云服务器内容精选
-
特殊权限策略 CFW部分功能依赖于弹性云服务器(Elastic Cloud Server, E CS )、虚拟私有云(Virtual Private Cloud, VPC)等云服务,因这些云服务中部分功能不支持企业项目,将“CFW FullAccess” 和“CFW ReadOnlyAccess”两个系统策略授权到企业项目维度后会造成部分权限失效。 所以需要使用华为云账户自行创建两条系统策略,具体创建步骤请参见:创建自定义策略。 CFW依赖的云服务中不支持企业项目的功能需要按照以下内容添加权限,其中 云日志 服务(Log Tank Service,简称LTS)在CFW页面操作时需授权LTS服务全部权限。 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "vpc:quotas:list", "vpc:publicipTags:get" ] }, { "Effect": "Allow", "Action": [ "ecs:availabilityZones:list" ] }, { "Effect": "Allow", "Action": [ "lts:groups:list", "lts:groups:get", ] } ] } CFW依赖全局服务的权限: { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "eps:resources:list" ] }, { "Effect": "Allow", "Action": [ "tms:predefineTags:list" ] } ] }
-
CFW FullAccess策略内容 { "Version": "1.1", "Statement": [ { "Action": [ "cfw:*:*", "vpc:publicIps:list", "vpc:publicipTags:get", "vpc:vpcs:create", "vpc:vpcs:list", "vpc:vpcs:get", "vpc:subnets:get", "vpc:subnets:create", "vpc:routeTables:list", "vpc:routeTables:update", "vpc:quotas:list", "er:instances:list", "er:attachments:list", "er:attachments:create", "er:routeTables:list", "er:routes:list", "er:associations:list", "er:instances:get", "ecs:cloudServers:list", "ecs:availabilityZones:list", "smn:topic:list", "nat:natGateways:list", "lts:groups:list", "lts:topics:get", "dcaas:vgw:list", "eps:resources:list", "tms:predefineTags:list" ], "Effect": "Allow" } ] }
-
CFW权限 默认情况下,管理员创建的 IAM 用户没有任何权限,需要将其加入用户组,并给用户组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。 CFW部署时通过物理区域划分,为项目级服务。授权时,“作用范围”需要选择“区域级项目”,然后在指定区域对应的项目中设置相关权限,并且该权限仅对此项目生效;如果在“所有项目”中设置权限,则该权限在所有区域项目中都生效。访问CFW时,需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系,因此给用户授予角色时,可能需要一并授予依赖的其它角色,才能正确完成业务。角色并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对CFW服务,管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。 如表1所示,包括了CFW下所有的系统角色。 表1 CFW系统角色 角色名称 描述 类别 依赖关系 CFW FullAccess 云防火墙 服务的所有权限。 系统策略 无 CFW ReadOnlyAccess 云防火墙服务的只读权限。 系统策略 无
-
CFW ReadOnlyAccess策略内容 { "Version": "1.1", "Statement": [ { "Action": [ "cfw:*:list", "cfw:*:get", "vpc:publicIps:list", "vpc:publicipTags:get", "vpc:vpcs:list", "vpc:vpcs:get", "vpc:subnets:get", "vpc:routeTables:list", "vpc:quotas:list", "er:instances:list", "er:attachments:list", "er:routeTables:list", "er:routeTables:list", "er:routes:list", "er:associations:list", "er:instances:get", "ecs:cloudServers:list", "ecs:availabilityZones:list", "smn:topic:list", "nat:natGateways:list", "lts:groups:list", "lts:topics:get", "dcaas:vgw:list", "eps:resources:list", "tms:predefineTags:list" ], "Effect": "Allow" } ] }
-
计费周期 按需计费CFW资源按秒计费,每一个小时整点结算一次费用(以UTC+8时间为准),结算完毕后进入新的计费周期。计费的起点以CFW实例创建成功的时间点为准,终点以实例删除时间为准。 云防火墙从创建到启动需要一定时长,计费的起点是创建成功的时间点,而非创建时间。 例如,您在8:45:30成功购买了一套按需计费的专业版云防火墙,然后在8:55:00将其删除,则计费周期为8:00:00 ~ 9:00:00,在8:45:30 ~ 8:55:30间产生费用,该计费周期内的计费时长为600秒。
-
计费示例 假设您在2024/04/18 9:59:30购买了一套按需计费的专业版云防火墙,最大产生了10 GB流量,计费资源包括专业版和10 GB流量,然后在2024/04/18 10:45:46将其删除,则: 第一个计费周期为9:00:00 ~ 10:00:00,在9:59:30 ~ 10:00:00间产生费用,该计费周期内的计费时长为30秒。 第二个计费周期为10:00:00 ~ 11:00:00,在10:00:00 ~ 10:45:46间产生费用,该计费周期内的计费时长为2746秒。 您需要为每个计费周期付费,各项CFW资源单独计费,计费公式如表 计费公式所示。产品价格详情中标出了资源的每小时价格,您需要将每小时价格除以3600,得到每秒价格。 表1 计费公式 产品信息 计费公式 服务版本 服务版本 * 计费时长 实际使用流量 使用流量 * 流量价格。 图1给出了上述示例配置的费用计算过程。 图中价格仅供参考,实际计算请以云防火墙价格详情中的价格为准。 图1 按需计费CFW费用计算示例
-
CFW计费模式概述 云防火墙提供包年/包月、按需计费两种计费模式,以满足不同场景下的用户需求。如您需要快速了解CFW服务不同计费模式的具体价格,请参见CFW价格详情。 包年/包月:一种预付费模式,即先付费再使用,按照订单的购买周期进行结算。购买周期越长,享受的折扣越大。一般适用于设备需求量长期稳定的成熟业务。 按需计费:一种后付费模式,即先使用再付费,按照云防火墙实际使用时长计费,秒级计费,按小时结算。按需计费模式允许您根据实际业务需求灵活地调整资源使用,无需提前预置资源,从而降低预置过多或不足的风险。一般适用于电商抢购等设备需求量瞬间大幅波动的场景。 表1列出了计费模式的区别。 表1 计费模式 计费模式 包年/包月 按需计费 付费方式 预付费 按照订单的购买周期结算。 后付费 按照云防火墙实际使用时长和实际处理流量计费。 计费周期 按订单的购买周期计费。 秒级计费,按小时结算。 使用量类型 服务版本; 扩展包数量(扩展防护公网IP数、扩展防护流量峰值、扩展VPC数) 服务版本 使用时长 变更计费模式 不支持变更为按需计费模式。 不支持变更为包年/包月计费模式。 变更规格 支持变更服务版本规格。 不涉及 适用场景 适用于可预估资源使用周期的场景,购买时长越久价格越优惠。 比按需计费模式更优惠。对于长期使用者,推荐该方式。 适用于计算资源需求波动的场景,可以随时开通,随时删除。 父主题: 计费模式
-
云防火墙提供的防护带宽是多少? 云防火墙为您提供互联网边界和VPC之间的防护,您可根据需要扩展防护带宽。根据您购买的服务版本的不同,云防火墙提供不同规格的防护带宽: 互联网方向:基础版默认10 Mbps(不可扩容),标准版默认50,000 Mbps,专业版默认50,000 Mbps。 互联网方向的防护带宽按照入流量或出流量的最大值取值。 VPC间防护:基础版、标准版不提供基础防护流量,专业版默认200 Mbps。 如果您的实际流量超过限额,需购买扩展包,请参见操作步骤变更扩展包。 父主题: 网络流量
-
系统策略授权企业项目后,为什么部分权限会失效? CFW部分功能依赖于弹性云服务器(Elastic Cloud Server, ECS)、虚拟私有云(Virtual Private Cloud, VPC)等云服务,因这些云服务中部分功能不支持企业项目,将“CFW FullAccess” 和“CFW ReadOnlyAccess”两个系统策略授权到企业项目维度后会造成部分权限失效。 所以需要使用华为云账户自行创建两条系统策略,具体创建步骤请参见:创建自定义策略。 CFW依赖的云服务中不支持企业项目的功能需要按照以下内容添加权限,其中云日志服务(Log Tank Service,简称LTS)在CFW页面操作时需授权LTS服务全部权限。 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "vpc:quotas:list", "vpc:publicipTags:get" ] }, { "Effect": "Allow", "Action": [ "ecs:availabilityZones:list" ] }, { "Effect": "Allow", "Action": [ "lts:groups:list", "lts:groups:get", ] } ] } CFW依赖全局服务的权限: { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "eps:resources:list" ] }, { "Effect": "Allow", "Action": [ "tms:predefineTags:list" ] } ] } 父主题: 故障排查
-
响应示例 状态码: 200 批量删除 域名 组请求的响应数据 { "data" : { "responseDatas" : [ { "name" : "9", "id" : "7d772766-6c44-4fa3-a140-8ddc7eac0fc5" }, { "name" : "8", "id" : "e17e24d2-bd7d-4e25-993c-38559d44a571" } ] } }
-
请求示例 批量删除域名组,防火墙id为fced7179-64a4-4438-bc6d-b510a2da2f64,目标防护对象id为b71922fd-3539-421c-9317-c54ebc1bc4ea,待删除的域名组id为7d772766-6c44-4fa3-a140-8ddc7eac0fc5和e17e24d2-bd7d-4e25-993c-38559d44a571,项目id为408972e72dcd4c1a9b033e955802a36b。 https://{Endpoint}/v1/408972e72dcd4c1a9b033e955802a36b/domain-sets/batch-delete { "object_id" : "b71922fd-3539-421c-9317-c54ebc1bc4ea", "set_ids" : [ "7d772766-6c44-4fa3-a140-8ddc7eac0fc5", "e17e24d2-bd7d-4e25-993c-38559d44a571" ] }
-
URI POST /v1/{project_id}/domain-sets/batch-delete 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID,可以从调API处获取,也可以从控制台获取。可通过项目ID获取方式获取 表2 Query参数 参数 是否必选 参数类型 描述 fw_instance_id 否 String 防火墙ID,可通过防火墙ID获取方式获取 enterprise_project_id 否 String 企业项目ID,用户根据组织规划企业项目,对应的ID为企业项目ID,可通过如何获取企业项目ID获取,用户未开启企业项目时为0
-
响应示例 状态码: 200 OK { "data" : { "scan_protocol_configs" : [ { "action" : 0, "protocol_type" : 0 }, { "action" : 1, "protocol_type" : 1 }, { "action" : 2, "protocol_type" : 2 }, { "action" : 2, "protocol_type" : 4 }, { "action" : 2, "protocol_type" : 3 }, { "action" : 2, "protocol_type" : 6 }, { "action" : 2, "protocol_type" : 5 } ], "total" : 7 } }
-
URI GET /v1/{project_id}/anti-virus/rule 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID,可以从调API处获取,也可以从控制台获取。可通过项目ID获取方式获取 表2 Query参数 参数 是否必选 参数类型 描述 object_id 是 String 防护对象ID,是创建云防火墙后用于区分互联网边界防护和VPC边界防护的标志id,可通过调用查询防火墙实例接口获得,通过返回值中的data.records.protect_objects.object_id(.表示各对象之间层级的区分)获得,注意type为0的为互联网边界防护对象id,type为1的为VPC边界防护对象id。此处仅取type为1的防护对象id,可通过data.records.protect_objects.type(.表示各对象之间层级的区分)获得。 engine_type 是 Integer 防火墙类型 limit 是 Integer 每页显示的数据量 offset 是 Integer 查询偏移量 enterprise_project_id 否 String 企业项目ID,用户根据组织规划企业项目,对应的ID为企业项目ID,可通过如何获取企业项目ID获取,用户未开启企业项目时为0
-
响应参数 状态码: 200 表4 响应Body参数 参数 参数类型 描述 data AntiVirusRuleVO object 表5 AntiVirusRuleVO 参数 参数类型 描述 id String name String scan_protocol_configs Array of ScanProtocolConfig objects total Integer 表6 ScanProtocolConfig 参数 参数类型 描述 action Integer 反病毒动作,0:观察 1:拦截 2:禁用 protocol_type Integer 协议类型
更多精彩内容
CDN加速
GaussDB
文字转换成语音
免费的服务器
如何创建网站
域名网站购买
私有云桌面
云主机哪个好
域名怎么备案
手机云电脑
SSL证书申请
云点播服务器
免费OCR是什么
电脑云桌面
域名备案怎么弄
语音转文字
文字图片识别
云桌面是什么
网址安全检测
网站建设搭建
国外CDN加速
SSL免费证书申请
短信批量发送
图片OCR识别
云数据库MySQL
个人域名购买
录音转文字
扫描图片识别文字
OCR图片识别
行驶证识别
虚拟电话号码
电话呼叫中心软件
怎么制作一个网站
Email注册网站
华为VNC
图像文字识别
企业网站制作
个人网站搭建
华为云计算
免费租用云托管
云桌面云服务器
ocr文字识别免费版
HTTPS证书申请
图片文字识别转换
国外域名注册商
使用免费虚拟主机
云电脑主机多少钱
鲲鹏云手机
短信验证码平台
OCR图片文字识别
SSL证书是什么
申请企业邮箱步骤
免费的企业用邮箱
云免流搭建教程
域名价格
