华为云用户手册

在线工具加解密 加密数据 单击目标自定义密钥的名称，进入密钥信息页面后，单击“工具”页签。 在“加密”文本框中输入待加密的数据，如图1所示。 图1 加密数据 单击“执行”，右侧文本框显示加密后的密文数据。 加密数据时，使用当前指定的密钥加密数据。 用户可单击“清除”，清除已输入的数据。 用户可单击“复制到剪切板”拷贝加密后的密文数据，并保存到本地文件中。 解密数据 解密数据时，可单击任意“启用”状态的非默认密钥别名，进入该密钥的在线工具页面。 单击“解密”，在左侧文本框中输入待解密的密文数据，如图2所示。 在线工具自动识别并使用数据被加密时使用的密钥解密数据。 如果该密钥已被删除，会导致解密失败。 图2 解密数据 单击“执行”，右侧文本框中显示解密后的明文数据。 用户可直接单击“复制到剪切板”拷贝解密后的明文数据，并保存到本地文件中。 在控制台输入的明文，会进行base64编码得到加密后的字符。 如果直接调用API接口进行解密，得到的解密结果是进行了base64编码的内容。需再进行一次base64解码才能得到与控制台输入明文一致的内容。

解决方案 用户需要在KMS中创建一个用户主密钥。 用户计算文件的摘要，调用KMS的“sign”接口对摘要进行签名。用户得到摘要的签名结果。将摘要签名结果和密钥ID与文件一同传输或者存储。签名流程如图 签名流程所示。 图1 签名流程 用户需要使用文件时，先进行完整性校验，确保文件未被篡改。 用户重新计算文件的摘要，连同签名值调用KMS的“verify”接口对摘要进行验签。用户得到验签结果。如果能正常验签，则表明文件未被篡改。验签流程如图 验签流程所示。 图2 验签流程

应用原理 通过 统一身份认证 服务（Identity and Access Management， IAM ）对弹性云服务器（Elastic Cloud Server，E CS ）的委托获取临时访问密钥来保护AK&SK。 访问凭证按照时效性可分为永久凭证和临时凭证，相较于永久性访问凭证，例如用户名和密码，临时访问密钥因为有效期短且刷新频率高，所以安全性更高。因此，您可以为ECS实例授予IAM委托，使ECS实例内的应用程序可以使用临时AK&SK+SecurityToken访问C SMS ，不需要保存临时访问密钥，每次需要时动态获取，也可以缓存在内存里定时更新。

文件系统加密的密钥 SFS加密文件系统使用KMS提供的密钥，包括默认主密钥和用户主密钥 (CMK，Customer Master Key)： 默认主密钥：系统会为您创建默认主密钥，名称为“sfs/default”。 默认主密钥不支持禁用、计划删除等操作。 用户主密钥：即您已有的密钥或者新创建密钥，具体请参见创建密钥。 如果加密文件系统使用的用户主密钥被执行禁用或计划删除操作，当操作生效后，使用该用户主密钥加密的文件系统仅可以在一段时间内（默认为60s）正常使用。请谨慎操作。 SFS Turbo文件系统无默认主密钥，可以使用您已有的密钥或者创建新的密钥，具体请参见创建密钥。

原理介绍 华为云服务基于信封加密技术，通过调用KMS接口来加密云服务资源。由用户管理自己的用户主密钥，华为云服务在拥有用户授权的情况下，使用用户指定的用户主密钥对数据进行加密。 图1 华为云服务使用KMS加密原理 加密流程说明如下： 用户需要在KMS中创建一个用户主密钥。 华为云服务调用KMS的“create-datakey”接口创建 数据加密 密钥。得到一个明文的数据加密密钥和一个密文的数据加密密钥。 密文的数据加密密钥是由指定的用户主密钥加密明文的数据加密密钥生成的。 华为云服务使用明文的数据加密密钥来加密明文文件，得到密文文件。 华为云服务将密文的数据加密密钥和密文文件一同存储到持久化存储设备或服务中。 用户通过华为云服务下载数据时，华为云服务通过KMS指定的用户主密钥对密文的数据加密密钥进行解密，并使用解密得到的明文的数据加密密钥来解密密文数据，然后将解密后的明文数据提供给用户下载。

简介 当您由于业务需求需要对存储在文件系统的数据进行加密时，弹性文件服务为您提供加密功能，可以对新创建的文件系统进行加密。 加密文件系统使用的是密钥管理服务（KMS）提供的密钥，无需您自行构建和维护密钥管理基础设施，安全便捷。当用户希望使用自己的密钥材料时，可通过KMS管理控制台的导入密钥功能创建密钥材料为空的用户主密钥，并将自己的密钥材料导入该用户主密钥中。具体操作请参见导入密钥材料。 当您需要使用文件系统加密功能时，创建SFS文件系统需要授权SFS访问KMS。如果创建SFS Turbo文件系统，则不需要授权。

哪些用户有权限使用文件系统加密 安全管理员（拥有“Security Administrator”权限）可以直接授权SFS访问KMS，使用加密功能。 普通用户（没有“Security Administrator”权限）使用加密功能时，需要联系系统管理员获取安全管理员权限。 同一个区域内只要安全管理员成功授权SFS访问KMS，则该区域内的普通用户都可以直接使用加密功能。 如果当前区域内存在多个项目，则每个项目下都需要安全管理员执行授权操作。

应用场景 KMS可以对OBS桶中的对象进行全量加密或者部分加密，在OBS服务使用KMS加密过程中，KMS提供的信封加密能力使数据加解密操作无需通过网络传输大量数据即可完成。信封加密方式有效保障了数据传输的加密性、数据解密的效率和便捷性，在对象上传和下载过程中，保证信息安全。 全量加密：指对OBS桶内上传的所有对象进行加密。 此时，您只需要对OBS桶加密，桶中上传的对象会默认继承OBS桶的加密配置。具体操作请参见加密OBS桶：创建OBS桶时开启服务端加密功能或者加密OBS桶：为已创建的OBS桶开启加密。 开启OBS桶加密后，上传对象时默认开启“继承桶加密配置”加密方式，此时桶中的对象和OBS桶采用相同的加密方式；如需修改桶中对象的加密方式，需要在上传对象时手动关闭“继承桶加密配置”开关，然后修改。具体操作请参见上传对象至OBS桶。 部分加密：指对OBS桶内上传的部分对象进行加密。 此时不需要对OBS桶进行加密，直接上传对象到OBS桶并进行加密配置。具体操作请参见上传对象至OBS桶。 图1 加密OBS

上传对象至OBS桶 在OBS管理控制台桶列表中，单击待操作的桶，进入“概览”页面。 在左侧导航栏，单击“对象”。 单击“上传对象”，系统弹出“上传对象”对话框。 单击“添加文件”，选择待上传的文件后，单击“打开”。 在服务端加密行，选择目标加密方式，选择完成后，在下方的选择框中选择默认密钥或者自定义密钥，如图4所示。 图4 加密上传对象（已开启OBS桶加密） 开启OBS桶加密后，上传对象时默认开启继承桶的加密配置。 如果需要修改加密配置，需要手动关闭“继承桶的加密配置”选项，根据使用需求选择SSE-KMS或SSE-OBS加密方式。 图5 加密上传对象（未开启OBS桶加密） 未开启OBS桶加密在上传对象时需要手动开启服务端加密。 对象上传成功后，可在对象列表中查看对象的加密状态。 对象的加密状态不可以修改。 使用中的密钥不可以删除，如果删除将导致加密对象不能下载。

约束条件 当前登录用户已通过统一身份认证服务添加华为云关系型数据库所在区域的KMS Administrator权限。权限添加方法请参见《统一身份认证服务用户指南》的“如何管理用户组并授权？”章节。 如果用户需要使用自定义密钥加密上传对象，则需要先通过数据加密服务创建密钥。使用数据加密服务创建密钥详情请参见创建密钥。 实例创建成功后，不可修改磁盘加密状态，且无法更改密钥。存放在 对象存储服务 上的备份数据不会被加密。 华为云关系型数据库实例创建成功后，请勿禁用或删除正在使用的密钥，否则会导致服务不可用，数据无法恢复。 选择磁盘加密的实例，新扩容的磁盘空间依然会使用原加密密钥进行加密。

使用KMS加密DWS数据库（控制台） 在DWS管理控制台，单击“购买 数据仓库 集群”。 打开“加密数据库”开关。 在“高级配置”中选择“自定义”，出现“加密数据库”开关。 图1 加密数据库 表示打开“加密数据库”开关，启用数据库加密。每个区域的每个项目首次启用数据库加密时，系统会弹出一个“创建委托”的对话框，单击“是”创建委托以授权DWS访问KMS，如果单击“否”将不会启用加密功能。然后在“密钥名称”的下拉列表中选择已创建的密钥。如果没有密钥，可以登录KMS服务进行创建，详细操作请参见《数据加密服务用户指南》。 表示关闭“加密数据库”开关，不启用数据库加密。 创建委托。 打开“加密数据库”开关，如果当前未授权DWS访问KMS，则会弹出“创建委托”对话框，单击“是”，授权DWS访问KMS，当授权成功后，DWS可以获取KMS密钥用来加解密云硬盘。 当您需要使用数据库加密功能时，需要授权DWS访问KMS。如果您有授权资格，则可直接授权。如果权限不足，需先联系拥有“Security Administrator”权限的用户授权，然后再重新操作。 加密设置。 打开“加密数据库”开关，如果已经授权，会弹出“加密设置”对话框。 图2 加密设置 密钥名称是密钥的标识，您可以通过“密钥名称”下拉框选择需要使用的密钥。 根据界面提示，配置其他基本信息。详细参数说明请参见创建集群。

哪些用户有权限使用DWS数据库加密 安全管理员（拥有“Security Administrator”权限）可以直接授权DWS访问KMS，使用加密功能。 普通用户（没有“Security Administrator”权限）使用加密功能时，根据该普通用户是否为当前区域或者项目内第一个使用加密特性的用户，作如下区分： 是，即该普通用户是当前区域或者项目内第一个使用加密功能的，需先联系安全管理员进行授权，然后再使用加密功能。 否，即区域或者项目内的其他用户已经使用过加密功能，该普通用户可以直接使用加密功能。 对于一个租户而言，同一个区域内只要安全管理员成功授权DWS访问KMS，则该区域内的普通用户都可以直接使用加密功能。 如果当前区域内存在多个项目，则每个项目下都需要安全管理员执行授权操作。

约束条件 已通过统一身份认证服务添加华为云文档数据库服务所在区域的KMS Administrator权限。权限添加方法请参见《统一身份认证服务用户指南》的“如何管理用户组并授权？”章节。 如果用户需要使用自定义密钥加密上传对象，则需要先通过数据加密服务创建密钥。使用数据加密服务创建密钥详情请参见创建密钥。 实例创建成功后，不可修改磁盘加密状态，且无法更改密钥。存放在对象存储服务上的备份数据不会被加密。 华为云文档数据库服务实例创建成功后，请勿禁用或删除正在使用的密钥，否则会导致数据库不可用，数据无法恢复。 选择磁盘加密的实例，新扩容的磁盘空间依然会使用原加密密钥进行加密。

简介 在DWS中，您可以为集群启用数据库加密，以保护静态数据。当您为集群启用加密时，该集群及其快照的数据都会得到加密处理。您可以在创建集群时启用加密。加密是集群的一项可选且不可变的设置。要从未加密的集群更改为加密集群(或反之)，必须从现有集群导出数据，然后在已启用数据库加密的新集群中重新导入这些数据。 如果希望加密，可以在集群创建时启用加密。加密是DWS集群中的一项可选设置，建议您为包含敏感数据的集群启用该设置。

使用KMS加密DWS数据库流程 当选择KMS对DWS进行密钥管理时，加密密钥层次结构有三层。按层次结构顺序排列，这些密钥为主密钥（CMK）、集群加密密钥 (CEK)、数据库加密密钥 (DEK)。 主密钥用于给CEK加密，保存在KMS中。 CEK用于加密DEK，CEK明文保存在DWS集群内存中，密文保存在DWS服务中。 DEK用于加密数据库中的数据，DEK明文保存在DWS集群内存中，密文保存在DWS服务中。 密钥使用流程如下： 用户选择主密钥。 DWS随机生成CEK和DEK明文。 KMS使用用户所选的主密钥加密CEK明文并将加密后的CEK密文导入到DWS服务中。 DWS使用CEK明文加密DEK明文并将加密后的DEK密文保存到DWS服务中。 DWS将DEK明文传递到集群中并加载到集群内存中。 当该集群重启时，集群会自动通过API向DWS请求DEK明文，DWS将CEK、DEK密文加载到集群内存中，再调用KMS使用主密钥CMK来解密CEK，并加载到集群内存中，最后用CEK明文解密DEK，并加载到集群内存中，返回给集群。

云硬盘加密的密钥 加密云硬盘使用KMS提供的密钥，包括默认主密钥和用户主密钥 (CMK，Customer Master Key)： 默认主密钥：由EVS通过KMS自动创建的密钥，名称为“evs/default”。 默认主密钥不支持禁用、计划删除等操作。 用户主密钥：由用户自己创建的密钥，您可以选择已有的密钥或者新创建密钥，具体请参见创建密钥。 使用用户主密钥加密云硬盘，如果对用户主密钥执行禁用、计划删除等操作，将会导致云硬盘不可读写，甚至数据永远无法恢复，具体请参见表1。 表1 用户主密钥不可用对加密云硬盘的影响 用户主密钥的状态 对加密云硬盘的影响 恢复方法 禁用 如果加密云硬盘此时挂载至云服务器，则该云硬盘仍可以正常使用，但不保证一直可以正常读写。 如果卸载加密云硬盘后，再重新挂载至云服务器将会失败。 启用用户主密钥，具体请参见启用密钥。 计划删除 取消删除用户主密钥，具体请参见取消删除密钥。 已经被删除 云硬盘数据永远无法恢复。 用户主密钥为付费使用，如果为按需计费的密钥，请及时充值确保账户余额充足，如果为包年/包月的密钥，请及时续费，以避免加密云硬盘不可读写导致业务中断，甚至数据永远无法恢复。

使用KMS加密云硬盘（控制台） 登录EVS管理控制台。 单击页面右上角“购买磁盘”，进入“购买磁盘”页面。 配置“加密”参数。 展开“更多”，出现“加密”勾选框。 图1 展开更多 创建委托。 勾选“加密”，如果当前未授权EVS访问KMS，则会弹出“创建委托”对话框，单击“是”，授权EVS访问KMS，当授权成功后，EVS可以获取KMS密钥用来加解密云硬盘。 当您需要使用云硬盘加密功能时，需要授权EVS访问KMS。如果您有授权资格，则可直接授权。如果权限不足，需先联系拥有“Security Administrator”权限的用户授权，然后再重新操作。 设置加密参数。 勾选“加密”，如果已经授权，系统弹出“加密设置”对话框。 图2 加密设置 密钥名称是密钥的标识，您可以通过“密钥名称”下拉框选择需要使用的密钥。您可以选择使用的密钥如下： 默认主密钥：成功授权EVS访问KMS，系统会创建默认主密钥“evs/default”。 用户主密钥：即您已有的密钥或者新创建密钥，具体请参见创建密钥。 根据界面提示，配置云硬盘的其他基本信息。详细参数说明请参见购买云硬盘。

简介 当您由于业务需求需要对存储在云硬盘的数据进行加密时，EVS为您提供加密功能，可以对新创建的云硬盘进行加密。加密云硬盘使用的密钥由数据加密服务（DEW，Data Encryption Workshop）中的密钥管理（KMS，Key Management Service）功能提供，无需您自行构建和维护密钥管理基础设施，安全便捷。 磁盘加密针对数据盘加密。系统盘的加密依赖于镜像，具体请参见IMS服务端加密。

用户权限说明 安全管理员（拥有“Security Administrator”权限）可以直接授权EVS访问KMS，使用加密功能。 普通用户（没有“Security Administrator”权限）使用加密功能时，根据该普通用户是否为当前区域或者项目内第一个使用加密特性的用户，作如下区分： 是，即该普通用户是当前区域或者项目内第一个使用加密功能的，需先联系安全管理员进行授权，然后再使用加密功能。 否，即区域或者项目内的其他用户已经使用过加密功能，该普通用户可以直接使用加密功能。 对于一个租户而言，同一个区域内只要安全管理员成功授权EVS访问KMS，则该区域内的普通用户都可以直接使用加密功能。 如果当前区域内存在多个项目，则每个项目下都需要安全管理员执行授权操作。

使用流程 图1 轮转密码流程 流程说明如下： 定时触发器到期后，会发布定时触发事件。 函数工作流 接收到事件后，会生成新的随机密码，替换凭据模板内容中的占位符，随后将替换后的内容作为新版本存入凭据中。 应用程序定期通过调用API/SDK获取最新凭据版本。 凭据管理服务检索并解密凭据密文，将凭据中保存的信息通过凭据管理API安全地返回到应用程序中。 应用程序获取到解密后的凭据明文信息，使用新密码更新目标对象（数据库、服务器等），使新密码生效，后续使用新密码对目标对象进行访问。

组件说明 表1 dew-provider组件 容器组件 说明 资源类型 dew-provider dew-provider负责与凭据管理服务交互，从凭据管理服务中获取指定的凭据，并挂载到业务Pod内。 DaemonSet secrets-store-csi-driver secrets-store-csi-driver负责维护两个CRD资源，即SecretProviderClass（以下简称为SPC）和SecretProviderClassPodStatus（以下简称为spcPodStatus），其中SPC用于描述用户感兴趣的凭据信息（比如指定凭据的版本、凭据的名称等），由用户创建，并在业务Pod中进行引用；spcPodStatus用于跟踪Pod与凭据的绑定关系，由csi-driver自动创建，用户无需关心。一个Pod对应一个spcPodStatus，当Pod正常启动后，会生成一个与之对应的spcPodStatus；当Pod生命周期结束时，相应的spcPodStatus也会被删除。 DaemonSet

使用控制台安装插件 在CCE服务控制台，单击集群名称进入对应集群，单击左侧导航栏的“插件中心”，在右侧找到dew-provider插件，单击“安装”。 在安装插件页面，在参数配置栏进行参数配置。参数配置说明如表 参数配置表所示。 表2 参数配置表 参数 参数说明 rotation_poll_interval 轮转时间间隔。单位：分钟，即m（注意不是min）。 轮转时间间隔表示向云凭据管理服务发起请求并获取最新的凭据的周期，合理的时间间隔范围为[1m, 1440m]，默认值为2m。 单击“安装”。待插件安装完成后，选择对应的集群，然后单击左侧导航栏的“插件中心”，可在“已安装插件”页签中查看相应的插件。 插件成功使用需使用已在数据加密服务中创建好的凭据，否则挂载失败会导致Pod无法运行。具体创建凭据操作请参见创建通用凭据。 插件安装完成后即可进行使用，具体操作步骤参见CCE密钥管理插件使用说明。

查看应用网关信息 登录微服务引擎控制台。 在左侧导航栏选择“应用网关”。 在实例列表页面，可查看实例“运行状态”。 实例的状态包括： 创建中 可用 不可用 配置中 删除中 升级中 变更中 创建失败 删除失败 升级失败 变更失败 未知（即实例处于未知状态） 单击待查看的实例名称。 只有实例运行状态为“可用”才可单击实例名称进入基础信息页面。 查看如表1所示的应用网关信息。 表1 网关详细信息说明 信息类型 参数 说明 基础信息 名称 创建应用网关时输入的实例名称，单击可复制。单击可以修改网关名称，名称以字母开头，由字母、数字和-组成，且不能以-结尾，长度为3~24个字符。 ID 引擎的ID，单击可复制。 企业项目 创建应用网关时选择的企业项目。 计费方式 创建应用网关时选择的计费方式。 版本 创建的应用网关的版本号。 容量规格 创建应用网关时选择的规格，当网关为小规格时，可单击右侧的“扩容”对网关规格扩容，具体操作请参考扩容应用网关。 节点数 创建应用网关时选择的节点数量。 运行状态 实例的状态。 创建时间 创建应用网关的时间。 可用区 创建应用网关的选择的可用区。 连接信息 内网地址 当创建的负载均衡器开通了IPv4私网，则会显示内网地址。 公网地址 当创建的负载均衡器开通了IPv4公网，则会显示公网地址。 虚拟私有云 创建应用网关时选择的虚拟私有云。 子网 创建应用网关时选择的子网。 负载均衡器名称 创建应用网关时选择的负载均衡器名称，可单击名称进入负载均衡器详细信息页面。 负载均衡器ID 创建应用网关时选择的负载均衡器ID，单击可复制。 访问端口 应用网关的访问端口，默认是支持80和443，也可自定义端口，具体操作请参考编辑访问端口。 负载均衡器 负载均衡器名称/ID 创建应用网关时选择的负载均衡器，可单击负载均衡器ID后的复制。 内网地址 当创建的负载均衡器开通了IPv4私网，则在“内网地址”列显示内网地址。 公网地址 当创建的负载均衡器开通了IPv4公网，则在“公网地址”列显示公网地址。 操作 可对创建应用网关时选择的ELB进行解绑或绑定多个ELB操作。具体操作请参考绑定/解绑负载均衡器。 更多设置 维护时间窗 运维操作时间。单击参数后的可以修改时间窗。具体操作请参考修改应用网关维护时间窗。 标签 显示为应用网关添加的标签，也可单击“标签管理”，根据需要对标签进行相应操作，具体操作可参见管理标签。

权限控制概述 同一个Nacos引擎可能会有多个用户共同使用，开启了“安全认证”的Nacos引擎专享版，通过微服务控制台提供的基于RBAC（Role-Based Access Control，基于角色的访问控制）的权限控制功能，使不同的用户根据其责任和权限，具备不同的引擎访问和操作权限。 开启了“安全认证”的Nacos引擎，支持微服务正常接入。 只有引擎版本为2.1.0.1及以上版本支持此功能，若版本低于2.1.0.1，可参考升级Nacos引擎版本升级到最新版本。 当Nacos引擎版本为2.1.0升级到2.1.0.1及以上版本时，需要先开启安全认证初始化密钥信息，才可使用权限控制功能。 Eureka兼容的实例不支持安全认证。 父主题： 权限控制

配置Lua插件 当Lua插件创建完成后，可以配置该插件的启用状态及生效力度。 登录微服务引擎控制台。 在左侧导航栏选择“应用网关 ”。 单击待操作的实例名称。 在左侧导航栏选择“插件管理”。 单击待配置的Lua插件右下角的“配置”，在“配置Lua插件”弹出框中可配置其启用状态和生效力度。 启用状态：对于未启用的插件可单击启用Lua插件；对于已启用的插件，也可单击禁用Lua插件。 生效力度：可设置插件作用范围，包括“网关全局”和“路由”，当设置作用范围为“路由”时，需要在下拉框中选中某路由。 生效力度为“网关全局”的Lua插件仅支持配置一个。 单击“确定”，插件配置完成。

创建Lua插件 登录微服务引擎控制台。 在左侧导航栏选择“应用网关 ”。 单击待操作的实例名称。 在左侧导航栏选择“插件管理”。 单击“创建Lua插件”，在弹出框中输入如下参数。 表1 创建Lua插件参数 参数名称 描述 插件名称 自定义输入插件名称。 插件描述 自定义输入插件描述信息。 插件脚本 输入插件脚本，通过后台转为转为envoyfilter下发。具体示例请参考Lua插件样例。 单击“确定”，插件创建完成。创建完成后，默认该插件是“未启用”状态，可通过配置Lua插件启用Lua插件和配置其生效力度，也可根据需要在插件右上角单击“编辑”或“删除”对Lua插件进行编辑或删除。

Lua插件样例 以下代码将在http请求中加入头部x-lua-filter-request，在http响应中添加头部x-lua-filter-response。 function envoy_on_request(request_handle) request_handle:headers():add("x-lua-filter-request", "from lua filter on request")endfunction envoy_on_response(response_handle) response_handle:headers():add("x-lua-filter-response", "from lua filter on response")end

创建容灾切流规则 登录微服务引擎控制台。 在左侧导航栏选择“应用网关 ”。 单击待操作的实例名称。 在左侧导航栏选择“容灾切换”。 单击“创建容灾切流规则”，在弹出框中输入如下参数。 表1 容灾切流规则 类型 参数名称 参数描述 基本信息 容灾切流规则名称 自定义创建的切流规则名称。 描述 可自定义添加描述信息。 生效规则 生效粒度 当前支持设置的规则生效粒度为网关全局、 域名 和路由。 *生效目标 可在下拉列表中选择域名，设置规则作用的目标域名。 可在下拉列表中选择路由，设置规则作用的目标路由。 说明： 当“生效粒度”选择“域名”或“路由”时，才支持此参数设置。 目标服务 在下拉列表中选择规则生效的服务。 单击“保存并发布”，该切流规则创建完成，且为启用状态。 当单击“保存”后，该切流规则创建完成，且为未启用状态。 若规则未启用，可单击待启用的切流规则“启用状态”列的使该规则生效。 若您想禁用某切流规则，可单击待禁用的切流规则“启用状态”列的禁用该规则。 若您需要修改切流规则，可单击待编辑的切流规则“操作”列的“编辑”修改限流规则。 若某切流规则已不再适用，您可单击待删除的切流规则“操作”列的“删除”将该限流规则删除。

查看访问日志 当您配置了访问日志，可以查看访问日志的详细信息。 在 云日志 服务管理控制台，单击“日志管理”。 在日志组列表中，单击6中创建的日志组名称前对应的。 在日志流列表中，单击6中创建的日志流名称，进入日志详情页面。 可在页面右上角选择时间范围筛选符合时间要求的日志信息，具体操作请参见日志搜索。 日志字段说明如表1所示。 表1 日志字段 字段名称 描述 取值类型 取值示例 authority 请求报文中的Host Header。 string 100.19.10.178 bytes_received 请求的Body大小（不包含Header）。 long 0 bytes_sent 响应的Body大小（不包含Header）。 long 1127 downstream_local_address 网关Pod地址。 string 100.19.10.193:80 downstream_remote_address 连接到网关的Client端地址。 string 100.19.10.120:44944 duration 请求整体耗时。单位：ms。 long 7 method HTTP方法。 string GET path HTTP请求中的Path。 string / protocol HTTP的协议版本。 string HTTP/1.1 request_id 网关会为每次请求产生一个ID，并放在Header的x-request-id中，后端可以根据这个字段记录并进行排查。 string afbd1211-081d-4403-9b5d-7ccb9e632a4b requested_server_name SSL连接时使用的Server Name。 string - response_code HTTP响应的状态码。 long 200 response_flags 响应失败的原因。response_flags不同取值代表的详细信息见表2。 string UAEX route_name 路由名。 string http-mr6l-tom start_time 请求开始时间。格式：UTC。 string 2023-11-09T07:57:57.770Z trace_id Trace ID。 string 7db5d5c73ccd6517e419448a99174099 upstream_cluster 上游集群。 string outbound|8080||tom.default.svc.cluster.local upstream_host 上游IP。 string 172.18.0.130:8080 upstream_local_address 本地连接上游的地址。 string 100.19.10.193:51046 upstream_service_time 上游服务处理请求的耗时（毫秒），包括网关访问上游服务的网络耗时和上游服务自身处理耗时两部分。 long 4 upstream_transport_failure_reason 上游链接失败的原因。 string - user_agent HTTP Header中的UserAgent。 string curl/7.69.1 x_forwarded_for HTTP Header中的x-forwarded-for，通常用来表示HTTP请求端真实IP。 string 100.19.10.120 表2 response_flags信息 response_flags 详细信息 UH 上游集群中没有健康运行的上游主机。 UF 上游连接失败。 UO 上游溢出（断路）。 NR 没有为给定请求配置路由，或者下游连接没有匹配的过滤器链。 URX 由于已达到上游重试限制或最大连接尝试次数导致请求被拒绝。 NC 未找到上游集群。 DT 当请求或连接超过max_connection_duration或max_downstream_connection_duration时。 DC 下游连接终止。 LH 本地服务未通过健康检查请求。 UT 上游请求超时。 LR 连接本地重置。 UR 上游远程重置。 UC 上游连接终止。 DI 请求处理延迟了一段时间，该时间是由故障注入指定。 FI 请求被故障注入指定了响应代码终止。 RL 除429响应代码外，HTTP速率限制过滤器还对请求进行了本地速率限制。 UAEX 请求被外部授权服务拒绝。 RLSE 因为速率限制服务中存在错误，请求被拒绝。 IH 因为除了400响应代码之外，还在严格检查的标头设置了无效值，导致请求被拒绝。 SI 除了408或504响应代码之外，Stream空闲超时。 DPE 下游请求出现HTTP协议错误。 UPE 上游响应包含HTTP协议错误。 UMSDR 上游请求已达到最大流持续时间。 RFCF 响应来自Envoy缓存过滤器。 NFCF 由于未在允许的预热截止时间内收到过滤器配置，因此请求终止。 OM 超负荷管理器已终止请求。 DF 由于DNS解析失败，请求终止。 DO 除了503响应代码外，由于drop_overloads请求被终止。 如果您希望将日志转储进行二次分析，您可设置日志转储操作，具体操作请参考日志转储。

系统管理概述 同一个ServiceComb引擎可能会有多个用户共同使用，而不同的用户根据其责任和权限，需要具备不同的ServiceComb引擎访问和操作权限。 开启了“安全认证”的ServiceComb引擎专享版，通过微服务控制台提供了基于RBAC（Role-Based Access Control，基于角色的访问控制）的系统管理功能。 开启了“安全认证”的ServiceComb引擎专享版，支持Spring Cloud、Java Chassis微服务框架正常接入。 基于RBAC的系统管理功能与IAM权限管理无关，仅是CSE内部的权限管理机制。 如果您通过微服务引擎控制台操作ServiceComb引擎，必须同时具备IAM和RBAC的操作权限，且IAM权限优先级要高于RBAC权限。 如果您通过API接口或者微服务框架操作ServiceComb引擎，则只需具备RBAC相关权限。 您可以使用关联了admin角色权限的账号创建新账号，根据实际业务需求把合适的角色同账号关联。使用该账号的用户则具有对该ServiceComb引擎的相应的访问和操作权限。 创建开启了“安全认证”的ServiceComb引擎专享版时，系统自动创建1个关联了admin角色权限的root账号。不能编辑、删除root账号。 您可以使用创建该ServiceComb引擎的root账号或者该ServiceComb引擎下关联了admin角色权限的账号创建新账号。创建和管理账号，请参考账号管理。 您可以使用关联了admin角色权限的账号创建自定义角色，根据业务需求把合适的ServiceComb引擎访问和操作权限赋予该角色。 系统默认内置两种角色：管理员（admin）、开发者（developer）。不能编辑、删除内置角色。 您可以使用创建该ServiceComb引擎的root账号或者该ServiceComb引擎下关联了admin角色权限的账号创建自定义角色。创建和管理角色，请参考角色管理。 角色权限说明，请参见表1。 表1 角色权限说明 角色 权限说明 admin 具有该ServiceComb引擎下所有微服务、账号和角色的所有操作权限。 developer 具有该ServiceComb引擎下所有微服务的所有操作权限。 自定义角色 根据实际业务需求创建角色，给角色分配相应微服务、配置的操作权限。 父主题： 系统管理