华为云用户手册

下架offer 登录 交换数据空间 官网。 单击“管理控制台”，进入交换数据空间控制台界面。 单击“我的空间”，在交换数据空间实例中，选择实例，单击实例卡片上的“连接器”。 选择连接器，单击连接器卡片上的“前往”，进入连接器控制台界面。 选择界面左侧导航栏中的“数据offer”，选择待下架的数据offer，单击“操作”列的“下架”。 在弹出的确认框中，单击“确定”。 该offer状态变为“已下架”，从数据市场中下架，不再显示。 当用户订阅offer且审批流程未结束时，该offer无法下架。

查看offer详情 登录交换数据空间官网。 单击“管理控制台”，进入交换数据空间控制台界面。 单击“我的空间”，在交换数据空间实例中，选择实例，单击实例卡片上的“连接器”。 选择连接器，单击连接器卡片上的“前往”，进入连接器控制台界面。 选择界面左侧导航栏中的“数据offer”，在offer列表中，单击“操作”列的“详情”，查看offer的详细信息。 在数据offer详情中，单击数据清单区域数据列表“操作”列的“查看”，查看数据资源文件的详细信息，目前只支持查看Excel和PDF格式的文件。

重新上架offer 登录交换数据空间官网。 单击“管理控制台”，进入交换数据空间控制台界面。 单击“我的空间”，在交换数据空间实例中，选择实例，单击实例卡片上的“连接器”。 选择连接器，单击连接器卡片上的“前往”，进入连接器控制台界面。 选择界面左侧导航栏中的“数据offer”，选择已下架的数据offer，单击“操作”列的“重新上架”。 在弹出的确认框中，单击“确定”。 该offer状态变为“已上架”，从数据市场中重新上架。 当前仅支持对“已下架”的offer进行重新上架操作。

接入数据源 上传Oracle需要上传表所在的schema的只读权限，同时需要赋予该用户DBA_CONSTRAINTS 、DBA_CONS_COLUMNS、DBA_TAB_COLUMNS、DBA_TABLES这四个表的查询权限。 上传mysql需要具有数据库的只读权限。 上传dws需要上传表所在的schema的只读权限。 下载结构化数据到mysql需要数据库的建表(create)和写入(insert)权限，而下载到Oracle和dws需要下载至目标schema的写入(insert)和建表(create)权限。 接入DWS数据源 接入OBS数据源 接入ORACLE数据源 接入 MRS _HIVE数据源 接入FTP数据源 接入MYSQL数据源 接入API数据源 父主题： 数据源管理

菜单栏说明 连接器管理控制台菜单如图1所示，菜单栏说明请参考表1。 图1 连接器菜单 表1 菜单栏说明 菜单 说明 工作台 用户通过快捷入口、统计概览、我的任务快速上手和操作EDS，详细介绍请参考工作台。 数据目录 数据目录提供了对数据资源文件的一系列操作方式，方便用户管理上传和接收的资源，详情介绍请参见数据目录。 数据offer 数据offer提供了上架offer到数据市场的功能，同时用户可以查看offer编码、offer名称以及上架状态等详细信息，详细介绍请参见数据offer。 数据合约 通过数据合约，可查看当前用户提供和收到合约的详细信息，详细介绍请参见数据合约。 数据市场 数据市场提供数据搜索、数据订阅、数据收藏等功能，帮助用户快速、高效地找到有价值的数据，详细介绍请参见数据市场。 连接器管理 连接器管理提供了应用管理、数据源管理、策略模板、业务权限、连接器分组、用户、角色以及申请待办等的管理功能。 应用管理详细介绍请参见应用管理。 数据源管理详细介绍请参见数据源管理。 策略模板、业务权限管理、连接器分组管理等详细介绍请参见数据源管理。 查证&运营 EDS从数据、合约、用户三个维度提供查证追溯，让用户明确数据资产的流向和使用规范。同时展示空间实例中操作的TOP5用户看板、被操作最多的TOP5数据看板，详细介绍请参见查证&运营。 任务管理 任务管理记录了上传任务、采集任务、交换任务、下载任务的任务清单，详细介绍请参见任务管理。

为收藏的文件创建文件夹 登录交换数据空间官网。 单击“管理控制台”，进入交换数据空间控制台界面。 单击“我的空间”，在交换数据空间实例中，选择实例，单击实例卡片上的“连接器”。 选择连接器，单击连接器卡片上的“前往”，进入连接器控制台界面。 选择界面左侧导航栏中的“数据目录”，选择“我的收藏”，进入“我的收藏”界面。 单击“新建文件夹”，自定义配置文件夹名称，把收藏的文件夹或资源移动归类，方便管理。

查看收藏的资源文件 登录交换数据空间官网。 单击“管理控制台”，进入交换数据空间控制台界面。 单击“我的空间”，在交换数据空间实例中，选择实例，单击实例卡片上的“连接器”。 选择连接器，单击连接器卡片上的“前往”，进入连接器控制台界面。 选择界面左侧导航栏中的“数据目录”，选择“我的收藏”，进入“我的收藏”界面。 页面展示已收藏的资源或文件，单击资源或文件名称，页面跳转到对应的资源或文件夹目录，方便快速查看。

查看任务详情 登录交换数据空间官网。 单击“管理控制台”，进入交换数据空间控制台界面。 单击“我的空间”，在交换数据空间实例中，选择实例，单击实例卡片上的“连接器”。 选择连接器，单击连接器卡片上的“前往”，进入连接器控制台界面。 选择界面左侧导航栏中的“任务管理”，在“任务管理”界面记录了上传任务、采集任务、交换任务、下载任务的任务清单。 单击需要查看任务详情的页签，系统展示页签下的任务列表，可以查看该页签下的任务号、数据名称、状态、子任务、操作等。 以“上传任务”为例说明。 单击“上传任务”页签，通过状态、任务号等进行精确搜索。 单击任务号，展示子任务详情，单击操作列的“详情”，查看任务详情记录。 图1 任务管理

订阅offer 登录交换数据空间官网。 单击“管理控制台”，进入交换数据空间控制台界面。 单击“我的空间”，在交换数据空间实例中，选择实例，单击实例卡片上的“连接器”。 选择连接器，单击连接器卡片上的“前往”，进入连接器控制台界面。 选择界面左侧导航栏中的“数据市场”，在搜索框中输入需要查询的offer关键字，单击跳转到数据offer列表界面。 用户可通过筛选“热度”来获得最近的热门数据，也可以通过选择“提供方”进行进一步筛选。 筛选到所需的数据offer后，单击offer名称，进入“offer详情”界面，可查看数据基本信息和数据列表信息。 单击界面右上角“订阅”，在“订阅详情”界面中，编辑使用策略，相关参数说明如表1。 表1 参数说明 参数 说明 已选操作 数据消费方自定义数据使用的限制方法，通过“约束条件”对查看、加工和下载进一步限制。 查看：用户可以查看资源文件详细信息。 加工：用户可以在预览的时候处理数据资源文件。 下载：用户可以下载数据资源文件到本地。 约束条件 通过Who、When、How to、How many等几个方面限制数据消费方对数据的使用。 Who：限定消费方的用户或团队进行数据交换。选择的用户需拥有数据接收者角色，才可以接收数据。选择的团队为消费方连接器下的某个团队。 When：控制使用的时间，包括起始时间和截止时间。 How many：限制可用操作的次数，默认不输入，则不限制次数。 订阅offer时，数据消费方可以在数据上架offer时提供的使用控制策略上申请新的策略，覆盖提供方的策略。 输入订阅原因后，单击“确定”。 公开offer直接订阅成功，受控offer等待数据提供方审批。用户可在“工作台”的“我的任务”中选择“申请”页签查看申请任务的状态。

示例流程 图1 给用户授予EDS权限流程 创建用户组并授权 在 IAM 控制台创建用户组，并授予交换数据空间服务的权限“EDS ReadOnlyAccess”。 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限，用户权限包含“EDS ReadOnlyAccess”。在“服务列表”中选择交换数据空间，进入交换数据空间首页，单击界面右上角“开通交换数据空间实例”，如果无法开通交换数据空间实例，表示“EDS ReadOnlyAccess”已生效。 在“服务列表”中选择除交换数据空间外（假设当前策略仅包含EDS ReadOnlyAccess）的任一服务，若提示权限不足，表示“EDS ReadOnlyAccess”已生效。

终止合约 登录交换数据空间官网。 单击“管理控制台”，进入交换数据空间控制台界面。 单击“我的空间”，在交换数据空间实例中，选择实例，单击实例卡片上的“连接器”。 选择连接器，单击连接器卡片上的“前往”，进入连接器控制台界面。 选择界面左侧导航栏中的“数据合约”，选择“发出的合约”页签。 选择待终止的合约，单击右侧“操作”列的“终止”。 在弹出的提示框，单击“确认”。 双方合约信息已删除。数据消费方处的资源文件已删除。

支持审计的关键操作列表 表1 云审计 服务支持的交换数据空间操作列表 操作名称 资源类型 事件名称 创建空间实例 instance createInstance 删除空间实例 instance deleteInstance 申请加入空间实例 instance applyInstance 空间实例的加入审批 instance changeApproveRecord 创建连接器 connector createConnector 删除连接器 connector deleteConnector 更新连接器状态 connector updateConnector 申请开通连接器 connector createEdsConnectorApproval 申请加入连接器 connector applyConnector 连接器开通审批 connector updateConnectorApproval 连接器加入审批 connector approveConnectorApplication 上架offer offer createofferWithInstance 订阅offer offer createSubscriptionRecord 收藏offer offer createFavourite 下架offer offer deleteoffer 审批合约 agreement sendAgreementApproveWithInstance 终止合约 agreement terminateAgreement 点对点交换 data_resource createOneToOneData 上传文件 file uploadFile 上传数据源 data_source createJdbcDataSet 创建数据源 data_source createDataSource 删除数据源 data_source deleteDataSource 编辑数据源 data_source updateDataSource 测试数据源连接 data_source validateDataSourceConnection 添加用户 user createConnectorUser 删除用户 user deleteConnectorUser 用户授权 user_role updateConnectorUserRole

概述 交换数据空间支持把FTP作为一种数据源类型，并用于数据上传和下载。在使用FTP数据源前，需要先接入数据源。 使用FTP数据源存在一定的安全风险，如：FTP客户端与服务器所有的数据传送都是通过明文的方式，包括用户名和密码等敏感信息。 如需关闭FTP服务，可参考如下操作。 在Windows中关闭FTP服务：打开“控制面板”，选择“程序”，然后单击“打开或关闭 Windows功能”。 在“Windows功能”窗口中找到“Internet Information Services”，展开它并找到“FTP服务器”，将其取消选中，然后单击“确定”。 在Linux系统（Red Hat）中关闭FTP服务： ps -ef | grep ftp # 查看本地是否有包含FTP的进程开启service vsftpd stop # 停止FTP服务 FTP数据源在华为云的E CS 上建立，在使用之前需要根据FTP配置文件的配置项来确定ECS主机安全组放通的端口范围，如不放开相应的端口范围，数据传输将会失败。 pasv_max_port=0，设置在PASV工作方式下，数据连接可以使用的端口范围的上界。默认值为0，表示任意端口。 pasv_mim_port=0，设置在PASV工作方式下，数据连接可以使用的端口范围的下界。默认值为0，表示任意端口。 如上配置项是限制数据传输的具体端口，ECS主机安全组入方向的端口需要针对该端口范围开放。如全为0，则需要将端口全部放开。如不为0，则根据端口范围的上界和下界确定需要放开的端口。

EDS自定义策略样例 示例1：授权用户申请加入连接器的权限 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "eds:connector:list", "eds:connector:join" ] } ]} 示例2：拒绝用户删除云服务 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先。 如果您给用户授予EDS FullAccess的系统策略，但不希望用户拥有EDS FullAccess中定义的删除交换数据空间实例的权限，您可以创建一条拒绝删除云服务的自定义策略，然后同时将EDS FullAccess和拒绝策略授予用户，根据Deny优先原则，则用户可以对EDS执行除了删除交换数据空间实例外的所有操作。拒绝策略示例如下： { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "eds:instance:delete" ] } ]}

工作台概述 EDS工作台界面展示了快捷入口、统计概览、我的任务、账号详情等内容，方便用户快速了解、上手和操作EDS，如图1所示。 快捷入口 包含上传资源、上架offer、创建合约、发送数据，方便用户快捷使用。 统计概览 统计我的资源（上传的）、我的Offer（上架的）、我的合约（发出的）数据，单击后展示数据详情。 我的任务 展示待办和申请数据概览，相关说明请参考我的任务。 账号详情 工作台界面右侧展示了账号详情信息，包含账号名称、账号ID、连接器信息以及我的收藏。 图1 EDS工作台 父主题： 工作台

新增数据源 登录交换数据空间官网。 单击“管理控制台”，进入交换数据空间控制台界面。 单击“我的空间”，在交换数据空间实例中，选择实例，单击实例卡片上的“连接器”。 选择连接器，单击连接器卡片上的“前往”，进入连接器控制台界面。 选择界面左侧导航栏中的“数据目录”，选择“团队数据”，进入“我的团队”页面。 在“我的团队”页面找到需要交换资源的团队卡片，单击团队卡片上的“本地接入”，进入团队资源页面。 单击资源列表上方“新增数据源”，在“新增数据源”页面具体操作请参考接入数据源。

网络安全控制 实践 描述 安全组配置示例 当您在VPC子网内创建实例（云服务器、云容器、云数据库等）时，您可以使用系统提供的默认安全组default，您也可以创建其他安全组。无论是默认安全组，还是您创建的安全组，您均可以在安全组内设置出方向和入方向规则，以此控制出入实例的流量。本文档您介绍一些常用的安全组的配置示例。 网络ACL配置示例 网络ACL可以控制流入/流出子网的流量，当网络ACL和安全组同时存在时，流量先匹配网络ACL规则，然后匹配安全组规则。您可以灵活调整安全组的规则，并使用网络ACL作为子网的额外防护。本文档为您提供了典型的网络ACL应用示例。 使用IP地址组提升安全组规则管理效率 IP地址组是一个或者多个IP地址的集合，您可以在配置安全组规则的时候使用IP地址组。如果您变更了IP地址组内的IP地址，则相当于直接变更了这些IP地址对应的安全组规则，免去逐条修改安全组规则的工作量。 通过对等连接和第三方防火墙实现多VPC互访流量清洗 介绍通过防火墙软件实现VPC内流量安全管控的需求，首先基于VPC对等连接实现多个VPC网络互通，然后VPC之间互访流量通过防火墙软件过滤清洗。 混合云使用第三方防火墙 本文以用户同区域的多VPC与本地IDC连通为例，介绍混合云使用第三方防火墙的应用场景。用户IDC数据中心和华为云通过云专线（DC）或 虚拟专用网络 （VPN）通信成功，在华为云的内网上使用第三方虚拟化防火墙，使得云上云下的业务流量经过自定义的第三方防火墙，对云上的业务进行灵活的安全控制。

组网配置指导 实践 描述 基于华为云弹性云服务器自建容器并实现通信 介绍在不使用华为云容器产品的情况下，支持用户在华为云弹性云服务器中部署容器，并实现同一个子网中不同弹性云服务器内的容器相互通信。 使用虚拟IP和Keepalived搭建高可用Web集群 介绍如何通过虚拟IP搭建高可用WEB集群。虚拟IP主要用于弹性云服务器的主备切换，达到高可用性HA的目的。当主服务器发生故障无法对外提供服务时，动态将虚拟IP切换到备服务器，继续对外提供服务。 为多网卡ECS配置策略路由 当云服务器拥有多张网卡时，主网卡默认可以和外部正常通信，扩展网卡无法和外部正常通信，此时需要在云服务器内部为这些网卡配置策略路由，才可以确保多张网卡均可以和外部正常通信。 VPC间对等连接组网配置示例 不同的VPC之间内网隔离，您可以使用对等连接将两个VPC连通起来，对等连接两端的VPC使用私有IP地址进行通信。 本文档为您提供了不同组网的VPC对等连接配置示例，包括IPv4和IPv6组网。 基于VPCEP实现跨VPC连接ELB 该解决方案基于 VPC终端节点 和终端节点服务，帮助用户快速实现同一区域不经过公网、跨VPC的弹性负载均衡ELB后端服务访问。 基于SNAT实现公网访问解决方案 该解决方案能帮您快速实现不同虚拟网络之间的流量互通，支持同账号/不同账号之间高质量高安全的VPC网络连接，同时不依赖某个独立硬件，解决单点故障或带宽瓶颈的问题。适用于在云上数据备份，办公数据同步、企业商务数据传递、ERP及支付、游戏行业等典型场景。 云上跨VPC添加实例到ELB最佳实践 该解决方案基于独享型负载均衡的跨VPC后端功能，帮助用户快速实现云上跨VPC添加实例至弹性负载均衡ELB。

组网规划说明 实践 描述 虚拟私有云和子网规划建议 介绍如何根据实际业务需求规划VPC和子网的数量、网段划分，并提供VPC常用组网的规划说明。 VPC网络连接方案 华为云拥有丰富的网络服务，提供安全、可扩展的云上网络环境，同时提供了高速、可靠的云上云下连接服务，能够实现VPC和其他VPC之间的网络互通、VPC内实例（比如ECS、RDS）访问公网、以及云上VPC和云下数据中心（IDC）网络互通的需求。 连通VPC和其他VPC的网络（私网网络） 华为云提供了针对不同业务规模和场景的VPC互连服务。您可以通过对等连接、企业路由器（ER）、云连接、虚拟专用网络（VPN）、云专线（DC）等灵活连通不同VPC之间的网络，包括同一个区域的VPC，不同区域的VPC，或者不同账号下的VPC等。 连通VPC和公网的网络（公网网络） VPC中云资源默认无法访问公网。您可通过弹性公网IP（EIP）、NAT网关、弹性负载均衡（ELB）等连通VPC和公网的网络，实现VPC内的实例主动访问公网、或者面向公网提供服务。 连通VPC和云下数据中心的网络（混合云网络） 对于拥有云下数据中心的用户，由于利旧和平滑演进的原因，并非所有的业务都可以迁移至云上，通过虚拟专用网络（VPN）、云专线（DC）、云连接等可以连通VPC和云下数据中心网络，构建混合云组网。

服务韧性 全球加速实例通过健康检查判断终端节点的运行状态，健康检查机制提高了业务的可靠性和可用性，避免了异常终端节点对服务的影响。 您可以为全球加速实例的终端节点组开启健康检查。开启健康检查后，全球加速实例会定期向终端节点发送请求以测试其运行状态，当某个终端节点健康检查出现异常时，全球加速实例将停止向该终端节点分发流量请求，而是分发到健康检查正常的其他终端节点；当健康检查异常的终端节点恢复正常后，全球加速实例会将其自动恢复到请求服务中，承载业务流量。 关于全球加速服务支持的健康检查协议，以及如何配置健康检查等内容，请参见健康检查。 父主题： 安全

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的 云安全 挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的IaaS、PaaS和SaaS类云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。华为云租户的安全责任在于对使用的IaaS、PaaS和SaaS类云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、 虚拟主机 和访客虚拟机的操作系统，虚拟防火墙、API网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

审计与日志 云审计服务（Cloud Trace Service， CTS ），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 用户开通云审计服务后，CTS可记录GA的操作事件用于审计。 CTS的详细介绍和开通配置方法，请参见CTS快速入门。 GA支持审计的操作事件请参见支持审计的关键操作。 查看审计日志请参见查看审计日志。 父主题： 安全

与其他服务的关系 图1 与其他服务的关系 表1 与其他服务的关系 交互功能 相关服务 位置 购买弹性公网IP关联企业后端服务器，将弹性公网IP作为全球加速服务的终端节点，全球加速实例通过监听器向终端节点分发访问请求。 弹性公网IP（Elastic IP，EIP） 购买弹性公网IP 在企业使用 域名 提供服务的场景，购买全球加速实例后，通过在云解析DNS服务里配置企业的服务域名和全球加速服务的Anycast IP之间的解析关系，将企业购买全球加速实例后获取的Anycast IP与用户应用绑定。 云解析（Domain Name Service，DNS） 云解析服务 查看全球加速实例下的带宽和连接数使用情况。 云监控 （Cloud Eye Service， CES ） 云监控服务

加速原理 通俗来讲，GA全球骨干网相当于华为云在全球多个国家建设高速公路网，接入点就好比高速公路入口，加速区域就是指有高速公路入口的国家或地区，而Region则可以理解是高速公路网的出口站点。我们可以通过“运营商”建设的普通公路访问Region应用（EIP访问流程），也可以就近接入华为云高速公路网快速访问Region应用（GA AnycastIp访问流程）。 例如用户业务部署在上海，使用全球加速服务优化全球用户访问，此时新加坡用户访问GA AnycastIP会从新加坡接入点接入骨干网快速访问上海Region的应用，马来西亚由于没有接入点会就近通过新加坡接入点进入华为云骨干网快速访问上海Region应用。 加速云外IP也是进入全球骨干网快速访问，只是需要选择目的IP就近Region作为出口。例如用户业务部署在无锡自己的IDC机房而不在华为云机房，此时仍然可以使用华为云全球加速服务为全球用户访问加速。GA后端Region选择距离无锡最近的上海Region，此时新加坡用户访问GA AnycastIP会从新加坡接入点进入华为云骨干网快速传输到上海Region，然后出骨干网后通过公网传输到无锡。

约束与限制 全球加速服务的用户默认配额信息详细请参见表1。 表1 全球加速服务资源配额 资源 默认配额 说明 每个帐户支持的全球加速实例数量 20 可以通过提交工单提高此限制。 每个全球加速实例支持的监听器数量 10 可以通过提交工单提高此限制。 每个终端节点组支持的终端节点数量 10 可以通过提交工单提高此限制。 每个全球加速实例支持的连接数 20000 单pop单实例限速20000连接数。 可以通过提交工单提高此限制。 带宽峰值 100Mbps 单pop单服务器节点限速100M。 可以通过提交工单提高此限制。 每个租户支持的IP地址组数量 50 不可更改 每个IP地址组支持添加的IP网段数量 200 不可更改 每个IP地址组关联的监听器数量 10 不可更改

全球加速权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 全球加速部署时不区分物理区域，为全局级服务。授权时，在全局级服务中设置权限，访问全球加速时，不需要切换区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对全球加速服务，管理员能够控制IAM用户仅能对某一类全球加速资源进行指定的管理操作。 如表1所示，包括了全球加速的所有系统权限。 表1 全球加速系统权限 系统角色/策略名称 描述 类别 依赖关系 GA FullAccess 操作权限：对全球加速服务的所有执行权限。 作用范围：全局级服务。 系统策略 无 GA ReadOnlyAccess 操作权限：对全球加速服务的只读权限。 作用范围：全局级服务。 系统策略 无 表2列出了全球加速常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表2 常用操作与系统权限的关系 操作 GA FullAccess GA ReadOnlyAccess 创建全球加速实例 √ × 查看全球加速实例 √ √ 修改全球加速实例 √ × 删除全球加速实例 √ × 创建监听器 √ × 查看监听器 √ √ 修改监听器 √ × 删除监听器 √ × 创建终端节点组 √ × 查看终端节点组 √ √ 修改终端节点组 √ × 删除终端节点组 √ × 创建终端节点 √ × 查看终端节点 √ √ 修改终端节点 √ × 删除终端节点 √ × 配置健康检查 √ × 查看健康检查 √ √ 修改健康检查 √ × 关闭健康检查 √ × 删除健康检查 √ × 创建IP地址组 √ × 查询IP地址组列表 √ √ 查询IP地址组详情 √ √ 修改IP地址组 √ × 删除IP地址组 √ × 添加IP地址组中的IP条目 √ × 删除IP地址组中的IP条目 √ × 绑定IP地址组与监听器 √ × 解绑IP地址组与监听器 √ × 创建资源标签 √ × 查询特定资源标签 √ √ 删除资源标签 √ ×

什么是区域、可用区？ 区域和可用区用来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）：从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region，通用Region指面向公共租户提供通用云服务的Region；专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 可用区（AZ，Availability Zone）：一个AZ是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 图1阐明了区域和可用区之间的关系。 图1 区域和可用区 目前，华为云已在全球多个地域开放云服务，您可以根据需求选择适合自己的区域和可用区。更多信息请参见华为云全球站点。

如何选择区域？ 选择区域时，您需要考虑以下几个因素： 地理位置 一般情况下，建议就近选择靠近您或者您的目标用户的区域，这样可以减少网络时延，提高访问速度。 在除中国大陆以外的亚太地区有业务的用户，可以选择“中国-香港”、“亚太-曼谷”或“亚太-新加坡”区域。 在非洲地区有业务的用户，可以选择“非洲-约翰内斯堡”区域。 在拉丁美洲地区有业务的用户，可以选择“拉美-圣地亚哥”区域。 “拉美-圣地亚哥”区域位于智利。 资源的价格 不同区域的资源价格可能有差异，请参见华为云服务价格详情。

计费项 表1 全球加速计费项 计费项 基础计费 价格 加速实例费 按照每个全球加速实例的创建时长收费。 按小时计费，创建时长不满1小时按1小时收费。 实例费=实例单价*创建时长 2.26 元/小时 数据传输费 通过全球加速服务转发的流量费用，按GB收费。 从一个全球加速接入点到一个应用部署区域之间的流量，定义流量大的方向为主方向，按照每条流量的主方向收费。 数据传输费=流量单价*使用量 请参见全球加速价格详情。 说明： 全球加速实例的终端节点为EIP类型时，EIP不会重复收取流经GA的流量费用。 接入点和Region部分正在部署中，实际支持的加速区域请参见支持的加速区域。 实际支持的终端节点组所在区域以管理控制台可选配置为准。

计费样例 客户的1个应用部署在广州区域，终端用户从香港和菲律宾接入，客户需要配置1个加速实例。1小时内，客户实际产生的流量： 香港-广州 ，从用户到应用方向流量1G，从应用到用户方向流量20G，则主方向为应用到用户方向，流量为20G； 菲律宾-广州，同理算出主方向流量为5G。 则1小时内产生的总费用：加速实例费+数据传输费 = 2.26元/小时*1小时+6.98元/GB*20GB+6.98元/GB*5GB = 176.76元