华为云交换数据空间EDS从零到一：数据安全交换与API集成完全实战指南

需要先登录华为云控制台，点击：华为云控制台，还没有账号，点击：注册并关联，已有账号点击：登录后关联

一、EDS核心概念与产品架构

交换数据空间是面向数据要素流通场景的服务，提供数据使用策略、日志审计、数据市场等安全保护能力。数据在提供方与消费方交换过程中可按照预设策略约束使用，日志审计则完整记录交换流转的全过程。

产品架构包含六个核心模块。数据市场提供数据搜索、资产标注、需求匹配、合约协商和数据订阅功能。认证中心对参与方身份和资质进行认证，建立多方信任生态。清算中心记录交换操作日志，提供全流程审计追溯服务。使用控制中心是策略制定的核心模块，对每次交换数据进行使用控制策略配置。数据连接器提供数据集成、计算和消费能力，实现数据的流通与可控使用。数据传输模块在连接器中完成数据从提供方到消费方的传输，并支持通道加密。

连接器内部包含数据存储、数据分析应用和数据使用控制三大子模块。数据存储负责存贮交换的数据资源。数据分析应用对数据进行消费，在使用过程中遵守策略约束。数据使用控制负责执行使用策略，保护数据使用权。

EDS的三大核心理念可以概括为：可信、可控、可证。可信层面通过多方信任机制实现参与方身份与平台环境的可信任。可控层面提供有效期限、查看次数、是否下载等多种使用控制策略的制定、管理与执行能力。可证层面通过全流程可信、可视的审计追溯，支持提供方查证追溯，也让消费方免证清白，同时开放接口供第三方监管使用。

EDS共支持三种空间类型。内部数据空间只允许创建者及其子用户加入，适合部门间数据交换。上下游数据空间适用于组织间的数据共享与管控，数据空间创建者的连接器与子用户创建的连接器之间可交换数据，与其他租户的连接器也可交换，但其他租户之间的连接器无法交换。开放数据空间面向同一行业的不同组织，不限制人员加入和数据交换，购买前需要邮件申请由运营人员审核通过。

角色体系包含空间管理员、连接器管理员和连接器用户。租户购买交换数据空间后自动成为该空间的管理员。连接器管理员即连接器开通者，需要空间管理员审批通过。连接器用户仅连接器管理员及其子用户可以加入，不同连接器之间的连接器用户可以进行数据交换。用户加入连接器有两种方式：由连接器管理员在用户管理处添加，或用户主动申请加入待管理员审批。

二、EDS环境搭建与初始化配置

使用EDS前需要完成华为账号企业实名认证，然后购买或加入交换数据空间。购买时可以选择基础版或专业版实例，目前主要支持华北-北京四区域。

购买完空间实例后需要申请开通连接器并加入。连接器是交换数据空间的基本组成元素，每个连接器都包含数据存储、传输和使用控制等相同模块。用户加入空间后申请开通连接器，待空间管理员审批通过即可成为连接器管理员。如果需要加入他人创建的空间实例，可以主动申请加入连接器，审批通过后默认成为数据消费者角色，连接器管理员可根据职责授予不同权限。

连接器管理控制台提供完整的功能菜单。工作台展示快捷入口、统计概览、我的任务和账号详情。数据目录支持对数据资源文件进行上传、接收和管理。数据offer提供上架offer到数据市场的功能。数据合约可查看提供和收到合约的详细信息。数据市场提供数据搜索、订阅和收藏功能。连接器管理包含应用管理、数据源管理、策略模板、业务权限、连接器分组、用户和角色管理。查证与运营提供数据、合约、用户三个维度的追溯能力，同时展示TOP5用户看板和TOP5数据看板。任务管理记录上传、采集、交换和下载任务清单。

三、数据资源管理与交换实战

交换数据资源只能在同一个空间实例下进行，不支持跨实例交换。EDS提供了两种交换方式：点对点交换和数据市场交换。

点对点交换适用于定向发送数据给固定消费方。支持重复发送同一资源，无需新建合约配置策略，双方同意后直接形成合约。具体流程为数据提供方先新增资源，将数据上传至连接器的数据目录。上传时支持文件类型和数据集类型，文件类型包含xlsx、pdf、doc、jpg、png等，数据集支持CSV、API、DB格式。数据来源支持浏览器上传、FTP存储、SFTP存储和OBS存储。资源可以定义为单个资源或多个资源，定义为多个资源时每个文件单独成为一个资源并使用文件名命名。上传完成后提供方选择指定消费方直接发送资源，消费方接收资源完成交换。

数据市场交换适用于面向更广泛消费群体的数据共享模式。数据提供方先将资源上架到数据市场形成offer，经过审批后消费方在数据市场搜索并订阅所需offer，审批通过后消费方即可使用资源。

资源上架offer时数据提供方需要制定使用控制策略，包括查看、加工和下载三种操作权限。附加约束条件通过Who、When和How many几个维度进行限制。Who限定消费方的具体用户或团队。When控制使用的起始和截止时间。How many限制可用操作的次数。数据消费方在订阅offer时可以在提供方策略基础上申请新的策略进行覆盖。

在控制台实际操作时，用户需要登录交换数据空间官网，单击管理控制台进入EDS控制台界面。单击我的空间选择空间实例，在实例卡片上单击连接器。选择连接器后单击前往进入连接器控制台界面。数据目录中选择我的数据中的本地接入，单击新增资源即可开始定义和上传资源。

四、使用控制策略体系

EDS的使用控制策略是核心安全机制，连接器端将策略拆分为多个独立维度。数据查看控制策略通过可用次数和可用应用进行限制。数据处理控制策略限制在线统计等操作。数据下载控制策略控制数据下载权限。数据终止控制策略允许提供方提前终止合约。数据审批控制策略对消费方产生的衍生物进行审批管控。指定用户控制策略限定只有指定消费方用户才能接收数据。指定时间控制策略限制数据仅在特定时间段内可用。

数据在使用过程中基于这些策略执行控制，确保在数据主权可控的基础上合规使用。整个策略体系可以通过连接器的数据使用控制模块强制实施，消费方无法绕过。

五、API集成开发实战

EDS提供了完整的RESTful API接口，支持通过编程方式完成数据上传、交换和管理操作。调用API时需要先完成认证，华为云使用IAM认证体系，请求前需要获取临时Token或在请求头中携带签名信息。

以下以Python为例展示EDS API的完整调用流程。

import requests
import json
import time
import hashlib
import hmac

# 华为云认证参数
AK = "your_access_key"
SK = "your_secret_key"
REGION = "cn-north-4"
SERVICE = "eds"
HOST = f"{SERVICE}.{REGION}.myhuaweicloud.com"

def sign_request(method, url, params, body):
    """生成华为云API签名"""
    # 简化示例，实际需实现完整的V4签名流程
    timestamp = time.strftime("%Y%m%dT%H%M%SZ", time.gmtime())
    headers = {"X-Sdk-Date": timestamp}
    # 完整签名实现请参考华为云API签名指南
    return headers

# 示例1：创建连接器
def create_connector(instance_id, connector_name):
    url = f"https://{HOST}/v1/instances/{instance_id}/connectors"
    payload = {"name": connector_name, "description": "测试连接器"}
    headers = sign_request("POST", url, {}, payload)
    headers["Content-Type"] = "application/json"
    response = requests.post(url, json=payload, headers=headers)
    return response.json()

# 示例2：上传资源文件
def upload_resource(connector_id, file_path, resource_name):
    url = f"https://{HOST}/v1/connectors/{connector_id}/resources"
    files = {"file": open(file_path, "rb")}
    data = {"name": resource_name, "type": "FILE"}
    headers = sign_request("POST", url, {}, None)
    response = requests.post(url, files=files, data=data, headers=headers)
    return response.json()

# 示例3：创建offer上架到数据市场
def create_offer(connector_id, resource_id, control_policies):
    url = f"https://{HOST}/v1/connectors/{connector_id}/offers"
    payload = {
        "name": "示例数据商品",
        "resourceId": resource_id,
        "visibility": "PUBLIC",
        "controlPolicies": control_policies
    }
    headers = sign_request("POST", url, {}, payload)
    headers["Content-Type"] = "application/json"
    response = requests.post(url, json=payload, headers=headers)
    return response.json()

使用Java语言调用EDS API时，可以基于华为云Java SDK进行开发。以下为Java语言的核心示例代码。

import com.huaweicloud.sdk.core.auth.BasicCredentials;
import com.huaweicloud.sdk.core.http.HttpConfig;
import com.huaweicloud.sdk.eds.v1.EdsClient;
import com.huaweicloud.sdk.eds.v1.model.*;

public class EdsDemo {
    public static void main(String[] args) {
        String ak = "your_access_key";
        String sk = "your_secret_key";
        String region = "cn-north-4";
        
        BasicCredentials auth = new BasicCredentials()
            .withAk(ak)
            .withSk(sk);
        
        HttpConfig httpConfig = HttpConfig.getDefaultHttpConfig()
            .withIgnoreSSLVerification(false);
        
        EdsClient client = EdsClient.newBuilder()
            .withCredential(auth)
            .withRegion(region)
            .withHttpConfig(httpConfig)
            .build();
        
        // 创建连接器示例
        CreateConnectorRequest request = new CreateConnectorRequest()
            .withInstanceId("instance_id")
            .withBody(new CreateConnectorRequestBody()
                .withName("JavaSDK连接器")
                .withDescription("通过Java SDK创建"));
        
        CreateConnectorResponse response = client.createConnector(request);
        System.out.println(response.toString());
    }
}

EDS还提供了基于连接器RESTful接口规范的扩展能力。用户可以在ROMA Connect平台上开发自定义连接器，根据规范定义实现接口，自行选择开发语言完成对数据源的读写功能以及RESTful接口的完整实现。开发完成后即可将自定义连接器接入EDS平台。

六、最佳实践与行业应用

健康医疗数据共享是EDS的典型应用场景。医疗集团与下属医院或合作医疗机构之间需要交换大量患者诊疗数据，对数据安全和合规要求极高。实践流程为医疗集团开通交换数据空间，分别创建医疗集团连接器和医院连接器。医疗集团将患者医疗数据上传到数据目录，制定控制策略后上架offer到数据市场。医院前往数据市场搜索医疗数据并订阅offer。医疗集团审批通过后双方自动收到合约。医院根据控制策略中的时间限制、查看次数和下载权限等约束安全使用数据。整个流程中所有操作都被审计日志记录，保障合规可追溯。

企业上下游业务协同是另一个重要场景，包括研发协同、供应链质量追溯等需要双方交换相关数据。EDS方案实现了数据交换过程中的安全保护，增强了生态之间的互信，使数据合规使用充分发挥价值，提升了企业内外部业务协同的效率。

DMAP数小二作为企业数字化转型工具，帮助客户管理企业架构资产，运营数字化资产。通过业务架构模块创建流程，实现数据资产的全域盘点，支持语义搜索，支持360度资产刻画，包括数据集、逻辑数据实体和隐私密级等详情查看，帮助用户全面理解数据，洞悉资产流通全局。

七、审计日志与监控追溯

EDS提供全流程的审计追溯能力。清算中心模块对数据交换过程的所有操作记录日志，实现日志管理能力。用户可以通过控制台的查证与运营模块查看操作的TOP5用户和TOP5数据看板，从数据、合约、用户三个维度进行查证追溯。

日志追溯的具体操作路径为进入交换数据空间控制台，单击我的空间选择空间实例，在实例卡片上单击连接器。选择连接器后单击前往进入连接器控制台界面，选择界面左侧导航栏中的查证与运营即可查看相关审计信息。日志记录了本连接器资源的操作记录，包括资源的上传、交换、下载、删除等关键操作，明确资源流向。同时通过云审计服务CTS记录EDS的相关操作，控制台保存最近7天的操作记录，用户可以通过云审计服务管理控制台查看详细的审计日志。

八、数据应用生态与工具链集成

EDS内置了丰富的数据应用工具供用户在接收数据资源时使用。在线Excel工具允许用户直接查看和处理Excel数据资源。数据集在线预览查看功能支持对接收的数据集类型数据进行预览查看。PDF文件在线查看功能允许在上传、交换和接收过程中预览查看PDF文件数据。

在数据源连接方面，EDS支持接入多种类型的数据源。用户可以注册数据库下载应用实例来下载数据到数据库，支持ORACLE、MYSQL和DWS类型存储。每种存储类型都需要配置连接地址、端口、数据库名称、用户名和密码等基本信息，MYSQL类型还支持开启或关闭SSL加密传输。接入数据源后可以先测试连接验证是否正常连通，测试成功后再提交保存。

九、专业建议与运营优化

在多租户场景下，建议为不同的组织或部门单独创建连接器，通过连接器进行物理隔离。在组织内部使用内部数据空间类型，跨组织协作时使用上下游数据空间。开放数据空间需要谨慎使用，务必先完成相关资质申请审批。

控制策略模板可以预先定义常用策略并保存，方便在交换数据时快速复用。策略模板支持数据查看、处理、下载等多种策略组合，使用时可以灵活调整策略参数以适应不同的业务场景。通过策略模板的复用可以大幅降低日常数据交换中的重复配置工作量。

EDS目前主要支持华北-北京四区域，使用前需确认数据中心布局是否满足业务需求。用户的连接器操作记录通过日志审计系统完整保留，建议定期导出审计日志进行归档和合规审查。云审计服务CTS会记录EDS的所有关键操作，可以通过审计日志分析用户行为和数据流向，发现异常访问及时进行处理。

在数据交换量大或频繁的场景下，建议建立合理的任务监控机制。任务管理界面记录了上传、采集、交换和下载任务清单，可以实时跟踪任务的执行状态，及时发现并处理失败任务。连接器管理员需要定期检查工作台中的待办事项，确保各类申请能够及时审批，避免数据交换流程阻塞。

十、常见问题解答