核心看点：契约锁集成财务管理软件，助力组织在线签署合法有效电子会计凭证，建立数字化电子会计凭证档案室，响应国家使用电子会计凭证报销入账、归档政策。“电子会计凭证”是指以电子形式生成、传输、储存的各类会计凭证，包括电子原始凭证、电子记账凭证以及电子专票。2020年，财政部、国家档案局联合发文明确，企业在满足一定条件的基础上可以使用“电子会计凭证”进行报销入账、归档，无需再打印或保存纸质单据。（满足以上条件电子会计凭证可以报销入账归档）如何借助信息化工具实现“纸质发票”到“电子发票”的过渡，做好电子会计凭证报销入账、归档工作，成为企业财务数字化转型的关键。现在，契约锁通过集成财务管理软件，为各类组织的电子会计凭证提供“电子文件模板、电子签名、电子印章、数据存证、用印审批以及文件存档”等一体化签署服务，帮助组织在线签署合法、有效的电子会计凭证，入账更安全。同时，通过契约锁数字化档案管理服务，帮助组织建立电子会计凭证数字档案室，实现电子会计凭证档案生成、归档、查询、调用、借用、销毁全生命周期管理。（契约锁电子会计凭证数字化签署平台）特色数字化应用展示：1、数字化签章服务：确保电子会计凭证在线安全、合法、高效签署契约锁电子签章可以与财务管理软件打通，通过数据、应用共享，让组织的各类收款凭证开具、凭证入账报销业务通过一条流程实现在线“审批、制作、签章、归档”，提升财务收付款、报销结算效率，真正实现财务数据共享。• 收付款类凭证签署场景：各类付款、结算收据，通过财务管理系统发起办理流程，客户付款成功，平台自动套用契约锁电子模板生成凭证文件、快速盖章，支持电子凭证下载，消除纸质单据。（财务凭证在线签署场景）• 凭证入账报销类签署场景：在电子凭证报销入账过程中，契约锁全程提供身份认证、电子签章以及数据存证服务，帮助智能验证审批人身份，手机端高效签字，提升财务报销效率。（凭证报销入账中的电子签章应用场景）>>> 例如：（收据在线盖章签发）特色签署服务支撑：1）数字身份认证保障，确保财务数据、人员身份可信：为了方便落实财务各环节责任关系，契约锁可以为企业的财务管理系统提供权威身份认证服务，保证报销入账、开票各环节申请人、审批人真实身份，方便追责。（权威身份认证）2）电子凭证数据全程加密、防篡改，确保数据真实契约锁电子签章以数字证书为支撑，为每份文件提供数据加密服务，确保电子会计凭证在签署中、签署后内容统一，有效识别篡改痕迹，确保电子会计凭证数据有效。3）智能检验电子凭证签名真伪，确保数据可查契约锁为组织提供便捷验签服务，各类电子会计凭证在线即可查验签名、印章真伪情况，确保数据可查。（快速验签）2、电子会计凭证数字档案服务：制作、归档、查询、借用、销毁全生命周期管理契约锁数字化档案管理应用，按照财政部及国家档案局《会计档案管理办法》相关管理规定，为企业提供电子会计凭证制作、归档、查询、借用、销毁全生命周期管理服务。以可信数字身份为基础，通过严格权限及流程配置服务，驱动企业会计凭证档案管理制度落地，有效防篡改。（契约锁数字化档案管理）应用价值：无论是凭证签发还是凭证入账报销审批，签字、盖章都是必不可少的中心环节，合法、有效的电子签章技术有效填补财务管理软件在线签署功能缺失，推动组织财务实现全面数字化转型。

检查本地与OBS的网络是否正常，若存在网络故障，解决网络故障，确保网络正常。请检查帐号是否已通过实名认证。若没有，请先实名认证。登录OBS管理控制台。在顶部导航栏单击用户名，即可查看用户认证状态。图1 帐号认证状态若您没有实名认证，请参考个人帐号如何完成实名认证对帐号进行实名认证，实名认证后需要40分钟才能生效。检查帐号是否已欠费或余额不足。若欠费，请先续费。登录OBS管理控制台。在顶部导航栏单击“费用”，进入费用中心。在“总览”页面可以查看到帐号可用额度。若您的帐号已欠费，请参考续费管理对帐号充值。若您充值后，仍不能上传对象，请联系客服进一步解决。检查帐号是否拥有权限，若无权限，请授予对应的操作权限。在“用户”界面，搜索到用户名。单击用户名左侧的下拉按钮，查看用户加入的用户组。若用户没有加入用户组，单击“修改”，选择合适用户组加入。在左侧导航栏单击“用户组”，搜索到用户加入的用户组，单击用户组名左侧的下拉按钮，然后单击“对象存储服务”的“查看”，检查用户组的权限是否有创建桶的权限。若没有请重新创建用户组，设置有创建桶权限的策略，然后将用户加入该用户组。登录管理控制台。在顶部导航栏单击用户名，选择“统一身份认证”，进入统一身份认证服务控制台，验证用户IAM权限。若当前用户所创建的桶已达到上限100个，删除一些闲置的桶再创建。若是当前桶名已存在，则更换桶名再创建。用户删除桶后，立即创建同名桶或并行文件系统会创建失败，需要等待30分钟才能创建。若以上都不是，请根据返回的错误码进一步判断。

原因通过桶策略给IAM用户配置桶的读写权限后，实际上授予的权限如下：GetObject：下载对象GetObjectVersion：下载多版本对象PutObject：上传对象DeleteObject：删除对象DeleteObjectVersion：删除多版本对象上述每一个权限对应一个OBS功能接口，IAM用户使用API或SDK可以正常调用这些接口。但是通过控制台或者客户端工具（OBS Browser+）登录时，加载桶列表时会调用获取桶列表（ListAllMyBuckets）等接口，加载对象列表时会调用列举桶内对象（ListBucket）等接口，其他页面也会调用其他的OBS接口。而授予的读写权限中并没有包含这些操作的权限，所以会提示“拒绝访问，请检查响应权限”，或者“不允许在请求的资源上执行此操作”。

原因IAM中预置的OBS ReadOnlyAccess、OBS OperateAccess、OBS Buckets Viewer等系统权限只允许执行一部分OBS操作，例如OBS OperateAccess可以执行列举桶、获取桶基本信息、获取桶元数据、列举对象、上传对象、下载对象、删除对象、获取对象ACL操作，每一项操作对应一个OBS功能接口。授予系统权限之后，表示拥有了对应功能接口的权限，通过API或SDK可以正常调用这些接口。但是通过控制台或者客户端工具（OBS Browser+）登录时，加载如桶列表、桶概览等页面会调用多个OBS接口，如果授予的权限中没有包含这些接口，则会提示“拒绝访问，请检查响应权限”，或者“不允许在请求的资源上执行此操作”。例如桶概览页面会通过接口查看桶的生命周期规则、CORS规则等是否已经配置，如图1，而预置的系统权限并未包含这些操作权限。

IAM权限是作用于云资源的，IAM的OBS策略可以作用于OBS的所有桶和对象，也可以作用于指定的桶和对象。推荐在对同一帐号下的子用户授权的场景使用。桶策略是作用于配置桶策略的单个桶的。

您可以使用以下几种机制来控制对OBS的访问权限。更多详细信息，请参见OBS权限控制概述。IAM权限IAM权限是作用于云资源的，IAM权限定义了允许和拒绝的访问操作，以此实现云资源权限访问控制。推荐使用IAM权限的场景：对同一帐号内的子用户授权。IAM权限的实现机制如下：创建用户组，为用户组设定IAM权限集。创建IAM用户，用户加入用户组以获取相关的权限。桶策略桶策略是作用于所配置的OBS桶及桶内对象的。OBS桶拥有者通过桶策略可为IAM用户或其他帐号授权桶及桶内对象的操作权限。访问控制列表 (ACL)ACL是基于帐号级别的读写权限控制，权限控制细粒度不如桶策略和IAM权限。一般情况下，建议使用IAM权限和桶策略进行访问控制。

武汉精测电子集团（以下简称：“精测电子”），引入电子签章构建覆盖全集团11家分支机构的电子印控中心，实现印章集中管控，为集团现有的用友NC系统提供合法有效的电子签章，改变线上审批、线下打印签署的盖章模式，让集团业务全程电子化。一、“1个”平台集中管控印章，支撑11家分支机构日常用印需求，全面提升办公效率：精测电子是一家致力于为半导体、显示以及新能源等测试领域提供卓越产品和服务的高新技术企业，分子公司遍布武汉、苏州、上海、香港、台湾、美国、日本等多地。作为一家创新驱动型企业，精测电子始终认为管理技术不断创新，才能支撑、适应业务的规模化发展需求。此次，针对日常运营中存在的“分支机构印章集中管控难、异地用印程序复杂低效、签署成本高、盖章文件核实慢”等众多印章管理难题，精测电子创新引入电子签章平台，推动集团总部及全国11家分支机构进行印章电子化改革，推动集团采购、销售业务在线签署：（电子印控中心）二、首先，用一套系统支撑11家分支机构日常用印，简化部署成本：契约锁帮助打造集团电子印控中心，通过“分级分权”权限配置，对精测电子内部印章进行全生命周期线上管理，让11家机构用一套系统就能有序、按需管理和使用电子印章。精测电子通过印控中心对每一枚印章的信息、使用权限和使用流程按需进行设置，借助审计台账掌握印章使用痕迹，让每个印章都在授权范围内安全使用，实现集中管控目标，安全高效用印。（印章全生命周期管理）目前，精测电子11家分支机构的人事合同已经实现无纸化签署。入职、续签，总部HR直接通过印控中心就能和全国新老员工批量签订劳动合同，全程提供身份认证保障、帮助文件自动存档。（劳动合同在线签署）三、接着，集成用友NC系统，业务流程电子化，提高工作效率：为了贴合精测电子日常业务用印场景，契约锁电子印控中心与用友NC系统流程打通、信息共享，推动内部采购、销售业务在线盖章，全程电子化管理。•过去，业务文件盖章只能在业务系统线上审批后，打印成纸质文件，经人工核对无误后线下盖章。•现在，精测电子在现有的用友NC系统中，通过一条流程就能高效制作、审批、签署“采购合同、销售合同、财务凭证”等业务文件，签署效率实现30倍提升。（NC系统在线调用印章）四、例如：在NC系统，审批、签署采购、销售文件通过集成，精测电子的用友NC系统快速具备电子签章能力，采购合同、销售合同、财务凭证等文件，在NC系统快速调取供应商及客户信息，高效生成电子合同、单据，流程驱动内部盖章、客户签字。（采购、销售合同在线签署场景）1、帮助智能识别供应商身份：供应商查收签约消息，即刻提交组织信息完成权威身份认证，帮助精测电子智能筛查供应商身份。（供应商身份认证）2、在线完成内部盖章签字、客户签约：无需用纸，在线就能完成合同流转，各地供应商用手机就能远程签合同，提升精测电子采购、销售效率。3、财务凭证在线盖章，高效签发、防篡改：精测电子的财务部门在日常销售业务中，要随时为客户开具财务收据凭证，此类单据需求量大、审批流程相似，财务人员手动盖章工作量大，效率跟不上。现在，精测电子各类销售业务中，客户付款成功，自动由用友NC系统触发收据凭证盖章流程，快速完成内部盖章，收款人、业务人员在线签字确认，高效签发电子凭证。（电子财务收据）总结印章在线统一管理、审批使用的方式，方便精测电子落实内部印章集中管控制度，全面简化各项业务的盖章程序，提升办公效率。未来，契约锁全国50多家本地化服务团队，将持续为精测电子各地机构提供本地化服务，通过与精测电子的OA以及HRM系统深度集成，拓展业务在线签署场景，让电子签章应用方案真正贴合客户实际业务签署场景。

 摘要：数字政务是推动公共服务和社会治理精细化、智能化的重要载体。近一段时间以来，全国各地陆续发布规划，积极推动区块链应用到政务系统中。一、背景当前全球科技创新进入空前密集活跃的时期，以区块链为代表的新一代信息技术加速突破应用，已延伸到数字金融、物联网、智能制造、供应链管理、数字资产交易等多个领域。区块链开创了一种在不可信的竞争环境中低成本建立信任的新型计算方式和协作模式，凭借其独有的信任建立机制，实现了穿透式监管和信任逐级传递，目前正在向垂直领域延伸，蕴含着巨大的变革潜力。我国区块链领域的发展基础良好，已经显示出在助力数字政务、实体经济、民生领域、智慧城市、互联互通中的巨大潜力和价值。全国各地政府都在抓住区块链技术发展的契机，加快推动区块链技术和产业创新发展。二、现状问题数字政务是推动公共服务和社会治理精细化、智能化的重要载体。近一段时间以来，全国各地陆续发布规划，积极推动区块链应用到政务系统中。“政务上链”有助于数字政务更上层楼，但政务区块链要发挥作用，跨部门、跨领域的连通依旧是关键。当前“政务上链”处于快速发展期，规范和引导相对滞后，在发展建设过程中，也碰到了一些问题：1、标准规范未统一，基础设施不完善：缺乏顶层设计，未建成统一数据标准和接口标准；区块链政务应用安全性、稳定性、性能等参差不齐；设计与功能不闭环、不系统化，相对随机，不同底层架构、不同数据结构导致系统间无法互联互通，业务协同难，基础能力开放度差，难以满足未来发展需求；2、业务错综复杂，信息安全难以保障政务服务的业务内容与业务逻辑错综复杂，区块链应用难以统一满足强安全保护要求，风险不断积累；不同政务业务涉及不同级别的权限；政务服务涉及群体大、涉及面广，安全事故将造成极大的负面影响。3、信息共享难度大，重复建设难避免普遍为针对不同应用单独搭建的运行环境；使用过程中不能充分利用硬件，无法重复使用组件，造成基础设施浪费；缺乏链与基础资源的统一管理，区块链应用之间难以共享数据，容易形成新的信息孤岛；区块链软硬件基础设施容易造成重复投资、重复建设。4、区块链专业人才短缺，运维管理成本高技术人才稀少，据报道未来2年缺口人才500万；运维人员技能无专业考核认证，人力成本高；易出现人为或非人为的业务停滞进而影响政府职能部门的服务和体验。三、解决方案为解决上述问题，华为提出统一政务区块链基础设施（UGBaaS）解决方案用来统筹设计、统一标准，实现部门互信、数据共治、服务共享，统筹建设安全、可靠、高效的区块链基础设施平台。底层实现软硬件共享共治，纵向实现信息透明，横向实现数据互联，减低政务区块链应用建设、管理和维护成本，提升政务业务协同水平、监管能力、服务体验，加快数字政府改革建设。架构图如下：系统包括底层区块链、底层区块链标准纳管接口、底层区块链管理、统一公共服务组件等。1、底层区块链底层区块链平台提供基础的数据存储能力、网络通信能力、共识机制、虚拟机、可编辑的智能合约、软硬件资源运维监控、SDK接口等基础能力或组件.底层区块链接入应满足如下要求：a) 应经过区公共数据管理部门审核；b) 应符合集约化和兼容性要求，可适配多种底层云平台；c) 应符合底层区块链平台纳管接口标准要求。2、底层区块链标准纳管接口底层区块链应通过标准纳管接口接入政务区块链平台，标准纳管接口应包括统一安全接口、统一运营接口、统一资源接口、统一跨链接口、统一监管接口。统一安全接口：支持对不同底层区块链的统一身份认证和鉴权。统一运营接口：支持统一运营监控，支持查看联盟/节点运行状态、联盟/节点资源占用情况、支持上链业务分析等。统一资源接口：支持统一区块链资源管理，包括对联盟链、应用链、节点、智能合约等的管理。统一跨链接口：支持跨链互认证、跨链事务等。统一监管接口：支持统一审计日志、敏感词审计等。特色功能接口：除标准纳管接口外，政务区块链平台还应提供相关特色功能接口供上层应用调用，以支持个性化管理和服务。3、底层区块链统一管理联盟管理支持联盟管理，包括联盟创建、底层链选择和联盟链准入/退出；支持联盟监控，包括联盟状态、联盟拓扑图、区块浏览、交易浏览、交易速率、底层链分布统计和跨链业务分析统计；支持跨链管理，包括跨链认证、跨链交换、跨链互操作和跨链数据迁移。节点管理包括节点扩容/缩容、节点的启动与停止和节点运行状态等监控（包括地址、端口、运行状态、共识状态等）。应用链管理支持应用链创建申请、加入审批、政务数据申请、政务数据审批、跨系统数据请求融合、可信计算等功能。访问管理支持公共管理和服务机构租户管理和维护、身份认证、权限管理和资源配额分配；灵活配置和管理账号对链和节点的访问权限，管理并配置不同的访问连接方式和协议，以更好地提供客户端的接入和数据传输。跨链管理具备管理跨链合约、跨链存证和跨链路由的能力，可建立或停止链间的通信，控制区块链与外部世界间建立安全链路，管理可信数据接入等。合约管理支持合约开发/调试、合约自动生成、合约编译与自动部署、合约安全形式化验证、合约运行态可视化、合约共享/评审/发布、合约版本管理、合约导出模板、合约代码到可视化组件生成的功能，为智能合约提供集成开发环境。数据管理支持区块链数据资源管理，包括数据资产SaaS服务、可视化分析、大屏展示定制与服务、文件归档管理、报表生成与展示、数据目录融合与治理、链上与链下数据分析等。流程管理支持公共管理和服务机构发起联盟链创建、联盟加入/退出、资源扩缩容、跨链业务等的申请和会签，并由区公共数据管理部门进行审批。运营管理运营管理应满足如下要求：支持业务发起方分布、业务调用统计、业务趋势分析、联盟参与统计画像和跨链数据请求分析；支持联盟/节点监控，包括区块链状态、节点状态、拓扑图、区块/交易浏览等；支持资源治理，包括链资源监控、节点资源监控、合约资源监控、应用资源监控、资源发放/回收、链下线/休眠等。运维管理运维管理应满足如下要求：支持资源监控，包括链资源监控、节点资源监控、合约资源监控和应用资源监控；支持告警日志，包括告警查看/处理、审计日志和运行日志。安全管理管理网络安全，包括客户端和节点，节点与节点间的双向认证和可靠的通信；管理数据安全，如交易使用用户私钥签名，保证交易内容无法篡改；管理存储安全，如数据多节点存储，节点间数据同步机制保障数据的正确复制，提供数据归档工具。监管审计应支持对政务区块链用户的监管审计功能，包括管理日志审计、行为审计等。4、统一公共服务组件政务区块链公共组件支持内置政务相关公共区块链组件，如分布式身份、可验证凭证、可信数据交换、可信数据计算 、同态加密、零知识证明等。支持组件浏览、安装、卸载、发布等。政务区块链智能合约仓库仓库中可内置常用的政务相关智能合约模板，如上链存证、查询验真、政务协同等常用模板，以便于上层政务区块链应用进行快速集成使用。仓库应支持合约模板浏览、合约模板管理、合约安装部署、合约仓库、定制合约等。政务区块链应用仓库政务区块链应用仓库支持不同应用场景**同使用的应用上架，供多个参与方下载使用，其应满足以下要求：a) 支持内置常用的政务区块链应用供平台用户直接下载使用，如政务协同、目录管理、数字存档等；b) 支持政务区块链应用的浏览、安装、卸载等；c) 支持政务区块链应用的上架、审核和下架。5、智能大屏可视化监控系统应支持智能大屏可视化监控系统，方便对平台资源和业务运行情况进行全局监控。6、用户管理和交互系统应支持提供多种平台上的用户管理和交互系统，例如PC端、浏览器、手机APP等。综上，通过统一政务区块链基础设施，一地政府公共数据管理部门可以加强区块链政务应用的顶层设计，做到全域区块链统一政务标准、统一资源分配治理、统一身份认证、统一运营监管、统一生态协同，达到区块链算存传管用的安全性、稳定性、兼容性和统一化。管理部门、使用部门、企业等参与者通力合作，有望探索出一条与数字经济时代相适应的治理新模式。

【功能模块】权限管理【操作步骤&问题现象】1、自定义了一个app项目，需要给这个app项目配置业务权限2、 进入管理-》应用管理后，app配置里没有可用模块，BO模块里有 permission模块，如果我要给自定义的app配置角色和角色菜单权限（业务权限），这个要怎么操作？【截图信息】【日志信息】（可选，上传日志内容或者附件）

 华为云鲲鹏云服务兼容性认证流程指导华为云鲲鹏云服务兼容性认证总体流程如下：步骤：一、加入华为云鲲鹏凌云伙伴计划注意事项：1、使用的华为云账号必须经过企业实名认证2、使用的华为云账号不能是BP账号，即华为云经销商伙伴账号3、鲲鹏应用开发者HCIA认证是伙伴计划对伙伴的要求，必须陈诺在未来6个月内达成，否则驳回。鲲鹏凌云伙伴权益具体可查看：https://www.huaweicloud.com/partners/kunPeng/关于HCIA考试说明：ØHCIA认证目的：由于华为鲲鹏凌云伙伴是技术型伙伴，待方案/软件鲲鹏商用落地后，为更好的服务客户，需要求伙伴也具有基本的鲲鹏技术支持能力，因此要求至少2人通过鲲鹏HCIA认证；ØHCIA考试费用：加入凌云伙伴并有方案通过认证后，可免费申请鲲鹏HCIA考试券（认证完成后，联系认证接口人申请，2张/方案，每企业最多5张）ØHCIA学习考试材料：https://edu.huaweicloud.com/training/#kunpeng4、公司简介请简要说明清楚公司主营业务、技术能力、聚焦行业领域以及所在领域软件解决方案情况，以便审核人员判断。二、鲲鹏方案认证申请提交（填写要求更多详情请见附件）注意事项：1、只有伙伴已提交了鲲鹏凌云计划申请后才可提交鲲鹏方案认证申请，但无需等待鲲鹏凌云伙伴计划申请审批完成；2、只有鲲鹏凌云伙伴计划申请审批通过后，方案认证流程才可审批。3、方案名称必须与软著保持一致，即贵司认证产品必须有软著来保证产品归属权，如当前软著在申请中，请按附件模板提供软著声明（加盖公章与签名生效）三、关于一测双证（华为云鲲鹏云服务+华为云Stack X.X（鲲鹏））说明1、基于华为云鲲鹏云服务或者华为云Stack认证测试的方案，如果方案在客户交付场景中存在公有云，同时也存在混合云（私有云）部署场景时，可申请评估一测双证，即经过一次测试，获取2张方案认证证书（华为云鲲鹏云服务+华为云Stack（鲲鹏）认证证书），但需认证组织团队对方案是使用云服务进行评估，如果使用到的云服务在华为云公有云和华为云Stack同时支持且无差异时，可实现一测双证。2、申请一测双证办法：        2.1、一般在认证方案审核阶段，审核经理会与伙伴沟通方案的交付模式，如存在公有云+混合云（私有云）场景，且在经过评估认证是使用的云服务无差异时，在方案审核阶段即可设置方案是否需要一测双证，如认证测试完成，经过认证专家团队评估通过，则在会签后发放2张方案认证证书，即鲲鹏云服务+华为云Stack（鲲鹏）2张兼容性认证证书。        2.2、如方案已完成认证，发放的是单认证，可联系华为侧认证测试接口人申请评估追加证书发放，如经过评估可行，则可由认证团队负责人在系统侧追加证书发放。四、通过华为云Stack（鲲鹏）认证方案证书申请华为云Stack技术伙伴计划可快速获得Stack技术伙伴证书1、存在混合云（私有云）交付项目的ISV伙伴可申请华为云Stack伙伴技术伙伴计划，如需获得伙伴证书，须有方案通过华为云Stack方案技术认证，如已在鲲鹏凌云伙伴计划在获得了华为云Stack（鲲鹏）兼容性认证证书，等同满足了伙伴必须有方案通过华为云Stack方案技术认证的要求，即可快速获取伙伴计划证书。2、相应的，前期申请了华为云Stack技术伙伴计划且通过了华为云Stack X.X（鲲鹏）方案认证证书，再申请鲲鹏凌云伙伴计划，也意味着满足了伙伴必须有方案通过鲲鹏方案认证的要求。

https://mp.weixin.qq.com/s?__biz=MzA5MjM5OTYzNA==&mid=2247487697&idx=1&sn=48e3dfd776ea773ed0e6a6a707286813&chksm=906ce1aca71b68baa282e9f275152194d124526dccd8229448be3b216dc029aa6322c69c1d18&token=1364773178&lang=zh_CN#rd

现象：通过IAM获取的Token调用VIS的API报错APIGW.0301，报错信息：{“error_msg”:“Incorrect IAM authentication information: decrypt token fail xxx”，“error_code”: “APIGW.0301”，“request_id”:“XXXX”}；原因：获取的token无法通过校验。推荐处理方式：（1）先确认获取的Token是否对应该账号，以及Token拷贝使用的过程中是否有遗失部分字符的情况；（2）如果确认步骤（1）没有问题后，联系华为IAM服务人员根据“request_id”进行定位。

现象：通过IAM获取的Token调用调用VIS的API报错VIS.0001, 报错信息{“error_msg”:“The authentication token is abnormal”，“error_code”: “VIS.0001”}；可能原因：用户获取的Token是domain级别的，需要获取project级别的Token。推荐处理方式：（1）首先确认获取Token的方式是否正确，针对各个region进行资源创建时，使用的Token是domain级别的。例如{   "auth": {     "identity": {       "methods": ["password"],       "password": {         "user": {           "name": "James",           "password": "**********",           "domain": {             "name": "A-Company"           }         }       }     },     "scope": {       "domain": {         "name": "A-Company"       }     }   } }如果是domain级别的Token，需要重新获取project级别token，具体可以参见官网资料： 视频接入服务 VIS > API参考> 如何调用API> 认证鉴权，如下：{   "auth": {     "identity": {       "methods": ["password"],       "password": {         "user": {           "name": "James",           "password": "**********",           "domain": {             "name": "A-Company"           }         }       }     },     "scope": {       "project": {         "name": "cn-north-1"       }     }   } }

上次教了实习生一个方案之后，这小子跟运营妹子的关系是越走越近，时不时地撒把狗粮，在我司真正实现了研发运营一家亲~（上回你没看？戳上文剧情回顾：万万没想到，一个技术方案帮实习生追到了运营妹子 ）这回想跟大家聊的，是最近一个可以说有些惊心动魄的项目。自从我开始在华为云网站自学API的技术解决方案之后，我就变成了公司的云服务器技术专家，老板或运维部门想要查询个数据什么的都来找我。近期有一个运营项目的系统正在开发中，运营方规划了一个数据BI模板，列出了需要监测和分析的数据维度，老板干脆让我每周出一份数据报表来支持各方的数据获取和数据分析。让研发出数据报表？这不是逼着李逵绣花么？但是，我能轻易拒绝吗？前几回高光时刻带来的成就感和光环还没褪去呢，不能怂！于是我提了一个方案：可以把云服务器的监控仪表内嵌到我们自己的系统里，这样大家可以随时查询，也方便。老板听了这个方案表示很开心，并同意加入到项目排期中，数据查询功能与系统同期上线，以便及时跟踪运营结果。在老板的笑容里，我看到季度奖金在向我招手。说干就干，执行力咱还是有的。用1天的时间就把程序写完了，在测试的时候发现了一个问题，数据过不来！因为通过内嵌系统登陆云服务器需要经过各种认证，步骤多不说，如果要想实现人人可查询还存在泄密的危险。这可怎么办，系统上线的日期临近，不能因为我这部分影响到项目进展啊！当初拍着胸脯提（chui）的方（niu）案（13），难道就要失败了？不行，再查查！我专门联系了华为云的技术专家，得知可以通过IAM自定义代理免密登录到云服务Console页面，省去认证环节，直接登陆云服务器进行数据查询和获取。那怎么做免密登录呢？他给了我一份文档，内容是这样的： 一、前提条件步骤 1：创建账号I**mainA下的IAM用户userB，并授予Security Administrator和Agent Operator权限（全局服务-全局项目）。将userB的用户名和密码配置到企业系统的配置文件中，密码建议加密存储，以便获取认证token并进一步调用IAM其他Open API。备注：有关创建IAM用户和授权相关操作请参见：创建IAM用户 和 创建用户组并授权  步骤2：创建联邦代理所需委托IAMAgency。委托类型选择“普通账号”，委托的账号填写“DomainA”。备注：有关创建委托相关操作请参见：创建委托（委托方操作） 二、华为云联邦代理登录步骤1：调用IAM API获取STS token1）使用IAM全局域名（iam.myhuaweicloud.com）调用IAM服务的API（POST /v3.0/OS-CREDENTIAL/securitytokens）获取STS token。填写"session_user"参数，发起一个POST请求。POST  https://iam.myhuaweicloud.com/v3.0/OS-CREDENTIAL/securitytokens请求示例{     "auth": {         "identity": {             "assume_role": {                 "agency_name": "IAMAgency",                 "domain_name": "I**mainA",                 "duration-seconds": 3600,                 "session_user": {                     "name": "SessionUserName"                 }             },             "methods": [                 "assume_role"             ]         }     } }2）获取并记录请求响应体中的STS token信息：credential.access , credential.secret, credential.securitytoken响应示例{   "credential": {     "access": "E6DX0TF2ZREQ4ZAVM5CS",     "expires_at": "2020-01-08T02:56:19.587000Z",     "secret": "w9ePum0qdfac39ErLD0UdjofYkqort6Iw2bmR6Si",     "securitytoken": "gQpjbi1ub3J0aC0..."   } }步骤2：调用IAM API获取logintoken1）使用IAM全局域名（iam.myhuaweicloud.com）调用IAM服务的API（POST /v3.0/OS-AUTH/securitytoken/logintokens）获取logintoken。发送一个POST请求。POST  https://iam.myhuaweicloud.com/v3.0/OS-AUTH/securitytoken/logintokens请求示例{     "auth": {         "securitytoken": {             "access": "LUJHNN4WB569PGAPBDFT",             "id": "gQpjbi1ub3J0a...",             "secret": "7qtrm2cku0XubixiVkBOcvMfpnu7H2mLNCUsuFR8"         }     } }2）获取请求响应头中的X-Subject-LoginToken信息。通过委托获取临时访问密钥和securitytoken且请求体中填写session_user.name参数。返回示例{   "logintoken": {     "assumed_by": {       "user": {         "domain": {           "id": "0659ef9c9c80d4560f14c009acf9c4a0",           "name": "I**mainB"         },         "id": "0659ef9d4d00d3b81f26c009fee32b57",         "name": "IAMUserB",         "password_expires_at": "2020-02-16T02:44:57.000000Z"       }     },     "domain_id": "05262121fb00d5c30fbec013bc17a4a0",     "expires_at": "2020-01-23T03:27:26.728000Z",     "method": "federation_proxy",     "session_id": "0012c8e6adda4ce787e90585d10e3e63",     "session_name": "SessionUserName",     "user_id": "07826f367b80d2474ff9c013a48903ee",     "user_name": "I**mainA/IAMAgency"   } }步骤3：构建联邦代理登录地址，完成免密登录联邦代理登录地址的构建规则为：https://auth.huaweicloud.com/authui/federation/login?service={target_console_url}&logintoken={logintoken}&idp_login_url={enterprise_system_loginURL}构建参数说明： {target_console_url}为目的云服务console地址的urlencode编码结果。{logintoken}为步骤2中获取到的logintoken的urlencode编码结果。 {enterprise_system_loginURL}是选填参数，为企业客户自身的登录系统地址的urlencode编码结果。 按照文档的指引，我最终顺利解决了这个问题，项目如期上线，运营方也可以通过免密登陆自己查询和分析运营数据，及时作出优化调整，省时省事还安全。在月度例会上，我因此再一次得到了老板的肯定，开心的同时，也在心里暗想：“看来不能松懈，还得多学习啊~” 据了解，目前API Explorer平台已开放EI企业智能、计算、应用服务、网络、软件开发平台、视频等70+云服务，共上线2000+个API、6000+个错误码。在前期试运行期间，华为云API Explorer平台上的API接口也已被多家企业成功接入。点击查看详情：《华为云一站式API解决方案平台API Explorer上线》华为云API Explorer平台在未来几个月会实现更多功能，比如支持SDK示例代码、CLI等特性，同时也会开放更多的云服务API接口，连接更多开发者实现创新、拓宽创新边界。【拓展阅读】【API进阶之路】因为不会创建云服务器，我被实习生摆了一道【API进阶之路】前浪的绝地反击与自我证明【API进阶之路】甩锅大会上，我是如何绝地求生的【API进阶之路】一个技术预案，让老板当场喊出了“奥利给”【API进阶之路】万万没想到，一个技术方案帮实习生追到了运营妹子!【API进阶之路】一个技术盲点，差点让整个项目翻车【API进阶之路】老板给我涨薪30%！如何通过SDK接口搞定千万级流量直播【API进阶之路】半天搞定百万条手机号归属地查询，竟影响了公司战略方向！【API进阶之路】无法想象！大龄码农的硬盘里有这么多宝藏【API进阶之路】高考要考口语？一场10w+刷屏活动是如何用多模态评测API做出来的【API进阶之路】帮公司省下20万调研费！如何巧用情感分析API实现用户偏好调研【API进阶之路】逆袭！用关键词抽取API搞定用户需求洞察【华为云API学习赛】为入门初学者量身定制的学习平台，以赛带学，学以致用。参赛、邀请都有丰富奖品，还有机会拿P40 5G手机~API入门学习赛·AI人脸识别l   报名地址l   奖项设置API入门学习赛·探险寻宝之旅l   报名地址l   奖项设置

上次教了实习生一个方案之后，这小子跟运营妹子的关系是越走越近，时不时地撒把狗粮，在我司真正实现了研发运营一家亲~（上回你没看？戳上文剧情回顾：万万没想到，一个技术方案帮实习生追到了运营妹子） 这回想跟大家聊的，是最近一个可以说有些惊心动魄的项目。自从我开始在华为云网站自学API的技术解决方案之后，我就变成了公司的云服务器技术专家，老板或运维部门想要查询个数据什么的都来找我。 近期有一个运营项目的系统正在开发中，运营方规划了一个数据BI模板，列出了需要监测和分析的数据维度，老板干脆让我每周出一份数据报表来支持各方的数据获取和数据分析。 让研发出数据报表？这不是逼着李逵绣花么？但是，我能轻易拒绝吗？前几回高光时刻带来的成就感和光环还没褪去呢，不能怂！于是我提了一个方案：可以把云服务器的监控仪表内嵌到我们自己的系统里，这样大家可以随时查询，也方便。 老板听了这个方案表示很开心，并同意加入到项目排期中，数据查询功能与系统同期上线，以便及时跟踪运营结果。在老板的笑容里，我看到季度奖金在向我招手。 说干就干，执行力咱还是有的。用1天的时间就把程序写完了，在测试的时候发现了一个问题，数据过不来！因为通过内嵌系统登陆云服务器需要经过各种认证，步骤多不说，如果要想实现人人可查询还存在泄密的危险。 这可怎么办，系统上线的日期临近，不能因为我这部分影响到项目进展啊！当初拍着胸脯提（chui）的方（niu）案（13），难道就要失败了？ 不行，再查查！我专门联系了华为云的技术专家，得知可以通过IAM自定义代理免密登录到云服务Console页面，省去认证环节，直接登陆云服务器进行数据查询和获取。 那怎么做免密登录呢？他给了我一份文档，内容是这样的： 一、前提条件 步骤 1：创建账号I**mainA下的IAM用户userB，并授予Security Administrator和Agent Operator权限（全局服务-全局项目）。 将userB的用户名和密码配置到企业系统的配置文件中，密码建议加密存储，以便获取认证token并进一步调用IAM其他Open API。备注：有关创建IAM用户和授权相关操作请参见：创建IAM用户（https://support.huaweicloud.com/usermanual-iam/zh-cn_topic_0046611303.html） 和 创建用户组并授权 （https://support.huaweicloud.com/usermanual-iam/zh-cn_topic_0046611269.html） 步骤2：创建联邦代理所需委托IAMAgency。 委托类型选择“普通账号”，委托的账号填写“DomainA”。备注：有关创建委托相关操作请参见：创建委托（委托方操作）（https://support.huaweicloud.com/usermanual-iam/zh-cn_topic_0046613147.html） 二、华为云联邦代理登录步骤1：调用IAM API获取STS token1）使用IAM全局域名（iam.myhuaweicloud.com）调用IAM服务的API（POST /v3.0/OS-CREDENTIAL/securitytokens）获取STS token。填写"session_user"参数，发起一个POST请求。POST  https://iam.myhuaweicloud.com/v3.0/OS-CREDENTIAL/securitytokens请求示例{     "auth": {         "identity": {             "assume_role": {                 "agency_name": "IAMAgency",                 "domain_name": "I**mainA",                 "duration-seconds": 3600,                 "session_user": {                     "name": "SessionUserName"                 }             },             "methods": [                 "assume_role"             ]         }     } } 2）获取并记录请求响应体中的STS token信息：credential.access , credential.secret, credential.securitytoken响应示例{   "credential": {     "access": "E6DX0TF2ZREQ4ZAVM5CS",     "expires_at": "2020-01-08T02:56:19.587000Z",     "secret": "w9ePum0qdfac39ErLD0UdjofYkqort6Iw2bmR6Si",     "securitytoken": "gQpjbi1ub3J0aC0..."   } }步骤2：调用IAM API获取logintoken1）使用IAM全局域名（iam.myhuaweicloud.com）调用IAM服务的API（POST /v3.0/OS-AUTH/securitytoken/logintokens）获取logintoken。发送一个POST请求。POST  https://iam.myhuaweicloud.com/v3.0/OS-AUTH/securitytoken/logintokens请求示例{     "auth": {         "securitytoken": {             "access": "LUJHNN4WB569PGAPBDFT",             "id": "gQpjbi1ub3J0a...",             "secret": "7qtrm2cku0XubixiVkBOcvMfpnu7H2mLNCUsuFR8"         }     } } 2）获取请求响应头中的X-Subject-LoginToken信息。通过委托获取临时访问密钥和securitytoken且请求体中填写session_user.name参数。返回示例{   "logintoken": {     "assumed_by": {       "user": {         "domain": {           "id": "0659ef9c9c80d4560f14c009acf9c4a0",           "name": "I**mainB"         },         "id": "0659ef9d4d00d3b81f26c009fee32b57",         "name": "IAMUserB",         "password_expires_at": "2020-02-16T02:44:57.000000Z"       }     },     "domain_id": "05262121fb00d5c30fbec013bc17a4a0",     "expires_at": "2020-01-23T03:27:26.728000Z",     "method": "federation_proxy",     "session_id": "0012c8e6adda4ce787e90585d10e3e63",     "session_name": "SessionUserName",     "user_id": "07826f367b80d2474ff9c013a48903ee",     "user_name": "I**mainA/IAMAgency"   } } 步骤3：构建联邦代理登录地址，完成免密登录联邦代理登录地址的构建规则为：https://auth.huaweicloud.com/authui/federation/login?service={target_console_url}&logintoken={logintoken}&idp_login_url={enterprise_system_loginURL}构建参数说明：l   {target_console_url}为目的云服务console地址的urlencode编码结果。l   {logintoken}为步骤2中获取到的logintoken的urlencode编码结果。l   {enterprise_system_loginURL}是选填参数，为企业客户自身的登录系统地址的urlencode编码结果。 按照文档的指引，我最终顺利解决了这个问题，项目如期上线，运营方也可以通过免密登陆自己查询和分析运营数据，及时作出优化调整，省时省事还安全。在月度例会上，我因此再一次得到了老板的肯定，开心的同时，也在心里暗想：“看来不能松懈，还得多学习啊~” 据了解，目前API Explorer平台已开放EI企业智能、计算、应用服务、网络、软件开发平台、视频等70+云服务，共上线2000+个API、6000+个错误码。在前期试运行期间，华为云API Explorer平台上的API接口也已被多家企业成功接入。点击查看详情：《华为云新功能上线，体验还能拿码豆》华为云API Explorer平台在未来几个月会实现更多功能，比如支持SDK示例代码、CLI等特性，同时也会开放更多的云服务API接口，连接更多开发者实现创新、拓宽创新边界。【拓展阅读】【API进阶之路】因为不会创建云服务器，我被实习生摆了一道【API进阶之路】前浪的绝地反击与自我证明【API进阶之路】甩锅大会上，我是如何绝地求生的【API进阶之路】一个技术预案，让老板当场喊出了“奥利给”【API进阶之路】万万没想到，一个技术方案帮实习生追到了运营妹子!【API进阶之路】一个技术盲点，差点让整个项目翻车【API进阶之路】老板给我涨薪30%！如何通过SDK接口搞定千万级流量直播【API进阶之路】半天搞定百万条手机号归属地查询，竟影响了公司战略方向！【API进阶之路】无法想象！大龄码农的硬盘里有这么多宝藏【API进阶之路】高考要考口语？一场10w+刷屏活动是如何用多模态评测API做出来的【API进阶之路】帮公司省下20万调研费！如何巧用情感分析API实现用户偏好调研【API进阶之路】逆袭！用关键词抽取API搞定用户需求洞察【华为云API学习赛】为入门初学者量身定制的学习平台，以赛带学，学以致用。参赛、邀请都有丰富奖品，还有机会拿P40 5G手机~API入门学习赛·AI人脸识别l   报名地址l   奖项设置API入门学习赛·探险寻宝之旅l   报名地址l   奖项设置