华为云用户手册

开通并创建企业项目 通过本节在企业管理控制台创建名为“企业项目A”、“企业项目B”的企业项目。如果您已开通企业项目，请直接操作步骤 4。 A公司使用注册的华为账号登录华为云控制台，单击“用户名”，选择“基本信息”。 在基本信息页面，单击“开通企业项目”。 如果您为未实名认证的账号，请先进行企业实名认证。 在开通企业项目页面，勾选“我已阅读并同意《华为云企业管理使用协议》”，单击“申请开通”，开通企业项目。 在华为云控制台，单击“企业”，选择“项目管理”。 图2 进入企业管理服务 在企业项目管理页面，单击“创建企业项目”。 图3 进入创建企业项目页面 在创建企业项目页面，输入“名称”为“企业项目A”，单击“确定”，完成“企业项目A”创建。 重复步骤5~6，创建“企业项目B”。 创建企业项目后，项目管理列表中显示新创建的“企业项目A”和“企业项目B”。

定期修改身份凭证 如果您不知道自己的密码或访问密钥已泄露，定期进行修改可以将不小心泄露的风险降至最低。 定期轮换密码可以通过设置密码有效期策略进行，您以及您账号中的用户在设置的时间内必须修改密码，否则密码将会失效， IAM 会在密码到期前15天开始提示用户修改密码。 轮换访问密钥可以通过创建两个访问密钥进行，将两个访问密钥作为一主一备，一开始先使用主访问密钥一，一段时间后，使用备访问密钥二，然后在控制台删除主访问密钥一，并重新生成一个访问密钥，在您的应用程序中定期轮换使用。

开启虚拟MFA功能 Multi-Factor Authentication (简称MFA) 是一种非常简单的安全实践方法，建议您给华为账号以及您账号中具备较高权限的用户开启MFA功能，它能够在用户名和密码之外再额外增加一层保护。启用MFA后，用户登录控制台时，系统将要求用户输入用户名和密码（第一安全要素），以及来自其MFA设备的验证码（第二安全要素）。这些多重要素结合起来将为您的账户和资源提供更高的安全保护。 MFA设备可以基于硬件也可以基于软件，系统目前仅支持基于软件的虚拟MFA，虚拟MFA是能产生6位数字认证码的应用程序，此类应用程序可在移动硬件设备（包括智能手机）上运行，非常方便。

在E CS 实例上运行的应用程序使用ECS委托 在华为云ECS实例上运行的应用程序需要凭证才能访问其他华为云服务。若要以安全的方式提供应用程序所需的凭证，可使用ECS委托获取临时访问密钥。在ECS获取临时访问密钥，需要在IAM上对ECS授权，并对相应的弹性云服务器资源进行授权委托管理。ECS通过向IAM申请指定委托的临时凭证，从而安全访问资源。ECS会为您自动轮换这些临时凭证，从而确保每次申请的临时凭证安全、有效。 当您启动ECS实例时，您可指定实例的委托，以作为启动参数。在ECS实例上运行的应用程序在访问华为云资源时可使用委托的临时访问密钥，同时委托的权限将确定允许访问资源的应用程序。

操作流程 以B账号将委托分配给IAM用户进行管理为例，说明使用IAM的用户授权功能，实现分配委托以及对委托进行精细授权的操作方法，委托权限分配完成后，B账号中的IAM用户通过切换角色的方式，可以切换到A账号中，管理委托方授权的资源。B账号需要提前获取委托公司的华为账号名称、所创建的委托名称以及委托的ID。 创建用户组并授权。 B账号在 统一身份认证 服务左侧导航窗格中，单击“用户组”。 在“用户组”界面中，单击“创建用户组”。 输入“用户组名称”，例如“委托管理”。 单击“确定”。 返回用户组列表，用户组列表中显示新创建的用户组。 单击新建用户组右侧的“授权”，进入授权界面。 如果需要用户仅管理一个特定的委托，请执行以下步骤对委托进行精细授权。 如果需要用户管理所有委托，请跳过该步骤，直接执行下一步。 在选择策略页面，单击权限列表右上角“新建策略”。 输入“策略名称”，例如“管理A公司的委托1”。 “策略配置方式”选择“JSON视图”。 在“策略内容”区域，填入以下内容： { "Version": "1.1", "Statement": [ { "Action": [ "iam:agencies:assume" ], "Resource": { "uri": [ "/iam/agencies/b36b1258b5dc41a4aa8255508xxx..." ] }, "Effect": "Allow" } ]} "b36b1258b5dc41a4aa8255508xxx..."需要替换为待授权委托的ID，需要提前向委托方获取，其他内容不需修改，直接拷贝即可。 单击“下一步”，继续完成授权。 选择上一步中创建的自定义策略“管理A公司的委托1”，或者“Agent Operator”权限。 自定义策略：用户仅能管理指定ID的委托，不能管理其他委托。 “Agent Operator”权限：用户可以管理所有委托。 选择授权作用范围。 单击“确定”。 创建用户并加入用户组。 在统一身份认证服务左侧导航窗格中，单击“用户” 在“用户”界面，单击“创建用户”。 在“创建用户”界面，输入“用户名”“邮箱”。 “访问方式”选择“管理控制台访问”。 “凭证类型”选择“首次登录时设置”。 “登录保护”选择“开启”，并选择身份验证方式，单击“下一步”。 在“加入用户组”页面，选择步骤2中创建的用户组“委托管理”，单击“创建用户”。 切换角色。 使用步骤3创建的用户，使用“IAM用户登录”方式，登录华为云。登录方法，请参见：IAM用户登录。 在控制台页面，右上方的用户名中，选择“切换角色”。 图1 切换角色 在“切换角色”页面中，输入委托方的账号名称，输入账号名称后，系统将会按照顺序自动匹配委托名称。 如果自动匹配的是没有授权的委托，系统将提示没有权限访问，可以删除委托名称，在下拉框中选择已授权的委托名称。 单击“确定”，切换至委托方账号中。

IAM用户访问密钥疑似泄露处理方案 场景一： 若确认该访问密钥尚未在您的业务中使用，请在IAM控制台直接停用并删除IAM用户的访问密钥。如您无权限，请联系有IAM操作权限的管理员。具体操作请参见管理IAM用户的访问密钥。 场景二： 若确认访问密钥已经在使用中且可以直接轮转，请尽快轮转。 请先创建一个新的访问密钥并妥善保管（每个IAM用户最多只能创建两个访问密钥）。同时将原访问密钥替换为新的访问密钥，验证业务正常运行后，在IAM控制台及时停用并删除原有的访问密钥。具体操作请参见管理IAM用户访问密钥。（访问密钥删除后无法恢复，建议先停用并确保对业务无影响后再删除） 场景三： 若确认访问密钥在使用中且短期内无法轮转，为降低访问密钥泄露的影响，您可以按照如下步骤进行处置。完成后务必尽快轮转。 缩小访问密钥权限。 请根据您的实际业务诉求，尽快缩小疑似泄露访问密钥的权限，在不影响正常业务的情况下，禁止高危操作，避免核心资产受损。在访问密钥轮转后再解除该限制。 建议禁止的高危权限，例如： 禁止该IAM用户创建新的IAM用户和授权； 禁止计算资源实例的操作，如关闭ECS、BMS服务器等； 禁止存储资源实例的操作，如删除OBS桶、删除EVS云硬盘，删除RDS实例等； 禁止删除日志，如删除 云日志 LTS上的日志、删除 CTS 追踪器等。 具体操作，详见创建自定义策略、给IAM用户授权。 同时建议您明确实际业务需要的权限，将不需要的权限全部移除，确保当前针对该访问密钥的授权符合最小权限集的安全要求。 开启IAM用户的登录保护。 建议您为华为云账号下所有可访问控制台的IAM用户开启登录保护，并建议您设置验证方式为安全等级更高的虚拟MFA。 设置华为云账号下的IAM用户登录控制台必须开启登录保护。具体操作请参见查看或修改IAM用户信息。 为用户绑定虚拟MFA设备。具体操作请参见为IAM用户绑定MFA设备。 检查是否存在访问密钥异常操作。 检查访问密钥是否存在异常操作行为，并排查是否有其他疑似泄露的访问密钥。 检查方式： 在CTS控制台的事件列表中，过滤筛选“操作用户”为疑似泄露访问密钥的用户，查看是否有异常操作行为。 除检查已知存在泄露风险的访问密钥之外，还需进一步排查是否还有其他IAM用户和访问密钥存在异常操作行为。若发现异常行为，建议与对应人员确认操作是否由本人执行。若排查发现存在疑似泄露风险，建议按以下方式处理： 疑似泄露的IAM用户如需继续使用，建议立即修改IAM用户密码并开启登录保护。 疑似泄露的IAM用户如果为非正常创建或闲置，可先将其禁用，确认对业务无影响后再进行删除。 如果访问密钥存在异常操作，参照上述方法先缩减权限后再进行轮转。 检查是否存在异常费用。 若在费用中心检查发现存在异常费用和账单，请结合上述操作实施防护措施。

应用场景 假如您是一位开发者，开发了一个应用程序，这个应用程序运行在ECS实例上，应用程序的代码中涉及调用API访问华为云服务。此时，因为华为云服务要求访问请求方出示访问凭证，所以您的API调用将会面临提供访问凭证的问题。 访问凭证按照时效性可分为永久凭证和临时凭证，相较于永久性访问凭证，例如用户名和密码，临时访问密钥因为有效期短且刷新频率高，所以安全性更高。因此，您的应用程序若想要以更安全的方式访问云服务，需要获取临时访问凭证，而IAM的委托功能，则支持通过ECS委托获取临时访问密钥。 图1 应用程序获取临时访问密钥 如图1所示，以访问数据库服务举例。因为数据库服务要求访问请求方提供访问凭证，所以应用程序需要获得委托的临时访问密钥AK、SK。应用程序与ECS元数据服务通信，ECS元数据服务再与IAM通信，拿到临时AK、SK后返回给应用程序。然后，应用程序将临时AK、SK作为访问凭证出示给数据库服务，数据库服务收到请求后，先校验访问凭证是否合法，凭证通过校验后，ECS实例上的应用程序才能访问数据库服务。

不给华为账号创建访问密钥 华为账号是您华为云资源归属、资源使用计费的主体，对其所拥有的资源及云服务具有完全的访问权限。密码与访问密钥（AK/SK）都是账号的身份凭证，具有同等效力，密码用于登录界面控制台，是您必须具备的身份凭证，访问密钥用于使用开发工具进行编程调用，是第二个身份凭证，为辅助性质，非必须具备。为了提高账号安全性，建议您仅使用密码登录控制台即可，不要给账号创建第二个身份凭证（访问密钥），避免因访问密钥泄露带来的信息安全风险。

合理设置访问方式 IAM支持为用户设置编程访问、管理控制台访问方式，请参考如下说明为IAM用户设置访问方式： 如果IAM用户仅需登录管理控制台访问云服务，建议访问方式选择管理控制台访问，凭证类型为密码。 如果IAM用户仅需编程访问华为云服务，建议访问方式选择编程访问，凭证类型为访问密钥。 如果IAM用户需要使用密码作为编程访问的凭证（部分API要求），建议访问方式选择编程访问，凭证类型为密码。 如果IAM用户使用部分云服务时，需要在其控制台验证访问密钥（由IAM用户输入），建议访问方式选择编程访问和管理控制台访问，凭证类型为密码和访问密钥。例如IAM用户在控制台使用 云数据迁移 CDM服务创建数据迁移，需要通过访问密钥进行身份验证。

解决方案 针对以上应用场景，可使用IAM对ECS云服务的委托来获取临时访问密钥。在IAM上对ECS云服务授权，并对应用程序所在的ECS实例进行授权委托管理。ECS实例获得委托权限之后，应用程序可申请指定委托的临时访问密钥，从而以临时访问密钥为凭证安全访问华为云资源。详细方案如下： 创建ECS云服务委托。账号在IAM控制台创建委托，指定委托对象为ECS云服务。委托创建时，选择权限策略，选择可访问的资源范围，不同的委托对应不同的权限策略。 ECS实例配置委托。在ECS实例的配置项中选择上一步创建的委托，一个ECS实例只可以选择一个委托。 获取委托的临时凭证。ECS实例配置了委托参数后，就获得了委托权限。此时，ECS实例上运行的应用程序可获取委托的临时访问密钥AK、SK。拥有临时访问密钥的应用程序可与华为云服务进行交互，交互行为遵循账号授予的权限策略和资源使用范围。

常用系统权限设置案例 请参考以下文档给IAM用户设置常见云服务的访问权限。 设置弹性云服务器（ECS）的权限 设置弹性负载均衡（ELB）的权限 设置关系型数据库（RDS）的权限 设置云硬盘（EVS）的权限 设置 云监控 （ CES ）的权限 设置云容器引擎（CCE）的权限 设置 对象存储服务 （OBS）的权限 设置云备份（CBR）的权限 设置虚拟私有云（VPC）的权限 设置分布式缓存服务（DCS）的权限 设置文档数据库服务（DDS）的权限 设置费用中心的权限 设置提交工单的权限

华为 云安全 措施 华为云一直致力于保护您的云身份及云资源安全。当华为云发现您的访问密钥已经泄露，将通过您预留的联系方式及时通知您。为避免导致更大的资产损失，华为云有可能会采取限制该访问密钥的部分操作，如会限制该访问密钥创建的身份（如IAM用户、委托等），详情请参见访问密钥限制性保护说明。 请您务必及时关注短信、邮箱、电话等渠道的通知，并结合业务实际需求及时处置。同时，请及时关注您账号下的云资源情况，以免影响业务的正常运行。 华为云作为云服务提供商，无法也不可能掌握您全部访问密钥的安全现状。根据安全责任共担模型，云上的安全由您和华为云共同承担。其中访问密钥属于账号或IAM用户的访问凭证，相关安全责任完全由您负责，因此建议您妥善保管访问密钥。

华为云账号（主账号）访问密钥疑似泄露处理方案 场景一： 若确认该访问密钥尚未在您的业务中使用，请在我的凭证页面直接停用并删除该访问密钥。 场景二： 若确认该访问密钥已经在使用中。请使用以下方案轮转访问密钥。 方案1：在我的凭证页面，请先为账号创建一个新的访问密钥并妥善保管。同时将原访问密钥替换为新的访问密钥，验证业务正常运行后及时停用并删除原有的访问密钥。 方案2（推荐）：建议您创建一个IAM用户，为用户创建访问密钥并授予其业务必需的最小权限，使用该访问密钥代替主账号的访问密钥。同时，请停用并删除主账号的原访问密钥。 访问密钥删除后无法恢复，建议先停用并确保对业务无影响后再删除。

解决方案 针对需求1：当前华为云提供的企业管理服务（EPS）和统一身份认证服务（IAM），均可实现项目之间的资源隔离，但两种服务的实现逻辑及功能不同。 企业管理服务：在企业管理服务中创建企业项目，企业项目之间的资源是逻辑隔离，针对企业不同项目间的资源进行分组和管理，一个企业项目中可以包含多个区域的资源。企业项目内的资源可以动态的迁入和迁出，某些服务可以实现指定资源的迁入迁出，例如迁入迁出某一台ECS服务器。 统一身份认证服务：在统一身份认证服务中创建IAM项目可以实现资源之间的物理隔离，针对同一个区域内的资源进行分组和隔离，一个IAM项目中只能包含一个区域中的资源。 综上，企业管理服务能够实现项目间跨区域的资源隔离，隔离逻辑更加灵活，因此，推荐A公司使用企业管理服务进行项目资源管理，以下需求将基于企业管理服务提出解决方案。如需了解更多统一身份认证和企业管理的区别，请参见：统一身份认证和企业管理的区别。 针对需求2：A公司需要配合使用企业管理服务和统一身份认证服务，在统一身份认证服务中创建用户组、为每个员工创建IAM用户并加入用户组，再将用户组添加至需求1创建的企业项目，并按照表1为各企业项目中的用户组授予相应的资源使用权限。 图1 A公司人员配置模型 表1 A公司各用户组权限配置模型 用户组 职责 所需权限 描述 财务组 负责管理项目费用的使用情况。 Enterprise Project BSS FullAccess 企业项目费用的管理权限。 开发组 负责使用资源进行项目开发。 ECS FullAccess 弹性云服务器（ECS）的所有执行权限。 OBS FullAccess 对象存储服务（OBS）的所有执行权限。 ELB FullAccess 弹性负载均衡（ELB）的所有执行权限。 安全维护组 负责项目的安全运维。 ECS CommonOperations 弹性云服务器（ECS）的普通操作权限。 CAD Administrator DDoS高防服务 （AAD）的所有执行权限。 运营组 负责所有项目的总体运营。 EPS FullAccess 企业管理服务的所有执行权限，包括修改、启用、停用、查看企业项目。 如需了解华为云所有云服务的系统权限，请参见：系统权限。

操作流程 针对A公司的企业需求及其解决方案，按照如下流程构建项目团队、购买资源，实现企业项目管理。 图2 企业项目管理流程图 步骤1：开通并创建企业项目：开通企业项目，并在企业管理服务控制台创建企业项目。 步骤2：创建IAM用户及用户组：在统一身份认证服务控制台为各职能团队创建用户组、为员工创建IAM用户，并将IAM用户加入用户组，实现人员分组。 步骤3：企业项目与IAM用户组关联授权：在统一身份认证服务控制台为各用户组授予应有的权限，并将其加入相应的企业项目，实现人员授权。 步骤4：购买资源并关联企业项目：在云服务控制台购买资源，并选择所属企业项目，实现资源隔离。 后续操作：企业项目管理：在企业管理服务控制台进行人员、资源、财务管理。

开通并创建企业项目 通过本节在企业管理控制台创建名为“企业项目A”、“企业项目B”的企业项目。如果您已开通企业项目，请直接操作步骤 4。 A公司使用注册的华为账号登录华为云控制台，单击“用户名”，选择“基本信息”。 在基本信息页面，单击“开通企业项目”。 如果您为未实名认证的账号，请先进行企业实名认证。 在开通企业项目页面，勾选“我已阅读并同意《华为云企业管理使用协议》”，单击“申请开通”，开通企业项目。 在华为云控制台，单击“企业”，选择“项目管理”。 图3 进入企业管理服务 在企业项目管理页面，单击“创建企业项目”。 图4 进入创建企业项目页面 在创建企业项目页面，输入“名称”为“企业项目A”，单击“确定”，完成“企业项目A”创建。 重复步骤5~6，创建“企业项目B”。 创建企业项目后，项目管理列表中显示新创建的“企业项目A”和“企业项目B”。

企业需求 需求1：A公司需要同时在“华北-北京四”和“华东-上海一”多地域购买多种资源，A公司希望将资源按需分配给两个项目团队，某些服务可实现指定资源的分配，例如某一台ECS服务器只分配给指定IAM用户使用，且两个项目中的资源相互隔离。 需求2：每个项目团队的成员只能访问其所在项目团队的资源，且仅拥有能够完成工作的资源使用最小权限。 需求3：A公司希望两个项目团队能够独立核算成本，项目费用一目了然。

解决方案 针对需求1：当前华为云提供的企业管理服务（EPS）和统一身份认证服务（IAM），均可实现项目之间的资源隔离，但两种服务的实现逻辑及功能不同。 企业管理服务：在企业管理服务中创建企业项目，企业项目之间的资源是逻辑隔离，针对企业不同项目间的资源进行分组和管理，一个企业项目中可以包含多个区域的资源。企业项目内的资源可以动态的迁入和迁出，某些服务可以实现指定资源的迁入迁出，例如迁入迁出某一台ECS服务器。 统一身份认证服务：在统一身份认证服务中创建IAM项目可以实现资源之间的物理隔离，针对同一个区域内的资源进行分组和隔离，一个IAM项目中只能包含一个区域中的资源。 综上，企业管理服务能够实现项目间跨区域的资源隔离，隔离逻辑更加灵活，因此，推荐A公司使用企业管理服务进行项目资源管理，以下需求将基于企业管理服务提出解决方案。如需了解更多统一身份认证和企业管理的区别，请参见：统一身份认证和企业管理的区别。 针对需求2：A公司需要配合使用企业管理服务和统一身份认证服务，在统一身份认证服务中创建用户组、为每个员工创建IAM用户并加入用户组，再将用户组添加至需求1创建的企业项目，并按照表1为各企业项目中的用户组授予相应的资源使用权限。 图1 A公司人员配置模型 表1 A公司各用户组权限配置模型 用户组 职责 所需权限 描述 财务组 负责管理项目费用的使用情况。 Enterprise Project BSS FullAccess 企业项目费用的管理权限。 开发组 负责使用资源进行项目开发。 ECS FullAccess 弹性云服务器（ECS）的所有执行权限。 OBS FullAccess 对象存储服务（OBS）的所有执行权限。 ELB FullAccess 弹性负载均衡（ELB）的所有执行权限。 安全维护组 负责项目的安全运维。 ECS CommonOperations 弹性云服务器（ECS）的普通操作权限。 CAD Administrator DDoS高防服务（AAD）的所有执行权限。 运营组 负责所有项目的总体运营。 EPS FullAccess 企业管理服务的所有执行权限，包括修改、启用、停用、查看企业项目。 如需了解华为云所有云服务的系统权限，请参见：系统权限。

企业需求 需求1：A公司需要同时在“华北-北京四”和“华东-上海一”多地域购买多种资源，A公司希望将资源按需分配给两个项目团队，某些服务可实现指定资源的分配，例如某一台ECS服务器只分配给指定IAM用户使用，且两个项目中的资源相互隔离。 需求2：每个项目团队的成员只能访问其所在项目团队的资源，且仅拥有能够完成工作的资源使用最小权限。 需求3：A公司希望两个项目团队能够独立核算成本，项目费用一目了然。

按自定义时间范围查看监控指标 监控指标可快捷选择显示“近1小时”、“近3小时”、“近12小时”、“近24小时”、“近7天”的数据，如果您想要看近2小时或者某自定义时间范围的指标时可以使用拖动选择自定义时间范围功能。 按自定义时间范围查看监控指标详情：单击监控视图详情右侧的第一个图标，如图3所示。拖动选择所查看的时间范围，系统自动展示所选时间范围内的监控数据。 图3 自定义时间范围 退出自定义时间范围监控指标详情：单击监控视图详情右侧的第二个图标，如图4所示，系统会重置选择的时间范围。 图4 退出自定义时间范围

选择监控对象查看监控指标 为了对比各资源的某项监控指标，您可以将多个资源的监控指标集中到一个监控视图中。但是当资源较多时，如只想对比其中的部分资源的指标数据，那么可以使用选择监控对象功能。 选择监控对象：默认按照资源名称选择监控对象，如图5所示。也可以按照资源ID、指标名称、资源类型来选择监控对象。系统自动显示您选择的监控对象数据，其他监控数据则会隐藏起来。 图5 选择监控对象 清空监控对象：单击监控视图搜索框的“”来清空选择的监控对象。 图6 清空监控对象

前提条件 已安装GPU驱动，未安装lspci工具的云服务器影响GPU掉卡事件的上报。 如果您的弹性云服务器未安装GPU驱动，请参见GPU驱动概述安装GPU驱动。 安装GPU驱动需使用默认路径。 GPU驱动安装完后，需重启GPU加速型实例，否则可能导致采集GPU指标及上报GPU事件失败。 GPU驱动正常安装后，最多10分钟将在控制台看到采集到的GPU指标数据。 已安装lspci工具，未安装lspci工具的云服务器不支持采集GPU指标数据及上报事件。 安装lspci工具的方法，请参见安装lspci工具。 确保云服务器的安装目录都有读写权限，并且安装成功后的Telescope进程不会被其他软件关闭。

安装lspci工具 登录弹性云服务器。 更新镜像源，获取安装依赖。 wget http://mirrors.myhuaweicloud.com/repo/mirrors_source.sh && bash mirrors_source.sh 更多内容，请参见如何使用自动化工具配置华为云镜像源(x86_64和ARM)？ 执行以下命令，安装lspci工具。 CentOS系统： yum install pciutils Ubuntu系统： apt install pciutils 执行以下命令，查看安装结果。 lspci -d 10de: 图1 安装结果 如果安装完lspci后，安装结果显示命令不存在，可通过重启云服务器来解决。

操作步骤 使用root账号，登录ECS。 执行如下命令，确认当前Agent的版本是新架构Uniagent还是老架构telescope。 if [[ -f /usr/local/uniagent/extension/install/telescope/bin/telescope ]]; then /usr/local/uniagent/extension/install/telescope/bin/telescope -v; elif [[ -f /usr/local/telescope/bin/telescope ]]; then echo "old agent"; else echo 0; fi 返回“old agent”，表示使用的是老版本Agent（telescope架构）。 返回版本号，表示使用新版本Agent（Uniagent架构）。 返回“0”，表示未安装Agent。 卸载当前版本的Agent。 如果2中返回old agent，代表当前Agent为老版本，卸载命令参见卸载Agent（老版本）。 如果2中返回版本号，代表当前Agent为新版本，卸载命令参见卸载Agent（新版本）。 安装最新版本的Agent，安装命令参见操作步骤。

告警模板简介 告警模版是指在配置云服务资源的告警规则过程中，提前将监控指标配置成告警策略模版，以便在创建不同的告警规则时进行引用。 告警模版通常应用于当用户拥有多种云服务资源时，提前将这些资源的告警策略配置到一个或多个告警模版中，在配置告警规则时直接引用。对于使用模版创建的告警规则，可直接在模版中修改告警策略，会直接生效于使用该模版创建的所有告警规则，直接提升运维创建告警规则的效率，同时更高效的管理告警规则。 您还可以在告警模板中根据需要创建自定义告警或事件模板。 父主题： 告警模板

环境准备 以Ubuntu 18.04系统和Prometheus 2.14.0版本为例。 表2 环境准备 环境条件 描述 Prometheus prometheus-2.14.0.linux-amd64 ECS操作系统 Ubuntu 18.04 ECS私网IP 192.168.0.xx 对于需要导出监控数据的账号，要求具有IAM，CES，Config，EPS服务的读权限，另外获取哪些服务的监控数据就需要有哪些服务的读权限。

创建CES账号委托 操作步骤请参考IAM服务的创建委托。 按照创建委托的方法分别创建DMS资源查询委托和CES账号委托。在创建过程中，需要将“委托的账号“参数填写正确。如图1所示。 创建CES账号的委托时，“委托名称”必须是CloudServiceAgency2CESAutoConfig，填写的“委托的账号“参数必须是“op_svc_ces “且是小写字母。 如果已经存在CloudServiceAgency2CESAutoConfig委托，则可跳过该步骤。 图1 创建委托 完成以上两个委托后，需要给委托添加授权信息。

前提条件 需要创建两个委托，并为两个委托进行相关的DMS和IAM细粒度授权。需要创建的委托如下： 委托方给被委托方创建委托账号，用途：在console页面创建数据转储获取委托方的项目列表、DMS实例列表、Topic列表使用。以下简称“DMS资源查询委托”。 委托方给CES的op_svc_ces创建委托，用途：将被委托方的指标数据转储到委托方DMS实例中，以下简称“CES账号委托”。 委托方是指拥有DMS资源的账号，被委托方是指拥有待转储的指标数据的账号。

被委托方需要的权限 被委托方如果是主账号，无需配置权限，被委托方子账号需要拥有数据转储相关的权限。 项目级权限如下： { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "ces:quotas:get", "ces:dataShareJob:get", "ces:dataShareTask:delete", "ces:dataShareJob:action", "ces:dataShareTask:list", "ces:namespaces:list", "ces:sysEventsNames:list", "ces:dataShareTask:get", "ces:dataShareTask:action", "ces:dataShareJob:list", "ces:dataShareTask:put", "ces:dataShareTask:create", "ces:dataShareJob:action", "ces:dataShareJob:delete", "ces:dataShareJob:create", "dms:instance:list", "dms:instance:get", "ces:dataShareJob:listDmsInstancesByAgency", "ces:dataShareJob:listAgencyProjects", "ces:dataShareJob:listDmsTopicsByAgency", "ces:agency:get", "ces:agency:post", "ces:namespacesDimensions:list", "mqs:instance:list", "mqs:instance:get", "ces:i18n:list" ] } ]} 此外，还需要拥有查询操作IAM委托权限（全局级权限），来保障转储任务能正常创建和运行，权限如下： { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "iam:agencies:assume", "iam:agencies:createAgency", "iam:agencies:listAgencies", "iam:permissions:grantRoleToAgency", "iam:permissions:grantRoleToAgencyOnProject", "iam:permissions:listRolesForAgency", "iam:permissions:listRolesForAgencyOnDomain", "iam:permissions:listRolesForAgencyOnProject", "iam:permissions:revokeRoleFromAgency", "iam:roles:createRole", "iam:roles:listRoles", "iam:roles:updateRole" ] } ]} 项目级权限和全局级权限创建请参考创建自定义权限策略。

DMS委托授权 委托方给被委托方授权DMS的相关细粒度权限具体操作步骤如下，委托方给CES账号委托授权DMS的细粒度权限操作步骤一致： 在统一身份认证服务页面单击委托，单击被委托方账号操作列的“授权”按钮，进入选择策略页面。 图2 授权 在选择策略页面，单击击右上角“新建策略”，进入新建策略页面。 图3 新建策略 在新建策略页面，输入策略名称，策略内容点击“云服务”在搜索框输入“分布式消息”或“DMS”，搜索出来后点击“分布式消息服务(DMS)”。 图4 选择服务 在“操作”中搜索并选择“dms:instance:get”和“dms:instance:list”。 图5 选择操作 点击下一步选中创建的策略策略名。 图6 选择策略 点击“确定”，完成被委托方账号委托的细粒授权。