责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的 云安全 挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的IaaS、PaaS和SaaS类云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。华为云租户的安全责任在于对使用的IaaS、PaaS和SaaS类云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、 虚拟主机 和访客虚拟机的操作系统，虚拟防火墙、API网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

计费说明 云审计 服务本身免费，包括开通追踪器、事件跟踪以及7天内事件的存储和检索。同时云审计服务与华为云其他云服务可以组合使用（可能会产生部分由其他服务收取的费用），为您提供事件文件转储、事件文件加密等增值服务，这些增值服务可能产生额外费用，通常情况下，云审计服务产生的增值服务费用很低，因此建议您根据实际需要搭配使用。 增值服务列表如下： 事件转储：需要使用 对象存储服务 （OBS），管理类追踪器配置的转储事件文件将永久保存，数据类追踪器配置的转储事件按照转储的时间保存。 事件文件加密存储：在开通事件转储的基础上，需要使用 数据加密 服务（DEW）对存储在OBS桶中的事件文件进行加密。 日志转储： CTS 提供将审计日志转储至LTS的功能，但依赖 云日志 服务（LTS）的日志存储功能收费。 关键操作通知：CTS提供关键操作通知功能，可在发生特定操作时向用户手机、邮箱发送消息，但发送消息需要使用 消息通知 服务（ SMN ）订阅主题。 其他服务的计费，详情请参见：产品价格详情。

CTS权限 默认情况下，新建的 IAM 用户没有任何权限，您需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 CTS部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如华北-北京4）对应的项目（cn-north-4）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问CTS时，需要先切换至授权区域。 权限根据授权精细程度分为角色和策略，策略是角色的升级版。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对E CS 服务，CTS管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分。 如表1所示，包括了CTS的所有系统权限。 表1 CTS系统权限 系统角色/策略名称 描述 类别 依赖关系 CTS FullAccess 云审计服务的所有权限。 系统策略 无 CTS ReadOnlyAccess 云审计服务的只读权限。 系统策略 无 CTS Administrator 云审计服务的管理员权限，拥有CTS的所有权限。 拥有该权限的用户拥有除IAM外，其他所有服务的只读权限。 系统角色 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest、OBS Administrator和Security Administrator。 表2列出了CTS常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表2 常用操作与系统权限的关系 操作 CTS FullAccess CTS ReadOnlyAccess CTS Administrator 查询事件列表 √ √ √ 查询配额 √ √ √ 创建追踪器 √ × √ 修改追踪器 √ × √ 停用追踪器 √ × √ 启用追踪器 √ × √ 查询追踪器 √ √ √ 删除追踪器 √ × √ 创建关键操作通知 √ × √ 修改关键操作通知 √ × √ 停用关键操作通知 √ × √ 启用关键操作通知 √ × √ 查询关键操作通知 √ √ √ 删除关键操作通知 √ × √ 批量添加标签 √ × √ 批量删除标签 √ × √

细粒度权限说明 使用自定义细粒度策略，请使用管理员用户进入 统一身份认证 （IAM）服务，按需选择CTS的细粒度权限进行授权操作。CTS细粒度权限说明请参见表3。 表3 CTS细粒度权限说明 权限名称 权限描述 权限依赖 应用场景 cts:quota:get 查询租户追踪器配额信息 - 查询租户追踪器配额信息 cts:trace:list 查询审计事件 - 查出系统记录的7天内资源操作记录 cts:trace:listResource - cts:trace:listTraceUser - cts:notification:create 创建关键操作通知 smn:topic:listTopic iam:agencies:listAgencies iam:agencies:createAgency iam:permissions:grantRoleToAgencyOnProject iam:permissions:listRolesForAgencyOnProject iam:projects:listProjects iam:groups:listGroups iam:users:listUsers iam:users:listUsersForGroup 创建关键操作通知 cts:notification:update 修改关键操作通知 修改关键操作通知 cts:notification:delete 删除关键操作通知 - 删除关键操作通知 cts:notification:list 查询所有关键操作通知 - 查询所有关键操作通知 cts:tracker:delete 删除追踪器 - 删除已创建的追踪器 cts:tracker:update 更新追踪器 iam:agencies:listAgencies iam:agencies:createAgency iam:permissions:grantRoleToAgencyOnProject iam:permissions:listRolesForAgencyOnProject iam:projects:listProjects iam:groups:listGroups iam:users:listUsersForGroup lts:topics:list lts:topics:create lts:topics:get lts:logstreams:list lts:groups:get lts:groups:list lts:groups:create obs:bucket:CreateBucket obs:bucket:HeadBucket obs:bucket:GetLifecycleConfiguration obs:bucket:PutLifecycleConfiguration obs:bucket:GetBucketAcl obs:bucket:PutBucketAcl obs:bucket:ListAllMyBuckets kms:cmk:list kms:cmk:get eps:enterpriseProjects:list organizations:trustedServices:list organizations:organizations:get organizations:deletgatedAdministrators:list organizations:accounts:list organizations:deletgatedServices:list 修改已创建追踪器的配置项 cts:tracker:create 创建追踪器 创建一个追踪器用来关联系统记录的所有操作 cts:tracker:list 查询所有追踪器 obs:bucket:GetBucketAcl obs:bucket:ListAllMyBuckets 查看追踪器的详细信息 cts:tag:create 批量添加资源标签 - 批量添加资源标签 cts:tag:delete 批量删除资源标签 - 批量删除资源标签

操作场景 云审计服务支持创建数据类事件追踪器，用于记录数据操作日志。数据类追踪器用于记录数据事件，即针对租户对OBS桶中的数据的操作日志，例如上传、下载等。 在开通云审计服务时，系统已为您自动创建了一个管理事件追踪器，管理事件追踪器只能有一个，故后续您自行创建的追踪器均为数据类事件追踪器。 CTS仅记录最近7天内的操作事件，您需要配置追踪器来保存更长时间的事件，否则将无法追溯7天前的操作事件。追踪器会将事件持续保存到您指定的LTS日志流或者OBS桶中。

操作场景 云审计服务管理控制台支持对已创建的管理类追踪器增加OBS转储、LTS转储等相关配置。 用户可以选择是否将已记录的事件发送到OBS桶永久保存。如果用户想要对管理类事件进行统一管理，还可以设置将多个账号记录的事件统一转储到一个OBS桶。 OBS桶有标准存储、低频访问存储和归档存储三种类型。由于云审计服务需要高频次的访问转储的OBS桶，因此必须使用标准存储类型的OBS桶。 配置追踪器完成后，系统立即以新的规则开始记录操作。 本节介绍如何配置管理类事件追踪器。

摘要文件样例 { "project_id": "3cfb09080bd944d0b4cdd72ef2685712", "digest_start_time": "2017-03-28T01-09-17Z", "digest_end_time": "2017-03-28T02-09-17Z", "digest_bucket": "bucket", "digest_object": "CloudTraces/cn-north-01/2017/3/28/Digest/EVS/mylog_CloudTrace-Digest_cn-north-01/_2017-03-28T02-09-17Z.json.gz", "digest_signature_algorithm": "SHA256withRSA", "digest_end": false, "previous_digest_bucket": "bucket", "previous_digest_object": "CloudTraces/cn-north-01/2017/3/28/Digest/EVS/mylog_CloudTrace-Digest_cn-north-01/_2017-03-28T01-09-17Z.json.gz", "previous_digest_hash_value": "5e08875de01b894eda5d1399d7b049fe", "previous_digest_hash_algorithm": "MD5", "previous_digest_signature": "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", "previous_digest_end": false, "log_files": [{ "bucket": "bucket", "object": "CloudTraces/cn-north-01/2017/3/28/ECS/mylog_CloudTrace_cn-north-01/_2017-03-28T02-09-17Z_0faa86bc40071242.json.gz", "log_hash_value": "633a8256ae7996e21430c3a0e9897828", "log_hash_algorithm": "MD5" }] } 父主题： 摘要文件

相关信息 云审计服务的功能主要包括： 记录审计日志：支持记录用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 审计日志转储：支持将审计日志周期性的转储至对象存储服务（Object Storage Service，简称OBS）下的OBS桶，转储时会按照服务维度压缩审计日志为事件文件，或转储至云日志服务（Log Tank Service，简称LTS）下的LTS日志流。 事件文件加密：支持在转储过程中使用数据加密服务（Data Encryption Workshop，简称DEW）中的密钥对事件文件进行加密。 关键操作通知：支持在发生特定操作时使用消息通知服务（Simple Message Notification，简称SMN）向用户手机、邮箱发送消息。

操作场景 用户首次进入云审计服务时，在追踪器页面单击“开通云审计服务”，系统会自动为您创建一个名为system的管理追踪器，之后您也可以在追踪器页面创建多个数据追踪器。管理追踪器会自动识别并关联当前租户所使用的所有云服务，并将当前租户的所有操作记录在该追踪器中。数据追踪器会记录租户对OBS桶中的数据操作的详细信息。 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录，需要将事件文件保存至对象存储服务中的存储对象的容器，即OBS桶，也可以保存至LTS日志流。开通云审计服务之前，需要开通对象存储服务和云日志服务，且用户对即将要使用的OBS桶和LTS日志流具有完全的使用权限。云服务平台默认仅开通OBS的服务所有者能够访问OBS桶及其包含的所有对象，但服务所有者可以通过编写访问策略来向其他服务和用户授予访问权。

关联服务 对象存储服务（Object Storage Service，简称OBS）：存储事件文件。 由于云审计服务需要高频次的访问转储的OBS桶，因此必须选择使用标准存储类型的OBS桶。 数据加密服务（Data Encryption Workshop，简称DEW）：为事件文件加密功能提供密钥。 云日志服务（Log Tank Service，简称LTS）：提供日志存储功能。 消息通知服务（Simple Message Notification，简称SMN）：检测到关键操作时，调用消息通知服务向用户发送邮件、短信通知。

操作前提 在进行事件文件完整性校验前，您需先了解云审计摘要文件的签名方式： 云审计摘要文件使用RSA数字签名，对于每个摘要文件，云审计执行以下操作： 创建数字签名字符串（由指定摘要文件字段构成），获取RSA私钥。 将数字签名字符串的哈希值和私钥传递给RSA算法，生成数字签名，将数字签名编码成十六进制格式。 将该数字签名放入摘要文件对象的meta-signature元数据属性中。 数字签名字符串包含以下摘要文件字段： UTC扩展格式的摘要文件结束时间戳（2017-03-28T02-09-17Z）。 当前摘要文件的OBS存储路径。 当前摘要文件（压缩后的）的哈希值（十六进制编码）。 前一摘要文件的十六进制数字签名。

操作场景 由于云审计采用了行业标准、可公开使用的签名算法和哈希函数，因此，您可以自行创建用于校验云审计事件文件完整性的工具。原则上进行完整性校验时必须包含字段time、service_type、resource_type、trace_name、trace_rating、trace_type，其他字段由各服务自己定义。 启用事件文件完整性校验后，云审计将摘要文件提交到您的OBS桶中，您可以使用这些文件实现自己的校验解决方案。有关摘要文件的更多信息，请参阅摘要文件。

修订记录 发布日期 修改记录 2024-05-30 第六十二次正式发布。 更新追踪器界面风格。 更新关键操作通知界面风格。 2024-05-14 第六十一次正式发布。 更新查询审计事件，搜索审计事件功能新增两个筛选条件：“企业项目ID”和“访问密钥ID”。 2024-03-19 第六十次正式发布。 新增取消委托管理员权限。 2024-03-08 第五十九次正式发布。 更新支持审计的服务及操作列表：新增“产品数字化协同平台云服务”、“工业仿真工具链云服务”。 2023-01-19 第五十八次正式发布。 新增组织追踪器：云审计服务支持组织云服务的多账号关系的管理能力。 2023-12-27 第五十七次正式发布。 更新支持审计的服务及操作列表：新增“成本中心服务”。 2023-12-15 第五十六次正式发布。 更新配置管理类事件追踪器和配置数据类事件追踪器，新增添加标签功能。 更新支持审计的服务及操作列表：新增“需求管理服务”、“云盘服务”、“应用平台服务”、“ 安全云脑 ”。 2023-11-01 第五十五次正式发布。 更新查询审计事件，新增“在新版事件列表查看审计事件”和“在旧版事件列表查看审计事件”说明。 2023-08-31 第五十四次正式发布。 更新支持审计的服务及操作列表：新增“板级EDA工具链云服务”、“智能数据洞察服务”。 2023-08-28 第五十三次正式发布。 更新查询审计事件。 更新查询转储事件：新增“查询OBS中转储事件”和“查询LTS中转储事件”操作说明。 更新追踪器资料，原“管理追踪器”章节，现分为管理类事件追踪器和数据类事件追踪器。 更新配置追踪器，新增“排除KMS事件”说明。 更新云审计服务应用示例，补充新版云审计控制台操作说明。 更新跨租户转储授权。 2023-08-15 第五十二次正式发布。 更新跨租户转储授权。 2023-07-17 第五十一次正式发布。 更新支持审计的服务及操作列表：新增“工业数字模型驱动引擎”、“企业路由器”、“ 媒体处理 ”、“IAM身份中心”、“流水线”、“编译构建”、“云性能测试服务”、“应用管理与运维平台”。 2023-02-28 第五十次正式发布。 修改支持审计的服务及操作列表。 2022-11-15 第四十九次正式发布。 修改审计操作列表。 更新数据类事件追踪器。 新增跨租户转储授权。 2022-07-15 第四十八次正式发布。 修改审计操作列表。 2020-11-27 第四十七次正式发布。 新增 知识图谱 审计操作列表。 2020-09-28 第四十六次正式发布。 新增分布式消息服务RabbitMQ审计操作列表。 2019-08-30 第四十五次正式发布。 新增 数据湖 治理中心审计操作列表。 2019-07-11 第四十四次正式发布。 新增企业管理服务审计操作列表。 新增云容器实例审计操作列表。 2019-06-30 第四十三次正式发布。 新增创建追踪器。 新增权限管理。 修改配置追踪器。 排查修改界面词，删除与LTS相关描述等。 修改分布式消息服务Kafka审计操作列表。 2019-05-25 第四十二次正式发布。 修改文档数据库服务审计操作列表。 修改应用管理与运维平台审计操作列表。 2019-05-30 第四十一次正式发布。 新增云数据库GeminiDB审计操作列表。 修改分布式缓存服务审计操作列表。 2019-05-20 第四十次正式发布。 新增云连接审计操作列表。 2019-04-30 第三十九次正式发布。 新增慧眼HiLens审计操作列表。 新增 云存储 网关服务审计操作列表。 新增应用与 数据集成平台 ROMA Connect审计操作列表。 修改存储容灾服务审计操作列表。 修改ModelArts审计操作列表。 修改水智能体审计操作列表。 修改弹性云服务器审计操作列表。 修改 DDoS高防服务 审计操作列表。 修改弹性负载均衡审计操作列表。 2019-04-08 第三十八次正式发布。 新增流水线审计操作列表。 新增云备份服务审计操作列表。 新增水智能体审计操作列表。 修改代码托管审计操作列表。 修改 云监控 审计操作列表。 2019-02-14 第三十七次正式发布。 新增配额调整。 2019-01-30 第三十六次正式发布。 新增对接云手机服务。 新增对接云日志服务。 Web应用防火墙 服务更新事件。 配置追踪器，事件文件支持转储至其他用户OBS桶。 2018-12-29 第三十五次正式发布。 新增对接 代码托管服务 。 新增对接视频分析服务。 新增对接快速数据集成。 对话机器人服务 新增事件。 2018-12-07 第三十四次正式发布。 新增对接ROAM联接服务。 新增对接ModelArts服务。 新增关键操作，修改关键操作列表，涉及资料： 弹性云服务器的关键操作列表 应用管理与运维平台的关键操作列表 对话机器人 服务的关键操作列表 配置追踪器，新增创建OBS桶操作的日志记录说明。 2018-11-15 第三十三次正式发布。 新增对接存储容灾服务。 2018-10-30 第三十二次正式发布。 新增对接虚拟私有云终端节点服务 新增对接 容器安全服务 新增对接云运营中心 新增对接云速建站 更新专属企业存储服务的关键操作列表 2018-09-30 第三十一次正式发布。 新增对接基因检测服务 新增对接 图像搜索 2018-08-30 第三十次正式发布。 新增对接 云堡垒机 新增对接 语音识别 新增对接图像识别 支持对七天以内的操作记录以CSV格式导出。 2018-07-30 第二十九次正式发布。 新增对接云文件服务 新增对接 内容审核 函数工作流 关键操作列表更新 对象存储服务的关键操作列表，按照“桶”和“对象”的资源类型，提供不同的查看方式。 2018-06-30 第二十八次正式发布。 新增对接 云数据迁移 新增对接安全专家服务 新增对接 主机迁移服务 2018-05-31 第二十七次正式发布。 支持对关键操作通知进行自定义配置，新增“配置关键操作通知”章节。 新增对接安全中心 新增对接数据湖工厂服务 2018-04-25 第二十六次正式发布，新增对接。 应用编排服务 。 函数服务 对话机器人服务 DDos高防服务 应用运维管理 区块链 服务 镜像容器服务 2018-03-09 第二十五次正式发布。 优化了支持审计的服务章节。 对接Elasticsearch服务 对接边缘计算服务 对接UPredict服务 2018-01-30 第二十四次正式发布。 “关键事件通知”触发条件新增“完整”场景，配置追踪器章节新增功能说明和配置说明。 对接专属企业存储服务 对接API网关 对接对象存储服务 2017-12-30 第二十三次正式发布。 对接文档数据库服务 对接弹性文件服务 对接深度学习服务 对接关系引擎服务 补充说明CTS转储的OBS桶类型只能选择标准存储类型的桶。 2017-11-25 第二十二次正式发布。 事件文件完整性校验功能，新增“事件文件完整性校验”和“校验云审计事件文件完整性”章节。 新增对接应用管理与运维平台ServiceStage。 “开通云审计服务”章节新增说明，支持一键为当前局点所有region创建追踪器。 关键事件通知新增“用户登录”功能。 2017-10-26 第二十一次正式发布。 新增对接 分布式数据库 中间件。 新增对接Web 漏洞扫描 。 新增对接机器学习服务。 2017-09-30 第二十次正式发布。 配置追踪器支持对待转储的事件文件进行KMS加密。 常见问题新增“对事件文件进行KMS加密是否收费？”章节。 新增对接函数工作流服务。 新增对接主机安全服务。 新增对接 数据接入服务 。 新增对接CloudTable服务。 新增对接 对象存储迁移 服务。 新增对接安全体检服务。 2017-08-30 第十九次正式发布。 新增对接 数据仓库 服务。 新增对接语音通话服务。 新增对接消息&短信服务。 配置追踪器支持在配置追踪器页面创建OBS桶。 2017-07-20 第十八次正式发布。 新增对接网络入侵检测服务。 新增对接数据查询服务。 新增对接内容分发网络服务。 配置追踪器增加关键事件通知功能描述。 2017-06-27 第十七次正式发布。 新增关系型数据库服务。 2017-06-14 第十六次正式发布。 新增对接证书管理服务。 新增对接数据库防火墙服务。 新增对接渗透测试服务。 新增对接关系型数据库服务。 2017-05-26 第十五次正式发布。 新增对接Web应用防火墙服务。 新增对接主机漏洞检测服务。 2017-04-28 第十四次正式发布。 新增对接程序运行认证服务。 新增对接网页防篡改服务。 2017-03-30 第十三次正式发布。 新增对接云目录服务 新增对接云报表服务。 2017-02-27 第十二次正式发布。 对应事件筛选功能的优化，在“查看追踪事件”中修改相应的描述。 在事件结构中修改了user字段的说明。 2017-02-08 第十一次正式发布。 优化对应事件筛选功能，在“查看追踪事件”中修改相应的描述。 在配置追踪器章节中增加关于事件周期转储的说明。 在云审计服务事件参考中增加关于本章节描述视角的说明，并优化部分事件字段的说明。 2017-02-03 第十次正式发布。 新增常见问题“为什么时间列表中的某些操作被记录了两次？”对异步操作场景进行说明。 增加说明：消息通知服务中的“删除主题”操作中删除订阅信息操作不被记录。 在“开通云审计服务中”修改描述：“追踪器记录创建追踪器的该租户的云服务资源的相关操作。” 在事件结构中修改“user”、“request”和“response”字段的说明。 2017-01-20 第九次正式发布。 对接服务：ELB、VBS、CCE、 MRS 增加VBS和IMS在trace list中，通过Resource ID跳转到对应的资源页面。 2016-12-30 第八次正式发布。 新增对接更多服务。 2016-12-15 第七次正式发布。 OBS桶转储区分服务类型。 2016-11-30 第六次正式发布。 优化界面显示。 2016-11-15 第五次正式发布。 新增对接更多服务。 2016-10-30 第四次正式发布： OBS桶转储区分服务类型。 2016-10-15 第三次正式发布。 增加事件级别。 2016-09-30 第二次正式发布。 支持运维查询所有接口trace。 2016-09-15 第一次正式发布。

操作场景 云审计服务管理控制台支持配置已开启的追踪器的OBS桶、LTS转储和配置已创建的追踪器关键事件操作通知。 用户可选择已存在的OBS桶。云审计服务会自动为该OBS桶挂载转储所需的桶策略。 当配置云审计服务的追踪器中的“事件文件前缀”时，不影响对应OBS桶的策略。 如果用户想要对数据类事件进行统一管理，可以设置将多个追踪对象的事件转储到同一个OBS桶。 OBS桶有标准存储、低频访问存储和归档存储三种类型。由于云审计服务需要高频次的访问转储的OBS桶，因此必须使用标准存储类型的OBS桶。 配置追踪器完成后，系统立即以新的规则开始记录操作。 本节介绍如何配置数据类事件追踪器。

如何获取各对接云服务上报Config的资源属性？ 获取各对接云服务上报Config的资源属性有如下两种方式： 通过Config管理控制台的高级查询功能，进入查询编辑器即可在界面左侧获取，如下步骤仅为进入查询编辑器的其中一种方式。 登录管理控制台。 进入Config服务的高级查询界面。 在“预设查询”列表中单击任一查询操作列的“使用查询”。 图1 使用查询 进入查询编辑器，界面左侧显示各对接云服务资源类型的详细属性，并支持输入资源类型名称进行搜索。 图2 查看资源类型详细属性 通过“列举高级查询Schema”接口获取，其中type字段为资源类型，schema字段为此资源类型上报Config的资源属性。