华为云用户手册

直播间界面 视频直播制作界面如图2所示。各区域详细说明，如表1所示。 图2 视频直播制作界面 表1 界面说明 区域 说明 ① 设置视频直播的场景，包括如下内容： 模板：视频直播模板，“模板”页签仅管理员可见。 角色：数字人形象列表，可选择需要使用的数字人形象。 背景：背景图片列表，可本地导入图片。可选择需要使用的背景图。 贴图：各类贴图列表，可本地导入素材。支持在当前画面基础上，增加贴图，丰富视频画面。 视频：无声音视频素材列表，可本地导入视频文件，目前仅支持MP4格式的视频文件。支持添加为背景视频。 商品：商品列表，一个商品可以同时包含贴图、视频、文本和音频内容。 文本：文本模板列表，可选择一个文本模板，在视频直播画面上添加文本。 ② 视频直播画面，可以预览视频直播的效果。 ③ 如果直播包含多个背景或数字人形象，可以通过服务定义的场景来依次制作。 默认只有场景1，可以通过单击下方的图标“+”来增加多个场景。每个场景都需要设置对应的数字人形象、背景、声音等内容。 当前区域包含如下3个页签： 剧本驱动 包含下述三种方式： 文本驱动：需要输入文本，通过文本驱动数字人说话。 音频驱动：需要上传音频，通过音频驱动数字人说话。 即兴直播：无需设置剧本，直接开播。开播后数字人是不说话的，需要发送互动内容，或者开启真人接管，驱动数字人说话。 互动设置：支持弹幕、用户入场 、点赞和送礼设置。 直播配置：支持开播设置、输出设置、风控设置和更多设置。 ④ 左侧为当前视频直播的名称，支持自定义设置。 中间区域，从左往右依次为操作回退图标、操作恢复图标和屏幕布局，默认为“16:9”。 右侧依次为下述内容： ：直播间保存图标，右侧展示最近一次保存的时间。 清空：单击“清空”，可以一次性清空直播间所有内容。

视频直播首页面 分身视频直播首页面，如图1所示。各个页签的说明，如下所示： 直播管理：使用数字人创建直播间。操作请参考视频直播。 互动管理：支持新增互动库，及其相应的互动规则。互动库可以直接在直播间中导入使用。操作请参考互动管理。 商品管理：支持新增商品。商品会自动展示在直播间的“商品”页签中，供直播间添加使用。操作请参考商品管理。 直播任务管理：用户创建的直播间列表。支持通过直播间任务进入直播间，修改直播间内容后，重新开播。操作请参考直播任务管理。 图1 首页面

视频制作界面说明 用户启动制作视频时，可以先了解下视频制作界面详情。 视频制作界面如图1所示。各区域详细说明，如表1所示。 用户使用数字人形象创作的视频，都会自动保存在MetaStudio控制台首页“最近项目”区域的“我的视频”页签中。用户可以根据实际情况，进行二次创作。 图1 视频制作界面 表1 界面说明 序号 区域名称 说明 1 视频素材区域 设置视频的场景，包括如下内容： 模板：系统预置视频模板列表。支持基于系统预置模板，一键快速制作数字人视频。 注意：只有管理员可以自定义新增模板。 角色：自动展示系统预置的分身数字人列表，用户可以直接使用已有的数字人去创作生成视频。如果预置的数字人不满足用户需求，单击“定制数字人”，可以定制自己需要的数字人形象。 背景：背景图片列表，可本地导入图片。支持更换背景图。 PPT：PPT文件列表，需要用户从本地导入后使用。 贴图：各类贴图列表，可本地导入素材。支持在当前画面基础上，增加贴图，丰富视频画面。 视频：各类无声音视频列表，可本地导入视频文件。支持添加为背景视频。 音乐：各类音乐列表，可本地导入音频文件。支持添加为背景音乐。 文本：用于在画布中添加文本。 2 画面布局区域 画布区域，可以预览视频制作的效果。 3 音频制作区域 视频的音频制作区域，支持选择下述1种方式生成音频。 文本驱动：通过输入文本的方式生成音频。文本支持插入停顿、调整语速，如果是多音字可选择正确的发音，还可以选择不同的声音，试听生成的音频效果。如果选择“文本驱动”的方式，支持开启字幕展示功能。 音频驱动：从本地上传音频文件，作为视频的语音。如果使用音频驱动，暂不支持生成字幕。 还可以设置音频的音量，和调整画布的横竖屏展示。 4 视频场景区域 如果一个视频包含多场景，可以通过服务定义的场景依次制作，顺序播放。 5 文件设置区域 从左往右依次为： 单击文件名称右侧的图标，可自定义视频草稿的名称。 单击图标，保存视频制作任务。 单击图标，弹出“视频制作任务中心”对话框，可以看到视频制作任务列表，及当前任务的合成进展。 单击“合成视频”，合成数字人视频。 父主题： 视频制作

方式一：在AppStage官网页申请公测 进入AppStage官网页。 单击“申请公测”。 填写公测申请表单。 在“申请公测”页面填写公测申请表，勾选“同意《公测试用服务协议》”，并单击“申请公测”提交申请。 提交成功。 系统提示已提交公测申请成功，预计5个工作日以内完成审核，请您耐心等待。 审批成功。 系统后台审批通过之后，会通过邮件（如果在申请表中填写了邮箱地址）或短消息的方式通知您。 在“我的公测”页面单击“前往控制台”，或者在AppStage官网页，单击“控制台”，进入服务控制台使用AppStage。

用户类型 AppStage分为两种用户类型，组织管理员（租户开通者）和企业成员，具体如表1所示。 表1 用户类型 用户类型 用户在AppStage被授予角色说明 角色对应的权限说明 组织管理员（租户开通者） 购买AppStage的华为云主账号默认为组织管理员。 作为当前应用平台云服务的开通者，除具有应用平台内套餐的订购权限外，具备当前租户下AppStage业务控制台全部的操作权限，如系统级功能的维护，如公告、应用基础信息（产品、服务、微服务）等。 可审批所有角色的申请。 企业成员 租户管理员在AppStage中添加的成员，具体请参见添加成员。 成员添加后不具备任何角色权限，需要自行申请权限，申请权限的操作请参见申请权限，可申请的角色名称请参见内置企业成员角色和权限。 角色对应的权限，请参见内置企业成员角色和权限。

内置企业成员角色和权限 AppStage内置的企业成员角色和权限如内置企业成员角色和权限所示。 表2 内置成员岗位/角色 子系统 岗位/角色 级别 岗位/角色描述 可管理的下级岗位/角色 申请加入时审批者岗位/角色 应用平台系统级 组织管理员（非租户开通者） 系统级 具备AppStage业务控制台全部的操作权限，如系统级功能的维护，如公告、应用基础信息（产品、服务、微服务）等。 开发中心所有角色 运维中心所有的岗位/角色 应用运行时引擎所有的岗位/角色 运营中心所有的角色 组织管理员（租户开通者） AI原生应用引擎 AI原生应用引擎管理员 服务级 AI原生应用引擎管理员角色，具备查看AI原生应用引擎概览数据，能够进行模型、数据、提示语的使用操作，并具备创建访问密钥的权限。 AI原生应用引擎开发者 AI原生应用引擎浏览者 组织管理员 AI原生应用引擎开发者 服务级 AI原生应用引擎开发者角色，具备查看AI原生应用引擎概览数据，能够进行模型、数据、提示语的使用操作。 无 组织管理员 AI原生应用引擎管理员 AI原生应用引擎浏览者 服务级 AI原生应用引擎浏览者角色，仅具备查看AI原生应用引擎概览数据，模型、数据、提示语的体验功能。 无 组织管理员 AI原生应用引擎管理员 开发中心 项目经理 服务级 服务级的管理员角色，可查看所在服务在开发中心中的所有内容，以及所有的操作。 开发人员 测试人员 浏览者 组织管理员 开发人员 服务级 服务级的开发人员角色，可查看所在服务在开发中心中的所有内容，以及开发涉及的操作。 无 组织管理员 所在服务的项目经理 测试人员 服务级 服务级的测试人员角色，可查看所在服务在开发中心中的所有内容，以及测试涉及的操作。 浏览者 服务级 服务级的浏览者角色，可查看所在服务在开发中心中的所有内容，不可操作。 运维中心 运行时引擎 安全运维代表角色 专项角色 安全运维代表作为安全领域审批人，对申请人申请权限或提交操作电子流的合理性和必要性进行审核，允许SRE申请。 服务敏感数据研发管理岗位 组织管理员 数据库DBA角色 专项角色 限数据库管理员申请，数据库DBA角色横向拉通一个租户组的数据库管理。具有以下权限： 编辑和查看数据库治理（WiseDBA）的配置，数据库治理的管理操作权限。 数据库应用root登录权限。 数据库治理（WiseDBA）使用的公有云数据库服务的操作权限。 弹性网络服务（ERS）、主机管理服务（VMS）的只读权限。 查看数据库治理（WiseDBA）的监控大盘和业务报表、调用链、日志检索、告警和事件（含处理权限），原始日志的即席查询。 无 组织管理员 基础运维角色 专项角色 适用于组织层级的运维人员申请，主要用于横向拉通一个组织内不同租户、产品、服务的基础资源管理，包括主机管理、网络管理等。 无 组织管理员 运维监控中心角色 专项角色 仅限7x24小时运维监控室人员（SRE）申请，具有横向拉通一个租户组的运维告警/监控大盘/日志的查看处置权限。具有以下权限： 查看服务的配置。 控制台的只读权限，包括部署服务、EAP、演练服务（WiseChaos）、弹性网络服务（ERS）、主机管理服务（VMS）的只读权限。 查看服务的监控大盘和业务报表、调用链、日志检索、告警和事件（含处理权限），原始日志的即席查询。 无 组织管理员 产品研发代表岗位 产品级 产品研发代表作为研发领域审批人，对申请人申请权限或提交操作电子流的合理性和必要性进行审核，允许研发人员申请。 服务研发岗位 组织管理员 产品运维代表岗位 产品级 产品运维代表作为运维领域审批人，对申请人申请权限或提交操作电子流的合理性和必要性进行审核，允许SRE申请。 服务运维岗位 服务数据分析岗位 组织管理员 服务研发岗位 服务级 即研发人员，适合业务的研发人员申请。具有以下权限： 查看服务的配置。 部署服务控制台的只读权限。 查看服务的监控大盘和业务报表、调用链、告警和事件、日志检索，原始日志的即席查询。 无 产品研发代表岗位 组织管理员 服务运维岗位 服务级 即业务运维人员，仅允许业务SRE申请。具有以下权限： 编辑、查看SRE所负责服务的配置。 控制台操作权限，包括服务的部署和升级、EAP编排、演练服务（WiseChaos）管理，自定义报表管理，作业平台操作。 服务使用的公有云服务的操作权限。 弹性网络服务（ERS）、主机管理服务（VMS）的只读权限。 查看服务的监控大盘和业务报表、调用链、日志检索、告警和事件（含处理权限），原始日志的即席查询。 负载均衡（SLB）、部署服务、微服务平台（NUWA）、数据库治理（WiseDBA）的服务运维操作权限。 无 产品运维代表岗位 组织管理员 服务数据分析岗位 服务级 适合大数据相关业务研发人员申请。用于在数据分析平台对业务数据分析，具有以下权限： 查看服务的监控大盘和业务报表调用链、日志检索、告警和事件。 开发数据分析模型，编辑配置服务的报表。 无 产品运维代表岗位 组织管理员 服务敏感数据研发管理岗位 服务级 适合业务研发人员申请。用于服务研发人员在访问凭据管理服务（ACMS）管理台做敏感配置管理。该岗位人员具有的详细权限包括： 可在访问凭据管理服务（ACMS）管理Portal注册微服务、录入/修改敏感配置项、查看页面所有配置项信息。 说明： 如果仅是查看访问凭据管理服务（ACMS）管理Portal的敏感配置项名称等信息，仅需具备“服务研发岗位、服务运维岗位”权限即可查看，无需申请服务敏感数据研发管理岗位。 无 安全运维代表角色 组织管理员 运营中心 运营管理员 服务级 服务级运营数据管理角色，可执行数据管理，模型管理，指标管理，卡片管理，大屏管理，审计日志查看等运营管理动作。 指标开发者 指标查看者 组织管理员 指标开发者 服务级 服务级指标开发者角色，可执行数据接入，模型开发，指标开发，卡片开发，大屏管理等运营数据开发动作。 无 组织管理员 运营管理员 指标查看者 服务级 服务级运营数据查看人员角色，可查看运营中心的指标数据。

操作步骤 登录AppStage管理控制台。 在AppStage管理控制台“总览”页顶部根据提示单击“去配置”或在左侧导航栏选择“开发中心”。 在开发中心详情页“使用向导”区域的“关联CodeArts”节点，单击“去关联”，如图1所示。 图1 关联CodeArts 在“关联CodeArts”面板关联CodeArts服务，存在以下情况： 所选区域已开通CodeArts：在“关联CodeArts”对话框中“关联的CodeArts区域”下拉列表中选择需要关联的区域，如图2所示，单击“关联”，在“关联CodeArts”对话框对将要关联的区域进行二次确认，单击“确定”。 图2 所选区域已开通CodeArts 当所选区域CodeArts被冻结后，可能导致开发中心部分功能不可使用。 所选区域未开通CodeArts（包括未订购或退订CodeArts场景）：单击“前往开通”前往开通CodeArts的链接完成开通，再返回“关联CodeArts”对话框单击“CodeArts开通情况”右侧刷新CodeArts开通情况显示“已开通”，以未订购CodeArts场景如图3所示（退订CodeArts的场景与此相似），单击“关联”，在“关联CodeArts”对话框对将要关联的区域进行二次确认，单击“确定”。 图3 所选区域未开通CodeArts 所选区域的CodeArts已被冻结：需要先解冻CodeArts（可参考资源冻结）后，再返回“关联CodeArts”对话框单击“CodeArts开通情况”右侧刷新CodeArts开通情况显示“已开通”，单击“关联”，在“关联CodeArts”对话框对将要关联的区域进行二次确认，单击“确定”。

操作步骤 登录AppStage管理控制台。 在左侧导航栏选择“总览”，在页面顶部根据提示单击“去关联”或在“应用平台使用向导”区域的“关联组织”节点单击“去关联”以关联使用AppStage的组织，存在两种场景： 如果租户未开通过组织，执行如下操作： 单击“创建组织”，在“创建组织”对话框设置组织名称。 输入组织名称，并单击“下一步”。 名称由1-60个中文、英文、数字及合法字符组成。 设置组织的域名。 域名是指网址中“www.”之后的内容，如: www.example.com中的example.com即为域名；或电子邮件地址中“@”符号之后的内容，如username@example.com中的example.com即为域名。 没有域名，输入组织简称，可使用2-30位字母、数字或它们的组合，如abc，后缀名为固定的.orgid.top，如图1所示。单击“下一步”。 图1 设置组织域名 已有域名，单击“使用自有域名”，输入自有域名，例如example.com，如图2所示。单击“下一步”。 图2 使用自有域名 域名设置后管理员为组织添加成员时成员的管理式华为账号默认带有域名后缀，如设置的组织域名为abc.orgid.top，添加的成员账号为xxx@abc.orgid.top，设置的组织域名为example.com，添加的成员账号为xxx@example.com。域名设置后不可修改。 阅读“管理式华为账号”相关声明，单击“同意”。 单击“确定”。 如果租户已开通过组织，则单击“去关联”，选择租户要关联的组织。

第二步：在阿里云DataWorks添加事件分发通道 登录阿里云DataWorks控制台，在左侧导航栏选择“开放平台”，进入开发者后台页面。 在页面左上角选择区域。区域要与基础配置所选的DataWorks区域一致。 单击左侧导航栏的OpenEvent，进入OpenEvent页面。 单击“添加事件分发通道”，弹出添加事件分发通道对话框，配置要分发事件的工作空间和指定分发到EventBridge中自定义总线。 可以给一条事件总线同时配置多个工作空间，同时监听多个工作空间的增量变化。 单击“确定”，完成添加事件分发通道。 在事件分发通道列表，单击操作列的“启用”，启用该事件分发通道后，该工作空间的事件消息将会推送至EventBridge中对应的事件总线。

第一步：开通阿里云EventBridge并创建自定义事件总线 登录阿里云事件总线EventBridge控制台，在顶部菜单栏，选择区域。区域要与基础配置所选的DataWorks区域一致。 在左侧导航栏，选择“事件总线”，进入事件总线页面。 在事件总线页面的自定义事件总线区域，单击“快速创建”按钮，右侧弹出创建自定义事件总线窗口。 在总线配置向导，输入自定义事件总线名称（必填）和描述，单击“下一步”。 事件源和规则无需配置，均选择“跳过”。 在弹出的直接创建自定义事件总线对话框中单击“确定”，暂不在新创建的自定义事件总线上创建事件规则（包含目标）。 自定义总线创建完成后，在事件总线页面，找到创建的自定义总线，单击操作列的“详情”。进入总线概览页面，查看自定义总线的基础信息和接入点信息。

准备工作 建议在源端内网环境中准备一台用于安装Edge的Linux主机，并确保该Linux主机满足以下要求： 可以连接外网，并且能够访问Edge所包含的公网域名。 安全组的出方向规则中，需要包含8883端口。 操作系统为：CentOS 8.x 推荐规格不小于4U8G。如果使用大数据相关功能，推荐规格不小于8U32G。 在安装Edge的Linux主机安装rng-tools工具。 如果Linux主机是基于RPM的发行版，如CentOS或Fedora，请使用如下命令来安装rng-tools工具。 yum -y install rng-tools 如果Linux主机是基于Debian的发行版，如Ubuntu或Debian，请使用如下命令来安装rng-tools工具。 apt update apt install rng-tools -y 如果Linux主机是基于其他类型的Linux发行版，或者以上两种命令都不适用，需要您自行查找rng-tools工具的安装方法。 关闭安装Edge的Linux主机上的杀毒、防护类软件，该类软件会拦截Edge的执行，导致迁移工作流执行失败。 在安装Edge的主机安全组入网规则中，需要添加一条允许通过TCP协议访问27080端口的规则。 已注册华为帐号并开通华为云，并获取账号的AK/SK。 已在MgC控制台创建迁移项目。

安装步骤 使用在源端内网环境准备好的Linux主机，登录迁移中心管理控制台。 在左侧导航栏单击“迁移工具”，进入迁移工具页面。 在Linux区域，单击“下载安装包”或“复制下载命令”，将Edge安装程序下载到Linux主机。 执行如下命令，解压Edge安装包。 tar zxvf Edge.tar.gz 执行如下命令，进入Edge安装目录中的scripts目录。 cd Edge/scripts/ 执行如下命令，启动Edge安装脚本。 ./install.sh 输入Linux本机网卡的IP地址作为后续访问Edge页面的地址。如果输入的地址不在本机拥有的IP列表中，会提示是否开放本机所拥有的任何公网IP作为访问地址。 当出现如下图所示提示时，表示Linux版的Edge已安装完成。其中提示的端口号请以实际情况为准。 执行如下命令，更新环境变量。 source /etc/profile 安装完成后，在浏览器中访问地址“https://步骤7.输入的IP:步骤8.提示的端口号”，进入Edge用户注册页面。 例如：步骤7输入的IP为192.168.x.x，步骤8提示的端口号为27080，则Edge的访问地址为：https://192.168.x.x:27080。

AS权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 AS部署时通过物理区域划分，为项目级服务，授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如华北-北京1）对应的项目（cn-north-1）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问AS时，需要先切换至授权区域。 权限根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对AS服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分，AS支持的API授权项请参见策略及授权项说明 。 如表1所示，包括了AS的所有系统权限。 表1 AS系统权限 策略名称 描述 类别 依赖关系 AutoScaling FullAccess 对弹性伸缩全部资源的所有执行权限。 系统策略 无 AutoScaling ReadOnlyAccess 弹性伸缩只读权限，对弹性伸缩全部资源的只读权限。 系统策略 无 AutoScaling Administrator 对弹性伸缩全部资源的所有执行权限。 系统角色 依赖ELB Administrator、CES Administrator、Server Administrator和Tenant Administrator角色，在同项目中勾选依赖的角色。 表2列出了AS常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表2 常用操作与系统权限的关系 操作 AutoScaling FullAccess AutoScaling ReadOnlyAccess AutoScaling Administrator 创建伸缩组 √ x √ 修改伸缩组 √ x √ 查询伸缩组详情 √ √ √ 删除伸缩组 √ x √ 创建伸缩配置 √ x √ 创建伸缩策略 √ x √ 创建伸缩带宽策略 √ x √

审计与日志 云审计服务（Cloud Trace Service，CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 弹性伸缩支持使用云审计记录服务资源操作。云审计记录的操作类型有三种，通过云平台账户登录管理控制台执行的操作，通过云服务支持的API执行的操作，以及系统内部触发的操作。 在您的应用系统中启用云审计服务后，将在日志文件记录对弹性伸缩执行的API调用的操作。您可以在云审计服务管理控制台查询近7天内的操作记录。如果需要保存7天之前的操作记录，您可以通过对象存储服务（Object Storage Service，以下简称OBS），将操作记录实时同步保存至OBS。 CTS的详细介绍和开通配置方法请参见CTS快速入门。 云审计服务支持的AS操作列表请参见记录弹性伸缩。 查看审计日志请参见查看审计日志。 父主题： 安全

私有镜像 包含操作系统、预装的公共应用以及用户的私有应用。选择私有镜像创建裸金属服务器，可以节省您重复配置裸金属服务器的时间。 私有镜像特点 兼容适配：只适配了用于导出镜像的同型号服务器，不能保证能正确部署其他型号的裸金属服务器。 功能支持：支持用户自由创建和删除私有镜像，并使用私有镜像部署和重装服务器。私有镜像还支持以下操作： 不同账号之间共享镜像。 不同区域之间复制镜像。 导出镜像至个人OBS桶。 限制：每个用户最多创建50个私有镜像。 费用：私有镜像会收取一定的存储费用。详细计费标准可参考镜像的计费标准。

公共镜像 公共镜像是由华为云官方提供的镜像，适配了裸金属服务器兼容性并安装了必要的初始化插件，所有用户均可使用，涵盖大部分主流操作系统。裸金属服务器规格不同，可供选择的镜像会有所不同（参见裸金属服务器类型与支持的操作系统版本）。 公共镜像特点 操作系统类型：包含基于Linux或者Windows的系统，并定期更新维护。 软件支持：集成了一些裸金属服务器的存储、网络以及用户基本功能正常使用所依赖的相关插件。 这些插件为裸金属服务器功能保障的基本插件，请勿做删除或者修改操作，否则会影响您的基本功能使用。 表2 软件支持 软件 描述 Cloud-init Cloud-init是开源的云初始化程序，能够对新创建裸金属服务器中指定的自定义信息（主机名、密钥和用户数据等）进行初始化配置。 一键式重置密码插件 裸金属服务器提供了一键式重置密码功能，当系统密码丢失或过期时，如果您的裸金属服务器提前安装了密码重置插件，可以在控制台页面设置新密码。 bms-network-config网络配置插件 网络初始化插件主要用于裸金属服务器下发过程网络的自动化配置以及用户误操作导致网络中断场景下裸金属服务器网络恢复。 该插件位于“/opt/huawei”目录下，请勿删除和改动。 SDI卡前端驱动插件 镜像中安装SDI卡前端驱动插件，使裸金属服务器能够支持挂载云硬盘，并且支持从云硬盘启动，实现快速发放能力。 兼容适配：对服务器硬件做了兼容适配。 安全性：公共镜像具有高度稳定性，并且为正版授权。 限制：暂无使用限制。

BMS权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 BMS部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如华北-北京1）对应的项目（cn-north-1）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问BMS时，需要先切换至授权区域。 根据授权精度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对BMS服务，管理员能够控制IAM用户仅能对某一类裸金属服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分，BMS支持的API授权项请参见权限及授权项说明。 表1 BMS系统权限列出了BMS常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表1 BMS系统权限 系统角色/策略名称 描述 类别 BMS FullAccess 裸金属服务器管理员，拥有该服务下的所有权限 系统策略 BMS CommonOperations 裸金属服务器基本操作权限，包括开机、关机、重启、查询等操作 系统策略 BMS ReadOnlyAccess 裸金属服务器只读权限，拥有该权限的用户仅能查看裸金属服务器列表和详情 系统策略 表2列出了BMS常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表2 常用操作与系统权限的关系 操作 BMS FullAccess BMS CommonOperations BMS ReadOnlyAccess 创建裸金属服务器 √ x x 查看裸金属服务器列表 √ √ √ 查询裸金属服务器详情 √ √ √ 修改裸金属服务器名称 √ x x 启动裸金属服务器 √ √ x 关闭裸金属服务器 √ √ x 重启裸金属服务器 √ √ x 裸金属服务器挂载数据卷 √ √ x 裸金属服务器卸载数据卷 √ √ x 重装裸金属服务器操作系统 √ x x 一键重置裸金属服务器的密码 √ x x

背景介绍 如果您需要对华为云上购买的裸金属服务器资源，为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制华为云资源的访问。 通过IAM，您可以在账号中给员工创建IAM用户，并授权控制他们对华为云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有BMS的使用权限，但是不希望他们拥有删除BMS等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用BMS，但是不允许删除BMS的权限，控制他们对BMS资源的使用范围。 如果华为云账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用BMS服务的其它功能。 IAM是华为云提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。 关于IAM的详细介绍，请参见IAM产品介绍。

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 类云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

裸金属服务器类型与支持的操作系统版本 裸金属服务器不同规格操作系统兼容性列表如下所示。操作系统版本均为64bit。 使用X86 V4版本（CPU采用Intel Broadwell架构）的服务器请参考表1。 使用X86 V5版本（CPU采用Intel Skylake架构）的服务器请参考表2。 使用X86 V6版本（CPU采用Intel Cascade Lake架构）的服务器请参考表3。 使用鲲鹏CPU的服务器请参考表4。 建议您使用操作系统官方发行版本进行系统构建，避免对发行版本进行裁剪及高度定制，以减少问题发生概率。 操作系统发行版本由操作系统厂商进行不定期版本更迭，部分系统版本厂商已停止维护，不再发布问题修复及安全补丁，建议及时关注厂商公告进行系统升级更新，保证您系统的健壮性。 CentOS 7.4及以下版本的7系列操作系统，因已知的内核问题会导致无法ping通裸金属服务器扩展网卡网关，涉及扩展网卡相关业务建议使用CentOS 7.5及以上系统版本，具体请参考如何处理CentOS 7系列扩展网卡无法ping通的问题？ 表1 裸金属服务器兼容性列表（V4） 类型 Windows CentOS Red Hat SUSE Ubuntu Oracle Linux EulerOS 本地存储型d1 physical.d1.large Windows Server 2012 R2 Standard Windows Server 2016 Standard CentOS 6.7/6.8/6.9/6.10/7.2/7.3/7.4/7.5/7.6 Red Hat 6.7/6.8/6.9/7.2/7.3/7.4/7.5 SUSE Linux Enterprise 11.SP4/12.SP1/12.SP2/12.SP3 Ubuntu 14.04.5 LTS Ubuntu 16.04 LTS Oracle Linux 6.9/7.4 EulerOS 2.2/2.3 通用型规格s3 physical.s3.large physical.s3.xlarge physical.s3.2xlarge Windows Server 2012 R2 Standard Windows Server 2016 Standard CentOS 6.7/6.8/6.9/6.10/7.2/7.3/7.4/7.5/7.6 Red Hat 6.7/6.8/6.9/6.10/7.2/7.3/7.4/7.5 SUSE Linux Enterprise 11.SP4/12.SP1/12.SP2/12.SP3 Ubuntu 14.04.5 LTS Ubuntu 16.04 LTS Oracle Linux 6.9/7.4 EulerOS 2.2/2.3 内存优化型规格m2 physical.m2.small physical.m2.mediumphysical.m2.large physical.m2.xlarge - CentOS 7.2 - - - - - IO优化型规格io1 physical.io1.large Windows Server 2012 R2 Standard Windows Server 2016 Standard CentOS 6.7/6.8/6.9/7.2/7.3/7.4/7.5/7.6 Red Hat 6.7/6.8/6.9/7.2/7.3/7.4/7.5 SUSE Linux Enterprise 11.SP4/12.SP1/12.SP2/12.SP3 Ubuntu 14.04.5 LTS Ubuntu 16.04 LTS Oracle Linux 6.9/7.4 EulerOS 2.2/2.3 GPU加速型规格 physical.p1.large physical.p2.large physical.g1.small - CentOS 7.4/7.5/7.6 - - Ubuntu 16.04 LTS - EulerOS 2.3 表2 裸金属服务器兼容性列表（V5） 类型 Windows CentOS Red Hat SUSE Ubuntu Oracle Linux EulerOS 本地存储型d2 physical.d2.large physical.d2.tiny physical.d2.xmedium Windows Server 2012 R2 Standard Windows Server 2016 Standard CentOS 6.7/6.8/6.9/7.2/7.3/7.4/7.5/7.6 Red Hat 6.7/6.8/6.9/7.2/7.3/7.4/7.5 SUSE Linux Enterprise 11.SP4/12.SP1/12.SP2/12.SP3 Ubuntu 14.04.5 LTS Ubuntu 16.04 LTS Oracle Linux 6.9/7.4 EulerOS 2.3 通用型规格s4 physical.s4.medium physical.s4.large physical.s4.xlarge physical.s4.2xlarge physical.s4.3xlarge Windows Server 2012 R2 Standard Windows Server 2016 Standard CentOS 6.9/7.3/7.4/7.5/7.6 Red Hat /6.9/7.3/7.4/7.5 SUSE Linux Enterprise 11.SP4/12.SP2/12.SP3 Ubuntu 14.04.5 LTS Ubuntu 16.04 LTS Oracle Linux 6.9/7.4 EulerOS 2.3 IO优化型规格io2 physical.io2.xlarge Windows Server 2012 R2 Standard Windows Server 2016 Standard CentOS 6.9/7.3/7.4/7.5/7.6 Red Hat 6.9/7.3/7.4/7.5 SUSE Linux Enterprise 11.SP4/12.SP2/12.SP3 Ubuntu 16.04 LTS Oracle Linux 6.9/7.4 EulerOS 2.3 高性能计算型规格h2 physical.h2.large - CentOS 6.9/7.3/7.4/7.5/7.6 - SUSE Linux Enterprise 11.SP4 Ubuntu 16.04 LTS - EulerOS 2.3 高性能计算型规格hc2 physical.hc2.xlarge Windows Server 2012 R2 Standard Windows Server 2016 Standard CentOS 6.9/7.3/7.4/7.5/7.6 Red Hat 6.9/7.3/7.4/7.5 SUSE Linux Enterprise 11.SP4/12.SP2/12.SP3 Ubuntu 14.04.5 LTS Ubuntu 16.04 LTS Oracle Linux 6.9/7.4 EulerOS 2.3 GPU加速型规格p3 physical.p3.large - - - - - - EulerOS 2.3 表3 裸金属服务器兼容性列表（V6） 类型 CentOS Red Hat SUSE Ubuntu Oracle Linux EulerOS 通用型规格c6 physical.c6s.3xlarge physical.c6sd.3xlarge physical.c6sd.6xlarge CentOS 7.6/7.8/7.9/8.2 Red Hat 7.6 SUSE Linux Enterprise 15.SP2 Ubuntu 18.04.3 LTS Oracle Linux7.6 EulerOS 2.5 高性能计算型规格h6 physical.h6.large CentOS 7.6/7.8/7.9 - - - - - GPU加速型规格pi6 physical.pi6.3xlarge.6 CentOS 7.6 - - - - - 表4 裸金属服务器兼容性列表（鲲鹏） 类型 CentOS HCE EulerOS physical.ks1ne.2xlarge physical.ks1ne.4xlarge physical.ks1ne.8xlarge CentOS 7.6 Huawei Cloud EulerOS 2.0 EulerOS 2.8 physical.kd1ne.2xlarge physical.kd1ne.4xlarge CentOS 7.6 Huawei Cloud EulerOS 2.0 EulerOS 2.8 physical.kat1.6xlarge - - EulerOS 2.8 physical.ks1.2xlarge CentOS 7.6 - - 父主题： 镜像

安全组 安全组是一种虚拟防火墙，具备状态检测和数据包过滤功能，用于设置弹性云服务器、裸金属服务器、负载均衡、数据库等实例的网络访问控制，是重要的网络安全隔离手段。 您可以通过配置安全组规则，允许安全组内的实例对公网或私网的访问。 安全组是一个逻辑上的分组，您可以将同一区域内具有相同安全保护需求的裸金属服务器加入到同一个安全组内。 同一安全组内的BMS实例之间默认内网网络互通，不同安全组内的实例之间默认内网不通。 您可以随时修改安全组的规则，新规则立即生效。

多规格配置说明 伸缩配置支持多规格可极大程度减少因当前规格售罄或不可用导致的扩容失败概率，尽可能确保在用户业务高峰期能够扩容成功。 一个伸缩配置内可选的实例规格最多为10个。 适用场景： 对于伸缩组创建的实例规格无特殊要求，不限定于某一种规格。 对伸缩组成功创建实例有较高的成功率和较低的时延要求。 业务需要使用较高规格的实例。 业务是无状态、可横向扩展的。 伸缩组对多个规格的选择排序有以下两种方式： 选择优先：伸缩组扩容时按照选择规格的顺序进行。当您选择的第一个规格库存不足或者因为其他原因创建失败时，系统会尝试您选择的第二个规格创建实例，其余规格的使用以此类推。 成本优先：伸缩组扩容时按照价格最优原则进行优先级排序。伸缩组创建实例时将选择成本最优的规格，当成本最优的规格无法成功创建实例时，系统将在剩余规格中选择成本最优的规格创建实例，其余规格的使用以此类推。

使用限制 单账号跟踪的事件可以通过云审计控制台查询。多账号的事件只能在账号自己的事件列表页面去查看，或者到组织追踪器配置的OBS桶中查看，也可以到组织追踪器配置的CTS/system日志流下面去查看。 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录，您必须配置转储到对象存储服务(OBS)，才可在OBS桶里面查看历史文件。否则，您将无法追溯7天以前的操作记录。 云上操作后，1分钟内可以通过云审计控制台查询管理类事件操作记录，5分钟后才可通过云审计控制台查询数据类事件操作记录。

示例流程 图1 给用户授权AS权限流程 创建用户组并授权 在IAM控制台创建用户组，并授予弹性伸缩权限“ASReadOnlyAccess”。 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择弹性伸缩服务，进入AS主界面，单击右上角“创建伸缩组”，如果无法创建伸缩组（假设当前权限仅包含ASReadOnlyAccess），表示“ASReadOnlyAccess”已生效。 在“服务列表”中选择除弹性伸缩服务外（假设当前策略仅包含ECS Viewer）的任一服务，若提示权限不足，表示“ASReadOnlyAccess”已生效。

操作场景 如果您需要对您所拥有的AS进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的华为云账号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用AS资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 统一身份认证服务将AS资源委托给更专业、高效的其他华为云账号或者云服务，这些账号或者云服务可以根据权限进行代运维。 如果华为云账号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用AS服务的其它功能。 本章节为您介绍对用户授权的方法，操作流程如图1所示。

创建须知 不同可用区支持的云服务器类型可能不同。 如果伸缩组中所有可用区均不支持伸缩配置中的云服务器类型，此时： 如果伸缩组当前为停用状态，则无法启用伸缩组。 如果伸缩组当前为启用状态，则在进行扩容操作时，伸缩组状态变为异常。 如果伸缩组中仅有部分可用区支持伸缩配置中的云服务器类型，则在弹性伸缩活动中自动添加的云服务器只分布在支持该类型云服务器的可用区中，不能均匀的分布在所有可用区中。 创建伸缩组前请先创建好您所需的伸缩配置。

返回值 正常 200 异常 返回值 说明 400 Bad Request 服务器未能处理请求。 401 Unauthorized 被请求的页面需要用户名和密码。 403 Forbidden 对被请求的页面访问禁止。 404 Not Found 服务器无法找到被请求的页面。 405 Method Not Allowed 请求中指定的方法不被允许。 406 Not Acceptable 服务器生成的响应无法被客户端所接受。 407 Proxy Authentication Required 用户必须首先使用代理服务器进行验证，这样请求才会被处理。 408 Request Timeout 请求超出了服务器的等待时间。 409 Conflict 由于冲突，请求无法被完成。 500 Internal Server Error 请求未完成。服务异常。 501 Not Implemented 请求未完成。服务器不支持所请求的功能。 502 Bad Gateway 请求未完成。服务器从上游服务器收到一个无效的响应。 503 Service Unavailable 请求未完成。系统暂时异常。 504 Gateway Timeout 网关超时。

请求示例 创建一个名称为as-config-tlzp，镜像ID为627a1223-2ca3-46a7-8d5f-7aef22c74ee6，规格ID为s3.xlarge.4，系统盘为40G的SATA盘，且SSH密钥名称为100vm_key的伸缩配置。 POST https://{Endpoint}/autoscaling-api/v1/{project_id}/scaling_configuration { "scaling_configuration_name": "as-config-tlzq", "instance_config": { "flavorRef": "s3.xlarge.4", "imageRef": "627a1223-2ca3-46a7-8d5f-7aef22c74ee6", "disk": [ { "size": 40, "volume_type": "SATA", "disk_type": "SYS" } ], "key_name": "100vm_key" , "security_groups": [{ "id": "6c22a6c0-b5d2-4a84-ac56-51090dcc33be" }], "multi_flavor_priority_policy": "PICK_FIRST" } }

AK/SK认证 AK/SK签名认证方式仅支持消息体大小在12MB以内，12MB以上的请求请使用Token认证。 AK/SK认证就是使用AK/SK对请求进行签名，在请求时将签名信息添加到消息头，从而通过身份认证。 AK（Access Key ID）：访问密钥ID。与私有访问密钥关联的唯一标识符；访问密钥ID和私有访问密钥一起使用，对请求进行加密签名。 SK（Secret Access Key）：私有访问密钥。与访问密钥ID结合使用，对请求进行加密签名，可标识发送方，并防止请求被修改。 使用AK/SK认证时，您可以基于签名算法使用AK/SK对请求进行签名，也可以使用专门的签名SDK对请求进行签名。详细的签名方法和SDK使用方法请参见API签名指南。 签名SDK只提供签名功能，与服务提供的SDK不同，使用时请注意。

Token认证 Token的有效期为24小时，需要使用一个Token鉴权时，可以先缓存起来，避免频繁调用。 Token在计算机系统中代表令牌（临时）的意思，拥有Token就代表拥有某种权限。Token认证就是在调用API的时候将Token加到请求消息头中，从而通过身份认证，获得操作API的权限。Token可通过调用获取用户Token接口获取。 调用本服务API需要项目级别的Token，即调用获取用户Token接口时，请求body中auth.scope的取值需要选择project，如下所示。 { "auth": { "identity": { "methods": [ "password" ], "password": { "user": { "name": "username", //IAM用户名 "password": $ADMIN_PASS, //IAM用户密码，建议在配置文件或者环境变量中密文存放，使用时解密，确保安全 "domain": { "name": "domainname" //IAM用户所属账号名 } } } }, "scope": { "project": { "name": "xxxxxxxx" //项目名称 } } } } 获取Token后，再调用其他接口时，您需要在请求消息头中添加“X-Auth-Token”，其值即为Token。例如Token值为“ABCDEFJ....”，则调用接口时将“X-Auth-Token: ABCDEFJ....”加到请求消息头即可，如下所示。 1 2 3 POST https://iam.cn-north-1.myhuaweicloud.com/v3/auth/projects Content-Type: application/json X-Auth-Token: ABCDEFJ.... 您还可以通过这个视频教程了解如何使用Token认证：https://bbs.huaweicloud.com/videos/101333。