华为云用户手册

护网检查—账号加固 表8 账号加固风险项检查项目 检查项目 检查内容 管理员账号AK/SK启用检查 访问密钥（AK/SK，Access Key ID/Secret Access Key）是账号的长期身份凭证。 由于管理员具有 IAM 用户管理权限，且具有大范围的操作权限。为了避免因AK/SK泄露带来的安全隐患，建议管理员账号不启用AK/SK身份凭证。 检查管理员账户是否启用访问密钥。 主机弱密码检查 HSS提供基线检查功能，主动检测主机中口令复杂度策略，给出修改建议，帮助用户提升口令安全性检测账口令是否属于常用的弱口令，针对弱口令提示用户修改，防止账户口令被轻易猜解。 检查主机是否存在弱口令。 委托账号检查 通过创建委托，可以将资源共享给其他账号，或委托更专业的人或团队来代为管理资源。被委托方使用自己的账号登录后，切换到委托方账号，即可管理委托方委托的资源，避免委托方共享自己的安全凭证（密码/密钥）给他人，确保账号安全。 在云服务环境中，如果创建委托给个人账号，可能会导致不可信，因此不建议委托给个人账号。 检查是否存在个人委托账号。 全局服务中的委托权限配置检查 检查全局服务中的委托权限是否存在Security Administrator，Tenant Administrator。 项目服务中的委托权限配置检查 检查项目服务中的委托权限是否存在Security Administrator，Tenant Administrator。

护网检查—安全套件覆盖 表7 安全套件覆盖风险项检查项目 检查项目 检查内容 主机防护状态检查 企业主机安全 （Host Security Service，HSS）是提升主机整体安全性的服务，通过主机管理、风险预防、入侵检测、高级防御、安全运营、网页防篡改功能，全面识别并管理主机中的信息资产，实时监测主机中的风险并阻止非法入侵行为，帮助企业构建服务器安全体系，降低当前服务器面临的主要安全风险。 检查主机是否已开启防护。 主机Agent状态检查 企业主机安全（Host Security Service，HSS）是一个用于全面保障主机整体安全的服务，能帮助您高效管理主机的安全状态，并构建服务器安全体系，降低当前服务器面临的主要安全风险。 在主机中安装Agent后，您的主机才能受到HSS的保护。 检查主机Agent是否为在线状态。 主机安全检测状态检查 企业主机安全（Host Security Service，HSS）将实时检测主机中的风险和异常操作，在每日凌晨将对主机执行全面扫描。执行配置检测后，您可以根据检测结果中的相关信息，修复主机中含有风险的配置项或忽略可信任的配置项。 检查主机的检测结果是否存在异常。 WAF（云模式）基础防护配置检查 Web基础防护开启后，默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。 检查WAF在云模式下是否已开启Web基础防护。 WAF（云模式）防护策略配置检查 Web基础防护支持“拦截”（发现攻击行为后立即阻断并记录）和“仅记录”（发现攻击行为后只记录不阻断攻击）模式，检测版仅支持“仅记录”模式。 WAF中所有待防护的 域名 应开启Web基础防护并设置为拦截模式，开启后，默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。 检查WAF在云模式下是否已开启Web基础防护并设置为拦截模式。 WAF（独享模式）基础防护配置检查 Web基础防护开启后，默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。 检查WAF在独享模式下是否已开启Web基础防护。 WAF（独享模式）防护策略配置检查 Web基础防护支持“拦截”（发现攻击行为后立即阻断并记录）和“仅记录”（发现攻击行为后只记录不阻断攻击）模式，检测版仅支持“仅记录”模式。 WAF中所有待防护的域名应开启Web基础防护并设置为拦截模式，开启后，默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。 检查WAF在独享模式下是否已开启Web基础防护并设置为拦截模式。 主机Agent版本检查 在主机中安装Agent后，您的主机将受到HSS云端防护中心全方位的安全保障，在安全控制台可视化界面上，您可以统一查看并管理同一区域内所有主机的防护状态和主机安全风险。 企业主机安全有基础版、企业版、旗舰版和网页防篡改版四个版本。 基础版一般只用于测试、个人用户防护主机账户安全。建议您选择企业版及以上版本。 检查所有主机Agent是否为企业版及以上版本。

安全上云合规检查—事件响应 表6 事件响应风险项检查项目 检查项目 检查内容 云硬盘备份开启检查 云备份（Cloud Backup and Recovery）可以为云硬盘（Elastic Volume Service，EVS）提供简单易用的备份服务，当发生病毒入侵、人为误删除、软硬件故障等事件时，可将数据恢复到任意备份点。 检查所有是否开启云硬盘备份。 OBS桶跨区域复制检查 OBS跨区域复制能够提供跨区域数据容灾的能力，通过创建跨区域复制规则，在同一个账号下，将一个桶（源桶）中的数据自动、异步地复制到不同区域的另外一个桶（目标桶）中，满足用户数据复制到异地进行备份的需求。 检查所有OBS桶是否开启跨区域复制。 云审计 服务关键操作通知启用检查 云审计服务在记录某些特定关键操作时，支持对这些关键操作通过 消息通知 服务实时向相关订阅者发送通知，该功能由云审计服务触发，消息通知服务（ SMN ）完成通知发送。 云日志服务LTS 的日志转储（OBS/DIS）检查 主机和云服务的日志数据上报至 云日志 服务后，默认存储时间为7天。超出存储时间的日志数据将会被自动删除，对于需要长期存储的日志数据（日志持久化），云日志服务提供转储功能，可以将日志转储至其他云服务中进行长期保存。 检查LTS是否已配置日志转储（OBS/DIS）。 E CS /BMS实例的云服务器备份检查 云备份（Cloud Backup and Recovery, CBR）为云内的弹性云服务器（Elastic Cloud Server, ECS）、云耀云服务器（Hyper Elastic Cloud Server，HECS）、裸金属服务器（Bare Metal Server, BMS）（下文统称为服务器）提供简单易用的备份服务，当发生病毒入侵、人为误删除、软硬件故障等事件时，可将数据恢复到任意备份点。 检查ECS/BMS实例是否已开启云服务器备份。 RDS数据库实例备份检查 RDS数据库实例应开启自动备份功能，以保证数据可靠性。 检查RDS数据库实例是否已开启自动备份功能。 GaussDB数据库 实例备份检查 GaussDB 数据库实例应开启自动备份功能，以保证数据可靠性。 检查GaussDB数据库实例是否已开启自动备份功能。 WAF全量日志功能开启检查 启用WAF全量日志功能后，可以将攻击日志、访问日志记录到华为云的云日志服务（Log Tank Service，简称LTS）中，通过LTS记录的WAF日志数据，快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。 检查WAF是否已启用全量日志功能。 WAF防护事件告警通知开启检查 通过对攻击日志进行通知设置，WAF可将仅记录和拦截的攻击日志通过用户设置的接收通知方式（例如邮件或短信）发送给用户，以便在发生攻击时运维人员进行及时响应，告警频率、事件类型可以根据业务场景进行调整。 检查WAF防护事件是否已开启告警通知。 数据库安全审计日志备份检查 数据库安全审计支持将数据库的审计日志备份到OBS桶，实现高可用容灾，以便可以根据需要备份或恢复数据库审计日志。 检查数据库安全审计是否已配置日志备份。 数据库安全审计告警通知设置检查 通过设置告警通知，当数据库发生设置的告警事件时，您可以收到DBSS发送的告警通知，及时了解数据库的安全风险。 检查数据库安全审计是否设置告警通知。 云硬盘可用备份检查 云备份（Cloud Backup and Recovery）可以为云硬盘（Elastic Volume Service, EVS）提供简单易用的备份服务，当发生病毒入侵、人为误删除、软硬件故障等事件时，可将数据恢复到任意备份点。 检查云硬盘中是否有可用备份，以便用于恢复。 RDS数据库实例备份检查 云数据库（Relational Database Service，RDS）支持数据库实例的备份和恢复，以保证数据可靠性。RDS数据库实例默认开启数据自动备份策略，备份周期默认每天备份数据一次。 检查所有RDS实例，是否开启自动备份功能。 DDS数据库开启自动备份 文档数据库服务（Document Database Service，DDS）支持数据库实例的备份和恢复，以保证数据可靠性。DDS数据库实例开启数据自动备份策略后，备份周期默认每天备份数据一次。 检查所有DDS实例是否开启自动备份功能。

安全上云合规检查—基础设施防护 表4 基础设施防护风险项检查项目 检查项目 检查内容 安全组入方向规则控制检查 安全组入方向规则应满足最小化访问控制原则。 一般，在非业务需要的情况下，以下情况视为未按最小化访问控制（风险由高到低）：源地址为0.0.0.0/0；公网地址的掩码小于32；内网地址的掩码小于24。 高危端口、远程管理端口暴露检查 安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组创建后，可以在安全组中设置出方向、入方向规则，这些规则会对安全组内部的云服务器出入方向网络流量进行访问控制，当云服务器加入该安全组后，即受到这些访问规则的保护。 安全组入方向规则中不应对外开放或未最小化开放高危端口、远程管理端口。 高危端口如下：20，21，135，137，138，139，445，389，593，1025 未最小化开放指的是：源地址为0.0.0.0/0；公网地址的掩码小于32；内网地址的掩码小于24 检查安全组入方向规则中是否存在对外开放或未最小化开放高危端口、远程管理端口。 绑定EIP的ECS配置密钥对登录检查 当存在ECS对外暴露EIP的情况下，为安全起见，弹性云服务器登录时应使用密钥方式进行身份验证。 日志指标过滤和告警事件（VPC更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称 CTS ），是华为 云安全 解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因VPC更改而产生的日志和告警事件。 日志指标过滤和告警事件（网络网关更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因网络网关更改而产生的日志和告警事件。 日志指标过滤和告警事件（安全组更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因安全组更改而产生的日志和告警事件。 日志指标过滤和告警事件（子网更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因子网更改而产生的日志和告警事件。 日志指标过滤和告警事件（VPN更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因VPN更改而产生的日志和告警事件。 ELB实例（共享型）启用访问控制检查 共享型负载均衡器用户可以通过添加白名单和黑名单的方式控制访问负载均衡监听器的IP。通过白名单能够设置允许特定IP访问，而其它IP不许访问。通过黑名单能够设置允许特定的IP不能访问，而其它IP允许访问。 检查弹性负载均衡（Elastic Load Balance，ELB）实例，是否开启访问控制策略。 网络ACL规则配置检查 网络ACL是对子网的访问控制策略系统，根据与子网关联的入站/出站规则，判断数据包是否被允许流入/流出关联子网。同一个VPC内的子网间设置网络ACL，可以增加额外的安全防护层，实现更精细、更复杂的安全访问控制。 检查是否配置网络ACL规则。 用于VPC对等连接路由表检查 对等连接是指两个VPC之间的网络连接，因此用于对等连接的路由表应满足最小访问权限。 本端路由的目的地址尽量限定在最小子网网段内，对端路由的目的地址尽量限定在最小子网网段内。 检查用于对等连接的路由表是否满足最小访问权限。 VPC规划检查 如果在当前区域下有多套业务部署，且希望不同业务之间进行网络隔离时，则可为每个业务在当前区域建立相应的VPC。 两个VPC之间可以采用对等连接进行互连。 VPC具有区域属性，默认情况下，不同区域的VPC之间内网不互通，同区域的不同VPC内网不互通，同一个VPC下的不同可用区之间内网互通。 检查VPC规范是否合理。 WAF启用（云模式/独享模式/ELB模式）检查 启用 Web应用防火墙 （Web Application Firewall， WAF）服务后，网站所有的公网流量都会先经过Web应用防火墙，恶意攻击流量在Web应用防火墙上被检测过滤，而正常流量返回给源站IP，从而确保源站IP安全、稳定、可用。 检查是否已启用WAF。 WAF回源配置检查（未配置ELB） 使用Web应用防火墙（Web Application Firewall， WAF）服务后，需配置源站服务器只允许来自WAF的访问请求访问源站，既可保障访问不受影响，又能防止源站IP暴露。 未使用弹性负载均衡（Elastic Load Balance，ELB）情况下，检查在ECS关联的安全组源地址中，是否添加WAF回源IP。 WAF防护策略配置（地理位置访问控制）检查 WAF的防护策略应配置地理位置访问控制，可针对指定国家、地区的来源IP自定义访问控制。配置后，可以进一步减小业务网站的攻击面（检测版和专业版暂不支持该功能）。 Web基础防护配置检查 Web基础防护支持“拦截”（发现攻击行为后立即阻断并记录）和“仅记录”（发现攻击行为后只记录不阻断攻击）模式，检测版仅支持“仅记录”模式。 WAF中所有待防护的域名应开启Web基础防护并设置为拦截模式，开启后，默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。 检查是否已开启Web基础防护并设置为拦截模式。 VSS启用检查 漏洞扫描服务 （Vulnerability Scan Service）是针对网站进行 漏洞扫描 的一种安全检测服务，可以帮助快速检测出网站存在的漏洞，提供详细的漏洞分析报告，并针对不同类型的漏洞提供专业可靠的修复建议。 检查是否已启用VSS服务。 Anti-DDoS流量清洗启用检查 DDoS原生基础防护（Anti-DDoS流量清洗）服务为华为云内公网IP资源，提供网络层和应用层的DDoS攻击防护，并提供攻击拦截实时告警，有效提升用户带宽利用率，保障业务稳定可靠。 检查是否已启用Anti-DDoS流量清洗服务。 DDoS高防启用检查 DDoS高防（Advanced Anti-DDoS，AAD）是企业重要业务连续性的有力保障。DDoS高防通过高防IP代理源站IP对外提供服务，将恶意攻击流量引流到高防IP清洗，确保重要业务不被攻击中断。 检查是否已启用DDoS高防。 云堡垒机 启用检查 云 堡垒机 （Cloud Bastion Host，CBH）是华为云的一款4A统一安全管控平台，为企业提供集中的账号、授权、认证和审计管理服务。启用后，可实现对服务器、云主机、数据库、应用系统等云上资源的集中管理和运维审计，不仅能保障系统运行安全，且满足相关合规性规范。 检查是否已启用云堡垒机服务。 主机安全防护启用检查 企业主机安全（Host Security Service，HSS）是提升主机整体安全性的服务。可以全面识别并管理主机中的信息资产，实时监测主机中的风险并阻止非法入侵行为，帮助企业构建服务器安全体系，降低当前服务器面临的主要安全风险。 主机实例应安装HSS且开启防护，版本要求至少为企业版（旗舰版、网页防篡改版更优）。 检查主机是否开启主机安全防护。 HSS网页防篡改启用与防护目录配置检查 网页防篡改可实时监控网站目录，并通过备份恢复被篡改的文件或目录，保障重要系统的网站信息不被恶意篡改，防止出现挂马、黑链、非法植入恐怖威胁、色情等内容。 有网站或者关键系统防篡改需求，以及有应用安全防护需求的主机，应开启HSS中的网络防篡改防护并配置好防护目录。 检查主机是否开启网络防篡改防护且已配置好防护目录。 主机紧急修复漏洞检查 企业主机安全（Host Security Service，HSS）提供漏洞管理功能，检测Linux软件漏洞、Windows系统漏洞和Web-CMS漏洞。 检查HSS中是否存在紧急修复漏洞。 CDN访问控制配置检查 当客户CDN需要对访问者身份进行识别和过滤，限制部分用户访问，提高CDN的安全性，应配置防盗链与IP黑名单。 检查CDN是否配置访问控制规则。

安全上云合规检查—检测 表3 检测风险项检查项目 检查项目 检查内容 ELB健康状态检查 弹性负载均衡（Elastic Load Balance，ELB）定期向后端服务器发送请求健康检查，通过健康检查来判断后端服务器是否可用。 如果判断出后端服务器健康检查异常，ELB会将异常后端服务器的流量分发到正常后端服务器。 当异常后端服务器恢复正常运行后，ELB会自动恢复其承载业务流量能力。 检查所有ELB实例是否开启健康检查功能，以及检查后端服务器状态是否正常。 CTS启用检查 云审计服务（Cloud Trace Service，CTS）可以将当前账户下所有的操作记录在追踪器中，通过查询和审计操作记录，实现安全分析、资源变更、合规审计、问题定位等。 检查是否已经开通CTS，以及检查是否有一个追踪器的状态为正常。 OBS桶日志记录启用检查 对象存储服务 （Object Storage Service，OBS）的桶日志记录，指用户开启一个桶的日志记录功能后，OBS会自动对这个桶的访问请求记录日志，并生成日志文件写入用户指定的桶（即目标桶）中。通过访问日志记录，桶的拥有者可以深入分析访问该桶的用户请求性质、类型或趋势。 检查所有OBS桶，是否开启日志记录功能。 数据库安全审计启用检查（云上RDS场景） 数据库安全审计提供旁路模式审计功能，通过实时记录用户访问数据库行为，形成细粒度的审计报告，对风险行为和攻击行为进行实时告警，对数据库的内部违规和不正当操作进行定位追责。 检查是否已启用数据库安全审计。 云监控服务 启用检查 云监控 （Cloud Eye）服务为用户提供一个针对弹性云服务器、带宽等资源的立体化监控平台。使您全面了解云上的资源使用情况、业务的运行状况，并及时收到异常告警做出反应，保证业务顺畅运行。 检查是否已启用云监控服务。 云监控服务中的主机监控检查 主机监控针对主机提供多层次指标监控，包括基础监控、操作系统监控和进程监控。 基础监控为用户提供免安装的基础指标监控服务；操作系监控和进程监控通过在主机中安装开源插件，为用户主机提供系统级、主动式、细颗粒度的监控服务。 检查主机监控中的弹性云服务器是否已安装监控插件。 云监控服务中站点监控检查 站点监控用于模拟真实用户对远端服务器的访问，从而探测远端服务器的可用性、连通性等问题。 检查是否配置站点监控。

安全上云合规检查—身份与访问管理 表2 身份与访问管理风险项检查项目 检查项目 检查内容 IAM用户启用检查 启用 统一身份认证 （Identity and Access Management，IAM）服务后，系统默认用户组admin中的IAM用户，可以使用华为云所有服务。 检查所有IAM用户列表，是否已启用至少两个IAM用户，以及IAM用户所属的用户组是否都为admin用户组。 IAM用户开启登录保护检查 在IAM的安全设置中启用登录保护后，登录时还需要通过虚拟MFA或短信或邮件验证，再次确认登录者身份，进一步提高账号安全性，有效避免钓鱼式攻击或者用户密码意外泄漏，保护您安全使用云产品。 检查在IAM的安全设置中是否开启登录保护。 IAM用户开启操作保护检查 在IAM的安全设置中开启操作保护后，主账户及子用户在控制台进行敏感操作（如：删除弹性云服务器、解绑弹性IP等）时，将通过虚拟MFA、手机短信或邮件再次确认操作者身份，进一步提高账号安全性，有效保护您安全使用云产品。 检查IAM用户是否开启操作保护。 管理员账号AK/SK启用检查 访问密钥（AK/SK，Access Key ID/Secret Access Key）是账号的长期身份凭证。 由于管理员具有IAM用户管理权限，且具有大范围的操作权限。为了避免因AK/SK泄露带来的安全隐患，建议管理员账号不启用AK/SK身份凭证。 检查管理员账户是否启用访问密钥。 IAM用户密码配置检查 IAM用户的密码策略建议设置强密码策略。建议满足以下要求：包含以下字符中的3种：大写字母、小写字母、数字和特殊字符；密码最小长度为8；新密码不能与最近的历史密码相同（重复次数设置为3） 检查IAM用户的密码策略是否符合要求。 IAM登录验证策略（账号锁定策略）检查 拥有安全管理员权限（Security Administrator权限）的用户可以设置登录验证策略来提高用户信息和系统的安全性。 IAM允许用户设置账号锁定策略，即如果在限定时间长度内达到登录失败次数后，用户会被锁定一段时间，锁定时间结束后，才能重新登录。 建议设置为在60分钟内登录失败5次，用户被锁定。 检查账号锁定策略是否设置为在60分钟内登录失败5次，用户被锁定。 IAM登录验证策略（账号锁定时限）检查 拥有安全管理员权限（Security Administrator权限）的用户可以设置登录验证策略来提高用户信息和系统的安全性。 用户可设置账号锁定策略，即如果在限定时间长度内达到登录失败次数后，用户会被锁定一段时间，锁定时间结束后，才能重新登录。 IAM应允许用户设置账号锁定时间，且在此期间用户将无法输入密码。账号锁定时限建议设置为15分钟。 检查账号锁定时限是否设置为15分钟。 IAM密码策略（防止密码重复使用）检查 IAM允许用户设置密码策略。 启用防止密码重复使用规则后，新密码不能与最近使用的密码相同。 检查IAM密码策略是否启用密码重复使用规则，且重复次数小于五次。 会话超时策略检查 IAM允许用户设置会话到期时间。如果用户超过设置的时长未操作界面，会话将会失效，需要重新登录。 检查会话时限是否设置为15分钟。 账号停用策略检查 IAM用户可以通过使用用户名和密码登录华为云控制台。如果用户在90天或更长时间内未登录控制台，建议禁用该用户的控制台访问权限。 检查账号停用策略是否启用，且有效期设置为90天。 IAM用户密码强度检查 IAM用户的登录密码建议设置为安全程度强的密码。 IAM用户设置的登录密码分为弱、中、强三个级别。安全性高的密码可以使账号更安全，建议您定期更换密码以保护账号安全。 检查IAM用户的密码强度是否为最高级别。 CBH实例登录开启多因子认证检查 通过Web浏览器或SSH客户端登录CBH实例时应开启用户的多因子认证，进一步提高堡垒机账号安全性。多因子认证方式有：手机短信、手机令牌、USBKey、动态令牌。 检查CBH实例是否已开启多因子认证。

Incorrect IAM authentication information: decrypt token fail { "error_msg": "Incorrect IAM authentication information: decrypt token fail", "error_code": "APIG.0301", "request_id": "******" } 可能原因 用户的API所属IAM认证，TOKEN解析失败。 解决方法 检查获取的token是否为对应IAM账号下的token。 检查获取token的方法，token是否正确。 检查获取token的环境与调用的环境是否一致。

Incorrect IAM authentication information: Get secretKey failed { "error_msg": "Incorrect IAM authentication information: Get secretKey failed,ak:******,err:ak not exist", "error_code": "APIG.0301", "request_id": "******" } 可能原因 用户的API所属IAM认证，使用AK/SK签名方式访问，但是AK不存在。 解决方法 检查AK填写是否正确。

Incorrect IAM authentication information: verify aksk signature fail { "error_msg": "Incorrect IAM authentication information: verify aksk signature fail, ...... "error_code": "APIG.0301", "request_id": "******" }

Incorrect IAM authentication information: AK access failed to reach the limit,forbidden { "error_msg": "Incorrect IAM authentication information: AK access failed to reach the limit,forbidden." ...... "error_code": "APIG.0301", "request_id": "******" }

响应示例 状态码：401 Unauthorized { "error_code" : "APIG.1002", "error_msg" : "Incorrect token or token resolution failed" } 状态码：403 Forbidden { "error_code" : "APIG.1005", "error_msg" : "No permissions to request this method" } 状态码：404 Not Found { "error_code" : "APIG.3011", "error_msg" : "The environment variable does not exist, id: 25054838a624400bbf2267cf5b3a3f70" } 状态码：500 Internal Server Error { "error_code" : "APIG.9999", "error_msg" : "System error" }

响应参数 状态码：204 No Content 状态码：401 表3 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码：403 表4 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码：404 表5 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码：500 表6 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述

URI DELETE /v2/{project_id}/apigw/instances/{instance_id}/env-variables/{env_variable_id} 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID，获取方式请参见获取项目ID。 instance_id 是 String 实例ID，在API网关控制台的“实例信息”中获取。 env_variable_id 是 String 环境变量的编号

响应示例 状态码：400 Bad Request { "error_code" : "APIG.2012", "error_msg" : "Invalid parameter value,parameterName:id. Please refer to the support documentation" } 状态码：401 Unauthorized { "error_code" : "APIG.1002", "error_msg" : "Incorrect token or token resolution failed" } 状态码：403 Forbidden { "error_code" : "APIG.1005", "error_msg" : "No permissions to request this method" } 状态码：404 Not Found { "error_code" : "APIG.3012", "error_msg" : "The request throttling policy binding record does not exist" } 状态码：500 Internal Server Error { "error_code" : "APIG.9999", "error_msg" : "System error" }

URI DELETE /v2/{project_id}/apigw/instances/{instance_id}/throttle-bindings/{throttle_binding_id} 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID，获取方式请参见获取项目ID。 instance_id 是 String 实例ID，在API网关控制台的“实例信息”中获取。 throttle_binding_id 是 String API和流控策略绑定关系的编号

响应参数 状态码：204 No Content 状态码：400 表3 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码：401 表4 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码：403 表5 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码：404 表6 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码：500 表7 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token。通过调用IAM服务获取用户Token接口获取（响应消息头中X-Subject-Token的值）。 表3 请求Body参数 参数 是否必选 参数类型 描述 bandwidth_size 否 Integer 入公网带宽 单位：Mbit/s bandwidth_charging_mode 否 String 入公网带宽计费类型： bandwidth：按带宽计费 traffic：按流量计费 缺省值：bandwidth

响应参数 状态码：202 表4 响应Body参数 参数 参数类型 描述 instance_id String 实例ID message String 公网入口变更的任务信息 job_id String 任务编号 状态码：400 表5 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码：401 表6 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码：403 表7 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码：404 表8 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码：500 表9 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述

响应示例 状态码：202 Accepted { "instance_id" : "6a7d71827fd54572b1f31aa9548fcc81", "message" : "JOB_ASSIGNED_FOR_UPDATE_0077I:The job JOB-a7c1241c33334490a3fdcd11102bcbda is assigned to the instance 6a7d71827fd54572b1f31aa9548fcc81 for running updating", "job_id" : "JOB-a7c1241c33334490a3fdcd11102bcbda" } 状态码：400 Bad Request { "error_code" : "APIC.9210", "error_msg" : "create cloud nat eip failed" } 状态码：401 Unauthorized { "error_code" : "APIC.7102", "error_msg" : "Incorrect token or token resolution failed" } 状态码：403 Forbidden { "error_code" : "APIC.7106", "error_msg" : "No permissions to request for the method" } 状态码：404 Not Found { "error_code" : "APIC.7302", "error_msg" : "Instance not found" } 状态码：500 Internal Server Error { "error_code" : "APIC.9000", "error_msg" : "Failed to request internal service" }

URI DELETE /v2/{project_id}/apigw/instances/{instance_id}/authorizers/{authorizer_id} 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID，获取方式请参见获取项目ID。 instance_id 是 String 实例ID，在API网关控制台的“实例信息”中获取。 authorizer_id 是 String 自定义认证的编号

响应参数 状态码：204 No Content 状态码：400 表3 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码：401 表4 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码：403 表5 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码：404 表6 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码：500 表7 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述

响应示例 状态码：400 Bad Request { "error_code" : "APIG.2011", "error_msg" : "Invalid parameter value,parameterName:id. Please refer to the support documentation" } 状态码：401 Unauthorized { "error_code" : "APIG.1002", "error_msg" : "Incorrect token or token resolution failed" } 状态码：403 Forbidden { "error_code" : "APIG.1005", "error_msg" : "No permissions to request this method" } 状态码：404 Not Found { "error_code" : "APIG.3081", "error_msg" : "authorizer with id: 0d982c1ac3da493dae47627b6439fc5c not found" } 状态码：500 Internal Server Error { "error_code" : "APIG.9999", "error_msg" : "System error" }

响应示例 状态码：400 Bad Request { "error_code" : "APIG.2012", "error_msg" : "Invalid parameter value,parameterName:orchestration_id. Please refer to the support documentation" } 状态码：401 Unauthorized { "error_code" : "APIG.1002", "error_msg" : "Incorrect token or token resolution failed" } 状态码：403 Forbidden { "error_code" : "APIG.1005", "error_msg" : "No permissions to request this method" } 状态码：404 Not Found { "error_code" : "APIG.3030", "error_msg" : "The instance does not exist;id:f0fa1789-3b76-433b-a787-9892951c620ec" } 状态码：500 Internal Server Error { "error_code" : "APIG.9999", "error_msg" : "System error" }

URI DELETE /v2/{project_id}/apigw/instances/{instance_id}/orchestrations/{orchestration_id} 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID，获取方式请参见获取项目ID。 instance_id 是 String 实例ID，在API网关控制台的“实例信息”中获取。 orchestration_id 是 String 编排规则编号

响应参数 状态码：204 No Content 状态码：400 表3 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码：401 表4 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码：403 表5 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码：404 表6 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码：500 表7 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述

响应示例 状态码：200 OK { "success" : [ { "publish_id" : "9f27d1dc4f4242a9abf88e563dbfc33d", "api_id" : "3a955b791bd24b1c9cd94c745f8d1aad", "api_name" : "Api_mock", "env_id" : "DEFAULT_ENVIRONMENT_RELEASE_ID", "version_id" : "632b2c9e022941969af9a1d45735ae2c", "remark" : "Published to the production environment", "publish_time" : "2020-08-03T03:01:31.26522821Z" } ], "failure" : [ { "api_id" : "abd9c4b2ff974888b0ba79be7e6b2762", "error_code" : "APIG.3002", "error_msg" : "Api abd9c4b2ff974888b0ba79be7e6b2762 not found" } ] } 状态码：400 Bad Request { "error_code" : "APIG.2011", "error_msg" : "Invalid parameter value: parameter action should be \\\"online\\\" or \\\"offline\\\"" } 状态码：401 Unauthorized { "error_code" : "APIG.1002", "error_msg" : "Incorrect token or token resolution failed" } 状态码：403 Forbidden { "error_code" : "APIG.1005", "error_msg" : "No permissions to request this method" } 状态码：500 Internal Server Error { "error_code" : "APIG.9999", "error_msg" : "System error" }

请求示例 批量发布API { "apis" : [ "3a955b791bd24b1c9cd94c745f8d1aad", "abd9c4b2ff974888b0ba79be7e6b2762" ], "env_id" : "DEFAULT_ENVIRONMENT_RELEASE_ID", "group_id" : "c77f5e81d9cb4424bf704ef2b0ac7600", "remark" : "Published to the production environment" }

URI POST /v2/{project_id}/apigw/instances/{instance_id}/apis/publish 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID，获取方式请参见获取项目ID。 instance_id 是 String 实例ID，在API网关控制台的“实例信息”中获取。 表2 Query参数 参数 是否必选 参数类型 描述 action 是 String online：发布 offline：下线

请求参数 表3 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token。通过调用IAM服务获取用户Token接口获取（响应消息头中X-Subject-Token的值）。 表4 请求Body参数 参数 是否必选 参数类型 描述 apis 否 Array of strings 需要发布或下线的API ID列表，单次更新上限为1000个API。必须指定apis或group_id。 env_id 是 String 环境ID group_id 否 String API分组ID。必须指定apis或group_id。 remark 否 String 对本次发布的描述信息 字符长度不超过255 说明： 中文字符必须为UTF-8或者unicode编码。

响应参数 状态码：200 表5 响应Body参数 参数 参数类型 描述 success Array of PublishResp objects 发布或下线成功的信息 failure Array of BatchFailure objects 发布或下线失败的API及错误信息 表6 PublishResp 参数 参数类型 描述 publish_id String 发布记录的ID api_id String API编号 api_name String API名称 env_id String 发布的环境编号 remark String 发布描述 publish_time String 发布时间 version_id String 在线的版本号 表7 BatchFailure 参数 参数类型 描述 api_id String 发布或下线失败的API ID api_name String 发布或下线失败的APi名称 error_code String 发布或下线失败的错误码 error_msg String 发布或下线失败的错误信息 状态码：400 表8 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码：401 表9 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码：403 表10 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码：500 表11 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述