华为云用户手册

功能介绍 在创建Kafka实例时，需要配置订购的产品ID（即product_id），可通过该接口查询产品规格。 例如，要订购按需计费、基准带宽为100MB的Kafka实例，可从接口响应消息中，查找Hourly的消息体，然后找到bandwidth为100MB的记录对应的product_id，该product_id的值即是创建上述Kafka实例时需要配置的产品ID。 同时，unavailable_zones字段表示资源不足的可用区列表，如果为空，则表示所有可用区都有资源，如果不为空，则表示字段值的可用区没有资源。所以必须确保您购买的资源所在的可用区有资源，不在该字段列表内。 当前页面API为历史版本API，未来可能停止维护。请使用查询产品规格列表。

响应示例 状态码： 200 实例缩容前置检查 { "success" : false, "check_detail" : [ { "broker_id" : 4, "can_delete" : false, "is_zk_node" : false, "is_controller" : false, "has_topics" : true, "topics" : [ "test" ] } ] }

响应参数 状态码： 200 表3 响应Body参数 参数 参数类型 描述 success Boolean 缩容检查是否通过 check_detail Array of check_detail objects broker检查结果 表4 check_detail 参数 参数类型 描述 broker_id Integer broker序号 can_delete Boolean 节点是否可删除。 is_zk_node Boolean 节点是否为zk部署节点。 is_controller Boolean broker是否为controller。 has_topics Boolean broker上是否存在topic数据。 topics Array of strings broker上存在的topic列表。

请求示例 重置的消费进度到指定偏移量。 POST https://{endpoint}/v2/kafka/{project_id}/instances/{instance_id}/groups/{group}/reset-message-offset { "topic" : "test", "partition" : 0, "message_offset" : 10 } 重置的消费进度到指定时间。 POST https://{endpoint}/v2/kafka/{project_id}/instances/{instance_id}/groups/{group}/reset-message-offset { "topic" : "test", "partition" : 0, "timestamp" : 1571812144000 }

请求参数 表2 请求Body参数 参数 是否必选 参数类型 描述 topic 否 String topic名称。 partition 是 Integer 分区编号，默认值为-1，若传入值为-1，则重置所有分区。 message_offset 否 Long 重置消费进度到指定偏移量。 如果传入offset小于当前最小的offset，则重置到最小的offset。 如果大于最大的offset，则重置到最大的offset。 message_offset、timestamp二者必选其一。 timestamp 否 Long 重置消费进度到指定时间，格式为unix时间戳，单位为毫秒。 如果传入timestamp早于当前最早的timestamp，则重置到最早的timestamp。 如果晚于最晚的timestamp，则重置到最晚的timestamp。 message_offset、timestamp二者必选其一。

响应示例 状态码： 200 OK { "database" : { "name" : "db_7567", "created" : "1604631243234", "status" : "RUNNING", "updated" : "1604631243234", "databases" : [ { "id" : "e70a82534a364492b795c5080e3a1591in01", "name" : "db_7567_0000", "idName" : "db_7567_0000", "dbslot" : 0, "status" : "RUNNING", "created" : "1604631243234", "updated" : "1604631243234" }, { "id" : "e70a82534a364492b795c5080e3a1591in01", "name" : "db_7567_0001", "idName" : "db_7567_0001", "dbslot" : 1, "status" : "RUNNING", "created" : "1604631243234", "updated" : "1604631243234" }, { "id" : "e70a82534a364492b795c5080e3a1591in01", "name" : "db_7567_0002", "idName" : "db_7567_0002", "dbslot" : 2, "status" : "RUNNING", "created" : "1604631243234", "updated" : "1604631243234" }, { "id" : "e70a82534a364492b795c5080e3a1591in01", "name" : "db_7567_0003", "idName" : "db_7567_0003", "dbslot" : 3, "status" : "RUNNING", "created" : "1604631243234", "updated" : "1604631243234" }, { "id" : "e70a82534a364492b795c5080e3a1591in01", "name" : "db_7567_0004", "idName" : "db_7567_0004", "dbslot" : 4, "status" : "RUNNING", "created" : "1604631243234", "updated" : "1604631243234" }, { "id" : "e70a82534a364492b795c5080e3a1591in01", "name" : "db_7567_0005", "idName" : "db_7567_0005", "dbslot" : 5, "status" : "RUNNING", "created" : "1604631243234", "updated" : "1604631243234" }, { "id" : "e70a82534a364492b795c5080e3a1591in01", "name" : "db_7567_0006", "idName" : "db_7567_0006", "dbslot" : 6, "status" : "RUNNING", "created" : "1604631243234", "updated" : "1604631243234" }, { "id" : "e70a82534a364492b795c5080e3a1591in01", "name" : "db_7567_0007", "idName" : "db_7567_0007", "dbslot" : 7, "status" : "RUNNING", "created" : "1604631243234", "updated" : "1604631243234" } ], "shard_mode" : "cluster", "shard_number" : 8, "shard_unit" : 8, "dataVips" : [ "192.168.185.97:5066" ], "used_rds" : [ { "id" : "e70a82534a364492b795c5080e3a1591in01", "name" : "rds-5338", "status" : "normal" } ] } } 状态码： 400 bad request { "externalMessage" : "Parameter error.", "errCode" : "DBS.280001" } 状态码： 500 server error { "externalMessage" : "Server failure.", "errCode" : "DBS.200412" }

URI GET /v1/{project_id}/instances/{instance_id}/databases/{ddm_dbname} 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID。 获取方法请参见获取项目ID。 instance_id 是 String DDM实例ID。 ddm_dbname 是 String 需要查询的逻辑库名称，不区分大小写。

响应参数 状态码： 200 表3 响应Body参数 参数 参数类型 描述 database GetDatabaseResponseBean object 逻辑库信息。 表4 GetDatabaseResponseBean 参数 参数类型 描述 name String 逻辑库名称。 created String 逻辑库的创建时间。 status String 状态。 updated String DDM实例最后更新时间。 databases Array of GetDatabases objects 逻辑库分片的详细信息。 shard_mode String 逻辑库的工作模式。 cluster表示逻辑库是拆分模式。 single表示逻辑库是非拆分模式。 shard_number Integer 同一种工作模式下逻辑库分片的数量。 shard_unit Integer 单个RDS上的逻辑库分片数。 dataVips Array of strings 连接逻辑库使用的IP:端口。 used_rds Array of GetDatabaseUsedRds objects 关联RDS。 表5 GetDatabases 参数 参数类型 描述 dbslot Integer 分片数。 name String 分片名称。 status String 状态。 created String 创建时间。 updated String 最近更新时间。 id String 所在RDS的ID。 idName String 物理库的名称。 表6 GetDatabaseUsedRds 参数 参数类型 描述 id String 关联RDS节点ID。 name String 关联RDS名称。 status String 关联RDS状态。 error_msg String 响应信息，若无异常信息则不返回该参数。 状态码： 400 表7 响应Body参数 参数 参数类型 描述 errCode String 业务错误码。 externalMessage String 错误信息。 状态码： 500 表8 响应Body参数 参数 参数类型 描述 errCode String 业务错误码。 externalMessage String 错误信息。

请求消息头 附加请求头字段，如指定的URI和HTTP方法所要求的字段。例如定义消息体类型的请求头“Content-Type”，请求鉴权信息等。 可选的附加请求头字段，如指定的URI和HTTP方法所要求的字段。详细的公共请求消息头字段请参见表3。 表3 公共请求消息头 名称 描述 是否必选 示例 Host 请求的服务器信息，从服务API的URL中获取。值为hostname[:port]。端口缺省时使用默认的端口，https的默认端口为443。 否 使用AK/SK认证时该字段必选。 code.test.com or code.test.com:443 Content-Type 发送的实体的MIME类型。推荐用户默认使用application/json，如果API是对象、镜像上传等接口，媒体类型可按照流类型的不同进行确定。 是 application/json Content-Length 请求body长度，单位为Byte。 POST请求为可选，GET请求该字段值留空。 3495 X-Project-Id project id，项目编号。请参考获取项目ID章节获取项目编号。 否 如果是专属云场景采用AK/SK 认证方式的接口请求或者多project场景采用AK/SK认证的接口请求则该字段必选。 e9993fc787d94b6c886cbaa340f9c0f4 X-Auth-Token 用户Token。 请求响应成功后在响应消息头中包含的“X-Subject-Token”的值即为Token值。 否 使用Token认证时该字段必选。 注：以下仅为Token示例片段 MIIPAgYJKoZIhvcNAQcCo...ggg1BBIINPXsidG9rZ API同时支持使用AK/SK认证，AK/SK认证是使用SDK对请求进行签名，签名过程会自动往请求中添加Authorization（签名认证信息）和X-Sdk-Date（请求发送的时间）请求头。 AK/SK认证的详细说明请参见AK/SK认证。

发起请求 共有三种方式可以基于已构建好的请求消息发起请求，分别为： cURL cURL是一个命令行工具，用来执行各种URL操作和信息传输。cURL充当的是HTTP客户端，可以发送HTTP请求给服务端，并接收响应消息。cURL适用于接口调试。关于cURL详细信息请参见https://curl.haxx.se/。 为了安全起见，在服务器上使用curl命令调用接口查询信息后，需要清理历史操作记录，包括但不限于“~/.bash_history”、“/var/log/messages”（如有）。 编码 通过编码调用接口，组装请求消息，并发送处理请求消息。 REST客户端 Mozilla、Google都为REST提供了图形化的浏览器插件，发送处理请求消息。针对Firefox，请参见Firefox REST Client。针对Chrome，请参见Chrome REST Client。

请求消息体（可选） 该部分可选。请求消息体通常以结构化格式（如JSON或XML）发出，与请求消息头中Content-Type对应，传递除请求消息头之外的内容。若请求消息体中的参数支持中文，则中文字符必须为UTF-8编码。 每个接口的请求消息体内容不同，也并不是每个接口都需要有请求消息体（或者说消息体为空），GET、DELETE操作类型的接口就不需要消息体，消息体具体内容需要根据具体接口而定。 对于获取用户Token接口，您可以从接口的请求部分看到所需的请求参数及参数说明。将消息体加入后的请求如下所示，加粗的斜体字段需要根据实际值填写，其中username为用户名，domainname为用户所属的账号名称，********为用户登录密码，xxxxxxxxxxxxxxxxxx为project的名称，如“cn-north-1”，您可以从地区和终端节点获取。 scope参数定义了Token的作用域，上面示例中获取的Token仅能访问project下的资源。您还可以设置Token的作用域为某个账号下所有资源或账号的某个project下的资源。 POST https://iam.cn-north-1.myhuaweicloud.com/v3/auth/tokens Content-Type: application/json { "auth": { "identity": { "methods": [ "password" ], "password": { "user": { "name": "username", "password": "********", "domain": { "name": "domainname" } } } }, "scope": { "project": { "name": "xxxxxxxxxxxxxxxxxx" } } } } 到这里为止这个请求需要的内容就具备齐全了，您可以使用curl、Postman或直接编写代码等方式发送请求调用API。对于获取用户Token接口，返回的响应消息头中“X-Subject-Token”就是需要获取的用户Token。有了Token之后，您就可以使用Token认证调用其他API。

请求URI 请求URI由如下部分组成。 {URI-scheme} :// {Endpoint} / {resource-path} ? {query-string} 尽管请求URI包含在请求消息头中，但大多数语言或框架都要求您从请求消息中单独传递它，所有在此单独拿出来强调。 表1 URI中的参数说明 参数 描述 URI-scheme 表示用于传输请求的协议，当前所有API均采用HTTPS协议。 Endpoint 指定承载REST服务端点的服务器域名或IP，不同服务不同区域的Endpoint不同。您可以从地区和终端节点获取。 例如IAM服务在“华北-北京一”区域的Endpoint为“iam.cn-north-1.myhuaweicloud.com”。 resource-path 资源路径，即API访问路径。从具体API的URI模块获取，例如“获取用户Token”API的resource-path为“/v3/auth/tokens”。 Query string 查询参数，是可选部分，并不是每个API都有查询参数。查询参数前面需要带一个“？”，形式为“参数名=参数取值”，例如“limit=10”，表示查询不超过10条数据。 例如您需要获取IAM在“华北-北京一”区域的Token，则需使用“华北-北京一”区域的Endpoint（iam.cn-north-1.myhuaweicloud.com），并在获取用户Token的URI部分找到resource-path（/v3/auth/tokens），拼接起来如下所示。 1 https://iam.cn-north-1.myhuaweicloud.com/v3/auth/tokens 图1 URI示意图

请求方法 HTTP方法（也称为操作或动词），它告诉服务你正在请求什么类型的操作。 表2 HTTP方法 方法 说明 GET 请求服务器返回指定资源。 PUT 请求服务器更新指定资源。 POST 请求服务器新增资源或执行特殊操作。 DELETE 请求服务器删除指定资源，如删除对象等。 在获取用户Token的URI部分，您可以看到其请求方法为“POST”，则其请求为： 1 POST https://iam.cn-north-1.myhuaweicloud.com/v3/auth/tokens

响应参数 状态码： 200 表4 响应Body参数 参数 参数类型 描述 users Array of GetUsersListDetailResponses objects DDM实例账号相关信息的集合。 page_no Integer 当前页码。 page_size Integer 当前页码的数据条数。 total_record Integer 总条数。 total_page Integer 总页数。 表5 GetUsersListDetailResponses 参数 参数类型 描述 name String DDM实例账号名称。 status String DDM实例账号状态。 base_authority Array of strings DDM实例账号的基础权限。 取值为：CREATE、DROP、ALTER、INDEX、INSERT、DELETE、UPDATE、SELECT extend_authority Array of strings DDM实例账号的扩展权限。2021年8月开始不支持该字段，9月会去掉该字段。 取值为：fulltableDelete、fulltableSelect、fulltableUpdate description String DDM实例账号的描述。 created Long DDM实例账号的创建时间。 databases Array of GetUsersListdatabase objects 关联的逻辑库的集合。 表6 GetUsersListdatabase 参数 参数类型 描述 name String DDM实例账号关联的逻辑库名称。 description String 逻辑库的描述信息。 状态码： 400 表7 响应Body参数 参数 参数类型 描述 errCode String 业务错误码。 externalMessage String 错误信息。 状态码： 500 表8 响应Body参数 参数 参数类型 描述 errCode String 业务错误码。 externalMessage String 错误信息。

响应示例 状态码： 200 OK { "users" : [ { "name" : "ddmtest", "status" : "RUNNING", "base_authority" : [ "SELECT" ], "description" : "账号", "created" : "2019-10-30T11:01:24+0800", "databases" : [ { "name" : "zhxtest", "description" : "逻辑库" } ] } ], "page_no" : 1, "page_size" : 10, "total_record" : 1, "total_page" : 1 } 状态码： 400 bad request { "externalMessage" : "Parameter error.", "errCode" : "DBS.280001" } 状态码： 500 server error { "externalMessage" : "Server failure.", "errCode" : "DBS.200412" }

URI GET /v1/{project_id}/instances/{instance_id}/users?offset={offset}&limit={limit} 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID。 获取方法请参见获取项目ID。 instance_id 是 String DDM实例ID。 表2 Query参数 参数 是否必选 参数类型 描述 offset 否 Integer 索引位置，偏移量。 从第一条数据偏移offset条数据后开始查询，默认为0。 取值必须为数字，且不能为负数。 limit 否 Integer 查询个数上限值。 取值范围：1~128。 不传该参数时，默认值为10。

响应参数 状态码： 200 表4 响应Body参数 参数 参数类型 描述 databases Array of GetDatabaseInfo objects 逻辑库相关信息的集合。 total Integer 总条数。 表5 GetDatabaseInfo 参数 参数类型 描述 name String 逻辑库名称。 shard_mode String 逻辑库的工作模式。 cluster表示逻辑库是拆分模式。 single表示逻辑库是非拆分模式。 shard_number Integer 同一种工作模式下逻辑库分片的数量。 status String 逻辑库状态。 created String 逻辑库的创建时间。 used_rds Array of GetDatabaseUsedRds objects 逻辑库关联的RDS实例信息。 shard_unit Integer 单个RDS上的逻辑库分片数。 表6 GetDatabaseUsedRds 参数 参数类型 描述 id String 关联RDS节点ID。 name String 关联RDS名称。 status String 关联RDS状态。 error_msg String 响应信息，若无异常信息则不返回该参数。 状态码： 400 表7 响应Body参数 参数 参数类型 描述 errCode String 业务错误码。 externalMessage String 错误信息。 状态码： 500 表8 响应Body参数 参数 参数类型 描述 errCode String 业务错误码。 externalMessage String 错误信息。

URI GET /v1/{project_id}/instances/{instance_id}/databases?offset={offset}&limit={limit} 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID。 获取方法请参见获取项目ID。 instance_id 是 String DDM实例ID。 表2 Query参数 参数 是否必选 参数类型 描述 offset 否 Integer 索引位置，偏移量。 从第一条数据偏移offset条数据后开始查询，默认为0。 取值必须为数字，且不能为负数。 limit 否 Integer 查询个数上限值。 取值范围：1~128。 不传该参数时，默认值为10。

响应示例 状态码： 200 OK { "databases" : [ { "status" : "RUNNING", "created" : "1642063713625", "name" : "mytestdb170", "shard_mode" : "cluster", "shard_number" : 8, "shard_unit" : 8, "used_rds" : [ { "id" : "c6f68fed9e74478c8679479a07d7d568in01", "status" : "normal", "name" : "rds-test" } ] } ], "total" : 172 } 状态码： 400 bad request { "externalMessage" : "Parameter error.", "errCode" : "DBS.280001" } 状态码： 500 server error { "externalMessage" : "Server failure.", "errCode" : "DBS.200412" }

AK/SK认证 AK/SK签名认证方式仅支持消息体大小12MB以内，12MB以上的请求请使用Token认证。 AK/SK认证就是使用AK/SK对请求进行签名，在请求时将签名信息添加到消息头，从而通过身份认证。 AK(Access Key ID)：访问密钥ID。与私有访问密钥关联的唯一标识符；访问密钥ID和私有访问密钥一起使用，对请求进行加密签名。 SK(Secret Access Key)：与访问密钥ID结合使用的密钥，对请求进行加密签名，可标识发送方，并防止请求被修改。 使用AK/SK认证时，您可以基于签名算法使用AK/SK对请求进行签名，也可以使用专门的签名SDK对请求进行签名。详细的签名方法和SDK使用方法请参见API签名指南。 签名SDK只提供签名功能，与服务提供的SDK不同，使用时请注意。

Token认证 Token的有效期为24小时，需要使用一个Token鉴权时，可以先缓存起来，避免频繁调用。 Token在计算机系统中代表令牌（临时）的意思，拥有Token就代表拥有某种权限。Token认证就是在调用API的时候将Token加到请求消息头，从而通过身份认证，获得操作API的权限。 Token可通过调用获取用户Token接口获取，调用本服务API需要project级别的Token，即调用获取用户Token接口时，请求body中auth.scope的取值需要选择project，如下所示。 { "auth": { "identity": { "methods": [ "password" ], "password": { "user": { "name": "username", "password": "********", "domain": { "name": "domainname" } } } }, "scope": { "project": { "name": "xxxxxxxx" } } } } 在构造请求中以调用获取用户Token接口为例说明了如何调用API。 获取Token后，再调用其他接口时，您需要在请求消息头中添加“X-Auth-Token”，其值即为Token。例如Token值为“ABCDEFJ....”，则调用接口时将“X-Auth-Token: ABCDEFJ....”加到请求消息头即可，如下所示。 1 2 3 POST https://iam.cn-north-1.myhuaweicloud.com/v3/auth/projects Content-Type: application/json X-Auth-Token: ABCDEFJ.... 您还可以通过这个视频教程了解如何使用Token认证：https://bbs.huaweicloud.com/videos/101333 。

自定义策略样例 授权用户购买、绑定、和查看激活码权限。 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "CodeArtsIDE:license:purchase", "CodeArtsIDE:license:bind", "CodeArtsIDE:license:list" ] } ] } 授权用户使用CodeArts IDE所有权限。 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "CodeArtsIDE:*:*" ] } ] } 禁止用户购买CodeArts IDE激活码。 用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先原则。因此禁止策略需要同时配合其他策略使用，否则没有实际作用。 例如：如果授予用户CodeArts IDE FullAccess的系统策略，但不希望用户拥有CodeArts IDE FullAccess中定义的购买CodeArts IDE激活码权限，可以创建一条禁止购买CodeArts IDE激活码的自定义策略，同时将CodeArts IDE FullAccess和禁止策略授予用户，根据Deny优先原则，则用户可以对CodeArts IDE执行除了购买CodeArts IDE激活码外的所有操作。禁止策略示例如下： { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "CodeArtsIDE:license:purchase" ] } ] }

概述 如果用户需要对所拥有的CodeArts IDE服务进行精细的权限管理，可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，可以： 根据企业的业务组织，在华为云账号中，给不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证使用CodeArts IDE资源。 根据企业用户的职能不同，设置不同的访问权限，实现用户之间的权限隔离。 将CodeArts IDE资源委托给更专业、高效的其他华为云账号或者云服务，这些账号或者云服务可以根据权限进行代运维。 如果华为云账号可以满足用户对权限管理的需求，则不需要创建独立的IAM用户，可以跳过本章节，不影响使用CodeArts IDE服务的其它功能。 本章节介绍对用户授权的方法，操作流程如示例流程所示。

示例流程 图1 为用户授权CodeArts IDE权限操作流程 创建用户组并授权 在IAM控制台创建用户组，并授予CodeArts IDE只读权限“CodeArts IDE ReadOnly”。 创建用户并加入用户组 在IAM控制台创建用户，并将其加入步骤1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，通过以下两种方式验证权限是否生效： 在“服务列表”中选择CodeArts IDE，进入CodeArts IDE主界面，单击“购买激活码”，如果无法购买（假设当前权限仅包含CodeArts IDE ReadOnly），表示“CodeArts IDE ReadOnly”已生效。 在“服务列表”中选择除CodeArts IDE外（假设当前权限仅包含CodeArts IDE ReadOnly）的任意服务，若提示权限不足，表示“CodeArts IDE ReadOnly”已生效。

权限说明 如果您需要对华为云上购买的CodeArts IDE资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。IAM是华为云提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。 IAM服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制CodeArts IDE资源的访问。 通过IAM，您可以在华为云账号中给员工创建IAM用户，并使用策略来控制其对华为云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望开发人员拥有绑定CodeArts IDE激活码的权限，但是不希望其拥有购买CodeArts IDE激活码的权限，那么您可以使用IAM为开发人员创建用户，通过授权控制仅能绑定CodeArts IDE激活码，但是不允许购买CodeArts IDE激活码的权限策略，控制开发人员对CodeArts IDE资源的使用范围。 CodeArts IDE权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 CodeArts IDE部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如华北-北京4）对应的项目（cn-north-4）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问CodeArts IDE时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对CodeArts IDE服务，管理员能够控制IAM用户仅能对激活码进行指定的管理操作。 如表1所示，包括了CodeArts IDE的所有系统权限。 表1 CodeArts IDE系统权限 策略名称 描述 类别 CodeArts IDE FullAccess CodeArts IDE所有权限。 系统策略 CodeArts IDE ReadOnly CodeArts IDE只读权限。 系统策略 表2列出了CodeArts IDE常用操作与系统策略的授权关系，您可以参照该表选择合适的系统策略。 表2 常用操作与系统权限的关系 操作 CodeArts IDE FullAccess CodeArts IDE ReadOnly 查询激活码列表 √ √ 查询用户试用剩余天数 √ √ 购买激活码 √ × 绑定激活码 √ × 解绑激活码 √ × 激活 √ × 表3 常用操作与对应授权项 操作 授权项 查询激活码列表 CodeArtsIDE:license:list 查询用户试用剩余天数 CodeArtsIDE:system:getTrailDays 购买激活码 CodeArtsIDE:license:purchase 绑定激活码 CodeArtsIDE:license:bind 解绑激活码 CodeArtsIDE:license:unbind 激活 CodeArtsIDE:license:activate

发起调薪流程 单击列表页面的任意一个员工，可进行查看员工信息详情，单击操作-调动 图2 员工信息详情 进入调动页面，填写相应信息，信息填写完成后，下方会弹出该员工的薪资项列表（包含薪资项名称、金额等字段） 图3 调岗调薪申请 图4 新增薪资档案项 单击薪资档案项对应金额下的计算机按钮，可进行薪资的调整，薪资的调整有两种方式；按百分比调整、按固定值调整，选择类型后，单击确认即可 图5 调整类型 在调薪完成后，可查看调薪前后对比，“1”代表调薪前金额，“2”代表调整的金额或比例，“3”代表调整后金额，单击提交即可。 图6 调薪前后对比

员工社保公积金增减员 社保公积金增员 维护员工社保公积金信息后，根据社保起缴月，会自动生成增员报表，公积金同上 图15 员工社保公积金信息-社保起缴月 图16 社保公积金信息-增员报表 申报不成功示例：当企业为员工在社保局增员的时候，本应该在当月增员，没有增员成功： 图17 增员报表-申报不成功 该员工就会进入到 5月增员名单中；4月不会计算他； 计算5月社保数据，该员工会参与：【社保计算】页签： 计算出5月社保金额； 同时，5月的【社保补缴】页签，会显示 这个员工上月需要补缴的，并显示补缴月份，如果5月也没缴纳生成，6月计算，会补缴： 4，5月份 需要注意： 补缴的数据,目前还无法应用到薪酬计算中，所以还需要把补缴的数据导出来，再导入到薪酬； 社保公积金减员 当员工完成离职，系统会显示社保截至月以及公积金截止月； 图18 员工社保公积金信息-社保截至月 图19 员工社保公积金信息-公积金截至月 但是要注意到： 显示为 “-” 必须单击【编辑】，才能看到根据离职自动生成的截止月，截止月只是给一个参考值，参考值不显示，需要编辑后确认才会显示； 图20 社保截止月显示 图21 公积金截止月显示 社保减员月是指社保最后一次缴纳的月份，减员报表会在次月显示该人停缴； 图22 减员报表

员工社保公积金信息维护 路径：社保福利-人员管理-员工社保公积金信息，进入员工社保公积金信息列表页面，单击任意一行可查看员工的社保公积金规则详情也可进行创建员工社保公积金规则。 图1 员工社保公积金信息 手动维护员工社保公积金信息 进入并单击创建社保公积金规则，填写相关信息，之后单击确定即可生成该员工的社保公积金规则。 生效月份要大于等于判断社保规则的开始日期 图2 创建社保公积金规则1 选择城市时，根据企业社保规则里面的信息进行选择，在夏尔为四川省/成都市 图3 创建社保公积金规则2 图4 创建社保公积金规则3 夏尔的社保规则的社保和公积金增员截止日都是25日，假设该员工入职日期是2021-01-24，是在25日以前，，则员工社保起缴月和公积金起缴月都是2021-01，如果是2021-01-26入职，是在25日以后，则员工的社保起缴月和公积金起缴月为2021-02。 图5 创建社保公积金规则4 图6 创建社保公积金规则5 批量导入员工社保公积金信息 路径：社保福利-人员管理-员工社保公积金信息 单击批量维护数据-下载模板 图7 批量维护数据-下载模板 根据模板填好信息后导入系统 图8 填写信息 图9 导入系统 查看数据导入情况 图10 查看数据导入 如果显示失败数据为空，则导入成功，显示失败数据有内容，则查看错误信息更改内容再次导入 成功后单击确定退出。 图11 查看显示失败数据 关闭导入页面回员工社保公积金信息页面，公积金规则没有维护，可以和社保一起导入，下面接着导入社保信息时的模板数据用更正更新的方式再次导入 图12 导入公积金规则1 图13 导入公积金规则2 图14 导入公积金规则3

员工社保公积金测算 社保测算 路径：社保福利-社保公积金测算-社保，进入社保公积金测算页面， 单击社保公积金测算-社保，可以看到待测算的缴纳单位 图23 社保公积金测算-社保 单击一个缴纳单位“历史”可以看到里面所有的批次 图24 社保-生成批次 也可以新建批次，单击新建时，应选择正确的社保月份。 图25 新建批次 进入一个具体的批次，可看到里面的员工信息。单击计算会算出结果。（注意一个单位一个月只能算一次） 测算完成后会出个人结果和企业结果，之后单击提交审批即可在薪资核算时获取到社保相关信息。 图26 社保计算 提交审批后批次不可撤回，一个缴纳单位一个月只能审批一次 如果计算结果有问题，可以返回上一步重新计算或者重开批次计算。 图27 社保计算-重新计算 公积金测算 公积金测算步骤同社保测算步骤 图28 社保公积金测算-公积金

员工信息薪资方案录入 员工信息薪资方案手动录入 路径：核心人事-员工-主数据，进入员工主数据列表页面 图1 员工主数据列表 单击任意一个员工，可查看员工信息详情，单击薪资方案页签 图2 员工信息详情-薪资方案 单击编辑，可对已存在的薪资档案进行修改，也可以新建薪资方案 图3 编辑薪资方案 单击新建薪资方案-新增一条记录，填写相应信息，单击确定即可 图4 新增薪资方案 员工信息薪资方案批量导入 路径：核心人事-主数据-员工，进入员工主数据列表页面 图5 员工主数据列表 单击右上角展开符号-导入，进入下载模板页面 图6 数据导入-下载模板 注意：下载模板是指将要导入的数据填写的模板，下载数据和导出同等作用 单击下载模板，系统自动生成excel，根据以下模板填写信息，填写完成后，保存excel. 图7 填写信息 单击添加，将保存的excel选中，单击导入即可，仅创建/仅更正更新/创建并更正更新，这三个字段的区别可在第一页查看。 图8 数据导入 路径：核心人事-控制台-导入中心-导入日志，进入导入列表，可查看数据的导入是否成功。 图9 导入列表 如果数据导入成功，则“文件校验结果”显示通过，“导入状态”为成功，如果数据导入失败，“导入状态”显示失败，单击查看下载错误文件，系统会将自动生成excel,打开excel可查看错误的原因，在修改之后进行保存，从单击添加开始，依上述步骤进行。 图10 查看修改错误文件