华为云用户手册

配合单个服务系统策略使用 如果您给 IAM 用户授予单个服务系统策略，例如“BMS FullAccess”，但不希望用户拥有BMS FullAccess中的创建裸金属服务器权限（bms:servers:create），可以创建一条相同Action的自定义策略，并将自定义策略的Effect设置为Deny，然后将系统策略BMS FullAccess和自定义策略同时授予用户，根据Deny优先原则，则用户可以对BMS执行除了创建裸金属服务器外的所有操作。 以下策略样例表示：拒绝IAM用户创建裸金属服务器。 { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "bms:servers:create" ] } ] } 如果您给IAM用户授予“OBS ReadOnlyAccess”权限，但不希望部分用户查看指定OBS资源（例如，不希望用户名以“TestUser”开头的用户查看以“TestBucket”命名开头的桶），可以再创建一条自定义策略来指定特定的资源，并将自定义策略的Effect设置为Deny，然后将OBS ReadOnlyAccess和自定义策略同时授予用户。根据Deny优先原则，则用户可以对以“TestBucket”命名开头之外的桶进行查看操作。 以下策略样例表示：拒绝以TestUser命名开头的用户查看以TestBucket命名开头的桶。 { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "obs:bucket:ListAllMybuckets", "obs:bucket:HeadBucket", "obs:bucket:ListBucket", "obs:bucket:GetBucketLocation" ], "Resource": [ "obs:*:*:bucket:TestBucket*" ], "Condition": { "StringStartWith": { "g:UserName": [ "TestUser" ] } } } ] }

完全使用自定义策略 您也可以不使用系统策略，只创建自定义策略，实现IAM用户的指定服务授权。 以下策略样例表示：仅允许IAM用户使用E CS 、EVS、VPC、ELB、 AOM { "Version": "1.1", "Statement": [ { "Effect": "Allow" "Action": [ "ecs:*:*", "evs:*:*", "vpc:*:*", "elb:*:*", "aom:*:*" ] } ] }

登录方法：IAM用户专属链接 此方法需要向管理员获取专属登录链接，获取后建议您保存该链接，方便后续快速登录。使用IAM用户专属链接登录时，系统会自动识别用户的账号名，用户仅需要填写用户名和密码，方便用户快速登录。 管理员在IAM控制台，复制“IAM用户登录链接”，并将链接发送给用户。 图2 IAM用户登录链接 用户在浏览器中打开复制的地址，输入“用户名/邮件地址”和“密码”，单击“登录”，完成登录。 图3 IAM用户通过链接登录

登录方法1：华为云登录页面 在华为云的登录页面，单击登录下方的“IAM用户”，在“IAM用户登录”页面，输入账号名，IAM用户名/邮件地址和密码。 图1 IAM用户登录 租户名/原华为云账号：IAM用户所属的账号，即华为云账号。如果不知道账号名，请向管理员获取。 IAM用户名/邮件地址：在IAM创建用户时，输入的IAM用户名/邮件地址。如果不知道用户名及初始密码，请向管理员获取。 IAM用户密码：IAM用户的密码，非账号密码。 单击“登录”，完成登录。 如果创建IAM用户时，IAM用户没有加入任何用户组，则IAM用户不具备任何权限，不能对云服务进行操作，需要联系管理员参考创建用户组并授权和在用户组中添加或移除IAM用户给IAM用户授权。 如果创建IAM用户时，IAM用户加入了默认用户组“admin”，则IAM用户为管理员，可以对所有云服务执行任意操作。

操作步骤 创建用户组并授权。 在用户组界面，单击“创建用户组”。 输入“用户组名称”。 单击“确定”，用户组创建完成。 单击新建用户组右侧的“授权”。 创建自定义策略。 如果需要授予IAM用户精细的委托权限，仅管理指定的委托，请执行以下步骤创建细粒度的委托权限。如果不需要进行精细的委托授权，授予IAM用户管理所有的委托权限，请跳过该步骤，直接执行f。 在选择策略页面，单击权限列表右上角“新建策略”。 输入“策略名称”。 “策略配置方式”选择“JSON视图”。 在“策略内容”区域，填入以下内容： { "Version": "1.1", "Statement": [ { "Action": [ "iam:tokens:assume" ], "Resource": { "uri": [ "/iam/agencies/agencyTest" ] }, "Effect": "Allow" } ] } "agencyTest"需要替换为待授权委托的Name，需要提前向委托方获取，其他内容不需修改，直接拷贝即可。 本文简要讲述快速完成委托细粒度授权的必要操作，更多权限内容，详情请参考权限管理。 单击“下一步”，继续完成授权。 选择上一步创建的自定义策略或者“Agent Operator”权限，单击“下一步”。 自定义策略：用户仅能管理指定ID的委托，不能管理其他委托。 “Agent Operator”权限：用户可以管理所有委托。 选择授权范围方案。 单击“确定”，用户组授权完成。 创建IAM用户并加入用户组。 在用户界面，单击“创建用户”。 在创建用户界面，输入用户信息。 “访问方式”选择“管理控制台访问”中的“首次登录时设置”。 “登录保护”选择“开启”，并选择身份验证方式，单击“下一步”。 在“可选用户组”中，选择1中新创建的用户组，单击“创建用户”。 完成IAM用户创建。 分配委托权限操作完成，新创建的IAM用户可以通过切换角色至委托方账号中，帮助您管理委托资源。

扫码登录 华为云APP是华为云的手机客户端，通过华为云APP，您可以在手机上远程管理您的华为云服务资源。如果您在华为云APP上登录了账号或IAM用户，通过APP扫描页面二维码即可登录华为云，无需重复输入账号信息。 如需下载华为云APP，请单击：下载华为云APP。 通过华为云APP扫码登录方法如下： 在华为云的登录页面，单击右上角的二维码，进入“扫码登录”页面。 图4 扫码登录 使用华为云APP扫描页面二维码。

华为企业合作伙伴账号登录 如果您已有“华为企业合作伙伴账号”，可以通过此方式登录华为云，无需记录多套身份信息。 单击“华为企业合作伙伴账号”，如下图所示。 图5 华为企业合作伙伴账号 根据界面指引登录华为企业合作伙伴账号。 首次登录时：页面自动跳转至创建或关联华为云账号页面，输入账号名和手机号、验证码。单击“创建并绑定”，登录华为云控制台。 后续登录时：直接跳转至华为云控制台。 首次登录成功后，后续可以使用步骤2中设置的账号名或手机号，通过华为云账号登录华为云控制台。

企业联邦用户登录 企业联邦用户是在企业管理系统中创建的用户，账号在IAM控制台创建身份提供商后，企业联邦用户可以登录华为云并根据对应权限使用云服务。详情请参考：身份提供商概述。 如果您已知创建该身份提供商的华为云账号名称、身份提供商名称、企业管理系统的账号和密码，可以通过此方式登录华为云。 在华为云的登录页面，单击登录下方的“企业联邦用户”，在“企业联邦身份登录”页面，输入账号名，选择身份提供商名称。 图15 企业联邦身份登录 原华为云账号名/租户名：创建身份提供商的华为云账号名称。如果不知道账号名，请向管理员获取。 身份提供商名称：管理员创建身份提供商时，设置的名称。如果不知道身份提供商名称，请向管理员获取。 单击“前往登录”，跳转至企业管理系统登录页面。 在企业管理系统登录页面，输入企业管理系统用户名、密码。 单击“登录”，登录华为云。

策略参数 策略参数包含Version和Statement两部分，下面介绍策略参数详细说明。了解策略参数后，您可以根据场景自定义策略，如自定义策略示例。 表1 策略参数说明 参数 含义 值 Version 策略的版本。 1.1：代表基于策略的访问控制。 Statement： 策略的授权语句 Effect：作用 定义Action中的操作权限是否允许执行。 Allow：允许执行。 Deny：不允许执行。 说明： 当同一个Action的Effect既有Allow又有Deny时，遵循Deny优先的原则。 Action：授权项 操作权限。 格式为“服务名:资源类型:操作”。授权项支持通配符号*，通配符号*表示所有。授权项不区分大小写。 示例： "obs:bucket:ListAllMybuckets"：表示查看OBS桶列表权限，其中obs为服务名，bucket为资源类型，ListAllMybuckets为操作。 您可以在对应服务“API参考”资料中查看该服务所有授权项，如OBS授权项。 Condition：条件 使策略生效的特定条件，包括条件键和运算符。 格式为“条件运算符:{条件键：[条件值1,条件值2]}”。其中，条件键不区分大小写。 如果您设置多个条件，同时满足所有条件时，该策略才生效。 示例: "StringEndWithIfExists":{"g:UserName":["specialCharacter"]}：表示当用户输入的用户名以"specialCharacter"结尾时该条statement生效。 Resource: 资源类型 策略所作用的资源。 格式为“服务名:region:domainId:资源类型:资源路径”, 资源类型支持通配符号*，通配符号*表示所有。资源类型不区分大小写。 支持资源粒度授权的云服务和资源类型参见：支持IAM资源粒度授权的云服务。 示例： "obs:*:*:bucket:*": 表示所有的OBS桶。 "obs:*:*:object:my-bucket/my-object/*": 表示my-bucket桶my-object目录下的所有对象。 条件键 条件键表示策略语句的 Condition 元素中的键值。根据适用范围，分为全局条件键和服务条件键。 全局级条件键（前缀为g:）适用于所有操作，IAM提供两种全局条件键：通用全局条件键和其他全局条件键。 通用全局条件键：在鉴权过程中，云服务不需要提供用户身份信息，IAM将自动获取并鉴权。详情请参见：通用全局条件键。 其他全局条件键：在鉴权过程中，IAM通过云服务获取条件信息并鉴权。仅部分已对接的云服务支持其他全局条件键。 服务级条件键（前缀为服务缩写，如obs:）仅适用于对应服务的操作，详情请参见对应云服务的用户指南，如OBS请求条件。 表2 通用全局条件键 全局条件键 类型 说明 g:CurrentTime 时间 接收到鉴权请求的时间。以 ISO 8601 格式表示，例如：2012-11-11T23:59:59Z。示例参见1。 g:DomainName 字符串 请求者的账号名称。示例参见2。 g:MFAPresent 布尔值 是否使用MFA多因素认证方式 获取Token 。示例参见3。 g:MFAAge 数值 通过MFA多因素认证方式获取的Token的生效时长。该条件需要和g:MFAPresent一起使用。示例参见4。 g:PKITokenIssueTime 时间 PKI Token的签发时间。以ISO 8601格式表示，例如：2012-11-11T23:59:59Z。示例参见5。 g:ProjectName 字符串 项目名称。示例参见6。 g:UserId 字符串 IAM用户ID。示例参见7。 g:UserName 字符串 IAM用户名。示例参见8。 表3 其他全局条件键 全局条件键 类型 说明 g:SourceIp IP Address 请求用户的IP地址 g:SourceVpc String 请求用户的VPC ID g:SourceVpce String 请求用户的VPC Endpoint ID g:TagKeys String 资源标签键 g:ResourceTag/{TagKey} String 资源标签键值 g:CurrentTime 示例：表示用户在北京时间2023年3月1日8点到北京时间2023年3月30日8点可以创建IAM委托。注意：策略中g:CurrentTime条件键值的时间格式为UTC时间。 { "Version": "1.1", "Statement": [{ "Effect": "Allow", "Action": ["iam:roles:createRoles"], "Condition": { "DateGreaterThan": { "g:CurrentTime": ["2023-03-01T00:00:00Z"] }, "DateLessThan": { "g:CurrentTime": ["2023-03-30T00:00:00Z"] } } }] } g: DomainName 示例：表示仅有用户zhangsan可以创建委托。 { "Version": "1.1", "Statement": [{ "Effect": "Allow", "Action": ["iam:roles:createRoles"], "Condition": { "StringEquals": { "g:DomainName": ["zhangsan"] } } }] } g:MFAPresent 示例：表示请求者获取身份凭证时采用了MFA认证后才可以创建IAM委托。 { "Version": "1.1", "Statement": [{ "Effect": "Allow", "Action": ["iam:roles:createRoles"], "Condition": { "Bool": { "g:MFAPresent": ["true"] } } }] } g:MFAAge 示例：表示请求者获取身份凭证时采用了MFA认证的时间必须大于900s才可以创建IAM委托。 { "Version": "1.1", "Statement": [{ "Effect": "Allow", "Action": ["iam:roles:createRoles"], "Condition": { " NumberGreaterThanEquals ": { "g:MFAAge": ["900"] } } }] } g:PKITokenIssueTime 示例：表示用户在北京时间2023年3月1日8点前请求签发的PKI Token可以创建IAM委托。 策略中g:PKITokenIssueTime条件键值的时间格式为UTC时间。 { "Version": "1.1", "Statement": [{ "Effect": "Allow", "Action": ["iam:roles:createRoles"], "Condition": { "DateLessThan": { "g:PKITokenIssueTime": ["2023-03-01T00:00:00Z"] } } }] } g:ProjectName 示例：表示请求者获取的凭证范围必须是在北京四时才可以创建IAM委托。 { "Version": "1.1", "Statement": [{ "Effect": "Allow", "Action": ["iam:roles:createRoles"], "Condition": { " StringEquals ": { "g: ProjectName ": ["cn-north-4"] } } }] } g: UserId 示例：表示用户ID为xxxxxxxxxxx…的用户才可以创建IAM委托。 { "Version": "1.1", "Statement": [{ "Effect": "Allow", "Action": ["iam:roles:createRoles"], "Condition": { "StringEquals": { "g: UserId ": ["xxxxxxxxxxx…"] } } }] } g: UserName 示例：表示用户lisi才可以创建IAM委托。 { "Version": "1.1", "Statement": [{ "Effect": "Allow", "Action": ["iam:roles:createRoles"], "Condition": { "StringEquals": { "g: UserName ": ["lisi"] } } }] } 多值条件键 ForAllValues：测试请求集的每个成员的值是否为条件键集的子集。如果请求中的每个键值均与策略中的至少一个值匹配，则条件返回true。 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "ims:images:share" ], "Condition": { "ForAllValues:StringEquals": { "ims:TargetOrgPaths": [ "orgPath1", "orgPath2", "orgPath3" ] } } } ] } 此策略描述的是对于请求者发起共享的组织中所有组织路径必须是orgPath1、orgPath2或者orgPath3，那么允许共享。 假如请求者想共享镜像给组织路径orgPath1、orgPath3下的成员，策略匹配成功。 假如请求者想共享镜像给组织路径orgPath1、orgPath2、orgPath3、orgPath4下的成员，策略匹配失败。 ForAnyValue：测试请求值集的至少一个成员是否与条件键值集的至少一个成员匹配。如果请求中的任何一个键值与策略中的任何一个条件值匹配，则条件返回true。对于没有匹配的键或空数据集，条件返回false。 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "ims:images:share" ], "Condition": { "ForAnyValue:StringEquals": { "ims:TargetOrgPaths": [ "orgPath1", "orgPath2", "orgPath3" ] } } } ] } 此策略描述的是对于请求者发起共享的组织中任一一个组织路径是orgPath1、orgPath2或者orgPath3，那么允许共享。 假如请求者想共享镜像给组织路径orgPath1、orgPath4下的成员，策略匹配成功。 假如请求者想共享镜像给组织路径orgPath4、orgPath5下的成员，策略匹配失败。 条件键运算逻辑 图2 条件键运算逻辑示意图 对于同一条件键的多个条件值，采用OR运算逻辑，即请求值按照条件运算符匹配到任意一个条件值则返回true。 当运算符表示否定含义的时候（例如：StringNotEquals），则请求值按照条件运算符不能匹配到所有的条件值。 同一运算符下的不同条件键之间，采用AND运算逻辑。不同运算符之间，采用AND运算逻辑。

查看策略内容 在左侧导航栏选择“用户组”，单击需授权的用户组“操作”列下的“授权”。 给用户组选择策略时，单击策略前面的，可以查看策略的详细内容，以系统策略“IAM ReadOnlyAccess”为例。 图1 IAM ReadOnlyAccess策略内容 { "Version": "1.1", "Statement": [ { "Action": [ "iam:*:get*", "iam:*:list*", "iam:*:check*" ], "Effect": "Allow" } ] }

使用限制 单账号跟踪的事件可以通过 云审计 控制台查询。多账号的事件只能在账号自己的事件列表页面去查看，或者到组织追踪器配置的OBS桶中查看，也可以到组织追踪器配置的 CTS /system日志流下面去查看。 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录，您必须配置转储到 对象存储服务 （OBS）或 云日志 服务（LTS），才可在OBS桶或LTS日志组里面查看历史事件信息。否则，您将无法追溯7天以前的操作记录。 云上操作后，1分钟内可以通过云审计控制台查询管理类事件操作记录，5分钟后才可通过云审计控制台查询数据类事件操作记录。 CTS新版事件列表不显示数据类审计事件，您需要在旧版事件列表查看数据类审计事件。 云审计控制台对用户的操作事件日志保留7天，过期自动删除，不支持人工删除。

用户组 用户组是用户的集合，IAM可以通过用户组功能实现用户的授权。您创建的IAM用户，加入特定用户组后，将具备对应用户组的权限，可以基于权限对云服务进行操作。当某个用户加入多个用户组时，此用户同时拥多个用户组的权限，即多个用户组权限的全集。 “admin”为缺省用户组，具有所有云服务资源的操作权限。将用户加入该用户组后，用户可以操作并使用所有云资源，包括但不仅限于创建用户组及用户、修改用户组权限、管理资源等。 图6 用户组

权限 IAM预置了各服务的常用权限，例如管理员权限、只读权限，您可以直接使用这些权限。默认情况下，管理员创建的IAM用户没有任何权限。管理员可以将其加入用户组，并给用户组授予策略或角色，用户组中的用户将获得用户组的权限。同时，IAM用户也可以为自身授予权限。这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对ECS服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。 如下图所示，如果您授予IAM用户弹性 云服务器ECS 的权限，则该IAM用户除了ECS，不能访问其他任何服务，如果尝试访问其他服务，系统将会提示没有权限。 图7 系统提示没有权限

IAM的使用对象 IAM的使用对象为管理员： 账号：账号可以使用所有服务，包括IAM。 admin用户组中的用户：IAM默认用户组admin中的用户，可以使用所有服务，包括IAM。 授予了“Security Administrator”权限的用户：具备该权限的用户为IAM管理员，可以使用IAM。 推荐您在使用IAM前，开通云审计服务CTS，方便查看、审计以及回溯IAM的关键操作记录。详情请参考：IAM支持审计的关键操作。

开票要求 请开具电子版或纸质版增值税专用发票，优先选择电子版。 如开具电子专票，请将开票清单及电子发票发送至发票团队公邮: hwinvoice@huawei.com （仅接收PDF或OFD格式电子发票原件，不接收照片、 扫描件），如有疑问可联系028-62844628。 如开具纸质专票，请打印开票清单连同纸质发票一起邮寄至以下地址： 发票邮寄地址：四川省成都市高新西区西源大道1899号华为成都账务共享中心 发票接收人：华为成都财务发票团队 发票接收人电话：028-62844628 纸质发票上需要有商家公司的签字或盖章。 一个申付单可开具多张发票，请将一个申付单中的所有发票合并发送，否则将导致付款延迟。 例如：某账期金额1000元，申付单号为A，商家开具2张500元的发票，2张发票需备注申付单号A，并且一起发送或寄出，当申付金额与发票总金额一致时，华为才可发起付款。 请参照下表《开票信息》填写发票。 表1 开票信息 开票信息 对应值 发票类型 增值税专用发票 单位名称（户名） 华为云计算 技术有限公司 税号 91520900MA6J6CBN9Q 说明： 如果商家完成了“三证合一”变更，请在开具的增值税专用发票上的销货单位处使用变更后的纳税人识别号。 地址 贵州省贵安新区黔中大道交兴功路华为云数据中心 电话 15817463372 说明： 此电话号码仅供开票使用，请勿电话咨询此号码，有问题提工单处理。 开户行及账号 中国工商银行股份有限公司深圳华为支行 4000056019100216486 发票内容 请按销售的商品对应的税务类型开具； 如账单中有多个商品，可在发票里添加多个劳务名称。 税率 请按开票清单中的税率开具。 注意： 包周期的软件商品税率为6%。如涉及多个税率，不同税率的发票请分开开具。 备注 请在备注中填写申付单号和对账期次。 说明： 申付单号可在开票通知中获取。 开票清单中标*的内容为必填项，请注意补充空白项。 在发票备注栏填写申付单号和对账期次。申付单号可在开票清单查看。 开票金额请按照开票清单中的账期金额填写，如对金额有疑问可咨询邮箱partner@huaweicloud.com。 开票内容：请根据实际情况，按销售的商品属性开具。 纸质发票上需要有商家公司的签字或盖章，电子发票和开票清单不需要。 请勿合并申付单开票，同一申付单号可对应多张发票，但一张发票不可对应多个申付单号。如一个申付单上涉及不同税率的发票，请合并开具在一张发票上。 请确保开票清单中的供应商联系电话与邮件有效，如开具发票存在问题，工作人员将联系供应商负责人核实。 发票中的纳税人身份需与商业信息认证身份一致，如有变更，请联系客服协助处理。

联营商品服务支持条款发布说明 联营商品服务支持条款发布说明 联营商品服务支持条款涉及商家与买家、华为云三方，因此商家拟定条款时应使用云商店提供的模板。 接入类型 模板 SaaS、镜像、API、容器、数据资产、AI资产类 联营商品服务支持条款（SaaS、镜像、API、容器、数据资产、AI资产类）.docx License 联营商品服务支持条款（License）.docx 人工服务 云商店联营商品服务支持条款（人工服务）.docx 硬件 联营商品服务支持条款（硬件）.docx 您需根据模板内注释要求修改（如下图，下载模板后可见），请在填写之后对照检查常见错误： 未使用联营服务支持条款模板更新。 使用与本次发布商品接入类型不一致的模板更新。 条款首段：商家公司名称填写不全或与发布主体不符。您可进入商家信息页面查看公司全称。 条款首段：商品名称填写与本次上架的商品名称不一致，或是复制其他商品的协议后未修改。 “数据保护”部分，未补充《商家隐私声明》的URL链接。

联营SaaS类商品接入流程介绍 联营SaaS类商品接入云商店概览： 如上图所示，联营SaaS接入分成为2个阶段： Kit对接：商家根据业务所需进行接口调试（参考1.4基础接口描述和1.5联营kit接口描述）； 账号测试：商家在云商店的“卖家中心”进行1.8 接口调试，1.6 应用凭证申请，并获取应用测试账号，完成1.7.4 用户登录接口调测。 对于商家来说，完成接口对接与测试后，可以申请发布联营SaaS产品；本文档涉及Kit对接和验证用户账号登录，关于买家如何完成应用的购买与配置，请参考《联营账号快捷开通流程》。 联营SaaS类商品接入云商店的详细流程如下图所示： 流程说明如下： 申请入驻云商店，成为商家。 云商店运营人员审核公司的资质信息。 准备生产接口服务器，根据本接入指南开发生产接口。 在卖家中心调试生产接口，参考1.8 接口调试。 在卖家中心完成安全 漏洞扫描 。 在卖家中心创建应用凭证，参考1.6 应用凭证申请和修改。 在卖家中心申请测试账号。 WEB场景的界面登录验证。 验证登录成功。 商家首次发布联营商品时，需根据弹出框指引加入云商店服务商联营计划，成为联营商家。后续再次发布联营商品时，无需重复加入联营计划。 在卖家中心申请发布商品。 云商店运营人员审批通过后，产品发布为联营商品。 在卖家中心自助管理生产接口通知消息。 父主题： 接入流程

接入流程 SaaS类商品接入云商店的流程如下图所示： 流程说明如下： 申请入驻云商店，成为商家。 云商店运营人员审核公司的资质信息。 准备生产接口服务器，根据本接入指南开发生产接口。 在卖家中心调试生产接口，参考接口调试。 在卖家中心完成安全漏洞扫描。 在卖家中心创建应用凭证，参考应用凭证申请。 在卖家中心申请测试账号。 SDK账密或WEB场景的界面登录。 验证登录成功。 商家首次发布联营商品时，需根据弹出框指引加入云商店服务商联营计划，成为联营商家。后续再次发布联营商品时，无需重复加入联营计划。 在卖家中心申请发布商品。 云商店运营人员审批通过后，产品发布为联营商品。 在卖家中心自助管理生产接口通知消息。 联营SaaS类商品接入可参考《联营SaaS类商品接入视频指导》。 父主题： 联营SaaS类商品接入指南 V1.0

计费示例 以包年/包月计费模式为例，假设某用户在2023/03/08 15:50:04在华北-北京四购买容量为100GB的云服务器备份存储库A，其中备份数据占用40GB存储库空间。该用户在华南-广州区域购买了容量为200GB的复制存储库B，并将存储库A复制至华南-广州区域复制存储库B中，不使用加速。购买时长为1个月，并在到期前手动续费1个月。则： 第一个计费周期为：2023/03/08 15:50:04 ~ 2023/04/08 23:59:59 第二个计费周期为：2023/04/08 23:59:59 ~ 2023/05/08 23:59:59 图1给出了上述示例配置的费用计算过程。 上述价格仅供参考，详细的资费项费率标准请参见产品价格详情中“云备份”的内容。 图1 包年/包月CBR费用计算示例

计费示例 【案例一】 备份普通云服务器按需计费实例： 例如某用户有100GB的云服务器，在华北-北京四购置400GB的云服务器备份存储库A，并将该云服务器绑定至存储库A中。则收取400GB的云服务器备份存储库费用。 【案例二】 部署数据库等应用云服务器按需计费实例： 例如某用户有100GB的部署数据库的云服务器，在华北-北京四购置800GB的数据库服务器备份存储库A，并将该云服务器备份绑定至存储库A中。则收取800GB的数据库服务器备份存储库费用。 【案例三】 将备份跨区域复制至其他区域按需计费实例： 某用户在华北-北京四购买容量为100GB的云服务器备份存储库A，其中备份数据占用40GB存储库空间。该用户在华南-广州区域购买了容量为200GB的复制存储库B，并将存储库A复制至华南-广州区域复制存储库B中，不使用加速。则收取100GB云服务器备份存储库、200GB复制存储库的存储库容量费和40GB的跨区域复制流量费。

计费项 云备份计费项包括存储费和流量费，存储费根据存储库的不同进行收取。详细的计费项目如下所示： 表1 云备份计费项 资费项 计费项 计费项说明 适用的计费模式 计费公式 存储费 云硬盘备份存储库 备份云硬盘时，需要购买云硬盘备份存储库用于存放云硬盘产生的备份。 计费因子：存储库容量。 按需计费 包年包月 按需计费：存储库每GB单价 *存储库容量* 购买时长 包年/包月：详细的资费项费率标准请参见产品价格详情中“云备份”的内容。 云服务器备份存储库 备份普通云服务器（不包含数据库等应用）时，需要 购买云服务器 备份存储库用于存放云服务器产生的备份。 计费因子：存储库容量。 按需计费 包年包月 SFS Turbo备份存储库 备份SFS Turbo文件系统时，需要购买SFS Turbo备份存储库用于存放SFS Turbo文件系统产生的备份。 计费因子：存储库容量。 按需计费 包年包月 数据库服务器备份存储库 备份部署了数据库等应用的云服务器时，需要购买数据库服务器备份存储库用于存放数据库服务器备份产生的备份。 购买方式：在创建云服务器备份存储库时，勾选“启用数据库备份”。更多关于数据库服务器备份的介绍，请参见数据库服务器备份概述。 计费因子：存储库容量。 按需计费 包年包月 混合云备份存储库 备份用户云下数据中心的VMware虚拟机、本地文件目录时，需要购买混合云备份存储库用于存放云下IDC产生的备份。 计费因子：存储库容量。 按需计费 包年包月 云桌面 备份存储库 备份云桌面时，需要购买云桌面备份存储库用于存放云桌面产生的备份。 计费因子：存储库容量。 按需计费 包年包月 云数据库备份存储库 当在云数据库RDS进行备份时，系统在云备份自动创建的用于存放 云数据库产品 的备份。 计费因子：存储库使用量。 按需计费 复制存储库 使用跨区域复制备份功能时，在复制的目标区域购买。 计费因子：存储库容量。 按需计费 包年包月 专属云备份存储库 专属云客户可选择将数据备份到专属云备份存储库中。 计费因子：存储库容量 按需计费 包年包月 流量费 公网流出流量 使用混合云备份的云上备份恢复云下IDC时，会产生公网流出流量。 限时免费 限时免费 跨区域复制流量 在进行跨区域复制备份/存储库时，会在源区域产生跨区域复制流量。 计费因子：存储库容量、流量大小。 按需计费 按需计费：跨区域复制流量 * 每GB单价

包年/包月资源 对于包年/包月计费模式的资源，例如包年/包月的云服务器备份存储库、包年/包月的云硬盘备份存储库等，用户在购买时会一次性付费，服务将在到期后自动停止使用。 如果在计费周期内不再使用包年/包月资源，您可以执行退订操作，系统将根据资源是否属于五天无理由退订、是否使用代金券和折扣券等条件返还一定金额到您的账户。详细的退订规则请参见云服务退订规则概览。 如果您已开启“自动续费”功能，为避免继续产生费用，请在自动续费扣款日（默认为到期前7日）之前关闭自动续费。

故障说明和处理建议 图1 Lite池故障处理流程 对于ModelArts Lite资源池，每个节点会以DaemonSet方式部署node-agent组件，该组件会检测节点状态，并将检测结果写到K8S NodeCondition中。同时，节点故障指标默认会上报到AOM，您可在AOM配置告警通知。 当发生节点异常时，在故障初步分析阶段，您可先按表1识别是否为亚健康并自助进行处理，若不是，则为故障，请联系客户经理发起维修流程（若无客户经理可提交工单）。

模型训练使用流程 AI模型开发的过程，称之为Modeling，一般包含两个阶段： 开发阶段：准备并配置环境，调试代码，使代码能够开始进行深度学习训练，推荐在ModelArts开发环境中调试。 实验阶段：调整数据集、调整超参等，通过多轮实验，训练出理想的模型，推荐在ModelArts训练中进行实验。 两个过程可以相互转换。如开发阶段代码稳定后，则会进入实验阶段，通过不断尝试调整超参来迭代模型；或在实验阶段，有一个可以优化训练的性能的想法，则会回到开发阶段，重新优化代码。 图1 模型开发过程 ModelArts提供了模型训练的功能，方便您查看训练情况并不断调整您的模型参数。您还可以基于不同的数据，选择不同规格的资源池用于模型训练。 请参考以下指导在ModelArts Standard上训练模型。 图2 ModelArts Standard模型训练流程 表1 Standard模型训练流程 操作任务 子任务 说明 准备工作 准备训练代码 模型训练必备要素包括训练代码、训练框架、训练数据。 训练代码包含训练作业的启动文件或启动命令、训练依赖包等内容。 当使用预置框架创建训练作业时，训练代码的开发规范可以参考开发用于预置框架训练的代码。 当使用自定义镜像创建训练作业时，训练代码的开发规范可以参考开发用于自定义镜像训练的代码。 准备训练框架（即训练镜像） 模型训练有多种训练框架来源，具体可以参考准备模型训练镜像。 ModelArts Standard平台提供了模型训练常用的预置框架，可以直接使用。 当预置框架不满足训练要求时，支持用户构建自定义镜像用于训练。 准备训练数据 训练数据除了训练数据集，也可以是预测模型。在创建训练作业前，需要先准备好训练数据。 当训练数据可以直接使用，无需二次处理时，可以直接将数据上传至OBS桶。在创建训练作业时，训练的输入参数位置可以直接填写OBS桶路径。 当训练数据集的数据未标注或者需要进一步的数据预处理，可以先将数据导入ModelArts数据管理模块进行数据预处理。在创建训练作业时，训练的输入参数位置可以选择数据管理模块的数据集。 创建调试训练作业 调试训练作业 模型训练前，一般会先对代码进行调试，ModelArts提供多种方式创建调试训练作业。 ModelArts提供了云化版本的JupyterLab，无需关注安装配置，即开即用。 ModelArts也提供了本地IDE的方式开发模型，通过开启SSH远程开发，本地IDE可以远程连接到调试训练作业中，进行调试和运行代码。本地IDE方式不影响用户的编码习惯，并且调试完成的代码可以零成本直接创建生产训练作业。使用本地IDE请参考使用PyCharm ToolKit创建并调试训练作业。 创建算法 创建算法 创建生产训练作业之前，需要先准备算法，可以是用户自己准备的算法，也可以使用从AI Gallery订阅的算法。 创建生产训练作业 训练作业基础功能 ModelArts Standard支持通过Console控制台的可视化界面创建训练作业，创建时基于算法来源和训练框架又区分多种创建方式，具体请参见表2。 ModelArts Standard也支持通过调用API接口创建训练作业，请参见以PyTorch框架创建训练作业。 训练作业进阶功能 ModelArts Standard还支持以下训练进阶功能，例如： 增量训练 分布式训练 训练加速 训练高可靠性 查看训练结果和日志 查看训练作业详情 训练作业运行中或运行结束后，可以在训练作业详情页面查看训练作业的参数设置，训练作业事件等。 查看训练作业日志 训练日志用于记录训练作业运行过程和异常信息，可以通过查看训练作业日志定位作业运行中出现的问题。 表2 训练作业的创建方式介绍 创建方式 适用场景 使用预置框架创建训练作业 如果您已在本地使用一些常用框架完成算法开发，您可以选择常用框架，创建训练作业来构建模型 使用自定义镜像创建训练作业 如果您开发算法时使用的框架并不是常用框架，您可以将算法构建为一个自定义镜像，通过自定义镜像创建训练作业。 使用已有算法创建训练作业 算法管理中，管理了用户自己创建的算法和AI Gallery订阅的算法，您可以使用算法管理中的算法，快速创建训练作业，构建模型。 使用订阅算法创建训练作业 AI Gallery中提供了现成的算法，供用户使用，您可以直接订阅AI Gallery中的算法，快速创建训练作业，构建模型。 父主题： 使用ModelArts Standard训练模型

代码改造点 模型分发：DataParallel(model) 完整代码由于代码变动较少，此处进行简略介绍。 import torch class Net(torch.nn.Module): pass model = Net().cuda() ### DataParallel Begin ### model = torch.nn.DataParallel(Net().cuda()) ### DataParallel End ###

背景说明 访问在线服务的实际业务中，用户可能会存在如下需求： 高吞吐量、低时延 TCP或者RPC请求 因此，ModelArts提供了VPC直连的高速访问通道功能以满足用户的需求。 使用VPC直连的高速访问通道，用户的业务请求不需要经过推理平台，而是直接经VPC对等连接发送到实例处理，访问速度更快。 由于请求不经过推理平台，所以会丢失以下功能： 认证鉴权 流量按配置分发 负载均衡 告警、监控和统计 图1 VPC直连的高速访问通道示意图

版本记录 表2 Volcano调度器版本记录 插件版本 更新特性 1.16.8 优化超节点资源调度能力 支持Kubernetes v1.31 1.15.8 支持昇腾NPU双DIE亲和调度能力 1.15.6 新增基于应用资源画像的超卖能力 1.13.5 支持自定义资源按照节点优先级缩容 优化抢占与节点扩容联动能力 1.12.18 适配CCE v1.29集群 默认开启抢占功能 1.12.1 应用弹性扩缩容性能优化 1.11.9 优化NPU芯片rank table排序能力 支持应用弹性伸缩场景下的优先级调度 1.10.10 修复本地持久卷插件未计算预绑定到节点的pod的问题 1.10.7 修复本地持久卷插件未计算预绑定到节点的pod的问题 1.7.1 Volcano支持v1.25集群

插件简介 Volcano 是一个基于 Kubernetes 的批处理平台，提供了机器学习、深度学习、生物信息学、基因组学及其他大数据应用所需要而 Kubernetes 当下缺失的一系列特性。 Volcano提供了高性能任务调度引擎、高性能异构芯片管理、高性能任务运行管理等通用计算能力，通过接入AI、大数据、基因、渲染等诸多行业计算框架服务终端用户，最大支持1000Pod/s的调度并发数，轻松应对各种规模的工作负载，大大提高调度效率和资源利用率。 Volcano针对计算型应用提供了作业调度、作业管理、队列管理等多项功能，主要特性包括： 丰富的计算框架支持：通过CRD提供了批量计算任务的通用API，通过提供丰富的插件及作业生命周期高级管理，支持TensorFlow，MPI，Spark等计算框架容器化运行在Kubernetes上。 高级调度：面向批量计算、高性能计算场景提供丰富的高级调度能力，包括成组调度，优先级抢占、装箱、资源预留、任务拓扑关系等。 队列管理：支持分队列调度，提供队列优先级、多级队列等复杂任务调度能力。 目前Volcano项目已经在Github开源，项目开源地址：https://github.com/volcano-sh/volcano。

版本记录 表2 AI套件（Ascend NPU）版本记录 插件版本 更新特性 2.7.63 修复安全漏洞 2.7.42 支持Kubernetes v1.31 2.1.23 修复部分问题 2.1.22 修复了一些页面显示问题 支持查询超节点信息 支持上报显卡拓扑信息 修复了日志打印问题 2.1.5 适配CCE v1.29集群 新增静默故障码 1.2.15 支持v1.23集群 1.2.14 支持NPU监控 1.2.5 支持NPU驱动自动安装

使用自定义依赖包的模型配置文件示例 如下示例中，定义了1.16.4版本的numpy的依赖环境。 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 { "model_algorithm": "image_classification", "model_type": "TensorFlow", "runtime": "python3.6", "apis": [ { "url": "/", "method": "post", "request": { "Content-type": "multipart/form-data", "data": { "type": "object", "properties": { "images": { "type": "file" } } } }, "response": { "Content-type": "application/json", "data": { "type": "object", "properties": { "mnist_result": { "type": "array", "item": [ { "type": "string" } ] } } } } } ], "metrics": { "f1": 0.124555, "recall": 0.171875, "precision": 0.00234938928519385, "accuracy": 0.00746268656716417 }, "dependencies": [ { "installer": "pip", "packages": [ { "restraint": "EXACT", "package_version": "1.16.4", "package_name": "numpy" } ] } ] }