华为云用户手册

响应示例 状态码： 200 查询成功 获取 数据仓库 列表信息 { "meta_info" : { "current_time" : "2024-01-02T02:04:22Z" }, "payload" : { "list" : [ { "id" : "ee9784a5-dde5-4a47-a006-fac074c5bee8", "name" : "WAREHOUSE_NAME", "description" : "仓库1", "create_at" : 1701170680048, "object_count" : 317, "raw_data_count" : 4 } ], "page_info" : { "total" : 4, "offset" : 0, "limit" : 10 } }}

响应参数 状态码： 200 表4 响应Body参数 参数 参数类型 描述 payload listDataWarehousePayload object 实际返回信息 meta_info MetaInfo object 元数据 表5 listDataWarehousePayload 参数 参数类型 描述 page_info PageInfo object 分页信息 list Array of DataWarehouseDto objects 数据仓库列表信息 表6 PageInfo 参数 参数类型 描述 total Long 资源总数 offset Long 查询偏移量 limit Long 返回个数上限 表7 DataWarehouseDto 参数 参数类型 描述 id String 数据仓库id name String 名称 description String 描述 最大长度：256 project_id String 项目id create_time Long 创建时间，UTC标准时间毫秒时间戳 object_count Long 对象数量 raw_data_count Long 数据包数量 表8 MetaInfo 参数 参数类型 描述 current_time String 请求时间，UTC时间格式，时间为UTC标准时间

URI GET /v1.0/{project_id}/common/warehouses 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目id，获取方法请参见获取项目ID 表2 Query参数 参数 是否必选 参数类型 描述 name 否 String 根据名称模糊查询 最大长度：64 offset 否 Integer 查询偏移量 最小值：0 缺省值：0 limit 否 Integer 返回个数上限 最小值：1 最大值：50 缺省值：10

请求参数 表3 请求Header参数 参数 是否必选 参数类型 描述 Content-Type 是 String 内容类型。填application/json X-Auth-Token 是 String 用户Token，通过调用 IAM 服务获取用户Token接口获取（响应消息头中X-Subject-Token的值） 表4 请求Body参数 参数 是否必选 参数类型 描述 create_time_order 否 String 创建时间排序 枚举值： asc(升序) desc(降序) file_name_order 否 String 文件名排序 枚举值： asc(升序) desc(降序) data_process_task_ids 否 Array of strings 数据处理任务id列表 数组长度：0 - 5 raw_data_ids 否 Array of strings 数据包ids 数组长度：0 - 5 start_time 否 Long 开始时间，UTC标准时间毫秒时间戳 最小值：0 end_time 否 Long 结束时间，UTC标准时间毫秒时间戳 最小值：0 file_name 否 String 文件名 最大长度：255 file_types 否 Array of strings 文件类型 枚举值： IMAGE(图片) POINT_CLOUD(点云) TEXT(文本) VIDEO(视频) SCENARIO(场景) OTHERS(未知) and_tags 否 Array of strings tag id，多选，且 最大长度：5 数组长度：0 - 5 or_tags 否 Array of strings tag id，多选，或 最大长度：5 数组长度：0 - 5 and_custom_attributes 否 Array of strings 自定义查询条件 id，多选，且 最大长度：5 数组长度：0 - 5 or_custom_attributes 否 Array of strings 自定义查询条件 id，多选，或 最大长度：5 数组长度：0 - 5

请求示例 获取数据仓库的数据列表 POST https://{endpoint}/v1.0/{project_id}/common/warehouses/ee9784a5-dde5-4a47-a006-fac074c5bee8/data?offset=0&limit=10{ "data_process_task_ids" : [ "frame-extract-2077" ], "and_tags" : [ 956 ], "and_custom_attributes" : [ "91b64ba4-94ed-445c-96c5-cec74e75555b" ], "file_types" : [ "TEXT", "IMAGE" ], "start_time" : 1701360000000, "end_time" : 1701532799999, "file_name" : "file"}

响应示例 状态码： 200 查询成功 获取数据仓库的数据列表 { "meta_info" : { "current_time" : "2024-01-02T02:04:22Z" }, "payload" : { "list" : [ { "id" : "APRnj4wBXQ6dkLNQrdKX", "sort" : [ 1703212985450 ], "file_name" : "file_name", "file_type" : "IMAGE", "data_warehouse_id" : "ee9784a5-dde5-4a47-a006-fac074c5bee8", "raw_data_id" : "DPK0003929", "data_process_task_id" : "frame-extract-2077", "file_folder_path" : "frame-extract-2077/camera_1_1698388637796/", "tags" : [ ], "custom_attributes" : [ ], "create_at" : 1701224873612 } ], "page_info" : { "total" : 317, "offset" : 0, "limit" : 1 } }}

URI POST /v1.0/{project_id}/common/warehouses/{data_warehouse_id}/data 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目id，获取方法请参见获取项目ID data_warehouse_id 是 String 数据仓库id 表2 Query参数 参数 是否必选 参数类型 描述 offset 否 Integer 查询偏移量 最小值：0 缺省值：0 limit 否 Integer 返回个数上限 最小值：1 最大值：100 缺省值：10

场景地图 表1 场景地图权限 权限 对应API接口 授权项（Action） IAM项目 (Project) 企业项目 (Enterprise Project) 创建地图场景 POST /v2/{project_id}/sim/sm/maps octopus:simScenario:create √ √ 修改场景地图文件 PATCH /v2/{project_id}/sim/sm/maps/{parent_lookup_id}/files/{sha256} octopus:simScenario:update √ √ 父主题： 权限和授权项

调用API获取项目ID 项目ID可以通过调用查询指定条件下的项目列表API获取。 获取项目ID的接口为“GET https://{Endpoint}/v3/projects”，其中{Endpoint}为IAM的终端节点，可以从地区和终端节点获取。 接口的认证鉴权请参见认证鉴权。 响应示例如下，其中projects下的“id”即为项目ID。 {{ "projects": [ { "domain_id": "65382450e8f64ac0870cd180d14e684b", "is_domain": false, "parent_id": "65382450e8f64ac0870cd180d14e684b", "name": "project_name", "description": "", "links": { "next": null, "previous": null, "self": "https://www.example.com/v3/projects/a4a5d4098fb4474fa22cd05f897d6b99" }, "id": "a4a5d4098fb4474fa22cd05f897d6b99", "enabled": true } ], "links": { "next": null, "previous": null, "self": "https://www.example.com/v3/projects" }}

操作步骤 登录华为云，在右上角单击“控制台”。 图1 进入控制台 在“控制台”页面，鼠标移动至右上方的用户名，在下拉列表中选择“我的凭证”。 图2 选择我的凭证 在“我的凭证”页面，查看“API凭证”和“访问密钥”。 表1 我的凭证信息 基本信息 说明 API凭证 IAM用户名 IAM用户的登录名，登录华为云时需要提供。 IAM用户ID IAM用户在华为云的标识ID，由系统自动生成，无法修改。 账号名 账号的名称，账号是承担费用的主体（例如一个企业），在注册时自动创建，云服务资源按账号完全隔离。 账号ID 账号在华为云中的标识ID，由系统自动生成，无法修改。 项目ID 项目在华为云的标识ID，由系统自动生成，无法修改。 项目 项目用于将物理区域间的资源（计算资源、存储资源和网络资源等）进行分组和隔离。用户拥有的资源必须挂载在项目下，项目可以是一个部门或者项目组。 访问密钥 用户的Access Key/Secret Key (AK/SK)，最多可创建两对，使用API访问系统时需要使用AK/SK进行加密签名。 如果您是企业联邦用户，属于虚拟IAM用户，我的凭证信息将产生如下变化： 不显示“IAM用户名”、“IAM用户ID”信息。 “访问密钥”页签转为“临时访问密钥”。详情请参见：临时访问密钥（企业联邦用户）。

操作步骤 登录华为云，在右上角单击“控制台”。 图1 进入控制台 在“控制台”页面，鼠标移动至右上方的用户名，在下拉列表中选择“我的凭证”。 图2 选择我的凭证 在“我的凭证”页面，“API凭证”页签中查看IAM用户名、IAM用户ID、账号名、账号ID、项目ID等信息。 图3 查看信息 如果项目列表未显示待查看的区域、项目，请单击左上角“控制台”并切换至待查看区域后，重新进入我的凭证。 如果您是企业联邦用户，属于虚拟IAM用户，“API凭证”页面将不显示“IAM用户名”、“IAM用户ID”信息。

临时访问密钥与永久访问密钥的差异 临时访问密钥与永久访问密钥的工作方式几乎相同，仅存在小量差异。 临时访问密钥存在有效期，可以在15分钟至24小时之间进行设置；永久访问密钥的有效期为永久，并且不能进行设置。 临时访问密钥没有数量限制，可以多次生成；每个IAM用户最多可创建2个永久访问密钥。 临时访问密钥为动态生成，即时使用，不能嵌入应用程序中，或者进行存储，到期后无法重复使用，只能重新创建，请参考创建临时访问密钥。 临时访问密钥不支持删除、启用、停用，会在到达有效期时，自动失效并清除；管理员可以在IAM删除、启用、停用用户的永久访问密钥。

创建临时访问密钥 在“控制台”页面，鼠标移动至右上方的用户名，在下拉列表中选择“我的凭证”。 在“我的凭证”页面，单击“临时访问密钥”页签。 在页面右上角，选择临时访问密钥有效期，可以在15分钟至24小时之间进行设置。 单击“操作”列的“创建”，系统生成临时访问密钥。 创建成功后，您可以在访问密钥列表中查看访问密钥ID（AK）、秘密访问密钥（SK）、STS Token。 刷新“临时访问密钥”页面，AK、SK、STS Token内容将被清空，有效期内的临时访问密钥依然有效，建议及时保存访问密钥。

操作步骤 登录华为云，在右上角单击“控制台”。 图1 进入控制台 在“控制台”页面，鼠标移动至右上方的用户名，在下拉列表中选择“我的凭证”。 图2 选择我的凭证 在“我的凭证”页面，“API凭证”页签中查看IAM用户名、IAM用户ID、账号名、账号ID、项目ID等信息。 图3 查看信息 如果项目列表未显示待查看的区域、项目，请单击左上角“控制台”并切换至待查看区域后，重新进入我的凭证。 如果您是企业联邦用户，属于虚拟IAM用户，“API凭证”页面将不显示“IAM用户名”、“IAM用户ID”信息。

新增访问密钥 登录华为云，在右上角单击“控制台”。 图1 进入控制台 在“控制台”页面，鼠标移动至右上方的用户名，在下拉列表中选择“我的凭证”。 图2 选择我的凭证 在“我的凭证”页面，单击“访问密钥”页签。 单击“新增访问密钥”。 图3 新增访问密钥 每个用户最多可创建2个访问密钥，不支持增加配额。如果您已拥有2个访问密钥，将无法创建访问密钥。 如需修改访问密钥，请删除访问密钥后重新创建。 为了保证历史兼容性，我们会使用访问密钥创建时间作为最近使用时间的初始值。在您使用该访问密钥时，系统将自动刷新最近使用时间。 单击“立即下载”，生成并下载访问密钥。 创建访问密钥成功后，您可以在访问密钥列表中查看访问密钥ID（AK），在下载的.csv文件中查看访问密钥（SK）。 请及时下载保存，弹窗关闭后将无法再次获取该密钥信息，但您可重新创建新的密钥。 当您下载访问密钥后，可以在浏览器页面左下角打开格式为.csv的访问密钥文件，或在浏览器“下载内容”中打开。 为了账号安全性，建议您妥善保管并定期修改访问密钥，修改访问密钥的方法为删除旧访问密钥，然后重新生成。

修订记录 表1 修订记录 发布日期 修订记录 2021-10-30 第八次正式发布。 本次变更说明如下： 新增临时访问密钥（企业联邦用户）章节。 2020-01-15 第七次正式发布。 本次变更说明如下： 根据界面风格变化刷新各章节图片。 2019-11-20 第六次正式发布。 本次变更说明如下： 新增启用、停用访问密钥内容。 2019-7-10 第五次正式发布。 本次变更说明如下： 修改API凭证、访问密钥章节；删除修改密码、邮箱和手机 章节。 2019-06-11 第四次正式发布。 本次变更说明如下： 修改什么是我的凭证、修改密码、邮箱和手机 章节。 2017-12-30 第三次正式发布。 本次变更说明如下： 新增 修改密码、邮箱和手机 章节。 2017-04-30 第二次正式发布。 本次变更说明如下： 新增 如何查看项目ID 章节。 2016-03-14 第一次正式发布。

新增访问密钥 登录华为云，在右上角单击“控制台”。 图1 进入控制台 在“控制台”页面，鼠标移动至右上方的用户名，在下拉列表中选择“我的凭证”。 图2 选择我的凭证 在“我的凭证”页面，单击“访问密钥”页签。 单击“新增访问密钥”。 图3 新增访问密钥 每个用户最多可创建2个访问密钥，不支持增加配额。如果您已拥有2个访问密钥，将无法创建访问密钥。 如需修改访问密钥，请删除访问密钥后重新创建。 为了保证历史兼容性，我们会使用访问密钥创建时间作为最近使用时间的初始值。在您使用该访问密钥时，系统将自动刷新最近使用时间。 单击“立即下载”，生成并下载访问密钥。 创建访问密钥成功后，您可以在访问密钥列表中查看访问密钥ID（AK），在下载的.csv文件中查看访问密钥（SK）。 请及时下载保存，弹窗关闭后将无法再次获取该密钥信息，但您可重新创建新的密钥。 当您下载访问密钥后，可以在浏览器页面左下角打开格式为.csv的访问密钥文件，或在浏览器“下载内容”中打开。 为了账号安全性，建议您妥善保管并定期修改访问密钥，修改访问密钥的方法为删除旧访问密钥，然后重新生成。

场景介绍 本手册基于华为云标签管理服务实践所编写，通过一个企业应用示例指导您在拥有大量云资源时，如何使用标签管理服务对云资源进行快速分类及查询。 某公司购买了一批华为云资源，包括弹性云服务器（E CS ）、云硬盘（EVS）等，现有如下需求： 将所拥有的资源按业务部门及资源规格等类型进行划分。 需要可以快速定位到使用频率较高的华北-北京四区域、运维部下的规格类型为通用型的弹性云服务器。 有一批云服务器计划迁移至华为云，需要在迁移完成后快速准确地为其添加标签加以区分。 虽然各服务控制台支持标签功能，可以为各服务控制台下对应的资源添加标签，但需要切换区域切换服务控制台来进行操作，这样不仅效率低下，还不能完全满足以上需求。 标签管理服务提供跨服务跨区域的标签搜索功能，并支持可视化的标签编辑操作和标签批量管理，具有全局性、可组合搜索、高效管理的特点，解决了以上多资源面临的管理难问题。 父主题： 通过标签实现资源快速分类及查询

标签设计的原则 企业上云后，云上创建的资源不断增加，有些大型企业资源数量达到十万、百万级别，一个账号内存在大量资源，企业需要进行分类管理。单纯通过人工进行资源的分类，效率低下，操作困难，此时需要借助云上的自动化平台化能力来解决。 华为云推荐您使用标签对资源进行标记，进而实现资源的分组分类。通过标签对资源的业务归属、财务归属等资源属性进行标记，例如：按所属部门、地域或项目等。 命名标准化 命名标准化原则是指标签采用标准化命名原则，使后续基于标签的自动化能力，帮助平台能力高效的实施。 例如： 标签命名使用英文时，建议使用统一大小写的英文字母，避免大小写混杂。 标签命名使用中文时，建议尽量简洁，且键/值长度均不超过6个字符（中文字符在数据库中占位较长，避免超过上限）。 语义一致简洁 同一类资源的分类建议使用同一个标签来标识。例如：如已使用标签键purpose来标识资源的用途分类，则避免再使用use、用途等相同语义的标签。 标签键值含义明确清晰，避免使用一个标签键值代表两类含义。 事先制定标签规范 规划创建资源时，需要同步规划标签，并优先规划标签键。规划标签时，需先将对应的标签键/标签值预先定义完成。分类所有资源对象时都必须绑定已规划的标签键及其对应的标签值。 避免包含企业隐私信息 标签的键/值信息尽量不要使用涉及企业或个人的隐私信息，例如企业保密项目的名称、项目的收入数据、个人的电话号码和邮件地址等。

通过各服务控制台添加标签 以下步骤仅为示例，通过各服务控制台添加标签的具体操作请以各服务控制台实际显示为准。 登录管理控制台。 在服务列表中选择需要添加标签的云服务。 在资源展示列表中选中需要添加标签的云资源，进入资源详情页。 选择“标签”页签。 单击“添加标签”。 在标签输入框设置标签的“键”和“值”。 在标签输入框的下拉列表中可直接选择已创建的预定义标签，无需输入标签的“键”与“值”。 单击“确定”。

标签键设计示例 下表列举了常见业务维度的标签命名示例。涉及英文标签命名时，建议统一使用小写英文字母。 业务维度 标签键（key） 标签值（value） 组织架构 headquarters subcompany department team group 相关名称 业务架构 product module service microservice 相关名称 角色架构 role user 网络管理员 审计管理员 运维管理员 研发人员 测试人员 用途类标签 purpose 用途值 项目环境类标签 project task environment 项目相关值 成本分账 costcenter businessunit 部门相关值 订单 order 订单ID

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的 云安全 挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的IaaS、PaaS和SaaS类云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。华为云租户的安全责任在于对使用的IaaS、PaaS和SaaS类云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、 虚拟主机 和访客虚拟机的操作系统，虚拟防火墙、API网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

审计与日志 云审计 服务（Cloud Trace Service， CTS ），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 开通云审计服务后，CTS可记录标签管理服务的操作事件用于审计。 CTS的详细介绍和开通配置方法，请参见CTS快速入门。 标签管理服务支持审计的操作事件请参见支持审计的关键操作列表。 如何查看审计日志请参见查看审计日志。 父主题： 安全

身份认证与访问控制 统一身份认证 （Identity and Access Management，简称IAM）是华为云提供权限管理、访问控制和身份认证的基础服务，您可以使用IAM创建和管理用户、用户组，通过授权来允许或拒绝他们对云服务和资源的访问，通过设置安全策略提高账号和资源的安全性，同时IAM为您提供多种安全的访问凭证。 标签管理服务支持通过IAM权限策略进行访问控制。IAM权限是作用于云资源的，定义了允许和拒绝的访问操作，以此实现云资源权限的访问控制。管理员创建IAM用户后，需要将用户加入到一个用户组中，IAM可以对这个组授予所需的权限，用户组内的用户自动继承用户组的所有权限。 详情请参见用户权限和权限管理。 父主题： 安全

快速标识迁移资源 对于存在大量资源迁移需求的用户，可通过标签管理服务的预定义标签，以及标签的导入、导出功能，提高迁移的准确率和效率，降低了重复设置标签过程中的潜在风险。 创建预定义标签：用户可以在迁移资源之前在TMS中创建预定义标签，在资源迁入后直接进行关联。 导入、导出预定义标签：已有存量标签的用户可以将标签快速导入TMS预定义标签库，在资源迁入后进行关联，同时也可以导出预定义标签进行编辑操作。 图2 快速标识迁移资源

TMS权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 TMS部署时不区分物理区域，为全局级服务。授权时，在全局项目中设置策略，访问TMS时，不需要切换区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云服务平台各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对TMS服务，管理员能够控制IAM用户仅能对TMS服务进行指定的操作，如仅给IAM用户授予查看预定义标签的细粒度授权项，那么此IAM用户仅能查看预定义标签但不能创建和删除预定义标签。多数细粒度策略以API接口为粒度进行权限拆分，TMS支持的API授权项请参见策略及授权项说明。 如表1所示，包括了TMS的所有系统策略和系统角色。由于华为云各服务之间存在业务交互关系，标签管理服务的策略依赖其他服务的策略实现功能。因此给用户授予标签管理服务的权限时，需要同时授予依赖的权限，标签管理服务的权限才能生效。 表1 TMS系统权限 系统角色/策略名称 描述 类别 依赖关系 TMS FullAccess 标签管理服务所有权限。 系统策略 - TMS ReadOnlyAccess 标签管理服务只读权限。 系统策略 - TMS Administrator 标签管理服务管理员权限，拥有该服务下的所有权限，包括预定义标签的查询、创建、删除、导入和导出，以及资源标签的增删改查权限。 系统角色 依赖以下策略： Tenant Guest：全局级/项目级策略，全部云服务只读权限（(除IAM权限)）。 Server Administrator：项目级策略，在同项目中勾选。 Tenant Administrator：全局级/项目级策略，全部云服务管理员（除IAM管理权限）。 IMS Administrator：项目级服务，在同项目中勾选。 AutoScaling Administrator：项目级服务，在同项目中勾选。 VPC Administrator：项目级服务，在同项目中勾选。 VBS Administrator：项目级服务，在同项目中勾选。 表2列出了TMS常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表2 常用操作与系统权限的关系 操作 TMS FullAccess TMS ReadOnlyAccess TMS Administrator 查询资源列表 √（依赖各云服务的查询资源权限） √（依赖各云服务的查询资源权限） √（依赖Tenant Guest） 创建标签键 √ x √（依赖Tenant Guest） 查看资源标签 √ √ √（依赖Tenant Guest） 创建资源标签 √（依赖各云服务的创建标签权限） x √（依赖Tenant Guest及云资源对应的项目策略，如需要管理VPC的标签，需在同项目中勾选。） 修改资源标签 √（依赖各云服务的创建、删除、查看标签权限） x √（依赖Tenant Guest及云资源对应的项目策略，如需要管理VPC的标签，需在同项目中勾选。） 删除资源标签 √（依赖各云服务的删除标签权限） x √（依赖Tenant Guest及云资源对应的项目策略，如需要管理VPC的标签，需在同项目中勾选。） 查询预定义标签 √ √ √ 创建预定义标签 √ x √ 删除预定义标签 √ x √ 导出预定义标签 √ √ √ 导入预定义标签 √ x √ 在TMS控制台对云资源的标签进行操作时，您需要具有TMS查看、创建、删除资源标签等权限，以及资源所属服务的必要权限。由于修改资源标签是通过先删除旧标签再创建新标签（标签键相同，标签值不同）来实现功能，所以要修改云资源的标签需要具备TMS和相应云服务的创建和删除标签的权限。 以系统权限为例：例如您需要在TMS控制台对ECS资源进行增删标签操作，那么您除了需要具有“TMS FullAccess”系统权限外，还需要拥有“ECS FullAccess”系统权限。 以自定义策略为例：例如您需要在TMS控制台上查看ECS的资源和标签，那么您除了需要具有“tms:resourceTags:list”权限外，您还需要拥有ECS服务的“ecs:servers:getTags”和“ecs:servers:get”权限。 IAM支持服务的所有系统权限请参见系统权限。有关各服务细粒度授权项的更多信息，请参见每个服务的文档。

约束与限制 以下是标签使用的基本限制： 表1 标签约束与限制 限制项 规格 每个资源最多支持的键-值对数 10个 资源绑定限制 对于每个资源，每个标签“键”都必须是唯一的，每个标签“键”只能有一个“值”。 每个账号中允许创建预定义标签的最大数量 500个 创建预定义标签的限制 创建的预定义标签如果与已有的预定义标签完全相同，则会覆盖已有的预定义标签；若只有“键”相同，“值”不同，则为新创建的预定义标签。 标签键限制 键的长度最大36字符，由英文字母、数字、下划线、中划线、中文字符组成。 标签值限制 值的长度最大43字符，由英文字母、数字、下划线、点、中划线、中文字符组成。 并非所有的资源类型都支持添加标签，当前标签支持的服务和资源类型请以控制台界面显示为准。

什么是标签管理服务 标签管理服务（Tag Management Service，简称TMS）是一种快速便捷将标签集中管理的可视化服务，提供跨区域、跨服务的集中标签管理和资源分类功能。 标签用于标识云资源，当您拥有相同类型的许多云资源时，可以使用标签按各种维度（例如用途、所有者或环境等）对云资源进行分类。 图1 标签示例 图1说明了标签的工作方式。在此示例中，您为每个云资源分配了两个标签，每个标签都包含您定义的一个“键”和一个“值”，一个标签使用键为“所有者”，另一个使用键为“用途”，每个标签都拥有相关的值。 您可以根据为云资源添加的标签快速搜索和筛选特定的云资源。例如，您可以为账号中的云资源定义一组标签，以跟踪每个云资源的所有者和用途，使资源管理变得更加轻松。 标签管理服务主要有以下功能： 资源标签管理：通过给账号下资源添加标签，可以对资源进行自定义标记，实现资源的分类。标签管理服务为用户提供可视化表格操作资源标签，并支持对标签进行批量编辑。 资源标签搜索：用户可以跨服务、跨区域对资源进行按标签搜索，还可以多标签组合搜索。 预定义标签管理：用户可以创建或导入/导出预定义标签。通过标签的预定义操作，用户可以从自身业务角度规划标签，实现标签的高效管理。 标签管理服务为免费服务。

与其他服务的关系 支持标签集中管理的服务 标签管理服务规划对云资源中的所有标签进行统一集中管理，当前支持的服务如表1所示。 一个云服务可以包含多种资源类型，您可以在标签管理服务控制台根据需求选择对应的资源类型，对该类型资源的标签进行集中管理。 表1 标签管理当前支持的其他服务 服务 资源类型 终端节点服务 VPCEP Endpoint（终端节点） Endpoint service（终端节点服务） 数据复制服务 DRS Data Synchronization Task（实时同步任务） Data Subscription Task（数据订阅任务） Disaster Recovery Task（实时灾备任务） Backup Migration Task（备份迁移任务） Online Migration Task（实时迁移任务） 裸金属服务器 BMS BMS（裸金属服务器） 弹性云服务器 ECS ECS（弹性云服务器） 对象存储服务 OBS Bucket（桶） 虚拟私有云 VPC VPC（虚拟私有云） Subnet（子网） 弹性公网IP EIP EIP（弹性公网IP） 云硬盘 EVS Disk（磁盘） 云硬盘备份 VBS Backup（云硬盘备份） Backup policy（备份策略） 弹性伸缩 AS AS group（弹性伸缩组） 镜像服务 IMS Private image（私有镜像） 分布式缓存服务 DCS DCS（缓存实例） 云桌面 Workspace Desktop（桌面） 云解析服务 DNS Private zone（内网 域名 ） Public zone（公网域名） PTR record（反向解析记录） Private record set（内网解析记录集） Public record set（公网解析记录集） 虚拟专用网络 VPN VPN Connection（VPN连接） VPN Gateway（VPN网关） Customer Gateway（对端网关） 弹性文件服务 SFS SFS Turbo 弹性负载均衡 ELB Enhanced load balancer（弹性负载均衡器） Enhanced load balancer listener（监听器） 消息通知 服务 SMN Topic（主题） 分布式消息服务 DMS Kafka（Kafka实例） RabbitMQ（RabbitMQ实例） RocketMQ（RocketMQ实例） 数据湖探索 DLI Queue（队列） Package Resource（资源包） Flink Template（Flink模板） Flink Job（Flink作业） Basic Datasource（经典型跨源连接） Enhanced Datasource（增强型跨源连接） Database（数据库） Elastic Resource Pool（弹性资源池） 关系型数据库 RDS DB instance（数据库实例） MapReduce服务 MRS Cluster（集群） 数据仓库服务 DWS Cluster（数据仓库集群） 文档数据库服务 DDS DB instance（数据库实例） 数据接入服务 DIS Stream（通道） Web应用防火墙 WAF Domain（防护域名） Instance（实例） 云搜索服务 CSS Cluster（集群） NAT网关 NAT Gateway Public NAT Gateway（公网NAT网关） Private NAT Gateway（ 私网NAT网关 ） Transit IP Address（中转IP） 云备份 CBR Vault（存储库） 数据加密 服务 DEW KMS Key（密钥） 云容器引擎 CCE Cluster（集群） Autopilot Cluster（Autopilot集群） 数据治理中心 DataArts Studio （原 智能数据湖 运营平台 DAYU） Workspace（工作空间） Instance（实例） 云数据库 GaussDB GaussDB Instance（GaussDB实例） 数据库安全服务 DBSS DBSS（实例） 内容分发网络 CDN CDN（域名） 云专线 DC Direct Connect（物理连接） GDGW（虚拟接口） 数据库和应用迁移 UGO Migrate（对象迁移） Evaluate（数据库评估） DDoS高防服务 AAD Instance（实例） 隐私保护通话 PrivateNumber Application（应用） 云连接 CC Cloud Connection（云连接） Bandwidth Package（带宽包） 云原生DDoS防护 CNAD Package（防护包） 图引擎服务 GES GES（GES集群） 容器镜像服务 SWR Instance（实例） 企业路由器 ER Instance（实例） 企业主机安全 HSS HSS（主机安全） 云日志 服务 LTS Log Stream（日志流） 云数据迁移 CDM Cluster（集群） 设备接入 IOTDA Instance（实例） 全球加速 GA Accelerators（加速器） Listeners（监听器） 微服务引擎 CSE CSE（微服务引擎） 应用管理与运维平台 ServiceStage Environment（ServiceStage环境） Application（ServiceStage应用） 性能测试 CodeArts PerfTest（原CPTS） CPTS-Project（PerfTest测试工程） Jmeter-Project（JMeter测试工程） 云手机服务器 CPH Server（云手机服务器） 开天集成工作台 MSSI Flow（流） 云审计服务 CTS Tracker（追踪器） 云堡垒机 CBH CBH（ 堡垒机 ） 云防火墙 CFW CFW（云防火墙） 云监控服务 CES Alarm（告警规则） API网关 APIG APIG（专享版实例） 应用运维管理 AOM Alarm Rules（告警规则） 应用性能管理 APM APM 2-Business（APM2.0应用） 事件网格 EG Event Streaming（事件流） Subscription（事件订阅） Channel（事件通道） Event Sources（事件源） Connection（目标连接） Endpoint（访问端点） 函数工作流 FunctionGraph Functions（函数） 分布式数据库 中间件 DDM DDM（DDM实例） AI开发平台 ModelArts Training Job（训练作业） Resource Pool（资源池） Notebook（Notebook实例） Realtime Service（实时服务） 湖仓构建 LakeFormation Instance（实例） DDoS原生基础防护（Anti-DDoS流量清洗） Anti-DDoS（流量清洗） 区块链 服务 BCS Huawei Cloud Chain（华为云区块链引擎） 全域弹性公网IP GEIP GEIP（全域弹性公网IP） Internet Bandwidth（全域公网带宽） 资源访问管理 RAM Resource Shares（资源共享实例） 组织 Organizations Root（根） OUs（组织单元） Accounts（账号） Policies（策略） 工业数据管理及协同云服务 IPDCenter IPDC-envs（产品数字化协同服务） 工业数字模型驱动引擎 iDME iDME-linkx-f（数字主线引擎） iDME-mbm（数字化制造基础服务） iDME-runtime（基础版数据建模引擎节点） iDME-studio（iDMEStudio基础版） 凭据管理服务 C SMS Secret（凭据） 工业仿真工具链云服务 CraftArtsSIM CraftArtsSIM-SimSpace（工业仿真云平台） CraftArtsSIM-SimStudio（云原生仿真服务） CraftArtsSIM-CPUUnit（仿真求解计算） CraftArtsSIM-GUIUnit（仿真前后处理计算） IAM身份中心 Permission Set（权限集） 专属加密服务 DHSM HSM（加密机） 关联业务 表2 与其他服务之间关系 交互功能 相关服务 位置 通过CTS服务，您可以记录与标签管理服务相关的操作事件，便于日后的查询、审计和回溯。 云审计服务（Cloud Trace Service，CTS） 审计 需要IAM服务提供鉴权。 统一身份认证服务（Identity and Access Management，IAM） 用户权限

如何访问 公有云提供了Web化的服务管理平台，即管理控制台和基于HTTPS请求的API（Application Programming Interface）管理方式。 API方式 如果用户需要将公有云平台上的标签管理服务集成到第三方系统，用于二次开发，请使用API方式访问标签管理服务。具体操作请参见《标签管理服务API参考》。 管理控制台方式 管理控制台是网页形式的，您可以使用直观的界面进行相应的操作。登录管理控制台，单击主页左上角的，选择“管理与监管”下的“标签管理服务”以打开本服务界面。