华为云用户手册

镜像构建命令总览 $ ma-cli image -h Usage: ma-cli image [OPTIONS] COMMAND [ARGS]... Support get registered image list, register or unregister image, debug image, build image in Notebook. Options: -H, -h, --help Show this message and exit. Commands: add-template, at List build-in dockerfile templates. build Build docker image in Notebook. debug Debug SWR image as a Notebook in E CS . df Query disk usage. get-image, gi Query registered image in ModelArts. get-template, gt List build-in dockerfile templates. prune Prune image build cache. register Register image to ModelArts. unregister Unregister image from ModelArts. 表1 镜像构建支持的命令 命令 命令详情 get-template 查询镜像构建模板。 add-template 加载镜像构建模板。 get-image 查询ModelArts已注册镜像。 register 注册SWR镜像到ModelArts镜像管理。 unregister 取消注册ModelArts镜像管理中的已注册镜像。 build 基于指定的Dockerfile构建镜像 （只支持ModelArts Notebook里使用）。 df 查询镜像构建缓存（只支持ModelArts Notebook里使用）。 prune 清理镜像构建缓存 （只支持ModelArts Notebook里使用）。 debug 在ECS上调试SWR镜像是否能在ModelArts Notebook中使用 （只支持已安装docker环境的ECS）。

使用ma-cli image add-template命令加载镜像构建模板 ma-cli可以使用add-template命令将镜像模板加载到指定文件夹下，默认路径为当前命令所在的路径。 比如${current_dir}/.ma/${template_name}/。也可以通过--dest命令指定保存的路径。当保存的路径已经有同名的模板文件夹时，可以使用--force | -f参数进行强制覆盖。 $ ma-cli image add-template -h Usage: ma-cli image add-template [OPTIONS] TEMPLATE_NAME Add buildin dockerfile templates into disk. Example: # List build-in dockerfile templates ma-cli image add-template customize_from_ubuntu_18.04_to_modelarts --force Options: --dst TEXT target save path. -f, --force Override templates that has been installed. -D, --debug Debug Mode. Shows full stack trace when error occurs. -P, --profile TEXT CLI connection profile to use. The default profile is "DEFAULT". -h, -H, --help Show this message and exit. 表3 参数说明 参数名 参数类型 是否必选 参数说明 --dst String 否 加载模板到指定路径，默认是当前路径。 -f / --force Bool 否 是否强制覆盖已存在的同名模板，默认不覆盖。 示例：加载customize_from_ubuntu_18.04_to_modelarts镜像构建模板。 ma-cli image add-template customize_from_ubuntu_18.04_to_modelarts

映射关系示例 如下示例展示了配置文件、映射规则、csv数据以及最终推理请求的关系。 假设，您的模型所用配置文件，其apis参数如下所示： 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 [ { "method": "post", "url": "/", "request": { "Content-type": "multipart/form-data", "data": { "type": "object", "properties": { "data": { "type": "object", "properties": { "req_data": { "type": "array", "items": [ { "type": "object", "properties": { "input_1": { "type": "number" }, "input_2": { "type": "number" }, "input_3": { "type": "number" }, "input_4": { "type": "number" } } } ] } } } } } } } ] 此时，其对应的映射关系如下所示。ModelArts管理控制台将从配置文件中自动解析映射关系，如果您调用ModelArts API时，需要自行根据规则编写映射关系。 { "type": "object", "properties": { "data": { "type": "object", "properties": { "req_data": { "type": "array", "items": [ { "type": "object", "properties": { "input_1": { "type": "number", "index": 0 }, "input_2": { "type": "number", "index": 1 }, "input_3": { "type": "number", "index": 2 }, "input_4": { "type": "number", "index": 3 } } } ] } } } } } 用户需要进行推理的数据，即CSV数据，格式如下所示。数据必须以英文逗号隔开。 5.1,3.5,1.4,0.2 4.9,3.0,1.4,0.2 4.7,3.2,1.3,0.2 根据定义好的映射关系，最终推理请求样例如下所示，与在线服务使用的格式类似： { "data": { "req_data": [{ "input_1": 5.1, "input_2": 3.5, "input_3": 1.4, "input_4": 0.2 }] } }

使用自定义依赖包的模型配置文件示例 如下示例中，定义了1.16.4版本的numpy的依赖环境。 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 { "model_algorithm": "image_classification", "model_type": "TensorFlow", "runtime": "python3.6", "apis": [ { "url": "/", "method": "post", "request": { "Content-type": "multipart/form-data", "data": { "type": "object", "properties": { "images": { "type": "file" } } } }, "response": { "Content-type": "applicaton/json", "data": { "type": "object", "properties": { "mnist_result": { "type": "array", "item": [ { "type": "string" } ] } } } } } ], "metrics": { "f1": 0.124555, "recall": 0.171875, "precision": 0.00234938928519385, "accuracy": 0.00746268656716417 }, "dependencies": [ { "installer": "pip", "packages": [ { "restraint": "EXACT", "package_version": "1.16.4", "package_name": "numpy" } ] } ] }

预测分析模型配置文件示例 如下代码以TensorFlow引擎为例，您可以根据实际使用的引擎类型修改model_type参数后使用。 模型输入 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 { "data": { "req_data": [ { "buying_price": "high", "maint_price": "high", "doors": "2", "persons": "2", "lug_boot": "small", "safety": "low", "acceptability": "acc" }, { "buying_price": "high", "maint_price": "high", "doors": "2", "persons": "2", "lug_boot": "small", "safety": "low", "acceptability": "acc" } ] } } 模型输出 1 2 3 4 5 6 7 8 9 10 11 12 { "data": { "resp_data": [ { "predict_result": "unacc" }, { "predict_result": "unacc" } ] } } 配置文件 代码中request结构和response结构中的data参数是json schema数据结构。data/properties里面的内容对应“模型输入”和“模型输出”。 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 { "model_type": "TensorFlow", "model_algorithm": "predict_analysis", "metrics": { "f1": 0.345294, "accuracy": 0.462963, "precision": 0.338977, "recall": 0.351852 }, "apis": [ { "url": "/", "method": "post", "request": { "Content-type": "application/json", "data": { "type": "object", "properties": { "data": { "type": "object", "properties": { "req_data": { "items": [ { "type": "object", "properties": {} } ], "type": "array" } } } } } }, "response": { "Content-type": "application/json", "data": { "type": "object", "properties": { "data": { "type": "object", "properties": { "resp_data": { "type": "array", "items": [ { "type": "object", "properties": {} } ] } } } } } } } ], "dependencies": [ { "installer": "pip", "packages": [ { "restraint": "EXACT", "package_version": "1.15.0", "package_name": "numpy" }, { "restraint": "EXACT", "package_version": "5.2.0", "package_name": "Pillow" } ] } ] }

自定义镜像 类型的模型配置文件示例 模型输入和输出与目标检测模型配置文件示例类似。 模型预测输入为图片类型时，request请求示例如下： 该实例表示模型预测接收一个参数名为images、参数类型为file的预测请求，在推理界面会显示文件上传按钮，以文件形式进行预测。 1 2 3 4 5 6 7 8 9 10 11 { "Content-type": "multipart/form-data", "data": { "type": "object", "properties": { "images": { "type": "file" } } } } 模型预测输入为json数据类型时，request请求示例如下： 该实例表示模型预测接收json请求体，只有一个参数名为input、参数类型为string的预测请求，在推理界面会显示文本输入框，用于填写预测请求。 1 2 3 4 5 6 7 8 9 10 11 { "Content-type": "application/json", "data": { "type": "object", "properties": { "input": { "type": "string" } } } } 完整请求示例如下： 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 { "model_algorithm": "image_classification", "model_type": "Image", "metrics": { "f1": 0.345294, "accuracy": 0.462963, "precision": 0.338977, "recall": 0.351852 }, "apis": [{ "url": "/", "method": "post", "request": { "Content-type": "multipart/form-data", "data": { "type": "object", "properties": { "images": { "type": "file" } } } }, "response": { "Content-type": "application/json", "data": { "type": "object", "required": [ "predicted_label", "scores" ], "properties": { "predicted_label": { "type": "string" }, "scores": { "type": "array", "items": [{ "type": "array", "minItems": 2, "maxItems": 2, "items": [{ "type": "string" }, { "type": "number" } ] }] } } } } }] }

机器学习类型的模型配置文件示例 以下代码以XGBoost为例。 模型输入： { "req_data": [ { "sepal_length": 5, "sepal_width": 3.3, "petal_length": 1.4, "petal_width": 0.2 }, { "sepal_length": 5, "sepal_width": 2, "petal_length": 3.5, "petal_width": 1 }, { "sepal_length": 6, "sepal_width": 2.2, "petal_length": 5, "petal_width": 1.5 } ] } 模型输出： { "resp_data": [ { "predict_result": "Iris-setosa" }, { "predict_result": "Iris-versicolor" } ] } 配置文件： { "model_type": "XGBoost", "model_algorithm": "xgboost_iris_test", "runtime": "python2.7", "metrics": { "f1": 0.345294, "accuracy": 0.462963, "precision": 0.338977, "recall": 0.351852 }, "apis": [ { "url": "/", "method": "post", "request": { "Content-type": "application/json", "data": { "type": "object", "properties": { "req_data": { "items": [ { "type": "object", "properties": {} } ], "type": "array" } } } }, "response": { "Content-type": "applicaton/json", "data": { "type": "object", "properties": { "resp_data": { "type": "array", "items": [ { "type": "object", "properties": { "predict_result": {} } } ] } } } } } ] }

目标检测模型配置文件示例 如下代码以TensorFlow引擎为例，您可以根据实际使用的引擎类型修改model_type参数后使用。 模型输入 key：images value：图片文件 模型输出 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 { "detection_classes": [ "face", "arm" ], "detection_boxes": [ [ 33.6, 42.6, 104.5, 203.4 ], [ 103.1, 92.8, 765.6, 945.7 ] ], "detection_scores": [0.99, 0.73] } 配置文件 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 { "model_type": "TensorFlow", "model_algorithm": "object_detection", "metrics": { "f1": 0.345294, "accuracy": 0.462963, "precision": 0.338977, "recall": 0.351852 }, "apis": [{ "url": "/", "method": "post", "request": { "Content-type": "multipart/form-data", "data": { "type": "object", "properties": { "images": { "type": "file" } } } }, "response": { "Content-type": "application/json", "data": { "type": "object", "properties": { "detection_classes": { "type": "array", "items": [{ "type": "string" }] }, "detection_boxes": { "type": "array", "items": [{ "type": "array", "minItems": 4, "maxItems": 4, "items": [{ "type": "number" }] }] }, "detection_scores": { "type": "array", "items": [{ "type": "number" }] } } } } }], "dependencies": [{ "installer": "pip", "packages": [{ "restraint": "EXACT", "package_version": "1.15.0", "package_name": "numpy" }, { "restraint": "EXACT", "package_version": "5.2.0", "package_name": "Pillow" } ] }] }

图像分类模型配置文件示例 如下代码以TensorFlow引擎为例，您可以根据实际使用的引擎类型修改model_type参数后使用。 模型输入 key：images value：图片文件 模型输出 1 2 3 4 5 6 7 { "predicted_label": "flower", "scores": [ ["rose", 0.99], ["begonia", 0.01] ] } 配置文件 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 { "model_type": "TensorFlow", "model_algorithm": "image_classification", "metrics": { "f1": 0.345294, "accuracy": 0.462963, "precision": 0.338977, "recall": 0.351852 }, "apis": [{ "url": "/", "method": "post", "request": { "Content-type": "multipart/form-data", "data": { "type": "object", "properties": { "images": { "type": "file" } } } }, "response": { "Content-type": "application/json", "data": { "type": "object", "properties": { "predicted_label": { "type": "string" }, "scores": { "type": "array", "items": [{ "type": "array", "minItems": 2, "maxItems": 2, "items": [ { "type": "string" }, { "type": "number" } ] }] } } } } }], "dependencies": [{ "installer": "pip", "packages": [{ "restraint": "ATLEAST", "package_version": "1.15.0", "package_name": "numpy" }, { "restraint": "", "package_version": "", "package_name": "Pillow" } ] }] } 如下代码以MindSpore引擎为例，您可以根据实际使用的引擎类型修改model_type参数后使用。 模型输入 key：images value：图片文件 模型输出 1 "[[-2.404526 -3.0476532 -1.9888215 0.45013925 -1.7018927 0.40332815\n -7.1861157 11.290332 -1.5861531 5.7887416 ]]" 配置文件 { "model_algorithm": "image_classification", "model_type": "MindSpore", "metrics": { "f1": 0.124555, "recall": 0.171875, "precision": 0.0023493892851938493, "accuracy": 0.00746268656716417 }, "apis": [{ "url": "/", "method": "post", "request": { "Content-type": "multipart/form-data", "data": { "type": "object", "properties": { "images": { "type": "file" } } } }, "response": { "Content-type": "applicaton/json", "data": { "type": "object", "properties": { "mnist_result": { "type": "array", "item": [{ "type": "string" }] } } } } } ], "dependencies": [] }

apis参数代码示例 [{ "url": "/", "method": "post", "request": { "Content-type": "multipart/form-data", "data": { "type": "object", "properties": { "images": { "type": "file" } } } }, "response": { "Content-type": "applicaton/json", "data": { "type": "object", "properties": { "mnist_result": { "type": "array", "item": [ { "type": "string" } ] } } } } }]

模型应用安全性、数据隐私保护及合规性 具备外部攻击防护能力，基于https加密传输保证模型输入输出数据安全；通过网关流控进行DDos防护；通过身份认证及鉴权进行访问控制，防止未授权的访问。 具备租户数据保护机制，不使用租户数据用于模型训练；不存储租户敏感隐私数据，如身份信息、密码等；不同租户间数据隔离，不可共享；支持根据租户授权情况存留租户数据，存留期结束，立即删除租户数据。 具备内容合规风控机制，支持对用户输入、模型输出内容进行内容合规风险检测，自动识别政治敏感、社会歧视等18类合规风险，提供健康的模型服务；同时CodeArts Snap生成的内容只是建议内容，需要用户对内容进行审核。

模型开发安全性与合规性 用于模型训练的数据安全性与合规性。 所有用于训练的数据均为开源合规的数据。 所有用于训练的数据均过滤密码、IP地址、手机号、email等个人隐私信息。 对所有用于训练的数据集进行版本管理，支持数据溯源；数据集存储安全，且对数据访问进行身份及权限控制，数据访问基于https加密传输，数据访问可防篡改、防泄漏。 模型安全性及合规性。 对模型文件进行版本管理，支持模型溯源；模型训练工作流的访问操作通过身份及权限控制且模型训练、推理所依赖的环境支持租户资源隔离，模型文件存储安全，且对模型文件访问进行身份及权限控制，模型文件访问基于https加密传输，模型训练及访问可防篡改、防泄漏。 Snap研发知识问答模型部署前，对模型进行内容合规自评，覆盖涉政、违法、诈骗、宗教、低俗暴力、社会负面、敏感信息等问题及角色扮演、反面诱导等12种对抗攻击方式的测评，识别模型生成内容的合规风险，持续强化模型合规训练。

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的 云安全 挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的IaaS、PaaS和SaaS类云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。华为云租户的安全责任在于对使用的IaaS、PaaS和SaaS类云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、 虚拟主机 和访客虚拟机的操作系统，虚拟防火墙、API网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

功能特性 支持多种编程语言，并能根据开发者键入的函数签名和注释自动生成函数体。 支持根据行级注释或代码上下文信息自动生成与描述场景匹配的代码。 可根据开发者当前光标位置的前后语句片段进行代码填空和补全。 支持跨文件生成与任务相关的代码。 支持从功能、目的和实现逻辑三个维度对代码进行解释说明。 可根据用户需求内容生成行级、函数级注释信息，能够帮助开发人员高效补充代码注释。 可根据输入的代码和错误信息，得到错误原因并给出修复方案。 支持生成高覆盖率的单元测试代码，包括单个方法和类级别的单元测试框架代码。 可根据提问来检索研发相关知识，提供答案。 支持对代码进行函数级检查功能，可及时、主动发现编码缺陷，提升代码质量和安全性。 支持代码翻译，可以指出不同语言关键元素差异，帮助开发者适应新环境。

产品优势 高效提升编码效率和质量。CodeArts Snap能够将自然语言转化为规范可阅读、无开源漏洞的安全编程语言，从而提升开发者的编码效率和质量。 图1 代码生成示例 功能强大且全面。CodeArts Snap覆盖了代码生成、研发知识问答、单元测试用例生成、代码解释、代码注释、代码翻译、代码调试、代码检查八大功能，能够满足开发者开发过程中的不同需求和开发场景。 图2 代码解释 智能生成和问答。CodeArts Snap具备智能生成和智能问答的核心功能，可以根据中英文描述生成完整的函数级代码，同时提供代码的自动检查和修复。 图3 研发问答示例

访问控制 公测试用 用户可打开CodeArts Snap申请公测页面，申请公测权限。 公测权限审批通过之后，账号管理员（te_admin）可以在CodeArts Snap成员管理页面导入用户列表，最多可以导入20个用户。 一个账号下的所有用户默认可以调用CodeArts Snap推理接口2000次/天。 公测试用时长为30天，超过时长用户的访问权限将会被锁定。 套餐用户 付费用户可以通过CodeArts Snap套餐页面购买Snap商用套餐。 已购套餐的账号管理员（te_admin）可以在CodeArts Snap成员管理页面导入用户列表，被导入的用户即可使用Snap，导入用户数量上限为商用套餐中购买的人数。

Gradle设置 Gradle User Home：在此字段中，指定Gradle用户主目录的路径（默认为$USER_HOME/.gradle），用于存储全局配置属性和初始化脚本、缓存和日志文件。默认值基于GRADLE_USER_HOME环境变量的值提供。要修改它，您可以设置环境变量或单击“”按钮并手动定位所需的Gradle用户主目录。 Gradle SDK：从此列表中选择要与Gradle一起使用的JDK：捆绑的JDK、项目级别的JDK或从系统变量（如JAVA_HOME）解析的JDK。

Maven设置 Maven home：请使用此字段选择捆绑的Maven版本（Maven 3）或者单击Browse按钮，手动定位您自己的Maven安装位置。 User settings file：在此字段中，指定包含Maven用户特定配置的文件。 Local repository：在此字段中，指定用户主目录下的本地目录的路径，该目录存储下载并包含临时生成工件。 Maven SDK：从此列表中，选择要与Maven一起使用的JDK：捆绑的JDK、项目级JDK或从系统变量（如JAVA_HOME）解析的JDK。 Work offline：如果选中，Maven将在脱机模式下工作。它不连接到远程存储库，只使用本地可用的资源。此选项对应于--offline命令行选项。 Print exception stack traces：如果选中，则生成异常堆栈跟踪。此选项对应于--errors命令行选项。 Use plugin registry：如果选中，则可以引用Maven的插件注册表。此选项对应于--no-plugin-registry命令行选项。 Execute goals recursively：如果选中，则将递归执行生成，包括嵌套项目。此选项对应于--non-recursive命令行选项。

使用Maven任务进行工作 使用Maven任务在CodeArts IDE中打开一个Maven项目后，您可以在Maven视图中找到Maven任务列表。 要运行任务，请执行以下任一操作： 双击任务列表中的任务。 在Maven视图工具栏上，单击Execute Maven Task按钮（）然后在打开的Execute Maven Task弹出窗口中选择所需的任务。 您还可以通过专用的Maven启动配置来运行Maven任务。

CFW使用限制 仅支持对部署在华为云的业务提供防护，不支持跨云使用。 支持弹性公网IP EIP的流量防护，不支持全域公网带宽GEIP、API网关APIG绑定的EIP的流量防护。 购买的 云防火墙 只能在当前选择的区域使用，如需在其它区域使用，请切换到对应区域进行购买。有关支持购买CFW的区域说明，请参见功能总览。 VPC边界流量防护功能依赖企业路由器ER服务引流，使用该功能时，需确保账号下至少有一个企业路由器。 云防火墙不支持防护中文 域名 。 标准版旁路引擎已于2023年1月停止销售，相关功能在此之后停止演进，该版本不支持 云监控服务 CES、查看IPS库或修改IPS动作、日志存储至 云日志服务LTS 、病毒防御（专业版）等功能。如需使用以上功能建议切换为直路引擎。

防护策略配额限制 防护规则 一个防火墙实例最多添加20000条防护规则。 黑白名单 一个防火墙实例最多添加2000条黑名单。 一个防火墙实例最多添加2000条白名单。 成员组 IP地址组 每个防火墙实例下最多添加3800个IP地址组。 每个IP地址组中最多添加640个IP地址成员。 每个防火墙实例下最多添加30000个IP地址。 服务组 每个防火墙实例下最多添加900个服务成员。 每个防火墙实例下最多添加512个服务组。 每个服务组中最多添加64个服务成员。 域名组 基础版仅支持应用型域名组。 域名组中所有域名被“防护规则”引用最多40000次，泛域名被“防护规则”引用最多2000次。 应用域名组（七层协议解析） 每个防火墙实例下最多添加500个域名组。 每个防火墙实例下最多添加2500个域名成员。 每个应用域名组中最多添加1500个域名成员。 网络域名组（四层协议解析） 每个防火墙实例下最多添加1000个域名成员。 每个网络域名组中最多添加15个域名成员。 每个域名组最多支持解析1500条IP地址。 每个域名最多支持解析1000条IP地址。

等保合规能力说明 检查项分类 安全控制点 等保合规检查项 风险等级参考 云防火墙CFW提供的对应能力说明 相关功能介绍 安全通信网络 网络架构 应避免将重要网络区域部署在边界处，重要网络区域与其它网络区域之间应采取可靠的技术隔离手段。 高 通过云原生VPC能力，将重要网络区域使用VPC隔离，不同重要级别的VPC之间的业务互访，使用云防火墙CFW实现VPC间业务流量的访问控制，并对恶意访问进行识别和拦截。 应用场景 应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力。 中 通过云防火墙自动识别业务在互联网的威胁暴露面，提供云上互联网边界和VPC边界的防护，入侵防御引擎对恶意流量实时检测和拦截。 安全区域边界 边界防护 应能够对内部用户非授权连到外部网络的行为进行限制或检查。 高 云防火墙实现南北向和东西向访问的网络流量分析、全网流量可视化、对主动外联行为的分析和阻断、开通或变更白名单策略。 功能特性 应能够对非授权设备私自联到内部网络的行为进行限制或检查。 中 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。 中 入侵防范 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为。 高 云防火墙实现对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截。 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为。 高 云防火墙实现云上资产对外流量的主动外联、失陷感知等出方向流量分析和攻击防护及访问控制。 当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。 中 云防火墙提供对业务流量中的攻击行为的检测和记录，并能根据策略设置提供攻击流量阻断功能，记录风险级别、事件名称、源IP、目的IP、方向、判断来源、发生时间和动作。 访问控制 应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下受控接口拒绝除允许通信外的所有通信。 高 云防火墙实现统一管理互联网到业务的南北向访问策略和业务，达到协议、端口、应用级访问控制粒度。 访问控制策略 应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化。 中 云防火墙提供策略命中计数功能，客户可以根据命中情况，及时调整策略的设置，确保没有冗余的策略。云防火墙访问控制策略可配置优先级，您可以根据业务需求优化访问控制列表。 应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许或拒绝数据包进出。 高 云防火墙实现对进出访问控制策略进行严格设置。访问控制策略包括源类型、访问源、目的类型、目的、协议类型、目的端口、应用协议、动作、描述和优先级。 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级。 中 云防火墙对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截。 应对进出网络的数据流实现基于应用协议和应用内容的访问控制。 中 云防火墙实现跨VPC流量的应用协议、内容的访问控制。 安全审计 应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。 高 云防火墙提供日志审计功能，可以记录所有流量日志、事件日志和操作日志。 日志审计功能 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其它与审计相关的信息。 中 云防火墙提供日志记录事件功能，包括：时间、威胁类型、方向、源IP和目的IP、应用类型、严重性等级以及响应动作等信息。 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。 中 云防火墙提供 日志分析 功能，对已分析的日志，默认提供存储6个月内的日志数据，并提供实时日志分析能力。 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。 中 云防火墙提供日志分析功能，对已分析的日志，默认提供存储6个月内的日志数据，并提供实时日志分析能力。

服务韧性 华为云数据中心按规则部署在全球各地，所有数据中心都处于正常运营状态，无一闲置。数据中心互为灾备中心，如一地出现故障，系统在满足合规政策前提下自动将客户应用和数据转离受影响区域，保证业务的连续性。为了减小由硬件故障、自然灾害或其它灾难带来的服务中断，华为云为所有数据中心提供灾难恢复计划。 当发生故障时，CFW的五级可靠性架构支持不同层级的可靠性，因此具有更高的可用性、容错性和可扩展性。 华为云CFW已面向全球用户服务，并在多个分区部署，同时CFW的所有管理面、引擎等组件均采用主备或集群方式部署。分区部署详情参见地区和终端节点。 父主题： 安全

步骤四：添加防护规则——放行访问指定EIP的入方向流量 在“访问策略管理”页面的“防护规则”页签中，单击“添加”，在弹出的“添加防护规则”中，填写以下参数。 图2 放行指定IP 参数 示例 参数说明 方向 外-内（表示入方向流量） 选择流量的方向： 外-内：互联网访问云上资产（EIP）。 内-外：云上资产（EIP）访问互联网。 源 Any 设置访问流量中发送数据的地址参数。 目的 xx.xx.xx.1 设置访问流量中的接收数据的地址参数。 服务 Any 设置协议类型、源端口和目的端口。 应用 Any 设置针对应用层协议的防护策略。 动作 放行 设置流量经过防火墙时的处理动作。 放行：防火墙允许此流量转发。 阻断：防火墙禁止此流量转发。 策略优先级 置顶（至少需高于上一条阻断规则） 设置该策略的优先级： 置顶：表示将该策略的优先级设置为最高。 移动至选中规则后：表示将该策略优先级设置到某一规则后。 单击“确认”，完成配置防护规则。

准备工作 在购买云防火墙之前，请先 注册华为账号 并开通华为云。具体操作详见注册华为账号并开通华为云、实名认证。 如果您已开通华为云并进行实名认证，请忽略此步骤。 请保证账户有足够的资金，防止购买云防火墙失败。具体操作请参见账户充值。 请确保已为账号赋予相关CFW权限。具体操作请参见创建用户组并授权使用CFW。 表1 CFW系统角色 角色名称 描述 类别 依赖关系 CFW FullAccess 云防火墙服务的所有权限。 系统策略 无 CFW ReadOnlyAccess 云防火墙服务的只读权限。 系统策略 无

操作流程 操作步骤 说明 准备工作 注册华为账号、开通华为云，为账户充值、赋予CFW权限。 步骤一：购买标准版云防火墙 购买CFW，选择防护的区域、版本规格（本文以标准版为例）等信息。 步骤二：开启指定EIP的防护 在CFW上对需要防护的EIP开启防护，使流量经过防火墙。 步骤三：添加防护规则——阻断所有入方向流量 配置一条阻断所有入方向流量的防护规则，并将它优先级置于最低。 步骤四：添加防护规则——放行访问指定EIP的入方向流量 配置一条放行指定EIP（本文以xx.xx.xx.1为例）入方向流量的防护规则，并将它优先级设置在阻断规则之上。 步骤五：通过访问控制日志查看命中详情 查看防护规则是否生效。

操作（Action） 操作（Action）即为SCP中支持的授权项。 “访问级别”列描述如何对操作进行分类（list、read和write等）。此分类可帮助您了解在SCP中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。 资源类型支持通配符号*表示所有。如果此列没有值（-），则必须在SCP语句的Resource元素中指定所有资源类型（“*”）。 如果该列包含资源类型，则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号（*）标识，表示使用此操作必须指定该资源类型。 关于LTS定义的资源类型的详细信息请参见资源类型（Resource）。 “条件键”列包括了可以在SCP语句的Condition元素中支持指定的键值。 如果该授权项资源类型列存在值，则表示条件键仅对列举的资源类型生效。 如果该授权项资源类型列没有值（-），则表示条件键对整个授权项生效。 如果此列条件键没有值（-），表示此操作不支持指定条件键。 关于LTS定义的条件键的详细信息请参见条件（Condition）。 您可以在SCP语句的Action元素中指定以下LTS的相关操作。 表1 LTS支持的授权项 授权项 描述 访问级别 资源类型（*为必须） 条件键 lts:logGroup:deleteLogGroup 授予权限以删除指定日志组。 write logGroup * - lts:logGroup:listLogGroup 授予权限以查询日志组列表。 list - - lts:logGroup:createLogGroup 授予权限以创建日志组。 write - - lts:logGroup:updateLogGroup 授予权限以修改指定日志组。 write logGroup * - lts:logStream:listLogStream 授予权限以查询日志流列表。 list logGroup * - lts:logStream:deleteLogStream 授予权限以删除指定日志流。 write logStream * - lts:logStream:createLogStream 授予权限以创建日志流。 write logGroup * - lts:logStream:searchLog 授予权限以查询日志。 list logStream * - lts:logStream:searchStructLog 授予权限以查询结构化日志。 list logStream * - lts:logStream:searchLogHistogram 授予权限以查询日志直方图。 list logStream * - lts:transfer:createTransfer 授予权限以创建转储任务。 write - - lts:transfer:deleteTransfer 授予权限以删除转储任务。 write transfer * - lts:transfer:listTransfer 授予权限以查询日志转储任务列表。 list - - lts:transfer:updateTransfer 授予权限以修改转储任务。 write transfer * - lts:transfer:registerDmsKafkaInstance 授予权限以注册DmsKafka实例。 write - - lts:configCenter:updateOverCollectSwitch 授予权限以修改超额采集开关。 write - - lts:structConfig:createStructConfig 授予权限以创建LTS结构化配置。 write logStream * - lts:structConfig:deleteStructConfig 授予权限以删除LTS结构化配置。 write logStream * - lts:structConfig:getStructConfig 授予权限以查询LTS结构化配置。 read logStream * - lts:structConfig:listStructTemplate 授予权限以查询结构化模板列表。 list - - lts:structConfig:updateStructConfig 授予权限以修改LTS结构化配置。 write logStream * - lts:mappingRule:create 授予权限以创建映射规则。 write - - lts:mappingRule:delete 授予权限以删除映射规则。 write - - lts:mappingRule:get 授予权限以查看映射规则详情。 read - - lts:mappingRule:list 授予权限以查询映射规则列表。 list - - lts:mappingRule:update 授予权限以修改映射规则。 write - - lts:logStream:getHistorySql 授予权限以查看日志流历史sql。 read logStream * - lts:alarmRule:createSqlAlarmRule 授予权限以创建sql告警规则的规则。 write - - lts:alarmRule:deleteSqlAlarmRule 授予权限以删除sql告警规则。 write alarmRule * - lts:alarmRule:updateSqlAlarmRule 授予权限以修改sql告警规则。 write alarmRule * - lts:alarmRule:listSqlAlarmRule 授予权限以查看sql告警规则。 list - - lts:alarmRule:createWordAlarmRule 授予权限以创建关键词告警规则。 write - - lts:alarmRule:deleteWordAlarmRule 授予权限以删除关键词告警规则。 write alarmRule * - lts:alarmRule:updateWordAlarmRule 授予权限以修改关键词告警规则。 write alarmRule * - lts:alarmRule:listWordAlarmRule 授予权限以查看关键词告警规则。 list - - lts:alarm:cleanAlarm 授予权限以删除告警。 write - - lts:alarm:listAlarm 授予权限以查看警列表。 list - - lts:logStream:listChart 授予权限以查询日志流图表。 list - - lts:alarmNoticeTemplate:create 授予权限以创建告警通知模板。 write - - lts:alarmNoticeTemplate:update 授予权限以修改告警通知模板。 write - - lts:alarmNoticeTemplate:delete 授予权限以删除告警通知模板。 write - - lts:alarmNoticeTemplate:list 授予权限以查询告警通知模板列表。 list - - lts:alarmNoticeTemplate:get 授予权限以查询告警通知模板详情。 read - - lts:hostGroup:create 授予权限以创建主机组。 write - - lts:hostGroup:delete 授予权限以删除主机组。 write hostGroup * - lts:host:list 授予权限以查询主机列表。 list - - lts:hostGroup:list 授予权限以查询主机组列表。 list accessConfig * - lts:hostGroup:update 授予权限以修改主机组。 write hostGroup * - lts:accessConfig:create 授予权限以创建日志接入。 write logStream * - lts:accessConfig:delete 授予权限以删除日志接入。 write accessConfig * - lts:accessConfig:list 授予权限以查询日志接入列表。 list - - lts:accessConfig:update 授予权限以修改日志接入。 write accessConfig * - hostGroup - lts:tag:create 授予权限以创建标签。 write - - lts:tag:delete 授予权限以删除标签。 write - - lts:logStream:createQuickQuery 授予权限以创建快速查询。 write logStream * - lts:logStream:deleteQuickQuery 授予权限以删除快速查询。 write logStream * - lts:logStream:listQuickQuery 授予权限以查询快速查询列表。 list logGroup * - lts:logFavorite:create 授予权限以创建日志收藏。 write logStream * - lts:logFavorite:delete 授予权限以删除日志收藏。 write - - lts:dashboardGroup:create 授予权限以创建仪表盘分组。 write - - lts:dashboard:create 授予权限以创建仪表盘。 write - - lts:trafficStatistic:get 授予权限以获取资源统计详情。 read - - lts:tokenizer:get 授予权限以获取已配置的分词符。 read - - lts:tokenizer:create 授予权限以保存分词符。 write - - lts:tokenizer:preview 授予权限以预览分词符。 read - - lts:usageAlarm:update 授予权限以打开或者关闭使用量预警。 write - - lts:csvTable:list 授予权限以获取关联数据源配置信息表。 list - - lts:csvTable:upload 授予权限以上传csv文件。 write - - lts:csvTable:get 授予权限以预览关联数据和查看关联数据源信息。 read - - lts:csvTable:create 授予权限以创建关联数据源。 write - - lts:csvTable:update 授予权限以更新关联数据源。 write - - lts:csvTable:delete 授予权限以删除关联数据源。 write - - lts:scheduledSql:create 授予权限以创建定时sql。 write - - lts:scheduledSql:delete 授予权限以删除定时sql。 write - - lts:scheduledSql:update 授予权限以修改定时sql。 write - - lts:scheduledSql:list 授予权限以获取定时sql列表。 list - - lts:scheduledSql:get 授予权限以获取定时sql详情。 read - - lts:scheduledSql:retry 授予权限以重试执行实例。 write - - lts:transfer:getDisList 授予权限以获取Dis通道列表。 list - - lts:transfer:listKafkaInstance 授予权限以获取kafka列表。 list - - lts:transfer:updateKafkaInstance 授予权限以更新kafka信息。 write - - lts:transfer:deleteKafkaInstance 授予权限以删除kafka信息。 write - - lts:transfer:listKafkaAuthorization 授予权限以查询用户配置kafka授权列表。 list - - lts:transfer:createKafkaAuthorization 授予权限以增加用户配置kafka授权列表。 write - - lts:transfer:deleteKafkaAuthorization 授予权限以删除用户配置kafka授权列表。 write - - lts:transfer:getTransfer 授予权限以获取转储任务的信息。 read transfer * - lts:transfer:getDwsInfo 授予权限以查询租户的dws信息。 read - - lts:transfer:registerDwsCluster 授予权限以注册dws集群。 write - - lts:hostGroup:getHost 授予权限以通过查询条件获取所有主机。 read - - lts:hostGroup:get 授予权限以通过查询条件获取单个主机组加入的所有配置。 read - - lts:accessConfig:get 授予权限以获取单个采集配置。 read accessConfig * - lts:logFavorite:list 授予权限以获取收藏列表。 list - - lts:logFavorite:update 授予权限以修改收藏。 write logStream * - lts:logGroup:getLogGroup 授予权限以查询日志组。 read logGroup * - lts:IndexConfig:list 授予权限以查询索引。 list logGroup * - lts:IndexConfig:create 授予权限以创建索引。 write logGroup * - lts:structConfig:listStructConfig 授予权限以获取日志流结构化信息。 list logStream * - lts:logStream:updateLogStream 授予权限以修改日志流。 write logStream * - lts:logStream:getRealtimeLog 授予权限以获取实时日志。 read logStream * - lts:logStream:getLogStream 授予权限以查询日志流信息。 read logStream * - lts:logStream:createLogFilterRules 授予权限以创建日志清洗规则。 write logStream * - lts:logStream:updateLogFilterRules 授予权限以修改日志清洗规则。 write logStream * - lts:logStream:deleteLogFilterRules 授予权限以删除日志清洗规则。 write logStream * - lts:logStream:listLogFilterRules 授予权限以查询日志清洗规则。 list logStream * - lts:logStream:getQuickQuery 授予权限以查看快速查询。 list logStream * - lts:logStream:updateQuickQuery 授予权限以修改快速查询。 write logStream * - lts:logStream:searchLogContext 授予权限以查询日志上下文。 read logStream * - lts:structConfig:getCustomTemplate 授予权限以查询用户自定义模板。 read - - lts:structConfig:createCustomTemplate 授予权限以创建用户自定义模板。 write - - lts:structConfig:updateCustomTemplate 授予权限以修改用户自定义模板。 write - - lts:structConfig:deleteCustomTemplate 授予权限以删除用户自定义模板。 write - - lts:structConfig:listCustomTemplate 授予权限以查询用户自定义模板列表。 read - - lts:structConfig:smartExtra 授予权限以智能提取结构化字段。 write - - lts:logStream:getAggrResult 授予权限以获取快速分析结果。 read logStream * - lts:logStream:getAggr 授予权限以查询快速分析聚合器。 read - - lts:logStream:createAggr 授予权限以创建快速分析聚合器。 write - - lts:logStream:deleteAggr 授予权限以删除快速分析聚合器。 write - - lts:logStream:getQuickAnalysisAggValue 授予权限以获取数值类型的快速分析结果。 read logStream * - lts:logStream:getWordFreqConfig 授予权限以查询用户已创建的快速分析字段。 read logStream * - lts:logStream:refreshWordFreqConfig 授予权限以修改快速分析字段。 write logStream * - lts:logCrux:list 授予权限以查询日志聚类信息。 list - - lts:logCrux:get 授予权限以获取日志聚类开关信息。 read - - lts:logCrux:enable 授予权限以开启日志聚类开关。 write - - lts:logCrux:disable 授予权限以关闭日志聚类开关。 write - - lts:logStream:updateChart 授予权限以更新用户日志看板。 write - - lts:logStream:createChart 授予权限以创建用户日志看板。 write - - lts:logStream:deleteChart 授予权限以删除用户日志看板。 write logStream * - lts:logStream:getChart 授予权限以获取用户日志看板。 read logStream * - lts:dashboard:deleteChart 授予权限以删除图表。 write dashboard * - lts:dashboard:listCharts 授予权限以展示仪表盘层级的图表。 list - - lts:dashboard:updateChart 授予权限以移动图表。 write dashboard * - lts:dashboard:getDashboard 授予权限以查询用户日志仪表盘。 read - - lts:dashboardGroup:getDashboardsGroup 授予权限以查询用户日志仪表盘分组。 read - - lts:dashboardGroup:updateDashboardsGroup 授予权限以修改用户日志仪表盘分组。 write - - lts:dashboardGroup:deleteDashboardsGroup 授予权限以更新用户日志仪表盘分组。 write - - lts:dashboard:CreateDashBoard 授予权限以根据日志仪表盘模板批量创建仪表盘。 write - - lts:dashboard:CreateDashBoardTemplate 授予权限以创建用户日志仪表盘模板。 write - - lts:dashboard:getDashBoardTemplate 授予权限以查询用户日志仪表盘模板。 read - - lts:dashboard:updateDashBoardTemplate 授予权限以修改用户日志仪表盘模板。 write - - lts:dashboard:deleteDashBoardTemplate 授予权限以删除用户日志仪表盘模板。 write - - lts:dashboardGroup:createLogDashboardTemplateGroup 授予权限以创建仪表盘模板分组。 write - - lts:dashboardGroup:updateLogDashboardTemplateGroup 授予权限以修改仪表盘模板分组。 write - - lts:dashboardGroup:deleteLogDashboardTemplateGroup 授予权限以删除用户日志仪表盘模板分组。 write - - lts:dashboard:listFilter 授予权限以查询仪表盘过滤器。 list dashboard * - lts:dashboard:createFilter 授予权限以创建仪表盘过滤器。 write dashboard * - lts:dashboard:updateFilter 授予权限以修改仪表盘过滤器。 write dashboard * - lts:dashboard:deleteFilter 授予权限以删除仪表盘过滤器。 write dashboard * - lts:alarmRule:listAlarmRules 授予权限以查询告警规则列表。 list - - lts:alarmRule:getKeywordsAlarmRule 授予权限以查询关键词告警规则。 read alarmRule * - lts:alarmRule:getSqlAlarmRule 授予权限以查询sql告警规则。 read alarmRule * - lts:alarm:listAlarmStatistic 授予权限以查询sql告警数据。 list - - lts:dashboard:update 授予权限以修改用户日志仪表盘。 write - - lts:dashboard:delete 授予权限以删除用户日志仪表盘。 write - - lts:logSearch:list 授予权限以获取集群列表，命名空间，组件，实例，日志，节点，日志文件页面组件列表，文件列表。 list - - lts:logSearch:getTime 授予权限以获取后端节点当前时间。 read - - lts:logSearch:getLogContext 授予权限以获取日志上下文。 read - - lts:logSearch:exportLogs 授予权限以下载日志。 write - - lts:ageingTime:get 授予权限以获取配额管理。 list - - lts:ageingTime:update 授予权限以修改配额管理。 write - - lts:logConfigPath:list 授予权限以查询VM日志路径配置。 list - - lts:logConfigPath:create 授予权限以新建VM日志路径配置。 write - - lts:structRule:get 授予权限以获取结构化规则。 read - - lts:structRule:create 授予权限以创建结构化规则。 write - - lts:structRule:delete 授予权限以删除结构化规则。 write - - lts:structRule:regex 授予权限以结构化提取。 write - - lts:logPail:list 授予权限以查询日志桶、桶内日志和日志柱状图。 list - - lts:structSql:list 授予权限以查询结构化日志。 list - - lts:logPail:create 授予权限以添加日志桶。 write - - lts:logPail:update 授予权限以修改日志桶。 list - - lts:logPail:delete 授予权限以删除日志桶。 write - - lts:storageRelation:list 授予权限以查询当前租户下的转储关系。 list - - lts:storageRelation:delete 授予权限以删除当前租户下的转储关系。 write - - lts:storage:batchAction 授予权限以周期性批量启停。 write - - lts:logPailDump:create 授予权限以添加日志转储。 write - - lts:statisticsRule:list 授予权限以查询统计规则。 list - - lts:statisticsRule:create 授予权限以创建统计规则。 write - - lts:statisticsRule:update 授予权限以修改统计规则。 write - - lts:statisticsRule:delete 授予权限以删除统计规则。 write - - lts:transfer:listKafkaInstanceTopic 授予权限以获取用户kafka所有topic。 list - - lts:logPackage:create 授予权限以购买资源包。 write - - lts:consumerGroup:create 授予权限以创建消费组。 write - - lts:consumerGroup:delete 授予权限以删除消费组。 write - - lts:consumerGroup:list 授予权限以查询消费组列表。 list - - lts:consumerGroup:get 授予权限以查询消费组详情。 read - - lts:consumerGroup:update 授予权限以修改消费组。 write - - lts:logStream:get 授予权限以获取日志流详情。 read - - lts:agency:listGroupAndStream 授予权限以获取委托方日志组日志流列表。 list - - lts:agency:listEps 授予权限以获取委托方EPS列表。 list - - lts:agency:listStructConfig 授予权限以获取委托方结构化配置。 list - - lts:logConverge:get 授予权限以获取多账号日志汇聚配置。 read - - lts:logConverge:update 授予权限以更新多账号日志汇聚配置。 write - - lts:logManager:createAggr 授予权限以创建快速分析聚合器。 write logStream * - lts:logManager:createAggrs 授予权限以批量创建快速分析聚合器。 write logStream * - lts:logManager:deleteAggr 授予权限以删除快速分析聚合器。 write logStream * - lts:logManager:deleteAggrs 授予权限以批量删除快速分析聚合器。 write logStream * - lts:logmanager:createLogFilter 授予权限以创建日志清洗规则。 write logStream * - lts:logmanager:listLogFilters 授予权限以查看日志清洗规则。 read logStream * - lts:logmanager:updateLogFilters 授予权限以修改日志清洗规则。 write logStream * - lts:logmanager:deleteLogFilters 授予权限以删除日志清洗规则。 write logStream * - lts:structConfig:regex 授予权限以正则结构化示例日志。 write - - LTS的API通常对应着一个或多个授权项。表2展示了API与授权项的关系，以及该API需要依赖的授权项。 表2 API与授权项的关系 API 对应的授权项 依赖的授权项 POST /v2/{project_id}/groups lts:logGroup:createLogGroup - DELETE /v2/{project_id}/groups/{log_group_id} lts:logGroup:deleteLogGroup - GET /v2/{project_id}/groups lts:logGroup:listLogGroup - POST /v2/{project_id}/groups/{log_group_id} lts:logGroup:updateLogGroup - POST /v2/{project_id}/groups/{log_group_id}/streams lts:logStream:createLogStream - PUT /v2/{project_id}/groups/{log_group_id}/streams-ttl/{log_stream_id} lts:logStream:updateLogStream - DELETE /v2/{project_id}/groups/{log_group_id}/streams/{log_stream_id} lts:logStream:deleteLogStream - GET /v2/{project_id}/groups/{log_group_id}/streams lts:logStream:listLogStream - GET /v2/{project_id}/log-streams lts:logStream:listLogStream - POST /v2/{project_id}/lts/keyword-count lts:logStream:searchLogHistogram - POST /v2/{project_id}/groups/{log_group_id}/streams/{log_stream_id}/content/query lts:logStream:searchLog - POST /v2/{project_id}/groups/{log_group_id}/streams/{log_stream_id}/struct-content/query lts:logStream:searchStructLog - POST /v2/{project_id}/streams/{log_stream_id}/struct-content/query lts:logStream:searchStructLog - POST /v2/{project_id}/log-dump/obs lts:transfer:createTransfer obs:bucket:PutBucketAcl obs:bucket:GetBucketAcl obs:bucket:HeadBucket POST /v2/{project_id}/transfers lts:transfer:createTransfer obs:bucket:PutBucketAcl obs:bucket:GetBucketAcl obs:bucket:GetEncryptionConfiguration obs:bucket:HeadBucket dis:streams:list dis:streamPolicies:list DELETE /v2/{project_id}/transfers lts:transfer:deleteTransfer - GET /v2/{project_id}/transfers lts:transfer:listTransfer - POST /v2/{project_id}/lts/dms/kafka-instance lts:transfer:registerDmsKafkaInstance dms:instance:list PUT /v2/{project_id}/transfers lts:transfer:updateTransfer obs:bucket:PutBucketAcl obs:bucket:GetBucketAcl obs:bucket:GetEncryptionConfiguration obs:bucket:HeadBucket dis:streams:list dis:streamPolicies:list POST /v2/{project_id}/collection/disable lts:configCenter:updateOverCollectSwitch - POST /v2/{project_id}/collection/enable lts:configCenter:updateOverCollectSwitch - POST /v3/{project_id}/lts/struct/template lts:structConfig:createStructConfig - POST /v2/{project_id}/lts/struct/template lts:structConfig:createStructConfig - DELETE /v2/{project_id}/lts/struct/template lts:structConfig:deleteStructConfig - GET /v3/{project_id}/lts/struct/customtemplate/list lts:structConfig:listStructTemplate - GET /v3/{project_id}/lts/struct/customtemplate lts:structConfig:listStructTemplate - GET /v2/{project_id}/lts/struct/template lts:structConfig:getStructConfig - PUT /v3/{project_id}/lts/struct/template lts:structConfig:updateStructConfig - PUT /v2/{project_id}/lts/struct/template lts:structConfig:updateStructConfig - POST /v2/{project_id}/lts/aom-mapping lts:mappingRule:create - DELETE /v2/{project_id}/lts/aom-mapping lts:mappingRule:delete - GET /v2/{project_id}/lts/aom-mapping/{rule_id} lts:mappingRule:get - GET /v2/{project_id}/lts/aom-mapping lts:mappingRule:list - PUT /v2/{project_id}/lts/aom-mapping lts:mappingRule:update - GET /v2/{project_id}/lts/notifications/topics lts:alarmNoticeTemplate:list smn:topic:list POST /v2/{project_id}/lts/alarms/sql-alarm-rule lts:alarmRule:createSqlAlarmRule - DELETE /v2/{project_id}/lts/alarms/sql-alarm-rule/{sql_alarm_rule_id} lts:alarmRule:deleteSqlAlarmRule - GET /v2/{project_id}/lts/alarms/sql-alarm-rule lts:alarmRule:listSqlAlarmRule - PUT /v2/{project_id}/lts/alarms/status lts:alarmRule:updateSqlAlarmRule - PUT /v2/{project_id}/lts/alarms/sql-alarm-rule lts:alarmRule:updateSqlAlarmRule - POST /v2/{project_id}/lts/alarms/keywords-alarm-rule lts:alarmRule:createWordAlarmRule - DELETE /v2/{project_id}/lts/alarms/keywords-alarm-rule/{keywords_alarm_rule_id} lts:alarmRule:deleteWordAlarmRule - GET /v2/{project_id}/lts/alarms/keywords-alarm-rule lts:alarmRule:listWordAlarmRule - PUT /v2/{project_id}/lts/alarms/keywords-alarm-rule lts:alarmRule:updateWordAlarmRule - POST /v2/{project_id}/{domain_id}/lts/alarms/sql-alarm/clear lts:alarm:cleanAlarm - POST /v2/{project_id}/{domain_id}/lts/alarms/sql-alarm/query lts:alarm:listAlarm - GET /v2/{project_id}/groups/{log_group_id}/streams/{log_stream_id}/charts lts:logStream:listChart - POST /v2/{project_id}/{domain_id}/lts/events/notification/templates lts:alarmNoticeTemplate:create - DELETE /v2/{project_id}/{domain_id}/lts/events/notification/templates lts:alarmNoticeTemplate:delete - POST /v2/{project_id}/{domain_id}/lts/events/notification/templates/view lts:alarmNoticeTemplate:list - GET /v2/{project_id}/{domain_id}/lts/events/notification/templates lts:alarmNoticeTemplate:list - GET /v2/{project_id}/{domain_id}/lts/events/notification/template/{template_name} lts:alarmNoticeTemplate:get - PUT /v2/{project_id}/{domain_id}/lts/events/notification/templates lts:alarmNoticeTemplate:update - POST /v3/{project_id}/lts/host-group lts:hostGroup:create - DELETE /v3/{project_id}/lts/host-group lts:hostGroup:delete - POST /v3/{project_id}/lts/host-list lts:host:list aom:icmgr:get aom:icmgr:list POST /v3/{project_id}/lts/host-group-list lts:hostGroup:list - PUT /v3/{project_id}/lts/host-group lts:hostGroup:update - POST /v3/{project_id}/lts/access-config lts:accessConfig:create - DELETE /v3/{project_id}/lts/access-config lts:accessConfig:delete - POST /v3/{project_id}/lts/access-config-list lts:accessConfig:list - PUT /v3/{project_id}/lts/access-config lts:accessConfig:update - POST /v1/{project_id}/{resource_type}/{resource_id}/tags/action lts:tag:create - POST /v1.0/{project_id}/groups/{group_id}/topics/{topic_id}/search-criterias lts:logStream:createQuickQuery - DELETE /v1.0/{project_id}/groups/{group_id}/topics/{topic_id}/search-criterias lts:logStream:deleteQuickQuery - GET /v1.0/{project_id}/groups/{group_id}/topics/{topic_id}/search-criterias lts:logStream:listQuickQuery - GET /v2/{project_id}/lts/history-sql lts:logStream:getHistorySql - GET /v1.0/{project_id}/lts/groups/{group_id}/search-criterias lts:logStream:listQuickQuery - POST /v1.0/{project_id}/lts/favorite lts:logFavorite:create - DELETE /v1.0/{project_id}/lts/favorite/{fav_res_id} lts:logFavorite:delete - POST /v2/{project_id}/dashboard lts:dashboard:create - POST /v2/{project_id}/lts/dashboard-group lts:dashboardGroup:create - POST /v2/{project_id}/lts/timeline-traffic-statistics lts:trafficStatistic:get - POST /v2/{project_id}/lts/topn-traffic-statistics lts:trafficStatistic:get -

操作（Action） 操作（Action）即为SCP中支持的授权项。 “访问级别”列描述如何对操作进行分类（list、read和write等）。此分类可帮助您了解在SCP中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。 资源类型支持通配符号*表示所有。如果此列没有值（-），则必须在SCP语句的Resource元素中指定所有资源类型（“*”）。 如果该列包含资源类型，则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号（*）标识，表示使用此操作必须指定该资源类型。 关于COC定义的资源类型的详细信息请参见资源类型（Resource）。 “条件键”列包括了可以在SCP语句的Condition元素中支持指定的键值。 如果该授权项资源类型列存在值，则表示条件键仅对列举的资源类型生效。 如果该授权项资源类型列没有值（-），则表示条件键对整个授权项生效。 如果此列条件键没有值（-），表示此操作不支持指定条件键。 关于COC定义的条件键的详细信息请参见条件（Condition）。 您可以在SCP语句的Action元素中指定以下COC的相关操作。 表1 COC支持的授权项 授权项 描述 访问级别 资源类型（*为必须） 条件键 coc:customDashboard:update 修改自定义看板的权限 write - - coc:customDashboard:get 查询自定义看板的权限。 read - - coc:document:create 创建文档 write document - coc:document:listRunbookAtomics 查看作业原子能力列表 list document - coc:document:getRunbookAtomicDetails 查询作业原子能力详情 read document - coc:document:list 查询文档列表 list document - coc:document:delete 删除文档 write document - coc:document:update 修改文档 write document - coc:document:get 查看文档 read document - coc:document:analyzeRisk 分析文档风险 read document - coc:systemConfig:get 获取系统配置详情的权限。 write - - coc:systemConfig:create 创建系统配置的权限。 read - - coc:job:list 查询工单详情 write job - coc:job:action 操作工单 write job - coc:instance:autoBatchInstances 实例自动化分批 list instance - coc:instance:executeDocument 在弹性云服务器上执行文档 write instance - coc:quota:get 查询配额 write - - coc:job:get 查询工单详情 write job - coc:schedule:list 查询定时任务列表的权限。 read schedule - coc:schedule:enable 启用定时任务的权限。 read schedule - coc:schedule:update 更新定时任务的权限。 list schedule - coc:schedule:disable 禁用定时任务列表的权限。 write schedule - coc:schedule:approve 审批定时任务列表的权限。 write schedule - coc:schedule:create 创建定时任务列表的权限。 write schedule - coc:schedule:delete 删除定时任务的权限。 write schedule - coc:schedule:count 查询定时任务数量的权限。 write schedule - coc:schedule:get 查询定时任务的权限。 write schedule - coc:schedule:getHistories 查询定时任务执行历史的权限。 read schedule - coc:parameter:list 查询参数列表的权限。 read parameter - coc:parameter:delete 删除参数的权限。 read parameter - coc:parameter:update 更新参数的权限。 list parameter - coc:parameter:create 创建参数的权限。 write parameter - coc:parameter:get 查询参数详情的权限 write parameter - coc:complianceReport:list 查询合规性报告列表权限。 write - - coc:patchBaseline:list 查询补丁基线列表的权限。 read - - coc:patchBaseline:get 查询补丁基线详情的权限。 list - - coc:patchBaseline:update 更新补丁基线的权限。 list - - coc:patchBaseline:registerDefault 设置默认补丁基线的权限。 write - - coc:patchBaseline:delete 删除补丁基线的权限。 write - - coc:patchBaseline:create 创建补丁基线的权限。 write - - coc:patchBaseline:getDefault 查询默认补丁基线的权限。 write - - coc:patchBaseline:opsSystemGet 查看补丁操作系统基线的权限。 write - - coc:complianceReport:get 查询合规性报告详情的权限。 read - - coc:instance:scanOSCompliance 服务器操作系统补丁扫描的权限。 read instance - coc:instance:installPatches 为弹性云服务器安装补丁的权限。 read instance - coc:patchBaseline:updateCustomBaseline 更新自定义基线的权限。 read - - coc:instance:startRDSInstance 启用RDS实例的权限。 write instance - coc:instance:stopRDSInstance 停止RDS实例的权限。 write instance - coc:instance:restartRDSInstance 重启RDS实例的权限。 write instance - coc:instance:start 启动云服务器的权限。 write instance - coc:instance:reboot 重启云服务器的权限。 write instance - coc:instance:stop 关闭云服务器的权限。 write instance - coc:serverResourcesDetail:get 获取ESC资源信息的权限。 write - - coc:instance:reinstallOS 重装弹性云服务器操作系统的权限。 write instance - coc:account:get 查询主机上已纳管的账号列表的权限 write - - coc:accountPasswordChangePolicy:get 查询已开启的改密策略的权限 write - - coc:accountEncryptionKey:list 查询已添加的DEW密钥的权限 write - - coc:accountBaseline:list 查询账号基线列表的权限 list accountBaseline - coc:accountAutoManagement:getRelations 查询已开启自动纳管的组件信息的权限 list - - coc:accountEncryptionKey:listDEWKeys 查询已拥有的DEW密钥的权限 list - - coc:accountBaseline:get 查询基线内的账号列表的权限 list accountBaseline - coc:accountBaseline:create 创建账号基线的权限 list accountBaseline - coc:accountBaseline:deleteAccount 删除基线中的账号的权限 list accountBaseline - coc:account:add 导入主机上的账号的权限 list - - coc:instance:resetPassword 重置主机的账号密码的权限 write instance - coc:accountBaseline:delete 删除账号基线的权限 write accountBaseline - coc:accountAutoManagement:updateStatus 更新自动纳管的状态的权限 write - - coc:accountAutoManagement:addRelations 按组件粒度开启自动纳管的权限 write - - coc:accountBaseline:update 修改账号基线的权限 write accountBaseline - coc:accountPasswordChangePolicy:disable 禁用改密策略的权限 write - - coc:accountAutoManagement:deleteRelations 按组件粒度关闭自动纳管的权限 write - - coc:accountPasswordChangePolicy:enable 启用改密策略的权限 write - - coc:accountEncryptionKey:add 添加加密密钥的权限 write - - coc:account:sync 同步主机上的账号的权限 write - - coc:account:getManagedStatus 查询纳管步骤状态的权限 write - - coc:account:getPassword 查询主机的账号密码的权限 write - - coc:accountAutoManagement:getStatus 查询自动纳管的开启状态的权限 write - - coc:hostiAccount:describe 账号自己的托管服务账号的信息。 read - - coc:vendorAccount:update 更新云厂商账户的权限。 read - - coc:application:GetDiagnosisTaskDetails 查询应用资源诊断任务的权限。 read application - coc:application:CreateDiagnosisTask 创建应用诊断任务的权限。 write application - coc:vendorAccount:list 查询云厂商账户列表的权限。 list - - coc:vendorAccount:create 创建云厂商账户的权限。 write - - coc:vendorAccount:delete 删除云厂商账户的权限。 list - - coc:customApplication:get 查询自定义应用详情的权限。 write application - coc:site:list 查询局点列表的权限。 write - - coc:instance:listResources 查询资源列表的权限。 list instance - coc:application:listResources 查询应用资源列表的权限。 list application - coc:application:list 查询应用列表的权限。 list application - coc:customApplication:list 查询自定义应用列表的权限。 list application - coc:application:listGroups 查询指定应用分组列表的权限。 list application - coc:region:list 查询region列表的权限。 list - - coc:application:deleteGroup 删除应用分组的权限。 list application - coc:application:updateResources 修改应用资源的权限。 list application - coc:application:create 创建应用的权限。 write application - coc:application:addResources 为应用添加资源的权限。 write application - coc:application:createGroup 创建应用分组的权限。 write application - coc:instance:syncResources 同步资源列表的权限。 write instance - coc:application:removeResources 移除应用资源的权限。 write application - coc:application:delete 删除应用的权限。 write application - coc:application:update 修改应用的权限。 write application - coc:application:updateGroup 修改应用分组的权限。 write application - coc:contingencyPlan:list 查询应急预案列表的权限。 write contingencyPlan - coc:contingencyPlan:delete 删除应急预案的权限。 write contingencyPlan - coc:contingencyPlan:create 创建应急预案的权限。 write contingencyPlan - coc:contingencyPlan:update 修改应急预案的权限。 list contingencyPlan - coc:wechatkey:create 创建企业微信应用密钥的权限。 write - - coc:wechatkey:delete 删除企业微信应用密钥的权限。 write - - coc:appkey:update 更新移动应用密钥的权限。 write - - coc:wechatkey:update 修改企业微信管理企业密钥的权限。 write - - coc:appkey:create 创建移动应用密钥的权限。 write - - coc:appkey:delete 删除移动应用密钥的权限。 write - - coc:appkey:get 查看移动应用密钥的权限。 write - - coc:wechatkey:get 查看企业微信应用密钥的权限。 write - - coc:systemConfig:update 修改系统配置的权限。 write - - coc:hostAccount:delete 托管sre账号刪除托管账号。 read - - coc:hostAccount:update 托管sre账号编辑托管账号。 read - - coc:hostAccount:disable 账号取消托管服务。 list - - coc:hostAccount:create 添加托管账号。 read - - coc:hostAccount:list 托管sre账号查询托管账号。 write - - coc:hostAccount:enable 账号开通托管服务。 write - - coc:systemConfig:list 获取系统配置列表的权限。 write - - coc:agency:create 创建租户委托的权限。 write - - coc:agency:get 查询租户下的委托信息。 read - - coc:notificationRule:get 查询通知规则详情的权限。 write - - coc:notification:listTypes 查询通知类型的权限。 write - - coc:notification:listTemplates 查询通知模板列表的权限。 read - - coc:notification:listModes 查询通知方式的权限。 list - - coc:notificationRule:list 查询通知规则列表的权限。 list - - coc:notificationRule:update 更新通知规则的权限。 list - - coc:notificationRule:delete 删除通知规则的权限。 list - - coc:notificationRule:create 创建通知规则的权限。 list - - coc:notificationRule:disable 停用通知规则的权限。 write - - coc:ticket:get 查询事件单详情的权限。 write - - coc:contingencyPlan:getHistories 查询应急预案历史的权限。 write contingencyPlan - coc:ticket:listEnumTypes 查询事件单枚举类型列表的权限。 write - - coc:ticket:listEnumValues 查询事件单枚举值列表的权限。 write - - coc:ticket:getOperationHistories 查询事件单操作历史的权限。 list - - coc:ticket:listActions 查询可以执行操作列表的权限。 list - - coc:ticket:getEnumValues 查询事件单枚举值详情的权限。 list - - coc:ticket:list 查询事件单列表的权限。 list - - coc:ticket:update 修改事件单的权限。 list - - coc:contingencyPlan:downloadFile 从应急预案下载附件的权限。 list contingencyPlan - coc:ticket:delete 删除事件单的权限。 list - - coc:ticket:downloadFile 为事件单下载附件的权限。 list - - coc:ticket:action 处理事件单的权限。 write - - coc:ticket:uploadFile 为事件单上传附件的权限。 write - - coc:ticket:create 创建事件单的权限。 write - - coc:contingencyPlan:uploadFile 为应急预案上传附件的权限。 write contingencyPlan - coc:ticket:getEnumTypes 查询事件单枚举类型详情的权限。 write - - coc:personnel:list 查询人员列表的权限。 write - - coc:personnel:update 更新人员信息的权限。 write - - coc:personnel:add 添加人员的权限。 write - - coc:personnel:remove 移除人员的权限。 read - - coc:notificationRule:confirm 确认通知规则的权限。 list - - coc:instance:changeOS 切换弹性云服务器操作系统的权限。 write instance - coc:oncall:listPersonnels 查询oncall排班人员列表的权限。 write - - coc:oncall:listScenes 查看oncall排班场景的权限。 write - - coc:oncall:listRoles 查询oncall排班角色的权限。 write - - coc:oncall:updatePersonnels 更新oncall排班人员的权限。 list - - coc:oncall:updateScene 更新oncall排班场景的权限。 list - - coc:oncall:removePersonnels 移除oncall排班人员的权限。 list - - coc:oncall:updateRole 更新oncall排班角色的权限。 write - - coc:oncall:createRole 创建oncall排班角色的权限。 write - - coc:oncall:deleteScene 删除oncall排班场景的权限。 write - - coc:oncall:deleteRole 删除oncall排班角色的权限。 write - - coc:oncall:addPersonnels 添加oncall排班人员的权限。 write - - coc:oncall:createScene 创建oncall排班场景的权限。 write - - coc:transferRule:get 查询流转规则详情的权限。 write - - coc:transferRule:list 查询流转规则列表的权限。 write - - coc:transferRule:delete 删除流转规则的权限。 write - - coc:transferRule:disable 停用流转规则的权限。 list - - coc:transferRule:enable 启用流转规则的权限。 list - - coc:transferRule:create 创建流转规则的权限。 write - - coc:transferRule:update 更新流转规则的权限。 write - - coc:notificationRule:enable 启用通知规则的权限。 write - - coc:transferRule:getHistory 查询流转最近事件消息的权限。 write - - coc:quotas:list 查询已购买配额列表的权限。 write - - coc:orders:change 更新coc订单的权限。 read - - coc:orders:create 创建coc订单的权限。 list - - coc:integration:list 查询集成配置列表的权限。 write - - coc:integration:get 查询集成配置详情的权限。 write - - coc:integration:getHistory 查询集成配置历史事件消息的权限。 list - - coc:integration:update 修改集成配置的权限。 list - - coc:integration:enable 启用集成配置的权限。 list - - coc:integration:disable 停用集成配置的权限。 write - - coc:integration:access 接入集成配置的权限。 write - - coc:integration:remove 移除集成配置的权限。 write - - coc:attackTargetRecord:list 查看攻击目标的执行记录列表的权限。 write attackTargetRecord - coc:drillPlan:list 查询演练规划列表的权限。 write drillPlan - coc:attackRecord:list 查看攻击记录列表的权限。 list attackRecord - coc:faultMode:list 查询故障模式列表的权限。 list faultMode - coc:monitorMetricRecord:list 查询监控指标数据列表的权限。 list - - coc:attackTask:list 查看攻击任务列表的权限。 list attackTask - coc:attackTarget:listCcePods 查询cce类型的攻击目标的pods列表的权限。 list - - coc:improvementTask:list 查询改进事项列表的权限。 list - - coc:drillTask:list 查看演练任务列表的权限。 list drillTask - coc:attackTarget:listCceWorkloads 查询cce类型的攻击目标的工作负载列表的权限。 list - - coc:attackTarget:listCceNamespaces 查询cce类型的攻击目标的命名空间列表的权限。 list - - coc:drillPlan:listDelay 查询演练规划延期列表的权限。 list drillPlan - coc:monitorMetric:list 查询监控指标列表的权限。 list - - coc:faultMode:delete 删除故障模式的权限。 list faultMode - coc:faultMode:update 更新故障模式的权限。 list faultMode - coc:drillTask:create 创建演练任务的权限。 write drillTask - coc:attackTargetRecord:operate 对攻击目标执行记录进行重试的权限。 write attackTargetRecord - coc:drillReport:create 创建演练报告的权限。 write - - coc:drillTask:delete 删除演练任务的权限。 write drillTask - coc:faultMode:create 创建故障模式的权限。 write faultMode - coc:drillRecord:create 启动演练的权限。 write drillRecord - coc:drillPlan:create 创建演练规划的权限。 write drillPlan - coc:drillReport:update 更新演练报告的权限。 write - - coc:application:CreateResourceTopo 创建资源topo的权限。 write application - coc:drillTask:update 修改演练任务的权限。 write drillTask - coc:improvementTask:create 创建改进事项的权限。 write - - coc:drillPlan:update 更新演练规划的权限。 write drillPlan - coc:attackRecord:changeMetricType 修改某个攻击记录下指标类型的权限。 write attackRecord - coc:improvementTask:update 处理改进事项的权限。 write - - coc:attackTask:create 创建攻击任务的权限。 write attackTask - coc:drillPlan:countStatus 查询指定演练规划状态数量的权限。 write drillPlan - coc:faultMode:get 查询指定故障模式详情的权限 read faultMode - coc:contingencyPlan:get 查询应急预案详情的权限。 read contingencyPlan - coc:drillRecord:get 查询演练记录详情的权限。 read drillRecord - coc:drillTask:get 查询演练任务详情的权限。 read drillTask - coc:drillPlan:countDelay 查询指定演练规划延期数量的权限。 read drillPlan - coc:improvementTask:get 查询改进事项详情的权限。 read - - coc:drillReport:get 查询演练报告详情的权限。 read - - coc:drillPlan:get 查询指定演练规划详情的权限 read drillPlan - coc:attackTask:get 查看攻击任务详情的权限。 read attackTask - coc:alarm:listHandleHistories 查询告警处理历史列表的权限。 read - - coc:alarm:list 查询告警列表的权限。 list - - coc:alarm:createAlarmLinkedIncident 创建告警关联事件的权限。 list - - coc:alarm:clear 清除告警的权限。 write - - coc:instance:getAlarms 查看某个资源的告警列表的权限。 write instance - coc:alarm:get 查询告警信息的权限。 read - - coc:alarm:count 查询告警数量的权限。 read - - coc:instance:listAlarms 查询全部资源的告警列表的权限。 read instance - coc:task:list 查询运维事务列表的权限。 list - - coc:task:create 创建运维事务的权限 list - - coc:task:complete 结束运维事务的权限。 write - - coc:task:cancel 取消运维事务的权限。 write - - coc:task:accept 受理运维事务的权限 write - - coc:task:get 查询运维事务详情的权限 write - - coc:task:count 查询运维事务列表的权限。 read - - coc:warroom:get 查询warroom详情的权限。 read - - coc:warroom:listConfigurations 查询warroom公共枚举配置的权限。 list - - coc:warroom:list 查询warroom列表的权限。 write - - coc:warroom:listNotificationTemplates 查询warroom通告模板列表的权限。 list - - coc:warroom:listMeetings 查询warroom会议列表的权限。 list - - coc:warroom:listRoles 查询warroom角色列表的权限。 list - - coc:warroom:listAffectedApplications 查询warroom受影响应用列表的权限。 list - - coc:warroomMeetingRule:list 查询warroom起会规则列表的权限。 list - - coc:warroom:getOperationHistory 查询warroom操作历史的权限。 list - - coc:warroom:addRolePersonnels 在warroom中添加角色用户的权限。 list - - coc:warroom:modifyBasicInformation 修改warroom基本信息的权限。 list - - coc:warroomMeetingRule:delete 删除warroom起会规则的权限。 list - - coc:warroom:addAffectedApplications 在warroom中添加受影响应用的权限。 write - - coc:warroom:addPersonnels 在warroom中添加人员的权限。 write - - coc:warroomMeetingRule:update 更新warroom起会规则的权限。 write - - coc:warroom:removeAffectedApplications 在warroom中移除受影响应用的权限。 write - - coc:warroom:sendNotification 在warroom中更新/发送通告的权限。 write - - coc:warroom:removePersonnels 在warroom中移除人员的权限。 write - - coc:warroom:create 创建warroom的权限。 write - - coc:warroom:sendNotificationBriefing 在warroom中发送通知简报的权限。 write - - coc:warroom:updateAffectedApplications 在warroom中更新受影响应用的权限。 write - - coc:warroomMeetingRule:create 创建warroom起会规则的权限。 write - - coc:slo:list 查询slo列表的权限。 write - - coc:slo:listSli 查询sli列表的权限。 write - - coc:slo:update 修改slo的权限。 write - - coc:slo:delete 删除slo的权限。 list - - coc:slo:updateSli 更新sli列表的权限。 list - - coc:slo:listInterruptRecords 查询中断记录列表的权限。 write - - coc:slo:listInterruptRecordsChangeHistory 创建中断记录修改历史的权限。 write - - coc:slo:updateInterruptRecords 更新中断记录的权限。 write - - coc:slo:createInterruptRecords 创建中断记录的权限。 list - - coc:slaTemplate:list 查询sla模板列表的权限。 list slaTemplate - coc:slaRecord:list 查询sla工单列表的权限。 write - - coc:slo:get 查询slo详情的权限。 write - - coc:slaTemplate:update 修改sla模板的权限。 list slaTemplate - coc:slaTemplate:enable 启用sla模板的权限。 list slaTemplate - coc:slaTemplate:delete 删除sla模板的权限。 list slaTemplate - coc:slaTemplate:disable 禁用sla模板的权限。 write slaTemplate - coc:slaTemplate:create 创建sla模板的权限。 write slaTemplate - coc:slo:create 创建slo的权限。 write - - coc:slaTemplate:get 查询sla模板详情的权限。 write slaTemplate - coc:slaRecord:get 查询sla工单详情的权限。 write - - coc:prrTemplate:list 查看prr模板列表的权限。 write - - coc:prrReview:list 查看prr评审列表的权限。 read - - coc:prrCheckItem:list 查看prr检查项列表的权限。 read - - coc:prrTemplate:create 创建prr模板的权限。 list - - coc:prrReview:create 发起prr评审的权限。 list - - coc:prrReview:addImprovementTask 添加PRR改进事项的权限。 list - - coc:prrReview:update 继续发起prr评审的权限。 write - - coc:prrTemplate:delete 删除prr模板的权限。 write - - coc:prrTemplate:update 修改prr模板的权限。 write - - coc:prrReview:auditResult 录入prr审核结论的权限。 write - - coc:prrReview:delete 撤销prr评审的权限。 write - - coc:prrReview:recordSummary 录入prr评审纪要的权限。 write - - coc:prrTemplate:get 查询prr模板详情的权限。 write - - coc:prrReview:get 查询prr评审详情的权限。 write - - coc:tag:list 查询标签列表的权限。 write - - coc:tag:create 创建标签的权限。 read - - coc:*:listSSHKeypairs 查询SSH秘钥列表的权限。 read - - COC的API通常对应着一个或多个授权项。表2 API与授权项的关系展示了API与授权项的关系，以及该API需要依赖的授权项。 表2 API与授权项的关系 API 对应的授权项 依赖的授权项 GET /v1/patch/instance/compliant coc:instance:scanOSCompliance - GET /v1/patch/instance/compliant/{instance_compliant_id} coc:instance:scanOSCompliance - POST /v1/job/scripts coc:document:create - DELETE /v1/job/scripts/{script_uuid coc:document:delete - POST /v1/job/scripts/{script_uuid} coc:instance:executeDocument - GET /v1/job/scripts/{script_uuid} coc:document:get - GET /v1/job/scripts coc:document:list - PUT /v1/job/scripts/{script_uuid} coc:document:update - GET /v1/job/script/orders/{execute_uuid}/batches/{batch_index} coc:instance:autoBatchInstances - GET /v1/job/script/orders/{execute_uuid} coc:job:get - GET /v1/job/script/orders/{execute_uuid}/statistics coc:job:get - GET /v1/job/script/orders/{execute_uuid}/batches coc:instance:autoBatchInstances - GET /v1/job/script/orders coc:job:list - PUT /v1/job/script/orders/{execute_uuid}/operation coc:job:action - GET /v1/resources coc:instance:countResources - POST https://coc-intl.myhuaweicloud.com/v1/resources/sync coc:instance:syncResources - GET https://coc-intl.myhuaweicloud.com/v1/applications coc:application:countResourceRelations -

条件（Condition） 条件（Condition）是SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，系统将自动获取并鉴权。详情请参见：全局条件键。 服务级条件键（前缀为服务缩写，如config:）仅适用于对应服务的操作，详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个 VPC终端节点 发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：运算符。 Config定义了以下可以在SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 Config支持的服务级条件键 服务级条件键 类型 单值/多值 说明 rms:AuthorizedAccountOrgPath string 单值 根据指定的资源聚合授权账号的Organizations Path过滤访问。 rms:TrackerBucketName String 单值 根据指定的转储目标桶名称进行过滤访问。 rms:TrackerBucketPathPrefix String 单值 根据指定的转储目标桶桶前缀进行过滤访问。

华为云网络安全合规实践 该示例模板中对应的合规规则的说明如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 access-keys-rotated IAM 用户的AccessKey在指定时间内轮换 iam IAM用户的访问密钥未在指定天数内轮转，视为“不合规”. alarm-kms-disable-or-delete-key CES 配置监控KMS禁用或计划删除密钥的事件监控告警 ces，kms CES未配置监控KMS禁用或计划删除密钥的事件监控告警，视为“不合规” alarm-obs-bucket-policy-change CES配置监控OBS桶策略变更的事件监控告警 ces，obs CES未配置监控OBS桶策略变更的事件监控告警，视为“不合规” alarm-vpc-change CES配置监控VPC变更的事件监控告警 ces，vpc CES未配置监控VPC变更的事件监控告警，视为“不合规” css-cluster-https-required CSS 集群启用HTTPS css CSS集群未启用https，视为“不合规” css-cluster-in-vpc CSS集群绑定指定VPC资源 css CSS集群未与指定的VPC资源绑定，视为“不合规” cts-kms-encrypted-check CTS 追踪器通过KMS进行加密 cts CTS追踪器未通过KMS进行加密，视为“不合规” cts-lts-enable CTS追踪器启用事件分析 cts CTS追踪器未启用事件分析，视为“不合规” cts-obs-bucket-track CTS追踪器追踪指定的OBS桶 cts 账号下的所有CTS追踪器未追踪指定的OBS桶，视为“不合规” cts-support-validate-check CTS追踪器打开事件文件校验 cts CTS追踪器未打开事件文件校验，视为“不合规” cts-tracker-exists 创建并启用CTS追踪器 cts 账号未创建CTS追踪器，视为“不合规” ecs-instance-in-vpc ECS资源属于指定虚拟私有云ID ecs，vpc 指定虚拟私有云ID，不属于此VPC的ECS资源，视为“不合规” ecs-instance-no-public-ip ECS资源不能公网访问 ecs ECS资源具有弹性公网IP，视为“不合规” eip-unbound-check 弹性公网IP未进行任何绑定 vpc 弹性公网IP未进行任何绑定，视为“不合规” elb-tls-https-listeners-only ELB监听器配置HTTPS监听协议 elb 负载均衡器的任一监听器未配置HTTPS监听协议，视为“不合规” iam-group-has-users-check IAM用户组添加了IAM用户 iam IAM用户组未添加任意IAM用户，视为“不合规” iam-password-policy IAM用户密码策略符合要求 iam IAM用户密码强度不满足密码强度要求，视为“不合规” iam-root-access-key-check IAM账号存在可使用的访问密钥 iam 账号存在可使用的访问密钥，视为“不合规” iam-user-console-and-api-access-at-creation IAM用户创建时设置AccessKey iam 对于从Console侧访问的IAM用户，其创建时设置访问密钥，视为“不合规” iam-user-group-membership-check IAM用户归属指定用户组 iam IAM用户不属于指定IAM用户组，视为“不合规” iam-user-last-login-check IAM用户在指定时间内有登录行为 iam IAM用户在指定时间范围内无登录行为，视为“不合规” iam-user-mfa-enabled IAM用户开启MFA iam IAM用户未开启MFA认证，视为“不合规” iam-user-single-access-key IAM用户单访问密钥 iam IAM用户拥有多个处于“active”状态的访问密钥，视为“不合规” mfa-enabled-for-iam-console-access Console侧密码登录的IAM用户开启MFA认证 iam 通过Console密码登录的IAM用户未开启MFA认证，视为“不合规” mrs-cluster-kerberos-enabled MRS 集群开启kerberos认证 mrs MRS集群未开启kerberos认证，视为“不合规” mrs-cluster-no-public-ip MRS集群未绑定弹性公网IP mrs MRS集群绑定弹性公网IP，视为“不合规” private-nat-gateway-authorized-vpc-only NAT私网网关绑定指定VPC资源 nat NAT私网网关未与指定的VPC资源绑定，视为“不合规” rds-instance-multi-az-support RDS实例支持多可用区 rds RDS实例仅支持一个可用区，视为“不合规” rds-instance-no-public-ip RDS实例不具有弹性公网IP rds RDS资源具有弹性公网IP，视为“不合规” root-account-mfa-enabled 根账号开启MFA认证 iam 根账号未开启MFA认证，视为“不合规” stopped-ecs-date-diff 关机状态的ECS未进行任意操作的时间检查 ecs 关机状态的ECS未进行任意操作的时间超过了允许的天数，视为“不合规” volume-unused-check 云硬盘闲置检测 evs 云硬盘未挂载给任何云服务器，视为“不合规” volumes-encrypted-check 已挂载的云硬盘开启加密 ecs，evs 已挂载的云硬盘未进行加密，视为“不合规” vpc-acl-unused-check 未与子网关联的网络ACL vpc 检查是否存在未使用的网络ACL,如果网络ACL没有与子网关联，视为“不合规” vpc-flow-logs-enabled VPC启用流日志 vpc 检查是否为VPC启用了流日志，如果该VPC未启用流日志，视为“不合规” 父主题： 合规规则包示例模板