华为云用户手册

快速使用obsutil 在不同操作系统，下载obsutil的方式也有所不同，下载后无需安装，即可开始使用。 执行以下命令前要求云服务器已连接到互联网，否则安装obsutil客户端失败。 Windows操作系统 单击下载地址将obsutil工具下载至本地。 下载完成后将其解压。 使用cmd进入该解压后的文件夹路径，执行obsutil命令。 Linux操作系统 打开命令行终端，执行wget命令下载obsutil工具。 Linux AMD 64位(Linux x86 64位)： wget https://obs-community.obs.cn-north-1.myhuaweicloud.com/obsutil/current/obsutil_linux_amd64.tar.gz Linux ARM 64位： wget https://obs-community.obs.cn-north-1.myhuaweicloud.com/obsutil/current/obsutil_linux_arm64.tar.gz wget后的URL参数是安装包的下载网址，您无需适配，只需要复制并运行上方提供的命令，直接下载即可。 您也可以在一台Windows计算机上下载到软件包后，通过常见的跨平台传输工具（比如WinSCP）传输至您的Linux运行机。 在软件包所在目录，执行以下解压命令。 tar -xzvf obsutil_linux_amd64.tar.gz 列举obsutil目录。“x.x.x”表示obsutil的版本号。 ll dr-x------ 2 root root 4096 Jan 5 2024 obsutil_linux_amd64_x.x.x -rw------- 1 root root 3845484 Mar 27 17:05 obsutil_linux_amd64.tar.gz 进入obsutil所在目录。“x.x.x”表示obsutil的版本号。 cd obsutil_linux_amd64_x.x.x 执行以下命令，为obsutil增加可执行权限。 chmod 755 obsutil 您必须为obsutil增加可执行权限，否则会在查询obsutil版本号时出现No such file or directory报错。 继续在目录中执行以下命令，如果能顺利返回obsutil版本号，说明安装成功。 ./obsutil version 图1 安装成功 macOS操作系统 单击下载地址将obsutil工具下载至本地。 下载完成后将其解压。 打开命令行终端，进入obsutil所在目录，执行以下命令，为obsutil增加可执行权限。 chmod 755 obsutil

下载地址 针对不同操作系统，obsutil的下载地址如表1所示。 表1 下载地址 操作系统 软件包下载地址 SHA256校验和 Windows 64位 obsutil_windows64 46440850e63600b31888f2c7c8e79db99f01d4ddd4e2b8a1e01af282ee4be93a Linux AMD 64位 (Linux x86 64位) obsutil_linux_amd64 5b1b04b8076ab6171abe9a8b91ec55aea3ceb026f7edfbe1fde831631a536c37 Linux ARM 64位 obsutil_linux_arm64 89ac3d9a57b2d9633be61e050024d52483881975f058e20c5e981a45587f9fa4 macOS 64位 obsutil_mac64 7bf5afa0960e1ab163dccf0a53bcd6fe13b9d6f7d6ba541c116103bfa8424118

命令结构 Windows操作系统 obsutil lifecycle obs://bucket -method=get [-localfile=xxx] [-config=xxx] [-i=xxx] [-k=xxx] [-t=xxx] [-e=xxx] macOS/Linux操作系统 ./obsutil lifecycle obs://bucket -method=get [-localfile=xxx] [-config=xxx] [-i=xxx] [-k=xxx] [-t=xxx] [-e=xxx]

运行示例 以Windows操作系统为例，运行obsutil lifecycle obs://bucket -method=get -localfile=d:\temp\lifecycle.json，指定导出桶bucket的桶生命周期规则至本地文件lifecycle.json。 obsutil lifecycle obs://bucket -method=get -localfile=d:\temp\lifecycle.json Start at 2024-09-30 08:08:59.9412332 +0000 UTC Export lifecycle rules to [d:\temp\lifecycle.json] succeed, requestId is [00000195D6546E804019204E29C1B8D8]

参数说明 参数 约束 描述 bucket 必选 桶名。 method 必选 指定方法，获取桶生命周期规则时该值为get。 localfile 附加参数，可选 指定将生命周期规则导出至本地文件，不指定时默认输出至标准输出。 config 附加参数，可选 运行当前命令时的自定义配置文件，可支持的配置参数请参考配置参数说明。 e 附加参数，可选 指定终端节点。 i 附加参数，可选 指定用户的AK。 k 附加参数，可选 指定用户的SK。 t 附加参数，可选 指定用户的securitytoken。

参数说明 参数 约束 描述 bucket 必选 桶名。 method 必选 指定方法，设置桶生命周期规则时该值为put。 localfile 必选 待导入的本地生命周期规则文件路径。 config 附加参数，可选 运行当前命令时的自定义配置文件，可支持的配置参数请参考配置参数说明。 e 附加参数，可选 指定终端节点。 i 附加参数，可选 指定用户的AK。 k 附加参数，可选 指定用户的SK。 t 附加参数，可选 指定用户的securitytoken。

命令结构 Windows操作系统 obsutil lifecycle obs://bucket -method=put -localfile=xxx [-config=xxx] [-i=xxx] [-k=xxx] [-t=xxx] [-e=xxx] macOS/Linux操作系统 ./obsutil lifecycle obs://bucket -method=put -localfile=xxx [-config=xxx] [-i=xxx] [-k=xxx] [-t=xxx] [-e=xxx]

运行示例 以Windows操作系统为例，运行obsutil lifecycle obs://bucket -method=put -localfile=d:\temp\lifecycle.json，指定基于lifecycle.json文件为桶bucket设置桶生命周期规则。 obsutil lifecycle obs://bucket -method=put -localfile=d:\temp\lifecycle.json Start at 2024-09-30 07:59:28.8675681 +0000 UTC Put lifecycle rules succeed, requestId is [04050000016836C5DA6FB21F14A2A0C0]

运行示例 以Windows操作系统为例，运行obsutil lifecycle obs://bucket -method=delete，指定删除桶bucket的桶生命周期规则。 obsutil lifecycle obs://bucket -method=delete Start at 2024-09-30 08:09:29.6396262 +0000 UTC Delete lifecycle rules succeed, requestId is [04050000016836C5DA6FB21F14A2A0C0]

命令结构 Windows操作系统 obsutil lifecycle obs://bucket -method=delete [-config=xxx] [-e=xxx] [-i=xxx] [-k=xxx] [-t=xxx] macOS/Linux操作系统 ./obsutil lifecycle obs://bucket -method=delete [-config=xxx] [-e=xxx] [-i=xxx] [-k=xxx] [-t=xxx]

CTS 最佳实践汇总 本文汇总了基于 云审计 服务（CTS，Cloud Trace Service）常见应用场景的操作实践，为每个实践提供详细的方案描述和操作指导，帮助用户轻松构建基于CTS的审计事件业务。 表1 CTS最佳实践一览表 最佳实践 说明 结合 函数工作流 对登录/登出进行审计分析 本章节介绍如何通过CTS云审计服务，完成对公有云账户的各个云服务资源操作和结果的实时记录。 通过在函数工作流服务中创建CTS触发器获取订阅的资源操作信息，经由自定义函数对资源操作的信息进行分析和处理，产生告警日志。再由 SMN 消息通知服务通过短信和邮件推送告警信息，通知业务人员进行处理。 通过 云日志服务LTS 存储和查询审计事件 本章节以“创建云服务器”（操作名称：createServer）为例，为您介绍如何通过 云日志 服务（LTS）存储和查询审计事件。 使用云审计服务监控“创建 IAM 用户”操作 本章节为您介绍如何通过云审计服务的操作审计和关键操作通知功能，对“创建IAM用户”操作进行监控，并通过邮件通知方式进行告警。 使用云审计服务监控AccessKey的使用 本章节为您介绍如何通过云审计服务的操作审计功能和转储审计日志到LTS功能，对AccessKey相关事件进行监控，并使用LTS日志告警功能发出告警。 使用云审计服务监控华为云账号的使用 本章节为您介绍如何通过云审计服务的操作审计功能和转储审计日志到LTS功能，对华为云账号进行监控，并使用LTS日志告警功能发出告警。 下载云审计服务记录的操作事件 本章节为您介绍如何在云审计服务（CTS）、 对象存储服务 （OBS）和云日志服务（LTS）中下载操作审计的事件。 通过云审计服务监控DEW密钥的使用 本章节为您介绍如何通过云审计服务的操作审计功能和筛选查询事件功能，对DEW密钥的使用情况进行监控。 将云审计记录的事件持续投递到指定服务 本章节将为您介绍如何将云审计记录的事件持续投递到对象存储服务（OBS）和云日志服务（LTS）。 CTS安全配置建议 本章节提供了CTS使用过程中的安全最佳实践，旨在为提高整体安全能力提供可操作的规范性指导。

建议对不同角色的IAM用户仅设置最小权限，避免权限过大导致数据泄露，提高访问控制 如果您需要对企业中的员工设置不同的CTS访问权限，以达到不同员工之间的权限隔离，您可以使用 统一身份认证 服务（IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全地控制CTS资源的访问。您可以通过设置CTS系统权限或者细粒度权限进行权限最小化的安全管控。详情请参见CTS权限管理。

建议妥善管理身份认证信息，减小因凭证泄漏导致的数据泄露风险 无论用户通过CTS控制台还是API、SDK访问CTS，都会要求访问请求方出示身份凭证，并进行身份合法性校验，同时提供登录保护和登录验证策略加固身份认证安全。CTS服务基于统一身份认证服务（Identity and Access Management，IAM），支持三种身份认证方式：用户名密码、访问密钥、临时访问密钥。同时还提供登录保护及登录验证策略。 建议使用临时AK/SK进行业务处理，减小凭证泄漏导致您数据泄露的风险 操作CTS相关资源时，都需要进行身份凭证认证，用于确保请求的机密性、完整性和请求者身份的正确性。建议您为应用程序或服务配置IAM委托或临时AK/SK，通过IAM委托可以获取一组临时AK/SK，临时AK/SK到期自动过期失效，可以有效降低凭证泄露造成的数据泄露风险。详情请参见临时访问密钥和通过委托获取临时AK/SK。 定期轮转永久AK/SK减小凭证泄漏导致您数据泄露的风险 如果您必须使用永久AK/SK，建议对永久AK/SK进行定期凭证轮转，同时加密存储，避免凭证长期使用过程中预置的明文凭证泄露导致数据泄露。详情请参见访问密钥。 定期修改用户名密码，避免弱密码 定期重置密码是提高系统和应用程序安全性的重要措施之一，不仅可以降低密码泄露的风险，还可以帮助用户满足合规要求，减少内部威胁，提高用户的安全意识。同时建议您配置密码的复杂度，避免使用弱密码。详情请参见密码策略。

使用 云监控服务 对重点审计事件进行实时监控告警 云审计会将华为云E CS 、VPC、EVS等云服务重点审计事件如: deleteServer、deleteVpc、deleteVolume等发送 CES 事件监控中，您可以使用CES服务监控自己的云上资源操作频率，执行自动实时监控、告警和通知操作，帮助您实时掌握特定云服务云上资源操作频次、操作返回状态、发生时间等信息。 云监控 服务不需要开通，当启用CTS服务后，CTS服务自动将特定云服务审计事件上报CES。关于云监控服务的更多介绍，请参见云监控服务产品介绍。

开启云审计服务配置OBS桶，将审计事件归档OBS永久存储，并使用DEW对事件文件进行加密 由于CTS只支持查询7天的审计事件，为了您事后审计、查询、分析等要求，启用CTS追踪器请配置OBS转储（建议您配置独立OBS桶并配置DEW加密存储专门用于归档审计事件）。当云上资源发生变化时，CTS服务将审计事件归档至OBS的桶，详细操作请参见追踪器配置OBS转储。 使用 数据加密 服务（DEW）中的密钥对OBS桶中的对象进行全量加密或者部分加密，详细操作请参见OBS服务端加密。

开启云审计服务，配置关键操作通知 云审计提供了关键操作通知能力，便于用户实时接收重点审计事件通知，详情请参见创建关键操作通知。 关键操作通知主要应用于以下场景： 高危操作（重启虚拟机、变更安全配置等）、成本敏感操作（创建、删除高价资源等）、业务敏感操作（网络配置变更等）的实时感知和确认。 越权操作感知：如高权限用户的登录、某用户进行了其权限范围之外的操作的实时感知和确认。 对接用户自有审计 日志分析 系统：将所有审计日志实时对接到用户自有的审计日志分析系统，进行接口调用成功率分析、越权分析、安全分析、成本分析等。 当您对华为云的资源增加删除比较关注时，您可以配置云审计关键操作通知并配置相应资源的服务类型、资源类型、动作，云审计通过 消息通知 服务（SMN）对这些关键操作实时向相关订阅者发送通知（向用户手机、邮箱发送消息，也可直接发送http/https消息）。

设置选项关联 单击单选“具体饮品”右侧的“问卷模式设置”。 图1 单击“问卷模式设置” 打开“选项关联”开关，在具体的选项后单击“添加关联”。 图2 添加关联 选择关联字段的选项值，如关联“饮品分类”下的“咖啡”选项，单击“确定”。 当选择该选项时，当前选项“拿铁”会展示在界面上。 图3 设置关联选项 在图3的页面中，可以通过“同步”功能，将其他选项关联到咖啡分类中。例如，将浓缩咖啡和焦糖玛奇朵关联到咖啡分类中。 图4 关联其他选项 同步成功后，返回问卷模式设置页面，此时“选项关联”已变成“修改”。单击浓缩咖啡后的“修改”，可见分类已修改为咖啡。 图5 返回问卷模式设置 图6 查看修改后的分类 设置当前字段其他选项的关联字段，单击“确认”。 图7 问卷模式设置 单击“保存”，并返回应用开发页面，分享表单，查看最终效果。 图8 查看最终效果

数值 数值组件用于记录数字类型的数据信息，例如数量、年龄、库存、金额等。数值组件支持输入数字的最大有效长度为15位，数字较长时，系统会自动添加分隔符。如果有超过15位数字的输入要求，建议替换为文本组件。 在表单开发页面，从“数据组件”中，拖拽“数值”组件至表单设计区域，如图1。 图1 数值 显示名称：该字段在页面呈现给用户的名称，可以设置为中文，也可以设置为英文。 单击显示名称后的“字段引用”，可将选择的字段取值引用到当前字段名称上。 保留小数位数：支持设置精确保留的小数位数，适用于金额录入等场景。 单位：数字的单位，例如“元”、“页”等，请根据需求进行设置。 显示：填写的数值是否允许为负数，默认允许输入负数，如-123。 验证：对字段进行限制设置。 必填：该字段是否必填。 限定范围：限定数值填写的范围，例如10.01-1000.99。 属性：设置字段的属性，包括只读、禁用和隐藏。 只读：勾选后，页面上该字段只可读。 禁用：勾选后，页面上该字段仍可显示，但不可进行配置。 隐藏：勾选后，页面上会隐藏该字段。 宽度：字段配置框宽度占页面宽度的比例。 默认值：支持设置如下默认值。 其他字段值：该表单内的其他定位组件、关联记录中的定位字段。 关联数据：关联已有数据，即取查询到的，最新的一条数据作为默认值。 图2 配置默认值 公式编辑：给表单中的某个字段编辑公式后，在填写表单或修改表单数据时，可以使该字段的值根据公式自动计算出来，不需要再手动填写，提高效率。 引导文字：当用户没有配置该字段值时，在界面显示的引导文字，可以设置为中文，也可以设置为英文。 问号提示：当该字段较难理解时，可通过配置“问号提示”告诉用户该字段的含义、如何配置等，可以设置为中文，也可以设置为英文。 设置后，页面该字段旁会有问号图标，单击后会显示配置的“问号提示”内容。 描述信息：设置组件的描述信息，支持换行和国际化配置。 父主题： 零码组件介绍

什么是磁盘模式 根据是否支持高级的SCSI命令来划分磁盘模式，分为VBD(虚拟块存储设备 , Virtual Block Device)类型和SCSI (小型计算机系统接口, Small Computer System Interface) 类型。 VBD类型：磁盘模式默认为VBD类型。VBD类型的磁盘只支持简单的SCSI读写命令。 SCSI类型：SCSI类型的磁盘支持SCSI指令透传，允许云服务器操作系统直接访问底层存储介质。除了简单的SCSI读写命令，SCSI类型的磁盘还可以支持更高级的SCSI命令。 磁盘模式在购买磁盘时配置，购买完成后无法修改。

SCSI磁盘的常见使用场景和建议 SCSI磁盘：BMS仅支持使用SCSI磁盘，用作系统盘和数据盘。 SCSI共享盘：当您使用共享盘时，需要结合分布式文件系统或者集群软件使用。由于多数常见集群需要使用SCSI锁，例如Windows MSCS集群、Veritas VCS集群和CFS集群，因此建议您结合SCSI使用共享盘。 如果将SCSI共享盘挂载至ECS时，需要结合云服务器组的反亲和性一同使用，SCSI锁才会生效。

ECS支持的磁盘模式 ECS支持的磁盘模式由规格类型决定，同时，还与ECS所属的操作场景相关。 表1 ECS支持的磁盘模式 操作场景 磁盘模式（系统盘） 磁盘模式（数据盘） 购买ECS时 通用计算增强型C7：SCSI。 内存优化型M7：SCSI。 含“physical” 附加标识的裸金属类型：SCSI。 其余规格类型：VBD。 通用计算增强型C7：SCSI。 内存优化型M7：SCSI。 含“physical” 附加标识的裸金属类型：SCSI。 其余规格类型：VBD或SCSI。 为已购买ECS挂载磁盘时 不涉及 通用计算增强型C7：VBD或SCSI。 内存优化型M7：VBD或SCSI。 含“physical” 附加标识的裸金属类型：SCSI。 其余规格类型：VBD或SCSI。

云硬盘突发能力及原理 突发能力是指小容量云硬盘可以在一定时间内达到IOPS突发上限，超过IOPS上限的能力。此处IOPS上限为单个云硬盘的性能。 突发能力适用于云服务器启动场景，一般系统盘容量较小，以50 GiB的超高IO云硬盘为例，如果没有突发能力，根据IOPS性能计算公式IOPS = min (50000, 1800 + 50 × 容量)，50 GiB的超高IO云硬盘IOPS上限只能达到4300，但使用突发能力后，IOPS可高达16000，从而提升云服务器的启动速度。 以超高IO云硬盘为例，单个超高IO云硬盘的IOPS突发上限为16000。 容量为100 GiB的云硬盘，其IOPS上限为6800，IOPS突发上限为16000，因此在一定时间内该云硬盘的最大IOPS可达到16000。 容量为1000 GiB的云硬盘，其IOPS上限为50000，但是IOPS突发上限仅为16000，云硬盘的IOPS上限已经超过了突发IOPS，因此该云硬盘无需突发能力。 以下介绍云硬盘突发IOPS的消耗原理和储蓄原理。 突发的实现基于令牌桶，令牌桶中的初始令牌数量 = 突发时间 × IOPS突发上限，此处突发时间固定为1800 s。 以100 GiB的超高IO云硬盘为例，令牌桶容量为28800000个令牌（1800 s × 16000 ）。 令牌的生成速度：该桶以6800个/s的速度生成令牌，其中6800为该云硬盘的IOPS上限。 令牌的消耗速度：根据实际IO使用情况而定，每个IO会消耗一个令牌，最大消耗速度为16000个/s，此处取突发IOPS上限和云硬盘IOPS上限的较大值。 消耗原理 当令牌消耗速度大于令牌的生成速度时，令牌数量会逐渐减少，最后IOPS会维持跟桶生成令牌的速度一致，即云硬盘的IOPS上限。本示例中，可以维持突发IOPS的时间为3130 s ≈ 28800000 / (16000 - 6800) 。 储蓄原理 当令牌的消耗速度小于令牌的生成速度时，桶中的令牌会逐渐增加，之后又可以拥有突发能力。本示例中，如果云硬盘暂停使用4235 s ≈ 28800000 / 6800，令牌桶就可以存满。 桶中的令牌数量只要大于零，云硬盘就具有突发能力。 本示例中令牌的消耗和储蓄原理如图1所示。蓝色柱状表示云硬盘IOPS的使用情况，绿色虚线为IOPS上限，红色虚线为IOPS突发上限，黑色曲线表示令牌数量的变化趋势。 当令牌数量大于零时，IOPS可以突破6800，即具有达到IOPS突发上限16000的能力。 当令牌数为零时，此时不具备突发能力，IOPS最大为6800。 当实际IOPS小于6800时，令牌数量开始增加，可以恢复突发能力。 图1 突发能力示意图

云硬盘IOPS性能计算公式举例说明 单个云硬盘IOPS性能 =“最大IOPS”与“基线IOPS + 每GiB云硬盘的IOPS × 云硬盘容量”的最小值。 该性能计算公式不适用于通用型SSD V2和极速型SSD V2。 通用型SSD V2的IOPS值由用户预配置，范围为3000~128000，具体可配置值≤(500*容量)。 极速型SSD V2的IOPS值由用户预配置，范围为100~256000，具体可配置值≤(1000*容量)。 以超高IO云硬盘为例，单个超高IO云硬盘的最大IOPS为50000。 假如云硬盘容量为100 GiB，则该云硬盘IOPS性能 = min (50000, 1800 + 50 × 100 )，取50000与6800中的最小值，即该云硬盘IOPS性能为6800。 假如云硬盘容量为1000 GiB，则该云硬盘IOPS性能 = min (50000, 1800 + 50 × 1000 )，取50000与51800中的最小值，即该云硬盘IOPS性能为50000。

计费公式 快照存储费用 = 快照单价 * 快照链容量 * 计费时长 标准快照单价：每GiB容量每小时的费用，单位为“元/GiB/小时”。关于标准快照价格，请参见云硬盘价格详情对应的区域，了解标准快照上线区域请查看支持的区域。 标准快照链容量：快照链下所有快照的数据块实际占用的存储空间。详情参见查看快照链容量。 计费时长：快照创建完成后开始计费，快照删除后结束计费。 计费示例： 假设快照单价为0.0001667元/GiB/小时，云硬盘EVS-Test，有一个快照链，快照链容量为100GiB，那么该快照链下所有快照存储3小时的费用如下： 快照存储费用 = 0.0001667元/GiB/小时 * 100GiB * 3小时 = 0.05001元

故障恢复 EVS提供多种云硬盘故障后数据恢复方式，详情见表1。 表1 故障恢复 故障恢复 描述 详细介绍 云硬盘备份 您可以通过云备份（Cloud Backup and Recovery，CBR）中的云硬盘备份功能为云硬盘创建在线备份，无需关闭云服务器。针对病毒入侵、人为误删除、软硬件故障等导致数据丢失或者损坏的场景，可通过任意时刻的备份恢复数据，以保证用户数据正确性和安全性，确保您的数据安全 使用云硬盘备份恢复数据 恢复回收站中的云硬盘 回收站功能开启后，删除的云硬盘会放入到回收站中保存，以防止误删除导致云硬盘数据丢失。 云硬盘在回收站内最多可保存7天，在到期之前，您可以从回收站内恢复已删除的云硬盘。 恢复回收站中的云硬盘 从快照创建云硬盘 通过快照创建新的云硬盘，可以使云硬盘在初始状态就具有快照中的数据。 从快照创建云硬盘 从快照回滚数据 如果云硬盘的数据发生错误或者损坏，可以回滚快照数据至创建该快照的云硬盘，从而恢复数据。 从快照回滚数据 父主题： 安全

监控安全风险 云监控服务为用户的云上资源提供了立体化监控平台。通过云监控您可以全面了解云上的资源使用情况、业务的运行状况，并及时收到异常告警做出反应，保证业务顺畅运行。 EVS提供基于云监控服务CES的资源监控能力，帮助用户监控账号下的云硬盘使用情况，执行自动实时监控、告警和通知操作。用户可以实时监控云硬盘的IOPS、带宽、时延等信息。 关于EVS支持的监控指标，以及如何创建监控告警规则等内容，请参见监控。 父主题： 安全

审计 云审计服务（Cloud Trace Service，CTS），是华为 云安全 解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。用户开通云审计服务并创建和配置追踪器后，CTS可记录EVS的管理事件用于审计。 CTS的详细介绍和开通配置方法，请参见CTS快速入门。 CTS支持追踪的EVS管理事件，请参见审计。 父主题： 安全

数据保护技术 EVS通过云硬盘加密技术，保护存储在EVS云硬盘中的静态数据的机密性。 表1 EVS的数据保护手段和特性 数据保护手段 简要说明 详细介绍 云硬盘加密 1、支持创建空白加密云硬盘 2、支持通过快照、备份、镜像创建加密云硬盘 3、支持默认使用AES-256服务端加密静态数据； 4、支持使用KMS密钥加密静态数据； 5、支持 EVS数据盘和ECS系统盘加密； 6、从加密云硬盘创建的快照、备份、镜像默认加密。 云硬盘加密 父主题： 安全

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的IaaS、PaaS和SaaS类云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。华为云租户的安全责任在于对使用的IaaS、PaaS和SaaS类云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、 虚拟主机 和访客虚拟机的操作系统，虚拟防火墙、API网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

变更配置 变更项 包年/包月 按需计费 容量变更 不支持缩容 支持扩容，扩容需要补差价 说明： 扩容后云硬盘到期时间不变。 不支持缩容 支持扩容 扩容成功时间点所在的计费周期（即一小时）内，将会产生多条计费信息。 例如，在01:30:01将云硬盘容量由100G扩大为200G，那么01:00:00-02:00:00这个计费周期会产生两条计费信息，01:00:00-01:30:00为100G的计费信息；01:30:01-02:00:00为200G的计费信息。 性能变更 性能（吞吐量、IOPS）不支持包年/包月计费模式。 对于支持配置性能的包年/包月云硬盘，其容量按包年/包月计费，性能采用按需计费，变更后的性能也采用按需计费。 性能（吞吐量、IOPS）支持按需计费模式。 根据变更后的性能大小按需计费。 云硬盘类型变更 变更需要补差价。 说明： 变更后云硬盘到期时间不变。 根据您选择的云硬盘类型按需计费。 计费模式变更 支持按需计费变更为包年/包月 请参见按需转包周期。 说明： 按需非共享云硬盘不支持单独变更为包年/包月，请挂载至云服务器后操作： 若挂载至按需云服务器一起变更为包年/包月，变更后到期时间与云服务器一致； 若挂载至包年/包月云服务器，将云硬盘变更为包年/包月时，变更后到期时间可自行指定，建议与云服务器的到期时间保持一致。 支持包年/包月变更为按需计费 请参见包周期转按需。