华为云用户手册

功能特点 只读实例规格可以与主实例不一致，只读实例规格必须大于等于主实例规格，否则易导致只读实例延迟高、负载高等现象。 支持按需计费，购买方式灵活，按实际使用时长计费；也支持包年/包月计费，相对于按需计费提供更大的折扣，对于长期使用者，推荐该方式。 不需要维护账号与数据库，全部通过主实例同步。 提供系统性能监控。云数据库RDS提供近20个系统性能的监控视图，如磁盘容量、IOPS、连接数、CPU利用率、网络流量等，用户可以轻松查看实例的负载。 支持绑定和解绑弹性公网IP。 备份设置：不支持自动备份设置以及手动备份。 实例恢复：不支持通过备份文件或任意时间点创建只读实例，不支持通过备份集覆盖只读实例。 数据迁移：不支持将数据迁移至只读实例。 数据库管理：不支持创建和删除数据库。 账号管理：只读实例不提供创建账号权限。 性能规格设置：创建只读实例所选规格，必须大于等于当前主实例的规格。

产品简介 目前，云数据库 RDS for PostgreSQL的实例支持只读实例。 在对数据库有少量写请求，但有大量读请求的应用场景下，单个实例可能无法抵抗读取压力，甚至对主业务产生影响。为了实现读取能力的弹性扩展，分担数据库压力，您可以在某个区域中创建一个或多个只读实例，利用只读实例满足大量的数据库读取需求，以此增加应用的吞吐量。您需要在应用程序中分别配置主实例和每个只读实例的连接地址，才能实现将写请求发往主实例而将读请求发往只读实例。 只读实例为单个节点的架构（没有备节点），采用PostgreSQL的原生复制功能将主实例的更改同步到所有只读实例，而且主实例和只读实例之间的数据同步不受网络延时的影响。只读实例跟主实例在同一区域，但可以在不同的可用区。

操作场景 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云服务器和云数据库RDS实例提供访问策略。 为了保障数据库的安全性和稳定性，在使用云数据库RDS实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。 通过弹性公网IP连接RDS实例时，需要为RDS所在安全组配置相应的入方向规则。 通过内网连接RDS实例时，设置安全组分为以下两种情况： ECS与RDS实例在相同安全组时，默认ECS与RDS实例互通，无需设置安全组规则。 ECS与RDS实例在不同安全组时，需要为RDS和ECS分别设置安全组规则。 设置RDS安全组规则：为RDS所在安全组配置相应的入方向规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通时，需要为ECS所在安全组配置相应的出方向规则。 本节主要介绍如何为RDS实例设置相应的入方向规则。 关于添加安全组规则的详细要求，可参考《虚拟私有云用户指南》的“添加安全组规则”章节。

注意事项 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云服务器和云数据库RDS实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当云数据库RDS实例加入该安全组后，即受到这些访问规则的保护。 默认情况下，一个用户可以创建100个安全组。 默认情况下，一个安全组最多只允许拥有50条安全组规则。 一个RDS实例允许绑定多个安全组，一个安全组可以关联多个RDS实例。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的云数据库RDS实例时，需要为安全组添加相应的入方向规则。 为了保证数据及实例安全，请合理使用权限。建议使用最小权限访问，并及时修改数据库默认端口号（3306），同时将可访问IP地址设置为远程主机地址或远程主机所在的最小子网地址，限制远程主机的访问范围。 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的云数据库RDS实例。 关于添加安全组规则的详细要求，可参考《虚拟私有云用户指南》的“添加安全组规则”章节。

约束限制 如果数据库实例处于“异常”状态，可能会重启失败。 重启数据库实例会重新启动数据库引擎服务。重启数据库实例将导致短暂中断，在此期间，数据库实例状态将显示为“重启中”。 重启过程中，实例将不可用。重启后实例会自动释放内存中的缓存，请在业务低峰期进行重启，避免对高峰期业务造成影响。 主备实例重启成功后，主备间需要大约1分钟时间搭建复制关系，期间部分操作（如规格变更操作）将受影响，请稍后重试。 重启实例时，可维护时间段内选择的定时重启任务将于下一个时间窗执行。

注意事项 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云服务器和云数据库RDS实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当云数据库RDS实例加入该安全组后，即受到这些访问规则的保护。 默认情况下，一个用户可以创建100个安全组。 默认情况下，一个安全组最多只允许拥有50条安全组规则。 一个RDS实例允许绑定多个安全组，一个安全组可以关联多个RDS实例。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的云数据库RDS实例时，需要为安全组添加相应的入方向规则。 为了保证数据及实例安全，请合理使用权限。建议使用最小权限访问，并及时修改数据库默认端口号（3306），同时将可访问IP地址设置为远程主机地址或远程主机所在的最小子网地址，限制远程主机的访问范围。 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的云数据库RDS实例。 关于添加安全组规则的详细要求，可参考《虚拟私有云用户指南》的“添加安全组规则”章节。

注意事项 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云服务器和云数据库RDS实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当云数据库RDS实例加入该安全组后，即受到这些访问规则的保护。 默认情况下，一个用户可以创建100个安全组。 默认情况下，一个安全组最多只允许拥有50条安全组规则。 一个RDS实例允许绑定多个安全组，一个安全组可以关联多个RDS实例。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的云数据库RDS实例时，需要为安全组添加相应的入方向规则。 为了保证数据及实例安全，请合理使用权限。建议使用最小权限访问，并及时修改数据库默认端口号（3306），同时将可访问IP地址设置为远程主机地址或远程主机所在的最小子网地址，限制远程主机的访问范围。 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的云数据库RDS实例。 关于添加安全组规则的详细要求，可参考《虚拟私有云用户指南》的“添加安全组规则”章节。

操作场景 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云服务器和云数据库RDS实例提供访问策略。 为了保障数据库的安全性和稳定性，在使用云数据库RDS实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。 内网连接RDS实例时，设置安全组分为以下两种情况： ECS与RDS实例在相同安全组时，默认ECS与RDS实例互通，无需设置安全组规则，执行通过内网连接RDS for MySQL实例（Linux方式）。 ECS与RDS实例在不同安全组时，需要为RDS和ECS分别设置安全组规则。 设置RDS安全组规则：为RDS所在安全组配置相应的入方向规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通时，需要为ECS所在安全组配置相应的出方向规则。 本节主要介绍如何为RDS实例设置相应的入方向规则。 关于添加安全组规则的详细要求，可参考《虚拟私有云用户指南》的“添加安全组规则”章节。

API概览 通过使用RDS接口，您可以使用RDS的所有功能，包括创建实例、备份恢复、获取日志信息等。 类型 子类型 说明 RDS 接口 v3 查询API版本 包括查询API版本列表和查询API版本信息接口。 RDS 接口 v3 查询数据库引擎的版本 获取指定数据库引擎对应的数据库版本信息。 RDS 接口 v3 查询数据库规格 获取指定数据库引擎版本对应的规格信息。 RDS 接口 v3 查询数据库磁盘类型 获取指定数据库引擎版本对应的磁盘类型。 RDS 接口 v3 实例管理 包括创建实例、调整实例容量、调整实例规格、重启实例、删除实例、获取实例列表、获取指定实例详细信息等接口。 RDS 接口 v3 灾备实例 包括配置主实例容灾能力、配置灾备实例容灾能力、灾备实例升主等接口。 RDS 接口 v3 数据库安全性 包括设置SSL数据加密、修改数据库端口、修改安全组、修改内网地址等接口。 RDS 接口 v3 参数管理 包括获取参数列表、获取配置参数信息、获取实例默认参数、设置配置参数、恢复默认参数、获取参数模板列表、获取参数模板等接口。 RDS 接口 v3 备份与恢复 包括设置自动备份策略、获取自动备份策略、创建手动备份、删除手动备份等接口。 RDS 接口 v3 获取日志信息 包括查询数据库错误日志和查询数据库慢日志接口。 RDS 接口 v3 实例诊断 包括获取诊断后的实例数和获取指定诊断项的诊断结果接口。 RDS 接口 v3 数据库代理（PostgreSQL） 包括开启数据库代理、关闭数据库代理、查询数据库代理信息等接口。 RDS 接口 v3 管理数据库和用户（MySQL） 包括创建数据库、查询数据库、创建用户、查询用户、删除数据库用户、授权数据库账号和解除账号权限等接口。 RDS 接口 v3 管理数据库和用户（PostgreSQL） 包括创建数据库、查询数据库、创建用户、查询用户等接口。 RDS 接口 v3 管理数据库和用户（SQL Server） 包括创建数据库、查询数据库、创建用户、查询用户、删除数据库用户、授权数据库账号和解除账号权限等接口。 RDS 接口 v3 回收站 包括设置回收站策略接口。 RDS 接口 v3 标签管理 包括批量添加标签、批量删除标签、查询项目标签等接口。 RDS 接口 v3 配额管理 包括查询配额接口。 RDS 接口 v3 获取任务信息 获取云数据库 RDS任务中心指定任务的信息。

响应消息 正常响应要素说明 表3 字段说明 名称 参数类型 说明 diagnosis Array of objects 诊断详情。 请参见表4。 表4 diagnosis字段数据结构说明 名称 参数类型 说明 name String 诊断项。 count Integer 实例数量。 正常响应样例 { "diagnosis" : [ { "name" : "high_pressure", "count" : 1 }, { "name" : "lock_wait", "count" : 2 } ] } 异常响应 请参见异常请求结果。

URI URI格式 GET /v3/{project_id}/instances/diagnosis 参数说明 表1 参数说明 名称 是否必选 说明 project_id 是 租户在某一region下的project ID。 获取方法请参见获取项目ID。 表2 请求参数 参数 是否必选 参数类型 描述 engine 是 String 引擎类型。 枚举值： mysql postgresql sqlserver

操作步骤 登录弹性云服务器。 创建弹性云服务器时，要选择操作系统，例如CentOS 7，并为其绑定EIP（Elastic IP，弹性公网IP）。 使用远程连接工具通过绑定的EIP连接到弹性云服务器。 打开客户端安装页面。 选择数据库版本、操作系统、操作系统架构，在弹性云服务器上执行以下命令安装PostgreSQL客户端。 sudo yum install -y https://download.postgresql.org/pub/repos/yum/reporpms/EL-7-x86_64/pgdg-redhat-repo-latest.noarch.rpm 图1 安装客户端 数据库版本，选择与RDS for PostgreSQL数据库实例一致的版本。 操作系统，选择与弹性云服务器一致的操作系统。 操作系统架构，选择与弹性云服务器一致的操作系统架构。 图2 安装rpm包 图3 客户端安装完成 连接PostgreSQL实例。 图4 连接成功

配额 权限 对应API接口 授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 查询配额 GET /autoscaling-api/v1/{project_id}/quotas as:quotas:get √ √ 查询弹性伸缩策略和伸缩实例配额 GET /autoscaling-api/v1/{project_id}/quotas/{scaling_group_id} as:quotas:get √ √ 父主题： 权限和授权项

弹性伸缩策略 权限 对应API接口 授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 创建弹性伸缩策略 POST /autoscaling-api/v1/{project_id}/scaling_policy as:policies:create √ √ 修改弹性伸缩策略 PUT /autoscaling-api/v1/{project_id}/scaling_policy/{scaling_policy_id} as:policies:update √ √ 查询弹性伸缩策略列表 GET /autoscaling-api/v1/{project_id}/scaling_policy/{scaling_group_id}/list as:policies:list √ √ 查询弹性伸缩策略详情 GET /autoscaling-api/v1/{project_id}/scaling_policy/{scaling_policy_id} as:policies:get √ √ 执行或启用或停止弹性伸缩策略 POST /autoscaling-api/v1/{project_id}/scaling_policy/{scaling_policy_id}/action as:policies:action √ √ 删除弹性伸缩策略 DELETE /autoscaling-api/v1/{project_id}/scaling_policy/{scaling_policy_id} as:policies:delete √ √ 创建弹性伸缩策略 POST /autoscaling-api/v2/{project_id}/scaling_policy as:policies:create √ √ 修改弹性伸缩策略 PUT /autoscaling-api/v2/{project_id}/scaling_policy/{scaling_policy_id} as:policies:update √ √ 查询弹性伸缩策略列表 GET /autoscaling-api/v2/{project_id}/scaling_policy/{scaling_resource_id}/list as:policies:list √ √ 查询弹性伸缩策略列表 GET /autoscaling-api/v2/{project_id}/scaling_policy{? scaling_resource_id, scaling_resource_type ,scaling_policy_name, scaling_policy_id,scaling_policy_type,start_number,limit,sort_by,order,enterprise_project_id} as:groups:get as:policies:list √ √ 查询弹性伸缩策略详情 GET /autoscaling-api/v2/{project_id}/scaling_policy/{scaling_policy_id} as:policies:get √ √ 批量操作弹性伸缩策略 POST /autoscaling-api/v1/{project_id}/scaling_policies/action as:policies:batchAction √ √ 父主题： 权限和授权项

弹性伸缩组 权限 对应API接口 授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 创建弹性伸缩组 POST /autoscaling-api/v1/{project_id}/scaling_group as:groups:create √ √ 查询弹性伸缩组列表 GET /autoscaling-api/v1/{project_id}/scaling_group as:groups:list √ √ 查询弹性伸缩组详情 GET /autoscaling-api/v1/{project_id}/scaling_group/{scaling_group_id} as:groups:get √ √ 修改弹性伸缩组 PUT /autoscaling-api/v1/{project_id}/scaling_group/{scaling_group_id} as:groups:update √ √ 删除弹性伸缩组 DELETE /autoscaling-api/v1/{project_id}/scaling_group/{scaling_group_id} as:groups:delete √ √ 启用或停止弹性伸缩组 POST /autoscaling-api/v1/{project_id}/scaling_group/{scaling_group_id}/action as:groups:action √ √ 父主题： 权限和授权项

弹性伸缩配置 权限 对应API接口 授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 创建弹性伸缩配置 POST /autoscaling-api/v1/{project_id}/scaling_configuration as:configs:create √ √ 查询弹性伸缩配置列表 GET /autoscaling-api/v1/{project_id}/scaling_configuration as:configs:list √ √ 查询弹性伸缩配置详情 GET /autoscaling-api/v1/{project_id}/scaling_configuration/{scaling_configuration_id} as:configs:get √ √ 删除弹性伸缩配置 DELETE /autoscaling-api/v1/{project_id}/scaling_configuration/{scaling_configuration_id} as:configs:delete √ √ 批量删除弹性伸缩配置 POST /autoscaling-api/v1/{project_id}/scaling_configurations as:configs:batchDelete √ √ 父主题： 权限和授权项

伸缩策略执行日志 权限 对应API接口 授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 查询策略执行日志 GET /autoscaling-api/v1/{project_id}/scaling_policy_execute_log/{scaling_policy_id} as:policyExecuteLogs:list √ √ 父主题： 权限和授权项

生命周期挂钩 权限 对应API接口 授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 创建生命周期挂钩 POST /autoscaling-api/v1/{project_id}/scaling_lifecycle_hook/{scaling_group_id} as:lifecycleHooks:create √ √ 查询生命周期挂钩列表 GET /autoscaling-api/v1/{project_id}/scaling_lifecycle_hook/{scaling_group_id}/list as:lifecycleHooks:list √ √ 查询生命周期挂钩详情 GET /autoscaling-api/v1/{project_id}/scaling_lifecycle_hook/{scaling_group_id}/{lifecycle_hook_name} as:lifecycleHooks:get √ √ 修改生命周期挂钩 PUT /autoscaling-api/v1/{project_id}/scaling_lifecycle_hook/{scaling_group_id}/{lifecycle_hook_name} as:lifecycleHooks:update √ √ 伸缩实例生命周期回调 PUT /autoscaling-api/v1/{project_id}/scaling_instance_hook/{scaling_group_id}/callback as:instanceHooks:action √ √ 查询伸缩实例挂起信息 GET /autoscaling-api/v1/{project_id}/scaling_instance_hook/{scaling_group_id}/list as:instanceHooks:list √ √ 删除生命周期挂钩 DELETE /autoscaling-api/v1/{project_id}/scaling_lifecycle_hook/{scaling_group_id}/{lifecycle_hook_name} as:lifecycleHooks:delete √ √ 父主题： 权限和授权项

弹性伸缩实例 权限 对应API接口 授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 查询弹性伸缩组中的实例列表 GET /autoscaling-api/v1/{project_id}/scaling_group_instance/{scaling_group_id}/list as:instances:list √ √ 移出弹性伸缩组实例 DELETE /autoscaling-api/v1/{project_id}/scaling_group_instance/{instance_id} as:instances:delete √ √ 批量操作实例 POST /autoscaling-api/v1/{project_id}/scaling_group_instance/{scaling_group_id}/action as:instances:batchAction √ √ 父主题： 权限和授权项

通知 权限 对应API接口 授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 配置伸缩组通知 PUT /autoscaling-api/v1/{project_id}/scaling_notification/{scaling_group_id} as:notifications:set √ √ 查询伸缩组通知列表 GET /autoscaling-api/v1/{project_id}/scaling_notification/{scaling_group_id} as:notifications:list √ √ 删除伸缩组通知 DELETE /autoscaling-api/v1/{project_id}/scaling_notification/{scaling_group_id}/{topic_urn} as:notifications:delete √ √ 父主题： 权限和授权项

支持的授权项 细粒度策略支持的操作与API相对应，授权项列表说明如下： 权限：自定义策略中授权项定义的内容即为权限。 对应API接口：自定义策略实际调用的API接口。 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。 依赖的授权项：部分Action存在对其他Action的依赖，需要将依赖的Action同时写入授权项，才能实现对应的权限功能。 IAM项目(Project)/企业项目(Enterprise Project)：自定义策略的授权范围，包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目，表示此授权项对应的自定义策略，可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目，不支持企业项目，表示仅能在IAM中给用户组授权并生效，如果在企业管理中授权，则该自定义策略不生效。管理员可以在授权项列表中查看授权项是否支持IAM项目或企业项目，“√”表示支持，“×”表示暂不支持。关于IAM项目与企业项目的区别，详情请参见：IAM与企业管理的区别。 AS支持自定义策略授权项如下所示： 弹性伸缩组，包含伸缩组接口对应的授权项，如创建伸缩组、修改伸缩组、查询伸缩组等接口。 弹性伸缩配置，包含伸缩配置接口对应的授权项，如创建伸缩配置、删除伸缩配置、查询伸缩配置等接口。 弹性伸缩实例，包含伸缩实例接口对应的授权项，如查询弹性伸缩组中的实例列表、移出弹性伸缩组实例等接口。 弹性伸缩策略，包含弹性伸缩策略接口对应的授权项，如创建弹性伸缩策略、修改弹性伸缩策略等接口。 伸缩策略执行日志，包含查询策略执行日志接口对应的授权项。 伸缩活动日志，包含查询伸缩活动日志接口对应的授权项。 配额，包含弹性伸缩配额接口对应的授权项，如查询弹性伸缩配额等接口。 通知，包含弹性伸缩通知接口对应的授权项，如查询伸缩组通知列表等接口。 生命周期挂钩，包含生命周期挂钩相关接口的授权项，如创建生命周期挂钩等接口。 标签管理，包含弹性伸缩标签接口对应的授权项，如查询标签等接口。

伸缩活动日志 权限 对应API接口 授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 查询伸缩活动日志 GET /autoscaling-api/v1/{project_id}/scaling_activity_log/{scaling_group_id} as:acivityLogs:list √ √ 查询伸缩活动日志V2版本 GET /autoscaling-api/v2/{project_id}/scaling_activity_log/{scaling_group_id} as:acivityLogs:list √ √ 父主题： 权限和授权项

操作步骤 登陆华为云账号，进入华为云云商店首页，搜索您需要的商品。 图1 云商店首页 找到需要购买的工业软件云联营License商品，单击进入商品详情页面，查看商品信息、设置服务选型后，单击“立即购买”。 图2 商品购买页 进入订单详情面，勾选相关确认协议后，单击“去支付”。 图3 订单确认 核对订单无误后，选择支付方式，单击“确认付款”。 图4 付款确认 订单支付成功后，单击“返回我的云市场”回到“我的云商店”页面。 图5 返回我的云市场

数据保护技术 工业数字模型驱动引擎（Industrial Digital Model Engine，简称iDME）通过多种数据保护手段和特性，保障在iDME中存储和传输的数据安全可靠。 表1 iDME的数据保护手段和特性 数据保护手段 简要说明 详细介绍 传输加密（HTTPS） iDME支持HTTP和HTTPS两种传输协议，为保证数据传输的安全性，推荐您使用更加安全的HTTPS协议。 iDME传输敏感数据（包含密码）时使用TLS1.2版本的HTTPS协议，支持完整性和机密性保护。 服务端存储加密 服务端对于敏感数据采取加密存储机制，使用SCC加密机制。 用户的高价值数据，比如用户使用工业软件生成的设计工作件，工业软件SaaS服务中心采取加密存储方案。 RDS高安全性。 OBS桶加密机制。 数据备份 使用公有云RDS及公有云OBS提供的数据备份恢复机制。 RDS高可靠性。 OBS备份与容灾。 敏感操作保护 iDME用户进行敏感操作时，会对操作用户进行风险提示，或者二次认证通过后进行操作。 敏感操作包含应用部署发布、应用关闭、数据删除等。 父主题： 安全

访问控制 iDME支持通过权限管理（包括控制台权限、设计服务权限、数据建模引擎权限、数字主线引擎权限、数字化制造基础服务权限和工业软件SaaS服务中心权限）实现访问控制，通过对控制台、设计服务以及运行服务的权限控制，帮助用户便捷灵活的对租户下的IAM用户、OrgID用户设定不同的操作权限，详情请参见权限管理。 表1 表1 iDME访问控制 权限控制 简要说明 详细介绍 控制台权限 基于IAM系统策略的授权，可以通过用户组功能实现IAM用户的授权。用户组是用户的集合，通过控制台权限设置可以让某些用户组操作控制台（如创建/部署/卸载应用、购买iDME商品等），而让某些用户组仅能在控制台查看资源信息。 控制台权限（IAM授权） 设计服务权限 基于iDME RBAC（Role-Based Access Control，基于角色的访问控制）能力的授权，通过权限设置可以让不同的IAM用户或用户组拥有操作不同应用的应用设计态权限。 设计服务权限（RBAC授权） 数据建模引擎权限 iDME提供体验版和基础版的数据建模引擎，应用部署在不同的数据建模引擎，该应用运行态的权限控制能力不同。 基于IAM能力的授权，租户下的IAM用户均可以操作当前租户下部署在体验版数据建模引擎的应用运行态。 基于OrgID能力的授权，通过OrgID的组织管理让企业部门、企业成员或企业用户拥有操作部署在基础版数据建模引擎的应用运行态的权限。 数据建模引擎权限（IAM授权和OrgID授权） 数字主线引擎权限 基于iDME RBAC能力的授权，通过权限设置可以让不同的IAM用户或用户组拥有操作数字主线引擎数据的权限。 数字主线引擎权限（RBAC授权） 数字化制造基础服务权限 数字化制造基础服务的业务访问控制由其自身提供。基于RBAC能力的授权，通过服务的“角色管理”实现不同用户的访问控制。 数字化制造基础服务权限（RBAC授权） 工业软件SaaS服务中心权限 工业软件SaaS云服务支持通过OrgID进行细粒度授权策略、应用权限进行访问控制。工业软件SaaS云服务服务权限策略将服务本身的权限采用RBAC授权策略做了角色或者细粒度划分，角色和策略明确定义了服务允许或者拒绝的用户操作。 工业软件SaaS服务中心权限（OrgID授权和RBAC授权）

身份认证 工业数字模型驱动引擎（Industrial Digital Model Engine，简称iDME）提供iDME 控制台、iDME 设计服务和iDME 运行服务几个层面的使用，无论访问哪个层面，只有通过身份认证才可以访问成功。 用户访问iDME时支持对其进行身份认证，包括IAM验证和OrgID验证两种方式。 IAM验证 您可以使用统一身份认证服务（Identity and Access Management， IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全地控制华为云资源的访问。您创建的IAM用户，需要通过验证用户和密码才可以使用iDME控制台、应用设计态、部署在体验版数据建模引擎的应用运行态和数字主线引擎和数字化制造基础服务。具体请参见创建IAM用户并登录。 OrgID验证 您可以使用组织成员帐号（OrgID）对公有云场景下部署在基础版数据建模引擎的应用运行态、数字化制造基础服务和工业软件SaaS服务中心进行管理。该服务是面向企业提供组织管理、企业成员账号管理以及SaaS应用授权管理能力的云服务。关于OrgID的详细介绍，请参见OrgID。

服务韧性 工业数字模型驱动引擎（Industrial Digital Model Engine，简称iDME）提供网络层防DDos能力和对接应用性能管理服务（Application Performance Management，简称APM），保障服务的可靠性。 DDoS高防（Advanced Anti-DDoS，简称AAD）是企业重要业务连续性的有力保障。当您的服务器遭受大流量DDoS攻击时，DDoS高防可以保护用户业务持续可用。DDoS高防通过高防IP代理源站IP对外提供服务，将恶意攻击流量引流到高防IP清洗，确保重要业务不被攻击中断。 iDME通过对接APM来统计服务可用度、API接口可用度和错误率，通过对接API网关（API Gateway，简称APIG）来统计流控成功率，以实现可靠性指标的采集和度量。 数字化制造基础服务支持亲和与反亲和策略、过载保护-OLC（Overload Control）流控以及APIG流控，保障服务的可靠性。 表1 数字化制造基础服务可靠性方案 可靠性方案 方案说明 亲和与反亲和策略 数字化制造基础服务支持亲和与反亲和策略，以提高业务的整体可靠性，保障高可用和底层容灾的能力。 过载保护-OLC流控 通过限制每个租户的QPS（Query Per Second），阈值为500请求每秒，避免因为对微服务的请求量过大，导致服务不可用的情况。 过载保护-APIG流控 通过限制Open API访问的QPS，阈值为500请求每秒，避免因为对服务整体的请求量过大，导致服务不可访问的情况。 工业软件SaaS服务中心提供了3级可靠性架构，通过双AZ容灾、AZ内集群容灾和数据容灾技术方案，保障服务的持久性与可靠性。 表2 工业软件SaaS服务中心可靠性架构 可靠性方案 方案说明 双AZ容灾 工业软件SaaS服务中心实现2AZ双活，一个AZ异常时不影响云服务持续提供服务。 AZ内集群容灾 工业软件SaaS服务中心通过集群提供服务，集群中每个微服务都有多个实例，当一个或部分实例异常时，其他实例可以持续提供服务。 数据容灾 工业软件SaaS服务中心数据存储在RDS、DCS服务中，RDS、DCS实现了AZ容灾方案，数据持续会同步到容灾站点，当生产站点的RDS异常后，容灾站点可以接管业务，保障云服务持续运行。 父主题： 安全

控制台审计日志 云审计服务（Cloud Trace Service，CTS）是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 用户开通云审计服务并创建和配置追踪器后，CTS可记录工业数字模型驱动引擎（Industrial Digital Model Engine，简称iDME）的管理事件和数据事件用于审计。 CTS的详细介绍和开通配置方法，请参见CTS快速入门。 iDME支持审计的操作事件，请参见支持云审计的关键操作。 查看审计日志详细操作步骤，请参见查看审计事件。

权限管理 工业软件SaaS服务中心服务开通后，系统默认分配一个“超级管理员”角色。超级管理员可以管理企业组织内的成员，已加入组织的成员默认都拥有“用户”角色。 表1列出了工业软件SaaS服务中心功能与系统角色的关系，您可以通过该表了解系统角色的操作权限。 表1 系统角色权限 模块 功能项 超级管理员 用户 工业软件SaaS服务中心控制台 退订组织 √ × 工业软件SaaS服务中心企业管理业务面 首页 √ × 组织成员管理 √ × 权限与审批 √ × 应用管理 √ × 协同数据管理 √ × 审计日志 √ × 协同平台 团队协同空间 √ √ 回收站 √ × ISCDesk客户端 所有功能 √ √ 父主题： 工业软件SaaS服务中心简介

企业管理员 企业管理员能够一键按需购买工具软件包；支持下沉IES，实现数据隔离、资源隔离，能够扩充资源；能够对用户、权限管理；能够及时查看企业员工License的使用情况，按需分配、回收License等。 License使用最大化、最优化，动态按需管理，为企业节约成本。 产品丰富可供选择，支付安全，一站式的环境安装，能够支持下沉场景。 资源支持按需扩充。 统计信息可以辅助决策，包含License使用情况、应用情况、用户维度的统计分析。