华为云用户手册

DDS权限 默认情况下，管理员创建的 IAM 用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 DDS部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如华北-北京4）对应的项目（cn-north-1）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问DDS时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对DDS服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分，DDS支持的API授权项请参见文档数据库服务授权项说明 。 如表1所示，包括了DDS的所有系统权限。 表1 DDS系统权限 策略名称/系统角色 描述 类别 依赖关系 DDS FullAccess 文档数据库服务所有权限。 系统策略 创建包周期实例需要配置CBC权限。 bss:balance:view bss:balance:update bss:order:view bss:order:pay bss:order:update bss:renewal:view bss:renewal:update 退订包周期实例需要配置CBC权限。 bss:unsubscribe:update DDS ReadOnlyAccess 文档数据库服务资源只读权限，拥有该权限的用户仅能查看文档数据库服务数据。 系统策略 无。 表2列出了DDS常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表2 常用操作与系统权限的关系 操作 DDS FullAccess DDS ReadOnlyAccess 创建实例 √ x 查询实例列表 √ √ 删除实例 √ x 重启实例 √ x 主备倒换 √ x 修改端口 √ x 重置密码 √ x 修改SSL √ x 修改安全组 √ x 绑定/解绑公网IP √ x 磁盘扩容 √ x 规格变更 √ x 节点扩容 √ x 删除扩容失败节点 √ x 修改备份策略 √ x 重命名实例 √ x 修改内网IP地址 √ x 变更实例下节点绑定的参数模板 √ x 切换慢日志明文显示开关 √ x 切换审计日志开关 √ x 下载审计日志 √ x 删除审计日志 √ x 下载备份文件 √ x 创建手动备份 √ x 查询备份列表 √ √ 恢复到新实例 √ x 恢复到已有实例 √ x 删除备份 √ x 创建参数模板 √ x 查询参数模板列表 √ √ 修改参数模板 √ x 删除参数模板 √ x 任务中心列表 √ x 停止备份 √ x 表3列出了DDS常用操作以及对应的授权项，您可以参照该表自定义配置权限策略。 表3 常用操作与对应的授权项 操作 授权项 授权范围 备注 实例创建页 vpc:vpcs:list vpc:subnets:get vpc:securityGroups:get 支持： IAM项目(Project) 企业项目(Enterprise Project) 创建页需要查询对应的VPC、子网、安全组。 创建实例 dds:instance:create vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 支持： IAM项目(Project) 企业项目(Enterprise Project) 界面使用默认VPC、子网、安全组需对应配置vpc:*:create权限， 创建加密实例需要在项目上配置KMS Administrator权限。 查询实例列表 dds:instance:list 支持： IAM项目(Project) 企业项目(Enterprise Project) - 查询实例详情 dds:instance:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 如果实例详情界面需要展示VPC、子网、安全组，请增加vpc:*:get和vpc:*:list授权项。 导出实例列表 dds:instance:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 如果需要导出VPC、子网、安全组，请增加vpc:*:get和vpc:*:list授权项。 删除实例 dds:instance:deleteInstance 支持： IAM项目(Project) 企业项目(Enterprise Project) 删除实例需要同时删除数据侧IP地址。 重启实例 dds:instance:reboot 支持： IAM项目(Project) 企业项目(Enterprise Project) - 主备倒换 dds:instance:switchover 支持： IAM项目(Project) 企业项目(Enterprise Project) - 修改端口 dds:instance:modifyPort 支持： IAM项目(Project) 企业项目(Enterprise Project) - 重置密码 dds:instance:resetPasswd 支持： IAM项目(Project) 企业项目(Enterprise Project) - 修改SSL dds:instance:modifySSL 支持： IAM项目(Project) 企业项目(Enterprise Project) - 修改安全组 dds:instance:modifySecurityGroup 支持： IAM项目(Project) 企业项目(Enterprise Project) - 绑定公网IP dds:instance:bindPublicIp 支持： IAM项目(Project) 绑定公网IP时，需要查询已经创建好的公网IP。 不支持企业项目 不支持细粒度 具体请参见浮动IP。 解绑公网IP dds:instance:unbindPublicIp 支持： IAM项目(Project) 不支持企业项目 不支持细粒度 具体请参见浮动IP。 磁盘扩容 dds:instance:extendVolume 支持： IAM项目(Project) 企业项目(Enterprise Project) - 规格变更 dds:instance:modifySpec 支持： IAM项目(Project) 企业项目(Enterprise Project) - 节点扩容 dds:instance:extendNode vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 支持： IAM项目(Project) 企业项目(Enterprise Project) - 删除扩容失败节点 dds:instance:extendNode 支持： IAM项目(Project) 企业项目(Enterprise Project) 如果IP地址已经创建完成，但后续流程失败，需要同时删除数据侧IP地址。 修改备份策略 dds:instance:modifyBackupPolicy 支持： IAM项目(Project) 企业项目(Enterprise Project) - 重命名实例 dds:instance:modify 支持： IAM项目(Project) 企业项目(Enterprise Project) - 修改内网IP地址 dds:instance:modifyVIP vpc:subnets:get vpc:ports:get 支持： IAM项目(Project) 企业项目(Enterprise Project) 修改内网IP地址，需要预先查询出可用的IP地址，再进行修改。 变更实例下节点绑定的参数模板 dds:instance:modifyParameter 支持： IAM项目(Project) 企业项目(Enterprise Project) - 切换慢日志明文显示开关 dds:instance:modifySlowLogPlaintextSwitch 支持： IAM项目(Project) 企业项目(Enterprise Project) - 切换审计日志开关 dds:instances:modifyAuditLogSwitch 支持： IAM项目(Project) 企业项目(Enterprise Project) - 下载审计日志 dds:instances:downloadAuditLog 支持： IAM项目(Project) 企业项目(Enterprise Project) - 删除审计日志 dds:instance:deleteAuditLog 支持： IAM项目(Project) 企业项目(Enterprise Project) - 下载备份文件 dds:backup:download 支持： IAM项目(Project) 企业项目(Enterprise Project) - 按需转包周期 dds:instances:renew 支持： IAM项目(Project) 企业项目(Enterprise Project) - 创建手动备份 dds:instance:createManualBackup 支持： IAM项目(Project) 企业项目(Enterprise Project) - 查询备份列表 dds:backup:list 支持： IAM项目(Project) 企业项目(Enterprise Project) - 恢复到新实例 dds:backup:createInstanceFromBackup vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 支持： IAM项目(Project) 企业项目(Enterprise Project) 加密实例需要在项目上配置KMS Administrator权限。 恢复到已有实例 dds:backup:refreshInstanceFromBackup 支持： IAM项目(Project) 企业项目(Enterprise Project) - 删除备份 dds:backup:delete 支持： IAM项目(Project) 企业项目(Enterprise Project) - 创建参数模板 dds:param:create 支持： IAM项目(Project) 企业项目(Enterprise Project) - 查询参数模板列表 dds:param:list 支持： IAM项目(Project) 企业项目(Enterprise Project) - 修改参数模板 dds:param:modify 支持： IAM项目(Project) 企业项目(Enterprise Project) - 删除参数模板 dds:param:delete 支持： IAM项目(Project) 企业项目(Enterprise Project) - 任务中心列表 dds:task:list 支持： IAM项目(Project) 企业项目(Enterprise Project) - 停止备份 dds:backup:stop 支持： IAM项目(Project) 企业项目(Enterprise Project) - 查询日志配置组 lts:groups:get 支持： IAM项目(Project) 企业项目(Enterprise Project) - 查询日志配置流 lts:topics:get 支持： IAM项目(Project) 企业项目(Enterprise Project) -

步骤1：购买实例 进入自定义购买文档数据库DDS页面。 在“购买数据库实例”页面，选择计费模式，填写并选择实例相关信息后，单击“立即购买”。 图1 基础配置 图2 管理员设置 图3 网络设置和购买时长与数量 图4 高级配置 在“规格确认”页面，核对实例信息。 包年/包月 如果需要修改，单击“上一步”，修改实例信息。 核对无误后，单击“去支付”，进入“付款”页面，选择支付方式，完成支付。 按需计费 如果需要修改，单击“上一步”，修改实例信息。 核对无误后，单击“提交”，开始创建实例。 单击“返回实例列表”。实例创建成功后，用户可以在“实例管理”页面，查看并管理自己的数据库实例。 创建实例过程中，实例运行状态显示为“创建中”，此过程约15分钟。创建完成的实例的运行状态显示为“正常”。 对于批量购买的“包年/包月”实例，除实例名称和实例ID外，其余配置信息一致。

操作步骤 进入快速购买文档数据库DDS页面。 在“购买数据库实例”页面，选择计费模式，填写并选择实例相关信息后，单击“立即购买”。 图1 基础配置 表1 基础配置 参数 描述 计费模式 选择“包年/包月”或“按需计费”。 包年/包月 用户选购完服务配置后，可以根据需要设置购买时长，系统会一次性按照购买价格对账户余额进行扣费。 创建成功后，如果包周期实例到期后不再长期使用资源，可将“包年/包月”实例转为“按需计费”，到期后将转为按需计费实例。具体请参见包周期实例转按需计费。 说明： “包年/包月”方式购买的实例不能直接删除，仅支持资源退订操作，如何退订资源请参见退订包周期实例。 按需计费 用户选购完服务配置后，无需设置购买时长，系统会根据消费时长对账户余额进行扣费。 创建成功后，如果需要长期使用资源，可将“按需计费”实例转为“包年/包月”，继续使用这些资源的同时，享受包周期的低资费。具体请参见按需计费实例转包周期。 区域 资源所在的区域。 说明： 不同区域的内网不互通，且购买后不能更换，请谨慎选择。 项目 当前区域对应的项目，可进行切换。 可用区 指在同一区域下，电力、网络隔离的物理区域，可用区内部网络互通，不同可用区之间物理隔离。 目前支持将实例部署在单可用区或3可用区。 如果业务要求实例之间的网络延时较低，则建议您选择单可用区，将实例的组件部署在同一个可用区内。实例选择单可用区部署时，会默认配置为反亲和部署。反亲和部署是出于高可用性考虑，将您的Primary、Secondary和Hidden节点分别创建在不同的物理机上。 如果业务需要较高的容灾能力，建议您选择3可用区。此时实例下的主节点、备节点和隐藏节点分别部署在3个可用区内。 说明： 目前3可用区的功能只针对部分区域开放，如果您在当前区域的管理控制台上没有看到3可用区，请切换至其他支持3可用区的区域进行购买。 实例类型 选择“副本集”。 副本集实例由主节点、备节点和隐藏节点组成。当主节点故障时，系统自动分配新的主节点；当备节点不可用时，隐藏节点接管服务，保证高可用。 兼容MongoDB版本 4.4 4.2 4.0 3.4 CPU类型 当前文档数据库实例的CPU架构支持x86和鲲鹏两种类型。 说明： MongoDB4.0、3.4版本可选，其他版本无需选择，默认鲲鹏。 x86 x86类型的CPU架构采用复杂指令集（CISC），CISC指令集的每个小指令可以执行一些较低阶的硬件操作，指令数目多而且复杂，每条指令的长度并不相同。由于指令执行较为复杂所以每条指令花费的时间较长。 鲲鹏 鲲鹏类型的CPU架构采用RISC精简指令集（RISC），RISC是一种执行较少类型计算机指令的微处理器，它能够以更快的速度执行操作，使计算机的结构更加简单合理地提高运行速度，相对于X86类型的CPU架构具有更加均衡的性能功耗比。 鲲鹏类型CPU架构的优势是高密度低功耗，可以提供更高的性价比，满足重载业务场景使用。 规格类型 x86 CPU架构下，针对不同的应用场景，可以选择不同的规格类型。 通用型（s6）。通用型的规格实例，适合平时不会持续高压力使用CPU，但偶尔需要提高计算性能完成工作负载的场景，包括但不限于：轻量级的Web服务器、开发、测试环境以及中低性能数据库等。 增强Ⅱ型（c6）。多项技术优化，计算性能强劲稳定，配套25GE(千兆以太网)智能高速网卡，提供超高网络带宽和PPS收发包能力。是高负载场景首选，对于计算与网络有更高性能要求的网站和Web应用、通用数据库及缓存服务器，中重载企业应用等更加适用。 推荐配置 目前支持中轻量级数据库规格及自定义规格。 说明： 实例规格小于16U时，存储空间最小10GB，最大2000GB。 实例规格为16U及以上时，存储空间最小10GB，最大4000GB。 图2 网络设置和购买时长与数量 表2 网络设置 参数 描述 虚拟私有云 文档数据库实例所在的 虚拟专用网络 ，可对不同业务进行网络隔离，方便地管理、配置内部网络，进行安全、快捷的网络变更。 您需要创建或选择所需的虚拟私有云。如何创建虚拟私有云，请参见《虚拟私有云用户指南》中的创建虚拟私有云和子网。所需虚拟私有云的使用限制请参见实例连接方式介绍。 如果不创建或没有可选的虚拟私有云，文档数据库服务默认为您分配资源。 说明： 实例创建完成后不支持切换虚拟私有云，请谨慎选择所属虚拟私有云。 企业项目 该参数针对企业用户使用，如需使用该功能，请联系客服申请开通。 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 请在下拉框中选择所在的企业项目，其中，default为默认项目。更多企业项目相关的信息，请参见《企业管理用户指南》的项目管理。 如果需要自定义企业项目，请在控制台右上角单击“企业”，进入“企业项目”页面创建，具体请参见《企业管理用户指南》中“创建企业项目”的内容。 表3 购买时长与数量 参数 描述 购买时长 选择所需的时长，系统会自动计算对应的配置费用。 自动续费 默认不勾选，不进行自动续费。 勾选后实例自动续费，自动续费周期与原订单周期一致。 购买数量 购买数量与副本集实例配额有关，所需购买数量超出实例配额时，可根据界面提示申请扩大配额。批量购买的“包年/包月”实例，除实例名称和实例ID外，其余配置信息一致。 在“规格确认”页面，核对实例信息。 包年/包月 如果需要修改，单击“上一步”，修改实例信息。 核对无误后，单击“去支付”，进入“付款”页面，选择支付方式，完成支付。 按需计费 如果需要修改，单击“上一步”，修改实例信息。 核对无误后，单击“提交”，开始创建实例。 单击“返回实例列表”。实例创建成功后，用户可以在“实例管理”页面，查看并管理自己的数据库实例。 创建实例过程中，实例运行状态显示为“创建中”，此过程约15分钟。创建完成的实例的运行状态显示为“正常”。 创建实例时，默认开启自动备份策略，后期可修改。创建成功后，文档数据库服务会自动创建一个全量备份。

排查思路 以下排查思路根据原因的出现概率进行排序，建议您从高频率原因往低频率原因排查，从而帮助您快速找到问题根因。 如果处理完某个可能原因仍未解决问题，请继续排查其他可能原因。 OBS权限控制比较灵活，建议您使用前先阅读OBS权限控制说明，不同场景的权限配置方法可以参考典型场景配置案例。 图1 无法访问OBS排查思路 表1 排查思路 可能原因 处理措施 IAM缓存导致权限未生效 由于缓存的存在，配置IAM权限后一般需要10~15分钟权限才能生效。请等待10~15分钟后再试。 使用了错误的账号或AK/SK访问OBS 多数情况下，出现无权限访问OBS的问题，可能是由于使用了错误的登录信息，如账号或AK/SK，其中AK/SK使用错误更为常见。例如资源拥有者给用户A开通了OBS权限，但实际使用了用户B的账号密码或AK/SK登录访问OBS。 需要与资源拥有者确认，已开通OBS权限的账号与自己当前使用的账号或AK/SK是否匹配。 配置的权限不正确 请参考检查配置的权限是否正确 配置了拒绝访问的权限 请参考检查是否配置了拒绝访问的权限 配置了防盗链 请参考配置防盗链修改白名单Referer/黑名单Referer。 账户余额不足 请根据所需费用给账户充值后再进行操作。

包年包月 对象存储服务 同时提供包年包月计费模式，您可以购买包年包月套餐，提前规划资源的使用额度和时长。 资源包包括标准存储包（单AZ）、标准存储包（多AZ）、归档存储包、公网流出流量包、跨区域复制流量包和回源流量包。 OBS各类资源包的详细介绍，请参见OBS计费说明。 进入购买资源包页面。 根据界面提示进行信息配置。 资源包所属区域和类型需要和桶属性相匹配，才能正常使用资源包抵扣桶的相关费用。 “定向使用”可限定企业项目使用所购资源包，即仅在所选企业项目下的桶才能使用此资源包进行抵扣，同时也需满足资源包所属区域和类型与桶属性匹配的要求。该选项仅对企业账号展示。 单击“加入清单”。 在右侧确认资源包清单后，单击“立即购买”。 确认订单无误后，单击“去支付”。 若发现订单有误，也可单击“上一步”修改订单后再继续购买。 根据界面提示进行订单支付。 资源包购买注意事项： 支持续订，暂不支持退订。资源包到期后，不会影响您在OBS上的使用和数据安全。您只要保证云服务账号上有足够的余额，系统会自动以按需计费的模式进行结算。 资源包每月重置规则说明： 按订购周期重置，即购买后每月同一天24:00:00重置资源额度。例如：您在4月15日任意时刻购买6个月的公网流出流量包2TB并支付，您在4月15日到5月15日24:00:00间就会有2TB的公网流出流量可以使用。我们会在5月16日00:00:00，重新给您2TB的公网流出流量，此2TB流量您可以在5月16日00:00:00到6月15日24:00:00间使用，以此类推，直至购买的资源包到期为止。若上个月有未使用完的额度，也会在每月重置时清零。 使用OBS。 资源包购买完成后可以直接使用OBS，无需绑定，系统会根据资源包和桶属性自动匹配。当资源包和桶属性一致时，会自动使用资源包抵扣对应的计费项，无法抵扣的计费项将按需计费。

我可以在桶间进行文件移动吗？ 可以。 OBS工具（OBS Browser+、obsutil）支持文件在同一区域内移动，您可以移动单个文件或文件夹到其他指定路径下，文件或文件夹移动后，源路径下的文件或文件夹会被删除。 此外，您还可以使用 对象存储迁移 服务 OMS 实现OBS桶之间跨账号、跨区域以及同区域内的数据迁移。 OBS工具不支持在不同集群并行文件系统之间移动文件。 OBS Browser+操作指导： 单击文件或文件夹右侧操作列的“更多”图标，在弹出的下拉菜单中单击“移动”。 进入同区域的目标路径，单击对象列表上方的“粘贴”，并在弹窗中确认移动的文件信息后完成移动。 obsutil操作指导： 详情请参见移动对象。 父主题： 桶和对象相关

OBS账单为什么会出现0.01元的计费？ 如果账单中出现0.01元的计费，可能与小额累计有关。 扣费的最小粒度为0.01元。每小时消费不足0.01元的情况下，会触发小额累计，累计一天后如果仍不足0.01元则不扣费。第二天会继续进行累计。直到消费累计大于或等于0.01元的情况下，会直接进行扣费。 例如：用户在8:00~9:00共用了10次上传请求、10次下载请求，这1小时内消费不足0.01元，累计一天后仍然不足0.01元，第二天继续累计消费，当第三天9:00消费累计达到0.01元，10:00左右账户进行扣费0.01元。 由于存在话单延迟的情况，一般按需计费的结算周期有小时/天/月等，在结算周期结束后时，生成账单并执行扣款。当前查不到扣费记录，可能是因为还未到结算周期。 父主题： 计费相关

被委托账号或用户为什么无法上传下载KMS加密对象？ OBS服务端加密功能使用的前提是已经在IAM中为账号或用户授予OBS OperateAccess和KMS相关权限，如表所示。如果当前账号或用户是被委托方，也需要在委托中被授予OBS OperateAccess权限。请联系你的委托方进行授权，参见委托其他华为云账号管理资源。 您需要通过委托获取临时访问密钥和securitytoken访问OBS。 数据加密 服务不是全局服务，委托时KMS Administrator权限需要配置在桶所在区域。 由于委托信息保存在IAM中，配置完成后需要等待大约15分钟权限才能生效。 父主题： 服务端加密

创建桶失败 若当前用户所创建的桶已达到上限100个，删除一些闲置的桶再创建。 若是当前桶名已存在，则更换桶名再创建。在OBS中，桶名必须是全局唯一的，即用户创建的桶不能与自己已创建的其他桶名称相同，也不能与其他用户（包括其他华为云账号）创建的桶名称相同。 用户删除桶后，立即创建同名桶或并行文件系统会创建失败，需要等待30分钟才能创建。 当创建桶提示“另外一个冲突的操作当前正作用在这个资源上，请重试。”或“A conflicting operation is being performed on this resource. Try again later.”，这是由于OBS中存在同名桶且该同名桶在短期内因欠费被释放导致的。建议您更换桶名再试。 检查账号是否拥有权限，若无权限，请授予对应的操作权限。 登录管理控制台。 在顶部导航栏单击用户名，选择“ 统一身份认证 ”，进入统一身份认证服务控制台，验证用户IAM权限。 在“用户”界面，搜索到用户名。 单击用户名左侧的下拉按钮，查看用户加入的用户组。若用户没有加入用户组，单击“修改”，选择合适用户组加入。 在左侧导航栏单击“用户组”，搜索到用户加入的用户组，单击用户组名左侧的下拉按钮，然后单击“对象存储服务”的“查看”，检查用户组的权限是否有创建桶的权限。若没有请重新创建用户组，设置有创建桶权限的策略，然后将用户加入该用户组。 检查账号是否已欠费或余额不足。若欠费，请先续费。 登录OBS管理控制台。 在顶部导航栏单击“费用与成本”，进入费用中心。 在“总览”页面可以查看到账号可用额度。 若您的账号已欠费，请参考续费管理对账号充值。 若您充值后，仍不能上传对象，请联系客服进一步解决。 检查本地与OBS的网络是否正常，若存在网络故障，解决网络故障，确保网络正常。 请检查账号是否已通过实名认证。若没有，请先实名认证。 登录OBS管理控制台。 在顶部导航栏单击用户名，即可查看用户认证状态。 图1 账号认证状态 若您没有实名认证，请参考个人账号如何完成实名认证对账号进行实名认证，实名认证后需要40分钟才能生效。 若以上都不是，请根据返回的错误码进一步判断。 父主题： 桶和对象相关

排查思路 以下排查思路根据原因的出现概率进行排序，建议您从高频率原因往低频率原因排查，从而帮助您快速找到问题根因。 如果处理完某个可能原因仍未解决问题，请继续排查其他可能原因。 图1 删除桶失败排查思路 表1 排查思路 可能原因 处理措施 本地网络故障 检查本地与OBS之间的网络是否正常，若存在网络故障，解决网络故障，确保网络正常。 桶内对象未全部删除 请参考删除桶内对象。 桶内已删除对象未彻底删除 请参考彻底删除桶内已删除对象。 桶内碎片未全部删除 请参考删除桶内碎片。 无删除桶的权限 请参考检查是否有删除桶的权限。

检查是否有删除桶的权限 默认情况下，只有桶拥有者具备删除桶的权限。桶拥有者也可以给其他人授予删除桶（DeleteBucket）的权限。 确认自己是否是桶拥有者。 在OBS控制台桶列表单击待操作的桶，进入“对象”页面。 在左侧导航栏单击“概览”，进入“概览”页面。 在“基本信息”区域查看“账号ID”。该账号ID为桶拥有者。 图5 查看桶拥有者 鼠标指向控制台右上角自己的用户名，在下拉菜单中单击“我的凭证”，查看自己的“账号ID”。 图6 查看自己的账号ID 如果两个账号ID相同，且自己属于账号而非IAM用户，则说明自己是桶拥有者。此时仍无法删除桶，请单击下方提交工单链接寻求更多帮助。 如果两个账号ID相同但自己属于IAM用户，或账号ID不同，则说明自己不是桶拥有者。此时请继续下一步。 联系桶拥有者，确认是否已授予删除桶的权限。 如果未授予删除桶的权限，请联系桶拥有者授权。 如果已授予删除桶的权限，仍然无法删除桶，请单击下方提交工单链接寻求更多帮助。

彻底删除桶内已删除对象 对于已经开启或曾经开启过多版本控制功能的桶，可能存在已删除对象，需要确保已删除对象已经被彻底删除。关于已删除对象的介绍，请参见多版本控制功能启用时的对象删除机制。 在OBS控制台桶列表单击待操作的桶，进入“对象”页面。 单击上方的“已删除对象”页签，进入已删除对象列表。 批量勾选所有已删除对象，单击列表上方的“删除”。 图3 删除所有已删除对象 彻底删除所有已删除对象后请再次尝试删除桶，如果仍然无法删除，请继续下面的操作。

删除桶内碎片 桶中不完整的数据称之为碎片。OBS采用分块上传的模式上传数据，在下列情况下（但不仅限于此）通常会导致数据上传失败而产生碎片。 网络条件较差，与OBS的服务器之间的连接经常断开。 上传过程中，人为中断上传任务。 设备故障。 突然断电等特殊情况。 以下步骤以控制台手动删除碎片为例。通过其他方式删除碎片的方法，请参见如何处理碎片？ 在OBS控制台桶列表单击待操作的桶，进入“对象”页面。 单击上方的“碎片”页签，进入碎片列表。 选中所有碎片，单击列表上方的“删除”。 图4 删除所有碎片 删除所有碎片后请再次尝试删除桶，如果仍然无法删除，请继续下面的操作。

方案二：使用生命周期管理批量删除对象或清空桶 您可以利用OBS提供的生命周期管理功能，配置对象过期删除规则，一次性清空桶中所有对象或批量删除指定前缀的对象。 登录OBS控制台。 在OBS管理控制台左侧导航栏选择“桶列表”。 在OBS管理控制台桶列表中，单击待操作的桶，进入“对象”页面。 在左侧导航栏，单击“概览”，进入“概览”页面。 在“基础配置”区域下，单击“生命周期规则”，系统跳转至“生命周期规则”界面。 单击“创建”，系统弹出如图3所示对话框。 图3 创建生命周期规则 配置清空桶或批量删除指定前缀对象的生命周期管理规则。 表1 生命周期规则参数配置 类别 参数 参数配置说明 基本信息 状态 选择“启用”。 规则名称 自定义，用于识别不同的生命周期配置。 前缀 可选。 填写前缀：满足该前缀的对象将受生命周期规则管理，即批量删除指定前缀的对象。 未填写前缀：桶内所有对象都将受生命周期规则管理，即清空桶。 当前版本/历史版本 转换为低频访问存储天数 不勾选。 转换为归档存储天数 不勾选。 对象过期删除天数 勾选后设置天数。指定对象在最后一次更新后多少天将自动删除。过期删除时间最小设置为1天，且必须大于前面设置的转换时间的最大值。 说明： 当桶未启用多版本控制时，指定的对象在配置的过期时间后将被自动删除，无法找回。 碎片过期删除天数 仅当前版本支持配置。勾选后可设置。最小设置为1天，指定桶内碎片在产生后多少天自动删除。 “当前版本”与“历史版本”是针对“多版本控制”而言的。若开启了“多版本控制”功能，同名的对象上传到同一路径下时，则会产生不同的版本号。最新版本的对象称之为“当前版本”，历史时间上传的对象称之为“历史版本”。 “历史版本”配置项默认不展示，只有当桶开启过“多版本控制”，即多版本控制状态为“已启用”或“暂停”时才会展示。 “当前版本”与“历史版本”至少配置一个，也可以两个版本同时配置。若需要清空桶，则建议同时配置。 对象过期删除的时间可能会延迟，一般不超过48小时。配置生命周期规则后，如果期间修改了生命周期配置，会重新计算生效时间。 单击“确定”，完成生命周期规则配置，等待到期后OBS自动删除符合规则的对象。

资源包到期后OBS资源会如何处理？ 资源包到期后您可以进行续费以延长资源包的有效期，具体可参考资源包续订，未续期则到期后自动转为按需计费；按需计费没有到期的概念，只要保证账号余额充足，则可一直使用对象存储服务。 如果账号欠费，会根据“客户等级”定义不同的保留期时长。进入保留期后您在OBS中存储的数据会予以保留，账号会处于受限状态。保留期内不能访问及使用按需资源，但对存储在OBS中的数据仍予以保留。保留期满仍未缴清欠款，存储在OBS中的数据将被删除且无法恢复。 父主题： 计费相关

场景一：搬迁本地数据至OBS 搬迁本地数据至OBS的方案如下： 表1 搬迁方案 搬迁方式 适用数据量 要求 耗时 费用 OBS工具方式 不高于1TB的数据量 要求用户公网带宽空闲，需要人工操作客户端或脚本启动数据上传 家用100Mbps带宽，1TB耗时1天左右 数据传输不收取费用，仅OBS收取基本的存储费用 CDM 方式 单次小于8TB的数据量 需要用户单独购买CDM服务 1TB~8TB/天（取决于网络和数据读取源的读写性能） 根据购买CDM实例规格以及使用时长收费，具体参见CDM价格详情 DES磁盘方式 单次小于30TB的数据量 需要用户自己提供磁盘 请参见从创建DES服务单到数据导入华为云需要多长时间？ 根据磁盘数量以及使用时长收费，具体参见DES价格详情 DES Teleport方式 单次小于500TB的数据量 由华为数据中心邮寄Teleport给用户使用 请参见从创建DES服务单到数据导入华为云需要多长时间？ 根据数据大小以及使用时长收费，具体参见DES价格详情 云专线方式 每月大于100TB的数据量，需要实时在线上传 需要部署专线 根据专线带宽决定 根据专线距离以及带宽收费，具体参见云专线价格详情 您也可以使用备份软件实现本地数据备份至OBS。

场景二：迁移第三方云厂商数据至OBS 迁移第三方云厂商数据至OBS的方案如下： 表2 迁移方案 迁移方式 适用场景 支持的迁移源端 迁移速率 费用 OMS方式 适用于大规模对象数据（500TB以下）全量或增量迁移场景。 请参见OMS支持迁移的第三方云厂商 10~20TB/天 收费方法请参见OMS计费说明。 镜像回源方式 适用于无缝迁移数据到OBS场景，即业务数据存储用户自己建立的源站，需要在不中断业务的情况下迁移到OBS上。 用户自己建立的数据源站 不涉及 由第三方云厂商收取数据读取费用，具体以第三方云厂商提供的价格为准。

OBS数据删除或覆盖后是否可以恢复? 华为云无法恢复您主动删除、覆盖、配置规则自动删除或服务协议到期自动删除的OBS数据，请您谨慎操作。 可能导致数据被删除或覆盖的场景： 通过控制台、API、SDK、OBS Browser+、obsutil、obsfs方式删除对象。详情请参见删除对象。 通过控制台、API、SDK、OBS Browser+、obsutil、obsfs方式上传同名文件到OBS，会导致OBS内已有文件被覆盖。 若您在生命周期规则中配置了定期删除文件的规则，OBS会根据生命周期的配置定期删除符合条件的文件。详情请参见生命周期管理。 若您配置了跨区域复制规则，且选择的是增/删/改同步，则对源存储空间（桶）进行文件修改或删除操作时，操作会同步到目的Bucket。详情请参见跨区域复制。 没有正确的配置桶的访问权限，导致文件被他人恶意删除或覆盖。访问权限相关说明请参见权限管理。 如果账号欠费，会根据“客户等级”定义不同的保留期时长。进入保留期后您在OBS中存储的数据会予以保留，账号会处于受限状态。保留期满仍未缴清欠款，存储在OBS中的数据将被删除且无法恢复。详情请参见欠费和续费。 如何防止误删除或误覆盖： 权限控制 正确使用OBS提供的访问控制能力防止数据被删除或覆盖。详情请参见安全最佳实践。 OBS控制台支持敏感操作保护，开启后执行删除桶等敏感操作时，系统会进行身份验证，防止误删除数据。详情请参见敏感数据保护介绍。 开启多版本控制 利用多版本控制，您可以在一个桶中保留多个版本的对象，使您更方便地检索和还原各个版本，在意外操作或应用程序故障时快速恢复数据。详情请参见多版本控制。 跨区域复制到异地备份 您可以使用跨区域复制功能将数据复制到异地进行备份。详情请参见跨区域复制。 WORM保护对象 您可以通过WORM功能保护对象，在保护期内阻止删除或覆盖对象。详情请参见WORM。 父主题： 安全性

OBS上传下载速率的影响因素有哪些？ 影响OBS上传下载速率的因素有： 单个华为云账号默认的OBS读写带宽（GET请求带宽与PUT请求带宽的总和）上限是16Gbit/s(包括公网和内网带宽一共16Gbit/s)。如果带宽达到该阈值，请求会触发流控。 如果用户购买的虚拟机网卡带宽低于16Gbit/s，那么节点带宽会先受虚机带宽限制，需要购买多台虚拟机并发运行才能达到16Gbit/s的带宽。 上传下载速率还受磁盘io及是否有其它进程抢占资源的影响。 父主题： 产品咨询

如何对OBS进行访问权限控制？ 您可以使用以下几种机制来控制对OBS的访问权限。更多详细信息，请参见OBS权限控制概述。 IAM权限 IAM权限是作用于云资源的，IAM权限定义了允许和拒绝的访问操作，以此实现云资源权限访问控制。 推荐使用IAM权限的场景：对同一账号内的子用户授权。 IAM权限的实现机制如下： 创建用户组，为用户组设定IAM权限集。 创建IAM用户，用户加入用户组以获取相关的权限。 桶策略 桶策略是作用于所配置的OBS桶及桶内对象的。OBS桶拥有者通过桶策略可为IAM用户或其他账号授权桶及桶内对象的操作权限。 访问控制列表 (ACL) ACL是基于账号级别的读写权限控制，权限控制细粒度不如桶策略和IAM权限。一般情况下，建议使用IAM权限和桶策略进行访问控制。 父主题： 权限相关

背景信息 基于安全合规要求，华为云对象存储服务OBS禁止通过OBS的默认域名（桶访问域名或静态网站访问域名）在线预览桶内对象，即使用上述域名从浏览器访问桶内对象（如视频、图片、网页等）时，不会显示对象内容，而是以附件形式下载。 各区域将自以下两个时间点起生效： 自2022年1月1日起生效：华北-北京一、华北-北京四、华北-乌兰察布一、华东-上海一、华东-上海二、华南-广州、西南-贵阳一 自2022年3月25日起生效：中国-香港、亚太-曼谷、亚太-新加坡、非洲-约翰内斯堡、拉美-墨西哥城一、拉美-墨西哥城二、拉美-圣保罗一、拉美-圣地亚哥

方案三：CDN私有桶回源方式访问 方案优劣势及约束限制说明 该方案不需要将桶设置为公共读，可用私有桶实现。 该方案不需要配置OBS自定义域名，仅需在CDN配置加速域名。按照工信部要求，您的桶如果在以下区域，使用的加速域名需要提前完成ICP备案。 包括：华北-北京一、华北-北京四、华北-乌兰察布一、华东-上海一、华东-上海二、华南-广州、西南-贵阳一 该方案支持HTTPS访问。如果需要使用HTTPS，需要将证书导入CDN。详情请参见HTTPS证书配置。 配置步骤 在CDN控制台将准备好的自有域名添加为加速域名。 添加方法请参见添加 CDN加速 域名。其中“源站类型”选择“OBS桶域名”，并在源站中选择对应的OBS桶域名。 若OBS桶开启了静态网站托管功能，需要勾选“静态网站托管”选项。 开启私有桶回源功能。 开启方法请参见OBS私有桶回源。 在DNS上进行CNAME配置。 配置方法请参见绑定自定义域名中的CNAME配置步骤。其中，CNAME配置为CDN分配的CNAME域名。 验证对象是否可以在线预览。 配置成功后，将“http://自定义域名/对象访问路径”拼接成的链接分享给用户，用户可以在浏览器中通过此链接直接预览文件。 如仍不能在线预览，请检查对象元数据ContentType值是否是浏览器支持的在线展示类型。 例如对象是一个mp4格式的视频文件，则设置ContentType为“video/mp4”；对象是一个jpg格式的图片文件，则设置ContentType为“image/jpeg”。OBS支持的ContentType类型请参见对象元数据Content-Type介绍。 您可以通过管理控制台、API和SDK来设置对象元数据ContentType。

方案一：使用OBS自定义域名访问（不开启CDN加速） 方案优劣势及约束限制说明 需要设置桶策略为公共读，桶内所有对象均可被匿名用户访问。 按照工信部要求，您绑定自定义域名的桶如果在以下区域，需要提前完成ICP备案。 包括：华北-北京一、华北-北京四、华北-乌兰察布一、华东-上海一、华东-上海二、华南-广州、西南-贵阳一 只支持HTTP方式访问，不支持HTTPS方式访问。 配置步骤 为OBS桶绑定自定义域名。 绑定的方法请参见绑定自定义域名。按照参考文档配置时，不需要开启CDN加速，CNAME配置为OBS桶域名。 验证对象是否可以在线预览。 配置成功后，将“http://自定义域名/对象访问路径”拼接成的链接分享给用户，用户可以在浏览器中通过此链接直接预览文件。 如仍不能在线预览，请检查对象元数据ContentType值是否是浏览器支持的在线展示类型。 例如对象是一个mp4格式的视频文件，则设置ContentType为“video/mp4”；对象是一个jpg格式的图片文件，则设置ContentType为“image/jpeg”。OBS支持的ContentType类型请参见对象元数据Content-Type介绍。 您可以通过管理控制台、API和SDK来设置对象元数据ContentType。

认证类型 AD域、RADIUS、LDAP、Azure AD远程认证使用远程服务上的已有用户密码。 表2 认证类型说明 认证类型 认证说明 本地认证 用户登录密码为系统配置静态密码。 可选择多因子认证方式登录。 可重置用户密码、个人找回密码、个人修改密码。 AD域认证 用户登录密码为AD域用户密码。 可选择多因子认证方式登录。 不能通过系统修改用户密码。 RADIUS认证 用户登录密码为RADIUS服务器用户密码。 可选择多因子认证方式登录。 不能通过系统修改用户密码。 LDAP认证 用户登录密码为LDAP服务器用户密码。 可选择多因子认证方式登录。 不能通过系统修改用户密码。 Azure AD认证 用户登录密码为Microsoft用户账号密码。 需跳转到Microsoft登录页面，输入用户账户信息登录。 不能选择多因子认证方式登录。 不能通过系统修改用户密码。

登录方式 用户账号配置多因子认证后，静态密码登录方式失效。 表3 登录方式说明 登录方式 登录说明 静态密码 输入用户登录名和密码。 手机短信 输入用户登录名和密码，单击“获取验证码”，并输入短信验证码。 手机令牌 输入用户登录名和密码，并输入手机令牌的动态验证码（每隔一段时间就会变化）。 USBKey 接入并选择已签发的USBKey，并输入对应的PIN码。 动态令牌 输入用户登录名和密码，并输入动态令牌的动态口令（每隔一段时间就会变化）

开放端口要求 为避免网络故障或网络配置问题影响登录系统，请管理员优先检查网络ACL配置是否允许访问 云堡垒机 ，并参考表1配置实例安全组。 堡垒机 跨版本升级会自动开放80、8080、443、2222共四个端口，升级完成后若不需要使用请第一时间关闭。 堡垒机主备实例跨版本升级还会自动开放22、31036、31679、31873共四个端口，升级完成后若不需要使用请第一时间关闭。 表1 入/出方向规则配置参考 场景描述 方向 协议/应用 端口 通过Web浏览器登录云堡垒机（HTTP、HTTPS） 入方向 TCP 80、443、8080 通过MSTSC客户端登录云堡垒机 入方向 TCP 53389 通过SSH客户端登录云堡垒机 入方向 TCP 2222 通过FTP客户端登录云堡垒机 入方向 TCP 20~21 通过云堡垒机的SSH协议远程访问Linux云服务器 出方向 TCP 22 通过云堡垒机的RDP协议远程访问Windows云服务器 出方向 TCP 3389 通过云堡垒机访问Oracle数据库 入方向 TCP 1521 通过云堡垒机访问Oracle数据库 出方向 TCP 1521 通过云堡垒机访问MySQL数据库 入方向 TCP 33306 通过云堡垒机访问MySQL数据库 出方向 TCP 3306 通过云堡垒机访问SQL Server数据库 入方向 TCP 1433 通过云堡垒机访问SQL Server数据库 出方向 TCP 1433 通过云堡垒机访问DB数据库 入方向 TCP 50000 通过云堡垒机访问DB数据库 出方向 TCP 50000 通过云堡垒机访问 GaussDB数据库 入方向 TCP 18000 通过云堡垒机访问 GaussDB 数据库 出方向 TCP 18000 License注册许可服务器 出方向 TCP 9443 华为云服务 出方向 TCP 443 同一安全组内通过SSH客户端登录云堡垒机 出方向 TCP 2222 短信服务 出方向 TCP 10743、443 DNS域名解析 出方向 UDP 53

使用云堡垒机时需要配置哪些端口？ 为了能正常使用云堡垒机，实例和资源安全组端口配置可参考表1。 堡垒机跨版本升级会自动开放80、8080、443、2222共四个端口，升级完成后若不需要使用请第一时间关闭。 堡垒机主备实例跨版本升级还会自动开放22、31036、31679、31873共四个端口，升级完成后若不需要使用请第一时间关闭。 表1 入/出方向规则配置参考 场景描述 方向 协议/应用 端口 通过Web浏览器登录云堡垒机（HTTP、HTTPS） 入方向 TCP 80、443、8080 通过MSTSC客户端登录云堡垒机 入方向 TCP 53389 通过SSH客户端登录云堡垒机 入方向 TCP 2222 通过FTP客户端登录云堡垒机 入方向 TCP 20~21 通过云堡垒机的SSH协议远程访问Linux云服务器 出方向 TCP 22 通过云堡垒机的RDP协议远程访问Windows云服务器 出方向 TCP 3389 通过云堡垒机访问Oracle数据库 入方向 TCP 1521 通过云堡垒机访问Oracle数据库 出方向 TCP 1521 通过云堡垒机访问MySQL数据库 入方向 TCP 33306 通过云堡垒机访问MySQL数据库 出方向 TCP 3306 通过云堡垒机访问SQL Server数据库 入方向 TCP 1433 通过云堡垒机访问SQL Server数据库 出方向 TCP 1433 通过云堡垒机访问DB数据库 入方向 TCP 50000 通过云堡垒机访问DB数据库 出方向 TCP 50000 通过云堡垒机访问GaussDB数据库 入方向 TCP 18000 通过云堡垒机访问GaussDB数据库 出方向 TCP 18000 License注册许可服务器 出方向 TCP 9443 华为云服务 出方向 TCP 443 同一安全组内通过SSH客户端登录云堡垒机 出方向 TCP 2222 短信服务 出方向 TCP 10743、443 DNS域名解析 出方向 UDP 53 父主题： 产品咨询

检查Linux主机是否拒绝root账户登录 由于sshd服务配置文件“/etc/ssh/sshd_config”中，“PermitRootLogin”参数值为“no”时，Linux主机不允许root账户登录。 登录Linux主机，查看sshd服务的配置文件。 在“/etc/ssh/sshd_config”文件中，查找“PermitRootLogin”参数，确认参数值是否为“no”。 修改“/etc/ssh/sshd_config”文件。 查找“PermitRootLogin”参数，修改参数值为“yes”或注释掉参数所在行。 #PermitRootLogin no 执行以下命令，重启sshd服务。 systemctl restart sshd 完成上述操作后，请重新尝试在云堡垒机上登录Linux主机。

检查云堡垒机资源账户密码是否正确 登录云堡垒机系统，选择目标Linux主机，导出资源账户，获取主机账户名和密码。 登录E CS 管理控制台，通过VNC方式登录Linux主机，验证主机账户和密码。 若不能登录，则主机账户密码错误。请修改Linux主机账户密码后，重新配置CBH资源账户密码，并验证账户是否正确。 若能够登录，请分别检查Linux主机是否开启双因子认证和检查Linux主机是否拒绝root账户登录。

检查Windows服务器是否120天授权到期 检查方法：通过内网的一台windows主机远程登录方式连接登录报错的Windows云服务器时，如果出现如下错误：“由于没有远程桌面授权服务器可以提供许可证，远程会话被中断，请跟服务器管理员联系。” 图1 没有远程桌面授权服务器可以提供许可证 则说明该Windows服务器120天授权到期。Windows操作系统的云服务器默认支持免费使用120天，到期后需要付费，如未付费会则造成远程连接失败。 解决办法：请参照激活服务器重新激活并授权。