华为云用户手册

Token认证 Token的有效期为24小时，需要使用一个Token鉴权时，可以先缓存起来，避免频繁调用。 Token在计算机系统中代表令牌（临时）的意思，拥有Token就代表拥有某种权限。Token认证就是在调用API的时候将Token加到请求消息头，从而通过身份认证，获得操作API的权限。 Token可通过调用获取用户Token接口获取，调用本服务API需要project级别的Token，即调用获取用户Token接口时，请求body中auth.scope的取值需要选择project，如下所示。 { "auth": { "identity": { "methods": [ "password" ], "password": { "user": { "name": "username", "password": "********", "domain": { "name": "domainname" } } } }, "scope": { "project": { "name": "xxxxxxxx" } } } } 获取Token后，再调用其他接口时，您需要在请求消息头中添加“X-Auth-Token”，其值即为Token。例如Token值为“ABCDEFJ....”，则调用接口时将“X-Auth-Token: ABCDEFJ....”加到请求消息头即可，如下所示。 1 2 3 POST https://iam.cn-north-4.myhuaweicloud.com/v3/auth/projects Content-Type: application/json X-Auth-Token: ABCDEFJ.... 您还可以通过这个视频教程了解如何使用Token认证：https://bbs.huaweicloud.com/videos/101333。

发票邮寄费用由谁来支付？ 华为云发票（华为云产品和在云商店购买的联营商品、华为商品） 如果申请纸质发票的开票金额未满10元，华为采用快递到付方式邮寄发票，由客户承担快递费用。如果申请纸质发票的开票金额大于等于10元，华为支付快递费用。 云商店发票（在云商店购买的通用商品） 如果申请纸质发票的开票金额未满100元，服务商采用快递到付方式邮寄发票，由客户承担快递费用。如果申请纸质发票的开票金额大于等于100元，快递费用由服务商支付。 父主题： 申请发票类

发票税率和发票内容说明 云商店产品发票 云商店产品的发票税率和发票内容，请咨询对应服务商。 华为云产品发票 下文中描述的“发票内容”会在发票中的红框位置展示，示例如下： 多数场景下，华为云产品的发票税率为6%，发票内容为“*信息技术服务*云服务费”。 其他场景下，发票税率和发票内容如下： 产品名称 发票内容 发票税率 ARM服务器租赁 *融资租赁*有形动产融资租赁服务 13% 会议终端设备-TE10 *广播电视设备*应用广播电视设备 13% Camera200 *通信终端设备*数据终端设备 13% 华为交互式电子白板 *通信终端设备*数据终端设备 13% 企业协同独立软件 *软件*通用应用软件 13% 华为Ideahub S *通信终端设备*数据终端设备 13% 设备租赁服务 *经营租赁*其他有形动产经营租赁服务 13% 华为Atlas 200 DK AI开发者套件 *通信终端设备*数据终端设备 13% 微半球型软件定义摄像机 *通信终端设备*数据终端设备 13% 小筒型软件定义摄像机 *通信终端设备*数据终端设备 13% 网络硬盘录像机 *通信终端设备*数据终端设备 13% 高级人工智能模型需求分析与设计 *研发和技术服务*技术开发费 6% 云会议+大屏组合包套餐 *信息系统增值服务*云服务+硬件组合套餐 6% 云网络专家服务 *软件*通用应用软件 6% 交通智能体专家服务 *鉴证咨询服务*咨询服务 6% 视频分析规划设计与实施服务 *软件*通用应用软件 6% 图像识别规划设计与实施服务 *软件*通用应用软件 6% 华为IdeaHub Pro *通信终端设备*数据终端设备 13% 华为IdeaHub配件 *通信终端设备*数据终端设备 13% NLP自然语言处理规划设计与实施服务 *软件*通用应用软件 6% WeLink企业数据专属专业服务 *鉴证咨询服务*咨询服务 6% WeLink企业品牌LOGO专享专业服务 *鉴证咨询服务*咨询服务 6% WeLink“Search+”专业服务 *鉴证咨询服务*咨询服务 6% WeLink “Athena+”专业服务 *鉴证咨询服务*咨询服务 6% 华为云会议宝IdeaHub样机 *通信终端设备*数据终端设备 13% HiLens平台软件服务 *信息系统增值服务*云服务+硬件组合套餐 6% 华为云基础服务人才培养服务 *非学历教育服务*培训服务 6% 云会议+Bar300组合包套餐 *信息系统增值服务*云服务+硬件组合套餐 6% 云会议+TE20组合包套餐 *信息系统增值服务*云服务+硬件组合套餐 6% 智慧园区资产服务 *软件*通用应用软件 6% 企业5G网络服务 *电信服务*互联网接入服务 6% Mic 500 智能阵列麦克风 *电子元件*电声器件 13% 5G消息 *电信服务*其他增值电信服务 6% 华为IdeaHub Enterprise *通信终端设备*数据终端设备 13% IdeaHub安装服务 *建筑服务*安装服务 9% 华为 IdeaHub Board 协作平板 *通信终端设备*数据终端设备 13% E系列软件定义摄像机 *通信终端设备*数据终端设备 13% WeLink专业服务 *鉴证咨询服务*咨询服务 6% 消息通知服务 *电信服务*短信和彩信服务 6% 消息&短信 *电信服务*短信和彩信服务 6% iTA流量 *电信服务*其他增值电信服务 6% IoT云通信 *电信服务*其他增值电信服务 6% 企业名片 *电信服务*其他增值电信服务 6% 企业协同终端 *通信终端设备*数据终端设备 13% 企业协同生态硬件 *通信终端设备*数据终端设备 13% HiLens Kit *电子计算机*电子计算机整机 13% 样例弹性云服务 *非学历教育服务*培训服务 6% 父主题： 发票信息类

支付订单需要身份验证吗？如何关闭身份验证？ 当客户在“安全设置＞敏感操作”里面开启操作保护后，账号以及账号中的IAM用户进行敏感操作时，例如在支付订单时需要输入验证码进行身份验证，避免误操作带来的风险和损失。“操作保护”默认为开启状态，为了您的资源安全，建议保持开启状态。 若客户支付订单不需要身份验证，如上图，直接单击身份验证框“关闭操作保护”，进入“安全设置＞敏感操作”里面操作保护处单击“立即修改”，关闭操作保护。 若想了解更多敏感操作知识及操作指南，请参见敏感操作。 父主题： 订单

对象存储桶失效常见场景 对象存储桶失效常见有如下三种场景。失效后，将自动关闭账单数据存储功能，华为云不再将账单文件同步存储至您OBS对应的桶资源中。 场景1：桶的拥有者（或者具备该桶的ACL写权限的账号）取消了账单数据推送账号的OBS桶写入权限。 示例：账号A是桶的拥有者，账号B拥有桶写入权限。B对桶的写入权限被A删除以后，B的账单文件将无法存储至桶资源中。更多信息请参见配置桶ACL。 场景2：桶的拥有者（或者具备该桶的ACL写权限的账号）删除了已开通账单数据存储功能的OBS桶的账单数据推送账号。 示例：账号A是桶的拥有者，账号B拥有桶的访问权限。A删除B以后，B的账单文件将无法存储至桶资源中。更多信息请参见配置桶ACL。 场景3：开通账单数据存储功能的OBS桶被桶的拥有者删除。更多信息请参见删除桶。 如果已配置OBS权限，仍然无法访问OBS，请参考这里进行排查。 父主题： 账单

GaussDB(for MySQL)跨地域内网能访问吗 跨地域内网默认不能访问，不同区域的云服务之间内网互不相通。您可以通过云连接或者VPN打通网络实现内网访问。 云连接：对于不同区域的VPC，不区分是否同一账号，都可以互连，跨区域连接实现全球云上网络。具体请参见跨区域VPC互连。 虚拟专用网络VPN：基于Internet使用加密隧道将不同区域的VPC连接起来。具备成本低、配置简单、即开即用等优点。但它的网络质量依赖Internet。具体请参见通过VPN连接VPC。 父主题： 数据库连接

如何防止任意源连接数据库 数据库开放EIP后，如果公网上的恶意人员获取到您的EIP DNS和数据库端口，那么便可尝试破解您的数据库并进行进一步破坏。因此，强烈建议您保护好EIP DNS、数据库端口、数据库账号和密码等信息，并通过云数据库GaussDB(for MySQL)实例的安全组限定源IP，保障只允许可信源连接数据库。 为避免恶意人员轻易破解您的数据库密码，请按照云数据库GaussDB(for MySQL)实例的密码策略设置足够复杂度密码，并定期修改。 父主题： 网络安全

GaussDB(for MySQL)提供root账号或super权限吗 GaussDB(for MySQL)提供的管理员账号为root账号，具有去除super、file、shutdown和create tablespace后的最高权限。 大部分的云数据库服务平台，都未给root账号提供super权限。因为一旦用户拥有了super权限，就可以执行很多管理性的命令，比如reset master，set global…，kill，reset slave等，这类操作很有可能导致GaussDB(for MySQL)出现不可预知的异常和故障。这一点是云服务平台和本地搭建MySQL比较大的区别，GaussDB(for MySQL)提供服务化能力，那就需要保证实例的稳定正常运行。 对于客户要求super权限的场景，GaussDB(for MySQL)提供了服务化能力，也可以通过其他手段绕过super权限的限制。 举例如下： 举例1：有些用户喜欢登录数据库执行如下命令来修改参数，这在GaussDB(for MySQL)是被禁止的，您只能通过GaussDB(for MySQL)界面中的参数修改功能来实现。 set global 参数名=参数值; 如果您的脚本中包含set global命令导致super缺失，请删除set global命令，通过console的参数修改。 举例2：有些用户执行如下命令报错，这也是因为没有super权限导致的，只需要去除definer='root’关键字即可。 create definer='root'@'%’ trigger(procedure)… 如果您缺失super权限，可以使用mysqldump导入数据，请参考使用mysqldump迁移MySQL数据导入和导出数据。 父主题： 数据库权限

主页 主页是开天企业工作台应用的聚合，成员可在主页快速处理企业内相关事宜，如查看日程、查看新闻、查看待办事项。 开天企业工作台为各个行业预置了行业模版，租户可以直接使用。在管理后台的门户管理中，租户管理员可以自定义门户，详情请参考管理员配置企业门户。本章节以默认的行业模版向您介绍主页的布局及内容，如图1所示。 图1 默认主页详情 导航栏：工作台的导航窗格，用于切换不同功能的界面。 个人中心：可进入个人中心，查看当前账号的相关信息、帮助中心等内容。 应用：系统的应用栏目，由后台管理员订阅相关应用进行使用。 待办中心：当前用户需要处理及已处理的内容。 新闻：单位、行业及系统发布的新闻内容，可搜索或按分类查看历史新闻。 公告：单位及系统发布的公告内容，可搜索或按分类查看历史公告。 日程：日历功能，显示用户参与的会议、通知、提醒及日程。 父主题： 普通用户指南（web）

发起1对1聊天 用户在导航栏输入人员姓名，搜索人员，如图1所示。 图1 搜索 单击搜索结果中的人员，进入聊天会话。 图2 会话详情 在输入框内输入消息，相关消息说明如表1所示，完成后单击“发送”。 表1 消息发送说明 操作 说明 在输入框发送消息 支持文本消息、图片、表情、文件、视频的发送，最大支持500M。 发送表情 单击，选择表情后单击“发送”。 发送必达消息 单击，在弹出必达消息界面中输入信息，输入完成后单击“火速发送”。 说明： 必达消息最多支持1000字。 必达消息对方三分钟后未读，将自动转换成短信发送。 发送本地文件 单击，选择任意格式的本地文件的上传。

发起群聊 在用户消息功能模块下，单击顶部搜索框的“+”，如图1所示。 图1 消息模块搜索框 在弹出的“发起聊天”对话框中，选择需要选中的人员或组织。 人员数量大于等于3人时才会创建群聊。 选择完成后，单击“确定”，输入群聊名称，选择群类型，单击“保存”，即创建群聊成功。 在输入框内输入消息，相关消息说明如表1所示，完成后单击“发送”。 表1 消息发送说明 操作 说明 在输入框发送消息 支持文本消息、图片、表情、文件、视频的发送，最大支持500M。 @相关人 单击，可以选择@相关人。 发送表情 单击，选择表情后单击“发送”。 发送必达消息 单击，在弹出必达消息界面中输入信息，输入完成后单击“火速发送”。 说明： 必达消息最多支持1000字。 必达消息对方三分钟后未读，将自动转换成短信发送。 发送本地文件 单击，选择任意格式的本地文件的上传。

设置群聊 在用户消息功能模块下，选择对应群聊。 在群聊对话框的右上角，单击。 在右侧弹出的界面中，可进行如表2所示操作。 表2 操作说明 操作 说明 修改群名 仅群主可以修改群名。 单击群名旁边的，修改完成后单击“确定”。 修改群主 仅群主可以修改群主。 单击群主旁边的，在下拉框中选择新群主，选择完成后单击“确定”。 修改群类型 仅群主可以修改群类型。 单击群类型旁边的，在弹出的对话框中选择群类型，选择完成后单击“确定”。 设置消息免打扰 ：启用消息免打扰功能。 ：关闭消息免打扰功能 设置群置顶 ：启用群置顶功能。 ：关闭群置顶功能 添加群成员 单击群成员区域的，在弹出的对话框中选择需要添加的成员，选择完成后单击“确定”。 移除群成员 单击群成员区域的，在弹出的对话框中选择需要移除的成员，选择完成后单击“确定”。 搜索群成员 单击群成员区域的，在搜索框中群成员名称进行搜索。

新建日程 在我的应用页面，单击“日程”。 在日程详情页，单击右上角“新建”，如图1所示。 图1 日程详情页 在弹出的下拉列表中，可选择新建会议、提醒、通知、日程，如图2所示。 图2 新建-下拉列表 在弹出的新建对话框中，配置对应的内容，单击“确定”。其中内容最多支持1000个字，内容附件中单个文件最大为20M；一次只能选择一个文件；附件可删除，最多上传9个附件，如图3、图4、图5、图6所示。 图3 新建-会议 图4 新建-提醒 图5 新建-通知 图6 新建-日程 您新建的内容将新增在日程列表中。

订购应用 当在应用中心没有找到合适的应用，您可以进入应用市场进行浏览，将您需要的应用告知租户管理员，租户管理员进行订阅并授权给您。 在顶部导航栏，单击“应用”，进入应用模块。 在全部应用页面中单击最右侧“应用市场”，进入应用市场，如图1所示。 图1 应用市场 在应用市场中浏览，查看您所需要的应用。您可将应用的链接或名称通过聊天告知管理员。聊天参见发起1对1聊天。 管理员在应用市场进行订购，参见添加应用。 订阅完成后，管理员将应用授权给您，即可使用应用。应用授权参见设置应用可见范围。

修订记录 发布日期 修订记录 2023-10-30 第七次正式发布。 圆桌子产品优化如下章节： 初学入门（新手用户）中创建主题操作步骤。 2023-09-30 第六次正式发布。 根据圆桌子产品界面变动优化如下章节： 圆桌初学入门（新手用户） 圆桌进阶能力（轻应用开发者） 2023-08-29 第五次正式发布。 新增： 圆桌子产品模块。 2023-05-13 第四次正式发布。 优化如下章节： 步骤二：配置企业通讯录 步骤三：配置企业应用 配置业务管理员 2022-12-08 第三次正式发布。 优化如下章节： 步骤三：配置企业应用 应用管理 2022-11-22 第二次正式发布。 按照初级入门和进阶实战分类。 新增如下章节： 步骤一：登录管理后台 优化如下章节： 自定义配置企业门户流程 2022-11-03 第一次正式发布。

操作步骤 用户获取“用户访问域名”，域名在管理员添加用户时，会通过短信或邮件的形式告知用户，添加用户详情请参考添加企业成员。或您可以直接登录开天企业工作台用户工作台。 登录方式有两种，一种是输入用户名和密码，另一种是输入手机和验证码，如图1所示，然后单击“登录”，进入用户门户首页。 图1 企业用户登录 通过管理员手动添加企业成员的方式创建的账号，首次登录或者未设置密码时，只可通过手机验证码的方式登录，登录后请根据弹窗提示前往设置密码，如图2所示。设置密码后，下次才可使用账号密码登录。 图2 设置密码 单击需要访问的应用，进入应用系统。 若您想了解更多功能，可参考《用户指南》。

圆桌权限 如果您需要对圆桌的企业中员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用圆桌提供的角色权限管理，对企业内员工进行精细的权限管理。如果您在华为注册的账号已经分配访问权限，不需要给员工创建独立的访问凭证和权限，您可以跳过本章节，不影响您使用圆桌服务的其它功能。 您可以使用统一身份认证服务（Identity and Access Management，简称IAM）或者使用圆桌账号登录圆桌。 系统预置角色：圆桌预置了常用角色权限，管理员给用户添加预置角色后，用户拥有角色对应的权限。系统预置角色不能修改。 租户管理员：开通圆桌服务时，系统自动创建租户管理员，租户管理员拥有当前租户内的所有权限。可以进行租户的开通、退租等，以及全局配置的管理。 模板市场管理员：系统预置的管理租户内部模板市场的管理员角色，对模板上架、下架等进行处理。 普通用户：注册圆桌并加入企业，即可成为普通用户。普通用户可以访问圆桌门户前台、执行业务、订阅并使用模板，访问轻应用构建平台，构建圆桌轻应用模板。 自定义角色：如果圆桌预置的角色无法满足您的需求，你也可以自定义角色权限，通过创建角色并绑定菜单，给角色添加成员，该成员即可拥有该角色对应的权限。具体操作可参见《用户指南》中的“圆桌自定义策略”章节。 表2 系统预置角色权限 操作描述 租户管理员 模板市场管理员 普通用户 访问圆桌门户 √ √ √ 使用模板 √ √ √ 订阅模板 √ √ √ 访问轻应用构建平台 √ √ √ 模板市场管理 √ √ x 租户内用户权限管理 √ x x 租户内数据权限管理 √ x x

企业工作台权限 如果您需要对企业工作台企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。如果您在华为云注册的账号已经分配访问权限，不需要给员工创建独立的访问凭证和权限，您可以跳过本章节，不影响您使用开天企业工作台服务的其它功能。 您可以使用统一身份认证服务（Identity and Access Management，简称IAM）在账号中给员工创建独立的IAM用户，授权控制员工对华为云资源的访问范围，员工即可使用IAM用户名和密码登录华为云，并按照权限使用账号中的资源。 IAM是华为云提供权限管理的基础服务，无需付费即可使用。关于IAM的详细介绍，请参见IAM产品介绍。 默认情况下，新创建的IAM用户没有任何权限，管理员需要在IAM控制台为其授予权限。授权后，用户就可以对云服务进行所有操作。开天企业工作台的所有系统权限如表1所示 表1 开天企业工作台系统权限 权限名称 描述 依赖关系 admin 开天企业工作台管理员权限，拥有该权限的用户可以对云服务进行所有操作。 无

身份认证与访问控制 身份认证 开天企业工作台提供了2种身份认证登录方式，未授权的用户不能访问： 企业租户管理员可以使用华为云用户名与密码登录华为云，通过华为云开天企业工作台SSO登录管理后台。 企业员工可以使用员工的账号和密码登录开天企业工作台，如果是管理员，可以再跳转到管理后台。 访问控制 企业租户管理员可以设置员工的访问权限，可以设置业务管理员角色，来管理开天企业工作台。 企业员工只能在企业租户管理员设置的权限下使用开天企业工作台。 父主题： 安全

开天企业工作台总览 开天企业工作台聚焦于企业办公应用，其包含了企业工作台和圆桌两个子产品。 企业工作台（MacroVerse SmartStage for Enterprises，MSSE）是一款企业数字化工作台，包含了工作台门户、统一用户、统一组织、统一登录、统一应用授权、应用预装和应用管理等功能。工作台门户可以为不同行业提供定制的门户模板，支持企业自定义门户布局。 圆桌（RoundTable）是一个智能化云办公平台，致力于打造企业数字化的业务即IT融合平台，降低企业流程应用开发门槛，提升企业员工办公效率。包含了业务流构建平台、个人工作台、模板市场等功能。

产品简介 GaussDB(for MySQL)实例支持只读节点。 在对数据库有少量写请求，但有大量读请求的应用场景下，单个实例可能无法抵抗读取压力，甚至对主业务产生影响。为了实现读取能力的弹性扩展，分担数据库压力，您可以在某个区域中创建一个或多个只读节点，利用只读节点满足大量的数据库读取需求，以此增加应用的吞吐量。您需要在应用程序中分别配置主实例和每个只读节点的连接地址，才能实现将写请求发往主节点，而将读请求发往只读节点。

功能限制 单个“包年/包月”和“按需计费”实例最多可以创建15个只读节点，“Serverless”实例仅允许有一个只读节点。 实例恢复：不支持通过任意时间点创建临时节点，不支持通过备份集覆盖节点。 数据迁移：不支持将数据迁移至只读节点。 数据库管理：不支持创建和删除数据库。 账号管理：只读节点不提供创建账号权限。 只读节点与主节点可能会存在时延，其中全文索引由于其本身的特殊机制，延时较为显著。如果您的业务对时延较为敏感，可将查询发送到主节点。

账户说明 您在创建GaussDB(for MySQL)实例时，系统会自动为实例创建如下系统账户（用户不可使用），用于给数据库实例提供完善的后台运维管理服务。 删除、重命名、修改这些账户的密码和权限信息，会导致实例运行异常，请谨慎操作。 rdsAdmin：管理账户，拥有最高的superuser权限，用于查询和修改实例信息、故障排查、迁移、恢复等操作。 rdsRepl：复制账户，用于只读节点在主实例上同步数据。 rdsBackup：备份账户，用于后台的备份。 rdsMetric：指标监控账户，用于watchdog采集数据库状态数据。 rdsProxy：数据库代理账户，该账户在开通读写分离时才会自动创建，用于通过读写分离地址连接数据库时鉴权使用。

账户密码等级设置 GaussDB(for MySQL)管理控制台上数据库密码复杂度，请参见购买实例中的数据库配置表格。 GaussDB(for MySQL)对在客户端新创建的数据库用户，设置了密码安全策略： 口令长度至少8个字符。 口令至少包含大写字母、小写字母、数字、特殊字符三种字符的组合，其中允许输入~!@#%^*-_=+?,()&$特殊字符。 创建实例时，为用户提供了密码复杂度校验，由于root用户可以修改密码复杂度，安全起见，建议修改后的密码复杂度不低于GaussDB(for MySQL)数据库的初始化设置。

维度 表3 监控指标维度 Key Value gaussdb_mysql_instance_id GaussDB(for MySQL)实例ID gaussdb_mysql_node_id GaussDB(for MySQL)实例节点ID dbproxy_instance_id GaussDB(for MySQL)Proxy实例ID dbproxy_node_id GaussDB(for MySQL)Proxy节点ID

使用规范 HTAP分析节点有较好的查询性能，单次查询最大会利用一半的CPU，所以并发度建议100以下。 为达到较好性能，可以利用如下手段对查询进行优化： 减少无效的计算，去除SQL中不用的字段，避免用SELECT *，简化SQL。 去除无用的列，若结果使用到全部列，则相对行存无法达到优化效果。 字段类型的定义，尽量用原始定义的数据类型，原始的数据类型处理时内核有优化，比如时间类型不要定义成String。字段非空明确指定，尽量不用nullable。 可以通过分区来管理数据，分区要有区分度，且经常用于查询。GaussDB(for MySQL)中创建的range分区会自动同步到HTAP中，其他分区不会同步。若需要重新指定分区键，可以在创建同步时重新指定。分区数过多会影响性能。 排序键是高性能的基础，建议按查询的频度进行排序，去除不用的排序键，排序键最好不要超过5个。 当查询条件不在排序键中时，可以尝试添加跳数索引。 尽量避免多表关联，可以通过大宽表，保持一定的数据冗余来避免。Join时小表作为右表。尝试用IN替代JOIN。 对经常使用的表，数据量在50万条以下，可以尝试创建数据字典表。创建的表会加载到内存，减少join，提升查询性能。 对频繁使用的耗时查询，可以创建物化视图，提升性能。当通过多表关联来创建物化视图时，需注意只支持基表的插入更新，右表不支持更新。 父主题： HTAP分析节点

GaussDB(for MySQL)自定义策略样例 示例1：授权用户创建GaussDB(for MySQL)实例 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "gaussdb:instance:create" ] } ] } 示例2：拒绝用户删除GaussDB(for MySQL)实例 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先原则。 如果您给用户授予GaussDB FullAccess的系统策略，但不希望用户拥有GaussDB FullAccess中定义的删除GaussDB(for MySQL)实例权限，您可以创建一条拒绝删除GaussDB(for MySQL)实例的自定义策略，然后同时将GaussDB FullAccess和拒绝策略授予用户，根据Deny优先原则，则用户可以对GaussDB(for MySQL)执行除了删除GaussDB(for MySQL)实例外的所有操作。拒绝策略示例如下： { "Version": "1.1", "Statement": [ { "Effect": "Deny" "Action": [ "gaussdb:instance:delete" ], } ] } 示例3：多个授权项策略 一个自定义策略中可以包含多个授权项，且除了可以包含本服务的授权项外，还可以包含其他服务的授权项，可以包含的其他服务必须跟本服务同属性，即都是项目级服务或都是全局级服务。多个授权语句策略描述如下： { "Version": "1.1", "Statement": [ { "Action": [ "gaussdb:instance:create", "gaussdb:instance:modify", "gaussdb:instance:delete", "vpc:publicIps:list", "vpc:publicIps:update" ], "Effect": "Allow" } ] } 示例4 对目标用户授权管理指定的实例和实例的部分功能 假设您的账号下有多个实例，但是作为管理员。您希望授权GaussDB(for MySQL)实例中的部分实例给目标用户，并授予部分功能给目标用户，那么您可以创建如下权限策略： { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "gaussdb:instance:restart", "gaussdb:instance:modify" ], "Resource": [ "GAUSSDB:*:*:instance:test*" ] }, { "Effect": "Allow", "Action": [ "gaussdb:param:list", "gaussdb:tag:list", "gaussdb:backup:list", "gaussdb:instance:create", "gaussdb:instance:list" ] } ] } 被授予该权限策略的目标用户号可以查看所有的实例，但只能管理已被授权的实例。同时作为管理员，您仍然可以使用API直接管理上述实例。被授予该权限策略的目标用户仅可以对账号下所有的GaussDB(for MySQL)实例进行重启和修改实例操作，但不允许进行其他任何操作。 test*是对实例名称的模糊匹配，在权限策略中是必须的，否则被授权的用户无法在控制台看到任何实例。 GaussDB(for MySQL)支持通过用户进行API级别的访问控制，您可以通过相关API对GaussDB(for MySQL)进行细粒度的权限访问控制，详情请参见API概览。

约束与限制 GaussDB(for MySQL)的HTAP分析节点在使用上有如下约束限制，用来提高实例的稳定性和安全性。 HTAP的SQL语句大小写敏感。 表必须定义主键才支持同步，否则会跳过。 合理选取分区键，分区数大于二且小于等于二十，GaussDB(for MySQL)中创建的range分区会自动同步到HTAP中，其他分区不会同步。可以在创建同步时重新指定分区键。 合理定义排序键，按查询使用的频度排序，优先左匹配。当有不同顺序的排序键述求时，可以通过创建物化视图来支持。 GaussDB(for MySQL)上执行的DDL，部分不支持同步到HTAP，可能会导致同步失败或数据不一致，使用时需注意，详细参见不支持同步的DDL。 由于HTAP使用了快照(snapshot)加速查询，当前不支持通过投影(Projection)优化查询。 物化视图只支持基表的插入更新，不支持修改和删除。物化视图不能在同步库里创建，只能在自行创建的数据库里创建。 数据同步创建的库不支持修改，用户若有修改调整的述求，可以自行在实例上创建数据库并进行相关操作。 同步的数据库名称和表名称不支持中文字符。 父主题： HTAP分析节点

支持审计的关键操作列表 通过云审计服务，您可以记录与GaussDB(for MySQL)实例相关的操作事件，便于日后的查询、审计和回溯，支持的主要操作事件如表1所示。 表1 云审计服务支持的GaussDB(for MySQL)操作列表 操作名称 资源类型 事件名称 创建实例 instance createInstance 添加只读节点 instance addNodes 删除只读节点 instance deleteNode 重启实例 instance restartInstance 修改实例端口 instance changeInstancePort 修改实例安全组 instance modifySecurityGroup 只读实例升级为主实例 instance instanceSwitchOver 绑定或解绑公网IP instance setOrResetPublicIP 删除实例 instance deleteInstance 重命名实例名称 instance renameInstance 修改节点优先级 instance modifyPriority 创建数据库 instance createDatabase 创建数据库用户 instance createDatabaseUser 重置密码 instance resetPassword 删除数据库 instance dropDatabase 删除数据库用户 instance dropDatabaseUser 修改数据库用户密码 instance modifyDatabaseUserPwd 备份恢复到新实例 instance restoreInstance 开启读写分离 instance openProxy 关闭读写分离 instance closeProxy 设置读写分离权重 instance setProxyWeight 变更实例的CPU和内存规格 instance resizeFlavorOrVolume 设置秒级监控 instance openSecondExtend 升级内核小版本 instance upgradeVersion 添加标签 instance addInstanceTags 数据库用户授权 instance grantDatabaseUser 回收数据库用户权限 instance revokeDatabaseUser 申请内网域名 instance createDnsName 修改内网域名 instance modifyDnsName 修改代理实例路由模式 instance modifyProxyRouteMode 修改读写分离端口号 instance modifyProxyPort 申请数据库代理内网域名 instance proxyCreateDns 修改数据库代理内网域名 instance modifyProxyDnsName 删除数据库代理内网域名 instance deleteProxyDnsName 缩容数据库代理节点 instance reduceProxy 创建备份 backup createManualSnapshot 设置自动备份策略 backup setBackupPolicy 删除备份 backup deleteManualSnapshot 创建参数模板 parameterGroup createParameterGroup 修改参数模板 parameterGroup updateParameterGroup 删除参数模板 parameterGroup deleteParameterGroup 复制参数模板 parameterGroup copyParameterGroup 重置参数模板 parameterGroup resetParameterGroup 比较参数模板 parameterGroup compareParameterGroup 应用参数模板 parameterGroup applyParameterGroup 父主题： CTS审计

身份认证 用户访问云数据库GaussDB(for MySQL)时支持对数据库用户进行身份验证，包含密码验证和IAM验证两种方式。 密码验证 您需要对数据库实例进行管理，使用数据管理服务（Data Admin Service）登录数据库时，需要对账号密码进行验证，验证成功后方可进行操作。 IAM验证 您可以使用统一身份认证服务（Identity and Access Management， IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全地控制华为云资源的访问。您创建的IAM用户，需要通过验证用户和密码才可以使用GaussDB(for MySQL)资源。具体请参见创建IAM用户并登录。