华为云用户手册

配置示例 配置详情： 域名 www.example.com开启了IP访问限频，访问阈值设置为10000次/秒。 触发IP限频的条件：单IP的单URL每秒访问单节点的次数达到10000次，才会触发访问限频。 示例：IP地址为0.0.0.0的客户端，一秒内访问链接https://www.example.com/abc.jpg的次数达到了10000次，即触发访问限频，该IP再次请求https://www.example.com/abc.jpg时，阻断请求，返回403状态码，10分钟后解除阻断。

示例说明 以使用MD5算法为例： 回源请求对象： http://hwcdn.example.com/T128_2_1_0_sdk/0210/M00/82/3E/test.mp3 密钥设为：huaweicloud12345（用户自行设置） 鉴权生效开始日期为：2017年6月30日10：00：00，计算出来的秒数为1498788000，并转换为十六进制为5955b0a0。并且设置有效时间为1800s。 CDN服务器构造一个用于计算md5hash的签名字符串： huaweicloud12345/T128_2_1_0_sdk/0210/M00/82/3E/test.mp35955b0a0 CDN服务器根据该签名字符串计算md5hash： md5hash = md5sum(huaweicloud12345/T128_2_1_0_sdk/0210/M00/82/3E/test.mp35955b0a0) = 8540f43a2416fd4a432fe4f92d2ea089 请求CDN时URL： http://hwcdn.example.com/8540f43a2416fd4a432fe4f92d2ea089/5955b0a0/T128_2_1_0_sdk/0210/M00/82/3E/test.mp3 如果请求在有效时间内(请求时间小于等于2017年6月30日10：30：00)，并且计算出来的md5hash与用户请求中带的md5hash值（8540f43a2416fd4a432fe4f92d2ea089）一致，则鉴权通过。

校验方法 CDN服务器收到请求后，会按照如下步骤进行校验： 是否携带鉴权参数。如果没有携带鉴权参数，认为请求非法，返回HTTP 403错误。 时间校验：CDN服务器接收到客户端请求后，判断鉴权URL中的“timestamp参数 + 鉴权URL有效时长”是否大于当前时间。 如果“timestamp参数 + 鉴权URL有效时长”小于当前时间，认为过期失效并返回HTTP 403错误。 如果“timestamp参数 + 鉴权URL有效时长”大于或等于当前时间，则通过时间校验，继续执行步骤3。 加密串校验：时间校验通过后，则以sstring方式构造出一个字符串（参考以下sstring构造方式）。然后使用md5（sha256）算法算出HashValue，并和用户请求中带来的md5hash（sha256）进行对比。结果一致则认为鉴权通过并返回文件，否则鉴权失败返回HTTP 403错误。HashValue计算方式如下： sstring = "PrivateKeyFilenameTimestamp" HashValue = md5sum(sstring) 或： sstring = "PrivateKeyFilenameTimestamp" HashValue = sha256sum(sstring)

域名基本配置概述 域名添加到 CDN加速 后，可能会随着业务的不断变化需要修改域名的服务范围、业务类型或者源站信息，这类信息可以在域名基本配置模块修改。 修改域名基本配置时需要加速域名处于“已开启”或“配置中”状态，并且未被CDN锁定、禁用。 配置项 场景说明 修改域名源站配置 当您的源站IP、域名发生变化，源站信息配置错误，或需要添加备源站时，可以在此项配置中配置相关源站信息。 回源HOST 如果CDN回源时访问的站点域名不是您的加速域名（CDN默认回源HOST为加速域名），您需要设置回源HOST。 修改业务类型 如果您的业务有变，当前CDN加速域名的业务类型已经无法匹配您的需求时，您可以修改业务类型。 修改服务范围 如果您的用户所在地域发生改变，您可以修改加速域名的服务范围，更好的匹配当前业务。 配置客户端用IPv6协议访问CDN节点 如果您需要以IPv6协议访问CDN，您需要开启此项配置。 父主题： 基本配置

工作原理 O CS P（Online Certificate Status Protocol，在线证书状态协议），是由数字证书颁发机构CA（Certificate Authority）提供，客户端通过OCSP可实时验证证书的合法性和有效性。 未开启OCSP Stapling时，网站的每个访问者都会进行OCSP查询，这会影响浏览器打开页面的速度，同时，高并发的请求会给CA的服务器带来很大的压力。 开启OCSP Stapling后，CDN可以预先查询并缓存在线证书验证结果，用户只需验证该响应的有效性而不用再向数字证书认证机构（CA）发送请求，提高TLS握手效率，减少用户验证时间。

配置约束 已成功配置HTTPS国际证书，详见配置HTTPS证书。 开启OCSP Stapling后，如果您关闭了HTTPS证书，OCSP Stapling功能也会自动关闭。 配置HTTPS证书后，需要等证书配置完成（约5分钟）后才能开启OCSP Stapling功能。 如果您将“国际证书”切换为“国密证书”，OCSP Stapling功能也会失效。 如果您配置了双证书，OCSP Stapling功能仅对国际证书生效。

操作步骤 登录CDN控制台。 在左侧菜单栏中，选择“域名管理”。 在域名列表中，单击需要修改的域名或域名所在行的“设置”，进入域名配置页面。 选择“高级配置”页签。 在请求限速配置模块，单击“编辑”。 单击页面“添加”按钮，即可编辑规则内容。 图1 请求限速配置 表1 参数说明 参数 说明 匹配类型 所有文件：所有文件均参与限速。 目录匹配：指定目录内的文件参与限速。 匹配内容 匹配类型为所有文件时不填。 匹配类型为目录匹配时，输入规则如下： 以“/”开头，例如：/test/folder。 不能以“/”结尾。 每条规则对应一个目录，不支持一条规则配置多个目录。 限速类型 支持按传送流量限速，即单个HTTP请求流量达到设定的值，开始限制访问速度，该请求之后的访问速度不超过设定的限速值。 限速条件 设置限速起始值，当传送流量达到限速条件设置的值后开始限速。 单位为Byte，最大值可设置为1GB，即：1,073,741,824Byte。 限速值 设置开始限速后的最大访问速度。 最大值可设置为100MBps。 限速时段 指明限速的时段，按照每天24小时设置限速时段，格式为：HHMM-HHMM（HH为时，MM为分，时区为UTC+8），多个时段限速时用“,”分隔，例如：0100-0200,2200-2300。默认值为0000-2400，代表限速对所有时段生效。 最多可设置10个限速时段。 优先级 限速规则的优先级，优先级设置具有唯一性，不支持多条规则设置同一优先级，且优先级不能输入为空。多条限速规则下，不同限速规则中的相同资源内容，CDN优先匹配优先级高的限速规则。 取值为1~100之间的整数，数值越大优先级越高。 配置相关参数，单击“保存”完成限速配置。

注意事项 如果加速域名的资源在CDN节点不缓存，即使设置了状态码缓存时间，也无法缓存客户端请求该资源时产生的状态码。 后台有特殊配置的域名暂不支持配置状态码缓存时间。 如果您域名的业务类型是全站加速，本功能仅对静态资源生效。 CDN默认缓存404、500、502、504状态码3s，其他状态码默认不缓存。 是否默认缓存404状态码依赖头域设置，如果带有X-HTTP-Method-Override、X-HTTP-Method、X-Method-Override头域，默认不缓存，反之则缓存3s。 如果域名的某个资源URL参数设置为“忽略参数”，当客户端请求返回的状态码（例如400）被缓存时，在缓存时间内所有该资源的请求均返回该状态码（400），请根据业务情况合理设置状态码缓存时间。 当前支持修改以下状态码的缓存时间： 4XX：400、401、403、404、405、407、414、416、451。 5XX：500、501、502、503、504、509、514。 3XX：301、302。

适用场景 状态码缓存时间功能主要适用于源站响应异常状态码的场景。当源站运行正常时，CDN回源请求资源后将按照设置的缓存规则将资源缓存到节点，再次访问相同资源时不会触发回源。当源站响应异常，且不希望所有请求都由源站响应，可以设置状态码缓存时间，减轻源站压力。 典型应用：图片abc.jpg已从源站删除，CDN节点无缓存，且持续有用户在访问该资源，那么所有访问都将会回源，由源站响应4xx状态码，增加源站压力。此时如果在CDN配置4xx状态码缓存时间，用户再次请求资源将直接由CDN节点响应4xx状态码，无需回源。

配置示例 域名example.com开启了远程鉴权，配置请见图3。 客户端原始请求URL：https://example.com/folder01/test.txt?key=***，原始请求中携带Header：test=123。 CDN转发给远程鉴权服务器的URL为：GET https://192.168.9.1/remoteauth?key=***，CDN转发给远程鉴权服务器的请求包含header：test=123。 可能的鉴权结果： 结果1：鉴权成功，CDN节点与用户开始正常的缓存数据访问交互。 结果2：鉴权失败，CDN节点返回403状态码给用户。 结果3：鉴权超时，CDN节点执行鉴权超时动作，放行用户请求。 图3 远程鉴权

背景信息 远程鉴权功能类似URL鉴权，区别如下： URL鉴权：鉴权由CDN节点完成。 远程鉴权：CDN节点转发用户请求到您指定的鉴权服务器，由鉴权服务器完成鉴权功能。 远程鉴权用户请求流程如下： 图1 远程鉴权流程 表1 步骤说明 步骤 说明 ① 用户携带鉴权参数访问CDN节点。 ② CDN将用户请求转发至远程鉴权服务器。 ③ 远程鉴权服务器完成鉴权操作，给CDN节点返回响应状态码。 ④ CDN节点根据接收到的状态码判断是否给用户返回所请求的资源。

清理托管证书 您也可以在页面对托管证书进行删除操作。 注意事项 清理托管证书，该托管证书将从服务器端删除，不会泄露您的相关隐私。 已关联加速域名的托管证书不能清理，请先关闭HTTPS安全配置。 如果您需要再次使用托管证书，请从SSL证书管理中重新推送至CDN。 操作步骤 单击“清理托管证书”。 在弹出页面选择您需要清理的证书，单击“确定”，完成托管证书清理。 如果您需要再次使用托管证书，请从SSL证书管理中重新推送至CDN

场景示例 如果某加速域名被禁用的原因仅为域名备案过期，单击“重新审核”后有如下两种情况： 域名已重新备案，系统弹出解禁成功提示信息，域名解禁成功。 域名备案未恢复，系统弹出该加速域名尚未备案提示信息。您需要到工信部为该域名恢复备案后重试。 如果某加速域名被禁用的原因不只是备案过期，单击“重新审核”后系统弹出“该域名被禁用原因不是备案过期，无法通过重新审核来尝试解禁”提示信息，您需要重新检查并整改域名内容，整改完成后提交工单或联系客服咨询处理。

预设策略列表 当您在配置审计控制台添加合规规则时，可以直接选用系统内置的预设合规策略。 当前配置审计服务支持的预设策略如下表所示。 表1 配置审计 支持的预设策略 云服务 预设策略 触发方式 评估资源 公共可用预设策略 资源名称满足正则表达式 配置变更 全部资源 资源具有所有指定的标签键 配置变更 支持标签的云服务和资源类型 资源存在任一指定的标签 配置变更 支持标签的云服务和资源类型 资源具有指定前后缀的标签键 配置变更 支持标签的云服务和资源类型 资源标签非空 配置变更 支持标签的云服务和资源类型 资源具有指定的标签 配置变更 支持标签的云服务和资源类型 资源属于指定企业项目ID 配置变更 全部资源 资源在指定区域内 配置变更 全部资源 资源在指定类型内 配置变更 全部资源 不允许的资源类型 配置变更 全部资源 API网关 APIG APIG专享版实例配置安全认证类型 配置变更 apig.instances APIG专享版实例配置访问日志 配置变更 apig.instances APIG专享版实例域名均关联SSL证书 配置变更 apig.instances 部署 CodeArts Deploy CodeArts项目下的主机集群为可用状态 配置变更 codeartsdeploy.host-cluster CodeArts编译构建下的项目未设置参数加密 配置变更 codeartsbuild.CloudBuildServer MapReduce服务 MRS MRS集群属于指定安全组 配置变更 mrs.mrs MRS集群属于指定VPC 配置变更 mrs.mrs MRS集群开启kerberos认证 配置变更 mrs.mrs MRS集群使用多AZ部署 配置变更 mrs.mrs MRS集群未绑定弹性公网IP 配置变更 mrs.mrs MRS集群开启KMS加密 配置变更 mrs.mrs NAT网关 NAT NAT私网网关绑定指定VPC资源 配置变更 nat.privateNatGateways VPC终端节点 VPCEP 创建了指定服务名的终端节点 周期触发 account Web应用防火墙 WAF WAF防护域名配置防护策略 配置变更 waf.instance WAF防护策略配置防护规则 配置变更 waf.policy 启用WAF实例域名防护 周期触发 account 启用WAF防护策略地理位置访问控制规则 周期触发 account WAF实例启用拦截模式防护策略 配置变更 waf.instance 弹性负载均衡 ELB ELB资源不具有弹性公网IP 配置变更 elb.loadbalancers ELB监听器配置指定预定义安全策略 配置变更 elb.loadbalancers ELB监听器配置HTTPS监听协议 配置变更 elb.loadbalancers ELB后端服务器权重检查 配置变更 elb.members 监听器资源HTTPS重定向检查 配置变更 elb.listeners ELB资源使用多AZ部署 配置变更 elb.loadbalancers ELB负载均衡 器配置访问日志 配置变更 elb.loadbalancers 弹性公网IP EIP EIP带宽限制 配置变更 vpc.publicips 弹性公网IP未进行任何绑定 配置变更 vpc.publicips EIP在指定天数内绑定到资源实例 周期触发 vpc.publicips 弹性伸缩 AS 弹性伸缩组均衡扩容 配置变更 as.scalingGroups 弹性伸缩组使用弹性负载均衡健康检查 配置变更 as.scalingGroups 弹性伸缩组启用多AZ部署 配置变更 as.scalingGroups 弹性伸缩组未配置IPv6带宽 配置变更 as.scalingGroups 弹性伸缩组VPC检查 配置变更 as.scalingGroups 高性能弹性文件服务 SFS Turbo 高性能弹性文件服务通过KMS进行加密 配置变更 sfsturbo.shares SFS Turbo资源在备份存储库中 配置变更 sfsturbo.shares SFS Turbo资源的备份时间检查 周期触发 sfsturbo.shares 弹性云服务器 ECS ECS资源规格在指定的范围 配置变更 ecs.cloudservers ECS实例的镜像ID在指定的范围 配置变更 ecs.cloudservers ECS的镜像在指定Tag的IMS的范围内 配置变更 ecs.cloudservers 绑定指定标签的ECS关联在指定安全组ID列表内 配置变更 ecs.cloudservers ECS资源属于指定虚拟私有云ID 配置变更 ecs.cloudservers ECS资源配置密钥对 配置变更 ecs.cloudservers ECS资源不能公网访问 配置变更 ecs.cloudservers 检查ECS资源是否具有多个弹性公网IP 配置变更 ecs.cloudservers 关机状态的ECS未进行任意操作的时间检查 周期触发 ecs.cloudservers ECS资源附加 IAM 委托 配置变更 ecs.cloudservers ECS实例的镜像名称在指定的范围 配置变更 ecs.cloudservers ECS资源在备份存储库中 配置变更 ecs.cloudservers ECS云服务器 的备份时间检查 周期触发 ecs.cloudservers ECS资源绑定服务主机代理防护 配置变更 ecs.cloudservers 分布式缓存服务 DCS DCS Memcached资源支持SSL 配置变更 dcs.memcached DCS Memcached资源属于指定虚拟私有云ID 配置变更 dcs.memcached DCS Memcached资源不存在弹性公网IP 配置变更 dcs.memcached DCS Memcached资源需要密码访问 配置变更 dcs.memcached DCS Redis实例支持SSL 配置变更 dcs.redis DCS Redis实例高可用 配置变更 dcs.redis DCS Redis实例属于指定虚拟私有云ID 配置变更 dcs.redis DCS Redis实例不存在弹性公网IP 配置变更 dcs.redis DCS Redis实例需要密码访问 配置变更 dcs.redis 函数工作流 FunctionGraph 函数工作流的函数并发数在指定范围内 配置变更 fgs.functions 函数工作流使用指定VPC 配置变更 fgs.functions 函数工作流的函数不允许访问公网 配置变更 fgs.functions 检查函数工作流参数设置 配置变更 fgs.functions 函数工作流的函数启用日志配置 配置变更 fgs.functions 内容分发网络 CDN CDN使用HTTPS证书 配置变更 cdn.domains CDN回源方式使用HTTPS 配置变更 cdn.domains CDN安全策略检查 配置变更 cdn.domains CDN使用自有证书 配置变更 cdn.domains 配置审计 Config 账号开启资源记录器 周期触发 account 数据仓库服务 DWS DWS集群启用KMS加密 配置变更 dws.clusters DWS集群启用日志转储 配置变更 dws.clusters DWS集群启用自动快照 配置变更 dws.clusters DWS集群启用SSL加密连接 配置变更 dws.clusters DWS集群未绑定弹性公网IP 配置变更 dws.clusters DWS集群运维时间窗检查 配置变更 dws.clusters DWS集群VPC检查 配置变更 dws.clusters 数据复制服务 DRS 数据复制服务实时灾备任务不使用公网网络 配置变更 drs.dataGuardJob 数据复制服务实时迁移任务不使用公网网络 配置变更 drs.migrationJob 数据复制服务实时同步任务不使用公网网络 配置变更 drs.synchronizationJob 数据加密 服务 DEW KMS密钥不处于“计划删除”状态 配置变更 kms.keys KMS密钥启用密钥轮换 配置变更 kms.keys 检查C SMS 凭据轮转成功 配置变更 csms.secrets CSMS凭据启动自动轮转 配置变更 csms.secrets CSMS凭据使用指定KMS 配置变更 csms.secrets CSMS凭据在指定时间内轮转 周期触发 csms.secrets 统一身份认证 服务 IAM IAM用户的AccessKey在指定时间内轮换 周期触发 iam.users IAM策略中不授权KMS的禁止的action 配置变更 iam.roles&iam.policies IAM用户组添加了IAM用户 配置变更 iam.groups IAM用户密码策略符合要求 配置变更 iam.users IAM策略黑名单检查 配置变更 iam.users、iam.groups、iam.agencies IAM策略不具备Admin权限 配置变更 iam.roles、iam.policies IAM自定义策略具备所有权限 配置变更 iam.roles、iam.policies 根用户存在可使用的访问密钥 周期触发 account IAM用户访问模式 配置变更 iam.users IAM用户创建时设置AccessKey 配置变更 iam.users IAM用户归属指定用户组 配置变更 iam.users IAM用户在指定时间内有登录行为 周期触发 iam.users IAM用户开启MFA 配置变更 iam.users IAM用户单访问密钥 配置变更 iam.users Console侧密码登录的IAM用户开启MFA认证 配置变更 iam.users 根用户开启MFA认证 周期触发 account IAM策略使用中 配置变更 iam.policies IAM权限使用中 配置变更 iam.roles IAM用户开启登录保护 周期触发 iam.users IAM委托绑定策略检查 配置变更 iam.agencies IAM用户admin权限检查 配置变更 iam.users IAM用户不直接附加策略或权限 配置变更 iam.users 文档数据库服务 DDS DDS实例开启SSL 配置变更 dds.instances DDS实例属于指定实例类型 配置变更 dds.instances DDS实例未绑定弹性公网IP 配置变更 dds.instances DDS实例端口检查 配置变更 dds.instances DDS实例数据库版本检查 配置变更 dds.instances DDS实例属于指定虚拟私有云ID 配置变更 dds.instances 消息通知 服务 SMN SMN主题配置访问日志 配置变更 smn.topic 虚拟私有云 VPC 未与子网关联的网络ACL 配置变更 vpc.firewallGroups 默认安全组关闭出、入方向流量 配置变更 vpc.securityGroups VPC启用流日志 配置变更 vpc.vpcs 安全组端口检查 配置变更 vpc.securityGroups 安全组入站流量限制指定端口 配置变更 vpc.securityGroups 安全组入站流量限制SSH端口 配置变更 vpc.securityGroups 安全组非白名单端口检查 配置变更 vpc.securityGroups 安全组连接到弹性网络接口 配置变更 vpc.securityGroups 虚拟专用网络 VPN VPN连接状态为“正常” 配置变更 vpnaas.vpnConnections、vpnaas.ipsec-site-connections 云监控服务 CES CES启用告警操作 配置变更 ces.alarms CES配置监控KMS禁用或计划删除密钥的事件监控告警 周期触发 account CES配置监控OBS桶策略变更的事件监控告警 周期触发 account 指定的资源类型绑定指定指标CES告警 周期触发 account 检查特定指标的CES告警进行特定配置 配置变更 ces.alarms CES配置监控VPC变更的事件监控告警 周期触发 account 云容器引擎 CCE CCE集群版本为处于维护的版本 配置变更 cce.clusters CCE集群运行的非受支持的最旧版本 配置变更 cce.clusters CCE集群资源不具有弹性公网IP 配置变更 cce.clusters CCE集群规格在指定的范围 配置变更 cce.clusters CCE集群VPC检查 配置变更 cce.clusters 云审计 服务 CTS CTS追踪器通过KMS进行加密 配置变更 cts.trackers CTS追踪器启用事件分析 配置变更 cts.trackers CTS追踪器追踪指定的OBS桶 周期触发 account CTS追踪器打开事件文件校验 配置变更 cts.trackers 创建并启用CTS追踪器 周期触发 account 在指定区域创建并启用CTS追踪器 周期触发 account CTS追踪器符合安全最佳实践 周期触发 account 云数据库 RDS RDS实例开启备份 配置变更 rds.instances RDS实例开启错误日志 配置变更 rds.instances RDS实例开启慢日志 配置变更 rds.instances RDS实例支持多可用区 配置变更 rds.instances RDS实例不具有弹性公网IP 配置变更 rds.instances RDS实例开启存储加密 配置变更 rds.instances RDS实例属于指定虚拟私有云ID 配置变更 rds.instances RDS实例配备日志 配置变更 rds.instances RDS实例规格在指定的范围 配置变更 rds.instances RDS实例启用SSL加密通讯 配置变更 rds.instances RDS实例端口检查 配置变更 rds.instances RDS实例数据库引擎版本检查 配置变更 rds.instances RDS实例启用审计日志 配置变更 rds.instances 云数据库 GaussDB GaussDB资源属于指定虚拟私有云ID 配置变更 gaussdb.instance GaussDB实例开启审计日志 配置变更 gaussdb.instance GaussDB实例开启自动备份 配置变更 gaussdb.instance GaussDB实例开启错误日志 配置变更 gaussdb.instance GaussDB实例开启慢日志 配置变更 gaussdb.instance GaussDB实例EIP检查 配置变更 gaussdb.instance GaussDB实例跨AZ部署检查 配置变更 gaussdb.instance GaussDB实例开启传输数据加密 配置变更 gaussdb.instance 云数据库 TaurusDB TaurusDB实例开启审计日志 配置变更 gaussdbformysql.instance TaurusDB实例开启备份 配置变更 gaussdbformysql.instance TaurusDB实例开启错误日志 配置变更 gaussdbformysql.instance TaurusDB实例开启慢日志 配置变更 gaussdbformysql.instance TaurusDB实例开启传输数据加密 配置变更 gaussdbformysql.instance TaurusDB实例跨AZ部署检查 配置变更 gaussdbformysql.instance TaurusDB实例EIP检查 配置变更 gaussdbformysql.instance TaurusDB实例VPC检查 配置变更 gaussdbformysql.instance 云数据库 GeminiDB GeminiDB部署在单个可用区 配置变更 nosql.instances GeminiDB开启备份 配置变更 nosql.instances GeminiDB使用磁盘加密 配置变更 nosql.instances GeminiDB开启错误日志 配置变更 nosql.instances GeminiDB开启慢查询日志 配置变更 nosql.instances 云搜索服务 CSS CSS集群启用安全模式 配置变更 css.clusters CSS集群启用快照 配置变更 css.clusters CSS集群开启磁盘加密 配置变更 css.clusters CSS集群启用HTTPS 配置变更 css.clusters CSS集群绑定指定VPC资源 配置变更 css.clusters CSS集群具备多AZ容灾 配置变更 css.clusters CSS集群具备多实例容灾 配置变更 css.clusters CSS集群不能公网访问 配置变更 css.clusters CSS集群支持安全模式 配置变更 css.clusters CSS集群未开启访问控制开关 配置变更 css.clusters CSS集群Kibana未开启访问控制开关 配置变更 css.clusters CSS集群开启慢日志 配置变更 css.clusters CSS集群版本检查 配置变更 css.clusters 云硬盘 EVS 云硬盘的类型在指定的范围内 配置变更 evs.volumes 云硬盘创建后在指定天数内绑定资源实例 周期触发 evs.volumes 云硬盘闲置检测 配置变更 evs.volumes 已挂载的云硬盘开启加密 配置变更 evs.volumes 云硬盘开启加密 配置变更 evs.volumes EVS资源在备份存储库保护中 配置变更 evs.volumes EVS资源的备份时间检查 周期触发 evs.volumes 云证书管理服务 CCM 检查私有CA是否过期 周期触发 pca.ca 检查私有证书是否过期 周期触发 pca.cert 检查私有根CA是否停用 周期触发 pca.ca 私有证书管理服务算法检查 配置变更 pca.ca、pca.cert 分布式消息服务Kafka版 DMS Kafka队列打开内网SSL加密访问 配置变更 dms.kafka DMS Kafka队列打开公网SSL加密访问 配置变更 dms.kafka DMS Kafka队列开启公网访问 配置变更 dms.kafka 分布式消息服务RabbitMQ版 DMS RabbitMq队列打开SSL加密访问 配置变更 dms.rabbitmqs DMS RabbitMQ实例开启公网访问 配置变更 dms.rabbitmqs 分布式消息服务RocketMQ版 DMS RocketMQ实例打开SSL加密访问 配置变更 dms.reliabilitys DMS RocketMQ实例开启公网访问 配置变更 dms.reliabilitys 组织 Organizations 账号加入组织 周期触发 account 云防火墙 CFW CFW防火墙配置防护策略 配置变更 cfw.cfw_instance 云备份 CBR CBR备份被加密 配置变更 cbr.backup CBR备份策略执行频率检查 配置变更 cbr.policy CBR存储库最低保留天数 配置变更 cbr.vault CBR备份存储库启用跨区域复制策略 配置变更 cbr.vault 对象存储服务 OBS OBS桶策略中不授权禁止的Action 配置变更 obs.buckets OBS桶策略中授权检查 配置变更 obs.buckets OBS桶策略授权约束 配置变更 obs.buckets OBS桶禁止公开读 配置变更 obs.buckets OBS桶禁止公开写 配置变更 obs.buckets OBS桶策略授权行为使用SSL加密 配置变更 obs.buckets OBS桶启用日志记录 配置变更 obs.buckets OBS桶启用多版本控制 配置变更 obs.buckets OBS桶不使用ACL授权 配置变更 obs.buckets OBS桶启用跨区域复制 配置变更 obs.buckets OBS桶策略服务端加密检查 配置变更 obs.buckets OBS桶启用生命周期规则 配置变更 obs.buckets OBS桶启用WORM保留策略 配置变更 obs.buckets OBS桶使用kms加密 配置变更 obs.buckets OBS桶存储类型检查 配置变更 obs.buckets OBS桶配置桶策略 配置变更 obs.buckets 镜像服务 IMS 私有镜像开启加密 配置变更 ims.images 裸金属服务器 BMS BMS资源使用密钥对登录 配置变更 bms.servers 图引擎服务 GES GES图通过KMS加密 配置变更 ges.graphs GES图开启LTS日志 配置变更 ges.graphs GES图支持跨AZ高可用 配置变更 ges.graphs IAM身份中心 检查IdP证书是否过期 周期触发 identitycenter.idp 检查SCIM令牌是否过期 周期触发 identitycenter.scim 父主题： 系统内置预设策略

操作流程 操作步骤 说明 准备工作 注册华为账号 、开通华为云，为账户充值、赋予CFW权限。 步骤一：购买标准版云防火墙 购买CFW，选择防护的区域、版本规格（本文以标准版为例）等信息。 步骤二：开启EIP的防护 在CFW上对需要防护的EIP开启防护，使流量经过防火墙。 步骤三：将入侵防御模式设置为观察模式 “观察模式”下，防火墙检测到攻击事件时记录到“攻击事件日志”中，不做拦截，避免出现误拦截造成流量中断。 步骤四：定期通过攻击事件日志查看是否存在误拦截可能 查看攻击事件日志，排查是否有被误判的正常流量，记录对应的“规则ID”。 步骤五：调整拦截的IPS规则并将入侵防御模式设置为拦截模式 调整误判规则的防护动作，将入侵防御模式修改至拦截模式（本文以“拦截模式-中等”为例）。 步骤六：通过攻击事件日志查看防护效果 查看攻击事件日志，确认正常流量是否被放行。

准备工作 在购买云防火墙之前，请先注册华为账号并开通华为云。具体操作详见注册华为账号并开通华为云、实名认证。 如果您已开通华为云并进行实名认证，请忽略此步骤。 仅在购买或使用中国大陆云服务区的资源时，需要实名认证。 购买包周期资源时，请保证账户有足够的资金，防止购买云防火墙失败。具体操作请参见账户充值。 请确保已为账号赋予相关CFW权限。具体操作请参见创建用户组并授权使用CFW。 表1 CFW系统角色 角色名称 描述 类别 依赖关系 CFW FullAccess 云防火墙服务的所有权限。 系统策略 无 CFW ReadOnlyAccess 云防火墙服务的只读权限。 系统策略 无

步骤四：添加防护规则——放行访问指定EIP的入方向流量 在“访问策略管理”页面的“防护规则”页签中，单击“添加”，在弹出的“添加防护规则”中，填写以下参数。 图2 放行指定IP 参数 示例 参数说明 方向 外-内（表示入方向流量） 选择流量的方向： 外-内：互联网访问云上资产（EIP）。 内-外：云上资产（EIP）访问互联网。 源 Any 设置会话发起方。 目的 xx.xx.xx.1 设置会话接收方。 服务 Any 设置协议类型、源端口和目的端口。 应用 Any 设置针对应用层协议的防护策略。 动作 放行 设置流量经过防火墙时的处理动作。 放行：防火墙允许此流量转发。 阻断：防火墙禁止此流量转发。 策略优先级 置顶（至少需高于上一条阻断规则） 设置该策略的优先级： 置顶：表示将该策略的优先级设置为最高。 移动至选中规则后：表示将该策略优先级设置到某一规则后。 单击“确认”，完成配置防护规则。

准备工作 在购买云防火墙之前，请先注册华为账号并开通华为云。具体操作详见注册华为账号并开通华为云、实名认证。 如果您已开通华为云并进行实名认证，请忽略此步骤。 仅在购买或使用中国大陆云服务区的资源时，需要实名认证。 购买包周期资源时，请保证账户有足够的资金，防止购买云防火墙失败。具体操作请参见账户充值。 请确保已为账号赋予相关CFW权限。具体操作请参见创建用户组并授权使用CFW。 表1 CFW系统角色 角色名称 描述 类别 依赖关系 CFW FullAccess 云防火墙服务的所有权限。 系统策略 无 CFW ReadOnlyAccess 云防火墙服务的只读权限。 系统策略 无

操作流程 操作步骤 说明 准备工作 注册华为账号、开通华为云，为账户充值、赋予CFW权限。 步骤一：购买标准版云防火墙 购买CFW，选择防护的区域、版本规格（本文以标准版为例）等信息。 步骤二：开启指定EIP的防护 在CFW上对需要防护的EIP开启防护，使流量经过防火墙。 步骤三：添加防护规则——阻断所有入方向流量 配置一条阻断所有入方向流量的防护规则，并将它优先级置于最低。 步骤四：添加防护规则——放行访问指定EIP的入方向流量 配置一条放行指定EIP（本文以xx.xx.xx.1为例）入方向流量的防护规则，并将它优先级设置在阻断规则之上。 步骤五：通过访问控制日志查看命中详情 查看防护规则是否生效。

配置超额采集 当日志超过每月免费赠送的额度（500M）时，超过的部分将按需收费。如果每月免费赠送的额度已经可以满足您的使用需求，超过后希望暂停日志收集，可以在配置中心进行设置。 该开关默认为开启状态，开启后表示当日志超过免费赠送的额度（500M）时，继续采集日志，超过的部分按需收费。 云日志 服务的计费依据为日志使用量，包括日志读写、日志索引和日志存储。超过免费额度后，如果关闭日志采集开关，将无法再进行日志读写和索引，同时也不再产生日志读写和索引费用。关闭日志采集开关后，超额部分的日志继续存储在LTS，LTS收取日志存储费用，系统将根据配置的日志存储时间老化日志，日志老化后将不再产生任何费用。 云日志服务与 应用运维管理 的日志采集开关为同步状态，即如果您在应用运维管理服务关闭了“超额继续采集日志”开关，则云日志服务的开关也同步关闭。 登录云日志服务控制台。 左侧导航选择“配置中心”，进入“配额设置”页面。 选择关闭“超额继续采集日志”。 关闭后表示当日志超过每月免费赠送的额度(500M)时，将暂停采集日志。支持在日志总览页查看当前资源使用情况，详情请参考查看日志管理。 开启“可观测For LTS”，推荐开启，开启后LTS的日志资源统计数据将投递到lts-system/lts-resource-traffic，您可以查看分钟级用量明细、配置自定义告警策略。 可观测功能仅支持华北-北京四、华东-上海一、华南-广州、亚太-新加坡区域的白名单用户使用，如有需要，请提交工单，其他区域暂不支持申请开通。

CodeArts Req最佳实践汇总 表1 CodeArts Req常用最佳实践 实践 描述 对IPD系统设备类项目的智能手表研发项目进行原始需求管理 成功产品的核心特征是满足客户需求。CodeArts Req打破了传统需求管理工具仅在研发阶段发挥作用的限制，将客户与市场需求也同步覆盖，提供了完整的客户需求采集、价值需求决策、交付与验收流程，让需求进展和动态客户实时透明，市场需求流动提速70%。 在CodeArts Req的原始需求管理中，用户可以将客户诉求提交至目标组织，目标组织对需求进行决策、分析、交付及后续验收流程全程实时透明化，可以加速客户诉求的交付速率，提升产品在市场上的竞争力。 对IPD系统设备类项目的智能手表研发项目进行缺陷管理 在整个产品生命周期管理中，缺陷管理是非常关键的一环。无论是硬件系统还是软件开发，都难免遇到不计其数的缺陷，如果缺陷管理不善，产品质量势必大打折扣。华为基于多年沉淀的质量运营管理经验，打造出一套行之有效的缺陷管理优秀实践，为团队提供统一、高效、风险可视的缺陷跟踪平台，确保每一个缺陷都被高质高效闭环。 某公司计划推出一款智能手表，研发周期较长，研发过程涉及多个部门、多团队的协作，如何保证缺陷在多个组织间的流转、最终达到有效闭环呢？下面请跟随我们，一起遍历整个缺陷生命周期管理实践。 对IPD系统设备类的智能手表研发项目进行基线评审管理 产品从规划到上市要经过复杂的研发过程，CodeArts Req提供了基线评审和变更管理能力，实现需求基线-受控变更-变更评审-变更管理的过程化管理，让基线变更如门禁一样，达到阈值才能启动下一步，确保产品研发“做正确的事”。 某公司计划推出一款智能手表，涉及多部门、多团队的协作，且已经过前期的多轮需求沟通与澄清，将研发需求分配到各产研团队。为保障产品如期保质交付，需要确保不同研发生产团队都忠实执行任务，按照既定的需求进行研发落地。这时就需要对需求进行基线管控，基线后的需求不允许随意更改。下面我们以该公司为例，介绍如何实施需求基线管控。 对看板项目的商城管理项目进行需求规划 CodeArts Req提供的看板项目是一种业界流行的轻量、灵活和简单的团队协作方法，它将项目的需求、缺陷和任务可视，让每个人一目了然地掌握每项工作的状态，团队通过移动工作卡片的方式更新工作进展，及时暴露风险和问题。 用户可以创建看板项目对项目进行需求规划，通过新建工作项、分配工作项、处理工作项等来实现项目的需求规划与交付。 对IDP系统设备类的智能手表研发项目进行特性树管理 产品的核心资产就是系统特性，一旦上市系统特性就会不断的增长，CodeArts Req提供产品全量系统特性管理，通过特性树可以更好管理系统特性，实现产品资产不丢失，让跨代的系统特性快速继承和发展。 使用IPD系统设备类管理智能手表研发项目的变更评审 产品从规划到上市要经过复杂的研发过程，CodeArts Req提供了工作项基线受控与变更管理能力，实现工作项受控变更-变更评审-变更管理的过程化管理，把控变更门禁，实现产品研发过程可控，基线契约化，审批留痕，确保决策依据可查，责任可追溯。

步骤三：审批人决策跨项目协同缺陷的评审单 当评审专家完成评审后，缺陷提出项目测试经理Bob作为评审单的审批人会收到待办通知，收到通知后，Bob将前往项目进行处理。 进入服务首页，单击右上角“待办中心”，进入待决策的CR单详情页。 图17 代办中心 在评审单详情页，单击每个变更对象操作列的审批人决策按钮，或勾选待我决策的变更对象，单击右上角的“审批人决策”按钮，弹出审批人决策弹框。 图18 变更评审单决策详情 按照表10填写后，单击“确定”，变更评审单状态为“已完成”。 表10 审批人决策信息说明 参数 解释 取值样例 决策处理 根据需要选择，当选择为“转他人处理”时，会出现“审批人”选择框，且必填。 同意 决策意见 当“决策处理”选择为“同意/拒绝”时，该信息必填。 同意 评审阶段结果 此处展示评审阶段的最终结果。 已通过 评审专家意见 此处展示参与评审阶段的评审专家给出的评审结果和评审意见信息。 -- 图19 审批人决策页面

跨项目协同的缺陷变更评审 对于跨项目协同的缺陷，变更过程有所不同。 表6 跨项目协同的缺陷变更管理实践操作流程说明 流程 说明 步骤一：触发跨项目协同缺陷变更评审 进入缺陷详情页，编辑带有图标的字段，在弹窗中单击“确定”。 步骤二：评审跨项目协同缺陷的评审单 评审专家完成变更评审单的评审操作等。 步骤三：审批人决策跨项目协同缺陷的评审单 审批人完成变更评审单的决策操作等。 步骤四：评审通过的缺陷自动刷新变更的字段值 变更评审结束后，根据变更评审结论，自动修改相应字段。 跨项目协同的缺陷变更涉及以下项目角色，如表7所示。 表7 跨项目协同的缺陷变更涉及项目角色列表 项目成员 项目角色 工作职责 Sarah 当前项目创建人（产品负责人） 负责项目的创建和项目团队的组建。 Bob 缺陷提出项目测试经理 负责担任变更评审单的审批人。 Bree 当前项目开发人员 负责发起变更评审。 Eddie 缺陷提出人 负责担任变更评审单的评审专家。 Paul 缺陷提出项目测试人员 负责担任变更评审单的评审专家。 Zach 缺陷提出项目开发人员 负责担任变更评审单的评审专家。

无需跨项目协同的缺陷变更评审 表1 无需跨项目协同的缺陷变更管理实践操作流程说明 流程 说明 步骤一：触发无需跨项目协同缺陷变更评审 进入缺陷详情页，编辑带有图标的字段，在弹窗中单击“确定”。 步骤二：评审专家评审无需跨项目协同的评审单 评审专家完成变更评审单的评审操作等。 步骤三：审批人决策无需跨项目协同的评审单 审批人完成变更评审单的决策操作等。 步骤四：评审通过的缺陷自动修改变更的字段值 变更评审结束后，根据变更评审结论，自动修改相应字段。 无需跨项目协同的缺陷变更评审实践涉及以下项目角色，如表2所示。 表2 项目角色列表 项目成员 项目角色 工作职责 Sarah 项目创建人（产品负责人） 负责项目的创建和项目团队的组建。 Caleb 测试经理 负责担任变更评审单的审批人。 Gabby 开发人员 负责发起变更评审。 Sam 测试人员 负责担任变更评审单的评审专家。 Betty 测试人员 负责担任变更评审单的评审专家。 Tom 测试人员 负责担任变更评审单的评审专家。

跟踪项目状态 每日站立会议跟踪任务进度。 迭代开始后，项目组通过每日站立会议沟通每个工作项的当前进展，并对工作项状态进行更新。 使用卡片模式能够简单直观的查看迭代中各工作项的当前状态。 进入“迭代”页面，单击图标，切换到卡片模式。页面中展示了处于每种状态下的工作项卡片，通过拖拽工作项卡片即可更新其状态。 迭代评审会议验收迭代成果。 在到达迭代的预计结束时间前，项目组召开迭代评审会议，展示当前迭代的工作成果。 “迭代”页面提供了迭代统计图表，团队可以方便的统计当前迭代的进度情况，包括需求完成情况、迭代燃尽图、工作量等。 进入“迭代”页面，单击“统计”，即可展开迭代进度视图。

如何选择Kafka实例的存储空间？ 存储空间主要是指用于存储消息（包括副本中的消息）、日志和元数据所需要的空间。选择存储空间时，需要选择磁盘类型和磁盘大小。更多磁盘信息，请参考如何选择磁盘类型。 假设业务存储数据保留天数内磁盘大小为100GB，则磁盘容量最少为100GB*副本数 + 预留磁盘大小100GB。Kafka集群中，每个Kafka节点会使用33GB的磁盘作为日志和Zookeeper数据的存储，因而实际可用存储会小于购买存储。 其中，副本数在创建Topic时可以选择，默认为3副本存储。如果开启了Kafka自动创建Topic功能，自动创建的Topic默认为3副本，副本数可以通过“配置参数”页签中的“default.replication.factor”修改。 父主题： 实例问题

方案概述 通过配置代码仓与流水线，实现对合并请求的自动化门禁，提升代码质量和团队协作效率。通过设置合并请求触发流水线，确保每个合并请求在创建或更新时自动执行代码检查、构建和测试任务，只有经过严格代码审查的代码才能合并到主分支。这种机制可以有效减少因代码缺陷而导致的生产环境问题，保证代码的稳定性和可靠性，从而强化代码的质量控制。整体而言，该方案为团队提供了一种高效且可靠的工作流程，促进了持续集成与持续交付的最佳实践。

企业项目授权后仍报权限不足的说明 IAM项目(Project)/企业项目(Enterprise Project)：自定义策略的授权范围，包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目，表示此授权项对应的自定义策略，可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目，不支持企业项目，表示仅能在IAM中给用户组授权并生效，如果在企业管理中授权，则该自定义策略不生效。关于IAM项目与企业项目的区别，详情请参见：IAM和企业管理的区别。 LTS当前仅日志组、日志流、仪表盘资源接口支持企业项目方式授权，其他资源的接口仅支持IAM项目方式授权，因此针对仅支持IAM项目方式授权时需注意： 授权时选择“IAM项目视图”。 图1 IAM项目视图 选择授权范围时，建议根据最小化授权原则，选择“指定区域项目资源”，具体请根据实际业务情况选择授权范围。

LTS权限 默认情况下，管理员创建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对LTS进行操作。 LTS部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问LTS时，需要先切换至授权区域。 权限根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。 如表1所示，包括了LTS的所有系统权限。 表1 LTS系统权限 策略名称 描述 策略类别 依赖关系 LTS FullAccess 云日志服务的所有权限，拥有该权限的用户可以操作并使用LTS。 系统策略 CCE Administrator、OBS Administrator、 AOM FullAccess、FunctionGraph FullAccess LTS ReadOnlyAccess 云日志服务的只读权限，拥有该权限的用户仅能查看LTS数据。 系统策略 CCE Administrator、OBS Administrator、AOM FullAccess LTS Administrator 云日志服务的管理员权限。 系统角色 Tenant Guest、Tenant Administrator 表2列出了LTS常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表2 常用操作与系统权限 操作 LTS FullAccess LTS ReadOnlyAccess LTS Administrator 查询日志组 √ √ √ 创建日志组 √ × √ 修改日志组 √ × √ 删除日志组 √ × √ 查询日志流 √ √ √ 创建日志流 √ × √ 修改日志流 √ × √ 删除日志流 √ × √ 配置主机日志接入 √ × √ 查询仪表盘 √ √ √ 创建仪表盘 √ × √ 修改仪表盘 √ × √ 删除仪表盘 √ × √ 查询结构化配置 √ √ √ 配置结构化 √ × √ 开启快速分析 √ × √ 关闭快速分析 √ × √ 配置分词 √ × √ 查询过滤器 √ √ √ 禁用过滤器 √ × √ 启用过滤器 √ × √ 删除过滤器 √ × √ 查询告警规则 √ √ √ 创建告警规则 √ × √ 修改告警规则 √ × √ 删除告警规则 √ × √ 查看日志转储 √ √ √ 添加日志转储 √ × √ 修改日志转储 √ × √ 删除日志转储 √ × √ 开启周期性转储 √ × √ 暂停周期性转储 √ × √ 安装ICAgent √ × √ 升级ICAgent √ × √ 卸载ICAgent √ × √ 使用自定义细粒度策略，请使用管理员用户进入统一身份认证（IAM）服务，按需选择云日志服务的细粒度权限进行授权操作。 云日志服务细粒度权限依赖说明请参见表3。 表3 云日志服务细粒度权限依赖说明 权限名称 权限描述 权限依赖 lts:agents:list 查询Agent列表 无 lts:buckets:get 查询指定桶 无 lts:groups:put 修改指定日志组 无 lts:transfers:create 创建日志转储 obs:bucket:PutBucketAcl obs:bucket:GetBucketAcl obs:bucket:GetEncryptionConfiguration obs:bucket:HeadBucket dis:streams:list dis:streamPolicies:list lts:groups:get 查询指定日志组 无 lts:transfers:put 修改日志转储 obs:bucket:PutBucketAcl obs:bucket:GetBucketAcl obs:bucket:GetEncryptionConfiguration obs:bucket:HeadBucket dis:streams:list dis:streamPolicies:list lts:resourceTags:delete 删除资源标签 无 lts:ecsOsLogPaths:list 查询指定镜像的系统日志路径 无 lts:structConfig:create 创建LTS结构化配置 无 lts:agentsConf:get 查询指定Agent配置 无 lts:logIndex:list 查询日志索引列表 无 lts:transfers:delete 删除日志转储 无 lts:regex:create 提取结构化字段 无 lts:subscriptions:delete 删除指定订阅 无 lts:overviewLogsLast:list 查询用户的最近日志 无 lts:logIndex:get 查询指定日志索引 无 lts:sqlalarmrules:create 添加告警相关 无 lts:agentsConf:create 创建Agent配置 无 lts:sqlalarmrules:get 查询告警相关 无 lts:datasources:batchdelete 批量删除datasource 无 lts:structConfig:put 修改LTS结构化配置 无 lts:groups:list 查询日志组列表 无 lts:sqlalarmrules:delete 删除告警相关 无 lts:transfers:action 启停日志转储 无 lts:datasources:post 创建datasource 无 lts:topics:create 创建日志主题 无 lts:resourceTags:get 查询资源标签 无 lts:filters:put 修改日志过滤器 无 lts:logs:list 查询日志列表 无 lts:subscriptions:create 创建订阅 无 lts:filtersAction:put 启停日志过滤器 无 lts:overviewLogsTopTopic:get 查询日志量最大的主题的数据指标 无 lts:datasources:put 修改datasource 无 lts:structConfig:delete 删除LTS结构化配置 无 lts:logIndex:delete 删除指定日志索引 无 lts:filters:get 查询指定日志过滤器 无 lts:topics:delete 删除指定日志主题 无 lts:agentSupportedOsLogPaths:list 查询Agent支持的操作系统日志的路径 无 lts:topics:put 修改指定日志主题 无 lts:agentHeartbeat:post 上传agent心跳 无 lts:logsByName:upload 根据日志组和日志主题的名字上传日志 无 lts:buckets:list 查询桶列表 无 lts:logIndex:post 创建日志索引 无 lts:logContext:list 查询日志上下文 无 lts:groups:delete 删除指定日志组 无 lts:filters:delete 删除日志过滤器 无 lts:resourceTags:put 更新资源标签 无 lts:structConfig:get 查询LTS结构化配置 无 lts:overviewLogTotal:get 查询当前用户的日志总量 无 lts:subscriptions:put 修改指定订阅 无 lts:subscriptions:list 查询订阅器列表 无 lts:datasources:delete 删除指定datasource 无 lts:transfersStatus:get 查询日志转储状态 无 lts:logIndex:put 修改指定日志索引 无 lts:sqlalarmrules:put 修改告警相关 无 lts:logs:upload 上传日志 无 lts:agentDetails:list 查询agent诊断日志 无 lts:agentsConf:put 修改Agent配置 无 lts:logstreams:list 筛选日志流资源 无 lts:subscriptions:get 查询指定订阅 无 lts:disStreams:list 查询DIS通道 无 lts:groupTopics:put 创建日志组和日志主题 无 lts:resourceInstance:list 查询资源实例 无 lts:transfers:list 查询日志转储列表 无 lts:topics:get 查询指定日志主题 无 lts:agentsConf:delete 删除指定Agent配置 无 lts:agentEcs:list 查询ECS列表 无 lts:indiceLogs:list 搜索日志 无 lts:topics:list 查询日志主题列表 无 lts:dsl:create 创建DSL任务 无 lts:groups:create 创建日志组 无 lts:dsl:get 获取DSL任务 无 lts:dsl:list 列举DSL任务 无 lts:dsl:delete 删除DSL任务 无 lts:searchcriterias:create 创建快速查询 无

权限说明 如果您需要对华为云上购买的LTS资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全地控制LTS资源的访问。 通过IAM，您可以在华为账号中给员工创建IAM用户，并使用策略来控制其对LTS资源的访问范围。例如您的员工中有负责软件开发的人员，您希望员工拥有LTS的使用权限，但是不希望员工拥有删除服务发现规则等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用服务发现规则，但是不允许删除服务发现规则的权限策略，控制其对服务发现规则资源的使用范围。 如果华为账号已经能满足您的使用需求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用LTS的其它功能。 IAM是华为云提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。关于IAM的详细介绍，请参见IAM产品介绍。