华为云用户手册

如何查看并放通E CS 实例安全组规则 需要添加实例端口号（示例为3306）到100.125.0.0/16和100.79.0.0/16的规则，DAS才能访问ECS自建库。 在ECS实例详情页面，单击“安全组”页签，查看安全组规则。 图1 安全组规则 单击页面左侧的“配置规则”，进入安全组信息页面。 单击“入方向规则”页签，单击“添加规则”，设置安全组规则请参见配置安全组规则。 图2 添加入方向规则 推荐配置：“协议端口”选择“基本协议/自定义TCP”，端口与ECS自建库保持一致，源IP地址设置为100.125.0.0/16和100.79.0.0/16。 在 “出方向规则”页签，单击“添加规则”，设置安全组规则请参见配置安全组规则。 图3 添加出方向规则 推荐配置：“协议端口”选择“TCP”，端口与ECS自建库保持一致，源IP地址设置为100.125.0.0/16和100.79.0.0/16。 父主题： 连接管理

冻结、解冻、释放资源时对业务的影响 资源冻结时： 资源将被限制访问和使用，会导致您的业务中断，无法使用DAS提供的数据库管理功能。例如RDS实例被冻结时，会使得用户无法使用DAS连接至数据库执行SQL命令。 包周期资源被冻结后，将被限制进行变更操作。 资源被冻结后，可以手动进行退订/删除。 资源解冻时：资源将被解除限制，用户可以使用DAS连接至数据库。 资源释放时：资源将被释放，DAS管理的实例将被删除。

ECS自建库(Microsoft SQL Server)连接失败怎么办 报错信息： The TCP/IP connection to the host 100.xxx.xx.xx, port xxx has failed。 报错原因：ECS自建库输入的端口号不正确，或者网络不通。 解决方法：请确认输入的自建库端口号是否正确，并且放通了安全组规则和防火墙白名单。请参考查看并放通ECS实例安全组规则和查看并放通防火墙。 父主题： 连接管理

解决方案 登录 统一身份认证 服务控制台。 选择当前用户所属的用户组，在用户组列表中，单击新建用户组右侧的“授权”。 图2 进入用户组权限设置页面 搜索“关系型数据库RDS”，勾选权限“RDS FullAccess”后，单击“下一步”。 图3 添加权限 选择授权范围方案后，单击“确定”。 返回授权记录页面，确认当前用户组拥有的权限。 确保当前用户组拥有DAS FullAccess、DAS Administrator、RDS FullAccess和Tenant Guest权限即可。

ECS自建库(MySQL)连接失败怎么办 报错信息：“Access denied for user 'user_name'@'100.xxx.xx.xx' (using password: YES)”。 报错原因：ECS自建库用户名或密码不对。 解决方法：请确认数据库用户名和密码是否正确。如果确认账户名和密码正确，可以通过客户端或命令行工具登录数据库，执行select * from mysql.user where user = 'user_name'命令查看用户信息，如果存在100.%网段的用户，则DAS只能通过100.%网段的数据库用户去连接数据库。user_name @%与user_name @100.%是两个用户，其密码和权限都是独立的，请确认输入的密码是否是user_name @100.%用户的密码。 报错原因：DAS服务器的IP地址不在您输入用户的白名单中。 解决方法：使用客户端或命令行工具登录到数据库，创建DAS可以访问的数据库用户。 create user 'user_name'@'100.%' identified by 'password';grant all privileges on *.* to 'user_name'@'100.%'; DAS服务器IP地址所在网段为100.%，请根据实际使用需要添加白名单。 请根据实际使用需要给user_name@100.%用户赋予权限。 报错原因： 使用SSL用户登录，服务端没有开启SSL功能。 解决方法：请执行如下语句查询用户是否是SSL用户，如果是，则在RDS实例详情页面，将SSL开关打开。其中，ssl_type字段有值即表示此用户是SSL用户。 select user, host, ssl_type from mysql.user where user = 'user_name'; 报错信息： Host 'xxx.xxx.xx.xx' is not allowed to connect to this MySQL server。 报错原因： 您输入的数据库用户不允许远程登录MySQL（如root用户，mysql.user表中只设置了root@localhost用户，指定用户只能本地登录）。 解决方法：使用客户端工具或命令行登录MySQL，创建可以远程登录的用户。 create user 'user_name'@'100.%' identified by 'password'; grant all privileges on *.* to 'user_name'@'100.%'; DAS服务器IP地址所在网段为100.%，请根据实际使用需要添加白名单。 请根据实际使用需要给user_name@100.%用户赋予权限。 报错信息： Communications link failure The last packet sent successfully to the server was 0 milliseconds ago. The driver has not received any packets from the server。 报错原因： ECS设置的安全组规则不支持此端口被访问 解决方法：请参考查看并放通ECS实例安全组规则。 报错原因： ECS虚拟机设置的防火墙策略不允许此端口被访问。 解决方法：请参考查看并放通防火墙。 报错原因：远程访问MySQL数据库，服务端侧进行的DNS解析动作，耗时太长导致连接实例超时。 解决方法：请按照以下操作进行修复。 在/etc/my.cnf路径下查找MySQL数据库的配置文件，在“[mysqld]”下，输入如下内容，并保存退出。 skip-name-resolve MySQL数据库的配置文件，默认位置为“/etc/my.cnf”，若您将配置文件指定位置存放时，需对应调整。 重启数据库服务"systemctl restart mysqld"，尝试再次连接。 报错信息： Communications link failure The last packet sent successfully to the server was 0 milliseconds ago. The driver has not received any packets from the server 报错原因：DAS服务器与实例网络不通。 解决方法：请检查实例的防火墙配置是否正常、是否开放对应端口，如防火墙配置异常或未开放对应端口请修复后再次尝试连接实例。修复后还无法解决，请提交工单联系客服人员协助处理 报错信息：Instance connect timeout, please login again. 报错原因：DAS服务器连接超时。 解决方案：请按照以下方法进行检查并尝试修复。 请远程登录ECS虚拟机，执行“iptables -S | grep input”命令检查实例的防火墙配置是否正常。如果自建库端口号没在开放的白名单中，您可以新增一条iptables规则或通过“systemctl stop iptables”命令关闭防火墙，保证端口能被访问后再次尝试连接实例。 请远程登录ECS虚拟机，执行“ps -ef | grep mysql”命令检查数据库进程是否正常，mysqld_safe进程与mysqld进程均存在则为正常。如进程不存在请执行“systemctl start mysqld”命令重启数据库后再次尝试连接实例。 如上述方法均无法解决，请提交工单联系客服人员协助处理。 父主题： 连接管理

RDS for MySQ L实例 连接失败怎么办 报错信息：Access denied for user 'user_name'@'100.xxx.xx.xx' (using password: YES)。 报错原因：RDS实例用户名或密码不对。 解决方法：请确认数据库用户名和密码是否正确，如果您不确认密码是否正确，可以在RDS控制台重置实例密码。 修改密码可能会影响业务，请谨慎操作。 如果确认账户名和密码正确，可以通过客户端或命令行工具登录数据库，执行select * from mysql.user where user = 'user_name'命令查看用户信息，如果存在100.%网段的用户，则DAS只能通过100.%网段的数据库用户去连接数据库。user_name @%与user_name @100.%是两个用户，其密码和权限都是独立的，请确认输入的密码是否是user_name @100.%用户的密码。 报错原因：DAS服务器的IP地址不在您输入用户的白名单中。 解决方法：使用客户端或命令行工具登录到数据库，创建DAS可以访问的数据库用户。 create user 'user_name'@'100.%' identified by 'password'; grant select on *.* to 'user_name'@'100.%'; DAS服务器IP地址所在网段为100.%，请根据实际使用需要添加白名单。 请根据实际使用需要给user_name@100.%用户赋予权限。 报错原因： 使用SSL用户登录，服务端没有开启SSL功能。 解决方法：请执行如下语句查询用户是否是SSL用户，如果是，则在RDS实例详情页面，将SSL开关打开。其中，ssl_type字段有值即表示此用户是SSL用户。 select user, host, ssl_type from mysql.user where user = 'user_name'; 报错信息： Trying to connect with ssl, but ssl not enabled in the server 报错原因： 使用SSL用户登录，服务端没有开启SSL功能。 解决方法：请执行如下语句查询用户是否是SSL用户，如果是，则在RDS实例详情页面，将SSL开关打开。其中，ssl_type字段有值即表示此用户是SSL用户。 select user, host, ssl_type from mysql.user where user = 'user_name'; 报错信息： Client does not support authentication protocol requested by server. plugin type was = 'sha256_password' 报错原因： DAS暂不支持密码的加密方式为sha256_password的数据库用户连接登录。 解决方法：请执行如下语句将密码的加密方式改为mysql_native_password。 alter user 'user_name'@'%' identified with mysql_native_password by 'password'; 报错原因：对于MySQL 8.0，DAS服务器的IP地址不在您输入用户的白名单中。 解决方法：使用客户端或命令行工具登录到数据库，创建DAS可以访问的数据库用户。 报错信息： Communications link failure The last packet sent successfully to the server was 0 milliseconds ago. The driver has not received any packets from the server 报错原因： DAS服务器与实例网络不通。 解决方法：请提交工单联系客服人员协助处理。 报错信息：Instance connect timeout, please login again. 报错原因：DAS服务器连接超时。 解决方法：请提交工单联系客服人员协助处理。 报错信息：RSA public key is not available client side (option serverRsaPublicKeyFile not set). 报错原因：数据库用户的身份认证方式对密码安全性要求较高，要求用户认证过程中在网络传输的密码是加密的。 如果是SSL加密连接，则使用SSL证书和密钥对来完成“对称加密密钥对（在TSL握手中生成）”的交换，后续使用“对称加密密钥对”加密密码和数据。 如果是非SSL加密连接，则在连接建立时客户端使用MySQL Server端的RSA公钥加密用户密码，Server端使用RSA私钥解密验证密码的正确性，可以防止密码在网络传输时被窥探。 解决方法：开启实例SSL或者修改数据库用户的身份认证方式。 父主题： 连接管理

权限不足导致数据库实例连接失败怎么办 报错信息：您的权限不足。策略不允许执行 das:connections:xxx。 报错原因：您的账号没有添加DAS FullAccess权限。 解决方法：请参考创建用户并授权使用DAS，添加DAS FullAccess权限。 报错信息：您没有执行此操作的权限，请联系您的管理员为您开通权限。 报错原因：您的账号没有添加DAS FullAccess权限。 解决方法：请参考创建用户并授权使用DAS，添加DAS FullAccess权限。 报错信息：您当前登录的账号仅具有只读权限，不能执行此操作。为确保您顺利使用DAS，请添加DAS Administrator权限。 报错原因：您的账号没有添加DAS FullAccess权限。 解决方法：请参考创建用户并授权使用DAS，添加DAS FullAccess权限。 父主题： 连接管理

TaurusDB实例连接失败怎么办 报错信息：Access denied for user 'user_name'@'100.xxx.xx.xx' (using password: YES)。 报错原因：TaurusDB数据库用户名或密码不对。 解决方法：请确认数据库用户名和密码是否正确，如果您不确认密码是否正确，可以在 GaussDB 控制台重置实例密码。 修改密码可能会影响业务，请谨慎操作。 如果确认账户名和密码正确，可以通过客户端或命令行工具登录数据库，执行select * from mysql.user where user = 'user_name'命令查看用户信息，如果存在100.%网段的用户，则DAS只能通过100.%网段的数据库用户去连接数据库。user_name @%与user_name @100.%是两个用户，其密码和权限都是独立的，请确认输入的密码是否是user_name @100.%用户的密码。 报错原因：DAS服务器的IP地址不在您输入用户的白名单中。 解决方法：使用客户端或命令行工具登录到数据库，创建DAS可以访问的数据库用户。 create user 'user_name'@'100.%' identified by 'password';grant all privileges on *.* to 'user_name'@'100.%'; DAS服务器IP地址所在网段为100.%，请根据实际使用需要添加白名单。 请根据实际使用需要给user_name@100.%用户赋予权限。 报错信息： Trying to connect with ssl, but ssl not enabled in the server 报错原因： 使用SSL用户登录，服务端没有开启SSL功能。 解决方法：请执行如下语句查询用户是否是SSL用户，如果是，则在TaurusDB实例详情页面，将SSL开关打开。其中，ssl_type字段有值即表示此用户是SSL用户。 select user, host, ssl_type from mysql.user where user = 'user_name'; 报错信息： Client does not support authentication protocol requested by server. plugin type was = 'sha256_password' 报错原因： DAS暂不支持密码的加密方式为sha256_password的数据库用户连接登录。 解决方法：请执行如下语句将密码的加密方式改为mysql_native_password。 alter user 'user_name'@'%' identified with mysql_native_password by 'password'; 报错信息： Communications link failure The last packet sent successfully to the server was 0 milliseconds ago. The driver has not received any packets from the server 报错原因： DAS服务器与实例网络不通。 解决方法：请联系技术支持协助处理。 父主题： 连接管理

使用须知 支持登录的数据库实例如下： 表1 支持的数据库实例列表 数据库实例来源 支持的数据库引擎 华为云数据库实例 RDS for MySQL RDS for PostgreSQL RDS for SQL Server RDS for MariaDB DDS TaurusDB GaussDB GeminiDB Cassandra 华为云ECS自建数据库实例 支持MySQL5.5、5.6、5.7、8.0版本实例，暂不支持HA集群。 支持PostgreSQL9.4、9.5、9.6、10、11、12版本的实例。 支持SQL Server2008、2012、2014、2016、2017版本实例；暂不支持HA集群。 创建当前数据库实例的账号和目前登录的账号属于同一个云账号。 创建的数据库实例需要和数据管理服务在同一个Region下。

基本概念 账号 用户注册时的账号，账号对其所拥有的资源及云服务具有完全的访问权限，可以重置用户密码、分配用户权限等。由于账号是付费主体，为了确保账号安全，建议您不要直接使用账号进行日常管理工作，而是创建用户并使用它们进行日常管理工作。 用户 由账号在 IAM 中创建的用户，是云服务的使用人员，具有身份凭证（密码和访问密钥）。 在我的凭证下，您可以查看账号ID和IAM用户ID。 区域（Region） 指云资源所在的物理位置，同一区域内可用区间内网互通，不同区域间内网不互通。通过在不同地区创建云资源，可以将应用程序设计的更接近特定客户的要求，或满足不同地区的法律或其他要求。 可用区（AZ，Availability Zone） 一个可用区是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 项目 区域默认对应一个项目，这个项目由系统预置，用来隔离物理区域间的资源（计算资源、存储资源和网络资源），以默认项目为单位进行授权，用户可以访问账号中该区域的所有资源。如果希望进行更加精细的权限控制，可以在区域默认的项目中创建子项目，并在子项目中创建资源，然后以子项目为单位进行授权，使得用户仅能访问特定子项目中资源，使得资源的权限控制更加精确。 同样在我的凭证下，您可以查看项目ID。 图1 项目隔离模型 企业项目 企业项目是项目的升级版，针对企业不同项目间资源的分组和管理，是逻辑隔离。企业项目中可以包含多个区域的资源，且项目中的资源可以迁入迁出。 关于企业项目ID的获取及企业项目特性的详细信息，请参见《企业管理服务用户指南》。

获取账号ID 在调用接口的时候，部分URL中需要填入账号ID，所以需要先在管理控制台上获取到账号ID。账号ID获取步骤如下： 登录华为云控制台。 将鼠标移动到页面右上角的账号名，在下拉列表中单击“我的凭证”，进入“我的凭证”页面。 在左侧导航栏中，单击“API凭证”，进入“API凭证”页面。 您可以在该页面查看IAM用户名（user name）、IAM用户ID（user_id）、账号名（domain name）、账号ID（domain_id）等信息。 图1 获取账号ID 父主题： 附录

支持的授权项 策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应，授权项列表说明如下： 权限：允许或拒绝在特定条件下对指定资源进行某项操作。 对应API接口：自定义策略实际调用的API接口。 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。 依赖的授权项：部分Action存在对其他Action的依赖，需要将依赖的Action同时写入授权项，才能实现对应的权限功能。 IAM项目（Project）/企业项目（Enterprise Project）：自定义策略的授权范围，包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目，表示此授权项对应的自定义策略，可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目，不支持企业项目，表示仅能在IAM中给用户组授权并生效，如果在企业管理中授权，则该自定义策略不生效。关于IAM项目与企业项目的区别，详情请参见：IAM与企业管理的区别。 “√”表示支持，“x”表示暂不支持。 iDME的支持自定义策略授权项如下所示： 表1 控制台的细化权限说明 权限 对应API接口 授权项（Action） IAM项目 (Project) 企业项目 (Enterprise Project) 创建应用 /v1/{project_id}/apps dme:apps:create √ × 获取租户下的应用清单 /v1/{project_id}/apps dme:apps:get √ × 编辑应用 /v1/{project_id}/apps/{app_id} dme:apps:modify √ × 获取运行服务清单 /v1/{project_id}/envs dme:envs:get √ × 部署应用 /v1/{project_id}/envs/{env_id}/apps/{app_id}/deploy dme:envs:deployApp √ × 卸载应用 /v1/{project_id}/envs/{env_id}/apps/{app_id} dme:envs:destroyApp √ × 删除应用 /v1/{project_id}/apps/{app_id} dme:apps:delete √ × 开通iDME实例 /v1/{project_id}/{service_type}/instances dme:envs:create √ × 删除iDME实例 /v1/{project_id}/{service_type}/instances/{instance_id} dme:envs:delete √ ×

请求方法 HTTP请求方法（也称为操作或动词），它告诉服务您正在请求什么类型的操作。 表2 HTTP请求方法 方法 说明 GET 请求服务器返回指定资源。 PUT 请求服务器更新指定资源。 POST 请求服务器新增资源或执行特殊操作。 DELETE 请求服务器删除指定资源，如删除对象等。 HEAD 请求服务器资源头部。 PATCH 请求服务器更新资源的部分内容。当资源不存在的时候，PATCH可能会去创建一个新的资源。 在管理员创建IAM用户的URI部分，您可以看到其请求方法为“POST”，则其请求为： POST https://iam.cn-north-4.myhuaweicloud.com/v3.0/OS-USER/users

请求消息体（可选） 该部分可选。请求消息体通常以结构化格式（如JSON或XML）发出，与请求消息头中Content-Type对应，传递除请求消息头之外的内容。若请求消息体中的参数支持中文，则中文字符必须为UTF-8编码。 每个接口的请求消息体内容不同，也并不是每个接口都需要有请求消息体（或者说消息体为空），GET、DELETE操作类型的接口就不需要消息体，消息体具体内容需要根据具体接口而定。 对于管理员创建IAM用户接口，您可以从接口的请求部分看到所需的请求参数及参数说明。将消息体加入后的请求如下所示，加粗的斜体字段需要根据实际值填写。其中， accountid为IAM用户所属的账号ID。 username为要创建的IAM用户名。 email为IAM用户的邮箱。 **********为IAM用户的登录密码。 POST https://iam.cn-north-4.myhuaweicloud.com/v3.0/OS-USER/users Content-Type: application/json X-Sdk-Date: 20240416T095341ZAuthorization: SDK-HMAC-SHA256 Access=****************, SignedHeaders=content-type;host;x-sdk-date, Signature=****************{ "user": { "domain_id": "accountid", "name": "username", "password": "**********", "email": "email", "description": "IAM User Description" } } 到这里为止这个请求需要的内容就具备齐全了，您可以使用curl、Postman或直接编写代码等方式发送请求调用API。对于获取用户Token接口，返回的响应消息头中的“X-Subject-Token”就是需要获取的用户Token。有了Token之后，您就可以使用Token认证调用其他API。

请求消息头 附加请求头字段，如指定的URI和HTTP方法所要求的字段。例如定义消息体类型的请求头“Content-Type”，请求鉴权信息等。 详细的公共请求消息头字段请参见表3。 表3 公共请求消息头 名称 描述 是否必选 示例 Host 请求的服务器信息，从服务API的URL中获取。值为hostname[:port]。端口缺省时使用默认的端口，HTTPS的默认端口为443。 否 当使用AK/SK认证时，该字段必选。 code.test.com or code.test.com:443 Content-Type 消息体的类型（格式）。推荐用户使用默认值application/json，有其他取值时会在具体接口中专门说明。 是 application/json Content-Length 请求body长度，单位为Byte。 否 3495 Authorization 签名认证信息。 否 当使用AK/SK方式认证时，使用SDK对请求进行签名的过程中会自动填充该字段。 - X-Sdk-Date 请求发送的时间。 否 当使用AK/SK方式认证时，使用SDK对请求进行签名的过程中会自动填充该字段。 - X-Project-ID Project ID，项目编号。 否 如果是专属云场景采用AK/SK认证方式的接口请求或者多project场景采用AK/SK认证的接口请求，则该字段必选。 e9993fc787d**********aa340f9c0f4 X-Auth-Token 用户Token。 用户Token也就是调用获取用户Token接口的响应值，该接口是唯一不需要认证的接口。 请求响应成功后在响应消息头中包含的“X-Subject-Token”的值即为Token值。 否 使用Token认证时该字段必选。 注：以下仅为Token示例片段。 MIIPAgYJKoZIhvcNAQcCo...ggg1BBIINPXsidG9rZ X-Domain-ID 账号ID。 否 AK/SK认证方式下，全局服务的接口调用时，需在请求消息头中携带X-Domain-ID。 - API同时支持使用AK/SK认证，AK/SK认证是使用SDK对请求进行签名，签名过程会自动往请求中添加Authorization（签名认证信息）和X-Sdk-Date（请求发送的时间）请求头。 AK/SK认证的详细说明请参见认证鉴权的“AK/SK认证”。 对于管理员创建IAM用户接口，使用AK/SK方式认证时，添加消息头后的请求如下所示。 POST https://iam.cn-north-4.myhuaweicloud.com/v3.0/OS-USER/users Content-Type: application/jsonX-Sdk-Date: 20240416T095341ZAuthorization: SDK-HMAC-SHA256 Access=****************, SignedHeaders=content-type;host;x-sdk-date, Signature=****************

请求URI 请求URI由如下部分组成。 {URI-scheme}://{Endpoint}/{resource-path}?{query-string} 尽管请求URI包含在请求消息头中，但大多数语言或框架都要求您从请求消息中单独传递它，所以在此单独强调。 表1 URI中的参数说明 参数 描述 URI-scheme 表示用于传输请求的协议，当前所有API均采用HTTPS协议。 Endpoint 指定承载REST服务端点的服务器 域名 或IP，不同服务不同区域的Endpoint不同，您可以从地区和终端节点中获取。 例如IAM服务在“华北-北京四”区域的Endpoint为“iam.cn-north-4.myhuaweicloud.com”。 resource-path 资源路径，即API访问路径。从具体API的URI模块获取，例如“获取用户Token”API的resource-path为“/v3/auth/tokens”。 query-string 查询参数，是可选部分，并不是每个API都有查询参数。查询参数前面需要带一个“?”，形式为“参数名=参数取值”。 例如“?limit=10”，表示查询不超过10条数据。 例如您需要获取IAM在“华北-北京四”区域的Token，则需使用“华北-北京四”区域的Endpoint（iam.cn-north-4.myhuaweicloud.com），并在管理员创建IAM用户的URI部分找到resource-path（/v3.0/OS-USER/users），拼接起来如下所示。 https://iam.cn-north-4.myhuaweicloud.com/v3.0/OS-USER/users 图1 URI示意图 为查看方便，在每个具体API的URI部分，只给出resource-path部分，并将请求方法写在一起。这是因为URI-scheme都是HTTPS，而Endpoint在同一个区域也相同，所以简洁起见将这两部分省略。

状态码 状态码如表1所示： 表1 状态码 状态码 编码 错误码说明 100 Continue 继续请求。 这个临时响应用来通知客户端，它的部分请求已经被服务器接收，且仍未被拒绝。 101 Switching Protocols 切换协议。只能切换到更高级的协议。 例如，切换到HTTP的新版本协议。 201 Created 创建类的请求完全成功。 202 Accepted 已经接受请求，但未处理完成。 203 Non-Authoritative Information 非授权信息，请求成功。 204 NoContent 请求完全成功，同时HTTP响应不包含响应体。 在响应OPTIONS方法的HTTP请求时返回此状态码。 205 Reset Content 重置内容，服务器处理成功。 206 Partial Content 服务器成功处理了部分GET请求。 300 Multiple Choices 多种选择。请求的资源可包括多个位置，相应可返回一个资源特征与地址的列表用于用户终端（例如：浏览器）选择。 301 Moved Permanently 永久移动，请求的资源已被永久的移动到新的URI，返回信息会包括新的URI。 302 Found 资源被临时移动。 303 See Other 查看其他地址。 使用GET和POST请求查看。 304 Not Modified 所请求的资源未修改，服务器返回此状态码时，不会返回任何资源。 305 Use Proxy 所请求的资源必须通过代理访问。 306 Unused 已经被废弃的HTTP状态码。 400 BadRequest 非法请求。 建议直接修改该请求，不要重试该请求。 401 Unauthorized 在客户端提供认证信息后，返回该状态码，表明服务端指出客户端所提供的认证信息不正确或非法。 402 Payment Required 保留请求。 403 Forbidden 请求被拒绝访问。 返回该状态码，表明请求能够到达服务端，且服务端能够理解用户请求，但是拒绝做更多的事情，因为该请求被设置为拒绝访问，建议直接修改该请求，不要重试该请求。 404 NotFound 所请求的资源不存在。 建议直接修改该请求，不要重试该请求。 405 MethodNotAllowed 请求中带有该资源不支持的方法。 建议直接修改该请求，不要重试该请求。 406 Not Acceptable 服务器无法根据客户端请求的内容特性完成请求。 407 Proxy Authentication Required 请求要求代理的身份认证，与401类似，但请求者应当使用代理进行授权。 408 Request Time-out 服务器等候请求时发生超时。 客户端可以随时再次提交该请求而无需进行任何更改。 409 Conflict 服务器在完成请求时发生冲突。 返回该状态码，表明客户端尝试创建的资源已经存在，或者由于冲突请求的更新操作不能被完成。 410 Gone 客户端请求的资源已经不存在。 返回该状态码，表明请求的资源已被永久删除。 411 Length Required 服务器无法处理客户端发送的不带Content-Length的请求信息。 412 Precondition Failed 未满足前提条件，服务器未满足请求者在请求中设置的其中一个前提条件。 413 Request Entity Too Large 由于请求的实体过大，服务器无法处理，因此拒绝请求。为防止客户端的连续请求，服务器可能会关闭连接。如果只是服务器暂时无法处理，则会包含一个Retry-After的响应信息。 414 Request-URI Too Large 请求的URI过长（URI通常为网址），服务器无法处理。 415 Unsupported Media Type 服务器无法处理请求附带的媒体格式。 416 Requested range not satisfiable 客户端请求的范围无效。 417 Expectation Failed 服务器无法满足Expect的请求头信息。 422 UnprocessableEntity 请求格式正确，但是由于含有语义错误，无法响应。 429 TooManyRequests 表明请求超出了客户端访问频率的限制或者服务端接收到多于它能处理的请求。建议客户端读取相应的Retry-After首部，然后等待该首部指出的时间后再重试。 500 InternalServerError 表明服务端能被请求访问到，但是不能理解用户的请求。 501 Not Implemented 服务器不支持请求的功能，无法完成请求。 502 Bad Gateway 充当网关或代理的服务器，从远端服务器接收到了一个无效的请求。 503 ServiceUnavailable 被请求的服务无效。 建议直接修改该请求，不要重试该请求。 504 ServerTimeout 请求在给定的时间内无法完成。客户端仅在为请求指定超时（Timeout）参数时会得到该响应。 505 HTTP Version not supported 服务器不支持请求的HTTP协议的版本，无法完成处理。 父主题： 附录

调用API获取项目ID 项目ID还可以通过调用查询指定条件下的项目列表API获取。 获取项目ID的接口为“GET https://{Endpoint}/v3/projects”，其中{Endpoint}为IAM的终端节点，可以从地区和终端节点获取。接口的认证鉴权请参见认证鉴权。 响应示例如下，其中projects下的“id”即为项目ID。 { "projects": [ { "domain_id": "65382450e8f64ac0870cd180d14e684b", "is_domain": false, "parent_id": "65382450e8f64ac0870cd180d14e684b", "name": "cn-north-4", "description": "", "links": { "next": null, "previous": null, "self": "https://www.example.com/v3/projects/a4a5d4098fb4474fa22cd05f897d6b99" }, "id": "a4a5d4098fb4474fa22cd05f897d6b99", "enabled": true } ], "links": { "next": null, "previous": null, "self": "https://www.example.com/v3/projects" } }

接口说明 iDME当前提供的API如表1所示，暂未提供数字主线引擎（LinkX Foundation，简称LinkX-F）的API。 表1 iDME接口说明 类型 说明 应用管理 包括应用的创建、删除、编辑等接口。 运行服务管理 包括应用的部署、卸载等接口。 数据建模引擎 包括数据建模引擎的基础数据服务、版本服务、失效管理、业务编码生成器、标签管理等接口，不包括应用设计态和应用运行态的全量数据服务API。如需查看应用运行态的全量数据服务API，请参见全量数据服务。 流程引擎 包括流程引擎的评审记录、流程运行、参与者、流程监控、导航树等接口。

错误码 当您调用API时，如果遇到“APIGW”开头的错误码，请参见API网关错误码进行处理。 状态码 错误码 错误信息 描述 处理措施 400 IDT .04000028 Param {0} is invalid. 请求参数输入错误 请修改相应的请求参数 400 IDT.04011004 Env is illegal 运行环境不合法 请修改运行环境 400 IDT.04011005 validate the relationship fail between app and env 应用与运行环境的关系验证失败 请检查运行环境是否存在此应用 400 IDT.04011006 The number of tenant applications has exceeded the upper limit of 20 创建应用的数量超过限制 请联系技术支持 400 IDT.04011007 The application does not exist. 应用不存在 请修改应用 400 IDT.04011008 The application has been deployed, uninstall the application first. 无法删除已部署的应用 请先卸载应用，再删除 400 IDT.04011014 Fail to uninstall app because invalid app env relation 运行环境异常，导致卸载应用失败 请检查运行环境是否正常，或者联系技术支持 400 IDT.04011017 env and app database not consistent 运行环境与应用间的数据库类型不匹配 请检查运行环境的数据库类型与应用的数据库类型是否一致 500 IDT.04000002 Server busy, please try later. 系统繁忙，请稍后重试 请稍后重试，或者联系技术支持 500 IDT.04000034 Request 3rd party client error. 第三方服务错误 - 客户端错误 请联系技术支持 500 IDT.04000035 Request 3rd party service error, detail: {0}. 第三方服务错误 - 服务端错误 请联系技术支持 父主题： 附录

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的 云安全 挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的IaaS、PaaS和SaaS类云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。华为云租户的安全责任在于对使用的IaaS、PaaS和SaaS类云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、 虚拟主机 和访客虚拟机的操作系统，虚拟防火墙、API网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

数据保护技术 CTS 通过多种数据保护手段和特性，保障CTS的数据安全可靠。 表1 CTS的数据保护手段和特性 数据保护手段 简要说明 详细介绍 传输加密（HTTPS） CTS支持HTTPS传输协议，保证数据传输的安全性。 构造请求 数据冗余存储 审计日志以多副本方式存储，保障数据可靠性。 -- 数据转储OBS CTS支持将日志转储到 对象存储服务 OBS，并支持转储到加密OBS桶。用户可以以更低成本保存更长时间的日志，同时可以借助OBS的数据保护技术。 创建追踪器 事件文件完整性校验 在安全和事故调查中，通常由于事件文件被删除或者被私下篡改，而导致操作记录的真实性受到影响，无法对调查提供有效真实的依据。事件文件完整性校验功能旨在帮助您确保事件文件的真实性。 开启事件文件完整性校验功能 父主题： 安全

使用场景 云审计 服务能够为您提供云服务资源的操作记录，记录的信息包括发起操作的用户身份、IP地址、具体的操作内容的信息，以及操作返回的响应信息。根据这些操作记录，可以很方便地实现审计类功能，以帮助用户更好地规划和利用已有资源、甄别违规或高危操作。 云审计服务主要有以下应用场景： 合规审计 云审计服务能够助力客户的业务系统通过PCI DSS、ISO 27001等常见行业硬性规范中关于审计部分的认证。云审计服务所提供的操作日志记录、查询等功能及安全控制能力，是企事业单位特别是金融、支付类企业满足认证要求的必备条件。 对业务上云的客户而言，关于审计方面的合规认证内容通常分为两部分：云服务商所负责的客户业务系统平台与资源的合规以及客户负责的自身业务系统的合规。 一方面，云审计服务是合规性的组成部分之一，其几乎覆盖所有服务、所有资源的操作记录能力，以及审计日志在传输、存储、加密、容灾、防篡改等方面的安全能力，是认证中针对业务系统平台与资源合规的核心保障。另一方面，针对客户自身的业务系统的合规认证，云审计服务将在认证过程中积极响应，协助完成待满足项的解决方案设计和实现，支撑客户通过认证。 关键操作通知 云审计服务与 函数工作流 服务（FunctionGraph）共同提供关键操作通知功能，通知对象包括自然人及业务接口。实际应用场景举例如下： 客户可配置面向己方独立审计系统的http/https通知，将CTS收到的审计日志即时同步到客户自有的审计系统，独立审计。 客户可在FunctionGraph中，选择某类型的审计日志作为触发器（如文件上传），触发预设的工作流（如转换文件格式），从而简化业务开展、运维或规避问题和风险。 数据价值挖掘 云审计服务支持对审计日志中的数据进行挖掘，为业务健康度分析、风险分析、资源跟踪、成本分析等提供支撑，并支持开放审计数据给客户，供客户自行挖掘数据价值。 审计日志中包含时间、操作人、操作设备ip、被操作资源、操作详情等各类信息，具有挖掘价值。 客户可通过配置http/https通知的模式，将审计日志即时同步到自有系统进行分析。CTS也正在对接 云监控 、 云日志 ，提供高危操作展示、越权操作分析、资源使用分布等功能，并为业务健康度分析、成本分析提供数据支撑。 问题定位分析 云审计服务可通过配置查询条件，精确查找问题发生时的操作及其详情，降低问题发现、定位和解决的时间、人力成本。 当现网某个特定资源或动作出现问题，可根据云审计服务收集的日志记录，通过查询对应时间、对应资源的操作记录，查看当时的请求动作和响应，支撑问题定位分析。 云审计服务提供的检索维度包括事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等，且在审计日志中，包含本次操作的请求和响应的详情信息，是定位云上问题最快捷、最有效的定位手段之一。 当客户遇到云上问题时，可设置条件检索问题发生时间段内的可疑操作，将审计日志同步给处理问题的运维、客服人员。

什么是可信服务 组织（以下简称Organizations）云服务为企业用户提供多账号关系的管理能力。Organizations支持用户将多个华为云账号整合到创建的组织中，并可以集中管理组织下的所有账号。用户可以在组织中设置访问策略，帮助用户更好地满足业务的安全性和合规性需求。 可信服务是指可与Organizations服务集成，提供组织级相关能力的华为云服务。管理账号可以在组织中开启某个云服务为可信服务。成为可信服务后，云服务可以获取组织中的组织单元及成员账号信息，并基于此信息提供组织级的管理能力。 云审计服务支持组织云服务的多账号关系的管理能力： 使用组织管理员账号，在组织云服务中启用云审计可信服务并设置委托管理员账号。 使用委托管理员账号，在云审计服务中配置组织追踪器，配置完成后，委托管理员账号就可以实现安全审计等云审计能力，组织下所有成员当前区域的审计日志会转储到该追踪器配置的OBS桶或者LTS日志流。

服务韧性 CTS服务提供了3级可靠性架构，通过AZ内实例容灾、双AZ容灾、日志数据多副本技术方案，保障服务的持久性和可靠性。 表1 CTS服务可靠性架构 可靠性方案 简要说明 AZ内实例容灾 单AZ内，CTS实例通过多实例方式实现实例容灾，快速剔除故障节点，保障CTS实例持续提供服务。 多AZ容灾 CTS支持跨AZ容灾，当一个AZ异常时，不影响CTS实例持续提供服务。 数据容灾 通过日志数据多副本方式实现数据容灾。 父主题： 安全

审计与日志 云审计服务（Cloud Trace Service，CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 用户使用云审计服务并创建和配置追踪器后，CTS可记录CTS的管理事件用于审计。 CTS的入门指导和基本操作，请参见云审计服务《快速入门》。 CTS支持追踪的CTS管理事件列表，请参见云审计服务《用户指南》的支持审计的关键操作章节。 图1 云审计服务 父主题： 安全

方案概述 本文以“DevOps全流程示例项目”为例，介绍如何部署应用至CCE与ECS。 开展实践前，需要完成编译构建。 样例项目中预置了以下3个部署应用。 其中，第一个用于CCE部署，第二、三个用于ECS部署。 表1 预置应用 预置应用 应用说明 phoenix-cd-cce 部署至CCE流程对应的应用。 phoenix-sample-standalone 部署至ECS流程对应的应用。 phoenix-sample-predeploy 向ECS中安装依赖工具操作对应的应用。 父主题： HE2E DevOps实践：部署应用

CodeArts Deploy最佳实践汇总 表1 服务最佳实践指引 实践 描述 内网部署 通过代理主机进行内网部署 本实践提供了将应用通过代理主机部署到内网的主机或服务器的完整操作指导，旨在帮助您实现应用的内网部署。 公网部署 通过代理主机实现Windows主机部署 本实践介绍如何将应用通过代理主机部署到华为云Windows主机。 灰度部署 基于Nginx实现灰度发布 本实践基于Nginx负载均衡机制，实现应用的蓝绿发布和灰度发布。 基于Kubernetes Nginx-Ingress实现应用的灰度发布 本实践基于Kubernetes原生的特性实现灰度发布。 虚拟机部署 通过自托管资源池实现跨Region虚拟机部署 本实践介绍如何将应用通过自托管资源池部署到华为云其他Region的主机。 云下IDC部署 通过自托管资源池部署应用至云下IDC 本实践介绍如何将应用通过自托管资源池部署到云下IDC的主机或容器集群。 HE2E DevOps实践 HE2E DevOps实践：部署应用 本实践以“DevOps全流程示例项目”为例，介绍如何部署应用至CCE与ECS。

降级支持计划 华为云支持降低支持计划级别，并按订购周期实际未使用天数比例退还预付基础支持费差价。但是客户不应频繁变更支持计划级别，华为云保留拒绝客户频繁升降级支持计划的权利。 降级涉及支持费用变化：先计算剩余服务时间老支持计划结余基础支持费用，减去新支持计划所需基础支持费用，则为需要退还的预付基础支持费。增量支持费于月结时分别划扣老支持计划和新支持计划各对应天数产生的按量费用。 云上保障护航服务（基础版）、可用性检查、资源监控与优化等限额增值服务，是给予客户满足特定购买条件华为云支持计划的一次性特别优惠，一旦享受该优惠，即客户已承诺长期使用，支持计划订单降级将受到约束，降级需检查新级别增值服务配额是否足以抵扣老级别已消费量。降级规则如下： 对于没有限额增值服务权益，允许支持计划降级。 对于有限额增值服务权益，需检查限额增值服务权益使用情况，若新级别标准配额-老级别已消费数量为正数或零，则准予降级，若任意项为负数，则不予降级。 父主题： 特殊场景计费

升级支持计划 华为云支持提升支持计划级别，如将商业级提升为企业级。升级支持计划涉及补扣差额支持费用。 升级涉及支持费用变化：先计算剩余服务时间新支持计划所需基础支持费用，减去老支持计划结余基础支持费用，则为需要补扣的预付基础支持费。增量支持费于月结时分别划扣老支持计划和新支持计划各对应天数产生的按量费用。 升级涉及云上保障护航服务（基础版）配额调整。举例来说，如客户订购开发者级支持计划1年，服务期内申请升级到企业级支持计划，查看支持计划剩余时长是否超过六个月。如果超过六个月，则可获得限额服务。 支持计划升级不涉及可用性检查、资源监控与优化等限额增值服务配额调整。举例来说，如客户订购开发者级支持计划1年，服务期内申请升级到企业级支持计划，因升级而订购的企业级支持计划不满1年，故无法获得限额增值服务。 父主题： 特殊场景计费