华为云用户手册

标签策略简介 标签策略是策略的一种类型，可帮助您在组织账号中对资源添加的标签进行标准化管理。在标签策略中，您可以限定为资源添加的标签必须符合规范。标签策略对未添加标签的资源或未在标签策略中定义的标签不会生效。 例如：标签策略规定为某资源添加的标签A，需要遵循标签策略中定义的大小写规则和标签值。若标签A使用的大小写、标签值不符合标签策略，则资源将会被标记为不合规。 标签策略当前的应用方式为事前拦截：标签策略开启强制执行后，则会阻止在指定的资源类型上完成不合规的标记操作。 标签策略可以绑定到组织的根、OU和账号。当绑定到根和OU时，所有子OU和子账号都继承该标签策略。账号继承的所有标签策略和直接绑定到账户上的所有标签策略，根据继承运算符最终聚合为有效标签策略。

删除组织的影响 对管理账号的影响 管理账号将成为独立账号。您可以继续将此账号作为独立账号使用，也可以使用它创建不同的组织，它也可以作为成员账号接受其他组织的邀请。 组织的管理账号从来不受服务控制策略（SCP）的影响，所以组织删除后，管理账号及管理账号的 IAM 用户权限没有任何更改。 对成员账号的影响 成员账号将成为独立账号。您可以继续将它作为独立账号使用，也可以使用它创建不同的组织，它也可以作为成员账号接受其他组织的邀请。 删除组织后，组织的成员账号将不再受到服务控制策略（SCP）的影响，成员账号及成员账号的IAM用户权限可能会发生改变。 对策略的影响 如果您删除组织，则无法恢复它。如果您在组织内创建了服务控制策略，则也将删除这些策略，并且将不能恢复。

Organizations自定义策略样例 示例1：授权IAM用户邀请账号加入组织、从组织中移除成员账号。 { "Version": "5.0", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:accounts:invite", "organizations:accounts:remove" ] } ] } 示例2：拒绝IAM用户删除OU、移除成员账号。 拒绝策略需要同时配合其他策略使用，否则没有实际作用。如果没有主动授权某一操作，则系统默认Deny。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先原则。 如果您给用户授予OrganizationsFullAccess的系统策略，但不希望用户拥有OrganizationsFullAccess中定义的删除OU、移除成员账号的权限，您可以创建一条拒绝删除OU、成员账号的自定义策略，然后同时将OrganizationsFullAccess和拒绝策略授予用户，根据Deny优先原则，则用户可以对组织执行除了删除OU、移除成员账号外的所有操作。拒绝策略示例如下： { "Version": "5.0", "Statement": [ { "Effect": "Deny", "Action": [ "organizations:ous:delete", "organizations:accounts:remove" ] } ] }

测试SCP的影响 针对SCP对账号的影响，强烈建议您在生产环境应用SCP前，使用测试账号、测试环境、测试用例开展充分且彻底的系统设计和系统测试，避免对生产环境中服务资源的使用产生不必要的影响。在测试环境充分验证之后，且需要在生产环境应用时，您可以先创建一个OU，并每次移入一个账号或少量账号，以确保不会意外中断服务资源的使用。 对于系统预置的SCP系统策略“FullAccess”，解绑操作需谨慎处理，除非您将其替换为具有允许操作的自定义策略，否则不应解绑该策略。当您确定需要解绑“FullAccess”并且配置具有允许操作的自定义策略时，除配置业务需要的授权项外，必须额外配置iamToken::*和signin::*。 如果解绑Root的“FullAccess”策略，则整个组织内所有账号的可操作性权限都将失效。此操作风险极高，需谨慎操作。 如果解绑OU的“FullAccess”策略，则该OU（包含下级OU）内账号的可操作权限都将失效。 如果解绑成员账号的“FullAccess”策略，则该账号的可操作权限将失效。

不受SCP限制的任务 您无法使用SCP来限制以下任务： 组织管理账号及其IAM用户执行的任何操作。 使用服务关联委托执行的任何操作。 由不支持SCP的云服务对支持SCP的云服务发起的API调用请求，将不受SCP限制。当前支持SCP的云服务和区域请参见：支持SCP的云服务和支持SCP的区域。 通过API方式 获取Token 后，使用该Token访问支持SCP的云服务的API，在大多数场景下将不受SCP限制。 华为云移动端APP版本低于v3.30.0，将不受SCP限制。

概述 服务控制策略 (Service Control Policy，SCP) 是一种基于组织的访问控制策略。组织管理账号可以使用SCP指定组织中成员账号的权限边界，限制账号内用户的操作。SCP可以关联到组织、OU和成员账号。当SCP关联到组织或OU时，该组织或OU下所有账号均受该策略影响。 本节将从以下几方面为您介绍SCP： SCP原理介绍：介绍SCP的分类，作用原理，继承规则，与IAM策略的关系。 SCP语法介绍：介绍SCP的组成结构与策略参数。

创建OU 您可以在组织的根下创建OU。OU最深可嵌套至5层。创建OU请执行以下步骤。 以组织管理员或管理账号的身份登录华为云，进入华为云Organizations控制台，进入组织管理页面。 在组织结构树中选中父OU的名称（而不是展开框）。如您是首次创建OU，则需选中根OU的名称（即Root）。 OU最深可嵌套5层，一个OU只能有一个父OU，一个OU下可以关联多个子OU。父OU即为上一层的OU，创建OU时请确保选中正确的父OU。 单击组织结构树上方的“添加”，单击“添加组织单元”。 图1 添加组织单元 在弹窗中填写组织单元名称。 （可选）为组织单元添加标签。 标签以键值对的形式表示，用于标识组织单元，便于对组织单元进行分类和搜索。一个组织单元最多添加20个标签。 标签的设置说明如表1所示。 表1 标签说明 参数 说明 举例 键 输入标签的键，同一个组织单元标签的键不能重复。键可以自定义，也可以选择预先在标签管理服务（TMS）创建好的标签的键。 键命名规则如下： 不能为空。 长度为1~128个字符。 由英文字母、数字、下划线、中划线、UNICODE字符（\u4E00-\u9FFF）组成。 Key_0001 值 输入标签的值，标签的值可以重复，并且可以为空。 标签值的命名规则如下： 可以为空。 长度为1~225个字符。 由英文字母、数字、下划线、点、中划线、UNICODE字符（\u4E00-\u9FFF）组成。 Value_0001 然后单击“确定”，完成OU创建。 父主题： OU管理

修改标签策略 以组织管理员或管理账号的身份登录管理控制台，进入Organizations控制台。 进入策略管理页，单击“标签策略”，进入标签策略列表。 单击标签策略操作列的“编辑”，进入编辑标签策略页面。 图1 编辑标签策略 可根据需要修改“策略名称”和“策略描述”。 按需修改策略内容。可通过“可视化编辑器”和“JSON”两种方式进行修改。 单击右下角“保存”后，如跳转到标签策略列表，则标签策略修改成功。

禁用标签策略 如果您不想再使用标签策略管理组织的标签规则，可以禁用标签策略，但只有组织的管理账号才可以禁用标签策略。 禁用标签策略后，所有标签策略会自动从组织中的所有实体解绑，包括所有OU和账号，但是策略本身不会被删除。 若禁用标签策略后再重新启用标签策略，实体与其他标签策略的绑定关系将丢失，如需恢复则需要管理账号重新绑定。 以组织管理员或管理账号的身份登录管理控制台，进入Organizations控制台。 进入策略管理页，单击标签策略操作列的“禁用”。 图2 禁用标签策略 在弹窗中单击“确定”，完成标签策略禁用。

管理组织的待处理邀请 登录到管理账号后，您可以查看和管理组织创建的邀请，具体步骤如下。 以组织管理员或管理账号的身份登录华为云，进入华为云Organizations控制台，进入账号管理页面。 选择“邀请记录”页签，此页面展示组织发送的所有邀请及当前状态。 单击邀请记录操作列的“取消邀请” ，在弹框中单击“确定”可完成邀请取消。您只能取消“邀请中”的账号。 取消邀请后，邀请的状态将从“邀请中”更改为 “已取消”。邀请取消后若要再次邀请当前账号，则必须重新发出邀请，才能让其加入您的组织。 图3 取消邀请

接受或拒绝来自组织的邀请 您的账号可能会收到加入某个组织的邀请，您可以接受或拒绝邀请。 一个账号只能加入一个组织。如果您收到多个加入组织邀请，只能接受其中一个。如果当前您已加入组织，则需要退出当前组织后，才能再次接受组织邀请。 以受邀成员账号的身份登录华为云，进入华为云Organizations控制台。 此时界面会向您展示邀请列表。接受邀请则单击对应邀请操作列的“接受”，拒绝邀请则单击对应邀请操作列的“拒绝”。 图4 接受或拒绝邀请

向账号发送邀请 您可通过以下步骤，邀请其他账号加入组织，成为组织的成员账号。注意，邀请进入组织的成员账号会默认放置到根OU中，更换所属OU请参见移动账号。 以组织管理员或管理账号的身份登录华为云，进入华为云Organizations控制台，进入组织管理页面。 单击组织结构树上方的“添加”，单击“添加账号”。 图1 添加账号 在弹窗中，选择“邀请现有账号”，输入邀请账号的账号名或账号ID。 如何获取账号名和账号ID请参见：获取账号名和ID。 图2 邀请现有账号 （可选）为账号添加标签。 标签以键值对的形式表示，用于标识账号，便于对账号进行分类和搜索。一个账号最多添加20个标签。 标签的设置说明如表1所示。 表1 标签说明 参数 说明 举例 键 输入标签的键，同一个账号标签的键不能重复。键可以自定义，也可以选择预先在标签管理服务（TMS）创建好的标签的键。 键命名规则如下： 不能为空。 长度为1~128个字符。 由英文字母、数字、下划线、中划线、UNICODE字符（\u4E00-\u9FFF）组成。 Key_0001 值 输入标签的值，标签的值可以重复，并且可以为空。 标签值的命名规则如下： 可以为空。 长度为1~225个字符。 由英文字母、数字、下划线、点、中划线、UNICODE字符（\u4E00-\u9FFF）组成。 Value_0001 单击“确定”，即可向受邀账号发出邀请。

移除须知 组织管理员从组织中移除成员账号或成员账号主动退出组织之前，您需要了解以下内容： 在组织中创建的账号被移除组织或主动退出组织时，该账号创建成功的时间需大于七个自然日。 在组织中创建的账号被移除组织或主动退出组织时，需先将其转换为华为云账号。如何转换请参见将资源账号转为云账号。 邀请加入组织的账号为华为云账号时才支持移除组织或主动退出组织，详情请参见资源账号与华为云账号的差异。 已设置为委托管理员的账号无法从组织中移除或主动退出组织，需先取消委托管理员。 在组织中创建账号时默认创建的IAM委托，账号离开组织后并不会自动删除，组织管理账号可继续通过此委托访问成员账号的数据，如需终止组织管理账号的此访问权限，需成员账号手动删除委托。 在组织中创建的账号离开组织后，不会改变该账号与组织管理账号的财务托管模式。邀请加入组织的账号离开组织后，不会改变该账号原有的财务关系。如需调整请参见解除关联子账号。 当某个成员账号离开组织后，组织策略施加的权限限制将不再影响该账号，这意味着该账号可能拥有比之前更多的权限。当组织已启用可信服务，成员账号离开组织后将无法再使用该服务与组织集成的相关功能。 当成员账号离开组织时，所有附加到该账号的标签都将被删除。

移除账号 登录组织的管理账号后，您可以从组织中移除不再需要的成员账号，步骤如下。注意，以下步骤仅适用于移除成员账号，要移除管理账号，您必须删除组织。 以组织管理员或管理账号的身份登录华为云，进入华为云Organizations控制台，进入组织管理页面。 选中要移除的账号。单击组织结构树上方的管理，选择“移除账号”。 图1 移除账号 在弹窗中阅读并勾选移除账号的风险点，并输入“YES”，单击“确定”，完成成员账号移除。 图2 确认移除账号

成员账号退出组织 登录成员账号后，您可以选择从组织中退出。管理账号不能使用“退出组织”的方法离开组织，要移除管理账号，您必须删除组织。 已设置为委托管理员的账号无法退出组织，如需退出请先取消委托管理员。 以成员账号的身份登录华为云，进入华为云Organizations控制台。 在控制面板页面中的退出组织栏目下，单击“退出组织”，在弹窗中阅读退出组织的注意事项后，输入“YES”，单击“确认”，完成退出组织操作。 图3 确认退出组织

操作步骤 进入弹性云服务器界面，登录已创建好的Windows 2012版本的弹性云服务器。 单击“开始”，右键单击“这台电脑”，选择“映射网络驱动器”。 在弹出的对话框中输入文件系统的挂载地址，即\\文件系统 域名 \路径，如图1所示。 表1 变量说明 变量 说明 文件系统域名 文件系统域名请从文件系统的挂载地址中获取。获取方式请参见查看文件系统。 路径 格式为share-xxxxxxxx，其中x是数字或字母。 图1 输入挂载地址 单击“完成”。 挂载成功后，在“这台电脑”界面中可以看到已经挂载好的文件系统。 如果挂载失败或超时，可能是由于Windows系统的保护措施，阻挡了以来宾访问权限访问CIFS文件系统的用户，或以来宾访问权限为默认关闭状态。

操作步骤 以root用户登录弹性云服务器。 若以非root用户登录弹性云服务器，具体操作请参考使用非root的普通用户挂载文件系统到Linux云服务器。 安装NFS客户端。 安装NFS客户端。 查看系统是否安装NFS软件包。 CentOS、Red Hat、Oracle Enterprise Linux、SUSE、Euler OS、Fedora或OpenSUSE系统下，执行如下命令： rpm -qa|grep nfs Debian或Ubuntu系统下，执行如下命令： dpkg -l nfs-common 不同操作系统回显会有所不同，如果回显如下类似信息，说明已经成功安装NFS软件包，执行3。如未显示，执行该步骤。 CentOS、Red Hat、Euler OS、Fedora或Oracle Enterprise Linux系统下，回显如下类似信息： libnfsidmap nfs-utils SUSE或OpenSUSE系统下，回显如下类似信息： nfsidmap nfs-client Debian或Ubuntu系统下，回显如下类似信息： nfs-common 如果查看到未安装，根据不同的操作系统，执行不同命令。 执行以下命令前要求云服务器已连接到互联网，否则安装NFS客户端失败。 CentOS、Red Hat、Euler OS、Fedora或Oracle Enterprise Linux系统下，执行如下命令： sudo yum -y install nfs-utils Debian或Ubuntu系统下，执行如下命令： sudo apt-get install nfs-common SUSE或OpenSUSE系统下，执行如下命令： zypper install nfs-client 执行如下命令，查看是否能解析文件系统挂载地址中的域名。 nslookup 文件系统域名 文件系统域名仅为域名，如：sfs-nas1.xxxx.com。文件系统域名请从文件系统的挂载地址中获取，不需要输入整个挂载地址。 无法使用nslookup命令时，需要先安装bind-utils软件包。（可通过执行yum install bind-utils命令安装） 解析成功，执行4。 解析失败，请先完成DNS服务器IP地址的配置再执行挂载文件系统的操作，具体配置操作请参见配置DNS。 执行如下命令，创建用于挂载文件系统的本地路径。 mkdir 本地路径 如果本地路径已挂载其他磁盘等资源，为被占用状态时，需要新建其它目录进行挂载（nfs客户端不会对重复挂载进行拦截，当重复挂载时会表现为最后一次成功挂载的信息）。 执行如下命令，将文件系统挂载到与文件系统所属VPC相同的云服务器上。文件系统目前仅支持NFSv3协议挂载到Linux云服务器。 其中变量说明见表1。 SFS容量型文件系统执行命令：mount -t nfs -o vers=3,timeo=600,noresvport,nolock 挂载地址 本地路径 SFS Turbo文件系统执行命令：mount -t nfs -o vers=3,timeo=600,noresvport,nolock,tcp 挂载地址 本地路径 通用文件系统执行命令：mount -t nfs -o vers=3,timeo=600,noresvport,nolock,proto=tcp 挂载地址 本地路径 已挂载文件系统的云服务器重启后，该云服务器上的挂载信息将会丢失，您可以通过在fstab文件中配置自动挂载来保证云服务器重启时自动挂载文件系统，具体操作请参见自动挂载文件系统。 表1 参数说明 参数 说明 vers 文件系统版本，目前只支持NFSv3。取值：3。 timeo NFS客户端重传请求前的等待时间(单位为0.1秒)。建议值：600。 noresvport 指定NFS客户端向NFS服务端重新发起建立连接时使用新的TCP端口。 强烈建议使用 noresvport 参数，这可以保障网络发生故障恢复事件后文件系统服务不会中断。 lock/nolock 选择是否使用NLM协议在服务器上锁文件。当选择nolock选项时，锁对于同一主机的应用有效，对不同主机不受锁的影响。建议值：nolock。如不加此参数，则默认为lock，就会发生其他服务器无法对此文件系统写入的情况。 当前SFS Turbo文件系统、通用文件系统不支持非本地锁操作，需要显式添加nolock参数防止客户端调用非本地锁而导致抢锁失败的写入慢问题。 proto NFS客户端向服务器发起传输请求使用的协议，可以为UDP或者TCP。 当前通用文件系统不支持UDP传输协议，需要设置为TCP传输协议，即proto=tcp。 挂载地址 SFS容量型文件系统的格式为：文件系统域名:/路径，例如：example.com:/share-xxx。 SFS Turbo标准型、标准型-增强版、性能型、性能型-增强版文件系统的格式为：文件系统IP:/，例如192.168.0.0:/。 SFS Turbo 20MB/s/TiB、40MB/s/TiB、125MB/s/TiB、250MB/s/TiB、500MB/s/TiB、1000MB/s/TiB和HPC缓存型文件系统的格式为：域名地址:/，例如xxxx.region.xxxx:/。 通用文件系统的格式为：文件系统域名:/文件系统名称，例如example.com:/xxx。 如图1所示。 说明： x是数字或字母。 由于挂载地址名称较长，需要拉宽该栏以便完整显示。 将鼠标悬停在挂载地址上可显示完整的挂载命令。 本地路径 云服务器上用于挂载文件系统的本地路径，例如“/local_path”。 图1 挂载地址 挂载文件系统时，更多性能调优的挂载参数，可参考表2配置，各参数之间以逗号进行分隔。例如： mount -t nfs -o vers=3,timeo=600,nolock,rsize=1048576,wsize=1048576,hard,retrans=3,tcp,noresvport,ro,async,noatime,nodiratime 挂载地址 本地路径 表2 挂载参数 参数 说明 rsize 每次向服务器读取文件的最大字节数。实际数据小于或等于此值。rsize必须是1024倍数的正整数，小于1024时自动设为4096，大于1048576时自动设为1048576。默认时，服务器和客户端进行协商后设置。 建议设置为最大值1048576。 wsize 每次向服务器写入文件的最大字节数。实际数据小于或等于此值。wsize必须是1024倍数的正整数，小于1024时自动设为4096，大于1048576时自动设为1048576。默认时，服务器和客户端进行协商后设置。 建议设置为最大值1048576。 soft/hard 取值为soft，即软挂载方式挂载系统，如果NFS请求超时，则客户端向调用程序返回错误；取值为hard，即使用硬连接方式，如果NFS请求超时，则客户端一直重新请求直至成功。 默认为hard。 retrans 客户端返回错误前的重传次数。建议值：1。 tcp/udp 不指定mountproto时，客户端默认先尝试使用udp协议挂载，如果udp网络不通则会在卡顿几秒后再尝试tcp协议挂载。 当前默认没有放通安全组入方向mount协议的udp端口号，需要将mount挂载协议设置为TCP传输协议，即mountproto=tcp。 ro/rw ro：表示采用只读的方式挂载。 rw：表示采用读写的方式挂载。 默认为rw。未写明ro/rw时，则默认为采用rw读写的方式挂载。 noresvport 指定NFS客户端向NFS服务端重新发起建立连接时使用新的TCP端口。 强烈建议使用 noresvport 参数，这可以保障网络发生故障恢复事件后文件系统服务不会中断。 sync/async sync为同步写入，表示将写入文件的数据立即写入服务端；async为异步写入，表示将数据先写入缓存，再写入服务端。 同步写入要求NFS服务器必须将每个数据都刷入服务端后，才可以返回成功，时延较高。建议设置为async。 noatime 如果不需要记录文件的访问时间，可以设置该参数。避免频繁访问时，修改访问时间带来的开销。 nodiratime 如果不需要记录目录的访问时间，可以设置该参数。避免频繁访问时，修改访问时间带来的开销。 没有“使用建议”的参数推荐使用默认参数。 挂载完成后，执行如下命令，查看已挂载的文件系统。 mount -l 如果回显包含如下类似信息，说明挂载成功。 挂载地址 on /local_path type nfs (rw,vers=3,timeo=600,nolock,addr=) 挂载成功后，用户可以在云服务器上访问文件系统，执行读取或写入操作。 如果挂载失败或超时，请参考故障排除处理。 SFS容量型支持写入的单个文件最大容量为240TB。

约束与限制 该约束仅针对本地挂载路径（即挂载点），不影响其他文件或目录。 暂不支持修改本地挂载路径（即挂载点）的元数据，即不支持对挂载点的元数据做如下操作： - touch：更新文件的访问时间和修改时间 - rm：删除文件或目录 - cp：复制文件或目录 - mv：移动文件或目录 - rename：重命名文件或目录 - chmod：修改文件或目录的权限 - chown：修改文件或目录的所有者 - chgrp：修改文件或目录的所属组 - ln：创建硬链接 - link：创建硬链接 - unlink：删除硬链接 本地挂载路径（即挂载点根目录）的atime、ctime和mtime属性是当前时间，每次查询根目录属性返回的都是服务端当时时间的值。

前提条件 确定云服务器操作系统类型，不同操作系统安装NFS客户端的命令不同。 已完成创建文件系统，并获取到文件系统的挂载地址。 存在至少一台与文件系统所属VPC相同的云服务器。 云服务器（E CS ）上已配置了用于内网解析文件系统域名的DNS服务器的IP地址。 针对SFS Turbo文件系统，使用域名（DNS）挂载文件系统时，不支持跨区域（Region）挂载，但可以通过指定IP的方式跨区域（Region）挂载，网络互通方式具体参考云连接CC“跨区域VPC互通”。 通用文件系统在挂载云服务器前，需要先参考配置 VPC终端节点 完成创建VPC终端节点。

创建通用文件系统 在左侧导航栏，选择“通用文件系统”。在页面右上角单击“创建文件系统”。 如图2所示，根据界面提示配置参数，参数说明如表2所示。 图2 创建文件系统 表2 参数说明 参数 说明 备注 区域 必选参数。 租户所在的区域，当前区域请在界面左上方选择。 需要选择和云服务器、VPC终端节点同一个区域。 可用区 同一区域内，电力和网络互相独立的地理区域。 建议选择和云服务器同一个可用区。 名称 用户自定义文件系统的名称。 需全局唯一，不能与已有的通用文件系统名称重复，包括其他用户创建的通用文件系统。文件系统创建成功后，不支持修改名称。 删除通用文件系统后，需要等待30分钟才能创建同名通用文件系统。 只能由英文字母、数字、“_”和“-”组成，创建单个文件系统时输入长度小于等于255个字符，批量创建文件系统时输入长度1-251个字符。 协议类型 文件系统支持的共享访问协议为NFS（暂只支持NFSv3）。 - VPC 需要先选择对应VPC所在的IAM项目，再选择对应的VPC。什么是IAM项目？ 需要选择弹性云服务器和VPC终端节点所在的VPC。 云服务器无法访问不在同一VPC下的文件系统，需要选择与云服务器相同的VPC。后续可以在权限列表中补充添加其他VPC。 - 企业项目 该参数针对企业用户使用。创建文件系统时，可以为文件系统添加已有的企业项目。 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理，默认项目为default。 请从下拉列表中选择所在的企业项目。 说明： 如需使用该功能，请申请开通企业账号。 如需创建新的企业项目，请单击右侧“新建企业项目”或单击控制台页面右上角“企业”进行创建。 更多关于企业项目的信息，请参见《企业管理用户指南》。 标签 可选参数。 您可以在创建文件系统的时候为文件系统绑定标签，标签用于标识文件系统资源，可通过标签实现对文件系统资源的分类和搜索。 标签由标签“键”和标签“值”组成。 键：必选参数。最大长度为128个字符，不能为空，首尾不支持空格字符，以“_sys_”开头的键属于系统标签，不支持用户输入，可用UTF-8格式表示的任意语种的字母、数字和空格，以及“_”、“.”、“:”、“=”、“+”、“-”、“@”。 值：可选参数。最大长度为255个字符，首尾不支持空格字符，可以为空字符串，可用UTF-8格式表示的任意语种的字母、数字和空格，以及以下字符： “_”、“.”、“:”、“=”、“+”、“-”、“@”。 单个文件系统最多可以添加20个标签。 同一个文件系统的标签的“键”不允许重复。 除了在创建文件系统的时候添加标签，您还可以为已有文件系统的标签执行添加、修改、删除操作。 配置完成后，单击“立即创建”。 核对文件系统信息，确认无误后单击“提交”。 根据页面提示，返回文件系统列表页面。 您可以看到文件系统显示在文件系统列表中，表示文件系统创建成功。为创建失败，请提交工单进行技术咨询。 图3 通用文件系统创建成功

创建SFS容量型文件系统 在左侧导航栏，选择“SFS容量型”。在页面右上角单击“创建文件系统”。 如图1所示，根据界面提示配置参数，参数说明如表1所示。 图1 创建文件系统 表1 参数说明 参数 说明 备注 区域 必选参数。 租户所在的区域，当前区域请在界面左上方选择。 建议选择和云服务器同一个区域。 可用区 同一区域内，电力和网络互相独立的地理区域。 建议选择和云服务器同一个可用区。 协议类型 文件系统支持的共享访问协议为NFS（暂只支持NFSv3）或CIFS。 NFS协议适合于Linux ECS，CIFS协议适合于Windows ECS。 根据需要选择NFS或CIFS。 虚拟私有云(VPC) 云服务器无法访问不在同一VPC下的文件系统，请选择与云服务器相同的VPC。 说明： 默认VPC下所有的云服务器拥有相同的权限，后续可以对使用的VPC进行修改。 每个文件系统在创建时只可以添加一个VPC。文件系统创建成功后，可通过配置多VPC实现跨VPC、多VPC下的文件共享。 可单击“查看虚拟私有云”查看已有VPC的详细信息或申请新的VPC。 最大容量 需要设置单个文件系统的最大容量，当文件系统的实际使用容量达到该值时，您将无法对文件系统执行写入操作，需要进行扩容。 使用容量范围为1GB~512000GB。 加密 可选参数。 加密针对文件系统加密。可以新创建加密或者不加密的文件系统，无法更改已有文件系统的加密属性。如果设置文件系统加密，则勾选“加密”，界面会出现以下参数： 创建委托 如果当前未授权SFS容量型文件系统服务访问KMS，则该按钮会出现；如果已经授权，则该按钮不会出现。 单击“创建委托”以授权SFS容量型文件系统访问KMS，系统会创建名称为“SFSAccessKMS”的委托。当“委托名称”为“SFSAccessKMS”时，表示已经成功授权SFS访问KMS，授权成功后，SFS容量型文件系统可以获取KMS密钥用来加解密文件系统。授权成功后，无需再次授权。 委托名称 委托：委托方通过创建信任关系，给被委托方授予访问其资源的权限。 SFSAccessKMS：当“委托名称”为“SFSAccessKMS”时，表示已经授权SFS容量型文件系统获取KMS密钥，即自定义密钥，用于加解密文件系统。 密钥名称 说明： 当SFSAccessKMS被创建后，才可在当前界面看到“密钥名称”，具体请参见“创建委托”。 密钥名称是密钥的标识，您可以通过“密钥名称”选择需要使用的密钥。您可以选择使用的密钥如下： 默认密钥: 成功授权SFS容量型文件系统访问KMS，系统会创建默认密钥“sfs/default”。 自定义密钥: 即您已有的密钥或者新创建密钥，具体请参见《 数据加密 服务用户指南》的“创建密钥”章节。 说明： 当您需要使用弹性文件服务加密功能时，需要授权SFS容量型文件系统访问KMS。如果您有授权资格，则可直接授权。如果权限不足，需要联系系统管理员获取安全管理员权限，然后再重新操作。 - 名称 用户自定义文件系统的名称。同时创建多个文件系统时，系统自动增加后缀，例如：用户设置名称为“sfs-name”，申请数量为2个时，文件系统的名称将会设置为sfs-name-001，sfs-name-002。 只能由英文字母、数字、“_”和“-”组成，创建单个文件系统时输入长度小于等于255个字符，批量创建文件系统时输入长度1-251个字符。 数量(个) 创建文件系统的数量。 每个云账号可以创建的文件系统的总容量为512000GB，最多可以创建10个文件系统，并且支持同时创建。 当需要创建的文件系统的总容量或数量超出配额限制时，请单击“申请扩大配额”进行申请。 配置完成后，单击“立即创建”。 核对文件系统信息，确认无误后单击“提交”。 根据页面提示，返回文件系统列表页面。 您可以看到文件系统的“状态”显示为“可用”，表示文件系统创建成功。如果“状态”为“创建失败”，请联系管理员处理。

前提条件 创建SFS Turbo、SFS容量型和通用文件系统前，确认已有可用的VPC。 如果无VPC，可参考《虚拟私有云用户指南》中的“创建虚拟私有云基本信息及默认子网”章节创建VPC。 创建SFS Turbo、SFS容量型和通用文件系统前，确认已有可用的ECS，且ECS归属到已创建的VPC下。 如果无ECS，可参考《弹性云服务器快速入门》中的“购买弹性云服务器”章节购买ECS。 创建SFS Turbo文件系统，依赖的服务有：虚拟私有云 VPC、费用中心 BSS、专属存储服务 DSS和弹性云服务器 ECS。需要配置的角色/策略如下： IAM用户设置了SFS Turbo FullAccess权限后，权限集中包含了VPC FullAccess，这是创建文件系统所需要的权限，用户不需额外添加VPC FullAccess 系统策略。 如果需要创建包年包月文件系统，需要设置BSS Administrator权限。 如果需要在专属项目下创建文件系统，需要设置DSS FullAccess 和 ECS FullAccess权限。 创建通用文件系统，依赖的服务有：虚拟私有云 VPC。需要配置的角色/策略如下： IAM用户设置了SFS3 FullAccess权限后，权限集中包含了VPC ReadOnlyAccess，这是创建文件系统所需要的权限，用户不需额外添加VPC ReadOnlyAccess系统策略。

背景说明 VPC终端节点可以为计算资源的VPC和弹性文件服务通用文件系统提供可靠的连接，计算资源的VPC需要通过VPC终端节点与通用文件系统建立通信，计算资源从而能够访问文件系统。什么是VPC终端节点？ 将通用文件系统挂载至计算资源前，需要在计算资源对应区域创建指定的VPC终端节点。通用文件系统目前仅支持在华北-北京四、华东-上海一、华北-乌兰察布一、中国-香港和华南-广州区域创建对应的VPC终端节点。其他区域请选择使用SFS容量型和SFS Turbo文件系统。 SFS容量型和SFS Turbo文件系统不需要创建VPC终端节点。 图1 流程概要图

Step3 挂载文件系统 登录ECS。可以通过管理控制台或跨平台远程访问工具（例如PuTTY）登录已购买的ECS。 图3 登录ECS 查看ECS是否安装NFS客户端。执行命令：rpm -qa|grep nfs。 图4 查看ECS是否安装NFS客户端 挂载文件系统。创建用于挂载文件系统的本地路径：mkdir 本地路径。挂载文件系统：mount -t nfs -o vers=3,timeo=600,noresvport,nolock,tcp 挂载地址 本地路径。验证文件系统是否挂载成功：mount -l。 图5 挂载文件系统 挂载地址可以从控制台文件系统详情中复制获取。 当返回类似“IP on /local_path type nfs (rw,vers=3,timeo=600,nolock,addr=)”信息，表明挂载文件系统成功。 了解详细步骤请参考挂载NFS文件系统到云服务器（Linux）。

Windows系统操作步骤 目标服务器需已成功安装NFS客户端，本操作以Windows 2012为例进行描述。 登录弹性云服务器。 在Windows系统挂载前，需要先创建名为auto_mount.bat的脚本，并保存至本地，记录保存路径。脚本中包含以下内容： mount -o nolock 挂载地址 对应盘符 图2 保存脚本 例如，某文件系统的auto_mount.bat脚本内容为： SFS容量型文件系统执行命令：mount -o nolock 挂载地址 X: 文件系统的挂载命令可从控制台上复制获取。 建议在脚本创建完成后，在CMD下手动执行确保脚本可以正常执行成功。即执行该脚本后，可以在“这台电脑”中查看到文件系统挂载成功，表示脚本可以正常执行。 bat脚本不能和步骤3的vbs文件放在同一个路径下，本例将bat脚本存储在C:\test\中。 创建一个名称为XXX.vbs的文件，并保存到“C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\「开始」菜单\程序\启动”路径下。该文件中包含以下内容： set ws=WScript.CreateObject("WScript.Shell") ws.Run "auto_mount.bat脚本的本地路径+脚本名 /start",0 图3 创建vbs文件 本例中，auto_mount.bat的脚本的本地路径为C:\test\，则vbs文件中的内容为： set ws=WScript.CreateObject("WScript.Shell") ws.Run "C:\test\auto_mount.bat /start",0 完成创建后，可以重启服务器进行验证。配置成功后，文件系统将自动出现在“这台电脑”中。

Linux系统操作步骤 以root用户登录云服务器。 执行vi /etc/fstab命令编辑“/etc/fstab”文件。 在文件的最后新增要挂载的文件系统信息，配置样例如下： 挂载地址 /local_path nfs vers=3,timeo=600,nolock 0 0 其中，“挂载地址”和“/local_path”需根据实际情况进行修改。挂载地址可以从文件系统的“挂载地址”一栏获取。/etc/fstab文件中每条记录对应一个挂载信息，每条记录有6个字段，对应的字段说明请参见字段说明。 为获得最优的系统性能，建议按照“配置样例”进行配置。如果业务需要，您也可以根据实际情况自定义部分挂载参数，但变更配置后将会在一定程度上影响系统性能。 单击“Esc”，并输入:wq，保存文件并退出。 完成上述配置后，当云服务器重启时，系统会从/etc/fstab文件中读取挂载信息，完成文件系统的自动挂载。 （可选）执行以下命令，查看修改后的fstab文件内容。 cat /etc/fstab 修改后的fstab文件内容如图1所示。 图1 修改后的fstab文件 如果出现由于网络等问题导致自动挂载不成功，可以在rc.local文件中挂载命令前添加sleep参数和时间参数，等待NFS服务完全启动后再进行挂载。 sleep 10s && sudo mount -t nfs -o vers=3,timeo=600,noresvport,nolock,tcp 挂载地址 /local_path

字段说明 挂载信息的字段说明如表 1 字段说明所示。 表1 字段说明 字段 说明 挂载地址 挂载对象，即要挂载的文件系统的挂载地址。设置为挂载NFS协议类型文件系统到云服务器（Linux）中mount命令中的挂载地址。 /local_path 挂载点，即云服务器上创建的挂载文件系统的目录。设置为挂载NFS协议类型文件系统到云服务器（Linux）中mount命令中的本地路径。 nfs 挂载类型，指文件系统或分区类型。本节描述的是挂载文件系统，设置为nfs。 vers=3,timeo=600,nolock 挂载选项，用于设置挂载的参数，多个选项之间以逗号进行分隔。 vers：文件系统版本，取值为3代表NFSv3。 timeo：NFS客户端重传请求前的等待时间(单位为0.1秒)。建议值：600。 nolock：使用NLM协议在服务器上锁文件。 0 选择是否让备份程序dump备份文件系统。 0：不备份。 大于0的整数：备份；数字越小越先备份。 0 选择是否在云服务器启动时用fsck程序检查文件系统以及以什么顺序检查。 0：不检查。 根目录分区默认设置为1，其他分区从2开始，数字越小越先检查。

创建IAM用户 如果您需要多用户协同操作管理您账号下的资源，为了避免共享您的密码/访问密钥，您可以通过IAM创建用户，并授予用户对应权限。这些用户可以使用特别的登录链接和自己单独的用户账号访问公有云，帮助您高效的管理资源，您还可以设置账号安全策略确保这些账号的安全，从而降低您的企业信息安全风险。 如果您已注册公有云但尚未为自己创建一个IAM用户，则可以使用IAM控制台自行创建。以创建SFS管理员为例，具体步骤如下： 使用账号和密码登录管理控制台。 单击右上方登录的用户名，在下拉列表中选择“ 统一身份认证 ”。 在左侧导航栏中单击“用户”。 在“用户”界面，单击“创建用户”。 在“创建用户”界面填写“用户信息”。 用户名：设置一个用户名，如“sfs_admin”。 邮箱：IAM用户绑定的邮箱，仅“访问方式”选择“首次登录时设置”时必填，选择其他访问方式时选填。 手机号（选填）：IAM用户绑定的手机号。 描述（选填）：输入用户信息，如“SFS管理员”。 在“创建用户”界面选择“访问方式”为“华为云管理控制台访问”，设置控制台登录密码为“自定义”并输入密码，完成后单击“下一步”。 SFS管理员用于登录管理控制台管理用户。如果您为自己创建SFS管理员，建议使用自定义方式设置密码。如果您为他人创建SFS管理员，建议使用“首次登录时设置”的方式，由用户自己设置密码。 （可选）将用户加入到“admin”用户组，完成后单击“下一步”。 “admin”用户组拥有所有操作权限，如果您想为IAM用户精细授权，请参阅创建用户并授权使用SFS。 创建成功后，用户列表中显示新创建的IAM用户。IAM用户可以使用列表上方的IAM用户登录链接登录控制台。

响应参数 状态码： 200 表2 响应Body参数 参数 参数类型 描述 function_templates String 凭据轮转函数模板。 状态码： 400 表3 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码： 401 表4 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码： 403 表5 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码： 404 表6 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码： 500 表7 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码： 502 表8 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码： 504 表9 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述

URI GET /v1/csms/function-templates 表1 Query参数 参数 是否必选 参数类型 描述 secret_type 是 String 凭据类型。 secret_sub_type 是 String 凭据轮转账号类型。 SingleUser：单用户模式轮转 MultiUser：双用户模式轮转 engine 否 String 数据库类型。凭据类型为RDS-FG时为必填参数，可传入mysql、postgresql、sqlserver。其余凭据类型不支持。