华为云用户手册

提供自研、安全、极致性能的制品仓，保障业务连续性不中断 CodeArts Artifact制品仓库，基于云原生架构自研，解决外界不可控因素导致业务连续性问题。在安全上华为云CodeArts Artifact提供多维度、细粒度的权限控制，支持企业内不同角色对制品仓库访问控制的诉求。制品仓库存储采用物理隔离存储方式，减少恶意盗取制品风险，同时提供记录用户操作功能，保证操作可追溯；在可靠性上华为云CodeArts Artifact支持双AZ容灾和跨地域容灾、API限流与降级、服务依赖和隔离、实现服务故障自探测，实现99.99%的SLA保证；在极致性能上CodeArts Artifact提供热点文件缓存加速，增量上传下载，大小文件充分利用缓存加速优势，极速传输，提升用户构建速度，突破底层存储带宽限制，实现同地域高速并发传输，对比开源同类产品5X倍的上传和10X倍的下载性能提升。

支持开源合规分析和漏洞检测，让高危致命问题无处遁逃 华为云CodeArts Artifact制品仓库提供基于软件包的成分分析能力，通过特征匹配的方式，分析软件包中的开源软件及版本，并通过漏洞库匹配的方式进行开源漏洞排查。实时同步NVD、CNVD、CNNVD等常见漏洞库漏洞数据，覆盖主流编程语言(C/C++、Java、Go、Python、JavaScript等)，覆盖语种持续增加，提供全面、直观的风险汇总信息。在服务上线之前能够实时感知开源高危风险，建立起防御体系，并且及时修复问题，避免不可估量的损失。

无缝连接第三方仓库，提供统一聚合仓地址，极大提升用户体验和下载性能 针对用户同时使用多个镜像源或制品库的场景，CodeArts Artifact提供仓库聚合能力，允许灵活组合多个代理仓，提供统一制品仓库入口，解决用户找不到制品包的痛点和简化客户配置。 CodeArts Artifact新增自定义代理仓功能，允许用户创建自定义代理仓库来代理开源社区仓库和三方依赖仓库，通过代理仓下载文件后支持将对应文件缓存到制品仓库，解决用户三方依赖下载慢痛点，实现下载三方依赖和本地仓库一样的极致体验。

按文件名和checksum搜索，亿级制品包秒级查询与精准定位 华为云CodeArts Artifact具备强大的搜索能力，依托于数据引擎检索能力，支持内部研发近百亿制品文件的多维度的快速搜索。 当前覆盖Maven、npm、Go、PyPI、RPM、Debian、Conan、NuGet多种制品类型，用户可以通过文件名称或HASH信息（MD5、SHA1、SHA256、SHA512等四种类型），实现秒级检索定位。 以此为基础，CodeArts Artifact也演进出上亿级别的元数据和SBOM的高效关联查询，以便对制品文件进行快速溯源，对比开源同类产品搜索性能提升20X倍。

服务概述 制品仓库服务（CodeArts Artifact）为软件开发企业提供管理软件发布过程的能力，保障软件发布过程的规范化、可视化及可追溯。 相对于开发过程中的“源代码”，制品仓库服务关注和管理的是开发产生的待部署的“软件包”（通常由源码编译构建或打包而成）及其生命周期元数据（如名称、大小等基本属性、代码库地址、代码分支信息、构建任务、构建者、构建时间）。 “软件包”及其属性的管理是发布过程管理的基础，也是软件开发过程中的重要资产，常见的软件研发过程如图1所示： 图1 软件开发过程 图1中的Repository即制品仓库，用于管理软件开发过程产生的软件包，它是连接持续集成和持续交付的重要环节，软件包的发布评审、追溯和安全控制等操作通常在其中进行。 制品仓库服务提供以下两类仓库： 软件发布库 软件发布库可以存储任何软件包和工具，没有格式限制。 通过编译构建任务可将产物归档到软件发布库，通过页面可以查看和管理这些归档的软件包及其生命周期属性信息，部署服务使用的部署软件包也来源于此。 私有依赖库 私有依赖库管理各种开发语言对应的私有组件包（开发者通俗称之为私服，如Maven私服）。 因为不同的开发语言组件通常有不同的归档格式要求（例如Maven组件需要基于GAV格式归档），该仓库目的就在于管理私有开发语言组件并在企业或团队内共享给其他开发者开发使用。

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的 云安全 挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 各类各项云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。 华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类各项云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、 虚拟主机 和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

解决方法 用python3解释器，在主机上做一个软连接，如下图所示。 图2 主机上做软连接 在文件中设置标准编码方式。 # -*- coding: utf-8 -*-；或者设置主机的编码格式：在python安装目录的Lib\site-packages文件夹下新建一个sitecustomize.py文件，在文件中写入如下内容。 # encoding=utf8#import sys#reload(sys)#sys.setdefaultencoding('utf8') 重启python，通过sys.getdefaultencoding()查看默认编码，这时为'utf8'。

使用API时，每个子 域名 每天可以访问多少次？ 每个子域名的访问次数限制与API发布到的目标有关。 共享版默认发布到API网关共享版。发布成功后，您可以在API网关服务共享版控制台上查看所发布的API。 系统为API网关共享版的默认分组自动分配一个内部测试用的调试域名，此调试域名唯一且不可更改，此调试域名每天最多可以访问1000次。如果您不希望与其他API共享此规格，可以在APIG共享版控制台新建一个API分组（详情请参考创建API分组），然后在数据服务发布时选择对应API分组，独享每天最多访问1000次的规格。另外，您还可以为API分组绑定一个或多个独立域名（详情请参考绑定域名），API调用者通过访问独立域名来调用您开放的API，这样即可不受每天最多访问1000次的规格限制。 专享版默认发布到数据服务专享版集群上，支持按照API版本发布，发布成功后API调用者可以通过内网或公网调用该API。值得一提的是，只有将API发布到专享版集群上，才不存在每天最多可以访问1000次的限制，可自由调用API。 详细内容请参见发布API。 父主题： 数据服务

使用免费版 您可以参考购买 DataArts Studio 基础包，直接购买DataArts Studio免费版。 图2 使用免费版 使用免费版注意事项： 免费版不自带数据集成集群，而是首次购买时赠送36小时cdm.large规格的 CDM 集群折扣套餐，1年内有效。使用折扣套餐包时，您需要在“ 云数据迁移 CDM”服务创建一个与DataArts Studio实例区域一致的cdm.large规格集群，集群运行时会自动扣除折扣套餐包时长，折扣套餐包时长到期后需要删除此集群，否则会产生相关费用。关于CDM服务的计费详情可参见CDM用户指南。 免费版不支持购买增量包，例如无法购买批量数据迁移增量包或作业节点调度次数/天增量包。 免费版数据开发组件的脚本数和作业数的配额限制分别为20。 免费版仅用于试用场景，在业务负荷大的场景下，无法保证免费版实例上业务的正常运行。 免费版不支持通过API调用的方式使用，仅支持控制台方式使用。 免费版受成本、资源等因素限制，提供的总数量有限。当全网免费版数量超过限额时，将无法继续创建免费版实例。 免费版支持升级到其他付费版本。升级到其他版本或删除当前免费版实例后，您可以再次购买免费版，但不能再勾选“CDM套餐包”，折扣套餐仅在首次购买免费版时赠送。

试用初级版 您可以进入“大数据福利专场 0元试用”或“免费试用专区”活动页面，找到DataArts Studio的试用活动，配置DataArts Studio的区域后（不同区域的资源之间内网不互通，请根据您的实际需要慎重选择区域），单击购买即可进入DataArts Studio实例创建界面。 图1 试用初级版 试用初级版注意事项： 云产品体验名额有限，领完即止。 符合“参与对象”的同一用户仅能对同一产品申请一次。 试用产品的升级：用户试用过程中，主动进行升配等操作，将按照官网标准价格收费；如果进行降配或切换计费方式等，将不进行退费。 试用产品的续费：用户需要在试用期满后继续使用DataArts Studio的，应当在期满前按标准费用进行续费。

解决方案 建议您通过以下措施解决此问题： 检查CDM集群是否被关机。 是，将CDM集群开机后，确认管理中心的数据连接恢复正常。 否，跳转至步骤2。 检查该CDM集群是否同时被用于数据迁移作业和管理中心连接代理。 是，您可以错开数据迁移作业和管理中心连接代理的使用时间，或再创建CDM集群，与原有CDM集群分开使用。 否，跳转至步骤3。 直接重启该CDM集群，释放连接池资源。确认管理中心的数据连接恢复正常。

Hadoop类型的数据源进行数据迁移时，建议使用的组件版本有哪些？ 建议使用的组件版本既可以作为目的端使用，也可以作为源端使用。 表1 建议使用的组件版本 Hadoop类型 组件 说明 MRS /Apache/ FusionInsight HD Hive 暂不支持2.x版本，建议使用的版本： 1.2.X 3.1.X HDFS 建议使用的版本： 2.8.X 3.1.X Hbase 建议使用的版本： 2.1.X 1.3.X 父主题： 数据集成（CDM作业）

原因分析 由于HBase/CloudTable无Schema，每条数据的列数不固定，在字段映射界面CDM通过获取样值的方式有较大概率无法获得所有列，此时作业执行完后会造成目的端的数据不全。 这个问题，可以通过以下方法解决： 在CDM的字段映射界面增加字段。 在CDM的作业管理界面直接编辑作业的JSON（修改“fromJobConfig.columns”、“toJobConfig.columnList”这2个参数）。 导出作业的JSON文件到本地，在本地手动修改JSON文件中的参数后（原理同2相同），再导回CDM。 推荐使用方法1，下面以HBase导到DWS为例进行说明。

解决方法一：CDM的字段映射界面增加字段 获取源端HBase待迁移的表中所有的字段，列族与列之间用“:”分隔，例如： rowkey:rowkeyg:DAY_COUNTg:CATEGORY_IDg:CATEGORY_NAMEg:FIND_TIMEg:UPLOAD_PEOPLEg:IDg:INFOMATION_IDg:TITLEg:COORDINATE_Xg:COORDINATE_Yg:COORDINATE_Zg:CONTENTg:IMAGESg:STATE 在CDM的作业管理界面，找到HBase导出数据到DWS的作业，单击作业后面的“编辑”，进入字段映射界面，如图1所示。 图1 字段映射03 单击添加字段，在弹出框中选择“添加新字段”，如图2所示。 图2 添加字段04 添加完字段后，新增的字段在界面不显示样值，这个不影响字段值的传输，CDM会将字段值直接写入目的端。 这里“添加新字段”的功能，要求源端数据源为：MongoDB、HBase、关系型数据库或Redis，其中Redis必须为Hash数据格式。 全部字段添加完之后，检查源端和目的端的字段映射关系是否正确，如果不正确可以拖拽字段调整字段位置。 单击“下一步”后保存作业。

解决方案 如果是作为DataArts Studio服务CDM组件使用： 检查用户是否添加DAYU Administrator或DAYU User角色，参考DataArts Studio权限管理。 是否有对应工作空间的权限，如开发者、访客等，参考DataArts Studio权限列表。 如果是独立CDM服务使用： 检查是否开启 IAM 细粒度鉴权。 如果未开启，检查用户组是否添加CDM Administrator角色。 如果已开启，请继续执行步骤2继续检查。 检查用户是否添加CDM访问策略，包含自定义策略或预设策略，如CDM FullAccess、CDM ReadOnlyAccess等，参考CDM权限管理。 检查对应企业项目是否添加拒绝访问策略。

免费试用即将到期，如何续费？ 当免费试用的DataArts Studio实例即将到期时，您可以购买DataArts Studio实例以继续使用。您可以登录DataArts Studio控制台，找到即将到期的免费试用的DataArts Studio实例，在试用的DataArts Studio实例上单击“购买DataArts Studio实例”进行购买。 购买DataArts Studio实例的具体操作，请参见购买DataArts Studio实例。在购买DataArts Studio实例时，如需保留原有DataArts Studio实例中的资源和数据，您需要注意以下几点： 购买DataArts Studio实例的区域需和免费试用的DataArts Studio实例的区域一致。 需购买同版本或更高版本的DataArts Studio实例。 试用实例的资源默认继承保留至第一个购买成功的实例中。 父主题： 咨询与计费

解决方案 CDM虽然不支持直接在不同集群间迁移作业，但是通过批量导出、批量导入作业的功能，可以间接实现集群间的作业迁移，方法如下： 将CDM集群1中的所有作业批量导出，将作业的JSON文件保存到本地。 由于安全原因，CDM导出作业时没有导出连接密码，连接密码全部使用“Add password here”替换。 在本地编辑JSON文件，将“Add password here”替换为对应连接的正确密码。 将编辑好的JSON文件批量导入到CDM集群2，实现集群1和集群2之间的作业同步。

如何调整抽取并发数 集群最大抽取并发数的设置与CDM集群规格有关，并发数上限建议配置为vCPU核数*2，如表1所示。 表1 集群最大抽取并发数配置建议 规格名称 vCPUs/内存 集群并发数上限参考 cdm.large 8核 16GB 16 cdm.xlarge 16核 32GB 32 cdm.4xlarge 64核 128GB 128 图1 集群最大抽取并发数配置 作业抽取并发数的配置原则如下： 迁移的目的端为文件时，CDM不支持多并发，此时应配置为单进程抽取数据。 表中每行数据大小为1MB以下的可以设置多并发抽取，超过1MB的建议单线程抽取数据。 作业抽取并发数可参考集群最大抽取并发数配置，但不建议超过集群最大抽取并发数上限。 目的端为 DLI 数据源时，抽取并发数建议配置为1，否则可能会导致写入失败。 图2 作业抽取并发数配置

如何在IAM中创建细粒度权限策略？ 当前DataArts Studio不支持在IAM中创建细粒度权限策略。推荐通过DAYU策略+工作空间角色的方式进行权限控制，您可以通过自定义角色进行更精细化的权限管理。 DataArts Studio基于DAYU系统角色+工作空间角色实现授权的能力。为使IAM用户权限正常，IAM用户所在的用户组需要在IAM控制台中被授予DAYU User或DAYU Administrator的系统角色，另外也必须确保DAYU User角色的IAM用户已在对应的DataArts Studio工作空间中被设置为对应的工作空间角色。 工作空间角色决定了该用户在工作空间内的权限，当前有管理员、开发者、运维者和访客这四种预置角色可被分配，您也可以自定义角色进行更精细化的权限管理。各角色权限的详细说明请参见权限列表章节。 管理员：工作空间管理员，拥有工作空间内所有的业务操作权限。建议将项目负责人、开发责任人、运维管理员设置为管理员角色。 开发者：开发者拥有工作空间内创建、管理工作项的业务操作权限。建议将任务开发、任务处理的用户设置为开发者。 运维者：运维者具备工作空间内运维调度等业务的操作权限，但无法更改工作项及配置。建议将运维管理、状态监控的用户设置为运维者。 访客：访客可以查看工作空间内的数据，但无法操作业务。建议将只查看空间内容、不进行操作的用户设置为访客。 部署者：企业模式独有，具备工作空间内任务包发布的相关操作权限。在企业模式中，开发者提交脚本或作业版本后，系统会对应产生发布任务。开发者确认发包后，需要部署者审批通过，才能将修改后的作业同步到生产环境。 自定义角色：如果预置角色不能满足您的需求，您也可以创建自定义角色。自定义角色的权限可自由配置，实现业务操作权限最小化。 父主题： 咨询与计费

已购买包年包月的CDM套餐包，为什么还会产生按需计费的费用？ 请您先确认套餐包和实际的CDM集群是否具有相同区域和规格，如果非相同区域和规格，则无法使用套餐包。CDM集群规格和区域可以通过进入CDM主界面，进入“集群管理”，单击集群列表中的集群名称查看。 如果套餐包和实际的CDM集群具有相同区域和规格，则以下情况也会产生按需费用： 如果您先购买按需计费增量包，再购买套餐包，则在购买套餐包之前已经产生的费用以按需计费结算，购买套餐包之后的费用按套餐包计时。 父主题： 数据集成（CDM作业）

解决方案 新建MRS Hive连接时，提示无法下载配置文件，实际是用户权限不足。建议您新建一个业务用户，给对应的权限后重试即可。 如果要创建MRS安全集群的数据连接，不能使用admin用户。因为admin用户是默认的管理页面用户，这个用户无法作为安全集群的认证用户来使用。您可以创建一个新的MRS用户，然后在创建MRS数据连接时，“用户名”和“密码”填写为新建的MRS用户及其密码。 如果CDM集群为2.9.0版本及之后版本，且MRS集群为3.1.0及之后版本，则所创建的用户至少需具备Manager_viewer的角色权限才能在CDM创建连接；如果需要对MRS组件的库、表、列进行操作，还需要参考MRS文档添加对应组件的库、表、列操作权限。 如果CDM集群为2.9.0之前的版本，或MRS集群为3.1.0之前的版本，则所创建的用户需要具备Manager_administrator或System_administrator权限，才能在CDM创建连接。 仅具备Manager_tenant或Manager_auditor权限，无法创建连接。

CDM有哪些优势？ 云数据迁移（Cloud Data Migration，简称CDM）服务基于分布式计算框架，利用并行化处理技术，使用CDM迁移数据的优势如表1所示。 表1 CDM优势 优势项 用户自行开发 CDM 易使用 自行准备服务器资源，安装配置必要的软件并进行配置，等待时间长。 程序在读写两端会根据数据源类型，使用不同的访问接口，一般是数据源提供的对外接口，例如JDBC、原生API等，因此在开发脚本时需要依赖大量的库、SDK等，开发管理成本较高。 CDM提供了Web化的管理控制台，通过Web页实时开通服务。 用户只需要通过可视化界面对数据源和迁移任务进行配置，服务会对数据源和任务进行全面的管理和维护，用户只需关注数据迁移的具体逻辑，而不用关心环境等问题，极大降低了开发维护成本。 CDM还提供了REST API，支持第三方系统调用和集成。 实时监控 需要自行选型开发。 您可以使用 云监控服务 监控您的CDM集群，执行自动实时监控、告警和通知操作，帮助您更好地了解CDM集群的各项性能指标。 免运维 需要自行开发完善运维功能，自行保证系统可用性，尤其是告警及通知功能，否则只能人工值守。 使用CDM服务，用户不需要维护服务器、虚拟机等资源。CDM的日志，监控和告警功能，有异常可以及时通知相关人员，避免7*24小时人工值守。 高效率 在迁移过程中，数据读写过程都是由一个单一任务完成的，受限于资源，整体性能较低，对于海量数据场景通常不能满足要求。 CDM任务基于分布式计算框架，自动将任务切分为独立的子任务并行执行，能够极大提高数据迁移的效率。针对Hive、HBase、MySQL、DWS（ 数据仓库 服务）数据源，使用高效的数据导入接口导入数据。 多种数据源支持 数据源类型繁杂，针对不同数据源开发不同的任务，脚本数量成千上万。 支持数据库、Hadoop、NoSQL、数据仓库、文件等多种类型的数据源。 多种网络环境支持 随着云计算技术的发展，用户数据可能存在于各种环境中，例如公有云、自建/托管IDC、混合场景等。在异构环境中进行数据迁移需要考虑网络连通性等因素，给开发和维护都带来较大难度。 无论数据是在用户本地自建的IDC中（Internet Data Center，互联网数据中心）、云服务中、第三方云中，或者使用E CS 自建的数据库或文件系统中，CDM均可帮助用户轻松应对各种数据迁移场景，包括数据上云，云上数据交换，以及云上数据回流本地业务系统。 父主题： 数据集成（CDM作业）

数据服务专享版API解冻 在DataArts Studio“空间管理”页签中，单击工作空间操作列“编辑”链接。 图3 编辑空间管理 在“空间信息”中，单击“设置”按钮对已分配配额进行配置。 图4 设置已分配配额 数据服务已创建的API属于计费项，当前操作正在增加API配额，这会使工作空间下可以创建更多的API，同时可能使收费增加，请确认。 设置专享版API已分配配额。 图5 设置配额 已分配配额不能小于已使用配额，不能大于总配额-总分配配额+已分配配额。 选择需要解冻的API，单击操作列“解冻”完成API的解冻。 图6 解冻API 创建专享版API需要收费（10个以内不收费，超过10个的API的个数1个API收费1元/1天）。

如何实现用户的工作空间隔离，使其无法查看其他未授权工作空间？ DataArts Studio基于系统角色+工作空间角色实现授权的能力。默认情况下，当为普通用户配置了DAYU User系统角色，未添加为某个工作空间角色时，则该用户无法查看此工作空间。 注意，如果该普通用户同时被配置了DAYU Administrator、Tenant Guest或Tenant Administrator角色，则工作空间隔离失效，该用户可查看所有工作空间。 父主题： 咨询与计费

套餐包到期未续订或按需资源欠费时，我的数据会保留吗？ 云服务进入宽限期/保留期后，华为云将会通过邮件、短信等方式向您发送提醒，提醒您续订或充值。保留期到期仍未续订或充值，存储在云服务中的数据将被删除、云服务资源将被释放。 宽限期：指客户的包周期资源到期未续订或按需资源欠费时，华为云提供给客户进行续费与充值的时间，宽限期内客户可正常访问及使用云服务。 保留期：指宽限期到期后客户的包周期资源仍未续订或按需资源仍未缴清欠款，将进入保留期。保留期内客户不能访问及使用云服务，但对客户存储在云服务中的数据仍予以保留。 华为云宽限期和保留期时长设定请参考宽限期保留期。 父主题： 咨询与计费

解决方案 此类问题一般是由于用户不具备MRS集群操作权限导致的。 对于租户下新增的用户，需要在MRS集群列表的界面找到对应的MRS集群实例，手动单击同步。 操作如下： 进入MRS控制台，查看现有集群，单击对应的集群名称进入概览页。 图1 MRS集群实例 在“IAM用户同步”处，单击同步。 图2 单击同步 在操作日志处查看操作结果。 图3 操作日志 如果经过上述步骤，账号已同步。但还是提示MRS权限不足的话，则需要登录到Manger管理页面中创建一个与当前主账号同名的账号。 在步骤4中，需要创建一个与当前主账号同名的账号。

可能原因 DataArts Studio基于DAYU系统角色+工作空间角色实现授权的能力。为使IAM用户权限正常，IAM用户所在的用户组需要在IAM控制台中被授予DAYU User或DAYU Administrator的系统角色，另外也必须确保DAYU User角色的IAM用户已在对应的DataArts Studio工作空间中被设置为对应的工作空间角色。 如果您只给用户配置了工作空间的角色，则会出现无权限的报错。

CDM可以跨账户使用吗？ CDM不支持跨账户使用，可以通过授权给同一账户IAM子用户使用。 IAM用户授权操作步骤如下： 创建用户组并授权 在IAM控制台创建用户组，并授予CDM集群只读权限“CDM ReadOnlyAccess”。 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择“云数据迁移服务”，进入CDM主界面查看集群，若未提示权限不足，表示“CDM ReadOnlyAccess”已生效。 在“服务列表”中选择除CDM服务外的任一服务，若提示权限不足，表示“CDM ReadOnlyAccess”已生效。 父主题： 数据集成（CDM作业）

解决方案 您需要检查IAM用户所在的用户组是否已经在IAM控制台中被授予DAYU User或DAYU Administrator的系统角色。IAM用户的创建和授权系统角色的具体操作如下： 创建用户组并授权系统角色。 使用华为账号登录 统一身份认证 服务IAM控制台，创建用户组，并授予DataArts Studio的系统角色，如“DAYU Administrator”或“DAYU User”。 创建用户组并授权的具体操作，请参见创建用户组并授权。 配置用户组的DataArts Studio权限时，直接在搜索框中输入权限名“DAYU”进行搜索，然后勾选需要授予用户组的权限，如“DAYU User”。 DataArts Studio部署时通过物理区域划分，为项目级服务。授权时，“授权范围方案”如果选择“所有资源”，则该权限在所有区域项目中都生效；如果选择“指定区域项目资源”，则该权限仅对此项目生效。IAM用户授权完成后，访问DataArts Studio时，需要先切换至授权区域。 创建用户并加入用户组。 在IAM控制台创建用户，并将其加入步骤1中创建的用户组。 创建用户并加入用户组的具体操作，请参见创建用户并加入用户组。 仅当创建IAM用户时的访问方式勾选“编程访问”后，此IAM用户才能通过认证鉴权，从而使用API、SDK等方式访问DataArts Studio。 为“DAYU User”系统角色用户自定义工作空间角色，并将其添加到工作空间成员、配置角色。 对于“DAYU User”权限的IAM用户而言，DataArts Studio工作空间角色决定了其在工作空间内的权限，当前有管理员、开发者、部署者、运维者和访客这五种预置角色可被分配。如果预置角色可以满足您的使用需求，则无需自定义工作空间角色，直接将用户添加到工作空间成员、配置预置角色即可；否则，请您创建自定义角色，再将用户添加到工作空间成员、配置自定义角色。自定义工作空间角色的具体操作请参见（可选）自定义工作空间角色，添加工作空间成员并配置角色的具体操作请参见添加工作空间成员和角色。 角色的权限说明请参见权限列表章节。 用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限，例如： 在“服务列表”中选择 数据治理中心 ，进入DataArts Studio实例卡片。从实例卡片进入控制台首页后，确认能否正常查看工作空间列表情况。 进入已添加当前用户的工作空间业务模块（例如管理中心），查看能否根据所配置的工作空间角色，正常进行业务操作。

原因分析 获取Shell节点的运行日志。 [2021/11/17 02:00:36 GMT+0800] [INFO] No job-level agency is set, Workspace-level agency is dlg_agency, Execute job use agency dlg_agency, job id is 07572F197E4642E5BE549C2B656F157Ctm7cHkHd[2021/11/17 02:00:36 GMT+0800] [DEBUG] ===============================================[2021/11/17 02:00:36 GMT+0800] [INFO] Get response from agent when try to submit shell running job :[2021/11/17 02:00:36 GMT+0800] [INFO]{"jobResultList":[{"jobId":"a567f7f5-3c9e-4dfc-a464-bd477ac5b1ea","status":"created","errorCode":0,"failCount":0,"result":[]}],"agentId":"614853ee-c1c6-456d-9aa6-fc84ad1281ed"}[2021/11/17 02:00:36 GMT+0800] [DEBUG] ===============================================[2021/11/17 02:05:56 GMT+0800] [DEBUG] ===============================================[2021/11/17 02:05:56 GMT+0800] [INFO] Job Run finish , the raw output is :[2021/11/17 02:05:56 GMT+0800] [INFO]{"jobId":"a567f7f5-3c9e-4dfc-a464-bd477ac5b1ea","status":"failed","errorCode":3427,"errorMessage":"Shell script job execute failed.","failCount":0,"result":[{"is_success":false,"exeTime":300.609}]}[2021/11/17 02:05:56 GMT+0800] [DEBUG] ===============================================[2021/11/17 02:05:56 GMT+0800] [DEBUG] ===============================================[2021/11/17 02:05:56 GMT+0800] [INFO] The return code is : [-1].[2021/11/17 02:05:56 GMT+0800] [DEBUG] ===============================================[2021/11/17 02:05:56 GMT+0800] [INFO] Execute shell script job finished.[2021/11/17 02:05:56 GMT+0800] [ERROR] Shell exit code is not 0[2021/11/17 02:05:56 GMT+0800] [DEBUG] ===============================================[2021/11/17 02:05:56 GMT+0800] [ERROR] Shell script job execute failed. Please contact ECS Service.[2021/11/17 02:05:56 GMT+0800] [ERROR] Exception message: RuntimeException: Shell script job execute failed. Please contact ECS Service.[2021/11/17 02:05:56 GMT+0800] [ERROR] Root Cause message:RuntimeException: Shell script job execute failed. Please contact ECS Service. 确认其ECS的sshd_config参数如下。 原因分析：由于ssh session超时断开了，因此Shell节点失败。