华为云用户手册

  • 密钥概述 用户主密钥包括自定义密钥和默认密钥。本章节涉及创建、查看、启用、禁用、计划删除、取消删除等操作均为自定义密钥。 自定义密钥可以通过创建副本密钥的方式实现跨区域使用。在不同区域生成密钥材料相同的副本密钥,便于在多个区域执行数据的加解密处理,提高业务效率。 自定义密钥分为“对称密钥”和“非对称密钥”。 对称密钥加密是最常用的 数据加密 保护方式。相比对称密钥加密,非对称密钥通常用于在信任程度不对等的系统之间,实现数字签名验签或者加密传递敏感信息。非对称密钥由一对公钥和私钥组成,互相关联,其中的公钥可以被分发给任何人,而私钥必须被安全的保护起来,只有受信任者可以使用。 使用非对称密钥生成数字签名以及验证签名:签名者将验签公钥分发给消息接收者,使用签名私钥,对数据产生签名,并将数据以及签名传递给消息接收者。消息接收者获得数据和签名后,使用公钥针对数据验证签名的合法性。 表1 KMS支持的密钥算法类型 密钥类型 算法类型 密钥规格 说明 用途 对称密钥 AES AES_256 AES对称密钥 小量数据的加解密或用于加解密数据密钥。 对称密钥 SM4 SM4 国密SM4对称密钥 小量数据的加解密或用于加解密数据密钥。 摘要密钥 SHA HMAC_256 HMAC_384 HMAC_512 SHA摘要密钥 数据防篡改 数据完整性校验 摘要密钥 SM3 HMAC_SM3 国密SM3摘要密钥 数据防篡改 数据完整性校验 非对称密钥 RSA RSA_2048 RSA_3072 RSA_4096 RSA非对称密钥 小量数据的加解密或数字签名。 ECC EC_P256 EC_P384 椭圆曲线密码,使用NIST推荐的椭圆曲线 数字签名 非对称密钥 SM2 SM2 国密SM2非对称密钥 小量数据的加解密或数字签名。 父主题: 密钥管理
  • 双用户轮转 双用户轮转多用于轮转频次较高、轮转可靠性要求高的账号,托管两个相同权限的账号,每次轮转SYSPREVIOUS的凭据版本,保证密码重置切换的瞬间,程序访问不被中断。在轮转时先将新版本的凭据改为SYSPENDING状态,通过调用RDS接口重置密码,重置完成后新版本凭据的SYSPENDING状态会改为SYSCURRENT,之前SYSCURRENT状态的凭据变为SYSPREVIOUS,即视为完成整个轮转流程。 在创建时选择或者新建两个数据库账户作为凭据值储存 两个凭据值交替轮转,用户每次都是去获取的SYSCURRENT的凭据值
  • 使用限制 单账号跟踪的事件可以通过 云审计 控制台查询。多账号的事件只能在账号自己的事件列表页面去查看,或者到组织追踪器配置的OBS桶中查看,也可以到组织追踪器配置的 CTS /system日志流下面去查看。 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录,您必须配置转储到 对象存储服务 (OBS)或 云日志 服务(LTS),才可在OBS桶或LTS日志组里面查看历史事件信息。否则,您将无法追溯7天以前的操作记录。 云上操作后,1分钟内可以通过云审计控制台查询管理类事件操作记录,5分钟后才可通过云审计控制台查询数据类事件操作记录。 CTS新版事件列表不显示数据类审计事件,您需要在旧版事件列表查看数据类审计事件。
  • 开启操作保护 登录管理控制台。 在“控制台”页面右上方的用户名处,在下拉列表中选择“安全设置”。 图1 安全设置 进入“安全设置”页面,单击“敏感操作”进入页面。在“操作保护”行,单击“立即启用”。 进入“操作保护设置”页面,选择“开启”,单击“确定”后,开启操作保护。 开启后,您以及账号中的 IAM 用户进行敏感操作时,例如查看凭据值、删除密钥等,需要输入验证码进行验证,避免误操作带来业务风险与损失。 用户如果进行敏感操作,将进入“操作保护”页面,选择认证方式,包括邮箱、手机和虚拟MFA三种认证方式。 如果用户只绑定了手机,则认证方式只能选择手机。 如果用户只绑定了邮箱,则认证方式只能选择邮件。 如果用户未绑定邮箱、手机和虚拟MFA,进行敏感操作时,华为云将提示用户绑定邮箱、手机或虚拟MFA。 如需修改验证手机、邮箱、虚拟MFA设备,请在账号中修改。
  • 数据加密服务监控指标 表1 密钥管理支持的监控指标 指标ID 指标名称 指标含义 取值范围 测量对象 监控周期(原始指标) delkey_remaing_time 密钥剩余时间 该指标表示计划删除状态的密钥距离被删除还剩下的时间 ≥ 0 小时 密钥 5分钟 matrial_remaing_time 密钥材料的剩余有效时间 该指标表示外部导入的密钥材料的剩余有效时间 ≥ 0 小时 密钥 5分钟 charge_access_count 计费请求次数 该指标表示所有计费请求次数 ≥ 0 小时 密钥 5分钟 表2 凭据管理支持的监控指标 指标ID 指标名称 指标含义 取值范围 测量对象 监控周期(原始指标) del_secret_remaining_time 计划删除凭据剩余时间 该指标表示计划删除凭据的剩余时间 ≥ 0 小时 凭据 5分钟
  • DEW自定义策略样例 示例:授权用户创建密钥 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "kms:cmk:create", "kms:cmk:getMaterial", "kms:cmkTag:create", "kms:cmkTag:batch", "kms:cmk:importMaterial" ] } ] }
  • 约束条件 标准版专属加密实例仅支持包年/包月付费方式,购买后不能直接删除。 为了保障业务的高可靠性,您需要至少购买两个及以上专属加密实例,一个专属加密实例仅适用于测试,如需购买一个专属加密实例请联系华为 云安全 专家。 购买专属加密实例时,需要通过提交工单的方式设置“UKey接收信息”。 购买成功后,华为云将按照您提供的Ukey收件地址将规划的Ukey邮寄给您,您可以使用Ukey初始化并授权您的业务APP访问专属加密实例。 同时,您需要激活专属加密实例,激活后,系统会为您分配符合您业务需求的专属加密实例。
  • 示例流程 图1 给用户授权DEW权限流程 创建用户组并授权 在IAM控制台创建用户组,并授予加密密钥所有权限“KMS CMKFullAccess”。 创建用户并加入用户组 在IAM控制台创建用户,并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台,切换至授权区域,验证权限。 在“服务列表”中选择数据加密服务,进入DEW主界面,选择“密钥对管理”,如果提示权限不足,表示“KMS CMKFullAccess”已生效。 在“服务列表”中选择除数据加密服务外的任一服务,如果提示权限不足,表示“KMS CMKFullAccess”已生效。
  • 前提条件 给用户组授权之前,请您了解用户组可以添加的DEW权限,并结合实际需求进行选择,DEW支持的系统权限如表 KMS系统策略、表 KPS系统策略、表 CS MS系统策略所示。 如果您需要对除DEW之外的其它服务授权,IAM支持服务的所有权限请参见系统权限。 表1 KMS系统策略 系统角色/策略名称 描述 类别 依赖关系 KMS Administrator 密钥管理服务(KMS)管理员,拥有该服务下的所有权限。 系统角色 无 KMS CMKFullAccess 密钥管理服务(KMS)的加密密钥所有权限。拥有该权限的用户可以完成基于策略授权的所有操作。 系统策略 无 KMS CMKReadOnlyAccess 密钥管理服务(KMS)的加密密钥只读权限。拥有该权限的用户可以完成基于策略授权的所有操作。 系统策略 无 表2 KPS系统策略 系统角色/策略名称 描述 类别 依赖关系 DEW KeypairFullAccess 数据加密服务中密钥对管理服务(KPS)的所有权限。拥有该权限的用户可以完成基于策略授权的所有操作。 系统策略 无 DEW KeypairReadOnlyAccess 数据加密服务中密钥对管理服务(KPS)的查看权限。拥有该权限的用户仅能查看密钥对管理服务(KPS)数据。 系统策略 无 表3 C SMS 系统策略 系统角色/策略名称 描述 类别 依赖关系 CSMS FullAccess 数据加密服务中凭据管理服务(CSMS)的所有权限。拥有该权限的用户可以完成基于策略授权的所有操作。 系统策略 无 CSMS ReadOnlyAccess 数据加密服务中凭据管理服务(CSMS)的只读权限。拥有该权限的用户可以完成基于策略授权的所有操作。 系统策略 无 表4列出了DEW常用操作与系统权限的授权关系,您可以参照该表选择合适的系统权限。 表4 常用操作与系统权限的关系 操作 KMS Administrator KMS CMKFullAccess DEW KeypairFullAccess DEW KeypairReadOnlyAccess 创建密钥 √ √ x x 启用密钥 √ √ x x 禁用密钥 √ √ x x 计划删除密钥 √ √ x x 取消计划删除密钥 √ √ x x 修改密钥别名 √ √ x x 修改密钥描述 √ √ x x 创建随机数 √ √ x x 创建数据密钥 √ √ x x 创建不含明文数据密钥 √ √ x x 加密数据密钥 √ √ x x 解密数据密钥 √ √ x x 获取密钥导入参数 √ √ x x 导入密钥材料 √ √ x x 删除密钥材料 √ √ x x 创建授权 √ √ x x 撤销授权 √ √ x x 退役授权 √ √ x x 查询授权列表 √ √ x x 查询可退役授权列表 √ √ x x 加密数据 √ √ x x 解密数据 √ √ x x 签名消息 √ √ x x 验证签名 √ √ x x 开启密钥轮换 √ √ x x 修改密钥轮换周期 √ √ x x 关闭密钥轮换 √ √ x x 查询密钥轮换状态 √ √ x x 查询密钥实例 √ √ x x 查询密钥标签 √ √ x x 查询项目标签 √ √ x x 批量添加删除密钥标签 √ √ x x 添加密钥标签 √ √ x x 删除密钥标签 √ √ x x 查询密钥列表 √ √ x x 查询密钥信息 √ √ x x 查询公钥信息 √ √ x x 查询实例数 √ √ x x 查询配额 √ √ x x 查询密钥对列表 x x √ √ 创建或导入密钥对 x x √ x 查询密钥对 x x √ √ 删除密钥对 x x √ x 更新密钥对描述 x x √ x 绑定密钥对 x x √ x 解绑密钥对 x x √ x 查询绑定任务信息 x x √ √ 查询失败的任务 x x √ √ 删除所有失败的任务 x x √ x 删除失败的任务 x x √ x 查询正在处理的任务 x x √ √
  • 注意事项 安全性 用户需要确保符合自己安全要求的随机源生成密钥材料。用户在使用导入密钥时,需要对自己密钥材料的安全性负责。请保存密钥材料的原始备份,以便在意外删除密钥材料时,能及时将备份的密钥材料重新导入KMS。 可用性与持久性 在将密钥材料导入KMS之前,用户需要确保密钥材料的可用性和持久性。 导入的密钥材料与通过KMS创建密钥时自动生成的密钥材料的区别,如表1所示。 表1 导入的密钥材料与通过KMS创建密钥时自动生成的密钥材料的区别 密钥材料来源 区别 导入的密钥 可以手动删除密钥材料,但不能删除该自定义密钥及其元数据。 不支持密钥轮换功能。 在导入密钥材料时,可以设置密钥材料失效时间,密钥材料失效后,KMS将在24小时以内自动删除密钥材料,但不会删除该自定义密钥及其元数据。 建议用户在本地密钥管理基础设施中安全地备份一份密钥材料,以便密钥材料失效或误删除时重新导入该密钥材料。 说明: RSA_2048、RSA_3072、RSA_4096、EC_P256、EC_P384、SM2算法密钥不能手动删除密钥材料,不能设置密钥材料的失效时间,只能永久有效。 KMS创建的密钥 不能手动删除密钥材料。 仅对称密钥支持密钥轮换功能。 不能设置密钥材料的失效时间。 关联性 当用户将密钥材料导入自定义密钥时,该自定义密钥与该密钥材料永久关联,不能将其他密钥材料导入该自定义密钥中。 唯一性 当用户使用导入的密钥加密数据时,加密后的数据必须使用加密时采用的自定义密钥(即自定义密钥的元数据及密钥材料与导入的密钥匹配)才能解密数据,否则解密会失败。
  • 本地使用Linux操作系统 如果您是在Linux操作系统上登录Linu弹性云服务器,可以按照下面方式登录。下面步骤以私钥文件是“kp-123.ppk”为例进行介绍。 在您的Linux计算机的命令行中执行以下命令,变更权限。 chmod 600 /path/kp-123.ppk path为密钥文件的存放路径。 执行以下命令登录弹性云服务器。 ssh -i /path/kp-123 root@弹性IP地址 path为密钥文件的存放路径。 弹性IP地址为弹性云服务器绑定的弹性IP地址。
  • 约束条件 执行删除密钥操作后,密钥不会立即删除,密钥管理会将该操作按用户指定时间推迟执行,推迟时间范围为7天~1096天。 在推迟删除时间未到时,如果需要重新使用该密钥,可以执行取消删除密钥操作。如果超过推迟时间,密钥将被KMS彻底删除,使用该密钥加密的数据将无法解密,请谨慎操作。 关于处于计划删除状态的密钥计费情况,请参见计划删除的密钥是否还计费?。 默认密钥为服务自动创建,不支持删除操作。 删除多区域主密钥前,需要先删除所有的副本密钥。
  • 审核流程 点播控制台提供的审核模式是“先发后审”,即音视频上传后可直接播放,您可以根据需求进行智能审核和人工审核,然后决定是否屏蔽该音视频文件。若您需要使用“先审后发”模式,请调用点播API进行处理。具体请参见如何实现对上传音视频进行先审后发? 图1 审核流程 智能审核:在音 视频审核 模块中,提供了基于文本、封面、截图的智能鉴黄、鉴恐、鉴政服务,默认为未开启状态。开启智能鉴黄、鉴恐、鉴政功能后,针对已上传的音视频,会自动识别其合法性,如果有违规涉黄、涉恐、涉政的文字描述或者画面,会在审核时标识,从而加快审核效率。 人工审核:在音视频审核详情中,针对发现疑似有问题的音视频进行再审查,确认存在问题后可以对音视频进行“屏蔽”或“通过”操作。 屏蔽:已屏蔽的媒资的状态会转为“未发布”,未发布状态的媒资只能通过控制台预览,无法通过 域名 下载和播放,已被外网引用的播放地址也将无法播放。
  • 加密算法D 鉴权URL格式 原始URL?auth_info={加密串}.{EncodedIV} 加密串和EncodedIV的计算公式: 加密原始串 = url_encoding({path}+"$"+{Timestamp}) 加密串 = aes_cbc_128_pkcs5padding(原始加密串,key,IV) EncodedIV = hex(IV) 表5 鉴权字段描述 字段 描述 path 指从域名开始,到最后一层目录,包括域名后的“/”,也包含最后一层目录后的“/”,不包括文件名。 示例:/asset/32237c8f68fcc6071a2d8e3421eee20d/play_video/ Timestamp 鉴权URL生成时间,UTC时间,格式为yyyyMMddHHmmss,用于检查鉴权参数是否过期。 示例:20190805101025 key 在控制台设置的防盗链Key值,具体请参见配置步骤。 plive(可选) 伪直播开始时间,取值为UTC时间。 需要伪直播时,才配置此参数,否则不需要此参数参与鉴权URL的计算。伪直播详情请参考伪直播。 IV 随机生成的bytes数组,长度为16。 hex():将bytes数组转换成十六进制的字符串。 生成IV生成示例代码如下所示: byte[] iv = new byte[16]; SecureRandom secureRand = new SecureRandom(); secureRand.nextBytes(iv); 鉴权URL示例 原始URL:https://179.cdn-vod.huaweicloud.com/asset/32237c8f68fcc6071a2d8e3421eee20d/play_video/index.m3u8 path:/asset/32237c8f68fcc6071a2d8e3421eee20d/play_video/ key:8Ks1qn14XRO28qOa Timestamp:20190805102430 plive:1704074400 则根据计算公式,得到加密串和EncodedIV 原始加密串 = url_encoding("/asset/32237c8f68fcc6071a2d8e3421eee20d/play_video/") + "$" + "20190805102430"+ "$" + "1704074400" 加密串 = aes_cbc_128_pkcs5padding(原始加密串,key,IV) = 34M%2F6KtYgxuAozdBLIVTe0dUVAZdvXsYQoYAnDmuhRHh1hshYg%2B2Tl0AmSwySDh%2BmkER44qYKpSP%2BgfsLM%2FIZe4F6K4n1Nx6ouGwyKfqdDA%3D EncodedIV = hex(IV) = 79436d453636364e335941713330534e 最终得到算法D的鉴权URL https://179.cdn-vod.huaweicloud.com/asset/32237c8f68fcc6071a2d8e3421eee20d/play_video/index.m3u8?auth_info=34M%2F6KtYgxuAozdBLIVTe0dUVAZdvXsYQoYAnDmuhRHh1hshYg%2B2Tl0AmSwySDh%2BmkER44qYKpSP%2BgfsLM%2FIZe4F6K4n1Nx6ouGwyKfqdDA%3D.79436d453636364e335941713330534e&plive=1704074400
  • 加密算法B 鉴权URL格式 https://{cdn_domain}/{date_YYYYmmddHHMM}/{md5sum}/asset/{asset_id}/{file_name} md5sum的计算公式: md5sum = md5({private_key}{date_yyyyMMddHHmm}/asset/{asset_id}/{file_name}) 表3 鉴权字段描述 字段 描述 date_yyyyMMddHHmm 鉴权URL生成时间,格式为:yyyyMMddHHmm。 示例:201908051445 file_name 指原始播放URL中从媒资ID后开始到最后的路径。 示例:play_video/test.mp4 private_key 在控制台设置的防盗链Key值,具体请参见配置步骤。 鉴权URL示例 原始URL:http://1.cdn.myhuaweicloud.com/asset/6b2d740f10b8697d8ea6672868ecdb6f/test.mp4 private_key:myPrivateKey date_yyyyMMddHHmm:201901102026 file_name:test.mp4 则根据计算公式,得到md5sum md5sum = md5(myPrivateKey201901102026/asset/6b2d740f10b8697d8ea6672868ecdb6f/test.mp4) = 713ef643de8df076da6ec3c0545968cb 最终得到算法B的鉴权URL http://1.cdn.myhuaweicloud.com/201901102026/713ef643de8df076da6ec3c0545968cb/asset/6b2d740f10b8697d8ea6672868ecdb6f/test.mp4
  • 加密算法E 目前界面可以正常展示E算法,但功能暂未开放使用,请用户知晓。 不能同时开启试看和伪直播功能。下述URL仅供参考,exper和plive不能同时存在。 鉴权URL格式 原始URL?auth_key={authKey}×tamp={timestamp}&exper={exper}&plive={plive_starttime} authKey的计算公式如下所示: 开启试看功能:auth_key = sha256({PrivateKey }{fileName}{timestamp}{exper} 开启伪直播功能:auth_key = sha256({PrivateKey }{fileName}{timestamp}{plive_starttime}) 表6 鉴权字段描述 字段 描述 timestamp 鉴权URL生成时间,为Unix时间戳,即1970年1月1日以来的秒数。单位:秒。 示例:1564731935。即时间为:2019.08.02 15:45。 fileName 实际回源访问的URL,鉴权时filename需以“/”开头,且不能包含鉴权URL中“?”后面的参数。 如:/asset/6b2d740f10b8697d8ea6672868ecdb6f/test.hls PrivateKey 用户设定的鉴权密钥,用于生成加密URL。 密钥的格式为大小写字母和数字,长度为16到32位字符。 exper(可选) 视频试看时长,取值为数字,单位:秒。仅支持MP4和HLS格式。 需要试看时,才配置此参数,否则不需要此参数参与鉴权URL的计算。不能同时开启试看和伪直播功能。 plive(可选) 伪直播开始时间,取值为UTC时间。仅支持HLS格式。 需要伪直播时,才配置此参数,否则不需要此参数参与鉴权URL的计算。不能同时开启试看和伪直播功能。伪直播详情请参考伪直播。 鉴权URL示例 原始URL:http://1.cdn.myhuaweicloud.com/asset/6b2d740f10b8697d8ea6672868ecdb6f/test.hls private_key:32d6b2d740f10b86 timestamp:1547123166 fileName:/asset/6b2d740f10b8697d8ea6672868ecdb6f/test.hls exper:300 plive:1704074400 则根据计算公式,得到auth_key,如下所示: 开启试看功能 auth_key = sha256(32d6b2d740f10b86/asset/6b2d740f10b8697d8ea6672868ecdb6f/test.hls1547123166300) = 3a935cf1d8299fe63ec8d4e0afb5ef3304883a702a4e760f3c5ae838a4b69768 开启伪直播功能 auth_key = sha256(32d6b2d740f10b86/asset/6b2d740f10b8697d8ea6672868ecdb6f/test.hls15471231661704074400) = 3a935cf1d8299fe63ec8d4e0afb5ef3304883a702a4e760f3c5ae838a4b69768 最终得到算法E的鉴权URL,如下所示: 支持试看功能 http://1.cdn.myhuaweicloud.com/asset/6b2d740f10b8697d8ea6672868ecdb6f/test.hls?auth_key=3a935cf1d8299fe63ec8d4e0afb5ef3304883a702a4e760f3c5ae838a4b69768×tamp=1547123166&exper=300 支持伪直播功能 http://1.cdn.myhuaweicloud.com/asset/6b2d740f10b8697d8ea6672868ecdb6f/test.hls?auth_key=3a935cf1d8299fe63ec8d4e0afb5ef3304883a702a4e760f3c5ae838a4b69768×tamp=1547123166&plive=1704074400
  • 加密算法C 鉴权URL格式 https://{cdn_domain}/{md5hash}/{time_hex}/asset/{asset_id}/{file_name} md5hash的计算公式: md5hash = md5({private_key}/asset/{asset_id}/{file_name}{time_hex}) 表4 鉴权字段描述 字段 描述 file_name 指原始播放URL中从媒资ID后开始到最后的路径。 示例:play_video/test.mp4 time_hex 鉴权URL生成时间,为Unix时间戳的十六进制结果。 示例:hex(1564987530)=5D47D08A private_key 在控制台设置的防盗链Key值,具体请参见配置步骤。 鉴权URL示例 原始URL:http://1.cdn.myhuaweicloud.com/asset/6b2d740f10b8697d8ea6672868ecdb6f/test.mp4 private_key:myPrivateKey time_hex:hex(timestamp) = hex(1547123166) = 5C3739DE file_name:test.mp4 则根据计算公式,得到md5sum md5hash=md5(myPrivateKey/asset/6b2d740f10b8697d8ea6672868ecdb6f/test.mp45C3739DE) = afa20c956043fe6d130b16f2704ac870 最终得到算法C的鉴权URL http://1.cdn.myhuaweicloud.com/afa20c956043fe6d130b16f2704ac870/5C3739DE/asset/6b2d740f10b8697d8ea6672868ecdb6f/test.mp4
  • 实现原理 Referer防盗链的实现原理比较简单,在点播控制台配置了白名单或黑名单后,点播服务会将这份名单分发到CDN中。当CDN接收到资源请求时,会根据这个名单来识别请求是否合法,若合法,则访问请求的资源,否则拒绝并返回403。 Key防盗链是 视频点播 的加速节点与点播源站联合实现的,比Referer防盗链更为安全可靠的一种防盗播方案。Key防盗链的实现过程如图1所示。 图1 Key防盗链实现原理 流程说明如下所示: 租户在点播控制台开启Key防盗链功能,并配置误差允许时间、算法等。 点播服务将配置的密钥值等下发到CDN节点中。 租户通过点播服务获取到点播媒资的鉴权URL。 观众通过租户提供的鉴权播放URL向CDN请求视频播放。 CDN根据播放URL中携带的鉴权信息校验请求的合法性,仅校验通过的请求会被允许。
  • 加密算法A 鉴权URL格式 原始URL?auth_key={timestamp}-{rand}-{uid}-{auth_key} auth_key的计算公式: auth_key = MD5(/asset/{assetId}/{file_name}-{timestamp}-{rand}-{uid}-{private_key}) 表2 鉴权字段描述 字段 描述 timestamp 鉴权URL生成时间,为Unix时间戳,1970年1月1日以来的秒数。 示例:1564731935(即2019.08.02 15:45) rand 随机数,建议使用UUID方式生成,不能包含中划线”-“。 示例:f03cbe7c4a3849bc8d8769e3110e4533 uid 暂未使用,直接设置成0即可。 private_key 在控制台设置的防盗链Key值,具体请参见配置步骤。
  • 注意事项 该功能为可选项,默认不启用。 启用该功能后,原始视频加速URL将无法播放,需要按规则生成合法的防盗链URL。 若防盗链URL过期,或者签名不能通过,将无法播放视频,并返回“403 Forbidden”信息。 加密算法ABC暂不支持HLS和DASH播放场景。 Key防盗链功能启用后,若需要关闭,请提交工单申请。 开启Key防盗链场景下,暂不支持多音轨和多字幕的播放请求。所以开启防盗链配置时,需要确认业务场景是否涉及多音轨和多字幕。
  • 媒资管理 选择需要查看的时间范围及时间粒度,即可查看到媒资的标准存储、低频存储和归档存储的统计数据。 您可以单击“下载”,将媒资存储量统计详情导出到本地。 支持查询最近30天的历史数据。 查询的时间跨度最长为31天。 最小统计粒度为1小时,如2020-11-06 8:00:00~2020-11-06 9:00:00时间段内的数据会统计展示在2020-11-06 8:00:00这个统计点上,其中,展示的数据为用户所选粒度时间段内的最大值。 统计图中呈现的是所选时间范围内的媒资标准存储量统计信息,将鼠标指针停留在趋势图上,滚动鼠标滚轮可针对某时间跨度范围内的趋势图时间横轴进行拉大或缩小整体占比。 图3 标准存储量统计
  • 转码 选择需要查看的时间范围及时间粒度,即可查看到音视频文件的转码总时长统计数据。 您可以单击“下载”,将音视频文件的转码总时长统计详情导出到本地。 支持查询最近30天的历史数据。 查询的时间跨度最长为31天。 最小统计粒度为1小时,如2020-11-06 8:00:00~2020-11-06 9:00:00时间段内的数据会统计展示在2020-11-06 8:00:00这个统计点上,其中,展示的数据为用户所选粒度时间段内的最大值。 统计图中呈现的是所选时间范围内的转码总时长统计信息,将鼠标指针停留在趋势图上,滚动鼠标滚轮可针对某时间跨度范围内的趋势图时间横轴进行拉大或缩小整体占比。 图5 转码总时长统计
  • 分发流量 选择需要查看的时间范围、域名及时间粒度,即可查看到CDN流量的相关统计数据。 您可以单击“下载”,将CDN流量统计详情导出到本地。 支持查询最近90天的历史数据。 查询的时间跨度最长为31天。 支持选择 多个域名 同时查询,单次查询的域名总数不能超过20个。 最小统计粒度为5分钟,如2020-11-06 8:00:00~2020-11-06 8:04:59时间段内的数据会统计展示在2020-11-06 8:00:00这个统计点上,其中,展示的数据为用户所选粒度时间段内的最大值。 统计图中呈现的是所选域名的总流量趋势,将鼠标指针停留在趋势图上,滚动鼠标滚轮可针对某时间跨度范围内的趋势图时间横轴进行拉大或缩小整体占比。 图1 CDN总流量
  • 分发峰值带宽 选择需要查看的时间范围、域名及时间粒度,即可查看到CDN峰值带宽的相关统计数据。 您可以单击“下载”,将CDN峰值带宽统计详情导出到本地。 支持查询最近90天的历史数据。 查询的时间跨度最长为31天。 支持选择多个域名同时查询,单次查询的域名总数不能超过20个。 最小统计粒度为5分钟,如2020-11-06 8:00:00~2020-11-06 8:04:59时间段内的数据会统计展示在2020-11-06 8:00:00这个统计点上,其中,展示的数据为用户所选粒度时间段内的最大值。 统计图中呈现的是所选域名的峰值带宽趋势,将鼠标指针停留在趋势图上,滚动鼠标滚轮可针对某时间跨度范围内的趋势图时间横轴进行拉大或缩小整体占比。 图2 CDN峰值带宽
  • 数据取回 选择需要查看的时间范围及时间粒度,即可查看到低频存储取回媒资和归档存储取回媒资的统计数据。 您可以单击“下载”,将媒资取回统计详情导出到本地。 支持查询最近30天的历史数据。 查询的时间跨度最长为31天。 最小统计粒度为1小时,如2020-11-06 8:00:00~2020-11-06 9:00:00时间段内的数据会统计展示在2020-11-06 8:00:00这个统计点上,其中,展示的数据为用户所选粒度时间段内的最大值。 统计图中呈现的是所选时间范围内的媒资低频存储取回的统计信息,将鼠标指针停留在趋势图上,滚动鼠标滚轮可针对某时间跨度范围内的趋势图时间横轴进行拉大或缩小整体占比。 如果是“归档存储取回”,可以分别查看“标准取回模式”和“快速取回模式”下的统计数据。 图4 低频存储取回统计
  • 示例流程 图1 给用户授权VOD只读权限流程 创建用户组并授权 在IAM控制台创建用户组,并授予VOD只读权限“VOD Guest”。 创建用户并加入用户组 在IAM控制台创建用户,并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台,切换至授权区域,验证权限: 在“服务列表”中选择视频点播服务,进入“全局配置”界面,若提示权限不足,表示“VOD Guest”已生效。 在“服务列表”中选择除弹性云服务器外的任一服务,若提示权限不足,表示“VOD Guest”已生效。
  • 创建媒资隔离的用户 视频点播提供了VOD Administrator、VOD Operator、VOD Guest、VOD Group Administrator、VOD Group Operator、VOD Group Guest、VOD FullAccess、VOD ReadOnlyAccess和VOD CommonOperations九个系统策略,具体请参考产品介绍-权限管理。其中VOD Administrator、VOD Operator和VOD Guest三个系统策略仅能进行操作权限的划分,若您还需要对视频点播中存储的媒资进行隔离,建议您使用VOD Group Administrator、VOD Group Operator和VOD Group Guest三个系统策略,它们既支持操作权限划分,也支持媒资隔离。媒资隔离是指仅同组内的用户能访问或管理该组其他用户创建的媒资。 媒资隔离示例如表1所示。 表1 账号权限配置建议 策略组 用户A(管理账号) 用户B(上传账号) 用户C(观看账号) VOD Group Administrator √ - - VOD Group Operator - √ - VOD Group Guest - - √ 以上三种策略组,不管是低权限的账户还是高权限的账户,都只能操作本组内用户创建的媒资,达到了媒资隔离的效果,即用户A、B、C只能访问自己组内的媒资。 若用户A需要能操作用户B创建的媒资,则用户A需要加入B所在的VOD Group Operator策略组。
  • 使用限制 单账号跟踪的事件可以通过云审计控制台查询。多账号的事件只能在账号自己的事件列表页面去查看,或者到组织追踪器配置的OBS桶中查看,也可以到组织追踪器配置的CTS/system日志流下面去查看。 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录,您必须配置转储到对象存储服务(OBS)或云日志服务(LTS),才可在OBS桶或LTS日志组里面查看历史事件信息。否则,您将无法追溯7天以前的操作记录。 云上操作后,1分钟内可以通过云审计控制台查询管理类事件操作记录,5分钟后才可通过云审计控制台查询数据类事件操作记录。
  • 响应参数 状态码: 200 表3 响应Body参数 参数 参数类型 描述 error Object Error 响应错误 result MergeChangesTreesDto object 参数解释: 响应结果。 status String 参数解释: 调用此接口的响应状态。 取值范围: success,表示接口调用成功。 failed,表示接口调用失败 表4 响应Error参数 参数 参数类型 描述 code String 参数解释: 调用此接口失败时返回的错误码。 取值范围: CH.10000,系统繁忙,请稍后再试。 message String 参数解释: 调用此接口失败时返回的提示信息。 取值范围: “系统繁忙,请稍后再试”。
  • 响应示例 状态码: 200 OK { "result": { "id": 42466, "iid": 2, "project_id": 892155, "title": "新建文件 111", "description": "merge \"1\" into \"master\"\n新建文件 111", "state": "opened", "created_at": "2024-03-24T11:29:56.000+08:00", "updated_at": "2024-04-10T17:34:06.000+08:00", "target_branch": "master", "source_branch": "1", "user_notes_count": 2, "upvotes": 0, "downvotes": 0, "author": { "id": 6916, "name": "Online_L0_CodeHub", "username": "5cb39fe67a2b465283c1463a87274980", "state": "active", "name_cn": "Online_L0_CodeHub" }, "source_project_id": 892155, "target_project_id": 892155, "labels": [], "work_in_progress": false, "merge_when_pipeline_succeeds": false, "merge_status": "can_be_merged", "sha": "43b573473948e13934379993943ac5deea7cd391", "should_remove_source_branch": false, "force_remove_source_branch": false, "web_url": "https://test.com/dcf7e8cde4474a4e8219921f564c32d6/test_no_readme/merge_requests/2", "time_stats": { "total_time_spent": 0 }, "squash": false, "merge_request_type": "MergeRequest", "subscribed": true, "changes_count": "1", "diff_refs": { "base_sha": "ca4cf1a049e286032b25e1604f44f2969818b3f5", "head_sha": "43b573473948e13934379993943ac5deea7cd391", "start_sha": "ca4cf1a049e286032b25e1604f44f2969818b3f5" }, "user": { "can_merge": true }, "added_lines": 5, "removed_lines": 0, "changes": [ { "old_path": "111", "new_path": "111", "a_mode": "0", "b_mode": "100644", "file_path": "111", "new_file": true, "renamed_file": false, "deleted_file": false, "diff": "@@ -0,0 +1,5 @@\n+1\r\n+2\r\n+3\r\n+4\r\n+5\n\\ No newline at end of file\n", "binary": false, "too_large": false, "collapsed": false, "added_lines": 5, "removed_lines": 0, "content_sha": "43b573473948e13934379993943ac5deea7cd391", "submodule": false, "expanded": true, "diff_refs": { "base_sha": "ca4cf1a049e286032b25e1604f44f2969818b3f5", "head_sha": "43b573473948e13934379993943ac5deea7cd391", "start_sha": "ca4cf1a049e286032b25e1604f44f2969818b3f5" }, "mode_changed": true, "file_type": "text_type" } ] }, "status": "success" }
共100000条