云应用引擎（Cloud Application Engine，以下简称CAE）是如何做到免运维开的？

云应用引擎CAE是基于Serverless PaaS提供应用极简托管的PaaS平台，帮助用户免运维IaaS，按需使用，按量计费，实现低门槛微服务应用上云，有效解决成本及效率问题。真正做到把复杂交给云应用引擎CAE，把简单留给用户。

云应用引擎CAE支持从源代码、软件包或容器镜像分钟级快速部署；

云应用引擎CAE支持java/Node.js/Tomcat等主流语言和多种运行时，支持web、微服务、APIs等类型应用无缝托管；

云应用引擎CAE可以实现基于资源或自定义业务指标的自动弹性伸缩，以应对不可预期的用户访问流量，并且按需收费；

云应用引擎CAE提供标准化可插拔运行时，让用户更加专注于应用业务开发；

云应用引擎CAE内置应用治理能力，实现规模户应用的自愈与快速恢复。

云应用引擎CAE的计费说明，包括计费项、计费模式、计费样例等。

计费项

云应用引擎CAE根据您部署的实例规格，针对其CPU、内存、流量三部分资源使用情况进行计费：

vCPU：根据所购买实例的vCPU规格，实例数量以及购买时长计费。

内存：根据所购买实例的内存规格，实例数量以及购买时长计费。

流量：根据实际流量使用量计费

计费模式

云应用引擎CAE提供按需计费、套餐包（有效期可按月/季度/年）两种计费模式供您选择。

按需计费：按实际使用的时长计费，以分钟为单位，每小时整点结算，不设最低消费标准。

套餐包：有效期支持选择一个月、一季度或一年，到期后剩余流量将无法使用。

费用一次性支付，即刻生效，不支持指定日期生效，不支持续订及退订。

说明：当超出当前套餐包的额度或使用时段后，超出部分以按需付费的方式进行结算。

用户可重复购买资源包，当存在多个资源包时，优先从过期时间早的资源包中扣除。

如果您需要对CAE的资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制云资源的访问。

通过IAM，您可以在公有云帐号中给员工创建IAM用户，并使用策略来控制员工对云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望该员工拥有CAE的使用权限，但是不希望拥有删除等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用CAE，但是不允许删除的权限策略，控制该员工对CAE资源的使用范围。

如果公有云帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用CAE服务的其它功能。

IAM是公有云提供权限管理的基础服务，无需付费即可使用，您只需要为您帐号中的资源进行付费。关于IAM的详细介绍，请参见《IAM产品介绍》。

CAE权限

默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略，才能使得用户组中的用户获得策略定义的权限，这一过程称为授权。授权后，用户就可以基于策略对云服务进行操作。

CAE资源通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如华东-上海一）对应的项目（cn-east-3）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问CAE时，需要先切换至授权区域。

根据授权精细程度分为角色和策略。

角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。

策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。

免运维开发云应用引擎CAE系统权限说明