华为云用户手册

Linux智能边缘云插件更新方法 卸载插件。 登录边缘实例。 执行以下命令，进入bin目录，删除服务cloudResetPwdAgent。 cd /CloudrResetPwdAgent/bin sudo ./cloudResetPwdAgent.script remove 执行以下命令，删除插件。 sudo rm -rf /CloudrResetPwdAgent 请检查CloudResetPwdUpdateAgent是否存在，如果存在，执行以下命令删除： sudo rm -rf /CloudResetPwdUpdateAgent 请参考获取并校验一键式重置密码插件完整性（Linux），下载对应的一键式重置密码插件CloudResetPwdAgent.zip并完成完整性校验。 安装一键式重置密码插件对插件的具体放置目录无特殊要求，请您自定义。 执行以下命令，解压软件包CloudResetPwdAgent.zip。 安装一键式重置密码插件对插件的解压目录无特殊要求，请您自定义。 unzip -o -d 插件解压目录 CloudResetPwdAgent.zip 示例： 假设插件解压的目录为/home/linux/test，则命令行如下： unzip -o -d /home/linux/test CloudResetPwdAgent.zip 安装一键式重置密码插件。 执行以下命令，进入文件CloudResetPwdAgent.Linux。 cd {插件解压目录}/CloudResetPwdAgent/CloudResetPwdAgent.Linux 执行以下命令，添加文件setup.sh的运行权限。 chmod +x setup.sh 执行以下命令，安装插件。 sudo sh setup.sh 如果脚本执行成功打印“cloudResetPwdAgent install successfully.”，且未打印“Failed to start service cloudResetPwdAgent”，表示安装成功。 您也可以根据1，检查密码重置插件是否安装成功。 如果密码重置插件安装失败，请检查安装环境是否符合要求，并重试安装操作。 修改重置密码插件的文件权限。 chmod 700 /CloudrResetPwdAgent/bin/cloudResetPwdAgent.script chmod 700 /CloudrResetPwdAgent/bin/wrapper chmod 600 /CloudrResetPwdAgent/lib/*

一键式重置密码插件及sha256校验码下载地址 表1 一键式重置密码插件下载地址 区域 操作系统 文件名 下载地址 华北-北京一 Linux(x86_32) CloudResetPwdAgent.zip https://cn-north-1-cloud-reset-pwd.obs.cn-north-1.myhuaweicloud.com/linux/32/reset_pwd_agent/CloudResetPwdAgent.zip sha256校验码 https://cn-north-1-cloud-reset-pwd.obs.cn-north-1.myhuaweicloud.com/linux/32/reset_pwd_agent/CloudResetPwdAgent.zip.sha256 Linux(x86_64) CloudResetPwdAgent.zip https://cn-north-1-cloud-reset-pwd.obs.cn-north-1.myhuaweicloud.com/linux/64/reset_pwd_agent/CloudResetPwdAgent.zip sha256校验码 https://cn-north-1-cloud-reset-pwd.obs.cn-north-1.myhuaweicloud.com/linux/64/reset_pwd_agent/CloudResetPwdAgent.zip.sha256 Linux(aarch64) CloudResetPwdAgent.zip https://cn-north-1-cloud-reset-pwd.obs.cn-north-1.myhuaweicloud.com/arm/linux/64/reset_pwd_agent/CloudResetPwdAgent.zip sha256校验码 https://cn-north-1-cloud-reset-pwd.obs.cn-north-1.myhuaweicloud.com/arm/linux/64/reset_pwd_agent/CloudResetPwdAgent.zip.sha256 Windows CloudResetPwdAgent.zip https://cn-north-1-cloud-reset-pwd.obs.cn-north-1.myhuaweicloud.com/windows/reset_pwd_agent/CloudResetPwdAgent.zip sha256校验码 https://cn-north-1-cloud-reset-pwd.obs.cn-north-1.myhuaweicloud.com/windows/reset_pwd_agent/CloudResetPwdAgent.zip.sha256 华北-北京四 Linux(x86_64) CloudResetPwdAgent.zip https://cn-north-4-cloud-reset-pwd.obs.cn-north-4.myhuaweicloud.com/linux/64/reset_pwd_agent/CloudResetPwdAgent.zip sha256校验码 https://cn-north-4-cloud-reset-pwd.obs.cn-north-4.myhuaweicloud.com/linux/64/reset_pwd_agent/CloudResetPwdAgent.zip.sha256 Windows CloudResetPwdAgent.zip https://cn-north-4-cloud-reset-pwd.obs.cn-north-4.myhuaweicloud.com/windows/reset_pwd_agent/CloudResetPwdAgent.zip sha256校验码 https://cn-north-4-cloud-reset-pwd.obs.cn-north-4.myhuaweicloud.com/windows/reset_pwd_agent/CloudResetPwdAgent.zip.sha256 华东-上海二 Linux(x86_32) CloudResetPwdAgent.zip https://cn-east-2-cloud-reset-pwd.obs.cn-east-2.myhuaweicloud.com/linux/32/reset_pwd_agent/CloudResetPwdAgent.zip sha256校验码 https://cn-east-2-cloud-reset-pwd.obs.cn-east-2.myhuaweicloud.com/linux/32/reset_pwd_agent/CloudResetPwdAgent.zip.sha256 Linux(x86_64) CloudResetPwdAgent.zip https://cn-east-2-cloud-reset-pwd.obs.cn-east-2.myhuaweicloud.com/linux/64/reset_pwd_agent/CloudResetPwdAgent.zip sha256校验码 https://cn-east-2-cloud-reset-pwd.obs.cn-east-2.myhuaweicloud.com/linux/64/reset_pwd_agent/CloudResetPwdAgent.zip.sha256 Linux(aarch64) CloudResetPwdAgent.zip https://cn-east-2-cloud-reset-pwd.obs.cn-east-2.myhuaweicloud.com/arm/linux/64/reset_pwd_agent/CloudResetPwdAgent.zip sha256校验码 https://cn-east-2-cloud-reset-pwd.obs.cn-east-2.myhuaweicloud.com/arm/linux/64/reset_pwd_agent/CloudResetPwdAgent.zip.sha256 Windows CloudResetPwdAgent.zip https://cn-east-2-cloud-reset-pwd.obs.cn-east-2.myhuaweicloud.com/windows/reset_pwd_agent/CloudResetPwdAgent.zip sha256校验码 https://cn-east-2-cloud-reset-pwd.obs.cn-east-2.myhuaweicloud.com/windows/reset_pwd_agent/CloudResetPwdAgent.zip.sha256 华南-广州 Linux(x86_32) CloudResetPwdAgent.zip https://cn-south-1-cloud-reset-pwd.obs.cn-south-1.myhuaweicloud.com/linux/32/reset_pwd_agent/CloudResetPwdAgent.zip sha256校验码 https://cn-south-1-cloud-reset-pwd.obs.cn-south-1.myhuaweicloud.com/linux/32/reset_pwd_agent/CloudResetPwdAgent.zip.sha256 Linux(x86_64) CloudResetPwdAgent.zip https://cn-south-1-cloud-reset-pwd.obs.cn-south-1.myhuaweicloud.com/linux/64/reset_pwd_agent/CloudResetPwdAgent.zip sha256校验码 https://cn-south-1-cloud-reset-pwd.obs.cn-south-1.myhuaweicloud.com/linux/64/reset_pwd_agent/CloudResetPwdAgent.zip.sha256 Linux(aarch64) CloudResetPwdAgent.zip https://cn-south-1-cloud-reset-pwd.obs.cn-south-1.myhuaweicloud.com/arm/linux/64/reset_pwd_agent/CloudResetPwdAgent.zip sha256校验码 https://cn-south-1-cloud-reset-pwd.obs.cn-south-1.myhuaweicloud.com/arm/linux/64/reset_pwd_agent/CloudResetPwdAgent.zip.sha256 Windows CloudResetPwdAgent.zip https://cn-south-1-cloud-reset-pwd.obs.cn-south-1.myhuaweicloud.com/windows/reset_pwd_agent/CloudResetPwdAgent.zip sha256校验码 https://cn-south-1-cloud-reset-pwd.obs.cn-south-1.myhuaweicloud.com/windows/reset_pwd_agent/CloudResetPwdAgent.zip.sha256 中国-香港 Linux(x86_32) CloudResetPwdAgent.zip https://ap-southeast-1-cloud-reset-pwd.obs.ap-southeast-1.myhuaweicloud.com/linux/32/reset_pwd_agent/CloudResetPwdAgent.zip sha256校验码 https://ap-southeast-1-cloud-reset-pwd.obs.ap-southeast-1.myhuaweicloud.com/linux/32/reset_pwd_agent/CloudResetPwdAgent.zip.sha256 Linux(x86_64) CloudResetPwdAgent.zip https://ap-southeast-1-cloud-reset-pwd.obs.ap-southeast-1.myhuaweicloud.com/linux/64/reset_pwd_agent/CloudResetPwdAgent.zip sha256校验码 https://ap-southeast-1-cloud-reset-pwd.obs.ap-southeast-1.myhuaweicloud.com/linux/64/reset_pwd_agent/CloudResetPwdAgent.zip.sha256 Linux(aarch64) CloudResetPwdAgent.zip https://ap-southeast-1-cloud-reset-pwd.obs.ap-southeast-1.myhuaweicloud.com/arm/linux/64/reset_pwd_agent/CloudResetPwdAgent.zip sha256校验码 https://ap-southeast-1-cloud-reset-pwd.obs.ap-southeast-1.myhuaweicloud.com/arm/linux/64/reset_pwd_agent/CloudResetPwdAgent.zip.sha256 Windows CloudResetPwdAgent.zip https://ap-southeast-1-cloud-reset-pwd.obs.ap-southeast-1.myhuaweicloud.com/windows/reset_pwd_agent/CloudResetPwdAgent.zip sha256校验码 https://ap-southeast-1-cloud-reset-pwd.obs.ap-southeast-1.myhuaweicloud.com/windows/reset_pwd_agent/CloudResetPwdAgent.zip.sha256 亚太-曼谷 Linux(x86_32) CloudResetPwdAgent.zip https://ap-southeast-2-cloud-reset-pwd.obs.ap-southeast-2.myhuaweicloud.com/linux/32/reset_pwd_agent/CloudResetPwdAgent.zip sha256校验码 https://ap-southeast-2-cloud-reset-pwd.obs.ap-southeast-2.myhuaweicloud.com/linux/32/reset_pwd_agent/CloudResetPwdAgent.zip.sha256 Linux(x86_64) CloudResetPwdAgent.zip https://ap-southeast-2-cloud-reset-pwd.obs.ap-southeast-2.myhuaweicloud.com/linux/64/reset_pwd_agent/CloudResetPwdAgent.zip sha256校验码 https://ap-southeast-2-cloud-reset-pwd.obs.ap-southeast-2.myhuaweicloud.com/linux/64/reset_pwd_agent/CloudResetPwdAgent.zip.sha256 Linux(aarch64) CloudResetPwdAgent.zip https://ap-southeast-2-cloud-reset-pwd.obs.ap-southeast-2.myhuaweicloud.com/arm/linux/64/reset_pwd_agent/CloudResetPwdAgent.zip sha256校验码 https://ap-southeast-2-cloud-reset-pwd.obs.ap-southeast-2.myhuaweicloud.com/arm/linux/64/reset_pwd_agent/CloudResetPwdAgent.zip.sha256 Windows CloudResetPwdAgent.zip https://ap-southeast-2-cloud-reset-pwd.obs.ap-southeast-2.myhuaweicloud.com/windows/reset_pwd_agent/CloudResetPwdAgent.zip sha256校验码 https://ap-southeast-2-cloud-reset-pwd.obs.ap-southeast-2.myhuaweicloud.com/windows/reset_pwd_agent/CloudResetPwdAgent.zip.sha256

获取并校验一键式重置密码插件完整性（Linux） 以root用户登录边缘实例。 执行以下命令，下载一键式重置密码插件及sha256校验码。 您可以根据边缘实例所在区域、操作系统是32位还是64位，参考表1选择对应的下载地址。 如果表1中不包含您的边缘实例所在区域，请您为边缘实例绑定EIP，然后选择就近区域进行下载。 绑定EIP的详细操作，请参见为边缘实例或虚拟IP创建和绑定弹性公网IP。 以“华北-北京一”区域的32位x86操作系统为例： wget https://cn-north-1-cloud-reset-pwd.obs.cn-north-1.myhuaweicloud.com/linux/32/reset_pwd_agent/CloudResetPwdAgent.zip wget https://cn-north-1-cloud-reset-pwd.obs.cn-north-1.myhuaweicloud.com/linux/32/reset_pwd_agent/CloudResetPwdAgent.zip.sha256 执行以下命令，获取本地一键式重置密码插件的Hash值。 sha256sum {软件包本地目录}/CloudResetPwdAgent.zip {软件包本地目录}：请根据实际下载目录进行替换，例如/root。 将步骤2获取的sha256 Hash值和步骤3获取的Hash值进行比较。 一致：通过校验。 不一致：请重新下载对应版本的一键式重置密码插件，重复步骤2~步骤4进行校验。

获取并校验一键式重置密码插件完整性（Windows） 登录。 下载一键式重置密码插件及sha256校验码。 您可以根据所在区域，参考表1选择对应的下载地址。 如果表1中不包含您的所在区域，请您为边缘实例绑定EIP，然后选择就近区域进行下载。 绑定EIP的详细操作，请参见为边缘实例或虚拟IP创建和绑定弹性公网IP。 以管理员权限打开cmd，执行以下命令，获取本地一键式重置密码插件的Hash值。 certutil –hashfile {软件包本地目录}\CloudResetPwdAgent.zip SHA256 {软件包本地目录}：请根据实际下载目录进行替换。 将步骤2获取的sha256 Hash值和步骤3获取的Hash值进行比较。 一致：通过校验。 不一致：请重新下载对应版本的一键式重置密码插件，重复步骤2~步骤4进行校验。

Linux边缘实例插件安装方法 您可以使用以下方法检查是否已安装一键式重置密码插件。 登录查询 以root用户登录。 执行以下命令，查询是否已安装CloudResetPwdAgent。 ls -lh /Cloud* 图1 查询是否已安装一键式重置密码插件 检查结果是否如图1所示。 是，表示已安装一键式重置密码插件，结束。 否，表示未安装一键式重置密码插件，请继续执行如下操作进行安装。 请参考获取并校验一键式重置密码插件完整性（Linux），下载对应的一键式重置密码插件CloudResetPwdAgent.zip并完成完整性校验。 安装一键式重置密码插件对插件的具体放置目录无特殊要求，请您自定义。 执行以下命令，解压软件包CloudResetPwdAgent.zip。 安装一键式重置密码插件对插件的解压目录无特殊要求，请您自定义。 unzip -o -d 插件解压目录 CloudResetPwdAgent.zip 示例： 假设插件解压的目录为/home/linux/test，则命令行如下： unzip -o -d /home/linux/test CloudResetPwdAgent.zip 安装一键式重置密码插件。 执行以下命令，进入文件CloudResetPwdAgent.Linux。 cd {插件解压目录}/CloudResetPwdAgent/CloudResetPwdAgent.Linux 执行以下命令，添加文件setup.sh的运行权限。 chmod +x setup.sh 执行以下命令，安装插件。 sudo sh setup.sh 如果脚本执行成功打印“cloudResetPwdAgent install successfully.”，且未打印“Failed to start service cloudResetPwdAgent”，表示安装成功。 您也可以根据1，检查密码重置插件是否安装成功。 如果密码重置插件安装失败，请检查安装环境是否符合要求，并重试安装操作。 修改重置密码插件的文件权限。 chmod 700 /CloudrResetPwdAgent/bin/cloudResetPwdAgent.script chmod 700 /CloudrResetPwdAgent/bin/wrapper chmod 600 /CloudrResetPwdAgent/lib/*

关于插件卸载 如果不再继续使用一键重置密码功能，您可以根据如下指导进行操作： Linux边缘实例 登录边缘实例。 执行以下命令，进入bin目录，删除服务cloudResetPwdAgent。 cd /CloudrResetPwdAgent/bin sudo ./cloudResetPwdAgent.script remove 执行以下命令，删除插件。 sudo rm -rf /CloudrResetPwdAgent 请检查CloudResetPwdUpdateAgent是否存在，如果存在，执行以下命令删除： sudo rm -rf /CloudResetPwdUpdateAgent Windows边缘实例 卸载并删除CloudResetPwdAgent。 进入C:\CloudResetPwdAgent\bin文件夹。 双击“UninstallApp-NT.bat”。 删除C:\CloudResetPwdAgent的文件。 删除C:\CloudResetPwdUpdateAgent的文件。

前提条件 对于Windows，需保证C盘可写入，且剩余空间大于300MB。 对于Linux，需保证根目录可写入，且剩余空间大于300MB。 使用的VPC网络DHCP不能禁用。 网络正常通行。 设置的网卡属性为DHCP，使可以动态获取IP地址。 安全组出方向规则满足如下要求： 协议：TCP 端口范围：80 远端地址：169.254.0.0/16 如果您使用的是默认安全组出方向规则，则已经包括了如上要求，可以正常初始化。默认安全组出方向规则为： 协议：ANY 端口范围：ANY 远端地址：0.0.0.0/16

Windows边缘实例插件安装方法 检查是否已安装密码重置插件CloudResetPwdAgent。检查方法如下： 查看任务管理器，如果找到cloudResetPwdAgent服务，如图2所示，表示已安装密码重置插件。 图2 安装插件成功 是，结束。 否，执行下一步。 请参考获取并校验一键式重置密码插件完整性（Windows），下载对应的一键式重置密码插件CloudResetPwdAgent.zip并完成完整性校验。 安装一键式重置密码插件对插件的具体放置目录无特殊要求，请您自定义。 解压软件包CloudResetPwdAgent.zip。 安装一键式重置密码插件对插件的解压目录无特殊要求，请您自定义。 安装一键式重置密码插件。 双击“CloudResetPwdAgent.Windows”文件夹下的“setup.bat”文件。 安装密码重置插件。 查看任务管理器，检查密码重置插件是否安装成功。 如果在任务管理器中查找到了cloudResetPwdAgent服务，如图3所示，表示安装成功，否则安装失败。 图3 安装插件成功 如果密码重置插件安装失败，请检查安装环境是否符合要求，并重试安装操作。

安装须知 用户自行决定是否安装一键式重置密码插件，使边缘实例具备一键式重置密码功能。 安装完成后，请勿自行卸载插件，否则可能导致管理控制台判断失误，从而无法完成密码重置。 重装/切换边缘实例操作系统后，一键式重置密码功能失效。如需继续使用该功能，请重新安装一键式重置密码插件。 更换边缘实例系统盘后，一键式重置密码功能失效。如需继续使用该功能，请重新安装一键式重置密码插件。 CoreOS操作系统的边缘实例，不支持安装一键式重置密码插件。 如果没有提前安装一键式重置密码插件，密码丢失或过期后，不能使用一键式重置密码功能。 边缘实例需绑定弹性公网IP，才能安装一键式重置密码插件。

后续操作 部分操作系统无法识别新添加的网卡，需手动激活网卡。下面以Ubuntu系统为例介绍具体激活网卡的操作步骤，其他操作系统请自行完成相关操作，如有问题，请参见对应操作系统的官网指导或手册来完成操作。 在计算机的命令行中运行如下命令登录边缘实例。 ssh 边缘实例绑定的弹性公网IP 执行如下命令，查看网卡名称。 ifconfig -a 例如，查询到的网卡名为：eth2。 执行如下命令，进入相应目录。 cd /etc/network 执行如下命令，打开interfaces文件。 vi interfaces 在interfaces文件中，增加类似如下信息。 auto eth2 iface eth2 inet dhcp 执行如下命令，保存并退出interfaces文件。 :wq 执行命令ifup ethX或/etc/init.d/networking restart，使新增网卡生效。 上述命令中的X为具体的网卡名称序号，例如，ifup eth2。 执行如下命令，查看回显信息中是否包括2查询到的网卡。 ifconfig 例如，回显信息中包含网卡eth2。 是，表示新增网卡生效，结束。 否，表示新增网卡未生效，执行9。 登录管理控制台，在所在行的“操作”列下，选择“更多”，并单击“重启”。 再次执行命令ifconfig，查看回显信息中是否包括2查询到的网卡。 是，结束。 否，请联系客服获取技术支持。

约束与限制 当前IEC扩容功能支持扩大硬盘容量，不支持缩小硬盘容量。 系统盘默认支持的最大容量为100GB，数据盘默认支持的最大容量为500 GB，最小扩容步长均为 1GB。 对使用中的硬盘进行扩容时，硬盘所挂载的边缘实例状态必须为“运行中”或者“关机”才支持扩容。 部分硬盘需要重启才能生效，如果在边缘实例内找不到已挂载的硬盘，请重启边缘实例。 扩容时不会影响已有数据，但误操作可能会导致数据丢失或者异常。

前提条件 密码丢失或过期前，已安装密码重置插件。 公共镜像创建的边缘实例默认已安装一键式重置密码插件。 请勿删除重置密码进程CloudResetPwdAgent和CloudResetPwdUpdateAgent，否则，会导致一键式重装密码功能不可用。 使用的VPC网络DHCP不能禁用。 网络正常通行。 请确保一键式重置密码插件未被安全软件（如火绒软件等）阻止运行，否则重置密码功能无法使用。 重置密码之后，必须重启方可生效。

支持的授权项 策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应，授权项列表说明如下： 权限：允许或拒绝某项操作。 对应API接口：自定义策略实际调用的API接口。 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。 IAM 项目(Project)/企业项目(Enterprise Project)：自定义策略的授权范围，包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目，表示此授权项对应的自定义策略，可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目，不支持企业项目，表示仅能在IAM中给用户组授权并生效，如果在企业管理中授权，则该自定义策略不生效。关于IAM项目与企业项目的区别，详情请参见：IAM与企业管理的区别。 “√”表示支持，“x”表示暂不支持。 IEC支持自定义策略授权项如下所示： 【示例】边缘实例，包括IEC边缘实例操作接口对应的授权项，如查询边缘实例、更新边缘实例、删除边缘实例等接口。

请求消息头 附加请求头字段，如指定的URI和HTTP方法所要求的字段。例如定义消息体类型的请求头“Content-Type”，请求鉴权信息等。 详细的公共请求消息头字段请参见表3。 表3 公共请求消息头 名称 描述 是否必选 示例 Host 请求的服务器信息，从服务API的URL中获取。值为hostname[:port]。端口缺省时使用默认的端口，https的默认端口为443。 否 使用AK/SK认证时该字段必选。 code.test.com or code.test.com:443 Content-Type 消息体的类型（格式）。推荐用户使用默认值application/json，有其他取值时会在具体接口中专门说明。 是 application/json Content-Length 请求body长度，单位为Byte。 否 3495 X-Project-Id project id，项目编号。 否 如果是专属云场景采用AK/SK认证方式的接口请求，或者多project场景采用AK/SK认证的接口请求，则该字段必选。 e9993fc787d94b6c886cbaa340f9c0f4 X-Auth-Token 用户Token。 用户Token也就是调用获取用户Token接口的响应值，该接口是唯一不需要认证的接口。 请求响应成功后在响应消息头（Headers）中包含的“X-Subject-Token”的值即为Token值。 否 使用Token认证时该字段必选。 注：以下仅为Token示例片段。 MIIPAgYJKoZIhvcNAQcCo...ggg1BBIINPXsidG9rZ API同时支持使用AK/SK认证，AK/SK认证使用SDK对请求进行签名，签名过程会自动往请求中添加Authorization（签名认证信息）和X-Sdk-Date（请求发送的时间）请求头。 AK/SK认证的详细说明请参见认证鉴权的“AK/SK认证”。 对于获取用户Token接口，由于不需要认证，所以只添加“Content-Type”即可，添加消息头后的请求如下所示。 1 2 POST https://iam.cn-north-1.myhuaweicloud.com/v3/auth/tokens Content-Type: application/json

请求消息体（可选） 该部分可选。请求消息体通常以结构化格式（如JSON或XML）发出，与请求消息头中Content-Type对应，传递除请求消息头之外的内容。若请求消息体中的参数支持中文，则中文字符必须为UTF-8编码。 每个接口的请求消息体内容不同，也并不是每个接口都需要有请求消息体（或者说消息体为空），GET、DELETE操作类型的接口就不需要消息体，消息体具体内容需要根据具体接口而定。 对于获取用户Token接口，您可以从接口的请求部分看到所需的请求参数及参数说明。将消息体加入后的请求如下所示，加粗的斜体字段需要根据实际值填写，其中username为用户名，domainname为用户所属的账号名称，********为用户登录密码，xxxxxxxxxxxxxxxxxx为project的名称，如“cn-north-1”，您可以从地区和终端节点获取。 scope参数定义了Token的作用域，下面示例中获取的Token仅能访问project下的资源。您还可以设置Token的作用域为某个账号下所有资源或账号的某个project下的资源，详细定义请参见获取用户Token。 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 POST https://iam.cn-north-1.myhuaweicloud.com/v3/auth/tokens Content-Type: application/json { "auth": { "identity": { "methods": [ "password" ], "password": { "user": { "name": "username", "password": "********", "domain": { "name": "domainname" } } } }, "scope": { "project": { "name": "xxxxxxxxxxxxxxxxxx" } } } } 到这里为止这个请求需要的内容就具备齐全了，您可以使用curl、Postman或直接编写代码等方式发送请求调用API。对于获取用户Token接口，返回的响应消息头中的“x-subject-token”就是需要获取的用户Token。有了Token之后，您就可以使用Token认证调用其他API。

请求URI 请求URI由如下部分组成： {URI-scheme}://{Endpoint}/{resource-path}?{query-string} 尽管请求URI包含在请求消息头中，但大多数语言或框架都要求您从请求消息中单独传递它，所以在此单独强调。 表1 URI中的参数说明 参数 描述 URI-scheme 表示用于传输请求的协议，当前所有API均采用HTTPS协议。 Endpoint 指定承载REST服务端点的服务器 域名 或IP，不同服务不同区域的Endpoint不同，您可以从地区和终端节点获取。 例如IAM服务在“华北-北京四”区域的Endpoint为“iam.cn-north-4.myhuaweicloud.com”。 resource-path 资源路径，即API访问路径。从具体API的URI模块获取，例如“获取用户Token”API的resource-path为“/v3/auth/tokens”。 query-string 查询参数，是可选部分，并不是每个API都有查询参数。查询参数前面需要带一个“?”，形式为“参数名=参数取值”，例如“?limit=10”，表示查询不超过10条数据。 例如您需要获取IAM在“华北-北京四”区域的Token，则需使用“华北-北京四”区域的Endpoint（iam.cn-north-4.myhuaweicloud.com），并在获取用户Token的URI部分找到resource-path（/v3/auth/tokens），拼接起来如下所示。 1 https://iam.cn-north-4.myhuaweicloud.com/v3/auth/tokens 图1 URI示意图 为方便查看，在每个具体API的URI部分，只给出resource-path部分，并将请求方法写在一起。这是因为URI-scheme都是HTTPS，而Endpoint在同一个区域也相同，所以简洁起见将这两部分省略。

请求方法 HTTP请求方法（也称为操作或动词），它告诉服务您正在请求什么类型的操作。 表2 HTTP方法 方法 说明 GET 请求服务器返回指定资源。 PUT 请求服务器更新指定资源。 POST 请求服务器新增资源或执行特殊操作。 DELETE 请求服务器删除指定资源，如删除对象等。 HEAD 请求服务器资源头部。 PATCH 请求服务器更新资源的部分内容。 当资源不存在的时候，PATCH可能会去创建一个新的资源。 在获取用户Token的URI部分，您可以看到其请求方法为“POST”，则其请求为： 1 POST https://iam.cn-north-1.myhuaweicloud.com/v3/auth/tokens

基本概念 账号 用户注册时的账号，账号对其所拥有的资源及云服务具有完全的访问权限，可以重置用户密码、分配用户权限等。由于账号是付费主体，为了确保账号安全，建议您不要直接使用账号进行日常管理工作，而是创建用户并使用他们进行日常管理工作。 用户 由账号在IAM中创建的用户，是云服务的使用人员，具有身份凭证（密码和访问密钥）。 在我的凭证下，您可以查看账号ID和IAM用户ID。通常在调用API的鉴权过程中，您需要用到账号、用户和密码等信息。 区域（Region） 从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region，通用Region指面向公共租户提供通用云服务的Region；专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 详情请参见区域和可用区。 可用区（AZ，Availability Zone） 一个可用区是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 端口 通常意义上，指允许实例访问远端地址指定端口，取值范围为：1～65535。常用端口请参见实例常用端口。 由于IEC的部分API接口调用VPC的接口，所以在IEC的端口章节中描述的端口概念和通常意义上的端口概念不同，指的是将单个设备（如服务器的NIC）连接到网络的连接点。端口还描述了相关的网络配置，例如子网下的私有IP地址以及它的用途，或者虚拟IP地址以及它绑定的公网IP、网卡、带宽等信息。 父主题： 使用前必读

与IEC有功能依赖的云服务 IEC和其他周边云服务的功能依赖关系如表1所示。 表1 与IEC有功能依赖的云服务 相关服务 功能依赖关系 参考内容 镜像服务 边缘私有镜像需要首先在镜像服务中创建，然后在IEC控制台界面上进行注册，注册完成后可以选择使用。 边缘镜像概述 通过镜像服务创建边缘私有镜像 统一身份认证 服务 通过统一身份认证服务，给IEC的其他用户设置不同的访问权限，以达到不同用户之间的权限隔离。 权限管理 创建IAM用户并授权使用IEC

与IEC有区别对比的产品 面向不同应用场景的多种云化产品（智能边缘云（Intelligent EdgeCloud，IEC）和智能边缘小站（CloudPond）、智能边缘平台（Intelligent EdgeFabric，IEF）、IoT边缘（IoT Edge）、内容分发网络（Content Delivery Network，CDN））之间的区别，请参见IEC与相关产品区别。 IEC范畴下的实例、镜像和网络与弹性云服务器，镜像服务，虚拟私有云等云服务的区别，请参见边缘实例，边缘镜像，边缘网络。

IEC权限 IEC的控制台部署时不区分物理区域，为全局性的。访问IEC控制台时，不需要切换区域。存在如下一个特殊情况：在使用Tenant Administrator和Tenant Guest两个系统权限时需要选择一些仅为IEC使用的特殊华为云区域，详见表1。以上提到的区域是指华为云整体上按照物理位置划分的区域，和IEC服务业务上的边缘区域是有差别的，详见华为云的区域和IEC的区域有什么区别？。 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略和角色，才能使得用户组中的用户获得策略定义的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对IEC服务，管理员能够控制IAM用户仅能查询网络ACL列表，而不能创建网络ACL。多数细粒度策略以API接口为粒度进行权限拆分，IEC支持的API授权项请参见权限和授权项说明。 表1列出了IEC的所有系统权限。 表1 IEC系统权限 权限名称 描述 作用范围 类别 依赖关系 IEC FullAccess 拥有该权限的用户可以对IEC资源执行任意操作。 仅选择“全局服务” 系统策略 无 IEC ReadOnlyAccess 拥有该权限的用户可以查询IEC资源的利用情况，即仅拥有IEC读权限。 仅选择“全局服务” 系统策略 无 Tenant Administrator 拥有该权限的用户拥有除IAM外，其他所有服务的所有执行权限。 选择“全局服务”和“区域级项目”， 区域级项目为： cn-north-900 [华北-北京边缘二] 系统角色 无 Tenant Guest 拥有该权限的用户拥有除IAM外，其他所有服务的只读权限。 选择“全局服务”和“区域级项目”， 区域级项目为： cn-north-900 [华北-北京边缘二] 系统角色 无 表2列出了IEC常用操作与系统策略的关系。 表2 IEC常用操作与系统策略的关系 操作 IEC ReadOnlyAccess IEC FullAccess 查询带宽列表 √ √ 查询指定带宽 √ √ 修改带宽信息 x √ 删除带宽信息 x √ 删除子网 x √ 查询指定子网 √ √ 更新子网 x √ 查询子网列表 √ √ 创建子网 x √ 删除虚拟私有云 x √ 查询虚拟私有云列表 √ √ 更新虚拟私有云 x √ 查询指定虚拟私有云 √ √ 创建虚拟私有云 x √ 查询网络配额 √ √ 创建路由表 x √ 查询路由表列表 √ √ 查询路由表详情 √ √ 更新路由表 x √ 删除路由表 x √ 查询路由列表 √ √ 添加路由 x √ 更新路由 x √ 删除路由 x √ 路由表关联子网 x √ 路由表解关联子网 x √ 查询子网关联的路由表 √ √ 查询网络ACL列表 √ √ 创建网络ACL x √ 更新网络ACL x √ 更新网络ACL规则 x √ 删除网络ACL x √ 查询指定网络ACL √ √ 删除弹性公网IP x √ 查询指定弹性公网IP √ √ 更新弹性公网IP x √ 查询弹性公网IP列表 √ √ 创建弹性公网IP x √ 删除安全组 x √ 查询指定安全组 √ √ 查询安全组列表 √ √ 创建安全组 x √ 删除安全组规则 x √ 查询指定安全组规则 √ √ 查询安全组规则列表 √ √ 创建安全组规则 x √ 删除边缘业务 x √ 查询指定边缘业务 √ √ 查询边缘业务列表 √ √ 查询边缘业务配额 √ √ 查询实例列表 √ √ 操作实例（启动、关闭、重启） x √ 批量删除实例 x √ 修改实例 x √ 查询指定实例 √ √ 创建实例 x √ 切换操作系统 x √ 更新实例网卡配置 x √ 删除实例网卡 x √ 添加实例网卡 x √ 查询实例规格列表 √ √ 查询指定的任务 √ √ 查询站点列表 √ √ 查询指定云硬盘 √ √ 查询云硬盘类型列表 √ √ 查询云硬盘列表 √ √ 查询边缘镜像列表 √ √ 创建边缘镜像 x √ 查询指定边缘镜像 √ √ 删除边缘镜像 x √ 查询边缘镜像支持的区域列表 √ √ 查询边缘镜像的配额信息 √ √ 查询特定华为云区域的镜像列表 √ √ 从边缘实例创建镜像 x √ 查询边缘实例的统计数据 √ √ 查询带宽的统计数据 √ √ 查询资源使用率 √ √ 创建IAM用户并授权的具体操作请参见示例流程。

计费模式 IEC提供按需计费模式，由边缘实例和边缘硬盘使用时长，以及边缘带宽流量叠加计费。具体计费模式说明如表2所示。 表2 计费模式说明 计费模式 计费项 计费周期 付费方式 说明 按需计费 边缘实例和边缘硬盘 秒级计费，按小时结算 后付费 按照边缘实例和边缘硬盘实际使用的时长进行计费。 边缘实例关机后仍正常计费，如果需要停止边缘实例和边缘硬盘计费，直接删除边缘实例即可。 边缘带宽 增强型95计费，按月结算 后付费 按照边缘带宽实际使用的流量进行计费。 为了防止突然爆发的流量产生较高的费用，您可以为边缘带宽设置合适的峰值。 IEC增强型95计费按照多次去峰值后的实际使用带宽付费。 计费公式：月峰值带宽 x 月峰值带宽价格 x 共享带宽存在天数 ÷ 自然月天数 详细计费规则请参见什么是IEC增强型95计费？。 如果需要停止边缘带宽计费，需要彻底删除带宽。

边缘镜像 镜像是一个包含了软件及必要配置的实例模版，包含操作系统或业务数据，还可以包含应用软件（例如数据库软件）和私有软件。 IEC使用的边缘镜像支持公共镜像和私有镜像两种镜像类型。 公共镜像：IEC支持的公共镜像预置在IEC系统中，供所有用户使用。与华为云镜像服务中提供的公共镜像功能类似，但没有关联关系，各自承载不同的业务。 IEC上创建的公共镜像不能通过云服务IMS管理，云服务IMS上创建的公共镜像也不能通过IEC管理。 私有镜像：IEC的私有镜像由用户首先在镜像服务中创建，然后在IEC上进行注册，注册完成后可以选择使用。 注册到IEC的私有镜像和镜像服务中原私有镜像互相独立，后者的修改不影响前者。已注册到IEC的私有镜像不能修改。如果当前镜像不能满足需求，您可以重新创建和注册。

边缘实例 边缘实例为边缘云场景下专享的实例资源，是由CPU（Central Processing Unit，中央处理器）、内存、操作系统、云硬盘组成的基础的计算组件。 IEC范畴下的边缘实例与华为云上弹性 云服务器ECS 完全独立，没有关联关系，各自承载不同的业务。但从两者的功能维度来看，又是相类似的。 举例说明，通过IEC控制台或者API创建的实例仅归属于华为云服务IEC的业务范畴，与通过华为云服务E CS 创建的实例没有关联关系。IEC上创建的实例不能通过ECS管理，ECS上创建的实例也不能通过IEC管理。

边缘网络 边缘网络为边缘云场景下专享的网络子服务。通过虚拟私有云，构建隔离的、用户自主配置和管理的虚拟网络环境，提升用户云上资源的安全性，简化用户的网络部署。同时，通过弹性公网IP，使得虚拟私有云内的实例与公网Internet互通。 IEC范畴下的边缘网络与华为云上其他网络相关的云服务，如虚拟私有云、弹性公网IP完全独立，没有关联关系，各自承载不同的业务。但从两者的功能维度来看，又是相类似的。 举例说明，通过IEC控制台或者API创建的虚拟私有云仅归属于华为云服务IEC的业务范畴，与通过华为云服务VPC创建的虚拟私有云没有关联关系。IEC上创建的虚拟私有云不能通过云服务VPC管理，云服务VPC上创建的虚拟私有云也不能通过IEC管理。

边缘实例 IEC暂不支持通过VNC（Virtual Network Console，虚拟网络控制台）方式登录边缘实例，请使用远程连接工具登录实例。 系统默认一个华为云账号最多创建300台边缘实例，如果您需要创建更多个边缘实例，请申请扩大配额。一次最多可以创建50台边缘实例。 系统默认一个华为云账号最多创建边缘实例的内存（Random Access Memory， RAM ）容量为100GB，vCPU（Virtual Central Processing Unit，虚拟处理器）为100个。如果您需要更多配额，请申请扩大配额。

边缘安全组 系统默认一个华为云账号最多创建200个安全组。如果您需要创建更多个安全组，请申请扩大配额。 由于归属于不同虚拟私有云的多个实例网络不连通，则为同一个安全组下归属于不同的虚拟私有云的多个实例配置网络连通的访问规则是不生效的。 由于归属于不同边缘站点的多个子网之间网络不连通，则为安全组配置跨站点多个子网连通的访问规则是不生效的。 系统默认一个华为云账号最多创建10000个安全组规则。如果您需要创建更多个安全组规则，请申请扩大配额。

边缘镜像 当前IEC仅支持在华北-北京四[cn-north-4]的华为云区域通过镜像服务创建边缘私有镜像。 对于IAM用户通过镜像服务创建边缘私有镜像，需要账号为该IAM用户同时赋予IEC FullAccess权限和华北-北京四[cn-north-4]区域的IAM ReadOnlyAccess权限。 系统默认一个华为云账号最多创建50个边缘私有镜像（从边缘实例和从镜像服务创建合计）。如果您需要创建更多个边缘私有镜像，请申请扩大配额。 IEC场景下不支持windows公共镜像；windows私有镜像仅支持创建虚拟机，但不支持对虚拟机进行激活。

边缘网络ACL 每个网络ACL都包含一组默认规则，如下所示： 默认放通同一站点下同一子网内的流量。 默认放通目的IP地址为255.255.255.255/32的广播报文。用于配置主机的启动信息。 默认放通目的网段为224.0.0.0/24的组播报文。供路由协议使用。 默认放通目的IP地址为169.254.169.254/32，TCP端口为80的metadata报文。用于获取元数据。 默认放通公共服务预留网段资源的报文，例如目的网段为100.125.0.0/16的报文。 除上述默认放通的流量外，其余出入子网的流量全部拒绝，如表1所示。该规则不能修改和删除。 表1 网络ACL默认规则 方向 优先级 动作 协议 源地址 目的地址 说明 入方向 * 拒绝 全部 0.0.0.0/0 0.0.0.0/0 拒绝所有入站流量 出方向 * 拒绝 全部 0.0.0.0/0 0.0.0.0/0 拒绝所有出站流量 网络连通性： 由于归属于不同虚拟私有云的多个子网网络不连通，则为同一个网络ACL下归属于不同的虚拟私有云的多个子网配置网络连通的访问规则是不生效的。 由于归属于不同边缘站点的多个子网之间网络不连通，则为网络ACL配置跨站点多个子网连通的访问规则是不生效的。 规则优先级： 网络ACL规则的优先级使用“优先级”值来表示，优先级的值越小，优先级越高，最先应用。优先级的值为“*”的是默认规则，优先级最低。 多个网络ACL规则冲突，优先级高的规则优先生效。如果某个规则需要优先或落后生效，可在对应规则（需要优先或落后于某个规则生效的规则）前面或后面插入此规则。

边缘路由和路由表 系统默认一个VPC下最多创建10个自定义路由表。如果您需要创建更多个自定义路由表，请申请扩大配额。 每个路由表最多添加200个路由。 一个子网一次只能关联一个路由表，但一个路由表可以关联多个子网。 系统路由不能修改和删除。 通过自定义路由访问Internet网络时，目的地址配置为默认0.0.0.0/0，不能配置为具体的公网网段，下一跳为本VPC内绑定了EIP的边缘实例、绑定了EIP的虚拟IP或互联网网关地址。