华为云用户手册

请求消息头 附加请求头字段，如指定的URI和HTTP方法所要求的字段。例如定义消息体类型的请求头“Content-Type”，请求鉴权信息等。 如下公共消息头需要添加到请求中。 Content-Type：消息体的类型（格式），必选，默认取值为“application/json”，有其他取值时会在具体接口中专门说明。 X-Auth-Token：用户Token，可选，当使用Token方式认证时，必须填充该字段。用户Token也就是调用获取用户Token接口的响应值，该接口是唯一不需要认证的接口。 API同时支持使用AK/SK认证，AK/SK认证是使用SDK对请求进行签名，签名过程会自动往请求中添加Authorization（签名认证信息）和X-Sdk-Date（请求发送的时间）请求头。 AK/SK认证的详细说明请参见AK/SK认证。 对于获取用户Token接口，由于不需要认证，所以只添加“Content-Type”即可，添加消息头后的请求如下所示。 POST https://iam.cn-north-4.myhuaweicloud.com/v3/auth/tokens Content-Type: application/json

请求消息体 请求消息体通常以结构化格式发出，与请求消息头中Content-type对应，传递除请求消息头之外的内容。若请求消息体中参数支持中文，则中文字符必须为UTF-8编码。 每个接口的请求消息体内容不同，也并不是每个接口都需要有请求消息体（或者说消息体为空），GET、DELETE操作类型的接口就不需要消息体，消息体具体内容需要根据具体接口而定。 对于获取用户Token接口，您可以从接口的请求部分看到所需的请求参数及参数说明。将消息体加入后的请求如下所示，加粗的斜体字段需要根据实际值填写，其中username为用户名，domainname为用户所属的账号名称，********为用户登录密码，xxxxxxxxxxxxxxxxxx为project的名称，如“cn-north-4”，您可以从地区和终端节点获取，对应地区和终端节点页面的“区域”字段的值。 scope参数定义了Token的作用域，下面示例中获取的Token仅能访问project下的资源。您还可以设置Token作用域为某个账号下所有资源或账号的某个project下的资源，详细定义请参见获取用户Token。 POST https://iam.cn-north-4.myhuaweicloud.com/v3/auth/tokens Content-Type: application/json { "auth": { "identity": { "methods": [ "password" ], "password": { "user": { "name": "username", "password": "********", "domain": { "name": "domainname" } } } }, "scope": { "project": { "name": "xxxxxxxxxxxxxxxxxx" } } } } 到这里为止这个请求需要的内容就具备齐全了，您可以使用curl、Postman或直接编写代码等方式发送请求调用API。对于获取用户Token接口，返回的响应消息头中“x-subject-token”就是需要获取的用户Token。有了Token之后，您就可以使用Token认证调用其他API。

请求URI 请求URI由如下部分组成。 {URI-scheme} :// {Endpoint} / {resource-path} ? {query-string} 尽管请求URI包含在请求消息头中，但大多数语言或框架都要求您从请求消息中单独传递它，所以在此单独强调。 URI-scheme： 表示用于传输请求的协议，当前所有API均采用HTTPS协议。 Endpoint： 指定承载REST服务端点的服务器 域名 或IP，不同服务不同区域的Endpoint不同，您可以从地区和终端节点获取。 例如 IAM 服务在“华北-北京四”区域的Endpoint为“iam.cn-north-4.myhuaweicloud.com”。 resource-path： 资源路径，也即API访问路径。从具体API的URI模块获取，例如“获取用户Token”API的resource-path为“/v3/auth/tokens”。 query-string： 查询参数，是可选部分，并不是每个API都有查询参数。查询参数前面需要带一个“？”，形式为“参数名=参数取值”，例如“limit=10”，表示查询不超过10条数据。 例如您需要获取IAM在“华北-北京四”区域的Token，则需使用“华北-北京四”区域的Endpoint（iam.cn-north-4.myhuaweicloud.com），并在获取用户Token的URI部分找到resource-path（/v3/auth/tokens），拼接起来如下所示。 https://iam.cn-north-4.myhuaweicloud.com/v3/auth/tokens 图1 URI示意图 为查看方便，在每个具体API的URI部分，只给出resource-path部分，并将请求方法写在一起。这是因为URI-scheme都是HTTPS，同一个服务的Endpoint在同一个区域也相同，所以简洁起见将这两部分省略。

请求方法 HTTP请求方法（也称为操作或动词），它告诉服务你正在请求什么类型的操作。 GET：请求服务器返回指定资源。 PUT：请求服务器更新指定资源。 POST：请求服务器新增资源或执行特殊操作。 DELETE：请求服务器删除指定资源，如删除对象等。 HEAD：请求服务器资源头部。 PATCH：请求服务器更新资源的部分内容。当资源不存在的时候，PATCH可能会去创建一个新的资源。 在获取用户Token的URI部分，您可以看到其请求方法为“POST”，则其请求为： POST https://iam.cn-north-4.myhuaweicloud.com/v3/auth/tokens

基本概念 账号 用户注册时的账号，账号对其所拥有的资源及云服务具有完全的访问权限，可以重置用户密码、分配用户权限等。由于账号是付费主体，为了确保账号安全，建议您不要直接使用账号进行日常管理工作，而是创建用户并使用创建的用户进行日常管理工作。 用户 由账号在IAM中创建的用户，是云服务的使用人员，具有身份凭证（密码和访问密钥）。 通常在调用API的鉴权过程中，您需要用到账号、用户和密码等信息。 区域（Region） 从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region，通用Region指面向公共租户提供通用云服务的Region；专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 详情请参见区域和可用区。 可用区（AZ，Availability Zone） 一个AZ是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 项目 区域默认对应一个项目，这个项目由系统预置，用来隔离物理区域间的资源（计算资源、存储资源和网络资源），以默认项目为单位进行授权，用户可以访问您账号中该区域的所有资源。如果您希望进行更加精细的权限控制，可以在区域默认的项目中创建子项目，并在子项目中创建资源，然后以子项目为单位进行授权，使得用户仅能访问特定子项目中资源，使得资源的权限控制更加精确。 图1 项目隔离模型 父主题： 使用前必读

配置示例-人机验证 假如防护域名“www.example.com”已接入WAF，您可以参照以下操作步骤验证人机验证防护效果。 添加防护动作为“人机验证”CC防护规则。 图2 添加“人机验证”防护规则 开启CC攻击防护。 图3 开启CC防护 清理浏览器缓存，在浏览器中访问“http://www.example.com/admin/”页面。 当您在60秒内访问页面10次，在第11次访问该页面时，页面弹出验证码。此时，您需要输入验证码才能继续访问。 返回 Web应用防火墙 管理控制台，在左侧导航树中，单击“防护事件”，进入“防护事件”页面，您可以查看该防护事件。

防护效果 假如已添加域名“www.example.com”，且配置了如图1所示“阻断”防护动作的CC防护规则。可参照以下步骤验证防护效果： 清理浏览器缓存，在浏览器中输入防护域名，测试网站域名是否能正常访问。 不能正常访问，参照网站设置章节重新完成域名接入。 能正常访问，执行2。 清理浏览器缓存，在浏览器中访问满足Cookie条件的“http://www.example.com/admin”页面，在60秒内刷新页面10次，正常情况下，在第11次访问该页面时，返回自定义的拦截页面；60秒后刷新目标页面，页面访问正常。 如果您设置了“人机验证”防护动作，当用户访问超过限制后需要输入验证码才能继续访问。 返回Web应用防火墙控制界面，在左侧导航树中，单击“防护事件”，进入“防护事件”页面，查看防护域名拦截日志，您也可以下载防护事件数据。

WAF通信安全授权 如果业务使用WAF独享模式部署方式，直接访问VPC内的数据需要开通相应的安全组规则，而开通相应的安全组规则需要获取用户授权，此授权过程称为通信安全授权。 成功购买WAF独享引擎后，WAF默认开启通信安全授权，即开通如表2所示的安全组规则。 表2 WAF通信安全授权安全组规则 协议端口 类型 源地址 描述 入方向规则 TCP: 22 IPv4 100.64.0.0/10 WAF远程运维 出方向规则 TCP: 9011 IPV4 100.125.0.0/16 WAF事件日志上报 TCP: 9012 IPV4 100.125.0.0/16 WAF事件日志上报 TCP: 9013 IPV4 100.125.0.0/16 WAF事件日志上报 TCP: 9018 IPV4 100.125.0.0/16 WAF策略同步 TCP: 9019 IPV4 100.125.0.0/16 WAF心跳日志上报 TCP: 4505 IPV4 100.125.0.0/16 WAF策略同步 TCP: 4506 IPV4 100.125.0.0/16 WAF策略同步 TCP: 50051 IPV4 100.125.0.0/16 WAF性能日志上报 TCP: 443 IPV4 100.125.0.0/16 WAF策略同步

前提条件 登录WAF控制台的账号必须具有“WAF Administrator”或者“WAF FullAccess”权限。 建议您使用租户账号购买WAF独享模式。如果您需要使用IAM用户购买WAF独享模式，需要为该IAM用户创建 统一身份认证 服务管理权限。 首次购买，需要授予IAM系统角色权限“Security Administrator”。 非首次购买，需要授予IAM系统策略权限“IAM ReadOnlyAccess”或授予自定义权限，具体权限如下： iam:agencies:listAgencies iam:agencies:getAgency iam:permissions:listRolesForAgency iam:permissions:listRolesForAgencyOnProject iam:permissions:listRolesForAgencyOnDomain 具体操作请参见创建用户组并授权使用WAF。 已成功创建 虚拟私有云VPC 。 当前Organizations服务正在公测中，使用组织合规规则功能需先申请Organizations服务公测。

约束条件 如果WAF独享引擎实例与源站不在同一个VPC中，可通过对等连接打通两个VPC之间网络，但受限于网络的不稳定性，建议WAF独享引擎实例与源站在同一个VPC中。 有关支持购买WAF的区域说明，请参见Web应用防火墙支持防护哪些区域？。 原则上，在任何一个区域购买的WAF支持防护所有区域的Web业务。但是为了提高WAF的转发效率，建议您在购买WAF时，根据防护业务的所在区域就近选择购买的WAF区域。 开启“反亲和”后，最多只能创建5个独享引擎实例。

导入新证书 当“对外协议”设置为“HTTPS”时，可以导入新证书。 单击“导入新证书”，打开“导入新证书”对话框。然后输入“证书名称”，并将证书内容和私钥内容粘贴到对应的文本框中，如图5所示。 图5 导入新证书 Web应用防火墙将对私钥进行加密保存，保障证书私钥的安全性。 WAF当前仅支持PEM格式证书。如果证书为非PEM格式，请参考表3在本地将证书转换为PEM格式，再上传。 表3 证书转换命令 格式类型 转换方式 CER/CRT 将“cert.crt”证书文件直接重命名为“cert.pem”。 PFX 提取私钥命令，以“cert.pfx”转换为“key.pem”为例。 openssl pkcs12 -in cert.pfx -nocerts -out key.pem -nodes 提取证书命令，以“cert.pfx”转换为“cert.pem”为例。 openssl pkcs12 -in cert.pfx -nokeys -out cert.pem P7B 证书转换，以“cert.p7b”转换为“cert.cer”为例。 openssl pkcs7 -print_certs -in cert.p7b -out cert.cer 将“cert.cer”证书文件直接重命名为“cert.pem”。 DER 提取私钥命令，以“privatekey.der”转换为“privatekey.pem”为例。 openssl rsa -inform DER -outform PEM -in privatekey.der -out privatekey.pem 提取证书命令，以“cert.cer”转换为“cert.pem”为例。 openssl x509 -inform der -in cert.cer -out cert.pem 执行openssl命令前，请确保本地已安装openssl。 如果本地为Windows操作系统，请进入“命令提示符”对话框后，再执行证书转换命令。 单击“确认”，上传证书。

约束条件 限制项 限制条件 域名限制 WAF支持防护多级别单域名（例如，一级域名example.com，二级域名www.example.com等）和泛域名（例如，*.example.com）。 须知： WAF支持添加“*”的泛域名，域名配置为“*”时，只能防护除80、443端口以外的非标端口。 泛域名添加说明如下： 如果各子域名对应的服务器IP地址相同：输入防护的泛域名。例如：子域名a.example.com，b.example.com和c.example.com对应的服务器IP地址相同，可以直接添加泛域名*.example.com。 如果各子域名对应的服务器IP地址不相同：请将子域名按“单域名”方式逐条添加。 同一防护域名不能重复添加到WAF云模式。 同一个域名对应不同非标准端口视为不同的防护对象，例如www.example.com:8080和www.example.com:8081为两个不同的防护对象，且占用两个域名防护配额。如果您需要防护同一域名的多个端口，您需要将该域名和端口逐一添加到WAF。 请确保域名经过ICP备案，WAF会检查域名备案情况，未备案域名将无法添加。 服务版本限制 入门版不支持添加泛域名。 仅专业版和铂金版支持IPv6防护、HTTP2协议、负载均衡算法。 入门版、标准版“策略配置”只能选择“系统自动生成策略”。 证书限制 WAF当前仅支持PEM格式证书。 目前华为云SCM证书只能推送到“default”企业项目下。如果您使用其他企业项目，则不能选择使用SCM推送的SSL证书。 拥有“SCM Administrator”和“SCM FullAccess”权限的账号才能选择SCM证书。 WebSocket协议限制 WAF支持WebSocket协议，且默认为开启状态。 “对外协议”选择“HTTP”时，默认支持WebSocket “对外协议”选择“HTTPS”时，默认支持WebSockets HTTP2协议限制 HTTP2协议仅适用于客户端到WAF之间的访问，且“对外协议”必须包含HTTPS才支持使用。 “服务器配置”中至少有一条源站地址的“对外协议”配置为HTTPS，开启后才会生效。 当客户端最大支持TLS 1.2时，HTTP2才生效。 账号限制 主账号可以查看子账号添加的域名，但子账号不能查看主账号添加的域名。 其他限制 将网站接入WAF后，网站的文件上传请求限制为10G。

配置示例-静态页面防篡改 假如防护域名“www.example.com”已接入WAF，需要防止“/admin”静态页面被篡改，您可以参照以下操作步骤验证防护效果。 添加一条网页防篡改规则。 图2 添加网页防篡改规则 开启网页防篡改。 图3 网页防篡改配置框 模拟篡改“http://www.example.com/admin”网页。 在浏览器中访问“http://www.example.com/admin”， 等待WAF缓存静态页面。 在浏览器中访问篡改后的页面。 此时，显示的是被篡改前的页面。

工作原理 当WAF接收到正常的访问请求时，直接将缓存的网页返回给Web访问者，加速请求响应。 如果攻击者篡改了网站的静态网页，WAF将缓存的未被篡改的网页返回给Web访问者，保证Web访问者访问的是正确的页面。 WAF将对页面路径下的所有相关资源进行防护。例如，对“www.example.com/index.html”静态页面配置了网页防篡改规则，则WAF将防护“/index.html”的网页以及这个网页关联的相关资源。 即若请求中Referer请求头的值中的URL路径与您配置的防篡改路径一致，如“/index.html” ，则该请求命中的资源（结尾为png、jpg、 jpeg、gif、bmp、css、js的所有资源）也会同时被缓存下来。 同时，WAF支持缓存自定义的Header字段。在网页防篡改页面上方，单击“修改字段”可配置需要通过WAF缓存的Header字段。

应用场景 加速请求的响应 配置网页防篡改规则后，Web应用防火墙将对服务端的静态网页进行缓存。当Web应用防火墙接收到Web访问者的请求时，直接将缓存的网页返回给Web访问者。 网页防篡改 攻击者将服务端的静态网页篡改后，Web应用防火墙将缓存的未被篡改的网页返回给Web访问者，以保证Web访问者访问的是正确的页面。 Web应用防火墙具有如下功能：随机抽取Web访问者的一个请求，将请求的页面与服务端页面进行对比，若发现页面被篡改，您将接收到告警通知（通知方式由您设置），告警通知的设置请参考开启告警通知。

导入新证书 当“对外协议”设置为“HTTPS”时，可以导入新证书。 单击“导入新证书”，打开“导入新证书”对话框。然后输入“证书名称”，并将证书内容和私钥内容粘贴到对应的文本框中。 图4 导入新证书 Web应用防火墙将对私钥进行加密保存，保障证书私钥的安全性。 WAF当前仅支持PEM格式证书。如果证书为非PEM格式，请参考表2在本地将证书转换为PEM格式，再上传。 表2 证书转换命令 格式类型 转换方式 CER/CRT 将“cert.crt”证书文件直接重命名为“cert.pem”。 PFX 提取私钥命令，以“cert.pfx”转换为“key.pem”为例。 openssl pkcs12 -in cert.pfx -nocerts -out key.pem -nodes 提取证书命令，以“cert.pfx”转换为“cert.pem”为例。 openssl pkcs12 -in cert.pfx -nokeys -out cert.pem P7B 证书转换，以“cert.p7b”转换为“cert.cer”为例。 openssl pkcs7 -print_certs -in cert.p7b -out cert.cer 将“cert.cer”证书文件直接重命名为“cert.pem”。 DER 提取私钥命令，以“privatekey.der”转换为“privatekey.pem”为例。 openssl rsa -inform DER -outform PEM -in privatekey.der -out privatekey.pem 提取证书命令，以“cert.cer”转换为“cert.pem”为例。 openssl x509 -inform der -in cert.cer -out cert.pem 执行openssl命令前，请确保本地已安装openssl。 如果本地为Windows操作系统，请进入“命令提示符”对话框后，再执行证书转换命令。 单击“确认”，上传证书。

约束条件 准备以独享模式接入WAF的网站已经使用独享型ELB（Elastic Load Balance）作为负载均衡。有关ELB类型的详细介绍，请参见共享型弹性负载均衡与独享型负载均衡的功能区别。 2023年4月之前的独享引擎版本，不支持与独享ELB网络型配合使用。因此，如果您使用了独享ELB网络型（TCP/UDP）负载均衡，请确认独享WAF实例已升级到最新版本（2023年4月及之后的版本），独享引擎版本详情请参见独享引擎版本迭代。 如果WAF前有使用CDN、云加速等七层代理服务器，“是否已使用代理”务必选择“七层代理”，选择“七层代理”后，WAF将从配置的Header头中字段中获取用户真实访问IP，详见配置攻击惩罚的流量标识。 证书限制： WAF当前仅支持PEM格式证书。 目前华为云SCM证书只能推送到“default”企业项目下。如果您使用其他企业项目，则不能选择使用SCM推送的SSL证书。 拥有“SCM Administrator”和“SCM FullAccess”权限的账号才能选择SCM证书。 “防护对象”配置为“*”时，只能防护除80、443端口以外的非标端口。

约束条件 域名和证书需要一一对应，泛域名只能使用泛域名证书。如果您没有泛域名证书，只有单域名对应的证书，则只能在WAF中按照单域名的方式逐条添加域名进行防护。 WAF当前仅支持PEM格式证书。如果证书为非PEM格式，请参考6将证书转换为PEM格式，再上传。 拥有“SCM Administrator”和“SCM FullAccess”权限的账号才能选择SCM证书。 更新证书前，请确认WAF和更新的证书在同一账号下。

约束条件 标准版专属加密实例仅支持包年/包月付费方式，购买后不能直接删除。 为了保障业务的高可靠性，您需要至少购买两个及以上专属加密实例，一个专属加密实例仅适用于测试，如需购买一个专属加密实例请联系华为 云安全 专家。 购买专属加密实例时，需要通过提交工单的方式设置“UKey接收信息”。 购买成功后，华为云将按照您提供的Ukey收件地址将规划的Ukey邮寄给您，您可以使用Ukey初始化并授权您的业务APP访问专属加密实例。 同时，您需要激活专属加密实例，激活后，系统会为您分配符合您业务需求的专属加密实例。

约束条件 购买专属加密实例时，需要通过提交工单的方式设置“UKey接收信息”。只有拥有“Ticket Administrator”权限的账号才可以提交工单。 购买购买铂金版（国内）专属加密实例成功后，华为云安全专家会联系您。您可以提供Ukey收件地址，华为云会通过您提供的地址将配套的Uke邮寄给您。 铂金版（国内）专属加密实例仅支持包年/包月付费方式，购买后不能直接删除。 为了保障业务的高可靠性，您需要至少购买两个及以上专属加密实例，一个专属加密实例仅适用于测试，如需购买一个专属加密实例请联系华为云安全专家。

ICAgent和UniAgent是同一个插件吗？ ICAgent属于插件，UniAgent不属于插件，二者不是同一个含义。 UniAgent：UniAgent的全称是统一数据采集Agent，主要是作为云服务运维系统的底座，为 AOM 提供指令下发，如脚本下发和执行，用于插件集成（ICAgent、 CES 、telescope等）并维护其状态。UniAgent对外功能主要是为AOM服务提供中间件指标采集和自定义指标采集的能力，为COC和CAST服务提供作业通道。 UniAgent本身不提供数据采集能力，运维数据由不同的插件分工采集。 ICAgent：ICAgent插件主要是作为AOM和LTS的采集端，用于指标采集和日志采集。 图1 ICAgent和UniAgent概述图 父主题： 采集管理

解决方法 检查UniAgent的状态，UniAgent状态有运行中、异常、安装中、安装失败和未安装，若UniAgent为非“运行中”状态，请分别按照以下方法解决： 异常：表示主机安装的UniAgent功能异常，请联系技术支持。 安装中：表示该主机正在安装UniAgent。安装UniAgent预计需要1分钟左右，请耐心等待。 安装失败：表示主机安装UniAgent失败，请重新安装。 未安装：表示主机未安装UniAgent。安装UniAgent，详细操作请参见安装UniAgent。 UniAgent的状态变为“运行中”后，重新在E CS 执行脚本任务。

操作步骤 登录AOM 2.0控制台，在左侧导航栏单击“自动化运维（日落）”，进入“自动化运维”界面。 在左侧导航栏中选择“作业管理”，单击右上角的“新建作业”。 设置“添加全局参数”，创建参数类型为“字符串”的参数 param1， 创建参数类型为“主机列表”的参数param2，并保存。 创建作业步骤，如创建脚本执行步骤时，可在“脚本参数”中通过 ${param1} 引用字符串参数，可在选择“目标实例”时选择“全局参数”，并通过下拉框选择 param2，保存作业步骤即可生效。 作业创建完成后，可以在每次执行时填入 param1 的值，并选择执行目标实例，即确定 param2 的值。

操作步骤 登录控制台，将鼠标移动到右上方的用户名称，并在下拉列表中选择“我的凭证”。 在“我的凭证”页面中选择“访问密钥”页签。 在列表上方单击“新增访问密钥”，输入验证码或密码。 单击“确定”，生成并下载AK/SK。 创建访问密钥成功后，您可以在访问密钥列表中查看访问密钥ID（AK），在下载的.csv文件中查看秘密访问密钥（SK）。 请及时下载保存，弹窗关闭后将无法再次获取该密钥信息，但您可重新创建新的密钥。 当您下载访问密钥后，可以在浏览器页面左下角打开格式为.csv的访问密钥文件，或在浏览器“下载内容”中打开。 为了账号安全性，建议您妥善保管并定期修改访问密钥，修改访问密钥的方法为删除旧访问密钥，然后重新生成。

退订 CodeArts按需计费不支持退订。如果购买了预付费按需套餐，需在到期转后付费按需时，完成关闭服务组合操作。 关闭服务组合 登录软件开发生产线控制台，根据需要在页面左上角选择区域。 在“总览”页面中找到“我的服务”页签，单击开关，根据页面提示完成关闭操作。 关闭单服务 登录软件开发生产线控制台，根据需要在页面左上角选择区域。 在页面左侧导航中单击需要取消的服务，找到“开通记录”页签，单击“关闭服务”，根据页面提示完成关闭操作。

计费模式 历史按需计费模式提供 免费体验 、预付费按需套餐包、后付费按需。 表1 计费模式详情 分类 免费体验 预付费按需套餐包 后付费按需 适用场景 试用体验 试用人数较稳定 使用人数波动较大 付费模式 免费 预付费 后付费 开通购买 无需开通，直接使用 当使用人数为5人及以下时，可购买1元套餐。 当使用人数超过5人时，先购买1元套餐，再叠加购买1000元套餐。 在控制台“总览”页面开通服务组合，服务组合包含需求管理、代码托管、流水线、代码检查、编译构建、部署、测试计划（测试管理部分）、制品仓库。 在控制台中选择某个服务，可以单独开通某一个服务。 例外说明 使用人数最多为5人，并提供少量使用量额度。如果使用人数超出5人，或使用量达到额度上限，将提示开通服务。 套餐内包含固定的使用量额度（额度与购买人数无关）。当实际使用人数、使用量超出额度时，超出部分将采用后付费按需模式。 预付费套餐可按月/按年购买，到期自动转为后付费按需方式。 -

计费示例 示例中的价格仅供参考，实际计算请以购买页中的价格为准。 包月套餐示例 场景一：团队有25人，如何购买套餐较为划算？ 解析： 首先，购买1个1元套餐，包含5人1个月的用量。 然后，购买1000元套餐，每个套餐内包含5人1个月的用量，因此需购买(25-5)/5=4个。 每月总费用为1+1000*4=4001（元）。 场景二：企业购买了1个1元套餐与4个1000元套餐，但实际有28人使用，将会如何计费？ 解析： 购买套餐之后，系统会将使用量（人时）打包提供到租户下，则该企业购买的套餐包中包含的使用量为： 25人x24小时/天×31天=18600人时。28人连续使用时实际可以使用18600人时/28人≈664小时（约28天），此时该包月套餐的人时用量将在月内提前用完。 如果团队继续使用，则系统会按照28人规模进行按需计费。 CodeArts采用阶梯计费，由于团队共28人，人数单价分为两部分：20个人采用第一阶梯计费单价（假设单价为0.278元/人时），超出20的部分采用第二阶梯计费单价（假设单价为0.333元/人时）。 因此按需计费每小时产生的费用约为：0.278*20+0.333*(28-20)=8.224（元），每天产生的费用约为8.224*24=197.376（元）。 场景三：团队中有5人，购买1元套餐，代码仓库中使用量为200G（超出了每月固定额度），应如何计费？ 解析： 团队购买或开通套餐后，代码托管每月固定赠送量为74400G小时。由于代码仓库中使用量为200G，则赠送量将在74400G小时 / 200G = 372小时（15.5天）后耗尽。 如果继续使用200G存储空间，则系统会对这200G存储空间采用按需计费模式。假设存储空间单价为0.000442元/GB/小时，则每小时产生的费用约为：200*0.000442=0.0884（元），每天产生的费用约为0.0884*24=2.1216（元）。 按需计费示例 场景：团队有28人，如果是用按需计费，每月的费用是多少？ 解析： CodeArts采用阶梯计费，由于团队共28人，人数单价分为两部分：20个人采用第一阶梯计费单价（假设单价为0.278元/人时），超出20的部分采用第二阶梯计费单价（假设单价为0.333元/人时）。 因此按需计费每小时产生的费用约为：0.278*20+0.333*(28-20)=8.224（元），每天产生的费用约为8.224*24=197.376（元），每月（假设为31天）产生的费用为：197.376*31=6118.656元。

计费项 CodeArts各服务计费项如下： 表2 计费项 服务 计费项 免费体验额度 预付费套餐使用额度 - 人数（某一Region内，租户中所有项目的项目成员去重数量） 5人 3720人*小时/月（5人*24小时*31天/月） 需求管理 存储空间 500MB 74,400 GB*小时/月（100G*24小时*31天/月），不可结转下月 代码托管 存储空间 500MB 74,400 GB*小时/月（100G*24小时*31天/月），不可结转下月 流水线 - 限时免费 限时免费 代码检查 - 限时免费 限时免费 编译构建 构建时长 600分钟 5,000分钟/月，不可结转下月 部署 - 限时免费 限时免费 测试计划（测试管理部分） 存储空间 500MB 74,400 GB*小时/月（100G*24小时*31天/月），不可结转下月 测试计划（接口测试部分） 测试时长 30分钟接口测试时长 需单独开通 制品仓库 存储空间 500MB 74,400 GB*小时/月（100G*24小时*31天/月），不可结转下月

到期后影响 图1描述了CodeArts套餐中所包含的各服务资源在各个阶段的状态。购买后，在计费周期内各服务可正常使用，此阶段为有效期；套餐到期而未续费时，将陆续进入宽限期和保留期。 图1 CodeArts套餐资源生命周期 到期预警 CodeArts套餐在到期前第15天内，系统将向用户推送到期预警消息。预警消息将通过邮件、短信和站内信的方式通知到账号的创建者。 到期后影响 当您的CodeArts套餐到期未续费，首先会进入宽限期，套餐将显示“已过期”。宽限期内您可以正常访问CodeArts。 如果您在宽限期内仍未续费CodeArts套餐，那么就会进入保留期，套餐状态变为“冻结”，您将无法对处于保留期的包年/包月资源执行任何操作。 华为云根据客户等级定义了不同客户的宽限期和保留期时长。 关于续费的详细介绍请参见续费概述。

客户端特性 登录使用 单击“登录/注册”，填写账户密码进行登录，即可体验客户端功能。 未登录使用 打开客户端，在登录页面单击“稍后再说”即可开始使用。未登录的状态下只支持创建一个环境及使用部分快捷调试功能。 创建环境 创建环境及环境变量请参照环境与环境变量进行设置与使用。 快捷调试 进入项目后，单击搜索框旁，可根据需要选择“新建快捷调试”进行新建快捷调试操作。 导入与导出功能需要登录后才可以继续使用。 前置脚本、后置脚本功能需要登录后才可继续使用。 切换登录状态 单击以下功能菜单可弹出登录页面，进行登录后可体验产品的全部功能。