华为云用户手册

操作步骤 以组织管理员账号或者Config服务的委托管理员账号登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击左侧的“资源合规”，进入“资源合规”页面。 选择“组织规则”页签，单击“添加规则”，进入“基础配置”页面，基础配置完成后，单击“下一步”。 图1 基础配置 表1 基础配置参数说明 参数 说明 策略类型 选择“预设策略”。 预设策略即服务已开发的策略，在下方的预设策略列表中直接选择所需预设策略，快速完成规则创建。支持输入策略名称或标签进行搜索。 预设策略详情见系统内置预设策略。 规则名称 规则名称默认复用所选择预设策略的名称，不能与已存在的合规规则名称重复，如有重复需自行修改。 合规规则名称仅支持数字、字母、下划线和中划线。 规则简介 规则简介默认复用所选择预设策略的简介，也可自行修改。 目前对合规规则简介的内容不做限制。 进入“规则参数”页面，规则参数配置完成后，单击“下一步”。 图2 规则参数 表2 合规规则参数说明 参数 说明 触发类型 用于触发资源合规规则。 触发类型有： 配置变更：在指定的云资源发生更改时触发规则评估。 周期执行：按照您设定的频率运行。 过滤器类型 用于指定资源类型参与规则评估。 过滤器类型分为： 指定资源：指定资源类型下的所有资源均参与规则评估。 所有资源：账号下的所有资源均参与规则评估。 仅当“触发类型”选择“配置变更”时需配置此参数。 指定资源范围 过滤器类型选择“指定资源”后，需选择指定资源范围。 服务：选择资源所属的服务； 资源类型：选择对应服务下的资源类型； 区域：选择资源所在的区域。 仅当“触发类型”选择“配置变更”时需配置此参数。 过滤范围 使用过滤范围可指定资源类型下的某个具体资源参与规则评估。 过滤范围开启后您可通过资源ID或标签指定过滤范围。 仅当“触发类型”选择“配置变更”时需配置此参数。 周期频率 设置合规规则周期执行的频率。 仅当“触发类型”选择“周期执行”时需配置此参数。 规则参数 此处的“规则参数”和第一步所选的“预设策略”相对应，是对第一步所选的预设策略进行具体参数设置。 例如：第一步预设策略选择“资源具有指定的标签”，指定一个标签，不具有此标签的资源，视为“不合规”，则这里的规则参数就需要指定具体的标签键和值作为判断是否合规的依据。 有的“预设策略”需要添加规则参数，有的“预设策略”不需要添加规则参数。例如：已挂载的云硬盘开启加密（volumes-encrypted-check）。 目标 目标决定了此组织合规规则配置的部署位置。 组织：将策略部署到您组织内的所有成员账号中。 当前账号：将策略部署到当前登录的账号中。 创建组织类型的资源合规规则时请选择“组织”。 排除账号 输入需要排除的组织内的部分账号ID，使得该组织合规规则不在排除的账号中部署。 仅当“目标”选择“组织”时可配置此参数。 进入“确认规则”页面，确认规则信息无误后，单击“提交”按钮，完成预定义组织合规规则的创建。 图3 确认规则 合规规则创建后会立即自动触发首次评估。

约束与限制 每个账号最多可以添加500个合规规则。 添加、修改组织合规规则和触发规则评估需要开启资源记录器，资源记录器处于关闭状态时，组织合规规则仅支持查看和删除操作。 非组织成员账号无法在Config控制台的“资源合规”页面中看到“组织规则”页签。 仅被资源记录器收集的资源可参与资源评估，为保证资源合规规则的评估结果符合预期，强烈建议您保持资源记录器的开启状态，不同场景的说明如下： 如您未开启资源记录器，则资源合规规则无法评估任何资源数据。历史的合规规则评估结果依然存在。 如您已开启资源记录器，但仅在资源记录器监控范围内勾选部分资源，则资源合规规则仅会评估所选择的资源数据。 关于如何开启并配置资源记录器请参见：配置资源记录器。

操作场景 如果您是组织管理员或Config服务的委托管理员，您可以添加组织类型的合规规则包，直接作用于您组织内的成员账号中。 当组织合规规则包部署成功后，会在组织内成员账号的合规规则包列表中显示此组织合规规则包。且该组织合规规则包的删除操作只能由创建组织规则包的组织账号进行，组织内的其他账号只能触发合规规则包部署规则的评估和查看规则评估结果以及详情。 组织合规规则包创建完成后，所部署的规则默认会执行一次评估，后续将根据规则的触发机制自动触发评估，也可以在资源合规规则列表中手动触发单个合规规则的评估。

约束与限制 当前仅用户自行创建的预定义或自定义合规规则支持修正配置，通过组织合规规则或合规规则包创建的托管合规规则不支持修正配置。 基于 RFS 服务私有模板执行修正的场景下，Config当前仅默认支持使用北京四（cn-north-4）区域的私有模板创建资源栈，且对应区域的资源栈应至少预留5个配额，否则执行修正可能会因配额不足导致失败。 一个合规规则上只能创建一个修正配置。 当合规规则存在修正配置，则必须删除修正配置并且停用规则后，才可删除此合规规则。 单个合规规则的修正配置最多支持用户手动添加100个修正例外资源，基于设置的修正重试规则被自动添加至修正例外的资源没有配额限制。 由于资源变更数据同步到Config存在延迟，因此通过合规修正功能将不合规资源修正后，立即重新触发规则评估，不合规资源的的合规评估结果可能依然为不合规。对于已开启资源记录器且在监控范围内的资源，Config会在24小时内校正资源数据，也就是说最多24小时后触发规则评估，才会将已修正资源的合规评估结果更新为合规。 当合规规则执行修正后，不合规资源的修正状态为“修正成功”，则表示此资源已经成功触发RFS服务私有模板或FunctionGraph函数的修正执行，您可以前往该资源对应服务的控制台，查看资源是否已按照预期修正成功。

操作步骤 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击页面左侧的“资源聚合器”，在下拉列表中选择“聚合器”，进入“聚合器”页面。 单击页面右上角的“创建聚合器”。 在创建聚合器页面，先勾选“允许数据复制”确认框，然后配置聚合器名称和源账号信息。 如果源类型选择“添加账号”，则输入华为云账号ID，多个账号之间以逗号分隔；如果源类型选择“添加组织”，资源聚合器将直接聚合此组织下所有成员账号的数据，无需输入账号ID。 图1 创建聚合器 账号类型的资源聚合器仅支持聚合华为云账号下的资源，因此源账号ID需输入华为云账号ID（domain_id）。如何获取账号ID请参见获取账号ID。 创建组织类型资源聚合器的账号需开通组织服务，且必须为组织的管理账号或Config服务的委托管理员账号，具体请参见添加、查看和取消委托管理员。如果创建组织类型资源聚合器的账号为组织管理账号，Config服务会调用enableTrustedService接口启用Config与Organizations之间的集成；如果创建组织类型资源聚合器的账号为Config服务的委托管理员账号，Config服务会调用ListDelegatedAdministrators接口用于验证调用者是否为有效的委托管理员。 单击“确定”，完成资源聚合器创建。

操作场景 您可以创建账号类型或组织类型的资源聚合器。 账号类型的资源聚合器必须获得源账号的授权才能聚合数据，具体请参见授权资源聚合器账号。 创建组织类型的资源聚合器依赖于组织服务的相关授权项，您需要具有如下权限： organizations:organizations:get organizations:accounts:list organizations:delegatedAdministrators:list organizations:trustedServices:enable organizations:trustedServices:list

基本概念 示例模板： 配置审计 服务提供给用户的合规规则包模板，合规规则包示例模板旨在帮助用户快速创建合规规则包，其中包含适合用户场景的合规规则和输入参数。 预定义合规规则包： 通过“示例模板”创建的合规规则包，用户只需要填入所需的规则参数即可完成合规规则包的部署流程。 自定义合规规则包： 用户根据自身需求编写合规规则包的模板文件，在模板文件中填入适合自身使用场景的预设规则或自定义规则，然后通过“上传模板”或“OBS存储桶”方式完成合规规则包的部署流程。自定义模板文件格式和文件内容格式均为JSON，不支持tf格式和zip格式的文件内容。 合规性数据： 一个合规规则包包含一个或多个合规规则，而每一条合规规则会评估一个或多个资源的合规结果，配置审计服务提供了如下的合规性数据，供您了解合规规则包的评估结果概览： 合规规则包的合规性评估：代表合规规则包中的所有合规规则是否评估到不合规的资源。若存在不合规资源，则合规评估结果为“不合规”；若不存在不合规资源，则合规评估结果为“合规”。 合规规则的合规性评估：代表合规规则包中的单个合规规则是否评估到不合规的资源。若存在不合规资源，则合规评估结果为“不合规”；若不存在不合规资源，则合规评估结果为“合规”。 合规规则包的合规分数：代表合规规则包中所有规则的合规资源数之和与所有规则的评估资源数之和的百分比。若该值为100，则代表合规规则包中所有的合规评估结果均为合规；若该值为0，则代表合规规则包中所有的合规评估结果均为不合规；若该值为“--”，则代表合规规则包未评估到任何资源。 图1 合规分数计算公式 资源栈： 合规规则包下发的合规规则的创建、更新和删除行为最终是通过RFS服务的资源栈来实现的。资源栈是 资源编排 服务的概念，详见资源栈。 状态： 合规规则包的部署状态。包括以下几种情况： 已部署：合规规则包已部署成功，合规规则均创建成功。 部署中：合规规则包正在部署中，合规规则正在创建中。 部署异常：合规规则包部署失败。 回滚成功：合规规则包下发的合规规则创建失败，触发合规规则的回滚行为，已创建的合规规则删除成功。 回滚中：合规规则包下发的合规规则创建失败，触发合规规则的回滚行为，已创建的合规规则正在删除中。 回滚失败：合规规则包下发的合规规则创建失败，触发合规规则的回滚行为，回滚行为失败，需在RFS服务查看失败原因。 删除中：合规规则包正在删除中，合规规则正在删除中。 删除异常：合规规则包删除失败。 更新成功：合规规则包修改并更新成功。 更新中：合规规则包修改更新中。 更新失败：合规规则包修改更新失败。 合规规则包的授权： 通过资源编排服务（RFS）的资源栈创建和删除合规规则时，需要拥有合规规则的创建和删除的权限。因此，部署合规规则包时，需要提供一个具有相应权限的委托，供配置审计服务的合规规则包下发时使用。 当您不选择进行自定义授权时，Config将通过服务关联委托的方式自动获取RFS的相关权限。如您需要自行控制委托权限的范围，可选择进行自定义授权，提前在 统一身份认证 服务（ IAM ）中创建委托，并进行自定义授权，但必须包含可以让合规规则包正常工作的权限（授权资源编排服务创建、更新和删除合规规则的权限），创建委托详见创建委托（委托方操作）。

操作场景 当Config提供的系统内置预设策略不能满足检测资源合规性的需求时，您可以通过编写函数代码，添加组织类型的自定义策略来完成复杂场景的资源审计。 自定义策略是一个用户开发并发布在 函数工作流 （FunctionGraph）上的函数。将合规规则和函数相关联，函数接收Config发布的事件，从事件中接收到规则参数和Config服务收集到的资源属性；函数评估该规则下资源的合规性并通过Config的Open API回传Config服务合规评估结果。合规规则的事件发送因触发类型为配置变更或周期执行而异。添加组织类型的自定义合规规则还需通过 RAM 服务将FunctionGraph函数共享给组织成员账号。 本章节指导您如何通过自定义策略来添加组织类型的合规规则，主要包含如下步骤： 创建FunctionGraph函数； 共享FunctionGraph函数； 添加自定义组织合规规则； 触发规则评估。

约束与限制 每个账号最多可以添加500个合规规则。 添加、修改组织合规规则和触发规则评估需要开启资源记录器，资源记录器处于关闭状态时，组织合规规则仅支持查看和删除操作。 非组织成员账号无法在Config控制台的“资源合规”页面中看到“组织规则”页签。 仅被资源记录器收集的资源可参与资源评估，为保证资源合规规则的评估结果符合预期，强烈建议您保持资源记录器的开启状态，不同场景的说明如下： 如您未开启资源记录器，则资源合规规则无法评估任何资源数据。历史的合规规则评估结果依然存在。 如您已开启资源记录器，但仅在资源记录器监控范围内勾选部分资源，则资源合规规则仅会评估所选择的资源数据。 关于如何开启并配置资源记录器请参见：配置资源记录器。

添加自定义组织合规规则 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击左侧的“资源合规”，进入“资源合规”页面。 选择“组织规则”页签，单击“添加规则”，进入“基础配置”页面。 “策略类型”选择“自定义策略”，配置相关参数后单击“下一步”。 图4 基础配置 表1 基础配置参数说明 参数 说明 策略类型 策略类型选择“自定义策略”。 允许用户通过自定义策略来创建合规规则。 规则名称 合规规则的名称，不能与已存在的合规规则名称重复。 合规规则名称仅支持数字、字母、下划线和中划线。 规则简介 合规规则的简介，目前对合规规则简介的内容不做限制。 FunctionGraph函数 用户自定义策略执行函数的URN。 创建FunctionGraph函数请参见创建FunctionGraph函数。 进入“规则参数”页面，规则参数配置完成后，单击“下一步”。 图5 规则参数 表2 合规规则参数说明 参数 说明 触发类型 用于触发资源合规规则。 触发类型有： 配置变更：在指定的云资源发生更改时触发规则评估。 周期执行：按照您设定的频率运行。 过滤器类型 用于指定资源类型参与规则评估。 过滤器类型分为： 指定资源：指定资源类型下的所有资源均参与规则评估。 所有资源：账号下的所有资源均参与规则评估。 仅当“触发类型”选择“配置变更”时需配置此参数。 指定资源范围 过滤器类型选择“指定资源”后，需选择指定资源范围。 服务：选择资源所属的服务； 资源类型：选择对应服务下的资源类型； 区域：选择资源所在的区域。 仅当“触发类型”选择“配置变更”时需配置此参数。 过滤范围 使用过滤范围可指定资源类型下的某个具体资源参与规则评估。 过滤范围开启后您可通过资源ID或标签指定过滤范围。 仅当“触发类型”选择“配置变更”时需配置此参数。 周期频率 设置合规规则周期执行的频率。 仅当“触发类型”选择“周期执行”时需配置此参数。 规则参数 自定义策略的规则参数最多可以设置10个，由您自行配置。 目标 目标决定了此组织合规规则配置的部署位置。 组织：将策略部署到您组织内的所有成员账号中。 当前账号：将策略部署到当前登录的账号中。 创建组织类型的资源合规规则时请选择“组织”。 排除账号 输入需要排除的组织内的部分账号ID，使得该组织合规规则不在排除的账号中部署。 仅当“目标”选择“组织”时可配置此参数。 进入“确认规则”页面，确认规则信息无误后，单击“提交”按钮，完成自定义组织合规规则的创建。

约束与限制 每个账号最多可以添加500个合规规则（包括由组织合规规则和合规规则包创建的托管规则）。 添加、修改、启用合规规则和触发规则评估需要开启资源记录器，资源记录器处于关闭状态时，合规规则仅支持查看、停用和删除操作。 托管合规规则不支持进行修改、停用、启用、删除操作，托管合规规则是由组织合规规则或合规规则包创建的，由组织合规规则创建的托管规则只能由创建规则的组织账号进行修改和删除操作，由合规规则包创建的托管规则可以通过更新合规规则包进行参数修改，且只能通过删除相应合规规则包来进行删除。具体请参见组织合规规则和合规规则包。 添加、修改组织合规规则和触发规则评估需要开启资源记录器，资源记录器处于关闭状态时，组织合规规则仅支持查看和删除操作。 非组织成员账号无法在Config控制台的“资源合规”页面中看到“组织规则”页签。 当前仅用户自行创建的预定义或自定义合规规则支持修正配置，通过组织合规规则或合规规则包创建的托管合规规则不支持修正配置。 基于RFS服务私有模板执行修正的场景下，Config当前仅默认支持使用北京四（cn-north-4）区域的私有模板创建资源栈，且对应区域的资源栈应至少预留5个配额，否则执行修正可能会因配额不足导致失败。 一个合规规则上只能创建一个修正配置。 当合规规则存在修正配置，则必须删除修正配置并且停用规则后，才可删除此合规规则。 单个合规规则的修正配置最多支持用户手动添加100个修正例外资源，基于设置的修正重试规则被自动添加至修正例外的资源没有配额限制。 仅被资源记录器收集的资源可参与资源评估，为保证资源合规规则的评估结果符合预期，强烈建议您保持资源记录器的开启状态，不同场景的说明如下： 如您未开启资源记录器，则资源合规规则无法评估任何资源数据。历史的合规规则评估结果依然存在。 如您已开启资源记录器，但仅在资源记录器监控范围内勾选部分资源，则资源合规规则仅会评估所选择的资源数据。 关于如何开启并配置资源记录器请参见：配置资源记录器。

概述 资源合规特性帮助您快速创建一组合规规则，用于评估您的资源是否满足合规要求。您可以选择Config提供的系统内置预设策略或自定义策略，并指定需要评估的资源范围来创建一个合规规则；合规规则创建后，有多种机制触发规则评估，然后查看合规规则的评估结果来了解资源的合规情况。 在使用资源合规时，如果您是组织管理员或Config服务的委托管理员，您还可以添加组织类型的资源合规规则，直接作用于您组织内的所有成员账号中。 针对合规规则评估出的不合规资源，合规修正功能可以帮助您设置基于合规规则的修正配置，通过关联RFS服务的私有模板或FunctionGraph服务的函数实例，按照您自定义的修正逻辑对不合规资源进行快速修正，确保您的云上资源持续合规。

资源聚合器使用限制 资源聚合器的使用限制如下： 单个账号最多能创建30个账号类型的资源聚合器。 单个资源聚合器最多能聚合30个源账号的数据。 单个账号类型资源聚合器每7天添加、更新和删除的最大源账号数量为1000个。 单个账号最多能创建1个组织类型的资源聚合器。 单个账号24小时内最多只能创建1次组织类型资源聚合器，创建的组织类型资源聚合器被删除后在24小时内无法再次创建。 资源聚合器聚合的源账号必须开启资源记录器，资源聚合器才会动态收集源账号的资源配置，源账号的资源发生变更后会同步更新数据至资源聚合器。 资源聚合器聚合的源账号只有开启资源记录器后，源账号的资源信息和合规性数据才会聚合到资源聚合器，不同场景的说明如下： 如源账号从未开启过资源记录器，则资源聚合器无法聚合此源账号的资源信息和合规性数据。 如源账号已开启资源记录器，但仅在资源记录器监控范围内勾选部分资源，则资源聚合器会聚合源账号所选择的资源信息以及全部合规性数据。 如源账号开启资源记录器并勾选全部资源，但后续又关闭资源记录器，则资源聚合器会删除收集到的资源信息和合规性数据。 关于如何开启并配置资源记录器请参见：配置资源记录器。 父主题： 资源聚合器

预设策略列表 当您在配置审计控制台添加合规规则时，可以直接选用系统内置的预设合规策略。 当前配置审计服务支持的预设策略如下表所示。 表1 配置审计支持的预设策略 云服务 预设策略 触发方式 评估资源 公共可用预设策略 资源名称满足正则表达式 配置变更 全部资源 资源具有所有指定的标签键 配置变更 支持标签的云服务和资源类型 资源存在任一指定的标签 配置变更 支持标签的云服务和资源类型 资源具有指定前后缀的标签键 配置变更 支持标签的云服务和资源类型 资源标签非空 配置变更 支持标签的云服务和资源类型 资源具有指定的标签 配置变更 支持标签的云服务和资源类型 资源属于指定企业项目ID 配置变更 全部资源 资源在指定区域内 配置变更 全部资源 资源在指定类型内 配置变更 全部资源 不允许的资源类型 配置变更 全部资源 API网关 APIG APIG专享版实例配置安全认证类型 配置变更 apig.instances APIG专享版实例配置访问日志 配置变更 apig.instances APIG专享版实例 域名 均关联SSL证书 配置变更 apig.instances 部署 CodeArts Deploy CodeArts项目下的主机集群为可用状态 配置变更 codeartsdeploy.host-cluster CodeArts编译构建下的项目未设置参数加密 配置变更 codeartsbuild.CloudBuildServer MapReduce服务 MRS MRS资源属于指定安全组 配置变更 mrs.mrs MRS资源属于指定VPC 配置变更 mrs.mrs MRS集群开启kerberos认证 配置变更 mrs.mrs MRS集群使用多AZ部署 配置变更 mrs.mrs MRS集群未绑定弹性公网IP 配置变更 mrs.mrs MRS集群开启KMS加密 配置变更 mrs.mrs NAT网关 NAT NAT私网网关绑定指定VPC资源 配置变更 nat.privateNatGateways VPC终端节点 VPCEP 创建了指定服务名的终端节点 周期触发 account Web应用防火墙 WAF WAF防护域名配置防护策略 配置变更 waf.instance WAF防护策略配置防护规则 配置变更 waf.policy 启用WAF实例域名防护 周期触发 account 启用WAF防护策略地理位置访问控制规则 周期触发 account WAF实例启用拦截模式防护策略 配置变更 waf.instance 弹性负载均衡 ELB ELB资源不具有弹性公网IP 配置变更 elb.loadbalancers ELB监听器配置指定预定义安全策略 配置变更 elb.loadbalancers ELB监听器配置HTTPS监听协议 配置变更 elb.loadbalancers ELB后端服务器权重检查 配置变更 elb.members 监听器资源HTTPS重定向检查 配置变更 elb.listeners ELB资源使用多AZ部署 配置变更 elb.loadbalancers 弹性公网IP EIP EIP带宽限制 配置变更 vpc.publicips 弹性公网IP未进行任何绑定 配置变更 vpc.publicips EIP在指定天数内绑定到资源实例 周期触发 vpc.publicips 弹性伸缩 AS 弹性伸缩组均衡扩容 配置变更 as.scalingGroups 弹性伸缩组使用弹性负载均衡健康检查 配置变更 as.scalingGroups 弹性伸缩组启用多AZ部署 配置变更 as.scalingGroups 弹性伸缩组未配置IPv6带宽 配置变更 as.scalingGroups 弹性伸缩组VPC检查 配置变更 as.scalingGroups 高性能弹性文件服务 SFS Turbo 高性能弹性文件服务通过KMS进行加密 配置变更 sfsturbo.shares SFS Turbo资源在备份存储库中 配置变更 sfsturbo.shares SFS Turbo资源的备份时间检查 周期触发 sfsturbo.shares 弹性云服务器 E CS ECS资源规格在指定的范围 配置变更 ecs.cloudservers ECS实例的镜像ID在指定的范围 配置变更 ecs.cloudservers ECS的镜像在指定Tag的IMS的范围内 配置变更 ecs.cloudservers 绑定指定标签的ECS关联在指定安全组ID列表内 配置变更 ecs.cloudservers ECS资源属于指定虚拟私有云ID 配置变更 ecs.cloudservers ECS资源配置密钥对 配置变更 ecs.cloudservers ECS资源不能公网访问 配置变更 ecs.cloudservers 检查ECS资源是否具有多个弹性公网IP 配置变更 ecs.cloudservers 关机状态的ECS未进行任意操作的时间检查 周期触发 ecs.cloudservers ECS资源附加IAM委托 配置变更 ecs.cloudservers ECS实例的镜像名称在指定的范围 配置变更 ecs.cloudservers ECS资源在备份存储库中 配置变更 ecs.cloudservers ECS云服务器 的备份时间检查 周期触发 ecs.cloudservers ECS资源绑定服务主机代理防护 配置变更 ecs.cloudservers 分布式缓存服务 DCS DCS Memcached资源支持SSL 配置变更 dcs.memcached DCS Memcached资源属于指定虚拟私有云ID 配置变更 dcs.memcached DCS Memcached资源不存在弹性公网IP 配置变更 dcs.memcached DCS Memcached资源需要密码访问 配置变更 dcs.memcached DCS Redis实例支持SSL 配置变更 dcs.redis DCS Redis实例高可用 配置变更 dcs.redis DCS Redis实例属于指定虚拟私有云ID 配置变更 dcs.redis DCS Redis实例不存在弹性公网IP 配置变更 dcs.redis DCS Redis实例需要密码访问 配置变更 dcs.redis 函数工作流 FunctionGraph 函数工作流的函数并发数在指定范围内 配置变更 fgs.functions 函数工作流使用指定VPC 配置变更 fgs.functions 函数工作流的函数不允许访问公网 配置变更 fgs.functions 检查函数工作流参数设置 配置变更 fgs.functions 函数工作流的函数启用日志配置 配置变更 fgs.functions 内容分发网络 CDN CDN使用HTTPS证书 配置变更 cdn.domains CDN回源方式使用HTTPS 配置变更 cdn.domains CDN安全策略检查 配置变更 cdn.domains CDN使用自有证书 配置变更 cdn.domains 数据仓库服务 DWS DWS集群启用KMS加密 配置变更 dws.clusters DWS集群启用日志转储 配置变更 dws.clusters DWS集群启用自动快照 配置变更 dws.clusters DWS集群启用SSL加密连接 配置变更 dws.clusters DWS集群未绑定弹性公网IP 配置变更 dws.clusters DWS集群运维时间窗检查 配置变更 dws.clusters DWS集群VPC检查 配置变更 dws.clusters 数据复制服务 DRS 数据复制服务实时灾备任务不使用公网网络 配置变更 drs.dataGuardJob 数据复制服务实时迁移任务不使用公网网络 配置变更 drs.migrationJob 数据复制服务实时同步任务不使用公网网络 配置变更 drs.synchronizationJob 数据加密 服务 DEW KMS密钥不处于“计划删除”状态 配置变更 kms.keys KMS密钥启用密钥轮换 配置变更 kms.keys 检查C SMS 凭据轮转成功 配置变更 csms.secrets 统一身份认证服务 IAM IAM用户的AccessKey在指定时间内轮换 周期触发 iam.users IAM策略中不授权KMS的禁止的action 配置变更 iam.roles&iam.policies IAM用户组添加了IAM用户 配置变更 iam.groups IAM用户密码策略符合要求 配置变更 iam.users IAM策略黑名单检查 配置变更 iam.users、iam.groups、iam.agencies IAM策略不具备Admin权限 配置变更 iam.roles、iam.policies IAM自定义策略具备所有权限 配置变更 iam.roles、iam.policies 根用户存在可使用的访问密钥 周期触发 account IAM用户访问模式 配置变更 iam.users IAM用户创建时设置AccessKey 配置变更 iam.users IAM用户归属指定用户组 配置变更 iam.users IAM用户在指定时间内有登录行为 周期触发 iam.users IAM用户开启MFA 配置变更 iam.users IAM用户单访问密钥 配置变更 iam.users Console侧密码登录的IAM用户开启MFA认证 配置变更 iam.users 根用户开启MFA认证 周期触发 account IAM策略使用中 配置变更 iam.policies IAM权限使用中 配置变更 iam.roles IAM用户开启登录保护 周期触发 iam.users IAM委托绑定策略检查 配置变更 iam.agencies IAM用户admin权限检查 配置变更 iam.users 文档数据库服务 DDS DDS实例开启SSL 配置变更 dds.instances DDS实例属于指定实例类型 配置变更 dds.instances DDS实例未绑定弹性公网IP 配置变更 dds.instances DDS实例端口检查 配置变更 dds.instances DDS实例数据库版本检查 配置变更 dds.instances DDS实例属于指定虚拟私有云ID 配置变更 dds.instances 消息通知 服务 SMN SMN主题配置访问日志 配置变更 smn.topic 虚拟私有云 VPC 未与子网关联的网络ACL 配置变更 vpc.firewallGroups 默认安全组关闭出、入方向流量 配置变更 vpc.securityGroups VPC启用流日志 配置变更 vpc.vpcs 安全组端口检查 配置变更 vpc.securityGroups 安全组入站流量限制指定端口 配置变更 vpc.securityGroups 安全组入站流量限制SSH端口 配置变更 vpc.securityGroups 安全组非白名单端口检查 配置变更 vpc.securityGroups 安全组连接到弹性网络接口 配置变更 vpc.securityGroups 虚拟专用网络 VPN VPN连接状态为“正常” 配置变更 vpnaas.vpnConnections、vpnaas.ipsec-site-connections 云监控服务 CES CES启用告警操作 配置变更 ces.alarms CES配置监控KMS禁用或计划删除密钥的事件监控告警 周期触发 account CES配置监控OBS桶策略变更的事件监控告警 周期触发 account 指定的资源类型绑定指定指标CES告警 周期触发 account 检查特定指标的CES告警进行特定配置 配置变更 ces.alarms CES配置监控VPC变更的事件监控告警 周期触发 account 云容器引擎 CCE CCE集群版本为处于维护的版本 配置变更 cce.clusters CCE集群运行的非受支持的最旧版本 配置变更 cce.clusters CCE集群资源不具有弹性公网IP 配置变更 cce.clusters CCE集群规格在指定的范围 配置变更 cce.clusters CCE集群VPC检查 配置变更 cce.clusters 云审计 服务 CTS CTS追踪器通过KMS进行加密 配置变更 cts.trackers CTS追踪器启用事件分析 配置变更 cts.trackers CTS追踪器追踪指定的OBS桶 周期触发 account CTS追踪器打开事件文件校验 配置变更 cts.trackers 创建并启用CTS追踪器 周期触发 account 在指定区域创建并启用CTS追踪器 周期触发 account CTS追踪器符合安全最佳实践 周期触发 account 云数据库 RDS RDS实例开启备份 配置变更 rds.instances RDS实例开启错误日志 配置变更 rds.instances RDS实例开启慢日志 配置变更 rds.instances RDS实例支持多可用区 配置变更 rds.instances RDS实例不具有弹性公网IP 配置变更 rds.instances RDS实例开启存储加密 配置变更 rds.instances RDS实例属于指定虚拟私有云ID 配置变更 rds.instances RDS实例配备日志 配置变更 rds.instances RDS实例规格在指定的范围 配置变更 rds.instances RDS实例启用SSL加密通讯 配置变更 rds.instances RDS实例端口检查 配置变更 rds.instances RDS实例数据库引擎版本检查 配置变更 rds.instances RDS实例启用审计日志 配置变更 rds.instances 云数据库 GaussDB GaussDB资源属于指定虚拟私有云ID 配置变更 gaussdb.instance GaussDB实例开启审计日志 配置变更 gaussdb.instance GaussDB实例开启自动备份 配置变更 gaussdb.instance GaussDB实例开启错误日志 配置变更 gaussdb.instance GaussDB实例开启慢日志 配置变更 gaussdb.instance GaussDB实例EIP检查 配置变更 gaussdb.instance GaussDB实例跨AZ部署检查 配置变更 gaussdb.instance GaussDB实例开启传输数据加密 配置变更 gaussdb.instance 云数据库 GaussDB(for MySQL) GaussDB(for MySQL)实例开启审计日志 配置变更 gaussdbformysql.instance GaussDB(for MySQL)实例开启备份 配置变更 gaussdbformysql.instance GaussDB(for MySQL)实例开启错误日志 配置变更 gaussdbformysql.instance GaussDB(for MySQL)实例开启慢日志 配置变更 gaussdbformysql.instance GaussDB(for MySQL)实例开启传输数据加密 配置变更 gaussdbformysql.instance GaussDB(for MySQL)实例跨AZ部署检查 配置变更 gaussdbformysql.instance GaussDB(for MySQL)实例EIP检查 配置变更 gaussdbformysql.instance GaussDB(for MySQL)实例VPC检查 配置变更 gaussdbformysql.instance 云数据库 GeminiDB GeminiDB部署在单个可用区 配置变更 nosql.instances GeminiDB开启备份 配置变更 nosql.instances GeminiDB使用磁盘加密 配置变更 nosql.instances GeminiDB开启错误日志 配置变更 nosql.instances GeminiDB开启慢查询日志 配置变更 nosql.instances 云搜索服务 CSS CSS集群启用安全模式 配置变更 css.clusters CSS集群启用快照 配置变更 css.clusters CSS集群开启磁盘加密 配置变更 css.clusters CSS集群启用HTTPS 配置变更 css.clusters CSS集群绑定指定VPC资源 配置变更 css.clusters CSS集群具备多AZ容灾 配置变更 css.clusters CSS集群具备多实例容灾 配置变更 css.clusters CSS集群不能公网访问 配置变更 css.clusters CSS集群支持安全模式 配置变更 css.clusters CSS集群未开启访问控制开关 配置变更 css.clusters CSS集群Kibana未开启访问控制开关 配置变更 css.clusters 云硬盘 EVS 云硬盘的类型在指定的范围内 配置变更 evs.volumes 云硬盘创建后在指定天数内绑定资源实例 周期触发 evs.volumes 云硬盘闲置检测 配置变更 evs.volumes 已挂载的云硬盘开启加密 配置变更 evs.volumes 云硬盘开启加密 配置变更 evs.volumes EVS资源在备份存储库保护中 配置变更 evs.volumes EVS资源的备份时间检查 周期触发 evs.volumes 云证书管理服务 CCM 检查私有CA是否过期 周期触发 pca.ca 检查私有证书是否过期 周期触发 pca.cert 检查私有根CA是否停用 周期触发 pca.ca 分布式消息服务Kafka版 DMS Kafka队列打开内网SSL加密访问 配置变更 dms.kafkas DMS Kafka队列打开公网SSL加密访问 配置变更 dms.kafkas DMS Kafka队列开启公网访问 配置变更 dms.kafkas 分布式消息服务RabbitMQ版 DMS RabbitMq队列打开SSL加密访问 配置变更 dms.rabbitmqs 分布式消息服务RocketMQ版 DMS Reliability队列打开SSL加密访问 配置变更 dms.reliabilitys 组织 Organizations 账号加入组织 周期触发 account 云防火墙 CFW CFW防火墙配置防护策略 配置变更 cfw.cfw_instance 云备份 CBR CBR备份被加密 配置变更 cbr.backup CBR备份策略执行频率检查 配置变更 cbr.policy CBR存储库最低保留天数 配置变更 cbr.vault 对象存储服务 OBS OBS桶策略中不授权禁止的Action 配置变更 obs.buckets OBS桶策略中授权检查 配置变更 obs.buckets OBS桶策略授权约束 配置变更 obs.buckets OBS桶禁止公开读 配置变更 obs.buckets OBS桶禁止公开写 配置变更 obs.buckets OBS桶策略授权行为使用SSL加密 配置变更 obs.buckets 镜像服务 IMS 私有镜像开启加密 配置变更 ims.images 裸金属服务器 BMS BMS资源使用密钥对登录 配置变更 bms.servers 父主题： 系统内置预设策略

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token。通过调用IAM服务获取用户Token接口获取（响应消息头中X-Subject-Token的值）。 表3 请求Body参数 参数 是否必选 参数类型 描述 permissions 是 Array of strings 白名单记录列表。每个白名单记录的格式为iam:domain::授权账号ID。 其中，授权账号ID是长度为32的字符串，只包含英文字母（a-f）或数字；也可为*，表示允许全部用户连接。 数组长度：1 - 50

响应参数 状态码： 200 表4 响应Header参数 参数 参数类型 描述 x-request-id String 请求编号 表5 响应Body参数 参数 参数类型 描述 permissions Array of strings 白名单记录列表。每个白名单记录的格式为iam:domain::授权账号ID。 其中，授权账号ID是长度为32的字符串，只包含英文字母（a-f）或数字；也可为*，表示允许全部用户连接。 数组长度：1 - 50 状态码： 401 表6 响应Header参数 参数 参数类型 描述 x-request-id String 请求编号 表7 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码： 403 表8 响应Header参数 参数 参数类型 描述 x-request-id String 请求编号 表9 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码： 404 表10 响应Header参数 参数 参数类型 描述 x-request-id String 请求编号 表11 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码： 500 表12 响应Header参数 参数 参数类型 描述 x-request-id String 请求编号 表13 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述

响应示例 状态码： 200 OK { "permissions" : [ "iam:domain::930ba6b0ea64457e8ed1861e596c7a9a" ] } 状态码： 401 Unauthorized { "error_code" : "APIC.7102", "error_msg" : "Incorrect token or token resolution failed" } 状态码： 403 Forbidden { "error_code" : "APIC.7106", "error_msg" : "No permissions to request for the method" } 状态码： 404 Resource Not Found { "error_code" : "APIC.7314", "error_msg" : "Endpoint service not found" } 状态码： 500 Internal Server Error { "error_code" : "APIC.9007", "error_msg" : "Failed to execute VCPEP request" }

URI POST /v2/{project_id}/apigw/instances/{instance_id}/vpc-endpoint/permissions/batch-add 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID，获取方式请参见获取项目ID。 instance_id 是 String 实例ID，在API网关控制台的“实例信息”中获取。

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token。通过调用IAM服务获取用户Token接口获取（响应消息头中X-Subject-Token的值）。 表3 请求Body参数 参数 是否必选 参数类型 描述 strategy_id 是 String 流控策略编号 最小长度：1 最大长度：65 publish_ids 是 Array of strings API的发布记录编号

响应参数 状态码： 201 表4 响应Body参数 参数 参数类型 描述 throttle_applys Array of ThrottleApiBinding objects API与流控策略的绑定关系列表 表5 ThrottleApiBinding 参数 参数类型 描述 publish_id String API的发布记录编号 scope Integer 策略作用域，取值如下： 1：整个API 2： 单个用户 3：单个APP 目前只支持1 strategy_id String 流控策略的ID apply_time String 绑定时间 id String 绑定关系的ID 状态码： 401 表6 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码： 403 表7 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码： 404 表8 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码： 500 表9 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述

功能介绍 将流控策略应用于API，则所有对该API的访问将会受到该流控策略的限制。 当一定时间内的访问次数超过流控策略设置的API最大访问次数限制后，后续的访问将会被拒绝，从而能够较好的保护后端API免受异常流量的冲击，保障服务的稳定运行。 为指定的API绑定流控策略，绑定时，需要指定在哪个环境上生效。同一个API发布到不同的环境可以绑定不同的流控策略；一个API在发布到特定环境后只能绑定一个默认的流控策略。

响应示例 状态码： 201 Created { "throttle_applys" : [ { "publish_id" : "40e7162dc6b94bbbbb1a60d2a24b1b0c", "scope" : 1, "strategy_id" : "3437448ad06f4e0c91a224183116e965", "apply_time" : "2020-08-03T12:25:52.257613934Z", "id" : "3e06ac135e18477e918060d3c59d6f6a" } ] } 状态码： 401 Unauthorized { "error_code" : "APIG.1002", "error_msg" : "Incorrect token or token resolution failed" } 状态码： 403 Forbidden { "error_code" : "APIG.1005", "error_msg" : "No permissions to request this method" } 状态码： 404 Not Found { "error_code" : "APIG.3005", "error_msg" : "Request throttling policy 3437448ad06f4e0c91a224183116e965 does not exist" } 状态码： 500 Internal Server Error { "error_code" : "APIG.9999", "error_msg" : "System error" }

响应参数 状态码： 201 表13 响应Body参数 参数 参数类型 描述 vpc_channel_id String vpc通道编号 api_group_id String api分组编号 apis Array of MicroserviceImportApiResp objects 导入的api列表 表14 MicroserviceImportApiResp 参数 参数类型 描述 name String API名称 req_uri String API请求路径 req_method String API请求方法 id String API编号 match_mode String API的匹配方式 SWA：前缀匹配 NORMAL：正常匹配（绝对匹配） 默认：SWA 状态码： 400 表15 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码： 401 表16 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码： 403 表17 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码： 404 表18 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码： 500 表19 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述

响应示例 状态码： 201 success 示例 1 { "vpc_channel_id" : "9d075537ff314a5e8e5c98bf29549b89", "api_group_id" : "6329eaa17736412b988536179cd8d662", "apis" : [ { "id" : "72e667087fe140529f81995b213dadbe", "name" : "api1", "req_uri" : "/test", "req_method" : "ANY", "match_mode" : "SWA" } ] } 示例 2 { "vpc_channel_id" : "3f56e9d4a747486caa4cfb59a47b6854", "api_group_id" : "6329eaa17736412b988536179cd8d662", "apis" : [ { "id" : "3b52e2c05710470b88e283deb0a805e6", "name" : "dp_b09d", "req_uri" : "/test", "req_method" : "ANY", "match_mode" : "SWA" } ] } 状态码： 400 Bad Request { "error_code" : "APIG.2011", "error_msg" : "Invalid parameter value,parameterName:name. Please refer to the support documentation" } 状态码： 401 Unauthorized { "error_code" : "APIG.1002", "error_msg" : "Incorrect token or token resolution failed" } 状态码： 403 Forbidden { "error_code" : "APIG.1005", "error_msg" : "No permissions to request this method" } 状态码： 404 Not Found { "error_code" : "APIG.3030", "error_msg" : "The instance does not exist;id:f0fa1789-3b76-433b-a787-9892951c620ec" } 状态码： 500 Internal Server Error { "error_code" : "APIG.9999", "error_msg" : "System error" }

请求示例 导入CSE微服务 { "group_info" : { "group_id" : "6329eaa17736412b988536179cd8d662", "group_name" : "", "app_id" : "" }, "service_type" : "CSE", "protocol" : "HTTPS", "apis" : [ { "name" : "api1", "req_method" : "ANY", "req_uri" : "/test", "match_mode" : "SWA" } ], "backend_timeout" : 5000, "auth_type" : "NONE", "cors" : false, "cse_info" : { "engine_id" : "fde2c21c-5bd9-40f0-ad6a-81e4b6782805a", "service_id" : "92919f98fba80c2df13cc285c983946c90e635ff", "version" : "1.0.0" } } 导入CCE工作负载，负载类型为无状态负载Deployment { "group_info" : { "group_id" : "6329eaa17736412b988536179cd8d662", "group_name" : "", "app_id" : "" }, "service_type" : "CCE", "protocol" : "HTTPS", "apis" : [ { "name" : "dp", "req_method" : "ANY", "req_uri" : "/test", "match_mode" : "SWA" } ], "backend_timeout" : 5000, "auth_type" : "NONE", "cors" : false, "cce_info" : { "cluster_id" : "11069278-f9f8-11ec-b1b2-0255ac100b06", "namespace" : "test", "workload_type" : "deployment", "app_name" : "dp", "port" : 80, "labels" : [ { "label_name" : "cluster_id", "label_value" : "c429700c-5dc4-482a-9c0e-99f6c0635113" } ] } }

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token。通过调用IAM服务获取用户Token接口获取（响应消息头中X-Subject-Token的值）。 表3 请求Body参数 参数 是否必选 参数类型 描述 group_info 是 MicroserviceGroup object 导入微服务的API分组信息 service_type 是 String 微服务中心类型。 CSE：CSE微服务注册中心 CCE: CCE云容器引擎（工作负载） CCE_SERVICE: CCE云容器引擎（Service） NACOS: Nacos注册中心，nacos_info必填。 protocol 否 String API网关访问微服务的请求协议 HTTP HTTPS 缺省值：HTTPS apis 是 Array of MicroserviceApiCreate objects 导入的api列表 数组长度：1 - 50 backend_timeout 否 Integer APIG请求后端服务的超时时间。最大超时时间可通过实例特性backend_timeout配置修改，可修改的上限为600000，默认5000 单位：毫秒。 最小值：1 缺省值：5000 auth_type 否 String API的认证方式，默认无认证。 NONE：无认证 APP：APP认证 IAM：IAM认证 缺省值：NONE cors 否 Boolean 是否支持跨域，默认不支持 true：支持 false：不支持 缺省值：false cse_info 否 MicroServiceInfoCSECreate object CSE微服务详细信息，service_type为CSE时必填 cce_info 否 MicroServiceInfoCCECreate object CCE云容器引擎工作负载信息，service_type为CCE时必填 cce_service_info 否 MicroServiceInfoCCEServiceCreate object CCE云容器引擎Service信息，service_type为CCE_SERVICE时必填 nacos_info 否 MicroServiceInfoNacosBase object nacos基础信息。 表4 MicroserviceGroup 参数 是否必选 参数类型 描述 group_id 否 String 指定已有的分组，为空时创建新的分组 最小长度：0 最大长度：64 group_name 否 String API分组的名称,group_id为空时必填。 支持汉字、英文、数字、中划线、下划线、点、斜杠、中英文格式下的小括号和冒号、中文格式下的顿号，且只能以英文、汉字和数字开头，3-255个字符。 说明： 中文字符必须为UTF-8或者unicode编码。 最小长度：3 最大长度：255 app_id 否 String group_id为空时必填，指定新分组所属的集成应用 最小长度：0 最大长度：64 表5 MicroserviceApiCreate 参数 是否必选 参数类型 描述 name 否 String API名称。 支持汉字、英文、数字、中划线、下划线、点、斜杠、中英文格式下的小括号和冒号、中文格式下的顿号，且只能以英文、汉字和数字开头。 说明： 中文字符必须为UTF-8或者unicode编码。 最小长度：3 最大长度：255 req_method 否 String API的请求方式 缺省值：ANY req_uri 是 String 请求地址。可以包含请求参数，用{}标识，比如/getUserInfo/{userId}，支持 * / %- _ . 等特殊字符，总长度不超过512，且满足URI规范。 /apic/health_check为APIG预置的健康检查路径，当req_method=GET时不支持req_uri=/apic/health_check。 说明： 需要服从URI规范。 最小长度：1 最大长度：512 match_mode 否 String API的匹配方式 SWA：前缀匹配 NORMAL：正常匹配（绝对匹配） 默认：NORMAL 缺省值：SWA 表6 MicroServiceInfoCSECreate 参数 是否必选 参数类型 描述 engine_id 是 String 微服务引擎编号 最大长度：64 service_id 是 String 微服务编号 最大长度：64 version 是 String 微服务版本 最大长度：64 表7 MicroServiceInfoCCECreate 参数 是否必选 参数类型 描述 cluster_id 是 String 云容器引擎集群编号 最大长度：64 namespace 是 String 命名空间 最大长度：64 workload_type 是 String 工作负载类型 deployment：无状态负载 statefulset：有状态负载 daemonset：守护进程集 app_name 否 String APP名称。支持汉字，英文，数字，点，中划线，下划线，且只能以英文和汉字开头，1-64字符。 说明： 中文字符必须为UTF-8或者unicode编码。 最小长度：1 最大长度：64 label_key 否 String 服务标识名。支持汉字、英文、数字、中划线、下划线、点、斜杠、中英文格式下的小括号和冒号，且只能以英文、汉字和数字开头，1-64个字符。 说明： 中文字符必须为UTF-8或者unicode编码。 最小长度：1 最大长度：64 label_value 否 String 服务标识值。支持汉字，英文，数字，点，中划线，下划线，且只能以英文和汉字开头，1-64字符。 说明： 中文字符必须为UTF-8或者unicode编码。 最小长度：1 最大长度：64 version 否 String 工作负载的版本 最大长度：64 port 是 Integer 工作负载的监听端口号 最小值：1 最大值：65535 labels 否 Array of MicroserviceLabel objects 工作负载的标签列表。 表8 MicroserviceLabel 参数 是否必选 参数类型 描述 label_name 是 String 标签名称。 以字母或者数字开头和结尾，由字母、数字、连接符('-')、下划线('_')、点号('.')组成且63个字符之内。 最小长度：1 最大长度：63 label_value 是 String 标签值。 以字母或者数字开头和结尾，由字母、数字、连接符('-')、下划线('_')、点号('.')组成且63个字符之内。 最小长度：1 最大长度：63 表9 MicroServiceInfoCCEServiceCreate 参数 是否必选 参数类型 描述 cluster_id 是 String 云容器引擎集群编号 最大长度：64 namespace 是 String 命名空间。1-63字符。只能包含小写字母、数字，以及 '-'，必须以字母开头，必须以字母数字结尾。 最小长度：1 最大长度：63 service_name 是 String Service名称。支持汉字，英文，数字，点，中划线，下划线，且只能以英文和汉字开头，1-64字符。 说明： 中文字符必须为UTF-8或者unicode编码。 最小长度：1 最大长度：64 port 否 Integer Service的监听端口号。如果是多端口Service，用户需填写一个端口。 最小值：1 最大值：65535 表10 MicroServiceInfoNacosBase 参数 是否必选 参数类型 描述 namespace 否 String 命名空间ID，当选择默认命名空间public时，此项为空。由字母、数字、连接符('-')、下划线('_')组成且64个字符之内。 最小长度：0 最大长度：64 cluster_name 否 String 集群名称，默认为DEFAULT。由字母、数字、连接符('-')、下划线('_')组成且64个字符之内。 最小长度：0 最大长度：64 group_name 否 String 分组名称，默认为DEFAULT_GROUP。由字母、数字、连接符('-')、下划线('_')、点号('.')、冒号(':')组成且128个字符之内。 最小长度：0 最大长度：128 service_name 是 String 微服务名称。不包含中文和@@，不得以@开头，512个字符以内。 最小长度：1 最大长度：512 server_config 是 Array of NacosServerConfig objects nacos服务端配置信息。 数组长度：1 - 9 user_info 是 NacosUserInfo object nacos用户信息。 表11 NacosServerConfig 参数 是否必选 参数类型 描述 ip_address 是 String nacos服务端IP地址。不包含中文字符。 最小长度：7 最大长度：128 port 是 Integer nacos服务端端口号。取值范围1 ~ 65535。 最小值：1 最大值：65535 grpc_port 否 Integer nacos服务端gRPC端口号，默认为port+1000。取值范围1 ~ 65535。 最小值：1 最大值：65535 表12 NacosUserInfo 参数 是否必选 参数类型 描述 user_name 是 String nacos用户名。 最小长度：1 最大长度：64 password 是 String nacos密码。 最小长度：1 最大长度：64

响应示例 状态码： 200 OK { "total" : 1, "size" : 1, "apis" : [ { "api_id" : "8aa097b00e9843efabc9c593d11b769d", "api_name" : "测试API", "type" : 1, "req_protocol" : "HTTP", "req_method" : "GET", "req_uri" : "/test", "auth_type" : "IAM", "match_mode" : "NORMAL", "remark" : "API描述", "group_id" : "b9be707660c5406394f8973e087bae20", "group_name" : "DEFAULT", "roma_app_id" : "", "plugin_attach_id" : "8aa097b00e9843efacb9c593d11b769e", "publish_id" : "4739b3s5b729aa2237ef0d66dc635276", "env_id" : "DEFAULT_ENVIRONMENT_RELEASE_ID", "env_name" : "RELEASE", "attached_time" : "2020-11-02T12:31:23.353Z" } ] } 状态码： 400 Bad Request { "error_code" : "APIG.2012", "error_msg" : "Invalid parameter value,parameterName:instance_id. Please refer to the support documentation" } 状态码： 401 Unauthorized { "error_code" : "APIG.1002", "error_msg" : "Incorrect token or token resolution failed" } 状态码： 403 Forbidden { "error_code" : "APIG.1005", "error_msg" : "No permissions to request this method" } 状态码： 404 Not Found { "error_code" : "APIG.3068", "error_msg" : "Plugin b294018ee0554156a875b3513e02e5b9 does not exist" } 状态码： 500 Internal Server Error { "error_code" : "APIG.9999", "error_msg" : "System error" }

响应参数 状态码： 200 表4 响应Body参数 参数 参数类型 描述 size Integer 本次返回的列表长度 total Long 满足条件的记录数 apis Array of PluginApiInfo objects 绑定插件的API列表。 表5 PluginApiInfo 参数 参数类型 描述 api_id String API编号 api_name String API名称。 支持汉字、英文、数字、中划线、下划线、点、斜杠、中英文格式下的小括号和冒号、中文格式下的顿号，且只能以英文、汉字和数字开头，3-255个字符。 说明： 中文字符必须为UTF-8或者unicode编码。 type Integer API类型 1：公有API 2：私有API req_protocol String API的请求协议 HTTP HTTPS BOTH：同时支持HTTP和HTTPS 缺省值：HTTPS req_method String API的请求方式 req_uri String 请求地址。可以包含请求参数，用{}标识，比如/getUserInfo/{userId}，支持 * / %- _ . 等特殊字符，总长度不超过512，且满足URI规范。 支持环境变量，使用环境变量时，每个变量名的长度为3 ~ 32位的字符串，字符串由英文字母、数字、中划线、下划线组成，且只能以英文开头。 说明： 需要服从URI规范。 auth_type String API的认证方式 NONE：无认证 APP：APP认证 IAM：IAM认证 AUTHORIZER：自定义认证 match_mode String API的匹配方式 SWA：前缀匹配 NORMAL：正常匹配（绝对匹配） 默认：NORMAL remark String API描述。 group_id String API所属的分组编号 group_name String API所属分组的名称 roma_app_id String 归属集成应用编码,兼容roma实例的字段，一般为空 env_id String 绑定API的环境编码。 env_name String 绑定API的环境名称 publish_id String 发布编码。 plugin_attach_id String 插件绑定编码。 attached_time String 绑定时间。 tags Array of strings API绑定的标签，标签配额默认10条，可以联系技术调整。 最小长度：1 最大长度：128 数组长度：0 - 10 状态码： 400 表6 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码： 401 表7 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码： 403 表8 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码： 404 表9 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码： 500 表10 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述

URI GET /v2/{project_id}/apigw/instances/{instance_id}/plugins/{plugin_id}/attachable-apis 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID，获取方式请参见获取项目ID。 instance_id 是 String 实例ID，在API网关控制台的“实例信息”中获取。 plugin_id 是 String 插件编号 表2 Query参数 参数 是否必选 参数类型 描述 offset 否 Long 偏移量，表示从此偏移量开始查询，偏移量小于0时，自动转换为0 缺省值：0 limit 否 Integer 每页显示的条目数量，条目数量小于等于0时，自动转换为20，条目数量大于500时，自动转换为500 最小值：1 最大值：500 缺省值：20 env_id 是 String 发布的环境编号 api_name 否 String API名称 api_id 否 String API编号 group_id 否 String 分组编号 req_method 否 String 请求方法 req_uri 否 String 请求路径 tags 否 String API标签，该参数可指定多个，多个不同的参数值为或关系；不指定或为空时，表示不筛选标签；指定为#no_tags#时，表示筛选无标签API。 最小长度：0 最大长度：128

响应示例 状态码： 200 OK { "total" : 1, "size" : 1, "bindings" : [ { "api_id" : "5f918d104dc84480a75166ba99efff21", "group_name" : "api_group_001", "binding_time" : "2020-08-03T04:00:11Z", "env_id" : "DEFAULT_ENVIRONMENT_RELEASE_ID", "env_name" : "RELEASE", "sign_name" : "signature_demo", "api_type" : 1, "api_name" : "Api_http", "id" : "25082bd52f74442bb1d273993d567938", "api_remark" : "Web backend API", "publish_id" : "40e7162dc6b94bbbbb1a60d2a24b1b0c" } ] } 状态码： 400 Bad Request { "error_code" : "APIG.2012", "error_msg" : "Invalid parameter value,parameterName:api_name. Please refer to the support documentation" } 状态码： 401 Unauthorized { "error_code" : "APIG.1002", "error_msg" : "Incorrect token or token resolution failed" } 状态码： 403 Forbidden { "error_code" : "APIG.1005", "error_msg" : "No permissions to request this method" } 状态码： 404 Not Found { "error_code" : "APIG.3017", "error_msg" : "Signature key 0b0e8f456b8742218af75f945307173c does not exist" } 状态码： 500 Internal Server Error { "error_code" : "APIG.9999", "error_msg" : "System error" }