华为云用户手册

URI DELETE /autoscaling-api/v1/{project_id}/scaling_lifecycle_hook/{scaling_group_id}/{lifecycle_hook_name} 表1 参数说明 参数 是否必选 参数类型 描述 project_id 是 String 项目ID scaling_group_id 是 String 伸缩组ID lifecycle_hook_name 是 String 生命周期挂钩名称

请求示例 查询在ID为e5d27f5c-dd76-4a61-b4bc-a67c5686719a的伸缩组内，ID为b25c1589-c96c-465b-9fef-d06540d1945c的实例的挂起信息。 GET https://{Endpoint}/autoscaling-api/v1/{project_id}/scaling_instance_hook/e5d27f5c-dd76-4a61-b4bc-a67c5686719a/list?instance_id=b25c1589-c96c-465b-9fef-d06540d1945c

响应示例 { "instance_hanging_info": [ { "instance_id": "b25c1589-c96c-465b-9fef-d06540d1945c", "scaling_group_id": "e5d27f5c-dd76-4a61-b4bc-a67c5686719a", "lifecycle_hook_name": "hook-test", "lifecycle_action_key": "6ebe6e72-4b09-4adb-ae4a-a91dc0560069", "default_result": "ABANDON", "timeout": "2016-11-15T06:43:41Z", "lifecycle_hook_status": "HANGING" } ]}

返回值 正常 200 异常 返回值 说明 400 Bad Request 服务器未能处理请求。 401 Unauthorized 被请求的页面需要用户名和密码。 403 Forbidden 对被请求的页面访问禁止。 404 Not Found 服务器无法找到被请求的页面。 405 Method Not Allowed 请求中指定的方法不被允许。 406 Not Acceptable 服务器生成的响应无法被客户端所接受。 407 Proxy Authentication Required 用户必须首先使用代理服务器进行验证，这样请求才会被处理。 408 Request Timeout 请求超出了服务器的等待时间。 409 Conflict 由于冲突，请求无法被完成。 500 Internal Server Error 请求未完成。服务异常。 501 Not Implemented 请求未完成。服务器不支持所请求的功能。 502 Bad Gateway 请求未完成。服务器从上游服务器收到一个无效的响应。 503 Service Unavailable 请求未完成。系统暂时异常。 504 Gateway Timeout 网关超时。

响应参数 表2 响应参数 参数 参数类型 描述 instance_hanging_info Array of instance_hanging_info objects 伸缩实例生命周期挂钩列表。 表3 instance_hanging_info字段数据结构说明 参数 参数类型 描述 lifecycle_hook_name String 生命周期挂钩名称。 lifecycle_action_key String 生命周期操作令牌，用于指定生命周期回调对象。 instance_id String 伸缩实例ID。 scaling_group_id String 伸缩组ID。 lifecycle_hook_status String 伸缩实例挂钩的挂起状态。 HANGING：挂起 CONTINUE：继续 ABANDON：终止 timeout String 超时时间，遵循UTC时间，格式为：YYYY-MM-DDThh:mm:ssZ default_result String 生命周期挂钩默认回调操作。

URI GET /autoscaling-api/v1/{project_id}/scaling_instance_hook/{scaling_group_id}/list 可以在URI后面用‘?’和‘&’添加不同的查询条件组合。支持参数说明中所有非必选参数过滤，请参考请求示例。 表1 参数说明 参数 是否必选 参数类型 描述 project_id 是 String 项目ID。 scaling_group_id 是 String 伸缩组ID。 instance_id 否 String 伸缩实例ID。

应用服务器调用接口失败怎么处理？ 请检查应用服务器的网络连接情况，确保应用服务器网络正常。 检查请求中物联网平台的应用接入地址和端口是否正确。 使用“ping {物联网平台应用接入地址}”命令，查看应用服务器是否可以正常访问物联网平台的应用接入地址。 使用“telnet {物联网平台应用接入地址} {端口}”命令，查看是否可以打开物联网平台的应用接入端口。 检查应用服务器是否集成了物联网平台的证书，证书可从开发资源获取页面下载。 根据接口文档，查看各个参数的填写是否正确。 使用V3接口情况下，调用”鉴权”接口返回的accessToken有效期是一个小时，过期后，调用其他接口也会失败。请调用“鉴权“接口获取新的accessToken后，重新调用其他接口。 使用V5接口情况下，调用“认证鉴权”接口返回的X-Auth-Token有效期未24小时，过期后，调用其他接口也会失败。请调用”认证鉴权”获取新的X-Auth-Token后，重新调用其他接口即可。 如果以上问题均已排除，请根据接口返回的错误码进行处理，错误码的含义可参见错误码列表。如果应用封装了错误码，可以使用postman调用相同的接口，获取设备接入返回的原始错误码及描述，再按照对应错误码的处理建议进行处理。 例如调用创建设备接口提示“nodeId重复”，则需要查看在自己的账号下是否已经存在相同nodeId的设备。如果在自己的账号下未找到使用相同nodeId的设备，请提交工单联系技术专家，由支撑人员检查该nodeId在设备接入的使用情况。

应用集成IoTDA应用侧SDK报错Missing request header 'X-Auth-Token' for method parameter of type String 问题描述 应用集成了IoTDA的应用侧SDK，使用AKSK进行认证鉴权，但是接口返回400状态码，错误描述是Missing request header 'X-Auth-Token' for method parameter of type String。 可能原因 AKSK签名算法与对应集群支持的签名算法不匹配导致 解决方法 访问IoTDA北京四基础版接入地址时，使用的是通用的AKSK签名算法。 访问IoTDA标准版或者企业版的接入地址时，使用的是衍生的AKSK签名算法，需要明确指定使用衍生算法，详情可参考集成应用侧SDK的注释说明。

什么是NB-IoT？ 基于蜂窝的窄带物联网（Narrow Band Internet of Things, NB-IoT）是万物互联网络的一个重要分支。NB-IoT构建于蜂窝网络，只消耗大约180KHz的带宽，可直接部署于GSM网络、UMTS网络或LTE网络，以降低部署成本、实现平滑升级。 NB-IoT是IoT领域一个新兴的技术，支持低功耗设备在广域网的蜂窝数据连接，也被叫作低功耗广域网（LPWAN）。NB-IoT支持待机时间长、对网络连接要求较高设备的高效连接。据说NB-IoT设备电池寿命可以提高至至少10年，同时还能提供非常全面的室内蜂窝数据连接覆盖。 目前，NB-IoT应用场景有：智慧锁、智慧城市、智慧水表、智慧气表、智慧跟踪器、智慧仓储、智慧路灯...它们都是把原始的数据诉求给平台方，云平台通过NB模块实现数据的整合，传递给人类进行有效数据的分析使用。 父主题： 方案咨询

连接IoT平台的业务场景有哪些？ 连接IoT平台的业务有四个场景： 设备 + IoT平台 + 应用 该场景为最通用的场景，设备将数据上报到IoT平台，IoT平台对设备进行管理，同时针对不同的事件类型，会将数据推送到用户应用，同时应用可以将命令下发到IoT平台，平台可以缓存/实时下发命令给设备。 图1 设备 + IoT平台 + 应用 设备 + IoT平台 + 华为云其他云服务 该场景为数据流转场景，设备将数据上报到IoT平台后，IoT平台对设备进行管理，通过自定义数据转发规则，将设备数据转发到华为云其他云服务，进行跨服务的业务处理。 图2 设备 + IoT平台 + 第三方云服务 设备 + IoT平台 + 第三方云服务 + 应用 该场景为前两个场景的结合，设备将数据上报到IoT平台后，IoT平台对设备进行管理，用户可以通过应用获取数据/下发命令等，同时也可以通过自定义规则将数据流转到第三方云服务进行处理。 图3 设备 + IoT平台 + 第三方云服务 + 应用 设备 + IoT平台 该场景比较简单，设备将数据上报到IoT平台后，通过控制台查看设备数据及监控设备状态，用户无需对设备数据进行二次处理。 图4 设备 + IoT平台 父主题： 方案咨询

订阅后消息推送失败如何处理？ 问题描述 订阅后，应用服务器未正确接收到推送消息，或参考“连通性测试”，在设备接入管理控制台中使用连通性测试功能测试“第三方应用服务（HTTP推送）”，结果为推送失败。 图2 连通性测试样例 可能原因 如果订阅地址是HTTPS地址，可能是服务端的证书制作有问题或者服务端证书对应的CA证书未上传至物联网平台 订阅地址对应的服务端口未开放。 若订阅地址为域名，并且域名绑定多个IP，可能是DNS解析问题。 解决方法 如果订阅地址是HTTPS地址，商用时，推荐向证书机构申请证书，然后参考设备接入平台上传证书进行证书上传。如果是调测时请先确保证书制作过程无误。上传证书时如果打开了“是否检查CNAME ”开关，需要确保应用服务器的域名地址和证书中的CNAME一致；证书中的CNAME可通过证书校验工具查看。 请确认订阅地址对应的服务端口是否开放。可在其他外网机器上使用telnet命令验证下您的IP和端口是否已开放，若未开放，请将其开放或修改订阅的IP和端口。 若订阅地址为域名，并且域名绑定多个IP，请确认DNS解析后的IP地址是否正确且可达。 使用设备接入管理控制台提供的“消息跟踪”功能，触发推送后，查看消息跟踪的数据，确认平台是否触发订阅推送，以及是否推送成功。 请在应用服务器抓包确认是否接收到设备接入平台推送的消息。

设备数据变化通知和批量设备数据变化通知的区别是什么？ 设备数据变化通知和批量设备数据变化通知接口都是订阅设备的数据变化，只是封装的数据格式不一样。 例如：一款水表设备有Battery和Connectivity两种服务类型，每次上报数据都会上报这两个服务的数据。 如果订阅deviceDatachanged（设备数据变化通知），则物联网平台分两次将数据推送到应用服务器，第一次推送Battery服务数据，第二次推送Connectivity服务数据。例如： { "notifyType":"deviceDataChanged", "deviceId":"70a8d7cd-5ecd-4bda-a87c-afc16bd31bda", "gatewayId":"70a8d7cd-5ecd-4bda-a87c-afc16bd31bda", "requestId":null, "service":{ "serviceId":"battery", "serviceType":"battery", "data":{ "batteryLevel":66 }, "eventTime":"20170211T034003Z" }} { "notifyType":"deviceDataChanged", "deviceId":"70a8d7cd-5ecd-4bda-a87c-afc16bd31bda", "gatewayId":"70a8d7cd-5ecd-4bda-a87c-afc16bd31bda", "requestId":null, "service":{ "serviceId":"Connectivity", "serviceType":"Connectivity", "data":{ "signalStrength":72, "cellId":4022250974, "tac":61374, "mnc":91, "mcc":235 }, "eventTime":"20170211T092317Z" }} 如果订阅deviceDataschanged（批量设备数据变化通知），则物联网平台将两次服务的数据封装在一起发送到应用服务器。 { "notifyType":"deviceDatasChanged", "requestId":null, "deviceId":"70a8d7cd-5ecd-4bda-a87c-afc16bd31bda", "gatewayId":"70a8d7cd-5ecd-4bda-a87c-afc16bd31bda", "services":[ { "serviceId":"battery", "serviceType":"battery", "data":{ "batteryLevel":66 }, "eventTime":"20170211T034003Z" }, { "serviceId":"Connectivity", "serviceType":"Connectivity", "data":{ "signalStrength":72, "cellId":4022250974, "tac":61374, "mnc":91, "mcc":235 }, "eventTime":"20170211T034003Z" } ]}

为什么设备上报一条数据后应用服务器会收到多条推送？ 可能有以下几种情况： 如果订阅的“notifyType”为“deviceDataChanged”，且多条消息推送的内容不同，可能是因为设备上报的数据包含了多个service（即“data”参数内包括多个JSON对象），物联网平台会将其拆成多条消息推送。 如果是接到两条消息，且一条消息的“notifyType”为“deviceDataChanged”，另一条消息的“notifyType”为“deviceDatasChanged”，说明您同时订阅了设备数据变化和设备数据批量变化，这种情况下设备上报数据物联网平台会推送两条消息。 如果是相同的消息反复推送，可能是因为应用服务器没有及时对推送消息返回响应，物联网平台认为推送失败了，启动了重推机制反复推送相同的消息。

调用订阅接口时，回调地址如何获取？ 以业务应用订阅设备数据变化通知为例，订阅和推送的流程如下： 图1 订阅推送流程图 应用服务器通过调用物联网平台的订阅接口订阅设备数据变化通知（携带回调地址和通知类型），物联网平台将业务应用的回调地址和订阅的通知类型存储到订阅列表中以便向业务应用推送设备数据变化消息。 设备上报数据给物联网平台。 物联网平台根据订阅时设置的回调地址，将设备数据主动推送给业务应用。 什么是回调地址？ 回调地址（callbackUrl）是指业务应用自定义的，供外部访问的restful接口地址。当物联网平台向业务应用推送消息时，实际是调用业务应用的restful接口把数据发给业务应用。 回调地址的请求方式必须为POST。 怎样获取回调地址？ 回调地址由通信方式、业务应用的访问地址和restful接口的URL组成，如https://server:port/URL。 通信方式建议使用https协议，保证业务应用与物联网平台的通信安全。使用https协议通信时，物联网平台需要加载证书，制作证书参考证书制作。 由于业务应用所在的网络不同，业务应用的访问地址也不同。 业务应用部署在公网时，业务应用的访问地址就是业务应用的公网IP:端口（或域名:端口）。 业务应用部署在局域网时，需要在业务应用配置网络穿透，生成业务应用的公网访问地址，具体配置自行从网上获取网络穿透工具的配置步骤。 不同通知类型的订阅，回调地址可以相同也可以不同，根据业务需求自定义。

设备管理服务和设备接入服务合一后的差异点是什么？ 设备管理服务和设备接入服务合一后，主要有以下变更点： 功能：全新升级后的设备接入服务（IoTDA），整合了原设备接入服务和设备管理服务的功能，新用户只需开通设备接入服务，即可同时使用设备接入和设备管理的全部功能。 计费：已开通过设备接入服务的用户，可叠加使用设备管理服务的功能，按消息数计费的方式不变；原设备接入服务和设备管理服务都已开通使用的用户， 业务使用不受影响， 自2020年3月26日00:00（北京时间）起，计费方式仅保留按消息数计费，不再按设备数计费。 父主题： 方案咨询

物联网平台支持在华为云的哪些区域开通？ 设备接入服务（IoTDA）当前支持在“华北-北京四”、“华东-上海一”、“华南-广州”和“华南-广州-友好用户环境”“中国-香港”、“亚太-新加坡”、“亚太-曼谷”区域开通服务。企业版当前仅支持在“华北-北京四”、“华东-上海一”、“华南-广州”区域开通服务。 原设备接入服务和设备管理服务只支持在“华北-北京一”区域使用，且不支持新用户开通此服务。 设备发放、全球SIM联接、数据分析支持在“华北-北京四”区域开通服务。 父主题： 方案咨询

企业管理系统与华为云联邦身份认证交互流程 图4为用户在发起单点登录请求后，企业管理系统与华为云间的交互流程。 图4 联邦身份认证交互流程 为方便您查看交互的请求及断言消息，建议您使用Chrome浏览器并安装插件“SAML Message Decoder”。 从图4中可知，联邦身份认证的步骤为： 用户在浏览器中打开创建身份提供商后生成的登录链接，浏览器向华为云发起单点登录请求。 华为云根据登录链接中携带的信息，查找IAM身份提供商中对应的Metadata文件，构建SAML Request，发送给浏览器。 浏览器收到请求后，转发SAML Request给企业IdP。 用户在企业IdP推送的登录页面中输入用户名和密码，企业IdP对用户提供的身份信息进行验证，并构建携带用户信息的SAML断言，向浏览器发送SAML Response。 浏览器响应后转发SAML Response给华为云。 华为云从SAML Response中取出断言，并根据已配置的身份转换规则映射到具体的IAM用户组，颁发Token。 用户完成单点登录，访问华为云。 断言中要携带签名，否则会导致登录失败。

联邦身份认证的配置步骤 建立企业管理系统与华为云的联邦身份认证关系，配置流程如下。 建立互信关系并创建身份提供商：交换华为云与企业IdP的元数据文件，建立信任关系，如图1所示，并在华为云上创建身份提供商。 图1 交换Metadata文件模型 在华为云配置身份转换规则：通过配置身份转换规则，将IdP中的用户、用户组及其访问权限映射到华为云，用户转换模型如图2所示。 图2 用户转换模型 配置企业管理系统登录入口：将华为云的访问入口配置到企业管理系统中，用户可通过登录企业管理系统直接访问华为云，如图3所示。 图3 配置单点登录模型

联邦身份认证配置示例 由于不同的企业IdP的配置存在较大差异，华为云帮助文档对于企业IdP的配置不做详述，具体操作请参考企业IdP的帮助文档。常见IdP与华为云建立联邦身份认证的操作，请参见： 使用Active Directory Federation Services建立与华为云的联邦身份认证 使用Shibboleth IdP建立与华为云的联邦身份认证 使用Azure AD建立与华为云的联邦身份认证 使用OneAccess建立与华为云的联合认证

系统策略更名详情 现对系统策略（即细粒度策略类型）名称进行调整，新的策略名称将于2020/2/6 22:30:00（北京时间）正式生效。本次调整仅涉及对系统策略名称的修改，不会影响您的业务，请放心使用。原始系统策略为Version 1.0，目标系统策略为Version 1.1，当前IAM兼容两个版本。 表1 系统策略更名详情 服务 原始系统策略名称 目标系统策略名称 AOM AOM Admin AOM FullAccess AOM Viewer AOM ReadOnlyAccess APM APM Admin APM FullAccess APM Viewer APM ReadOnlyAccess Auto Scaling AutoScaling Admin AutoScaling FullAccess AutoScaling Viewer AutoScaling ReadOnlyAccess BMS BMS Admin BMS FullAccess BMS User BMS CommonOperations BMS Viewer BMS ReadOnlyAccess BSS EnterpriseProject_BSS_Administrator EnterpriseProject BSS FullAccess CBR CBR Admin CBR FullAccess CBR User CBR BackupsAndVaultsFullAccess CBR Viewer CBR ReadOnlyAccess CCE CCE Admin CCE FullAccess CCE Viewer CCE ReadOnlyAccess CCI CCI Admin CCI FullAccess CCI Viewer CCI ReadOnlyAccess CDM CDM Admin CDM FullAccess CDM Operator CDM FullAccessExceptUpdateEIP CDM Viewer CDM ReadOnlyAccess CDM User CDM CommonOperations CDN CDN Domain Configuration Operator CDN DomainConfigureAccess CDN Domain Viewer CDN DomainReadOnlyAccess CDN Logs Viewer CDN LogsReadOnlyAccess CDN Refresh And Preheat Operator CDN RefreshAndPreheatAccess CDN Statistics Viewer CDN StatisticsReadOnlyAccess CES CES Admin CES FullAccess CES Viewer CES ReadOnlyAccess CS CS Admin CS FullAccess CS Viewer CS ReadOnlyAccess CS User CS CommonOperations CSE CSE Admin CSE FullAccess CSE Viewer CSE ReadOnlyAccess DCS DCS Admin DCS FullAccess DCS Viewer DCS ReadOnlyAccess DCS User DCS UseAccess DDM DDM Admin DDM FullAccess DDM Viewer DDM ReadOnlyAccess DDM User DDM CommonOperations DDS DDS Admin DDS FullAccess DDS DBA DDS ManageAccess DDS Viewer DDS ReadOnlyAccess DLF DLF Admin DLF FullAccess DLF Developer DLF Development DLF Operator DLF OperationAndMaintenanceAccess DLF Viewer DLF ReadOnlyAccess DMS DMS Admin DMS FullAccess DMS Viewer DMS ReadOnlyAccess DMS User DMS UseAccess DNS DNS Admin DNS FullAccess DNS Viewer DNS ReadOnlyAccess DSS DSS Admin DSS FullAccess DSS Viewer DSS ReadOnlyAccess DWS DWS Admin DWS FullAccess DWS Viewer DWS ReadOnlyAccess ECS ECS Admin ECS FullAccess ECS Viewer ECS ReadOnlyAccess ECS User ECS CommonOperations ELB ELB Admin ELB FullAccess ELB Viewer ELB ReadOnlyAccess EPS EPS Admin EPS FullAccess EPS Viewer EPS ReadOnlyAccess EVS EVS Admin EVS FullAccess EVS Viewer EVS ReadOnlyAccess GES GES Admin GES FullAccess GES Viewer GES ReadOnlyAccess GES User GES Development ICITY iCity Admin iCity FullAccess iCity Viewer iCity ReadOnlyAccess IMS IMS Admin IMS FullAccess IMS Viewer IMS ReadOnlyAccess Image Recognition Image Recognition User Image Recognition FullAccess KMS DEW Keypair Admin DEW KeypairFullAccess DEW Keypair Viewer DEW KeypairReadOnlyAccess KMS CMK Admin KMS CMKFullAccess LTS LTS Admin LTS FullAccess LTS Viewer LTS ReadOnlyAccess MRS MRS Admin MRS FullAccess MRS Viewer MRS ReadOnlyAccess MRS User MRS CommonOperations ModelArts ModelArts Admin ModelArts FullAccess ModelArts User ModelArts CommonOperations Moderation Moderation User Moderation FullAccess NAT NAT Admin NAT FullAccess NAT Viewer NAT ReadOnlyAccess OBS OBS Operator OBS OperateAccess OBS Viewer OBS ReadOnlyAccess RDS RDS Admin RDS FullAccess RDS DBA RDS ManageAccess RDS Viewer RDS ReadOnlyAccess RES RES Admin RES FullAccess RES Viewer RES ReadOnlyAccess ROMA Connect ROMA Admin ROMA FullAccess ROMA Viewer ROMA ReadOnlyAccess SCM SCM Admin SCM FullAccess SCM Viewer SCM ReadOnlyAccess SCM Viewer SCM ReadOnlyAccess SFS SFS Admin SFS FullAccess SFS Viewer SFS ReadOnlyAccess SFS Turbo SFS Turbo Administrator SFS Turbo FullAccess SFS Turbo Viewer SFS Turbo ReadOnlyAccess ServiceStage ServiceStage Admin ServiceStage FullAccess ServiceStage Developer ServiceStage Development ServiceStage Viewer ServiceStage ReadOnlyAccess VPC VPC Admin VPC FullAccess VPC Viewer VPC ReadOnlyAccess 父主题： 权限管理

相关操作 查看身份提供商信息：在身份提供商列表中，单击“查看”，可查看身份提供商的基本信息、元数据详情、身份转换规则。 单击“查看身份提供商”页面下方的“修改身份提供商”，可直接进入“修改身份提供商”界面。 修改身份提供商信息：在身份提供商列表中，单击“修改”进入“修改身份提供商”界面。可修改身份提供商的状态（“启用”或“停用”）、描述信息、元数据信息和身份转换规则。 删除身份提供商：在身份提供商列表中，单击“删除”，删除对应的身份提供商。

修订记录 表1 文档修订记录 日期 修订记录 2022-06-17 第四十五次正式发布。 新增批量操作功能，包括批量编辑IAM用户，批量删除IAM用户、用户组、用户组权限、委托。 2021-11-30 第四十四次正式发布。 根据“授权”功能优化，刷新授权、自定义策略相关章节。 2021-09-02 第四十三次正式发布。 本次根据变更说明如下： 新增查看授权记录内容。 新增授权记录内容。 修改查看或修改用户组内容。 2021-08-16 第四十二次正式发布。 本次变更新增自主管理用户属性内容。 2021-04-22 第四十一次正式发布。 本次变更说明如下： 新增章节调整配额。 2021-04-16 第四十次正式发布。 本次变更说明如下： 新增内容企业联邦用户登录。 2021-03-27 第三十九次正式发布。 本次变更说明如下： 根据华为云统一ID上线，刷新登录华为云章节。 2021-03-24 第三十八次正式发布。 本次变更说明如下： 新增章节支持IAM资源粒度授权的云服务。 2021-01-30 第三十七次正式发布。 本次变更说明如下： 根据IAM用户访问模式功能变更刷新创建IAM用户。 增加修改IAM用户访问模式功能。 2020-12-30 第三十六次正式发布。 本次变更说明如下： 根据登录界面变更、安全设置功能变更、界面词条变更进行全文刷新。 2020-11-16 第三十五次正式发布。 本次变更说明如下： 新增使用token方式创建云服务登录地址、使用委托方式创建云服务登录地址章节。 2020-11-05 第三十四次正式发布。 本次变更说明如下： 修改身份提供商章节结构。 新增联邦身份认证配置概述章节。 2020-10-27 第三十三次正式发布。 本次变更说明如下： 根据登录方式变更刷新登录华为云、IAM用户登录、登录验证策略章节登录界面截图。 2020-08-18 第三十二次正式发布。 本次变更说明如下： 新增登录华为云章节。 2020-06-08 第三十一次正式发布。 本次变更说明如下： 根据新增HUAWEI ID登录方式刷新IAM用户登录、登录验证策略章节。 2020-04-20 第三十次正式发布。 本次变更说明如下： 用户组添加/移除用户中新增移除用户相关操作内容； 新增以下章节： 删除IAM用户 移除用户组权限 2020-03-30 第二十九次正式发布。 本次变更说明如下： “基于策略的访问控制公测”转商用，删除公测相关说明。 2020-02-25 第二十八次正式发布。 本次变更说明如下： 敏感操作中增加IAM定义的敏感操作内容。 2020-02-10 第二十七次正式发布。 本次变更说明如下： 新增章节： 系统策略更名详情 根据策略更名修改创建用户组并授权章节内容。 2020-01-19 第二十六次正式发布。 本次变更说明如下： 根据界面变更修改以下章节： 用户组及授权、权限管理。 2020-01-02 第二十五次正式发布。 本次变更说明如下： 根据界面风格变化刷新各章节图片。 2019-12-10 第二十四次正式发布。 本次变更说明如下： 根据界面变更修改以下章节： 给用户组授权、依赖角色的授权方法、（可选）分配委托权限（被委托方操作）。 2019-11-20 第二十三次正式发布。 本次变更说明如下： 根据界面变更修改创建IAM用户、访问控制章节； 管理IAM用户访问密钥中新增•启用、停用访问密钥。 2019-09-29 第二十二次正式发布。 本次变更说明如下： 新增自定义身份代理章节。 2019-09-12 第二十一次正式发布。 本次变更说明如下： 新增修改、删除自定义策略章节。 创建自定义策略中新增可视化视图创建自定义策略。 策略、自定义策略使用样例中增加资源、条件级策略语法。 2019-08-29 第二十次正式发布。 本次变更说明如下： 增加说明：支持修改云服务委托。 2019-08-01 第十九次正式发布。 本次变更说明如下： 新增重置虚拟MFA章节。 2019-07-13 第十八次正式发布。 本次变更说明如下： 新增基本信息章节。 根据界面变更修改使用前必读、安全设置概述、管理IAM用户访问密钥、虚拟MFA章节。 2019-07-04 第十七次正式发布。 本次变更说明如下： 新增多因素认证与虚拟MFA章节。 优化委托、身份提供商章节。 2019-06-11 第十六次正式发布。 本次变更说明如下： 调整目录结构并优化使用前必读、IAM用户、用户组及授权、权限管理、项目、安全设置和查看IAM操作记录章节。 2019-01-22 第十五次正式发布。 本次变更说明如下： 新增（可选）分配委托权限（被委托方操作）章节。 2018-08-30 第十四次正式发布。 本次变更说明如下： 安全设置中新增设置“会话超时策略”。 2018-06-29 第十三次正式发布。 本次变更说明如下 创建IAM用户中新增“是否重置密码”步骤。 新增开通云审计服务章节。 新增查看IAM的云审计日志章节。 2018-04-30 第十二次正式发布。 本次变更说明如下： 新增4.2-申请基于策略的访问控制公测章节。 新增自定义策略章节。 2018-02-13 第十一次正式发布。 本次变更说明如下： 创建委托（委托方操作）中新增委托类型的表格。 2017-12-15 第十次正式发布。 本次变更说明如下： 删除权限说明章节，权限说明详情请参考权限说明。 2017-07-27 第九次正式发布。 本次变更说明如下： 步骤1：创建身份提供商中新增系统自动提取和手动编辑元数据内容。 2017-06-28 第八次正式发布。 本次变更说明如下： 修改“Server Administrator”权限描述。 修改“VPC Administrator”权限描述。 2017-05-19 第七次正式发布。 本次变更说明如下： 新增以下内容： “APM Admin”权限描述。 “CCS Administrator”权限描述。 “CCS User”权限描述。 “CDE Admin”权限描述。 “CDE Developer”权限描述。 “SvcStg Admin”权限描述。 “SvcStg Developer”权限描述。 “SvcStg Operator”权限描述。 “SWR Admin”权限描述。 修改“RDS Administrator”权限描述。 删除以下内容： “te_devcloud_project_admin”权限描述。 “te_devcloud_project_poweruser”权限描述。 “te_devcloud_project_readonly”权限描述。 “te_devcloud_codehub_admin”权限描述。 “te_devcloud_codehub_poweruser”权限描述。 “te_devcloud_codehub_readonly”权限描述。 “te_devcloud_codecheck_admin”权限描述。 “te_devcloud_codecheck_poweruser”权限描述。 “te_devcloud_codecheck_readonly”权限描述。 “te_devcloud_codeci_admin”权限描述。 “te_devcloud_codeci_poweruser”权限描述。 “te_devcloud_codeci_readonly”权限描述。 “te_devcloud_test_admin”权限描述。 “te_devcloud_test_poweruser”权限描述。 “te_devcloud_test_readonly”权限描述。 “te_devcloud_release_admin”权限描述。 “te_devcloud_release_poweruser”权限描述。 “te_devcloud_release_readonly”权限描述。 2017-04-27 第六次正式发布。 本次变更说明如下： 新增创建委托（委托方操作）章节。 新增（可选）分配委托权限（被委托方操作）章节。 新增“DWS Administrator”权限描述。 2017-03-30 第五次正式发布。 本次变更说明如下： 同步“创建用户”界面的更新，刷新创建IAM用户章节。 新增“Agent Operator”权限描述。 新增“CRS Administrator”权限描述。 2016-11-30 第四次正式发布。 本次变更说明如下： 同步“帐户策略”界面的更新，刷新安全设置章节。 2016-09-30 第三次正式发布。 本次变更说明如下： 优化创建身份提供商章节。 2016-08-25 第二次正式发布。 本次变更说明如下： 新增“密码最短使用时间(分钟)”的参数设置。 2016-03-14 第一次正式发布。

完全使用自定义策略 您也可以不使用系统策略，只创建自定义策略，实现IAM用户的指定服务授权。 以下策略样例表示：仅允许IAM用户使用ECS、EVS、VPC、ELB、AOM { "Version": "1.1", "Statement": [ { "Effect": "Allow" "Action": [ "ecs:*:*", "evs:*:*", "vpc:*:*", "elb:*:*", "aom:*:*" ] } ]}

权限的分类 权限根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对ECS服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。 策略根据创建的对象，分为系统策略和自定义策略。

配合较高权限系统策略使用 如果您给IAM用户授予较高权限的系统策略，例如“FullAccess” ，但不希望IAM用户拥有某个服务的权限，例如云审计服务。您可以创建一个自定义策略，并将自定义策略的Effect设置为Deny，然后将较高权限的系统策略和自定义策略同时授予用户，根据Deny优先原则，则授权的IAM用户除了云审计服务，可以对其他所有服务执行所有操作。 以下策略样例表示：拒绝IAM用户使用云审计服务。 { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "cts:*:*" ] } ]} Action为授权项，格式为：服务名:资源类型:操作。 "cts:*:*"：表示对云审计的所有操作。其中cts为服务名；“*”为通配符，表示对所有的资源类型可以执行所有操作。 Effect为作用，Deny表示拒绝，Allow表示允许。

配合单个服务系统策略使用 如果您给IAM用户授予单个服务系统策略，例如“BMS FullAccess”，但不希望用户拥有BMS FullAccess中的创建裸金属服务器权限（bms:servers:create），可以创建一条相同Action的自定义策略，并将自定义策略的Effect设置为Deny，然后将系统策略BMS FullAccess和自定义策略同时授予用户，根据Deny优先原则，则用户可以对BMS执行除了创建裸金属服务器外的所有操作。 以下策略样例表示：拒绝IAM用户创建裸金属服务器。 { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "bms:servers:create" ] } ]} 如果您给IAM用户授予“OBS ReadOnlyAccess”权限，但不希望部分用户查看指定OBS资源（例如，不希望用户名以“TestUser”开头的用户查看以“TestBucket”命名开头的桶），可以再创建一条自定义策略来指定特定的资源，并将自定义策略的Effect设置为Deny，然后将OBS ReadOnlyAccess和自定义策略同时授予用户。根据Deny优先原则，则用户可以对以“TestBucket”命名开头之外的桶进行查看操作。 以下策略样例表示：拒绝以TestUser命名开头的用户查看以TestBucket命名开头的桶。 { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "obs:bucket:ListAllMybuckets", "obs:bucket:HeadBucket", "obs:bucket:ListBucket", "obs:bucket:GetBucketLocation" ], "Resource": [ "obs:*:*:bucket:TestBucket*" ], "Condition": { "StringStartWith": { "g:UserName": [ "TestUser" ] } } } ]}

策略鉴权规则 用户在发起访问请求时，系统根据用户被授予的访问策略中的action进行鉴权判断。鉴权规则如下： 图1 系统鉴权逻辑图 用户发起访问请求。 系统在用户被授予的策略中寻找请求对应的action，优先寻找Deny指令。如果找到一个适用的Deny指令，系统将返回Deny决定。 如果没有找到Deny指令，系统将寻找适用于请求的任何Allow指令。如果找到一个Allow指令，系统将返回Allow决定。 如果找不到Allow指令，最终决定为Deny，鉴权结束。 父主题： 策略

联邦身份认证的配置步骤 建立企业管理系统与华为云的联邦身份认证关系，需要完成以下配置步骤。 创建身份提供商并创建互信关系：在企业IdP中创建OAuth 2.0凭据，在华为云上创建身份提供商并配置授权信息，从而建立企业管理系统和华为云的信任关系。 配置身份转换规则：通过在华为云配置身份转换规则，将IdP中的用户、用户组及其访问权限映射到华为云。 配置企业管理系统登录入口：将华为云的访问入口配置到企业管理系统中，用户可通过登录企业管理系统直接访问华为云。

企业管理系统与华为云联邦身份认证交互流程 图1为用户在发起单点登录请求后，企业管理系统与华为云间的交互流程。 图1 联邦身份认证交互流程 从上图中可知，联邦身份认证的步骤为： 用户在浏览器中打开从IAM上获取到的登录链接，浏览器向华为云发起单点登录请求。 华为云根据登录链接中携带的信息，查找IAM身份提供商中对应的配置信息，构建OIDC 授权Request，发送给浏览器。 浏览器收到请求后，转发OIDC授权Request给企业IdP。 用户在企业IdP推送的登录页面中输入用户名和密码，企业IdP对用户提供的身份信息进行验证，并构建携带用户信息的ID Token，向浏览器发送OIDC授权Response。 浏览器响应后转发OIDC授权Response给华为云。 华为云从OIDC授权Response中取出ID Token，并根据已配置的身份转换规则映射到具体的IAM用户组，颁发Token。 用户完成单点登录，访问华为云。

条件组合示例 多个条件间，以“逻辑与”的方式组合。 以下示例表示该规则仅对既不属于IdP的“idp_user”也不属于IdP的“idp_agent”用户组的联邦用户生效。对于生效用户：在IAM中的用户名为UserName，所属用户组为“admin”。 [ { "local": [ { "user": { "name": "{0}" } }, { "group": { "name": "admin" } } ], "remote": [ { "type": "UserName" }, { "type": "Groups", "not_any_of": [ "idp_user" ] }, { "type": "Groups", "not_any_of": [ "idp_agent" ] } ] } ] 以上规则等同于： [ { "local": [ { "user": { "name": "{0}" } }, { "group": { "name": "admin" } } ], "remote": [ { "type": "UserName" }, { "type": "Groups", "not_any_of": [ "idp_user", "idp_agent" ] } ] } ]