务数量等基本信息。 若需要查看指定分组详情，则可通过分组名称进行模糊查询，或者通过算法类型、状态进行精确的下拉筛选，也可选择按照视频源数量、任务数量、创建时间、更新时间进行升序或降序的排序。 单击分组名称，进入该分组详情页。分组详情页展示了分组的基本信息、视频源分组和批量配置作业信息，如图1所示。 图1 查看指定的视频源分组详情 分组的基本信息，包括分组名称、视频源数量、批量配置作业数、视频源状态等； 视频源分组展示了该分组下已配置的视频源列表。 在“视频源分组”界面，单击最右侧“操作”列的“移除组”，可以对组内的视频源进行调整，移除不再需要的视频源。移除的视频源将从组内删除，但视频源本身不会被删除。若该视频源分组已关联批量配置作业，则不允许移除视频源。 批量作业展示了该分组下已配置的批量作业。

云上算法使用流程 表2 云上算法使用流程 流程 子任务 说明 详细指导 准备输入输出 接入视频数据 您在使用视频智能分析服务的算法服务前，需要先接入视频数据，才能用算法服务对接入的视频进行分析，获取结果。 云上算法支持的接入视频数据来源有OBS、URL、RESTful、VCN、IVM。 新增视频源 准备结果输出通道 如果将结果输出到DIS或Webhook的话需要提前准备好作业分析结果的输出通道。如果要将结果输出到OBS，需要提前开通OBS服务。 准备结果输出通道 准备云上算法 创建云上运行池 华为自研云上算法不需要额外创建资源池。非华为自研算法需要自行购买资源池来部署算法。 - 购买算法包 根据业务需求选择购买对应的云上算法包。 购买算法包 部署算法服务 华为自研云上算法不需要手动部署。非华为自研算法需要手动部署后才可使用。 部署算法服务 创建分析任务 创建任务 创建任务需要指定一个已接入的视频源、一种已购买的算法服务，配置对应算法参数和任务执行计划，最后选择输出类型。 创建任务 查看分析结果 查看任务状态 任务创建成功后，观察任务的运行状态，待运行成功后，获取任务分析结果。 查看任务详情 获取任务结果 您可以根据设置的输出数据类型，采用对应的方式获取任务分析结果。 获取任务结果

边缘算法使用流程 表1 边缘算法使用流程 流程 子任务 说明 详细指导 准备边缘算法 创建边缘运行池 边缘运行池是一组处理服务作业的边缘节点。在创建服务作业前，要求先创建边缘运行池。 创建边缘运行池 购买算法包 根据业务需求选择购买对应的边缘算法包。 购买算法包 部署算法服务 使用边缘算法前需要将其部署到边缘资源池。 部署算法服务 准备输入输出 接入视频数据 您在使用视频智能分析服务的算法服务前，需要先接入视频数据，才能用算法服务对接入的视频进行分析，获取结果。 边缘算法支持接入CAMERA、RESTful、VCN三种视频数据来源。 新增视频源 准备结果输出通道 将结果输出到DIS或Webhook，需要提前准备任务分析结果的输出通道。 准备结果输出通道 创建分析任务 创建任务 创建任务需要指定一个已接入的视频源、一种已购买的算法服务，配置对应算法参数和任务执行计划，最后选择输出类型。 创建任务 查看分析结果 查看任务状态 任务创建成功后，观察任务的运行状态，待运行成功后，获取任务分析结果。 查看任务详情 获取任务结果 您可以根据设置的输出数据类型，采用对应的方式获取任务分析结果。 获取任务结果

API概览 类型 子类型 说明 组织管理 注册OU 将组织里的某个OU注册到RGC服务。 查询注册过程信息 查询在RGC服务里注册/取消注册的过程信息。 查询纳管的账号信息 查询组织里某个纳管账号信息。 创建账号 在组织里的某个注册OU下创建账号。 Landing Zone治理 开启控制策略 给组织下的某个单元开启某个控制策略。 关闭控制策略 关闭组织下的某个单元的某个控制策略。 查询控制策略操作状态 根据操作ID查询返回指定ID的操作状态。 列出注册OU下开启的控制策略 列出组织里某个注册OU开启的所有控制策略信息。 列出开启的控制策略 列出组织里开启的所有控制策略信息。

获取账号、IAM用户、项目的名称和ID 从控制台获取账号名、账号ID、用户名、用户ID、项目名称、项目ID 在华为云首页右上角，单击“控制台”。 在右上角的用户名中选择“我的凭证”。 图1 进入我的凭证 在“我的凭证”界面，API凭证页签中，查看账号名、账号ID、用户名、用户ID、项目名称、项目ID。 每个区域的项目ID有所不同，需要根据业务所在的区域获取对应的项目ID。 图2 查看账号名、账号ID、用户名、用户ID、项目名称、项目ID 调用API获取用户ID、项目ID 获取用户ID请参考：管理员查询IAM用户列表。 获取项目ID请参考：查询指定条件下的项目列表。

权限和授权项说明 如果您需要对您所拥有的RGC进行精细的权限管理，您可以使用 统一身份认证 服务（Identity and Access Management，简称IAM），如果华为账号所具备的权限功能已经能满足您的要求，您可以跳过本章节，不影响您使用RGC服务的其他功能。 通过IAM，您可以通过授权控制主体（IAM用户、用户组、IAM委托）对华为云资源的访问范围。 账号下的IAM用户发起API请求时，该IAM用户必须具备调用该接口所需的权限，否则，API请求将调用失败。每个接口所需要的权限，与各个接口所对应的授权项相对应，只有发起请求的用户被授予授权项所对应的策略，该用户才能成功调用该接口。 例如，用户要查询Landing Zone设置状态，那么这个IAM用户被授予的策略中必须包含允许“rgc:landingZoneStatus:get”的授权项，该接口才能调用成功。 父主题： 权限和授权项

操作（Action） 操作（Action）即为策略中支持的操作项。 “访问级别”列描述如何对操作进行分类（list、read和write等）。此分类可帮助您了解在策略中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。 资源类型支持通配符号*表示所有。如果此列没有值（-），则必须在策略语句的Resource元素中指定所有资源类型（“*”）。 如果该列包含资源类型，则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号（*）标识，表示使用此操作必须指定该资源类型。 “条件键”列包括了可以在策略语句的Condition元素中支持指定的键值。 如果该操作项资源类型列存在值，则表示条件键仅对列举的资源类型生效。 如果该操作项资源类型列没有值（-），则表示条件键对整个操作项生效。 如果此列没有值（-），表示此操作不支持指定条件键。 您可以在自定义策略语句的Action元素中指定以下RGC的相关操作。 表1 RGC支持的授权项 授权项 描述 访问级别 资源类型（*为必须） 条件键 rgc:control:list 授予列出控制策略的权限。 list - - rgc:controlViolation:list 授予列出不合规信息的权限。 list - - rgc:control:get 授予获取控制策略详细信息的权限。 read - - rgc:control:enable 授予开启控制策略的权限。 write - - rgc:control:disable 授予关闭控制策略的权限。 write - - rgc:controlOperate:get 授予获取控制策略操作状态的权限。 read - - rgc:enabledControl:list 授予列出开启的控制策略的权限。 list - - rgc:controlsForOrganizationalUnit:list 授予列出某个注册组织单元下开启的控制策略的权限。 list - - rgc:controlsForAccount:list 授予列出某个纳管账号开启的控制策略的权限。 list - - rgc:complianceStatusForAccount:get 授予获取组织里某个纳管账号的资源合规状态的权限。 read - - rgc:complianceStatusForOrganizationalUnit:get 授予获取组织里某个注册组织单元下所有纳管账号的资源合规状态的权限。 read - - rgc:controlsForOrganizationalUnit:get 授予获取某个组织单元开启的控制策略的权限。 read - - rgc:controlsForAccount:get 授予获取某个账号开启的控制策略的权限。 read - - rgc:configRuleCompliance:list 授予列出纳管账号的Config规则合规性信息的权限。 list - - rgc:externalConfigRuleCompliance:list 授予列出纳管账号的外部Config规则合规性信息的权限。 list - - rgc:driftDetail:list 授予列出漂移信息的权限。 list - - rgc:managedOrganizationalUnit:register 授予注册组织单元的权限。 write - - rgc:managedOrganizationalUnit:reRegister 授予重新注册组织单元的权限。 write - - rgc:managedOrganizationalUnit:deRegister 授予取消注册组织单元的权限。 write - - rgc:operation:get 授予获取注册过程信息的权限。 read - - rgc:managedOrganizationalUnit:delete 授予删除注册组织单元的权限。 write - - rgc:managedOrganizationalUnit:get 授予获取已注册组织单元的权限。 read - - rgc:managedOrganizationalUnit:create 授予创建组织单元的权限。 write - - rgc:managedOrganizationalUnit:list 授予列举控制策略生效的注册组织单元信息的权限。 list - - rgc:managedAccount:enroll 授予纳管账号的权限。 write - - rgc:managedAccount:unEnroll 授予取消纳管账号的权限。 write - - rgc:managedAccount:update 授予更新纳管账号的权限。 write - - rgc:managedAccount:get 授予获取纳管账号的权限。 read - - rgc:managedAccountsForParent:list 授予列出注册组织单元下所有纳管账号信息的权限。 list - - rgc:managedAccount:create 授予创建账号的权限。 write - - rgc:managedAccount:list 授予列出控制策略生效的纳管账号信息的权限。 list - - rgc:managedCoreAccount:get 授予获取核心纳管账号的权限。 read - - rgc:homeRegion:get 授予查询主区域的权限。 read - - rgc:preLaunch:check 授予设置Landing Zone前检查的权限。 write - - rgc:landingZone:setup 授予设置Landing Zone的权限。 write - - rgc:landingZone:delete 授予删除Landing Zone的权限。 write - - rgc:landingZoneStatus:get 授予获取查询Landing Zone设置状态的权限。 read - - rgc:availableUpdate:get 授予获取Landing Zone可更新状态的权限。 read - - rgc:landingZoneConfiguration:get 授予获取Landing Zone配置信息的权限。 read - - rgc:landingZoneIdentityCenter:get 授予获取当前客户的Identity Center用户信息的权限。 read - - rgc:operation:list 授予获取注册组织单元或纳管账号的当前操作状态的权限。 list - - rgc:templateDeployParam:get 授予获取模板部署参数的权限。 read - - rgc:template:create 授予创建模板的权限。 write - - rgc:template:delete 授予删除模板的权限。 write - - rgc:predefinedTemplate:list 授予列出预置模板的权限。 list - - rgc:managedAccountTemplate:get 授予获取纳管账号模板详情的权限。 read - -

AK/SK认证 AK/SK签名认证方式仅支持消息体大小12M以内，12M以上的请求请使用Token认证。 AK/SK认证就是使用AK/SK对请求进行签名，在请求时将签名信息添加到消息头，从而通过身份认证。 AK(Access Key ID)：访问密钥ID。与私有访问密钥关联的唯一标识符；访问密钥ID和私有访问密钥一起使用，对请求进行加密签名。 SK(Secret Access Key)：与访问密钥ID结合使用的密钥，对请求进行加密签名，可标识发送方，并防止请求被修改。 使用AK/SK认证时，您可以基于签名算法使用AK/SK对请求进行签名，也可以使用专门的签名SDK对请求进行签名。详细的签名方法和SDK使用方法请参见：API签名指南。 签名SDK只提供签名功能，与服务提供的SDK不同，使用时请注意。

基本概念 账号 用户注册华为云时的账号，账号对其所拥有的资源及云服务具有完全的访问权限，可以重置用户密码、分配用户权限等。由于账号是付费主体，为了确保账号安全，建议您不要直接使用账号进行日常管理工作，而是创建用户并使用他们进行日常管理工作。 用户 由账号在IAM中创建的用户，是云服务的使用人员，具有身份凭证（密码和访问密钥）。 在我的凭证下，您可以查看账号ID和IAM用户ID。通常在调用API的鉴权过程中，您需要用到账号、用户和密码等信息。 区域（Region） 从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region，通用Region指面向公共租户提供通用云服务的Region；专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 详情请参见区域和可用区。 可用区（AZ，Availability Zone） 一个AZ是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 项目 区域默认对应一个项目，这个项目由系统预置，用来隔离物理区域间的资源（计算资源、存储资源和网络资源），以默认项目为单位进行授权，用户可以访问您账号中该区域的所有资源。如果您希望进行更加精细的权限控制，可以在区域默认的项目中创建子项目，并在子项目中创建资源，然后以子项目为单位进行授权，使得用户仅能访问特定子项目中的资源，使得资源的权限控制更加精确。 图1 项目隔离模型 同样在我的凭证下，您可以查看项目ID。 企业项目 企业项目是项目的升级版，针对企业不同项目间的资源进行分组和管理，是逻辑隔离。企业项目中可以包含多个区域的资源，且项目中的资源可以迁入迁出。 关于企业项目ID的获取及企业项目特性的详细信息，请参见《企业管理用户指南》。

请求URI 请求URI由如下部分组成。 {URI-scheme} :// {Endpoint} / {resource-path} ? {query-string} 表1 请求URL 参数 说明 URI-scheme 传输请求的协议，当前所有API均采用HTTPS协议。 Endpoint 指定承载REST服务端点的服务器 域名 或IP，不同服务不同区域的Endpoint不同，您可以从地区和终端节点中获取。例如RGC服务在“华北-北京四”区域的Endpoint为“rgc.cn-north-4.myhuaweicloud.com”。 resource-path 资源路径，也即API访问路径。从具体API的URI模块获取，例如“查询控制策略操作状态”API的resource-path为“/v1/governance/operation-control-status/{operation_control_status_id}”，其中operation_control_status_id为开启控制策略或者关闭控制策略的操作标识ID。 query-string 查询参数，是可选部分，并不是每个API都有查询参数。查询参数前面需要带一个“？”，形式为“参数名=参数取值”，例如“limit=10”，表示查询不超过10条数据。 例如您需要获取在“华北-北京四”区域的某一开启控制策略操作状态，则需使用“华北-北京四”区域的Endpoint（rgc.cn-north-4.myhuaweicloud.com），并在查询控制策略操作状态的URI部分找到resource-path（/v1/governance/operation-control-status/{operation_control_status_id}），拼接起来如下所示。 https://rgc.cn-north-4.myhuaweicloud.com/v1/governance/operation-control-status/{operation_control_status_id}

请求消息头 附加请求头字段，如指定的URI和HTTP方法所要求的字段。例如定义消息体类型的请求头“Content-Type”，请求鉴权信息等。 如下公共消息头需要添加到请求中。 表2 消息头名称 描述 是否必选 Content-Type 消息体的类型（格式）。默认取值为“application/json”，有其他取值时会在具体接口中专门说明。 是 Authorization 请求消息中可带的签名信息。AK/SK认证的详细说明请参见：AK/SK认证。 是 Host 表明主机地址。例如：rgc.cn-north-4.myhuaweicloud.com。 是 X-Sdk-Date 请求发起端的日期和时间。例如：20221107T020014Z。 是 API支持使用AK/SK认证，AK/SK认证是使用SDK对请求进行签名，签名过程会自动往请求中添加Authorization（签名认证信息）和X-Sdk-Date（请求发送的时间）请求头。AK/SK认证的详细说明请参见：AK/SK认证。 对于查询控制策略操作状态接口，请求如下所示。 GET https://rgc.cn-north-4.myhuaweicloud.com/v1/governance/operation-control-status/c0jquihv-x3ve-1lb9-qmix-dankod8dg86zContent-Type: application/json; charset=UTF-8X-Sdk-Date: 20240527T021902ZHost: rgc.cn-north-4.myhuaweicloud.comAuthorization: SDK-HMAC-SHA256 Access=xxxxxxxxxxxxxxxxxxx, SignedHeaders=content-type;host;x-sdk-date, Signature=xxxxxxxxxxxxxxxxxxxx

请求方法 HTTP请求方法（也称为操作或动词），它告诉服务你正在请求什么类型的操作。 GET：请求服务器返回指定资源。 PUT：请求服务器更新指定资源。 POST：请求服务器新增资源或执行特殊操作。 DELETE：请求服务器删除指定资源，如删除对象等。 HEAD：请求服务器资源头部。 PATCH：请求服务器更新资源的部分内容。当资源不存在的时候，PATCH可能会去创建一个新的资源。 在查询控制策略操作状态的URI部分，您可以看到其请求方法为“GET”，则其请求为： GET https://rgc.cn-north-4.myhuaweicloud.com/v1/governance/operation-control-status/{operation_control_status_id}

响应消息头 对应请求消息头，响应同样也有消息头，如“Content-type”。 详细的公共响应消息头字段请参见表1。 表1 公共响应消息头 消息头名称 描述 Content-Type 资源内容的类型。 类型：String 默认值：无 Connection 指明与服务器的连接是长连接还是短连接。 类型：String 有效值：keep-alive | close。 默认值：无。 Date RGC服务响应的时间。 类型：String 默认值：无 X-Request-Id 由RGC创建来唯一确定本次请求的值，可以通过该值来定位问题。 类型：String 默认值：无

响应消息体 响应消息体通常以结构化格式返回，与响应消息头中Content-type对应，传递除响应消息头之外的内容。 对于查询控制策略操作状态接口，返回如下消息体。 { "control_operation": { "operation_control_status_id": "c0jquihv-x3ve-1lb9-qmix-dankod8dg86z", "operation_type": "ENABLE_CONTROL", "status": "SUCCEEDED", "message": "", "start_time": "2024-04-19T16:26:30.518", "end_time": "2024-04-19T16:26:30.618" }} 当接口调用出错时，会返回错误码及错误信息说明，错误响应的Body体格式如下所示。 { "error_msg": "error msg", "error_code": "APIGW.0301", "request_id": "string"} 其中，error_code表示错误码，error_msg表示错误描述信息。

状态码 表1 状态码 状态码 编码 错误码说明 100 Continue 继续请求。 这个临时响应用来通知客户端，它的部分请求已经被服务器接收，且仍未被拒绝。 101 Switching Protocols 切换协议。只能切换到更高级的协议。 例如，切换到HTTP的新版本协议。 201 Created 创建类的请求完全成功。 202 Accepted 已经接受请求，但未处理完成。 203 Non-Authoritative Information 非授权信息，请求成功。 204 NoContent 请求完全成功，同时HTTP响应不包含响应体。 在响应OPTIONS方法的HTTP请求时返回此状态码。 205 Reset Content 重置内容，服务器处理成功。 206 Partial Content 服务器成功处理了部分GET请求。 300 Multiple Choices 多种选择。请求的资源可包括多个位置，相应可返回一个资源特征与地址的列表用于用户终端（例如：浏览器）选择。 301 Moved Permanently 永久移动，请求的资源已被永久的移动到新的URI，返回信息会包括新的URI。 302 Found 资源被临时移动。 303 See Other 查看其它地址。 使用GET和POST请求查看。 304 Not Modified 所请求的资源未修改，服务器返回此状态码时，不会返回任何资源。 305 Use Proxy 所请求的资源必须通过代理访问。 306 Unused 已经被废弃的HTTP状态码。 400 BadRequest 非法请求。 建议直接修改该请求，不要重试该请求。 401 Unauthorized 在客户端提供认证信息后，返回该状态码，表明服务端指出客户端所提供的认证信息不正确或非法。 402 Payment Required 保留请求。 403 Forbidden 请求被拒绝访问。 返回该状态码，表明请求能够到达服务端，且服务端能够理解用户请求，但是拒绝做更多的事情，因为该请求被设置为拒绝访问，建议直接修改该请求，不要重试该请求。 404 NotFound 所请求的资源不存在。 建议直接修改该请求，不要重试该请求。 405 MethodNotAllowed 请求中带有该资源不支持的方法。 建议直接修改该请求，不要重试该请求。 406 Not Acceptable 服务器无法根据客户端请求的内容特性完成请求。 407 Proxy Authentication Required 请求要求代理的身份认证，与401类似，但请求者应当使用代理进行授权。 408 Request Time-out 服务器等候请求时发生超时。 客户端可以随时再次提交该请求而无需进行任何更改。 409 Conflict 服务器在完成请求时发生冲突。 返回该状态码，表明客户端尝试创建的资源已经存在，或者由于冲突请求的更新操作不能被完成。 410 Gone 客户端请求的资源已经不存在。 返回该状态码，表明请求的资源已被永久删除。 411 Length Required 服务器无法处理客户端发送的不带Content-Length的请求信息。 412 Precondition Failed 未满足前提条件，服务器未满足请求者在请求中设置的其中一个前提条件。 413 Request Entity Too Large 由于请求的实体过大，服务器无法处理，因此拒绝请求。为防止客户端的连续请求，服务器可能会关闭连接。如果只是服务器暂时无法处理，则会包含一个Retry-After的响应信息。 414 Request-URI Too Large 请求的URI过长（URI通常为网址），服务器无法处理。 415 Unsupported Media Type 服务器无法处理请求附带的媒体格式。 416 Requested range not satisfiable 客户端请求的范围无效。 417 Expectation Failed 服务器无法满足Expect的请求头信息。 422 UnprocessableEntity 请求格式正确，但是由于含有语义错误，无法响应。 429 TooManyRequests 表明请求超出了客户端访问频率的限制或者服务端接收到多于它能处理的请求。建议客户端读取相应的Retry-After首部，然后等待该首部指出的时间后再重试。 500 InternalServerError 表明服务端能被请求访问到，但是不能理解用户的请求。 501 Not Implemented 服务器不支持请求的功能，无法完成请求。 502 Bad Gateway 充当网关或代理的服务器，从远端服务器接收到了一个无效的请求。 503 ServiceUnavailable 被请求的服务无效。 建议直接修改该请求，不要重试该请求。 504 ServerTimeout 请求在给定的时间内无法完成。客户端仅在为请求指定超时（Timeout）参数时会得到该响应。 505 HTTP Version not supported 服务器不支持请求的HTTP协议的版本，无法完成处理。 父主题： 附录

节点池期望节点总数 节点池初始化节点个数。查询时为节点池目标节点数量。 参数名 取值范围 默认值 是否允许修改 作用范围 .spec.initialNodeCount 0-集群节点容量 （手动扩容，受限规格容量与配额等约束） 0 允许 CCE Standard/ CCE Turbo 节点池期望节点个数。 CCE通过后台持续扩缩节点，使当前节点数与期望节点数匹配。 资源售罄、配额不足、竞价过低等场景将可能导致实际节点数未达到预期。短时异常恢复后CCE将会持续重试直至满足预期。 伸缩组启用后：创建节点池时，仅允许指定默认伸缩组期望节点数，不支持扩展伸缩组