华为云用户手册

网页防篡改原理 表1 网页防篡改原理 防护类型 原理说明 静态网页防护 锁定本地文件目录 驱动级锁定Web文件目录下的文件，禁止攻击者修改，网站管理员可通过特权进程进行更新网站内容。 主动备份恢复 若检测到防护目录下的文件被篡改时，将立即使用本地主机备份文件自动恢复被非法篡改的文件。 远端备份恢复 若本地主机上的文件目录和备份目录失效，还可通过远端备份服务恢复被篡改的网页。 动态网页防护 为Tomcat提供动态网页防护。 基于RASP过滤恶意行为 采用华为自研RASP检测应用程序行为，有效阻断攻击者通过应用程序篡改网页内容的行为。 网盘文件访问控制 精细化定义网盘文件中的文件访问权限，包括新增，修改，查询等，确保防篡改同时不影响网站内容发布。

关键文件变更监控路径 类型 Linux bin /bin/ls /bin/ps /bin/bash /bin/login usr /usr/bin/ls /usr/bin/ps /usr/bin/bash /usr/bin/login /usr/bin/passwd /usr/bin/top /usr/bin/killall /usr/bin/ssh /usr/bin/wget /usr/bin/curl

告警事件列表说明 事件类型 告警名称 原理说明 恶意软件 未分类恶意软件 通过程序特征、行为检测，结合AI图像指纹算法以及云查杀，有效识别后门、木马、挖矿软件、蠕虫和病毒等恶意程序，也可检测出容器中未知的恶意程序和病毒变种。 勒索软件 检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。 勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产，并以此作为向您勒索钱财的筹码。 Webshell 检测容器中Web目录中的文件，判断是否为Webshell木马文件，支持检测常见的PHP、JSP等后门文件类型。 黑客工具 检测利用漏洞或者黑客工具的恶意行为，一旦发现进行告警上报。 漏洞利用 漏洞逃逸攻击 HSS监控到容器内进程行为符合已知漏洞的行为特征时（例如：“脏牛”、“bruteforce”、“runc”、“shocker”等），触发逃逸漏洞攻击告警 文件逃逸攻击 HSS监控发现容器进程访问了宿主机系统的关键文件目录（例如：“/etc/shadow”、“/etc/crontab”），则认为容器内发生了逃逸文件访问，触发告警。即使该目录符合容器配置的目录映射规则，HSS仍然会触发告警。 系统异常行为 反弹Shell 实时监控用户的进程行为，并支持告警和阻断进程的非法Shell连接操作产生的反弹Shell行为。 支持对TCP、UDP、ICMP等协议的检测。 您可以在“策略管理”的“恶意文件检测”策略中配置反弹Shell检测和自动化阻断，HSS会实时检测执行的可疑指令、主机被远程控制执行任意命令等。 您也可以在“策略管理”的“HIPS检测”策略中配置自动化阻断反弹Shell行为。 文件提权 检测利用SUID、SGID程序漏洞进行root提权的行为，一旦发现进行告警上报。 进程提权 当黑客成功入侵容器后，会尝试利用漏洞进行root提权或者文件提权，从而达到非法创建和修改系统账号的权限或者篡改文件的目的。 HSS支持检测以下异常提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 对文件的提权。 关键文件变更 实时监控系统关键文件（例如：ls、ps、login、top等），对修改文件内容的操作进行告警，提醒用户关键文件可能被篡改。监控的关键文件的路径请参见关键文件变更监控路径。 对于关键文件变更，HSS只检测文件内容是否被修改，不关注是人为还是进程进行的修改。 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 高危系统调用 Linux系统调用是用户进程进入内核执行任务的请求通道。CGS监控容器进程，如果发现进程使用了危险系统调用（例如：“open_by_handle_at”、“ptrace”、“setns”、“reboot”等），触发高危系统调用告警。 高危命令执行 实时检测容器系统中执行的高危命令，当发生高危命令执行时触发告警。 容器进程异常 容器恶意程序 HSS监控容器内启动的容器进程的行为特征和进程文件指纹，如果特征与已定义的恶意程序吻合则触发容器恶意程序告警。 容器异常进程 容器业务通常比较单一。如果用户能够确定容器内只会运行某些特定进程，可以在“策略管理”设置“容器进程白名单”并将策略关联容器镜像。 对于已关联的容器镜像启动的容器，HSS只允许白名单进程启动，如果容器内存在非白名单进程，触发容器异常程序告警。 敏感文件访问 HSS监控容器内已配置文件保护策略的容器镜像文件状态。如果发生文件修改事件则触发文件异常告警。 容器异常启动 HSS监控新启动的容器，对容器启动配置选项进行检测，当发现容器权限过高存在风险时触发告警。容器环境检测触发的告警只是提醒容器启动风险，并不是发生实际攻击。如果黑客利用容器配置风险执行了真实攻击，仍然会触发HSS 容器安全 的其他检测告警。 HSS支持以下容器环境检测： 禁止启动特权容器(privileged:true) 特权容器是指容器以最大权限启动，类似于操作系统的root权限，拥有最大能力。docker run启动容器时携带“ –privileged=true”参数，或者kubernates POD配置中容器的“securityContext”配置了“privileged:true”，此时容器会以特权容器方式启动。 告警名称为“容器安全选项”，告警内容中提示“privileged:true”，表示该容器以特权容器模式启动。 需要限制容器能力集（capabilities:[xxx]） Linux系统将系统权限做了分类，通过授予特定的权限集合，能控制容器进程的操作范围，避免出现严重问题。容器启动时默认开启了一些常用能力，通过修改启动配置可以放开所有系统权限。 告警名称为“容器安全选项”，告警内容中提示“capabilities:[xxx]”，表示该容器启动时拥有所有能力集过大，存在风险。 建议启用seccomp（seccomp=unconfined） Seccomp(secure computing mode)是Linux的一种内核特性，用于限制进程能够调用的系统调用，减少内核的攻击面。如果容器启动时设置“seccomp=unconfined”，将不会对容器内的系统调用执行限制。 告警名称“容器安全选项”，告警内容中提示“seccomp=unconfined”，表示该容器启动时没有启动seccomp，存在风险。 说明： 启用seccomp后，由于每次系统调用Linux内核都需要执行权限校验，如果容器业务场景会频繁使用系统调用，开启seccomp对性能会有一定影响。具体影响建议在实际业务场景测试分析。 限制容器获取新的权限(no-new-privileges:false) 进程可以通过程序的suid位或者sgid位获取附加权限，通过sudo提权执行更高权限的操作。容器默认配置限制不允许进行权限提升。 如果容器启动时指定了“ –no-new-privileges=false”，则该容器拥有权限提升的能力。 告警名称为“容器安全选项”，告警内容中提示“no-new-privileges:false”，表示该容器关闭了提权限制，存在风险。 危险目录映射(mounts:[...]) 容器启动时可以将宿主机目录映射到容器内，方便容器内业务直接读写宿主机上的资源。这是一种存在风险的使用方式，如果容器启动时映射了宿主机操作系统关键目录，容易造成从容器内破坏宿主机系统的事件。 HSS监控到容器启动时mount了宿主机危险路径时触发告警，定义的宿主机危险目录包括：“/boot”，“ /dev”，“/etc”，“/sys”，“/var/run”等。 告警名称为“容器挂载目录”，告警内容中提示“mounts:[{"source":"xxx","destination":"yyy"...]”，表示该容器映射的文件路径存在风险，需要按照告警中的目录映射关系排查是否存在危险的映射，可以将认为安全的挂载路径配置到容器信息收集的策略中。 说明： 对于docker容器常用的需要访问的宿主文件如“ /etc/hosts”、“/etc/resolv.conf”不会触发告警。 禁止启动命名空间为host的容器 容器的命名空间需要与主机隔离开，如果容器配置了与主机相同的命名空间，则该容器可以访问并修改主机上的内容，易造成容器逃逸的安全事件，存在安全风险。因此HSS会检测容器的pid，network，ipc命名空间是否为host。 告警名称为“容器命名空间”，告警内容中提示“容器pid命名空间模式”、“容器ipc命名空间模式”、“容器网络命名空间模式”，表示启动了命名空间为host的容器，需要按照告警中的提示排查容器的启动选项，如果存在业务需要，可以将该告警事件忽略。 容器镜像阻断 在Docker环境中容器启动前，HSS检测到镜像异常行为策略中指定的不安全容器镜像运行时触发告警。 说明： 需安装Docker插件。 可疑命令执行 检测通过命令或工具创建、删除计划任务或自启动任务。 检测远程执行命令的可疑行为。 用户异常行为 非法系统用户账号 黑客可能通过风险账号入侵容器，以达到控制容器的目的，需要您及时排查系统中的账户。 HSS检查系统中存在的可疑隐藏账号、克隆账号；若存在可疑账号、克隆账号等，则触发告警。 暴力破解 检测容器场景下“尝试暴力破解”和“暴力破解成功”等暴破异常行为，发现暴破行为时触发告警。 支持检测容器场景下SSH、Web和Enumdb暴破行为。 说明： 目前暂仅支持Docker容器运行时的暴力破解检测告警。 用户密码窃取 检测到通过非法手段获取用户密钥行为，一旦发现进行告警上报。 网络异常访问 异常外联行为 检测到服务器存在异常外联可疑ip的行为，一旦发现进行告警上报。 端口转发检测 检测到利用可疑工具进行端口转发行为，一旦发现进行告警上报。 集群异常行为 Pod异常行为 检测集群中存在创建特权pod、静态pod及敏感配置pod的异常行为，以及对现存pod执行的异常操作，一旦发现进行告警上报。 枚举用户信息 检测存在枚举集群用户的权限以及可执行操作列表的行为，一旦发现进行告警上报。 绑定集群用户角色 检测绑定、创建高权限集群角色或Service Account的行为，一旦发现进行告警上报。 Kubernetes事件删除 检测集群中删除Kubernetes事件的行为，一旦发现进行警上报。

授权列表 权限 授权项 依赖的授权项 查询主机安全防护列表 hss:hosts:list vpc:ports:get vpc:publicIps:list ecs:cloudServers:list 云服务器开启或关闭防护 hss:hosts:switchVersion - 手动检测 hss:hosts:manualDetect - 手动检测返回检测状态 hss:manualDetectStatus:get - 查询弱口令检测报告 hss:weakPwds:list - 查询账户破解防护报告 hss:accountCracks:list - 账户破解防护解除拦截IP hss:accountCracks:unblock - 查询恶意程序检测报告 hss:maliciousPrograms:list - 查询异地登录检测报告 hss:abnorLogins:list - 查询关键文件变更报告 hss:keyfiles:list - 查询开放端口信息列表 hss:ports:list - 查询漏洞列表 hss:vuls:list - 批量操作漏洞 hss:vuls:operate - 查询账号信息列表 hss:accounts:list - 查询软件信息列表 hss:softwares:list - 查询Web路径列表 hss:webdirs:list - 查询进程信息列表 hss:processes:list - 查询配置检测报告 hss:configDetects:list - 查询网站后门检测报告 hss:Webshells:list - 查询风险账号检测报告 hss:riskyAccounts:list - 云服务器风险统计 hss:riskyDashboard:get - 查询口令复杂度策略检测报告 hss:complexityPolicys:list - 批量操作恶意程序 hss:maliciousPrograms:operate - 批量操作开放端口 hss:ports:operate - 操作配置检测风险 hss:configDetects:operate - 批量操作网站后门 hss:Webshells:operate - 设置常用登录地 hss:commonLocations:set - 查询常用登录地 hss:commonLocations:list - 设置常用登录IP hss:commonIPs:set - 查询常用登录IP hss:commonIPs:list - 设置登录IP白名单 hss:whiteIps:set - 查询登录IP白名单 hss:whiteIps:list - 设置自定义弱口令 hss:weakPwds:set - 查询自定义弱口令 hss:weakPwds:get - 设置Web路径 hss:webDirs:set - 查询Web路径 hss:webDirs:get - 查询双因子认证服务器列表 hss:twofactorAuth:list - 设置双因子认证 hss:twofactorAuth:set - 开启或关闭恶意程序自动隔离查杀 hss:automaticKillMp:set - 查询恶意程序自动隔离查杀 hss:automaticKillMp:get - 查询Agent下载地址 hss:installAgent:get - 卸载Agent hss:agent:uninstall - 查询主机安全告警 hss:alertConfig:get - 设置主机安全告警 hss:alertConfig:set - 查询网页防篡改防护列表 hss:wtpHosts:list vpc:ports:get vpc:publicIps:list ecs:cloudServers:list 开启或关闭网页防篡改 hss:wtpProtect:switch - 设置备份服务器 hss:wtpBackup:set - 查询备份服务器 hss:wtpBackup:get - 设置防护目录 hss:wtpDirectorys:set - 查询防护目录列表 hss:wtpDirectorys:list - 查询网页防篡改防护记录 hss:wtpReports:list - 设置特权进程 hss:wtpPrivilegedProcess:set - 查询特权进程列表 hss:wtpPrivilegedProcesses:list - 设置防护模式 hss:wtpProtectMode:set - 查询防护模式 hss:wtpProtectMode:get - 设置防护文件系统 hss:wtpFilesystems:set - 查询防护文件系统列表 hss:wtpFilesystems:list - 设置定时关闭防护 hss:wtpScheduledProtections:set - 查询定时关闭防护设置 hss:wtpScheduledProtections:get - 设置网页防篡改告警 hss:wtpAlertConfig:set - 查询网页防篡改告警 hss:wtpAlertConfig:get - 查询网页防篡改统计信息 hss:wtpDashboard:get - 查询策略组信息 hss:policy:get - 设置策略组信息 hss:policy:set - 查询入侵检测事件列表 hss:event:get - 入侵检测事件操作 hss:event:set - 查询服务器分组信息 hss:hostGroup:get - 设置服务器组 hss:hostGroup:set - 文件完整性管理 hss:keyfiles:set - 查询关键文件变更报告 hss:keyfiles:list - 查询自启动列表 hss:launch:list -

支持的授权项 策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应，授权项列表说明如下： 权限：允许或拒绝某项操作。 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。 依赖的授权项：部分Action存在对其他Action的依赖，需要将依赖的Action同时写入授权项，才能实现对应的权限功能。 主机安全服务（HSS）支持的自定义策略授权项如下所示： 授权列表，包含HSS对应的授权项，如查询主机安全防护列表、云服务器开启或关闭防护、手动检测等。

操作须知 开启企业版主机防护时，默认绑定“租户侧企业版策略组”（包含“弱口令检测”和“网站后门检测”策略），应用于全部的云服务器，不需要单独部署策略。 开启“旗舰版”或者“网页防篡改赠送旗舰版”后，开启旗舰版/网页防篡改版防护时，默认绑定了“租户侧旗舰版策略组”。 用户也可以通过复制“租户侧旗舰版策略组”的方式，创建自定义策略组，将“租户侧旗舰版策略组”替换为用户的自定义策略组，更加灵活的应用于不同的云服务器或者云服务器组。

Windows服务器手动卸载Agent 远程登录待卸载Agent的Windows服务器。 华为云服务器 您可以登录弹性云服务器控制台，在“弹性云服务器”列表中，单击“远程登录”登录主机，详细操作请参见在云服务器控制台上登录主机。 若您的主机已经绑定了弹性IP，您也可以使用Windows系统的“远程桌面连接”工具，或第三方远程管理工具（例如：mstsc、rdp等）登录主机，并使用管理员账号在主机中安装Agent。 非华为云服务器 使用远程管理工具（例如：mstsc、rdp等）连接您服务器的弹性IP，远程登录到您的服务器。 进入Windows服务器的C:\Program File\HostGuard目录下。 双击“unins000.exe”文件，卸载Agent。 在“HostGuard卸载向导”弹窗中，单击“是”，完全删除HostGuard及其所有组件。 （可选）重启主机。 如果您开启了网页防篡改，卸载Agent需要重启主机。在“HostGuard卸载向导”弹窗中，单击“是”，重启主机。 如果您未开启网页防篡改，无需重启主机。在“HostGuard卸载向导”弹窗中，单击“否”，不重启主机。 查看Windows服务器的C:\Program Files\HostGuard目录不存在，表示卸载Agent完成。

Linux服务器手动卸载Agent 远程登录待卸载Agent的Linux服务器。 华为云主机 您可以登录弹性云服务器控制台，在“弹性云服务器”列表中，单击“远程登录”登录主机，详细操作请参见在云服务器控制台上登录主机。 若您的主机已经绑定了弹性IP，您也可以使用远程管理工具（例如：PuTTY、Xshell等）登录主机，并使用root账号在主机中安装Agent。 非华为云主机 请使用远程管理工具（例如：PuTTY、Xshell等）连接您服务器的弹性IP，远程登录到您的服务器。 执行以下命令，卸载Agent。 不可以在/usr/local/hostguard/目录下执行卸载命令，可以在其他任意目录下执行卸载命令。 EulerOS、CentOS、RedHat等支持rpm安装方式的OS的卸载命令：rpm -e hostguard; Ubuntu、Debian等支持deb安装方式的OS的卸载命令：dpkg -P hostguard; 查看Linux服务器的/usr/local/hostguard/目录不存在，表示Agent卸载完成。

响应消息体 响应消息体通常以结构化格式返回，与响应消息头中Content-type对应，传递除响应消息头之外的内容。 对于获取用户Token获取请求认证接口，返回如下消息体。为篇幅起见，这里只展示部分内容。 { "token": { "expires_at": "2019-02-13T06:52:13.855000Z", "methods": [ "password" ], "catalog": [ { "endpoints": [ { "region_id": "cn-north-1", ...... 当接口调用出错时，会返回错误码及错误信息说明，错误响应的Body体格式如下所示。 { "error_msg": "The format of message is error", "error_code": "AS.0001" } 其中，error_code表示错误码，error_msg表示错误描述信息。

调用API获取项目ID 项目ID还用通过调用查询指定条件下的项目信息API获取。 获取项目ID的接口为“GET https://{Endpoint}/v3/projects/”，其中“{Endpoint}”为 IAM 的终端节点，可以从终端节点获取。接口的认证鉴权请参见认证鉴权。 响应示例如下，其中“projects”下的“id”即为项目ID。 { "projects": [ { "domain_id": "65382450e8f64ac0870cd180d14e684b", "is_domain": false, "parent_id": "65382450e8f64ac0870cd180d14e684b", "name": "cn-north-4", "description": "", "links": { "next": null, "previous": null, "self": "https://www.example.com/v3/projects/a4a5d4098fb4474fa22cd05f897d6b99" }, "id": "a4a5d4098fb4474fa22cd05f897d6b99", "enabled": true } ], "links": { "next": null, "previous": null, "self": "https://www.example.com/v3/projects" } }

计费示例 假设您在2023/10/16 15:50:04购买了一个包年/包月MAS实例。购买时长为一个月，并在到期前手动续费1个月，则： 第一个计费周期为：2023/10/16 15:50:04 ~ 2023/11/16 23:59:59 第二个计费周期为：2023/11/16 23:59:59 ~ 2023/12/16 23:59:59 您需要为每个计费周期预先付费，计费公式为实例规格单价 * 购买时长。 例如该实例包月的价格为13000 元/月，则上述两个计费周期的总费用为13000 * 2=26000（元）。

到期后影响 图1描述了包年/包月MAS实例各个阶段的状态。购买后，在计费周期内实例正常运行，此阶段为有效期；实例到期而未续费时，将陆续进入宽限期和保留期。 图1 包年/包月MAS实例生命周期 到期预警 包年/包月MAS实例在到期前第7天内，系统将向用户推送到期预警消息。预警消息将通过邮件、短信和站内信的方式通知到华为账号的创建者。 到期后影响 当您的包年/包月MAS实例到期未续费，首先会进入宽限期，资源状态变为“已过期”。宽限期内您可以正常访问实例。 如果您在宽限期内仍未续费包年/包月MAS实例，那么就会进入保留期，资源状态变为“已冻结”，您将无法对处于保留期的包年/包月资源执行任何操作。 保留期到期后，若包年/包月MAS实例仍未续费，那么MAS实例将被释放，数据无法恢复。 华为云根据客户等级定义了不同客户的宽限期和保留期时长。 关于续费的详细介绍请参见续费概述。

适用场景 包年/包月计费模式需要用户预先支付一定时长的费用，适用于长期、稳定的业务需求。以下是一些适用于包年/包月计费模式的业务场景： 稳定业务需求：对于长期运行且资源需求相对稳定的业务，如企业官网、在线商城、博客等，包年/包月计费模式能提供较高的成本效益。 长期项目：对于周期较长的项目，如科研项目、大型活动策划等，包年/包月计费模式可以确保在整个项目周期内资源的稳定使用。 业务高峰预测：如果能预测到业务高峰期，如电商促销季、节假日等，可提前购买包年/包月资源以应对高峰期的需求，避免资源紧张。 数据安全要求高：对于对数据安全性要求较高的业务，包年/包月计费模式可确保资源的持续使用，降低因资源欠费而导致的数据安全风险。

包年/包月资源 对于包年/包月计费模式的MAS实例，用户在购买时会一次性付费，服务将在到期后自动停止使用。 如果在计费周期内不再使用包年/包月资源，您可以执行退订操作，系统将根据资源是否属于五天无理由退订、是否使用代金券和折扣券等条件返还一定金额到您的账户。详细的退订规则请参见云服务退订规则概览。 如果您已开启“自动续费”功能，为避免继续产生费用，请在自动续费扣款日（默认为到期前7日）之前关闭自动续费。

欠费影响 包年/包月 对于包年/包月MAS实例，用户已经预先支付了资源费用，因此在账户出现欠费的情况下，已有的包年/包月MAS实例仍可正常使用。然而，对于涉及费用的操作，如变更实例规格、续费订单等，用户将无法正常进行。 按需计费 当您的账号因按需MAS资源自动扣费导致欠费后，账号将变成欠费状态。欠费后，按需资源不会立即停止服务，资源进入宽限期。您需支付按需资源在宽限期内产生的费用，相关费用可在管理控制台“费用中心 ＞ 总览 ＞ 欠费金额”查看，华为云将在您充值时自动扣取欠费金额。 如果您在宽限期内仍未支付欠款，那么就会进入保留期，资源状态变为“已冻结”，您将无法对处于保留期的按需计费资源执行任何操作。 保留期到期后，若您仍未支付账户欠款，那么实例将被释放，数据无法恢复。 图1 按需计费MAS资源生命周期 华为云根据客户等级定义了不同客户的宽限期和保留期时长。

成本优化 成本控制 企业可以在成本中心的“预算管理”页面创建精细粒度的预算来管理成本和使用量，在实际或预测超过预算阈值时，自动发送通知给指定消息接收人。企业还可以创建预算报告，定期将指定预算进展通知给指定消息接收人。 例如企业需要创建一个ROMA Connect实例的按需成本预算，每月预算金额为20000元，当预测金额高于预算金额的80%时发送预算告警。那么，创建的预算如下： 图3 预算基本信息 图4 设置成本范围 图5 设置提醒 详细介绍请参见使用预测和预算来跟踪成本和使用量。 资源优化 您可以通过 云监控服务 监控资源的使用情况，评估当前配置是否过高。例如：CPU、内存、带宽等资源的利用率。也可以根据成本分析阶段的分析结果识别成本偏高的资源，然后采取针对性的优化措施。 计费模式优化 不同类型的业务对资源使用周期有不同的要求，为每一类业务确定合适的计费模式，灵活组合以达到最优效果。 针对长期稳定的成熟业务，使用包年/包月计费模式。 针对不能中断的短期、突增或不可预测的业务，使用按需计费模式。

成本分配 成本管理的基础是树立成本责任制，让各部门、各业务团队、各责任人参与进来，为各自消耗云服务产生的成本负责。企业可以通过成本分配的方式，将云上成本分组，归集到特定的团队或项目业务中，让各责任组织及时了解各自的成本情况。 华为云成本中心支持通过多种不同的方式对成本进行归集和重新分配，您可以根据需要选择合适的分配工具。 通过关联账号进行成本分配 企业主客户可以使用关联账号对子客户的成本进行归集，从而对子账号进行财务管理。详细介绍请参见通过关联账号维度查看成本分配。 通过企业项目进行成本分配 在进行成本分配之前，建议开通企业项目并做好企业项目的规划，可以根据企业的组织架构或者业务项目来划分。在购买ROMA Connect实例时选择指定企业项目，新购云资源将按此企业项目进行成本分配。详细介绍请参见通过企业项目维度查看成本分配。 图2 为ROMA Connect实例选择企业项目 新版ROMA Connect实例暂不支持选择企业项目，企业项目默认为default。 使用成本单元进行成本分配 企业可以使用成本中心的“成本单元”来拆分公共成本。公共成本是指多个部门共享的计算、网络、存储或资源包产生的云成本，或无法直接通过企业项目、成本标签分配的云成本。这些成本不能直接归属于单一所有者，因此不能直接归属到某一类别。使用拆分规则，可以在各团队或业务部门之间公平地分配这些成本。详细介绍请参见使用成本单元查看成本分配。

适用场景 包年/包月计费模式需要用户预先支付一定时长的费用，适用于长期、稳定的业务需求。以下是一些适用于包年/包月计费模式的业务场景： 稳定业务需求：对于长期运行且资源需求相对稳定的业务，如企业官网、在线商城、博客等，包年/包月计费模式能提供较高的成本效益。 长期项目：对于周期较长的项目，如科研项目、大型活动策划等，包年/包月计费模式可以确保在整个项目周期内资源的稳定使用。 业务高峰预测：如果能预测到业务高峰期，如电商促销季、节假日等，可提前购买包年/包月资源以应对高峰期的需求，避免资源紧张。 数据安全要求高：对于对数据安全性要求较高的业务，包年/包月计费模式可确保资源的持续使用，降低因资源欠费而导致的数据安全风险。

计费周期 包年/包月ROMA Connect实例的计费周期是根据您购买的时长来确定的（以GMT+8时间为准）。一个计费周期的起点是您开通或续费资源的时间（精确到秒），终点则是到期日的23:59:59。 例如，如果您在2023/10/16 15:50:04购买了一个时长为一个月的ROMA Connect实例，那么其计费周期为：2023/10/16 15:50:04 ~ 2023/11/16 23:59:59。

计费示例 假设您在2023/10/16 15:50:04购买了一个包年/包月ROMA Connect实例（规格：基础版，不包括应用业务模型ABM）。购买时长为一个月，并在到期前手动续费1个月，则： 第一个计费周期为：2023/10/16 15:50:04 ~ 2023/11/16 23:59:59 第二个计费周期为：2023/11/16 23:59:59 ~ 2023/12/16 23:59:59 您需要为每个计费周期预先付费，计费公式为实例规格单价 * 购买时长。 例如该实例包月的价格为40000 元/月，则上述两个计费周期的总费用为40000 * 2=80000（元）。

到期后影响 图1描述了包年/包月ROMA Connect实例各个阶段的状态。购买后，在计费周期内实例正常运行，此阶段为有效期；实例到期而未续费时，将陆续进入宽限期和保留期。 图1 包年/包月ROMA Connect实例生命周期 到期预警 包年/包月ROMA Connect实例在到期前第7天内，系统将向用户推送到期预警消息。预警消息将通过邮件、短信和站内信的方式通知到华为账号的创建者。 到期后影响 当您的包年/包月ROMA Connect实例到期未续费，首先会进入宽限期，资源状态变为“已过期”。宽限期内您可以正常访问实例。 如果您在宽限期内仍未续费包年/包月ROMA Connect实例，那么就会进入保留期，资源状态变为“已冻结”，您将无法对处于保留期的包年/包月资源执行任何操作。 保留期到期后，若包年/包月ROMA Connect实例仍未续费，那么ROMA Connect实例将被释放，数据无法恢复。 华为云根据客户等级定义了不同客户的宽限期和保留期时长。 关于续费的详细介绍请参见续费概述。

同城多活计费说明 功能模块系数： 1 + 0.8 * (n - 1), n为功能模块个数。 同城多活功能模块价格: 100 * 功能模块系数。 比如购买10个功能模块，模块系数为1 + 0.8 * (10 - 1) = 8.2，价格：100 * 8.2 = 820 元/天。 同城多活节点数价格: 0.4 * 节点数 * 功能模块系数,10节点(包含)以内免费,超过10个节点,只收取超过节点费用。 比如购买10个节点, 10节点(包含)以内免费, 节点价格为0。 比如购买15个节点, 2个功能模块, 则功能模块系数为1 + 0.8 * (2 - 1) = 1.8, 节点价格为 0.4 * (15 - 10) * 1.8 = 3.6 元/天。

异地多活计费说明 功能模块系数： 1 + 0.8 * (n - 1), n为功能模块个数。 异地多活功能模块价格: 600 * 功能模块系数。 比如购买10个功能模块，模块系数为1 + 0.8 * (10 - 1) = 8.2，价格：600 * 8.2 = 4920 元/天。 异地多活节点数价格: 1 * 节点数 * 功能模块系数, 10节点(包含)以内免费,超过10个节点, 只收取超过节点费用。 比如购买10个节点, 10节点(包含)以内免费, 节点价格为0。 比如购买15个节点, 2个功能模块, 则功能模块系数为1 + 0.8 * (2 - 1) = 1.8, 节点价格为 1 * (15 - 10) * 1.8 = 9 元/天。

欠费影响 包年/包月 对于包年/包月ROMA Connect实例，用户已经预先支付了资源费用，因此在账户出现欠费的情况下，已有的包年/包月ROMA Connect实例仍可正常使用。然而，对于涉及费用的操作，如变更实例规格、续费订单等，用户将无法正常进行。 按需计费 当您的账号因按需ROMA Connect资源自动扣费导致欠费后，账号将变成欠费状态。欠费后，按需资源不会立即停止服务，资源进入宽限期。您需支付按需资源在宽限期内产生的费用，相关费用可在管理控制台“费用中心 ＞ 总览 ＞ 欠费金额”查看，华为云将在您充值时自动扣取欠费金额。 如果您在宽限期内仍未支付欠款，那么就会进入保留期，资源状态变为“已冻结”，您将无法对处于保留期的按需计费资源执行任何操作。 保留期到期后，若您仍未支付账户欠款，那么实例将被释放，数据无法恢复。 图1 按需计费ROMA Connect资源生命周期 华为云根据客户等级定义了不同客户的宽限期和保留期时长。

欠费影响 图1描述了按需计费MAS实例各个阶段的状态。购买后，在计费周期内资源正常运行，此阶段为有效期；当您的账号因按需MAS实例自动扣费导致欠费后，账号将变成欠费状态，实例将陆续进入宽限期和保留期。 图1 按需计费MAS资源生命周期 欠费预警 系统会在每个计费周期后的一段时间对按需计费资源进行扣费。当您的账户被扣为负值时，我们将通过邮件、短信和站内信的方式通知到华为账号的创建者。 欠费后影响 当您的账号因按需MAS实例自动扣费导致欠费后，账号将变成欠费状态。欠费后，按需资源不会立即停止服务，资源进入宽限期。您需支付按需资源在宽限期内产生的费用，相关费用可在管理控制台“费用中心 ＞ 总览”的“欠费金额”查看，华为云将在您充值时自动扣取欠费金额。 如果您在宽限期内仍未支付欠款，那么就会进入保留期，实例状态变为“已冻结”，您将无法对处于保留期的按需计费资源执行任何操作。 保留期到期后，若您仍未支付账户欠款，那么MAS实例将被释放，数据无法恢复。 华为云根据客户等级定义了不同客户的宽限期和保留期时长。 关于充值的详细操作请参见账户充值。

计费示例 假设您在2023/10/16 9:30:30价格详情创建成功了一个按需计费的MAS 实例，然后在2023/10/16 11:15:46将其删除，则： 第一个计费周期为9:00:00 ~ 10:00:00，在9:30:00 ~ 10:00:00间产生费用，该计费周期内的计费时长为1800秒。 第二个计费周期为10:00:00 ~ 11:00:00，在10:00:00 ~ 11:00:00间产生费用，该计费周期内的计费时长为3600秒。 您需要为每个计费周期付费，计费公式如实例规格单价 * 计费时长。MAS实例每小时价格请参考价格详情，您需要将每小时价格除以3600，得到每秒价格。 该规格的实例按需价格为20 元/小时，在两个计费周期的总费用为20 * (1800+3600) / 3600=40（元）。 该示例中的价格仅供参考，实际计算请以MAS价格详情中的价格为准。

场景示例：核对资源用量是否与实际相符 假设用户在2023/10/16 09:44:38创建成功了一个按需计费的新版ROMA Connect实例（仅购买服务集成（API管理），RCU数量2），并在2023/10/16 11:20:08时刻将其删除。 流水账单 按需计费实例按秒计费，每一个小时整点结算一次费用，您可以在流水账单中核对每一个计费周期的信息是否和实际相符，具体如表1所示。 表1 实例流水账单 产品类型 应用与 数据集成平台 ROMA Connect 产品 应用与数据集成平台 ROMA 计费模式 按需 消费时间 2023/10/16 09:44:38 ~ 2023/10/16 11:20:08时段计费系统将生成2笔流水账单，对应每一个计费周期，分别如下： 2023/10/16 09:44:38 ~ 2023/10/16 10:00:00 2023/10/16 10:00:00 ~ 2023/10/16 11:00:00 说明： 2023/10/16 11:00:00 ~ 2023/10/16 11:20:08时间段，因未到整点结算，故此时间段不计费。 官网价 官网价=使用量*单价 本例中，在第一个计费周期实例的使用时间为922秒，单价可在应用与数据集成平台价格详情中查询，例如该实例的RCU时单价为3元/小时，那么官网价=(922 ÷ 3600) * 2 * 3 = 1.53666667 元。同理，您可以计算剩余计费周期内资源的官网价。 优惠金额 用户使用云服务享受折扣优惠如商务折扣、伙伴授予折扣以及促销优惠等减免的金额。基于官网价的优惠金额。 抹零金额 华为云产品 定价精度为小数点后8位，因此在计费过程中会产生小数点后8位的资源使用费用。而在实际扣费时，仅扣除到小数点后2位，小数点后第3位到第8位部分金额会被舍弃，这种舍弃部分的金额称作抹零金额。 以第一个计费周期为例，抹零金额为：0.00666667 元 应付金额 应付金额=官网价-优惠金额-抹零金额 以第一个计费周期为例，假设优惠金额为0，那么应付金额=1.53666667 - 0 - 0.00666667 = 1.53 元 明细账单 明细账单可以通过多维度展示客户账单的详细信息。一般通过设置统计维度为“按使用量”，统计周期为“按账期”来统计资源在某个月份的总开销，建议您核对表2所示的信息是否和实际相符。 表2 实例明细账单 产品类型 应用与数据集成平台 ROMA Connect 产品 应用与数据集成平台 ROMA 计费模式 按需 资源名称/ID 资源的名称和ID 例如：roma-zwnn，8ec1b2db-92c7-4785-888b-b4db4b57546c_rcu.apic.api 规格 实例的类型和规格 ROMA计算单元 使用量类型 按需计费实例的使用量类型为“RCU时” 单价 按需计费模式为简单 定价 （使用量*单价）时提供单价信息。 按需计费实例属于简单定价，您可以在应用与数据集成平台价格详情中查询单价。 单价单位 按需计费的单价单位：元/个 使用量 按产品单价单位显示使用量，RCU的单价单位为元/个，因此使用量以个为单位。 本例中，2023/10/16 09:44:38 ~ 2023/10/16 11:00:00时段总计使用量=(922 + 3600) ÷ 3600 * 2= 2.5122 个。 使用量单位 个 官网价 官网价=使用量*单价 本例中，使用量为2.5122个，单价可在应用与数据集成平台价格详情中查询，该实例的RCU时单价为3元/小时，那么官网价=2.5122 * 3= 7.5366 元。 优惠金额 用户使用云服务享受折扣优惠如商务折扣、伙伴授予折扣以及促销优惠等减免的金额。基于官网价的优惠金额。 应付金额 用户使用云服务享受折扣优惠后需要支付的费用金额。

场景示例：核对资源用量是否与实际相符 假设用户在2023/10/16 09:44:38创建成功了一个按需计费的MAS实例（仅购买服务集成（API管理），RCU数量2），并在2023/10/16 11:20:08时刻将其删除。 流水账单 按需计费实例按秒计费，每一个小时整点结算一次费用，您可以在流水账单中核对每一个计费周期的信息是否和实际相符，具体如表1所示。 表1 实例流水账单 产品类型 多活高可用服务 MAS 产品 多活高可用服务 MAS 计费模式 按需 消费时间 2023/10/16 09:44:38 ~ 2023/10/16 11:20:08时段计费系统将生成2笔流水账单，对应每一个计费周期，分别如下： 2023/10/16 09:44:38 ~ 2023/10/16 10:00:00 2023/10/16 10:00:00 ~ 2023/10/16 11:00:00 说明： 2023/10/16 11:00:00 ~ 2023/10/16 11:20:08时间段，因未到整点结算，故此时间段不计费。 官网价 官网价=使用量*单价 本例中，在第一个计费周期实例的使用时间为922秒，单价可在应用与数据集成平台价格详情中查询，例如该实例的RCU时单价为3元/小时，那么官网价=(922 ÷ 3600) * 2 * 3 = 1.53666667 元。同理，您可以计算剩余计费周期内资源的官网价。 优惠金额 用户使用云服务享受折扣优惠如商务折扣、伙伴授予折扣以及促销优惠等减免的金额。基于官网价的优惠金额。 抹零金额 华为云产品定价精度为小数点后8位，因此在计费过程中会产生小数点后8位的资源使用费用。而在实际扣费时，仅扣除到小数点后2位，小数点后第3位到第8位部分金额会被舍弃，这种舍弃部分的金额称作抹零金额。 以第一个计费周期为例，抹零金额为：0.00666667 元 应付金额 应付金额=官网价-优惠金额-抹零金额 以第一个计费周期为例，假设优惠金额为0，那么应付金额=1.53666667 - 0 - 0.00666667 = 1.53 元 明细账单 明细账单可以通过多维度展示客户账单的详细信息。一般通过设置统计维度为“按使用量”，统计周期为“按账期”来统计资源在某个月份的总开销，建议您核对表2所示的信息是否和实际相符。 表2 实例明细账单 产品类型 多活高可用服务 MAS 产品 多活高可用服务 ROMA 计费模式 按需 资源名称/ID 资源的名称和ID 例如：roma-zwnn，8ec1b2db-92c7-4785-888b-b4db4b57546c_rcu.apic.api 规格 实例的类型和规格 ROMA计算单元 使用量类型 按需计费实例的使用量类型为“RCU时” 单价 按需计费模式为简单定价（使用量*单价）时提供单价信息。 按需计费实例属于简单定价，您可以在应用与数据集成平台价格详情中查询单价。 单价单位 按需计费的单价单位：元/个 使用量 按产品单价单位显示使用量，RCU的单价单位为元/个，因此使用量以个为单位。 本例中，2023/10/16 09:44:38 ~ 2023/10/16 11:00:00时段总计使用量=(922 + 3600) ÷ 3600 * 2= 2.5122 个。 使用量单位 个 官网价 官网价=使用量*单价 本例中，使用量为2.5122个，单价可在应用与数据集成平台价格详情中查询，该实例的RCU时单价为3元/小时，那么官网价=2.5122 * 3= 7.5366 元。 优惠金额 用户使用云服务享受折扣优惠如商务折扣、伙伴授予折扣以及促销优惠等减免的金额。基于官网价的优惠金额。 应付金额 用户使用云服务享受折扣优惠后需要支付的费用金额。

续费相关的功能 包年/包月实例续费相关的功能如表1所示。 表1 续费相关的功能 功能 说明 手动续费 包年/包月实例从购买到被自动删除之前，您可以随时在控制台为MAS实例续费，以延长实例的使用时间。 自动续费 开通自动续费后，实例会在每次到期前自动续费，避免因忘记手动续费而导致实例被自动删除。 在一个包年/包月实例生命周期的不同阶段，您可以根据需要选择一种方式进行续费，具体如图1所示。 图1 实例生命周期 实例从购买到到期前，处于正常运行阶段，实例状态为“运行中”。 到期后，实例状态变为“已过期”。 到期未续费时，实例首先会进入宽限期，宽限期到期后仍未续费，实例状态变为“已冻结”。 超过宽限期仍未续费将进入保留期，如果保留期内仍未续费，实例将被自动删除。 华为云根据客户等级定义了不同客户的宽限期和保留期时长。 在实例到期前均可开通自动续费，到期前7日凌晨3:00首次尝试自动续费，如果扣款失败，每天凌晨3:00尝试一次，直至实例到期或者续费成功。到期前7日自动续费扣款是系统默认配置，您也可以根据需要修改此扣款日。

计费模式概述 MAS提供按需计费、包年/包月及一次性计费三种计费模式。 包年/包月：一种预付费模式，即先付费再使用，按照实例订单的购买周期进行结算。购买周期越长，享受的折扣越大。一般适用于设备需求量长期稳定的成熟业务。 按需计费：一种后付费模式，即先使用再付费，按照MAS实例的功能模块和节点数量与实际使用时长计费，秒级计费，按小时结算。按需计费模式允许您根据实际业务需求灵活地调整资源使用，无需提前预置资源，从而降低预置过多或不足的风险。一般适用于电商抢购等设备需求量瞬间大幅波动的场景。 表1列出了两种种计费模式的区别。 表1 计费模式 计费模式 包年/包月 按需计费 付费方式 预付费 按照实例订单的购买周期结算。 后付费 按照功能模块和节点数量与实际使用时长计费。 计费周期 按订单的购买周期计费。 秒级计费，按小时结算。 变更计费模式 不支持变更。 不支持变更。 变更规格 不支持变更。 不支持变更。 适用计费项 MAS实例。 MAS实例功能模块和节点数量。 适用场景 适用于可预估资源使用周期的场景，价格比按需计费模式更优惠。对于长期使用者，推荐该方式。 适用于资源需求波动的场景，可以随时开通，随时删除。 父主题： 计费模式