华为云用户手册

媒资处理 接口 说明 PUT /v1.0/{project_id}/asset 视频更新 POST /v1.0/{project_id}/asset/process 媒资处理 DELETE /v1.0/{project_id}/asset/process 取消媒资转码任务 POST /v1.0/{project_id}/asset/extract_audio 音频提取 DELETE /v1.0/{project_id}/asset/extract_audio 取消提取音频任务 POST /v1.0/{project_id}/asset/review 创建审核媒资任务 PUT /v1.0/{project_id}/asset/cover 设置封面

媒资上传 接口 说明 POST /v1.0/{project_id}/asset 创建媒资：上传方式 GET /v1.1/{project_id}/asset/authority 获取分段上传授权 POST /v1.0/{project_id}/asset/status/uploaded 确认媒资上传 PUT /v1.0/{project_id}/asset/authority 桶授权 POST /v1.0/{project_id}/asset/reproduction 创建媒资：OBS转存方式 POST /v1.0/{project_id}/asset/obs/host/stock/task 创建媒资：OBS托管方式 POST /v1.0/{project_id}/asset/upload_by_url 创建媒资：URL拉取注入 GET /v1.0/{project_id}/asset/duplication 上传检验

媒资管理 接口 说明 DELETE /v1.0/{project_id}/asset 删除媒资 POST /v1.0/{project_id}/asset/status/publish 媒资发布 POST /v1.0/{project_id}/asset/status/unpublish 媒资发布取消 GET /v1.0/{project_id}/asset/info 查询媒资信息 PUT /v1.0/{project_id}/asset/info 修改媒资属性 GET /v1.0/{project_id}/asset/details 查询指定媒资的详细信息 GET /v1.0/{project_id}/asset/list 查询媒资列表

监控指标 表1 云防火墙服务支持的监控指标 指标ID 指标名称 指标含义 取值范围 测量对象 监控周期（原始指标） used_protection_bandwidth 互联网防护带宽使用量 该指标用于统计近5分钟内CFW检测到的带宽使用量。 单位：KB/s ≥ 0 值类型：Float 云防火墙 5分钟 protection_bandwidth_usage 互联网防护带宽使用率 该指标用于统计5分钟内CFW检测到的带宽使用率。 单位：百分比 采集方式：带宽使用量/防火墙带宽配额的占比。 ≥ 0 值类型：Float 云防火墙 5分钟 internet_protection_bandwidth_usage 互联网防护带宽使用量 该指标为防火墙互联网防护对象带宽使用量。 单位：Bit/s ≥ 0 值类型：Float 云防火墙 每分钟 vpc_protection_bandwidth_usage VPC间防护带宽使用量 该指标为防火墙VPC间防护对象带宽使用量。 单位：Bit/s ≥ 0 值类型：Float 云防火墙 每分钟 internet_protection_bandwidth_usage_rate 互联网防护带宽使用率 该指标为防火墙互联网防护对象带宽使用率。 单位：% ≥ 0 值类型：Float 云防火墙 每分钟 vpc_protection_bandwidth_usage_rate VPC间防护带宽使用率 该指标为防火墙VPC间防护对象带宽使用率。 单位：% ≥ 0 值类型：Float 云防火墙 每分钟 internet_protection_pps 防火墙互联网方向pps 该指标为防火墙互联网防护对象pps 单位：个 ≥ 0 值类型：Float 云防火墙 每分钟 vpc_protection_pps 防火墙VPC间pps 该指标为防火墙VPC间防护对象pps 单位：个 ≥ 0 值类型：Float 云防火墙 每分钟 ips_hit_count IPS规则命中次数 该指标为流量命中IPS规则的次数 ≥ 0 值类型：Int 云防火墙 每分钟 ips_deny_count IPS规则阻断次数 该指标为流量被IPS规则阻断的次数 单位：个 ≥ 0 值类型：Int 云防火墙 每分钟 acl_hit_count ACL规则命中次数 该指标为流量命中ACL规则的次数 单位：个 ≥ 0 值类型：Int 云防火墙 每分钟 acl_deny_count ACL规则阻断次数 该指标为流量被ACL模块阻断的次数 单位：个 ≥ 0 值类型：Int 云防火墙 每分钟

创建项目并授权 创建项目 进入管理控制台页面，单击右上方的用户名，在下拉列表中选择“统一身份认证”，进入统一身份认证服务页面。选择左侧导航中的“项目”，单击“创建项目”，选择区域并输入项目名称。 授权 通过为用户组授予权限（包括资源集和操作集），实现项目和用户组的关联。将用户加入到用户组，使用户具有用户组中的权限，从而精确地控制用户所能访问的项目，以及所能操作的资源。具体步骤如下： 在“用户组”页面，选择目标用户组，单击操作列的“权限配置”，进入“用户组权限”区域。在新创建的项目所在行，单击“设置策略”，给对应项目选择需要的云资源权限集。 在“用户”页面，选择目标用户，单击操作列的“修改”，进入修改用户页面。在“所属用户组”区域为用户添加用户组，完成授权过程。

CFW自定义策略样例 示例1：授权用户创建云防火墙 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "cfw:instance:create" ] } ] } 示例2：拒绝用户删除黑白名单 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先。 如果您给用户授予“CFW FullAccess”的系统策略，但不希望用户拥有“CFW FullAccess”中定义的删除黑白名单的权限（cfw:blackWhite:delete），您可以创建一条相同Action的自定义策略，并将自定义策略的Effect设置为“Deny”，然后同时将“CFW FullAccess”和拒绝策略授予用户，根据Deny优先原则用户可以对CFW执行除了删除黑白名单的所有操作。以下策略样例表示：拒绝用户删除黑白名单。 { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "cfw:blackWhite:delete" ] }, ] } 多个授权项策略 一个自定义策略中可以包含多个授权项，且除了可以包含本服务的授权项外，还可以包含其他服务的授权项，可以包含的其他服务必须跟本服务同属性，即都是项目级服务。多个授权语句策略描述如下： { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "cfw:instance:get", "cfw:eipStatistics:get" ] }, { "Effect": "Allow", "Action": [ "hss:hosts:switchVersion", "hss:hosts:manualDetect", "hss:manualDetectStatus:get" ] } ] }

查看策略实施状态 在容器舰队或集群的策略详情页，可以查看策略实施详情和状态，以及舰队或集群的不合规资源、告警事件和强制拦截事件的情况。您可以根据这些数据评估集群的合规情况，并及时采取修复措施。 当前，不合规资源统计的上报时间大约在15至30分钟之间。 如果下发策略实例后未对违规资源进行拦截或告警，请检查是否已开启ValidatingAdmissionPolicy特性门控、是否已启用ValidatingAdmissionWebhook和MutatingAdmissionWebhook准入控制器，详情请参考准入控制器的作用是什么？ 父主题： 策略中心

删除调度策略 登录UCS控制台，在左侧导航栏中单击“流量分发”。 在对应的调度策略框右上角位置单击“删除”。 如您需要删除多个调度策略，可在对应的调度策略框左上角勾选此策略，然后单击界面右上角的“批量删除”，如图1所示。 图1 批量删除调度策略 在弹窗中二次确认删除调度策略，删除操作将无法恢复，请您谨慎操作。 删除中时请勿关闭当前弹窗或刷新页面，删除完成后弹框会自动关闭，否则可能导致部分资源残留。 父主题： 流量分发

编辑CronFederatedHPA策略 登录UCS控制台，在左侧导航栏中选择“容器舰队”。 单击已开通集群联邦的容器舰队名称，进入容器舰队详情页面。 在左侧导航栏选择“负载伸缩”，选择“定时伸缩策略”，在需要编辑的策略所在行右侧单击“编辑”，在策略详情页面可以删除或添加策略规则。 如需删除策略规则，在规则后单击“删除”即可。 如需添加规则，单击策略配置下的“添加规则”，在弹窗内填写相关参数，然后单击“确定”。详细的参数说明请参见6。 修改完成后，单击“确定”。

概述 在一些复杂的业务场景下，可能有固定时间段高峰业务，又有日常突发高峰业务，若只使用标准的Kubernetes HPA功能，是需要足够的时间来扩展副本的，无法对负载峰值进行应对，会导致服务不可用。此种情况下，用户既期望能定时弹性伸缩应对固定时间段高峰业务，又期望能根据指标弹性伸缩应对日常突发高峰业务。UCS提供CronFederatedHPA的自定义资源，实现在固定时间段对集群进行扩缩容，并且可以和FederatedHPA策略共同作用，定时调整FederatedHPA伸缩范围，实现复杂场景下的工作负载伸缩。 CronFederatedHPA创建时，可以设定一个具体的时间，根据设定的时间进行定时弹性扩缩容，定时调整HPA策略的最大和最小实例数，也可以直接定时调整Deployment的Pod实例数。

创建CronFederatedHPA策略 登录UCS控制台，在左侧导航栏中选择“容器舰队”。 单击已开通集群联邦的容器舰队名称，进入容器舰队详情页面。 在左侧导航栏选择“负载伸缩”，选择“定时伸缩策略”，并单击右上角“创建定时伸缩策略”。 在基础配置下填写策略名称，选择“命名空间”，也可新建命名空间，具体操作步骤请参考创建命名空间。 选择定时伸缩策略的作用对象。 选择已创建的工作负载，也可新建，具体操作步骤请参考创建工作负载。 选择已创建的指标伸缩策略，也可单击右侧新建，具体操作步骤请参考创建FederatedHPA策略。 图1 基础配置 单击策略配置下的“添加规则”，在弹窗内填写规则名称，输入“目标示例范围”，选择触发时间： 参数 参数说明 每小时 在每小时的第几分钟执行一次。例如选择第5分钟，那么策略将会每5分钟执行一次。 每天 在每天具体的某一个时间执行一次，可具体到分钟，设置完成后，该策略将会在每天的该时间点执行。 每周 在每周具体的某一天内的某一时间执行一次，可具体到分钟，设置完成后，该策略将会在每周的这一天该时间点执行。 每月 在每月具体的某一天内的某一时间执行一次，可具体到分钟，设置完成后，该策略将会在每月的这一天该时间点执行。 每年 在每年具体的某月某天内的某一时间执行一次，可具体到分钟，设置完成后，该策略将会在每年的这一天该时间点执行。 cron表达式 例如 0 0 13 * 5 表示此任务必须在每个星期五的午夜以及每个月的 13 日的午夜开始，可选特定时区（上海、新加坡）。 Cron 时间表语法 .spec.schedule 字段是必需的。该字段的值遵循Cron语法： # ┌───────────── 分钟(0-59) # │ ┌─────────── 小时(0-23) # │ │ ┌────────── 月的某天(1-31) # │ │ │ ┌──────── 月份(1-12) # │ │ │ │ ┌─────── 周的某天(0-6)（周日到周一；在某些系统上，7也是星期日） # │ │ │ │ │ 或者是sun、mon、tue、web、thu、fri、sat # │ │ │ │ │ * * * * * 例如 0 0 13 * 5 表示此任务必须在每个星期五的午夜以及每个月的 13 日的午夜开始。 除了标准语法，还可以使用一些类似 @monthly 的宏： 输入 描述 相当于 @yearly (或 @annually) 每年 1 月 1 日的午夜运行一次 0 0 1 1 * @monthly 每月第一天的午夜运行一次 0 0 1 * * @weekly 每周的周日午夜运行一次 0 0 * * 0 @daily (或 @midnight) 每天午夜运行一次 0 0 * * * @hourly 每小时的开始一次 0 * * * * 图2 添加规则 设置完成后，单击“确定”，然后单击“创建”，即可完成定时伸缩策略创建。

原因分析 请先判断同名的表是否确实是同一张表。在关系型数据库中，确定一张表通常需要3个因素：database，schema，table。从问题现象描述看，database，table已经确定，分别是human_resource、areas。接着，需要检查schema。使用dbadmin，user01分别登录发现，search_path依次是public和"$user"。dbadmin作为集群管理员，默认不会创建dbadmin同名的schema，即不指定schema的情况下所有表都会建在public下。而对于普通用户如user01，则会在创建用户时，默认创建同名的schema，即不指定schema时表都会创建在user01的schema下。最终确定该案例发生时，确实因为2个用户之间交错对表进行操作，导致了同名不同表的情况。

新手常见问题 基本问题 如何使用工业数字模型驱动引擎？ 工业数字模型驱动引擎计费相关问题？ 什么是M-V模型？ 什么是XDM应用？ iDME支持同时发布多个应用吗？ 进阶问题 应用发布后，在运行态为什么看不到构建的模型数据？ 如何获取已上传文件（图片）的文件（图片）路径？ 为什么IAM账号无法访问iDME？ 试用API时提示404怎么办？ 为什么调用API时，无法保存创建人和创建时间？ 批量删除的API最多可以同时删除多少条数据？ 更多常见问题，请参见常见问题。

工业数字模型驱动引擎常用操作 工业数字模型驱动引擎功能丰富，本节通过表格的形式为您展示常用功能。 表1 数据建模引擎常用功能 如果您想... 您可以参考... 购买数据建模引擎 购买数据建模引擎 创建应用 创建应用 登录iDME应用设计态 登录应用设计态 调整用户操作应用设计态的权限 用户管理 创建新的数据实体 创建数据实体（设计态） 对数据模型间建立关系 关系实体 将本地已有数据库数据转为iDME数据模型 反向建模 创建新的接口模型，便于后续继承该接口模型的实体创建更多与该接口模型具有相同自定义项的属性和关系 创建接口模型 修改iDME内置模型，自定义数据建模引擎（xDM Foundation，简称xDM-F）的能力和模型 XDM应用 登录iDME应用运行态 登录应用运行态 动态扩展模型类型、属性等 创建数据实体（运行态） 创建属性 定义生命周期模板，实现对象的全过程管理 生命周期管理 使用服务编排能力编排原子API，提高应用开发的速度与质量 服务编排管理 创建新的上传文件类型 创建文件类型 从各种维度（例如部门、团队、角色、群组等）对应用运行态资源进行权限管理 权限管理 查看到应用运行态的系统日志 系统日志 在本地计算机查看全量数据服务API 导出全量数据 表2 数字主线引擎常用功能 如果您想... 您可以参考... 开通数字主线引擎 开通数字主线引擎 删除数字主线引擎 删除数字主线引擎 登录数字主线引擎 登录数字主线引擎 内置的企业级多租，支持企业内自定义应用级多租，满足了不同应用场景下对数据隔离的要求 租户管理 调整用户的数据操作权限 用户权限管理 配置基础数据，如数据源、源系统、源系统API、设备API、标签等 基础数据管理 多种方式新增数据实体 新增数据实体 多种方式新增关系实体 新增关系实体 建立数据入图任务，将实体模型对应的实例数据入到图数据库，便于构建模型知识图谱，后续进行数据探索 新增数据入图任务 将数据模型及模型间关系以可视化模型图谱形式展示 模型图谱 支持基于实例间的关系进行扩展探索的实例图谱探索，以及基于固化下来的业务模型及路径，对该模型路径下的实例及实例关系进行探索的模型路径探索 探索数据 图形化编排数据模型，低代码甚至零代码服务编排原子API，形成跨实体（表）的组合API 聚合服务编排 定义全局变量，实现在请求和脚本中存储和重用数据 环境变量 企业可基于项目绘制业务流程图，将流程中的业务活动与数据模型联接，并关联相关数据服务，形成业务流程关联的数据资产归档 数字化场景

请求示例 文件系统ID为"77ba6f4b-6365-4895-8dda-bc7142af4dde"，规则rule_id为"11abef677ac40f46644d1d5cfc2424a4", 删除该权限规则 DELETE HTTPS://{endpoint}/v1/{project_id}/sfs-turbo/shares/77ba6f4b-6365-4895-8dda-bc7142af4dde/fs/perm-rules/11abef677ac40f46644d1d5cfc2424a4

响应参数 状态码： 400 表3 响应Body参数 参数 参数类型 描述 errCode String 错误码 最小长度：8 最大长度：36 errMsg String 错误描述 最小长度：2 最大长度：512 状态码： 500 表4 响应Body参数 参数 参数类型 描述 errCode String 错误码 最小长度：8 最大长度：36 errMsg String 错误描述 最小长度：2 最大长度：512

响应参数 状态码： 400 表4 响应Body参数 参数 参数类型 描述 errCode String 错误码 最小长度：8 最大长度：36 errMsg String 错误描述 最小长度：2 最大长度：512 状态码： 409 表5 响应Body参数 参数 参数类型 描述 errCode String 错误码 最小长度：8 最大长度：36 errMsg String 错误描述 最小长度：2 最大长度：512 状态码： 500 表6 响应Body参数 参数 参数类型 描述 errCode String 错误码 最小长度：8 最大长度：36 errMsg String 错误描述 最小长度：2 最大长度：512

响应示例 状态码： 400 错误响应 { "errCode" : "SFS.TURBO.0122", "errMsg" : "invalid mode" } 状态码： 409 错误响应，目录冲突 { "errCode" : "SFS.TURBO.0114", "errMsg" : "path already exist" } 状态码： 500 错误响应 { "errCode" : "SFS.TURBO.0005", "errMsg" : "Internal server error" }

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 账号的token Content-Type 是 String MIME类型 表3 请求Body参数 参数 是否必选 参数类型 描述 path 是 String 合法的的目录全路径 mode 否 Long 目录权限，默认值是755，取值范围是0到777。第一位表示目录所有者的权限，第二位表示目录所属用户组的权限，第三位表示其他用户的权限。目录所有者由uid指定，目录所属用户组由gid指定，不是目录所有者且不在目录所属用户组的用户为其他用户。例如：755中第一位7代表该目录所有者对该目录具有读、写、执行权限；第二位5代表该目录所属用户组对该目录具有读、执行权限；第三位5代表其他用户对该目录具有读、执行权限。 最小值：0 uid 否 Long 目录所有者的用户id，默认值是0，取值范围是0到4,294,967,294（即2^32-2）。 最小值：0 gid 否 Long 目录所属用户组id，默认值是0，取值范围是0到4,294,967,294（即2^32-2）。 最小值：0

功能介绍 使用上传至OBS桶中的超大外部镜像文件制作私有镜像，目前仅支持RAW或ZVHD2格式镜像文件。且要求镜像文件大小不能超过1TB。 由于快速导入功能要求提前转换镜像文件格式为RAW或ZVHD2格式，因此镜像文件小于128GB时推荐您优先使用常规的创建私有镜像的方式。 作为异步接口，调用成功，只是说明后台收到了制作请求，镜像是否制作成功需要通过异步任务查询接口查询该任务的执行状态，具体请参考异步任务查询。

请求示例 使用上传至OBS桶的外部镜像文件制作系统盘镜像，其中，OBS桶中外部镜像文件地址为“ims-image:centos70.zvhd2”，镜像标签数据格式为tags。 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 POST https://{Endpoint}/v2/cloudimages/quickimport/action { "name": "ims_test_file", "description": "OBS文件制作镜像", "image_url": "ims-image:centos70.zvhd2", "os_version": "CentOS 7.0 64bit", "min_disk": 40, "type": "ECS", "tags": [ "aaa.111", "bbb.333", "ccc.444" ] } 使用上传至OBS桶的外部镜像文件制作系统盘镜像，其中，OBS桶中外部镜像文件地址为“ims-image:centos70.zvhd2”，镜像标签数据格式为image_tags。 1 2 3 4 5 6 7 8 9 10 POST https://{Endpoint}/v2/cloudimages/quickimport/action { "name": "ims_test_file", "description": "OBS文件制作镜像", "image_url": "ims-image:centos70.zvhd2", "os_version": "CentOS 7.0 64bit", "min_disk": 40, "type": "ECS", "image_tags": [{"key":"key2","value":"value2"},{"key":"key1","value":"value1"}] } 使用上传至OBS桶的外部镜像文件制作数据盘镜像，其中，OBS桶中外部镜像文件地址为“ims-image:centos70.zvhd2”，镜像标签数据格式为tags。 1 2 3 4 5 6 7 8 9 10 11 12 13 14 POST https://{Endpoint}/v2/cloudimages/quickimport/action { "name": "ims_test_file", "description": "OBS文件制作镜像", "image_url": "ims-image:centos70.zvhd2", "os_type": "Linux", "min_disk": 40, "type": "DataImage", "tags": [ "aaa.111", "bbb.333", "ccc.444" ] } 使用上传至OBS桶的外部镜像文件制作数据盘镜像，其中，OBS桶中外部镜像文件地址为“ims-image:centos70.zvhd2”，镜像标签数据格式为image_tags。 1 2 3 4 5 6 7 8 9 10 POST https://{Endpoint}/v2/cloudimages/quickimport/action { "name": "ims_test_file", "description": "OBS文件制作镜像", "image_url": "ims-image:centos70.zvhd2", "os_type": "Linux", "min_disk": 40, "type": "DataImage", "image_tags": [{"key":"key2","value":"value2"},{"key":"key1","value":"value1"}] }

操作场景 如果系统预置的IMS权限不满足您的授权要求，可以创建自定义策略。自定义策略中可以添加的授权项（Action）请参考：权限及授权项说明。 目前支持以下两种方式创建自定义策略： 可视化视图创建自定义策略：无需了解策略语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图创建自定义策略：可以在选择策略模板后，根据具体需求编辑策略内容；也可以直接在编辑框内编写JSON格式的策略内容。 具体创建步骤请参见：创建自定义策略。本章为您介绍常用的IMS自定义策略样例。

策略样例 示例1：授权用户制作镜像 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "ims:serverImages:create" ] }, { "Effect": "Allow", "Action": [ "KMS:*:*" ] }, { "Effect": "Allow", "Action": [ "ecs:cloudServers:get", "ecs:servers:get", "ecs:serverVolumes:use", "ecs:cloudServers:list", "ecs:serverVolumeAttachments:list", "ecs:servers:list" ] }, { "Effect": "Allow", "Action": [ "bms:servers:list", "bms:servers:get", "bms:serverFlavors:get" ] }, { "Effect": "Allow", "Action": [ "evs:volumes:*" ] } ] } { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "OBS:*:*" ] } ] } 制作镜像对应的授权项为：ims:serverImages:create，其他授权项均为制作镜像所依赖的授权项。 示例2：拒绝用户删除镜像 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先原则。 如果您给用户授予IMS FullAccess的系统策略，但不希望用户拥有IMS FullAccess中定义的删除镜像权限，您可以创建一条拒绝删除镜像的自定义策略，然后同时将IMS FullAccess和拒绝策略授予用户，根据Deny优先原则，则用户可以对IMS执行除了删除镜像外的所有操作。拒绝策略示例如下： { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "ims:images:delete" ] } ] }

操作步骤 管理员可以根据实际业务需求，在iDME控制台购买数字主线引擎。针对不同的应用场景，管理员可以选择系统推荐的场景设置各服务能力的MCU（Model Compute Unit，数字主线引擎计费的计算单元）配额，或者自定义各服务能力的MCU配额，全方位贴合实际业务诉求。 进入购买工业数字模型驱动引擎页面。 选择“数字主线引擎”，根据页面提示，配置如下信息。 如果各服务能力可配置的MCU数量不能满足购买需求时，即超过可配置的数量上限，您可申请扩大配额，详细操作请参见配额管理。 表1 数字主线引擎配置说明 类型 配置项 配置说明 基础配置 区域 选择数字主线引擎所属的地域。 建议选择最靠近您的地域，可减少网络时延，提高访问速度。 计费模式 按需计费：数字主线引擎的后付费模式。 运行服务名称 用户自定义，表示需要购买的数字主线引擎的名称。 企业项目 仅对开通企业项目的企业客户账号显示。如需使用该功能，请联系客服申请开通。 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理，默认项目为default。了解更多企业项目相关信息，请参见企业项目管理。 MCU分配 - 为数字主线引擎的各服务能力（包括数字主线模型、数字主线算力、数字主线容量）分配MCU。 服务能力分配到的MCU越多，其性能规格越高。各服务能力规格说明详细请参见产品规格。 阅读并勾选同意协议。 协议详细内容请参见《工业数字模型驱动引擎（iDME）服务声明》和《iDME数据授权声明》。 单击“立即购买”，进入订单信息确认页面。 确认订单信息后单击“提交”。 待系统提示购买成功后，即可进入iDME控制台查收您的服务。

DME AppOperationAccess { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "dme:apps:get", "dme:apps:create", "dme:apps:modify", "dme:envs:get", "iam:users:listUsers" ] } ] }

DME ReadOnlyAccess { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "dme:apps:get", "dme:envs:get" ] } ] }

DME FullAccess { "Version": "1.1", "Statement": [ { "Action": [ "dme:apps:*", "dme:envs:*", "iam:users:listUsers", "vpc:vpcs:list", "vpc:securityGroups:get", "vpc:subnets:get", "vpc:publicIps:get", "vpc:publicIps:list", "vpc:publicIps:update" ], "Effect": "Allow" } ] }

DME EnvOperationAccess { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "dme:apps:get", "dme:envs:get", "dme:envs:deployApp", "dme:envs:destroyApp" ] } ] }

功能介绍 在使用工业数字模型驱动引擎（Industrial Digital Model Engine，简称iDME）服务前，建议您先了解iDME服务的基本概念，以便更好地理解服务提供的各项功能。其中表1展示了iDME控制台的功能概览，数据建模引擎和数字主线引擎详细描述了iDME 运行服务的功能概览。 表1 iDME控制台功能概览 功能名称 功能描述 发布区域 总览 查看iDME的总体使用情况，提供新手指引、运行服务概览、最佳实践、常用功能、健康情况、成长地图等。 华北-北京四 设计服务 应用管理：应用是指租户对最终用户提供的完整数据和功能的集合。您需要至少创建一个应用来使用iDME的设计服务和运行服务。在应用管理中您可以创建、修改、删除应用。 华北-北京四 运行服务 iDME 运行服务包括数据建模引擎和数字主线引擎两种运行服务。 数据建模引擎提供运行应用所依赖的资源和环境的管理能力。租户购买资源后可通过运行服务对发布的应用进行部署、升级、卸载。 数字主线引擎采用数字化技术，定义产品全量数据模型，打通数据孤岛联接业务数据，全关联海量业务实例数据构建全价值网络，并为各领域提供高效数据索引、追溯、交互服务。 华北-北京四 父主题： 产品功能

权限概述 工业数字模型驱动引擎（Industrial Digital Model Engine，简称iDME）权限管理是在统一身份认证服务（Identity and Access Management，简称IAM）和组织成员帐号（OrgID）的能力基础上，打造的细粒度权限管理功能。支持对控制台、设计服务和不同运行服务的权限控制，帮助用户便捷灵活的对租户下的IAM用户/用户组和OrgID组织成员设置不同的操作权限。 iDME的权限管理包括“控制台权限”、“设计服务”、“数据建模引擎”和“数字主线引擎”等能力，能够从控制台、设计服务和不同的运行服务层面对用户/用户组和组织成员进行细粒度授权，具体解释如下： 控制台权限：是基于IAM系统策略的授权，可以通过用户组功能实现IAM用户的授权。用户组是用户的集合，通过控制台权限设置可以让某些用户组操作控制台（如创建应用、部署应用、卸载应用、购买iDME商品等），而让某些用户组仅能在控制台查看资源信息。 设计服务权限：基于IAM能力的授权，通过应用设计态中的用户管理功能使IAM用户拥有进入应用设计态开发应用的权限。 数据建模引擎权限：提供体验版和基础版的数据建模引擎，应用部署在不同的数据建模引擎，对应应用运行态的权限控制能力不同。 部署在体验版数据建模引擎的应用运行态的权限，是基于IAM能力的授权，IAM用户可拥有进入对应应用运行态开发的权限。 部署在基础版数据建模引擎的应用运行态的权限，是基于OrgID能力的授权，OrgID组织成员可拥有进入对应的权限应用运行态开发的权限。请确保您的华为账号已开通OrgID和创建组织。关于OrgID的详细介绍，请参见OrgID。 数字主线引擎权限：基于IAM能力的授权，通过数字主线引擎中的用户授权功能使IAM用户拥有系统的合理操作权限。 父主题： 权限管理