华为云用户手册

安全与合规 服务 作用范围 系统权限 权限类别 权限描述 DDoS防护（Anti-DDoS、AAD） （项目级服务） 区域级项目 Anti-DDoS Administrator 角色 Anti-DDoS流量清洗的所有执行权限。 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest。 CAD Administrator DDoS高防服务 的所有执行权限。 DDoS防护（CNAD） （全局服务） 全局服务 CNAD FullAccess 策略 DDoS原生专业防护所有权限。 CNAD ReadOnlyAccess DDoS原生专业防护只读权限。 漏洞扫描服务 （VSS） （项目级服务） 区域级项目 VSS Administrator 角色 漏洞扫描 服务的所有执行权限。 主机安全服务（HSS） （项目级服务） 区域级项目 HSS Administrator 角色 企业主机安全 的所有执行权限。 HSS FullAccess 策略 企业主机安全服务所有权限。 HSS ReadOnlyAccess 企业主机安全服务的只读访问权限。 数据库安全服务（DBSS） （项目级服务） 区域级项目 DBSS System Administrator 角色 数据库安全服务的所有执行权限。 DBSS Audit Administrator 数据库安全服务的安全审计权限。 DBSS Security Administrator 数据库安全服务的安全防护权限。 DBSS FullAccess 策略 数据库安全服务所有权限。 DBSS ReadOnlyAccess 数据库安全服务只读权限，拥有该权限的用户仅能查看数据库安全服务，不具备服务配置权限。 数据加密 服务（DEW）（项目级服务） 区域级项目 KMS Administrator 角色 数据加密服务加密密钥的管理员权限。 KMS CMKFullAccess 策略 数据加密服务加密密钥所有权限。 DEW KeypairFullAccess 数据加密服务密钥对所有权限。 DEW KeypairReadOnlyAccess 数据加密服务密钥对查看权限。 CS MS FullAccess 凭据管理服务所有权限。 C SMS ReadOnlyAccess 凭据管理服务凭据只读权限。 管理检测与响应服务（MDR） （项目级服务） 区域级项目 SES Administrator 角色 管理检测与响应服务的管理员权限。 该角色有依赖，需要在同项目中勾选依赖的角色：BSS Administrator。 Web应用防火墙 （WAF） （项目级服务） 区域级项目 WAF Administrator 角色 Web应用防火墙的所有执行权限。 该角色有依赖，需要在全局项目中勾选Tenant Guest角色、在同项目中勾选Server Administrator角色。 WAF FullAccess 策略 Web应用防火墙服务的所有权限。 WAF ReadOnlyAccess Web应用防火墙服务的只读访问权限。 云防火墙 （CFW） （项目级服务） 区域级项目 CFW FullAccess 策略 云防火墙服务所有权限。 CFW ReadOnlyAccess 云防火墙服务只读权限。 SSL证书管理（SCM） （全局级服务） (SCM已合并到 云证书管理服务 CCM) 全局服务 SCM Administrator 角色 SSL证书管理服务的管理员权限，拥有服务的所有权限。 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest、Server Administrator SCMFullAccess 策略 SSL证书管理服务的所有权限。 SCMReadOnlyAccess SSL证书管理服务只读权限，拥有该权限的用户仅能查询证书信息，不具备对证书进行增删改权限。 容器安全服务 （CGS） （项目级服务） 区域级项目 CGS FullAccess 策略 容器安全 服务所有权限。 CGS ReadOnlyAccess 容器安全服务只读访问权限，拥有该权限的用户仅能查看容器安全服务。 CGS Administrator 角色 容器安全服务（CGS）管理员，拥有该服务下的所有权限。 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest。 态势感知 （SA） （全局级服务） 全局服务 SA FullAccess 策略 态势感知的所有权限。 SA ReadOnlyAccess 态势感知只读权限，拥有该权限的用户仅能查看态势感知数据，不具备态势感知配置权限。 云堡垒机 （CBH） （项目级服务） 区域级项目 CBH FullAccess 策略 云 堡垒机 实例的所有权限。 CBH ReadOnlyAccess 云堡垒机实例只读权限，拥有该权限的用户仅能查看云堡垒机服务，不具备服务配置和操作权限。 数据安全中心 （DSC） （项目级服务） 区域级项目 DSC FullAccess 策略 数据安全中心服务所有权限。 DSC ReadOnlyAccess 数据安全中心服务只读权限。 DSC DashboardReadOnlyAccess 数据安全中心服务大屏服务只读权限。 数据库和应用迁移（UGO） （项目级服务） 区域级项目 UGO FullAccess 策略 数据库和应用迁移服务所有权限。 UGO ReadOnlyAccess 数据库和应用迁移服务只读权限。 UGO CommonOperations 数据库和应用迁移服务SQL语句转换权限。

容器 服务 作用范围 系统权限 权限类别 权限描述 云容器引擎（CCE） （项目级服务） 区域级项目 CCEFullAccess 策略 云容器引擎服务集群资源的普通操作权限（包含集群创建、删除、更新等）。不包括集群（启用Kubernetes RBAC鉴权）命名空间权限以及委托授权、生成集群证书等管理员权限。 说明： IAM 用户可以在CCE控制台获取集群（启用Kubernetes RBAC鉴权）命名空间权限以及委托授权、生成集群证书等管理员权限，详情请参考：CCE权限概述。 CCEReadOnlyAccess 云容器引擎服务集群资源的普通只读权限，不包括集群（启用Kubernetes RBAC鉴权）命名空间权限。 CCE Administrator 角色 具有CCE集群及集群下所有资源（包含工作负载、服务等）的读写权限。 该角色有依赖，需要同时又拥有以下权限： 全局服务：OBS Buckets Viewer。 区域级项目（在同项目中勾选）：Tenant Guest、Server Administrator、ELB Administrator、SFS Administrator、SWR Admin、 APM FullAccess。 说明： 如果同时拥有NAT Gateway Administrator权限，则可以在集群中使用NAT网关的相关功能。 云容器实例（CCI） （项目级服务） 区域级项目 CCI FullAccess 策略 云容器实例所有权限，拥有该权限的用户可以执行云容器实例所有资源的创建、删除、查询、更新操作。 CCI ReadOnlyAccess 云容器实例只读权限，拥有该权限的用户仅能查看云容器实例资源。 CCI CommonOperations 云容器实例普通用户，拥有该权限的用户可以执行除RBAC、network和namespace子资源创建、删除、修改之外的所有操作。 CCI Administrator 角色 云容器实例管理员权限，拥有该权限的用户可以执行云容器实例所有资源的创建、删除、查询、更新操作。 容器镜像服务 （SWR） （项目级服务） 区域级项目 SWR Admin 角色 容器 镜像服务 的所有执行权限。 SWR FullAccess 策略 容器镜像服务企业版所有权限。 SWR ReadOnlyAccess 容器镜像服务企业版只读权限，可以查询制品仓库、Chart，创建临时凭证，下载制品等。 SWR OperateAccess 容器镜像服务企业版操作权限，可以查询企业版实例，操作制品仓库、组织，创建临时凭证，上传、下载制品等。 基因容器（GCS） （项目级服务） 区域级项目 GCS Administrator 角色 基因容器服务管理员。 GCS FullAccess 策略 基因容器服务的所有执行权限。 GCS ReadOnlyAccess 基因容器服务的只读权限。 GCS CommonOperations 基因容器服务的使用权限。 应用编排服务 （AOS） （项目级服务） 区域级项目 CDE Admin 角色 应用编排服务（AOS）管理员，拥有该服务下的所有权限。 CDE Developer 应用编排服务（AOS）开发者。 RF FullAccess 策略 资源编排 服务（RF）所有权限。 RF ReadOnlyAccess 资源编排服务（RF）只读权限。 RF DeployByExecutionPlanOperations 资源编排服务（RF）通过执行计划开发权限，拥有执行计划的创建、执行、读取权限和堆栈的读取权限。 华为云UCS （全局级服务） 全局服务 UCS FullAccess 策略 UCS服务管理员权限，拥有该权限的用户拥有服务的所有权限（包含制定权限策略、安全策略等）。 UCS CommonOperations UCS服务基本操作权限，拥有该权限的用户可以执行创建工作负载、流量分发等操作。 UCS CIAOperations UCS服务容器智能分析管理员权限。 UCS ReadOnlyAccess UCS服务只读权限（除容器智能分析只读权限）。

网络 服务 作用范围 系统权限 权限类别 权限描述 虚拟私有云（VPC） （项目级服务） 区域级项目 VPCFullAccess 策略 虚拟私有云的所有执行权限。 VPCReadOnlyAccess 虚拟私有云的只读权限。 VPC Administrator 角色 虚拟私有云的部分操作权限，不包括创建、修改、删除、查看安全组以及安全组规则。 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest。 Server Administrator 对弹性IP地址、安全组、端口进行任意操作。 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest。 弹性负载均衡（ELB） （项目级服务） 区域级项目 ELBFullAccess 策略 弹性负载均衡的所有执行权限。 ELBReadOnlyAccess 弹性负载均衡的只读权限。 ELB Administrator 角色 弹性负载均衡的所有执行权限。 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest。 NAT网关（NAT） （项目级服务） 区域级项目 NATFullAccess 策略 NAT网关的所有执行权限。 NATReadOnlyAccess NAT网关的只读权限。 NAT Gateway Administrator 角色 NAT网关的所有执行权限。 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest。 云专线（DC） （项目级服务） 区域级项目 Direct Connect Administrator 角色 云专线服务的所有执行权限。 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest。 DCaaS Partner 云专线服务的合作伙伴用户权限，支持为其他用户创建托管和标准连接。 DCAAS FullAccess 策略 云专线服务所有权限。 DCAAS ReadOnlyAccess 云专线服务只读权限。 虚拟专用网络 （VPN） （项目级服务） 区域级项目 VPN Administrator 角色 虚拟专用网络的管理员权限。 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest、VPC Administrator。 VPN FullAccess 策略 虚拟专用网络服务所有权限。 VPN ReadOnlyAccess 虚拟专用网络服务只读权限。 云解析服务（DNS） （项目级服务） 区域级项目 DNS Administrator 角色 云解析服务的所有执行权限。 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest、VPC Administrator。 DNS FullAccess 策略 云解析服务的所有执行权限。 DNS ReadOnlyAccess 云解析服务只读权限，拥有该权限的用户仅能查看DNS的资源。 VPC终端节点 （VPCEP） （项目级服务） 区域级项目 VPCEndpoint Administrator 角色 VPC终端节点的所有执行权限。 该角色有依赖，需要在同项目中勾选依赖的角色：Server Administrator、VPC Administrator和DNS Administrator。 云连接（CC） （全局级服务） 全局服务 Cross Connect Administrator 角色 云连接服务的管理员权限，拥有该权限的用户拥有云连接服务所有执行权限。 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest、VPC Administrator。 CC FullAccess 策略 云连接服务所有权限。 CC ReadOnlyAccess 云连接服务只读权限。 CC Network Depend QueryAccess 云连接服务依赖的只读权限。 企业路由器（ER） （项目级服务） 区域级项目 ER FullAccess 策略 企业路由器所有权限。 ER ReadOnlyAccess 企业路由器只读权限。

存储 服务 作用范围 系统权限 权限类别 权限描述 对象存储服务 （OBS） （全局级服务） 全局服务 OBSOperateAccess 策略 拥有该权限的用户可以执行OBS ReadOnlyAccess的所有操作，在此基础上还可以执行上传对象、下载对象、删除对象、获取对象ACL等对象基本操作。 OBSReadOnlyAccess 拥有该权限的用户可以执行列举桶、获取桶基本信息、获取桶元数据、列举对象的操作。 OBS Buckets Viewer 角色 拥有该权限的用户可以执行列举桶、获取桶基本信息、获取桶元数据的操作。 云硬盘（EVS） （项目级服务） 区域级项目 EVSFullAccess 策略 云硬盘的所有权限，具有云硬盘资源的创建、扩容、挂载、卸载、查询、删除等操作权限。 EVSReadOnlyAccess 云硬盘的只读权限，只有云硬盘资源的查询权限。 Server Administrator 角色 云硬盘服务的所有执行权限。 云备份（CBR） （项目级服务） 区域级项目 CBRFullAccess 策略 云备份管理员权限，拥有该权限的用户可以操作并使用所有存储库和策略。 CBRBackupsAndVaultsFullAccess 云备份普通用户权限，拥有该权限的用户可以创建、查看和删除存储库等。 CBRReadOnlyAccess 云备份只读权限，拥有该权限的用户仅能查看云备份数据。 内容分发网络（CDN） （全局级服务） 全局服务 CDNDomainReadOnlyAccess 策略 内容分发网络加速 域名 信息的只读权限。 CDNStatisticsReadOnlyAccess 内容分发网络统计信息的只读权限。 CDNLogsReadOnlyAccess 内容分发网络日志的只读权限。 CDNDomainConfigureAccess 内容分发网络加速域名的配置权限。 CDN RefreshAndPreheatAccess 内容分发网络刷新预热权限。 CDN Administrator 角色 内容分发网络的所有执行权限。 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest。 存储容灾服务（SDRS） （项目级服务） 区域级项目 SDRS Administrator 角色 存储容灾服务的所有执行权限。 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest、Server Administrator。 弹性文件服务（SFS） （项目级服务） 区域级项目 SFSFullAccess 策略 弹性文件服务的所有执行权限。 SFSReadOnlyAccess 弹性文件服务的只读权限。 SFS Turbo FullAccess 弹性文件服务SFS Turbo的所有权限。 SFS Turbo ReadOnlyAccess 弹性文件服务SFS Turbo的只读权限。 SFS Administrator 角色 弹性文件服务的所有执行权限。 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest。 云服务器备份（CSBS） （项目级服务） 区域级项目 CSBS Administrator 角色 云服务器备份的所有执行权限。 该角色有依赖，需要在同项目中勾选依赖的角色：Server Administrator。 云硬盘备份（VBS） （项目级服务） 区域级项目 VBS Administrator 角色 云硬盘备份的所有执行权限。 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest、Server Administrator。

BASE 服务 作用范围 系统权限 权限类别 权限描述 BASE 全局服务 FullAccess 策略 基于策略授权的所有服务的所有权限。 所有项目 Tenant Guest 角色 除 统一身份认证 服务外，其他所有服务的只读权限。 说明： 作用范围为全局服务，授权将对除IAM外的全局服务生效，用户将拥有OBS、CDN等全局服务的只读权限。 作用范围为所有项目，授权将对除IAM外的全局服务和所有项目（包括未来创建的项目）生效，用户将拥有除IAM外，所有项目下所有服务的只读权限。 作用范围为指定项目，授权仅对指定项目生效，用户将拥有指定项目下，ECS、BMS等所有项目级服务的只读权限。 费用中心涉及敏感信息，如需查看费用中心，则需要单独配置业务支撑系统（BSS）相关权限。 所有项目 Tenant Administrator 除统一身份认证服务外，其他所有服务的管理员权限。 说明： 作用范围为全局服务，授权将对除IAM外的全局服务生效，用户将拥有OBS、CDN等所有全局服务的管理员权限。 作用范围为所有项目，授权将对除IAM外的全局服务和所有项目（包括未来创建的项目）生效，用户将拥有除IAM外，所有项目下所有服务的管理员权限。 作用范围为指定项目，授权仅对指定项目生效，用户将拥有指定项目下，ECS、BMS等所有项目级服务的管理员权限。 全局服务 Agent Operator 切换角色并访问委托方账号中的资源。

计算 服务 作用范围 系统权限 权限类别 权限描述 弹性云服务器（ECS） （项目级服务） 区域级项目 ECSFullAccess 策略 弹性云服务器的所有执行权限。 ECSReadOnlyAccess 弹性云服务器的只读权限。 ECSCommonOperations 开机、关机、重启、查询弹性云服务器。 Server Administrator 角色 弹性云服务器的所有执行权限，该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest。 如果在操作过程中涉及其他服务资源的创建、删除、变更等，则还需要在同项目中勾选对应服务的Administrator权限。 例如：在控制台创建ECS时如需创建新的VPC，则需额外授予创建VPC的VPC Administrator权限。 裸金属服务器（BMS） （项目级服务) 区域级项目 BMSFullAccess 策略 裸金属服务器的所有执行权限。 BMSReadOnlyAccess 裸金属服务器的只读权限。 BMSCommonOperations 开机、关机、重启、查询裸金属服务器。 弹性伸缩（AS） （项目级服务） 区域级项目 AutoScalingFullAccess 策略 弹性伸缩全部资源的所有执行权限。 AutoScalingReadOnlyAccess 弹性伸缩全部资源的只读权限。 AutoScaling Administrator 角色 对弹性伸缩全部资源的所有执行权限。 该角色有依赖，需要在同项目中勾选依赖的角色：ELB Administrator、 CES Administrator、Server Administrator、Tenant Administrator。 镜像服务（IMS） （项目级服务） 区域级项目 IMSFullAccess 策略 镜像服务的所有执行权限。 IMSReadOnlyAccess 镜像服务的只读权限。 IMS Administrator 角色 镜像服务的所有执行权限。 该角色有依赖，需要勾选依赖的角色：Tenant Administrator。 Server Administrator 创建、删除、查询、修改及上传镜像，该角色有依赖，需要在同项目中勾选依赖的角色：IMS Administrator 函数工作流 （FunctionGraph） （项目级服务） 区域级项目 FunctionGraph FullAccess 策略 FunctionGraph服务的所有执行权限。 FunctionGraph ReadOnlyAccess FunctionGraph服务的只读权限。 FunctionGraph CommonOperations FunctionGraph服务的操作权限，包括查询函数和触发器以及调用函数。 FunctionGraph Administrator 角色 FunctionGraph函数工作流、触发器的管理权限。 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest。 FunctionGraph Invoker FunctionGraph函数工作流、触发器的查询权限。 云手机服务器（CPH） （项目级服务） 区域级项目 CPH Administrator 角色 云手机的所有执行权限。 CPH User 云手机的只读权限。 专属主机（DeH） （项目级服务） 区域级项目 DeH FullAccess 策略 专属主机所有执行权限。 DeH CommonOperations 专属主机基本操作权限。 DeH ReadOnlyAccess 专属主机只读权限，拥有该权限的用户仅能进行查询操作，可用于统计和调查。

RDS支持的最大IOPS是多少 华为云关系型数据库服务支持的IOPS取决于云硬盘（Elastic Volume Service，简称EVS）的IO性能，具体请参见《云硬盘产品介绍》中“磁盘类型及性能介绍”的内容。 RDS for MySQL本地SSD盘的IOPS如下： 表1 x86通用型规格对应的IOPS vCPU 内存(GB) 读IOPS 写IOPS 2 4 2000 2000 2 8 4000 4000 4 8 5000 5000 4 16 7000 7000 8 16 8000 8000 8 32 12000 12000 16 64 14000 14000 表2 独享型规格对应的IOPS vCPU 内存(GB) 读IOPS 写IOPS 4 16 4500 4500 4 32 9000 9000 8 32 9000 9000 8 64 18000 18000 16 64 18000 18000 16 128 36000 36000 32 128 36000 36000 32 256 72000 72000 64 512 144000 144000 父主题： 常见性能问题

如何提高RDS数据库的查询速度 可以参考如下建议： 如果产生了慢日志，可以通过查看慢日志来确定是否存在运行缓慢的SQL查询，以及各个查询的性能特征，从而定位查询运行缓慢的原因。查询RDS for MySQL日志，请参见查看实例慢SQL。 查看云数据库RDS实例的CPU使用率指标，协助定位问题。具体请参见通过Cloud Eye监控。 可以创建只读实例专门负责查询，减轻主实例负载，分担数据库压力。 如果是实例规格较小但负载过高，您可以提高CPU/内存规格，具体请参见变更实例的CPU和内存规格。 多表关联查询时，关联字段要加上索引。 可以指定字段或者添加where条件进行查询，避免用select*语句进行全表扫描。 父主题： 常见性能问题

个人备案材料 1. 个人备案负责人证件（必须） 个人备案对于主体负责人证件、网站或APP负责人证件的要求： 身份 证件 中国大陆居民 居民身份证。 中国港澳居民 港澳居民来往内地通行证或港澳居民居住证。 中国台湾居民 台湾居民来往大陆通行证或台湾居民居住证。 其他国际和地区居民 护照、外国人永久居留身份证。 2. 其它材料 根据各管局要求，个人备案不同备案场景可能需要准备以下部分资料用于备案申请： 材料名称 使用场景 域名证书 云南、陕西管局、广东管局：个人备案前缀不相同的域名数超5个时须提供每个域名的域名注册证书和网站建设方案书，连同主办单位有效证件复印件、接入商与网站主办者签订的接入合同复印件提供我局核验。 天津管局：个人变更为企业。 暂住证/居住证 可以异地备案的省份，证件地址非内蒙古、上海（不支持学生证备案）、浙江、广东（以及权威网站有效期限查询结果页面）、江苏、陕西（优先居住证，可学生证）、四川（需提供在四川学习、生活、工作的相关证明）、贵州、湖北、江西、福建等本地的，都需要居住证或暂住证。 网站建设方案书 江苏管局：个人网站大于等于10个网站，需要提供网站建设方案书。 上海管局：超过5个及以上，需要提供网站建设方案书。 湖南管局备案主体之前备案成功的网站个数超过1个，则需要提供网站建设方案书。 重庆管局：主体下网站数量超过5个网站，需提供每个网站的网站建设方案书及承诺书。 广东管局：个人备案前缀不相同的域名数超5个时须提供每个域名的域名注册证书和网站建设方案书，连同主办单位有效证件复印件、接入商与网站主办者签订的接入合同复印件提供我局核验。 劳动就业或收入证明 江苏管局：已满16周岁不满18周岁。 云南管局：非法人负责人未满18周岁。 重庆管局：满16周岁不满18周岁的个人申请互联网信息服务备案。 福建管局：满16周岁不满18周岁的个人备案（或者监护人身份证）。 常驻证明 宁夏、山东、吉林：居住证或当地房产证明。 工作证明盖上公章 广东管局

企业或组织备案材料 1. 主体单位证件 企业或组织备案主体单位证件要求： 单位类型 证件 政府机关 组织机构代码证书、统一社会信用代码证书。 事业单位 组织机构代码证书、事业法人证书。 企业 工商营业执照（统一社会信用代码证书）、组织机构代码证书、外国企业常驻代表机构登记证 社会团体 组织机构代码证书、社团团体法人登记证书。 民办非企业单位 组织机构代码证书、民办非企业单位登记证书、社会服务机构登记证书、民办学校办学许可证。 基金会 组织机构代码证书、基金会法人登记证书。 律师执业机构 组织机构代码证书、律师事务所执业许可证。 集体经济 农村集体经济组织登记证。 公证机构 公证机构执业证。 医疗机构 医疗机构执业许可证。 境外机构 境外机构证。 宗教团体 宗教活动场所登记证。 司法鉴定机构 司法鉴定许可证。 群众性团体组织 统一社会信用代码证书。 外国在华文化中心 外国在华文化中心登记证、外国政府旅游部门常驻代表机构批准登记证、北京市外国驻华使馆人员子女学校办学许可证。 国防机构 部队代号、军队单位对外有偿服务许可证。 仲裁机构 仲裁委员会登记证 2. 主体及网站负责人身份证件 企业或组织备案对于主体负责人证件、网站或APP负责人证件要求： 身份 证件 中国大陆居民 居民身份证。 中国港澳居民 港澳居民来往内地通行证或港澳居民居住证。 中国台湾居民 台湾居民来往大陆通行证或台湾居民居住证。 其他国际和地区居民 护照、外国人永久居留身份证。 3. 其它材料 根据各管局要求，企业或组织备案不同备案场景可能需要准备以下部分资料用于备案申请： 材料名称 使用场景 域名证书 河南（提交4个或以上的域名）、江苏、陕西（提交5个或以上的域名）、四川（提交10个或以上的域名）、湖南需提供域名证书。 前置或专项审批文件 拟从事新闻、出版、教育、医疗保健、药品和医疗器械、文化、广播电影电视节目等互联网服务，根据法律、行政法规以及国家有关规定，应经有关主管部门审核同意的，在履行备案手续时，还应向其住所所在省通信管局提交相关主管部门审核同意的文件。 主体负责人法人授权书 主体负责人填写的不是法定代表人。具体请参考FAQ主体负责人填写的不是法定代表人。 互联网信息负责人法人授权书 互联网信息负责人填写的不是法定代表人。 网站建设方案书 备案域名超过一定数量时（通常不能超过4个），需提供《网站建设方案书》。

华为云MetaStudio数字人语音驱动算法 表5 语音驱动算法 算法项 描述 算法名称 华为云MetaStudio数字人语音驱动算法 备案编号 网信算备520111252474601240061号 算法基本原理 数字人语音驱动算法是指使用深度学习将语音转换成3D数字人表情和肢体驱动数据的一种技术。 其基本情况包括： 输入数据：语音音频数据。 算法原理：通过深度学习算法，提取语音音频中的特征，并转化为表情驱动的表情基系数。 输出结果：表情基系数。 应用领域：应用于3D数字人文本和语音驱动场景，包括：短视频制作、直播和交互等。在特定场景中，可替代人快速生成视频内容，提升内容生成的效率。 算法运行机制 训练阶段输入预先获取的高质量语音及其表情基系数，通过学习获得语音特征与表情基系数的关系。 用户使用时，输入音频流或音频文件。 音频经过安全审核后，进入下一步操作，否则不返回结果。 对音频特征提取后，获取音频特征，再通过算法将音频特征转换为表情基系数。 返回结果数据。 算法应用场景 数字人语音驱动算法可用于短视频制作、直播、交互等场景。在特定场景中，可替代人快速生成视频内容，以提升内容生成的效率。 算法目的意图 通过学习语音与表情基系数的关系，实现使用语音生成视频的能力。在使用数据人形象生成视频的场景，包括短视频制作、直播、智能交互等，可快速生成不同台词的视频内容。

华为云MetaStudio数字人照片建模算法 表3 照片建模算法 算法项 描述 算法名称 华为云MetaStudio数字人照片建模算法 备案编号 网信算备520111252474601230033号 算法基本原理 数字人照片建模算法是指使用深度学习算法将已授权的人像照片信息转换为数字人3D模型的一种技术。 其基本情况包括： 输入数据：有授权的人像照片。 算法原理：使用深度学习算法，将人像照片转换为数字人3D模型。 输出结果：数字人3D模型。 应用领域：数字人照片建模算法可应用于影视制作、仿真形象生成、虚拟现实等领域，能加速数字人3D模型产业的生产效率。 算法运行机制 选择一张已授权的人像照片作为输入。 输入的人像照片经过安全过滤，判断是否通过安全筛选，若不通过则不进行数据生成和结果返回操作。 将人像照片输入至算法模型中，通过特征提取、人脸重建、素材特征匹配等进行人头重建，生成3D人头模型。 生成的人头模型通过配上默认身体素材配件，形成完整的3D数字人模型，并返回结果。 算法应用场景 数字人照片建模算法可应用于影视制作、仿真形象生成、虚拟现实等领域，能加速数字人模型产业的生产效率。 算法目的意图 使用已授权的人像照片生成3D数字人模型，应用于如下场景： 用于影视动漫制作角色初始模型的快速生成。 用于虚拟现实Avatar形象快速生成。 其他需要数字人3D形象的领域，快速提升形象生成效率。

华为云MetaStudio分身数字人驱动算法 表1 分身数字人驱动算法 算法项 描述 算法名称 华为云MetaStudio分身数字人驱动算法 备案编号 网信算备520111252474601240045号 算法基本原理 分身数字人驱动算法是指通过深度学习生成数字人驱动模型，模型生成后，输入音频来合成数字人视频的一种技术。 其基本情况包括： 输入数据：真人视频、音频。 算法原理：通过深度学习算法来学习真人视频，生成驱动该真人形象的数字人模型。通过该模型输入音频，合成数字人视频。 输出结果：数字人视频。 应用领域：分身数字人驱动算法可以应用于真人视频自动生成，包括新闻播报，课件制作等场景，以取代真人视频拍摄，提升视频内容生产效率。 算法运行机制 选择一段真人视频。 输入真人视频，经过平台专家安全审核通过，且用户授权使用后，由训练人员选取真人视频中符合要求的视频进行预处理。预处理完成后，进行深度学习训练，生成该真人形象的数字人驱动模型。 推理阶段输入一段音频。 音频输入至数字人驱动模型后，经过模型推理生成数字人形象播报视频。 数字人视频通过审核后返回给用户。 算法应用场景 分身数字人驱动算法可以应用于真人视频自动生成，包括新闻播报、课件制作等场景，以取代真人视频拍摄，提升视频内容生产效率。 算法目的意图 可以使用授权过的真人视频，在预训练模型基础上，生成真人数字人驱动模型。该模型可基于音频生成口型匹配的数字人视频，实现真人视频自动生成，包括新闻播报、课件制作等场景，以取代真人视频拍摄，提升视频内容生产效率。

华为云MetaStudio分身数字人声音制作算法 表2 声音制作算法 算法项 描述 算法名称 华为云MetaStudio分身数字人声音制作算法 备案编号 网信算备520111252474601240079号 算法基本原理 分身数字人声音制作算法是指使用深度学习算法生成数字人声音模型，再使用该模型通过输入文字生成数字人语音的一种技术。 其基本情况包括： 输入数据：真人语音音频 。 算法原理：通过深度学习算法，学习真人语音音频生成数字人声音模型，通过该模型，输入文本生成数字人语音。 输出结果：接近真人音色的数字人语音。 应用领域：分身数字人声音制作算法可以应用于数字人视频合成时的语音配音。在新闻播报、课件制作等场景模拟真人配音，提升数字内容生产效率。 算法运行机制 训练阶段： 用户上传一段真人语音音频及授权书作为输入。 音频经过人工安全审核和授权认证后，由训练人员标注用于训练的音频数据，使用深度学习算法训练生成数字人声音模型。 推理阶段： 用户上传一段文本作为输入文本内容，由系统自动审核。 输入文本使用数字人声音模型推理生成数字人语音。 算法应用场景 分身数字人声音制作算法可以应用于数字人 语音合成 。在新闻播报、课件制作等场景模拟真人配音，提升数字内容生产效率。 算法目的意图 可以通过有授权的真人语音音频，在预训练模型基础上微调生成数字人声音模型，该模型可用于基于文本合成类似真人音色的数字人语音。

华为云MetaStudio数字人视觉驱动算法 表4 视觉驱动算法 算法项 描述 算法名称 华为云MetaStudio数字人视觉驱动算法 备案编号 网信算备520111252474601240053号 算法基本原理 数字人视觉驱动算法是指使用神经网络，将视频中的人脸表情和人体姿态，转换为表情基系数及数字人骨骼驱动数据的一种技术。 其基本情况包括： 输入数据：单人表演视频。 算法原理：通过深度学习算法识别人脸表情和人体姿态，转换为表情基系数及数字人骨骼驱动数据。 输出结果：表情基系数、数字人骨骼驱动数据。 应用领域：应用于影视制作、虚拟人姿态控制等场景，加速影视制作的动画生成效率，提升虚拟人控制体验。 算法运行机制 输入为单人表演视频。 通过视频抽帧得到单张图片。经过安全过滤，判断是否通过安全筛选，若不通过则不进行数据生成和结果返回操作。 将视频图片输入至算法模型中，将视频图像分割为面部、手部和身体三个区域。 使用深度学习算法，识别面部区域转化为面部表情，识别手部区域转化为手部骨骼驱动数据，识别身体转化为人体骨骼驱动数据。 对算法输出系数进行平滑处理及异常数据过滤，返回结果。 算法应用场景 数字人视觉驱动算法可用于影视制作、虚拟人姿态控制等场景，加速影视制作的动画生成效率，提升虚拟人控制体验。 算法目的意图 视频驱动数字人动作，实现影视制作动画快速生成。 虚拟现实Avatar形象姿态控制。 其他需要通过表演者驱动数字人动作表情的领域，以提升形象动画生产效率。

注意事项 目前仅Windows客户端支持屏蔽周围人声。 硬件配置要求（CPU）：Intel i5 6核6线程、Intel i7 2核4线程及以上。 因在嘈杂环境下录入声纹或录入音量太低导致声纹质量欠佳时，可能在发言过程中出现声音被压制的情况。若出现此问题，建议先关闭屏蔽周围人声功能，并在安静环境下提高音量重新录入声纹后使用。 屏蔽周围人声目前仅支持耳机，包含市面上主流的USB耳机、3.5mm耳机和蓝牙耳机。 查看自己的耳机是否支持屏蔽周围人声可参考哪些耳机支持屏蔽周围人声。 开启屏蔽周围人声之前需录入并解析声纹信息，声纹录入方式可选择会前录入声纹、会中通话无感录入声纹、会中朗读录入声纹。 因感冒、耳机收音异常等原因导致音色变化大、声纹相似度低的情况下，不建议使用屏蔽周围人声。如需使用，建议重新录入声纹。

会中通话无感录入声纹 入会后单击会中界面左上角的“屏蔽周围人声”，如图4所示。 图4 屏蔽周围人声 根据提示阅读功能声明并单击“同意”。 会中发言时将自动解析声纹信息，如图5所示。 仅支持录入一个人的声纹，声纹信息与录音设备关联，如果您更换麦克风，需要重新录入声纹。 图5 发言时解析声纹 声纹录入并解析完成后，会中界面左上角将收到提示，可使用屏蔽周围人声功能，如图6所示。 图6 屏蔽周围人声功能已生效

系统权限 默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。IAM系统预置了各服务的常用权限，例如管理员权限、只读权限，您可以直接使用这些系统权限。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。 如表1所示，包括了费用中心、账号中心的所有系统权限。 表1 系统权限 策略名称 描述 类别 BSS Administrator 费用中心（BSS）管理员，拥有该服务下的所有权限。 系统角色 BSS ReadonlyAccess 费用中心、成本中心、消息中心的只读权限。 系统策略 BSS FinanceAccess 费用中心（BSS）财务管理员，拥有财务操作相关的所有权限。 系统策略 表2列出了费用中心、账号中心常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表2 费用中心常用操作与系统权限的关系 功能 BSS Administrator BSS ReadonlyAccess BSS FinanceAccess 修改密码、实名认证、应用行业、联系信息、首选项、合作伙伴等 √ × × 查看账户信息 √ √ √ 充值、提现、欠费还款等 √ × √ 查看订单信息 √ √ √ 订单支付 √ × √ 下单、取消订单、修改收货地址 √ × √ 查看续费管理信息 √ × √ 续费、设置自动续费、设置到期策略、按需转包年/包月、释放资源 √ × √ 查看可退订资源，退订资源，取消发货，硬件退换货 √ × × 查看开票记录，发票详情 √ × × 导出发票信息，下载发票 √ × × 申请发票、查看信息 √ × √ 修改合同商务信息 √ × √ 查看优惠券、现金券、代金券 √ √ √ 查看折扣、价格信息 √ × × 查看消费明细、资源消费、账单分析、付款历史记录 √ √ √ 导出消费明细、资源消费、账单分析、付款历史记录 √ × √

准备工作 在执行操作前，需要提前完成如下准备工作，以满足操作的环境要求。 已申请公测 已购买AppStage的开发中心、运维中心、运行时引擎 已关联组织 已配置AppStage各中心服务授权 已添加组织的部门/成员信息 已录入产品/服务/微服务信息 AppStage租户需要在华为云上购买一个OBS桶并配置桶名（用于存放编译构建的产物），具体操作方法请参见创建桶。 父主题： 一站式应用开发、应用托管以及应用运维

入门实践 当您购买并连接到DDM逻辑库后，可以根据自身的业务需求使用DDM提供的一系列常用实践。 表1 常用实践 场景 案例 描述 SQL语法 SQL使用规范 本实践主要介绍DDM中常见SQL的使用规范。 DDL语法 本实践主要介绍DDM中常见的DDL语法，如建库，建表，修改表结构等。 DML语法 本实践主要介绍DDM中常见的DML语法，如INSERT、REPLACE、DELETE、UPDATE、SELECT等。 分片变更 如何进行分片变更 本实践主要介绍分片变更原理以及如何进行分片变更的操作流程。 分库分表 通过DDM对RDS for MySQ L实例 进行分库分表 本实践主要介绍通过DDM对已有RDS for MySQL实例进行分库分表的操作流程。 数据迁移 数据中心自建MySQL迁移到DDM 企业当前使用数据中心自建MySQL，希望能使用DDM将数据进行分布式存储。 本实践主要介绍将数据中心自建MySQL数据库中数据迁移到DDM的操作流程。 其他云MySQL迁移到DDM 企业当前使用其他云MySQL实例，希望能使用华为云DDM将数据进行分布式存储。 本实践主要介绍将其他云MySQL数据库中数据迁移到DDM的操作流程。 华为云上自建MySQL迁移到DDM 企业在华为云上自建MySQL数据库，希望能使用DDM将数据进行分布式存储。 本实践主要介绍将华为云上自建MySQL数据库中数据迁移到DDM的操作流程。 从华为云RDS for MySQL迁移到DDM 本实践主要介绍通过 数据复制服务 （DRS）将RDS for MySQL数据迁移到DDM的操作流程。 数据从DDM实例导出 本实践主要介绍将DDM实例的数据导出成SQL文本文件的操作流程。 其他异构数据库迁移到DDM 本实践主要介绍其他异构数据库，如Oracle、PostgreSQL、SQL Server等数据迁移至DDM的操作流程。 如何将单RDS数据整库迁移至DDM 本实践主要介绍将RDS for MySQL实例中的数据库迁移到DDM实例非拆分库的操作流程。 如何将Mycat数据整库迁移至DDM 本实践主要介绍将Mycat中的数据整库迁移到DDM的操作流程。 备份恢复 自动备份 DDM实例暂不支持客户手动备份，实例将在每日凌晨2点至3点自动备份。 备份恢复到新实例 恢复到新实例主要是指DDM实例和数据节点的整体恢复，包含了数据节点的恢复流程，需要预置新的DDM和数据节点。 Metadata恢复 Metadata恢复主要侧重于元数据恢复，是基于已经PITR恢复完成的数据节点进行的DDM恢复，只需预置新的DDM实例。

步骤三：创建DDM账号并关联RDS for MySQL实例 登录 分布式数据库 中间件控制台。 在实例管理列表页面，单击目标实例名称，进入基本信息页面。 在左侧导航栏选择“账号管理”，进入账号管理页面。 在账号管理页面，单击“创建DDM账号”。 在弹框中填选账号信息后单击“确定”。 密码有效期：取值范围为0-65535的整数，单位为天。0表示密码永不过期。如果不设置密码有效期则默认密码永不过期。 在实例管理列表页面，单击目标实例操作栏“创建逻辑库”。 在“创建逻辑库”页面，填选相关参数后单击“下一步”。 在数据节点可用性检测页面，输入关联数据节点的账号及密码，单击“测试”。 图7 数据节点可用性检测 测试通过后，单击“完成”。 查看已关联的RDS for MySQL实例。 图8 成功关联实例

步骤二：购买RDS for MySQL实例 进入购买云数据库RDS页面。 填选实例信息后单击“立即购买”。 仅支持5.7、8.0版本的RDS for MySQL实例与DDM实例进行关联。 RDS for MySQL实例的虚拟私有云（VPC）和子网必须和DDM实例保持一致。如果子网不一致，需要额外配置路由以确保网络互通。 RDS for MySQL实例的规格建议不小于DDM的规格，否则会影响性能。 图3 选择引擎版本 图4 选择规格 图5 选择网络 确认配置信息，单击“提交”。等待1-3分钟实例即可创建成功。 查看购买成功的RDS实例。 图6 购买成功

步骤三：创建DDM账号并关联RDS for MySQL实例 登录分布式数据库中间件控制台。 在实例管理列表页面，单击目标实例名称，进入基本信息页面。 在左侧导航栏选择“账号管理”，进入账号管理页面。 在账号管理页面，单击“创建DDM账号”。 在弹框中填选账号信息后单击“确定”。 密码有效期：取值范围为0-65535的整数，单位为天。0表示密码永不过期。如果不设置密码有效期则默认密码永不过期。 在实例管理列表页面，单击目标实例操作栏“创建逻辑库”。 在“创建逻辑库”页面，填选相关参数后单击“下一步”。 在数据节点可用性检测页面，输入关联数据节点的账号及密码，单击“测试”。 图7 数据节点可用性检测 测试通过后，单击“完成”。 查看已关联的RDS for MySQL实例。 图8 成功关联实例

步骤二：购买RDS for MySQL实例 进入购买云数据库RDS页面。 填选实例信息后单击“立即购买”。 仅支持5.7、8.0版本的RDS for MySQL实例与DDM实例进行关联。 RDS for MySQL实例的虚拟私有云（VPC）和子网必须和DDM实例保持一致。如果子网不一致，需要额外配置路由以确保网络互通。 RDS for MySQL实例的规格建议不小于DDM的规格，否则会影响性能。 图3 选择引擎版本 图4 选择规格 图5 选择网络 确认配置信息，单击“提交”。等待1-3分钟实例即可创建成功。 查看购买成功的RDS实例。 图6 购买成功

步骤四：购买ECS 进入购买弹性云服务器页面。 配置基础信息后，单击“下一步：网络配置”。ECS与待连接的DDM实例的区域及可用区需要一致。 镜像包含了操作系统和应用程序的模板。本示例中选择Linux操作系统的“公共镜像”，公共镜像是华为云默认提供的镜像。 图9 基础配置 图10 选择镜像 配置网络信息后，单击“下一步：高级配置”。 由于需要在ECS下载MySQL客户端，因此需要为ECS绑定弹性公网IP（EIP），并且选择与DDM实例相同的VPC，便于DDM和ECS网络互通。 图11 网络配置 图12 选择弹性公网IP 配置密码等信息后，单击“下一步：确认配置”。 图13 高级配置 确认配置信息后，单击“立即购买”。 图14 确认配置 查看购买成功的ECS。

步骤五：连接DDM逻辑库 测试连通性并安装MySQL-Front。 登录ECS实例，请参见《弹性云服务器用户指南》中“Windows弹性云服务器管理控制台远程登录（VNC方式）”。 登录分布式数据库中间件控制台。 在分布式数据库中间件实例列表中单击DDM实例名称，进入实例基本信息页。 在“网络信息”模块获取内网地址和DDM服务端口。 图15 连接地址 在ECS上打开cmd命令窗，测试是否可以正常连接DDM内网地址的端口。 telnet 192.*.*.* 5066 如果可以通信，说明网络正常。 如果无法通信，请检查安全组规则。 查看ECS的安全组的出方向规则，如果目的地址不为“0.0.0.0/0”且协议端口不为“全部”，需要将DDM实例的内网IP地址和端口添加到出方向规则。 图16 ECS的安全组 查看DDM的安全组的入方向规则，需要将ECS实例的私有IP地址和端口添加到入方向规则。 在ECS上打开浏览器，下载并安装MySQL-Front工具（以5.4版本为例）。 图17 选择位置 图18 选择开始菜单 图19 选择附加任务 图20 完成 使用MySQL-Front连接DDM逻辑库。 启动MySQL-Front客户端。 在连接管理对话框中，单击“新建”。 图21 连接管理 输入需要连接的DDM逻辑库信息，单击“确定”。 图22 添加信息 表1 参数说明 参数 说明 名称 连接数据库的任务名称。若不填写，系统默认与Host一致。 主机 在DDM逻辑库的内网地址。 端口 在DDM逻辑库的端口，设置为5066。 用户 要访问DDM实例的账号名称。默认root。 密码 要访问DDM实例的账号所对应的密码。 在“连接管理”窗口，选中2.c创建的连接，单击“打开”，如下图所示。若连接信息无误，即会成功连接实例。 图23 打开登录信息

步骤四：购买ECS 进入购买弹性云服务器页面。 配置基础信息后，单击“下一步：网络配置”。ECS与待连接的DDM实例的区域及可用区一致。 镜像包含了操作系统和应用程序的模板。本示例中选择Windows操作系统，该镜像来自于云市场，由第三方提供。 图9 基础配置 图10 选择镜像 配置网络信息后，单击“下一步：高级配置”。 由于需要在ECS下载MySQL客户端，因此需要为ECS绑定弹性公网IP（EIP），并且选择与DDM实例相同的VPC，便于DDM和ECS网络互通。 图11 网络配置 图12 选择弹性公网IP 配置密码等信息后，单击“下一步：确认配置”。 图13 高级配置 确认配置信息后，单击“立即购买”。 图14 确认配置 查看购买成功的ECS。 确认ECS实例与RDS for MySQL实例是否处于同一区域、同一VPC内。 是，执行步骤五：连接DDM逻辑库。 如果不在同一区域，请重新购买实例。不同区域的云服务之间内网互不相通，无法访问实例。请就近选择靠近您业务的区域，可减少网络时延，提高访问速度。 如果不在同一VPC，可以修改ECS的VPC，请参见切换虚拟私有云。

步骤三：创建DDM账号并关联RDS for MySQL实例 登录分布式数据库中间件控制台。 在实例管理列表页面，单击目标实例名称，进入基本信息页面。 在左侧导航栏选择“账号管理”，进入账号管理页面。 在账号管理页面，单击“创建DDM账号”。 在弹框中填选账号信息后单击“确定”。 密码有效期：取值范围为0-65535的整数，单位为天。0表示密码永不过期。如果不设置密码有效期则默认密码永不过期。 在实例管理列表页面，单击目标实例操作栏“创建逻辑库”。 在“创建逻辑库”页面，填选相关参数后单击“下一步”。 在数据节点可用性检测页面，输入关联数据节点的账号及密码，单击“测试”。 图7 数据节点可用性检测 测试通过后，单击“完成”。 查看已关联的RDS for MySQL实例。 图8 成功关联实例

步骤二：购买RDS for MySQL实例 进入购买云数据库RDS页面。 填选实例信息后单击“立即购买”。 仅支持5.7、8.0版本的RDS for MySQL实例与DDM实例进行关联。 RDS for MySQL实例的虚拟私有云（VPC）和子网必须和DDM实例保持一致。如果子网不一致，需要额外配置路由以确保网络互通。 RDS for MySQL实例的规格建议不小于DDM的规格，否则会影响性能。 图3 选择引擎版本 图4 选择规格 图5 选择网络 确认配置信息，单击“提交”。等待1-3分钟实例即可创建成功。 查看购买成功的RDS实例。 图6 购买成功

响应参数 状态码为 200 时： 表3 响应Body参数 参数 参数类型 描述 roles Array of objects 角色列表。 表4 roles 参数 参数类型 描述 catalog String 权限所在目录。 display_name String 权限展示名称。 description String 权限的英文描述信息。 description_cn String 权限的中文描述信息。 domain_id String 权限所属账号ID。 flag String 该参数值为fine_grained时，标识此权限为系统内置的策略。 id String 权限ID。 name String 权限名称。 policy object 权限具体内容。 type String 权限的显示模式。 说明： AX表示在domain层显示。 XA表示在project层显示。 AA表示在domain和project层均显示。 XX表示在domain和project层均不显示。 自定义策略的显示模式只能为AX或者XA，不能在domain层和project层都显示（AA），或者在domain层和project层都不显示（XX）。 表5 roles.policy 参数 参数类型 描述 Depends Array of objects 该权限所依赖的权限。 Statement Array of objects 授权语句，描述权限的具体内容。 Version String 权限版本号。 说明： 1.0：系统预置的角色。以服务为粒度，提供有限的服务相关角色用于授权。 1.1：策略。IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。 表6 roles.policy.Depends 参数 参数类型 描述 catalog String 权限所在目录。 display_name String 权限展示名。 表7 roles.policy.Statement 参数 参数类型 描述 Action Array of strings 授权项，指对资源的具体操作权限。支持的授权项请参考各云服务《API参考》中“权限和授权项”章节。 说明： 格式为：服务名:资源类型:操作，例：vpc:ports:create。 服务名为产品名称，例如ecs、evs和vpc等，服务名仅支持小写。资源类型和操作没有大小写，要求支持通配符号*，无需罗列全部授权项。 当自定义策略为委托自定义策略时，该字段值为： "Action": ["iam:agencies:assume"]。 Effect String 作用。包含两种：允许（Allow）和拒绝（Deny），既有Allow又有Deny的授权语句时，遵循Deny优先的原则。 枚举值： Allow Deny Condition Object 限制条件。了解更多相关参数，请参考：配置自定义策略。 说明： 以请求示例中的Condition为例：条件键（obs:prefix）和字符串（public）需相等（StringEquals）。 "Condition": { "StringEquals": { "obs:prefix": [ "public" ] } } Resource Object 资源。规则如下： 说明： 可填 * 的五段式：::::，例："obs:::bucket:*"。 region字段为*或用户可访问的region。service必须存在且resource属于对应service。 当该自定义策略为委托自定义策略时，该字段类型为Object，值为："Resource": {"uri": ["/iam/agencies/07805acaba800fdd4fbdc00b8f888c7c"]}。