华为云用户手册

前提条件 已安装Java JDK开发环境。JDK需要安装1.8版本64位，如果本地已安装JDK，可以通过命令java -version来查看JDK版本。 登录 区块链 服务管理控制台，进入“应用案例”，下载“快速入门”中的Java应用示例。Windows操作系统下载并解压到C盘根目录下（文件夹路径为C:/javasdkdemo），Linux操作系统下载并解压到root路径下（文件夹路径为/root/javasdkdemo）。

配置应用 在“实例管理”界面，在Hyperledger Fabric增强版实例卡片中，单击“获取客户端配置”。 在“请选择要下载的配置文件”页面，勾选“SDK文件”，输入链代码名称和证书存放路径，其余参数采用默认值。 链代码名称：需要与安装和实例化链代码时使用的链代码名称保持一致。例如：chaincodedemo。 证书存放路径：区块链应用证书下载后存放的目录，即下载证书后的存放路径。由于下载SDK文件后，SDK文件中会有拼接的证书地址，设置证书存放路径可以避免您手动修改该地址。 Windows操作系统：C:/javasdkdemo/config Linux操作系统：/root/javasdkdemo/config 勾选“共识节点证书”。 勾选“Peer节点证书”，指定节点组织选择organization，勾选“管理员证书”。 单击“下载”，下载SDK配置文件、demo-orderer组织的管理员证书和organization组织的管理员证书。 若购买区块链时区块链实例名称设置为demo，下载的SDK配置文件中对应的yaml文件名称为“demo-channel-sdk-config.yaml”。 若购买区块链时自定义区块链实例名称，例如设置为bcs123，则下载的SDK配置文件中对应的yaml文件名称为“bcs123-channel-sdk-config.yaml”，需要手动修改yaml文件名称为“demo-channel-sdk-config.yaml”。 将下载的demo-config.zip文件解压，将orderer文件夹、peer文件夹、sdk-config.json、sdk-config.yaml文件全部复制至存放demo的config路径下（Windows操作系统：C:/javasdkdemo/config，Linux操作系统：/root/javasdkdemo/config）。 javasdkdemo工程中config目录下必须有demo-channel-sdk-config.yaml文件。

入门指引 区块链服务（Blockchain Service，简称 BCS ）是华为云面向企业及开发者提供的区块链技术服务平台，它可以帮助您在华为云上快速部署、管理、维护区块链网络，降低您使用区块链的门槛，让您专注于自身业务的开发与创新，实现业务快速上链。 本文旨在帮助您了解区块链服务的基本使用流程，帮助您快速上手区块链服务。 区块链服务BCS 支持Hyperledger Fabric增强版和华为云区块链引擎实例： Hyperledger Fabric增强版：以Hyperledger Fabric 为内核，基于华为云全栈可信能力，包括弹性服务器，企业级容器、安全和人工智能等服务，在保持无缝社区对接方式前提下，在可靠性、性能、隐私保护方面做了增强和提升，满足企业级和金融级业务要求。支持包周期和按需，版本规格多样化，支持商用。详细请参见版本规格说明。 华为云区块链引擎：以B CS 自主研发区块链内核为底座，结合可信硬件，具有高安全、高性能、高可扩展、强隐私保护等特点，满足企业级和金融级的可信和协同要求。支持专业版、企业版和铂金版，详细请参见版本规格说明。 当前仅“华北-北京四”区域支持华为云区块链引擎实例。 BCS使用流程如图1所示。 图1 BCS使用流程 说明如下： 购买区块链 请先注册华为帐号并开通华为云，然后完成实名认证后，购买区块链服务。 安装和实例化链代码 区块链购买后，需要安装和实例化链代码。 调用链代码 下载SDK到业务应用，通过SDK调用链代码。

操作步骤 登录华为云区块链平台。 进入“实例管理”，单击华为云区块链引擎的“购买”按钮。 在订购页面填写区域、区块链实例名称和版本类型，其余采用默认参数。 以下截图示例仅供参考，用户可按照实际情况设置。 设置区域：华为-北京四，区块链实例名称：bcs-test，版本类型：专业版，其余采用默认参数。 单击“立即创建”进入配置确认页面，确认信息无误后，勾选协议和免责声明，单击“提交”。 进入支付页面，确认订单费用无误后，单击“确认付款”，订单支付成功后，即可返回区块链服务控制台查看正在创建的实例。 实例创建大概需要18-25分钟，请耐心等待。实例创建成功后，查看实例状态变为“正常”后，表示实例部署完成。

操作场景 公网解析功能为您提供多达300+的运营商解析线路和地域线路，还支持您根据特定的IP网段自定义解析线路。自定义线路解析，支持DNS根据访问者的IP地址返回特定的IP地址。 如果访问者所用宽带服务商的Local DNS不支持扩展DNS机制（Extension Mechanisms for DNS，EDNS），则权威DNS根据宽带服务商Local DNS的公网IP地址进行自定义线路网段匹配解析。 如果访问者所用宽带服务商的Local DNS支持EDNS机制，则权威DNS根据EDNS里封装的访问者的公网IP地址进行自定义线路网段匹配解析。 在普通的域名解析中，DNS根据访问请求中的域名直接返回对应的IP地址，不考虑访问者的网络、地域或者IP地址等来源信息，所有的访问请求都被路由到同样的IP地址。 如果有一个网站，对外的域名为example.com，想要实现外部用户访问网站服务器A（对应IP地址为1.1.1.1），内部用户访问网站服务器B（2.2.2.2），可以通过自定义线路功能实现。

示例4：按标签搜索 按标签过滤时可选择键或键值对搜索。 支持设置多个标签，如果键不同，则标签按“与”的关系搜索。 如果键相同，值不同，则标签按“与”的关系搜索。 单个标签搜索 在公网域名列表页搜索的输入框中选择“标签”，选择标签键值对，单击“确认”进行搜索。 图6 按标签搜索公网域名 多个标签搜索 在公网域名列表页搜索的输入框中选择“标签”，选择多个标签键值对，单击“确认”进行搜索。 按“与”的关系搜索，搜索同时具备这两个标签的域名。 图7 多个标签搜索公网域名

搜索语法 公网域名支持多种类型的搜索，首先了解搜索类型、搜索属性、搜索语法。详细的搜索语法和示例请参考表1。 搜索类型：精确搜索、模糊搜索。 搜索属性：域名、ID、状态、标签、企业项目。 支持精确搜索的属性：域名、ID、状态、标签、企业项目。精确搜索时必须输入完整的属性值。 支持模糊搜索的属性：域名。 按标签过滤时可选择键或键值对搜索，支持设置多个标签： 如果键不同，标签按“与”的关系搜索。 如果键相同，值不同，标签按“与”的关系搜索。 表1 公网域名搜索语法 搜索类型 支持的属性 输入格式 示例 说明 仅输入属性值，但不选择属性 默认按照域名模糊搜索。 属性值 example.com 未选择搜索属性，仅输入属性值时默认是按照域名模糊搜索。 单属性 控制台支持的所有属性 属性：属性值 状态：正常 选择属性后，输入对应的属性信息，系统进行精确搜索。 仅域名名称支持模糊搜索。 多属性 控制台支持的所有属性 属性：取值 &属性：取值 状态：正常 名称：example.com 支持选择多个不同的属性，搜索时多个属性为“与”的关系。 仅域名名称支持模糊搜索。

示例2：单属性搜索 选择属性后，输入对应的属性信息。 以下属性仅支持精确搜索，需输入完整的属性值：ID、状态、标签、企业项目。 模糊搜索：仅域名名称支持模糊搜索 在公网域名列表页搜索的输入框中选择“域名”。 根据提示，输入域名名称，单击进行搜索。域名支持模糊搜索，例如输入“example123”，可以搜索到所有使用example123的域名。 图3 模糊匹配域名名称进行搜索 精确搜索：ID 在公网域名列表页搜索的输入框中选择“ID”。 根据提示，输入完整公网域名ID，单击进行搜索。 图4 按ID搜索公网域名

示例4：按标签搜索 按标签过滤时可选择键或键值对搜索。 支持设置多个标签，如果键不同，则标签按“与”的关系搜索。 如果键相同，值不同，则标签按“与”的关系搜索。 单个标签搜索 在记录集列表页搜索的输入框中选择“标签”，选择标签键值对，单击“确认”进行搜索。 图6 按标签搜索记录集 多个标签搜索 在记录集列表页搜索的输入框中选择“标签”，选择多个标签键值对，单击“确认”进行搜索。 按“与”的关系搜索，搜索同时具备这两个标签的记录集。 图7 多个标签搜索记录集

示例2：单属性搜索 选择属性后，输入对应的属性信息。 以下属性仅支持精确搜索，需输入完整的属性值：ID（记录集ID）、健康检查ID（仅公网域名记录集支持）、状态、类型、标签。 模糊搜索：域名名称、值（记录集取值）支持模糊搜索 在记录集列表页搜索的输入框中选择“值”。 根据提示，输入记录集取值，单击进行搜索。记录集取值支持模糊搜索，例如输入“1.2.3”，可以搜索到所有使用1.2.3的记录集。 图3 模糊匹配记录集取值进行搜索 精确搜索：状态 在记录集列表页搜索的输入框中选择“状态”。 根据提示，选择状态类型，单击进行搜索。 图4 按状态搜索记录集

搜索语法 记录集支持多种类型的搜索，首先了解搜索类型、搜索属性、搜索语法。详细的搜索语法和示例请参考表1。 搜索类型：精确搜索、模糊搜索。 搜索属性：域名、值（记录集取值）、ID（记录集ID）、健康检查ID、状态、类型、标签。 支持精确搜索的属性：域名、值（记录集取值）、ID（记录集ID）、健康检查ID（仅公网域名记录集支持）、状态、类型、标签。精确搜索时必须输入完整的属性值。 支持模糊搜索的属性：域名、值（记录集取值）。 按标签过滤时可选择键或键值对搜索，支持设置多个标签： 如果键不同，标签按“与”的关系搜索。 如果键相同，值不同，标签按“与”的关系搜索。 表1 解析记录集搜索语法 搜索类型 支持的属性 输入格式 示例 说明 仅输入属性值，但不选择属性 默认按照域名模糊搜索。 属性值 example.com 未选择搜索属性，仅输入属性值时默认是按照域名模糊搜索。 单属性 控制台支持的所有属性 属性：属性值 状态：正常 选择属性后，输入对应的属性信息，系统进行精确搜索。 域名名称、记录集取值支持模糊搜索。 多属性 控制台支持的所有属性 属性：取值 &属性：取值 状态：正常 名称：example.com 支持选择多个不同的属性，搜索时多个属性为“与”的关系。 域名名称、记录集取值支持模糊搜索。

示例3：多属性搜索 支持选择多个不同的属性，搜索时多个属性为“与”的关系。 以下属性仅支持精确搜索，需输入完整的属性值：ID（记录集ID）、健康检查ID（仅公网域名记录集支持）、状态、类型、标签。 本例同时使用“值”和“状态”进行搜索。 在记录集列表页搜索的输入框中选择“值”并输入取值。单击进行搜索。本例域名名称使用模糊搜索。 添加筛选条件，选择“状态”，根据提示选择筛选条件，单击进行搜索。 图5 多属性搜索记录集

权重解析规划 网站有3台服务器，配置了3条A类型解析记录，分别指向各服务器的IP地址。设置不同的“权重”参数，可以控制向用户返回不同IP地址的比例。 表1 数据规划 方案 域名 记录集类型 线路类型 值 权重 说明 方案一 example.com A 全网默认 192.168.1.1 1 用户的访问请求将按照“1:1:1”的比例，平均的分摊至3台服务器上。 192.168.1.2 1 192.168.1.3 1 方案二 example.com A 全网默认 192.168.1.1 2 用户的访问请求将按照“2:3:1”的比例进行分摊。 例如，DNS收到6条访问请求，则两次返回“192.168.1.1”、三次返回“192.168.1.2”，一次返回“192.168.1.3”，返回IP地址的顺序随机。 192.168.1.2 3 192.168.1.3 1

操作场景 在大型网络应用中，通常会使用多台服务器提供同一个服务。为了平衡每台服务器上的访问压力，通常会选择采用负载均衡来实现，提高服务器响应效率。 云解析服务支持解析的负载均衡，也叫做带权重的记录轮询，通过为不同解析记录配置“权重”参数来实现。 当您的网站拥有多台服务器，每台服务器具有独立的IP地址。通过解析的负载均衡可以实现将不同用户的访问请求按比例分配到各个服务器上。 例如，某网站的域名为“example.com”，部署了3台服务器，对应的IP地址分别为：192.168.1.1、192.168.1.2、192.168.1.3。 在不配置“权重”参数的情况下，可以配置1条A类型记录集，将记录集值设置为3个IP地址。 在这种配置中，不同的访问者会随机访问其中1个IP地址。详细信息，请参见当记录值有多个IP地址时，域名是如何解析的？。 在配置“权重”参数的情况下，可以配置3条A类型记录集，记录集值分别设置为3个IP地址。 在这种配置中，通过“权重”参数，可以设置这3条解析记录在解析响应消息中所占比重，实现将用户的访问按比例路由到各个服务器上。 权重解析对解析请求的负载均衡更为精确，本章节将介绍如何配置权重解析。

示例3：多属性搜索 支持选择多个不同的属性，搜索时多个属性为“与”的关系。 以下属性仅支持精确搜索，需输入完整的属性值：ID（记录集ID）、健康检查ID（仅公网域名记录集支持）、状态、类型、标签。 本例同时使用“值”和“状态”进行搜索。 在记录集列表页搜索的输入框中选择“值”并输入取值。单击进行搜索。本例域名名称使用模糊搜索。 添加筛选条件，选择“状态”，根据提示选择筛选条件，单击进行搜索。 图5 多属性搜索记录集

示例2：单属性搜索 选择属性后，输入对应的属性信息。 以下属性仅支持精确搜索，需输入完整的属性值：ID（记录集ID）、健康检查ID（仅公网域名记录集支持）、状态、类型、标签。 模糊搜索：域名名称、值（记录集取值）支持模糊搜索 在记录集列表页搜索的输入框中选择“值”。 根据提示，输入记录集取值，单击进行搜索。记录集取值支持模糊搜索，例如输入“1.2.3”，可以搜索到所有使用1.2.3的记录集。 图3 模糊匹配记录集取值进行搜索 精确搜索：状态 在记录集列表页搜索的输入框中选择“状态”。 根据提示，选择状态类型，单击进行搜索。 图4 按状态搜索记录集

搜索语法 记录集支持多种类型的搜索，首先了解搜索类型、搜索属性、搜索语法。详细的搜索语法和示例请参考表1。 搜索类型：精确搜索、模糊搜索。 搜索属性：域名、值（记录集取值）、ID（记录集ID）、健康检查ID、状态、类型、标签。 支持精确搜索的属性：域名、值（记录集取值）、ID（记录集ID）、健康检查ID（仅公网域名记录集支持）、状态、类型、标签。精确搜索时必须输入完整的属性值。 支持模糊搜索的属性：域名、值（记录集取值）。 按标签过滤时可选择键或键值对搜索，支持设置多个标签： 如果键不同，标签按“与”的关系搜索。 如果键相同，值不同，标签按“与”的关系搜索。 表1 解析记录集搜索语法 搜索类型 支持的属性 输入格式 示例 说明 仅输入属性值，但不选择属性 默认按照域名模糊搜索。 属性值 example.com 未选择搜索属性，仅输入属性值时默认是按照域名模糊搜索。 单属性 控制台支持的所有属性 属性：属性值 状态：正常 选择属性后，输入对应的属性信息，系统进行精确搜索。 域名名称、记录集取值支持模糊搜索。 多属性 控制台支持的所有属性 属性：取值 &属性：取值 状态：正常 名称：example.com 支持选择多个不同的属性，搜索时多个属性为“与”的关系。 域名名称、记录集取值支持模糊搜索。

示例4：按标签搜索 按标签过滤时可选择键或键值对搜索。 支持设置多个标签，如果键不同，则标签按“与”的关系搜索。 如果键相同，值不同，则标签按“与”的关系搜索。 单个标签搜索 在记录集列表页搜索的输入框中选择“标签”，选择标签键值对，单击“确认”进行搜索。 图6 按标签搜索记录集 多个标签搜索 在记录集列表页搜索的输入框中选择“标签”，选择多个标签键值对，单击“确认”进行搜索。 按“与”的关系搜索，搜索同时具备这两个标签的记录集。 图7 多个标签搜索记录集

支持审计的关键操作列表 云审计 服务直接对接公有云上的其他服务，记录租户的云服务资源的操作信息，实现云帐户操作各个云服务资源动作和结果的实时记录功能，并将记录内容以事件形式实时保存至OBS桶中。 在您的帐户启用云审计服务后，当云解析服务的API被调用时，日志文件将跟踪记录该操作，并依据时间和数据的变化将日志文件转储到对象存储桶。 云审计服务支持的云解析服务操作列表如表1和表2所示。 DNS同时存在Global级和Region级的资源。表1中的操作为Global级操作，将只在当前局点的中心Region呈现。 表2中的操作为Region级操作，将在操作发生的局点中呈现。 表1 云审计服务支持的DNS操作列表（Global级操作产生） 操作名称 资源类型 事件名称 创建Public RecordSet publicRecordSet createPublicRecordSet 删除Public RecordSet publicRecordSet deletePublicRecordSet 修改Public RecordSet publicRecordSet updatePublicRecordSet 创建Public RecordSet Import publicRecordSet createPublicRecordSetImport 删除Public RecordSet Import Task publicRecordSet deletePublicRecordSetImportTask 创建Public Zone publicZone createPublicZone 修改Public Zone publicZone updatePublicZone 删除Public Zone publicZone deletePublicZone 创建public zone TAG publicZoneTag createPublicZoneTag 删除public zone TAG publicZoneTag deletePublicZoneTag 创建public RecordSet TAG publicRecordSetTag createPublicRecordSetTag 删除public RecordSet TAG publicRecordSetTag deletePublicRecordSetTag 创建private zone TAG privateZoneTag createPrivateZoneTag 删除private zone TAG privateZoneTag deletePrivateZoneTag 创建private RecordSet TAG privateRecordSetTag createPrivateRecordSetTag 删除private RecordSet TAG privateRecordSetTag deletePrivateRecordSetTag 创建ptr RecordSet TAG ptrRecordTag createPTRRecordSetTag 删除ptr RecordSet TAG ptrRecordTag deletePTRRecordTag 表2 云审计服务支持的DNS操作列表（Region级操作产生） 操作名称 资源类型 事件名称 创建Private RecordSet privateRecordSet createPrivateRecordSet 删除Private RecordSet privateRecordSet deletePrivateRecordSet 修改Private RecordSet privateRecordSet updatePrivateRecordSet 创建Private Zone privateZone createPrivateZone 修改Private Zone privateZone updatePrivateZone 删除Private Zone privateZone deletePrivateZone 关联VPC privateZone associateRouter 解关联VPC privateZone disassociateRouter 设置PTR Record ptrRecord setPTRRecord 恢复PTR Record ptrRecord resetPTRRecord 父主题： 关键操作审计

示例2：单属性搜索 选择属性后，输入对应的属性信息。 以下属性仅支持精确搜索，需输入完整的属性值：ID、状态、标签、企业项目。 模糊搜索：仅域名名称支持模糊搜索 在反向解析列表页搜索的输入框中选择“域名”。 根据提示，输入域名名称，单击进行搜索。域名支持模糊搜索，例如输入“example”，可以搜索到所有使用example的反向解析。 图3 模糊匹配域名名称进行搜索 精确搜索：ID 在反向解析列表页搜索的输入框中选择“ID”。 根据提示，输入完整域名ID，单击进行搜索。 图4 使用域名ID搜索反向解析

示例4：按标签搜索 按标签过滤时可选择键或键值对搜索。 支持设置多个标签，如果键不同，则标签按“与”的关系搜索。 如果键相同，值不同，则标签按“与”的关系搜索。 单个标签搜索 在反向解析列表页搜索的输入框中选择“标签”，选择标签键值对，单击“确认”进行搜索。 图6 按标签搜索反向解析 多个标签搜索 在反向解析列表页搜索的输入框中选择“标签”，选择多个标签键值对，单击“确认”进行搜索。 按“与”的关系搜索，搜索同时具备这两个标签的域名。 图7 多个标签搜索反向解析

搜索语法 反向解析支持多种类型的搜索，首先了解搜索类型、搜索属性、搜索语法。详细的搜索语法和示例请参考表1。 搜索类型：精确搜索、模糊搜索。 搜索属性：弹性公网IP、域名、ID、状态、标签、企业项目。 支持精确搜索的属性：弹性公网IP、域名、ID、状态、标签、企业项目。精确搜索时必须输入完整的属性值。 支持模糊搜索的属性：弹性公网IP、域名。 按标签过滤时可选择键或键值对搜索，支持设置多个标签： 如果键不同，标签按“与”的关系搜索。 如果键相同，值不同，标签按“与”的关系搜索。 表1 反向解析搜索语法 搜索类型 支持的属性 输入格式 示例 说明 仅输入属性值，但不选择属性 默认按照域名模糊搜索。 属性值 example.com 未选择搜索属性，仅输入属性值时默认是按照域名模糊搜索。 单属性 控制台支持的所有属性 属性：属性值 状态：正常 选择属性后，输入对应的属性信息，系统进行精确搜索。 弹性公网IP、域名支持模糊搜索。 多属性 控制台支持的所有属性 属性：取值 &属性：取值 状态：正常 名称：example.com 支持选择多个不同的属性，搜索时多个属性为“与”的关系。 弹性公网IP、域名支持模糊搜索。

操作场景 云解析服务支持对记录集的批量操作。在相同解析线路中，支持批量为 多个域名 及其子域名添加相同类型的记录集。 本节以表1所示内容为例，介绍批量添加记录集的操作。 表1 批量添加记录集示例 域名 主机记录 记录集类型 记录集值 说明 example12.com - A 192.168.1.1 为主域名example12.com添加A记录集，其解析值为192.168.1.1。 123 为子域名123.example12.com添加A记录集，其解析值为192.168.1.1。 www 为子域名www.example12.com添加A记录集，其解析值为192.168.1.1。 example13.com - A 为主域名example13.com添加A记录集，其解析值为192.168.1.1。 123 为子域名123.example13.com添加A记录集，其解析值为192.168.1.1。 www 为子域名www.example13.com添加A记录集，其解析值为192.168.1.1。 example14.com - A 为主域名example14.com添加A记录集，其解析值为192.168.1.1。 123 为子域名123.example14.com添加A记录集，其解析值为192.168.1.1。 www 为子域名www.example14.com添加A记录集，其解析值为192.168.1.1。

JSON视图配置自定义策略 登录管理控制台。 在控制台页面，将鼠标移动至右上方的帐号名，在下拉列表中选择“ 统一身份认证 ”。 在“统一身认证服务”页面左侧导航栏中，选择“权限”。 在“权限”页面，单击右上方的“创建自定义策略”。 进入“创建自定义策略”页面。 输入“策略名称”。 选择“作用范围”，即自定义策略的生效范围，根据服务的部署区域选择。服务部署区域，请参考系统权限。 全局级服务：系统权限中该服务的“所属区域”为“全局区域”，表示该服务为全局级服务。创建全局级服务的自定义策略时，作用范围选择“全局级服务”。给用户组授予该自定义策略时，需要在全局区域中进行。 项目级服务：系统权限中该服务的“所属区域”为“除全局区域外其他区域”，表示该服务为项目级服务。创建项目级服务的自定义策略时，作用范围选择“项目级服务”。给用户组授予该自定义策略时，需要在除全局区域外其他区域中进行。 因DNS是区域级项目，此处选择“项目级服务”。 如果一个自定义策略中包含多个服务的授权语句，这些服务必须是同一属性，即都是全局级服务或者项目级服务。如果需要同时设置全局服务和项目级服务的自定义策略，请创建两条自定义策略，“作用范围”分别为“全局级服务”以及“项目级服务”。 “策略配置方式”选择“JSON视图”。 （可选）在“策略内容”区域，单击“从已有策略复制”，例如选择“DNS FullAccess”作为模板。 单击“确定”。 修改模板中策略授权语句。 作用（Effect）：允许（Allow）和拒绝（Deny）。 权限集（Action）：写入各服务API授权项列表中“授权项”中的内容，例如："dns:zone:create"，来实现细粒度授权。 自定义策略版本号（Version）固定为1.1，不可修改。 （可选）输入“策略描述”。 单击“确定”后，系统会自动校验语法，如跳转到策略列表，则自定义策略创建成功；如提示“策略内容错误”，请按照语法规范进行修改。 参考创建用户并授权使用DNS将新创建的自定义策略授予用户组，使得用户组中的用户具备自定义策略中的权限。

JSON视图自定义策略示例 示例1：授权用户创建域名，为域名添加记录集，并支持查看域名以及对应的记录集。 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "dns:zone:create", "dns:recordset:create", "dns:zone:list""dns:recordset:list" ] }, { "Effect": "Allow", "Action": [ "vpc:*:get*, "vpc:*:list*" ] } ]} 示例2：拒绝用户删除DNS资源 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先原则。 如果您给用户授予DNS FullAccess的系统策略，但不希望用户拥有DNS FullAccess中定义的删除DNS资源的权限，您可以创建一条拒绝删除DNS资源的自定义策略，然后同时将DNS FullAccess和拒绝策略授予用户，根据Deny优先原则，则用户可以对DNS执行除了删除外的所有操作。拒绝策略示例如下： { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "dns:*:delete*" ] } ] } 示例3：多个授权项策略 一个自定义策略中可以包含多个授权项，且除了可以包含本服务的授权项外，还可以包含其他服务的授权项，可以包含的其他服务必须跟本服务同属性，即都是项目级服务或都是全局级服务。多个授权语句策略描述如下： { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "dns:zone:update", "dns:zone:list" ] }, { "Effect": "Allow", "Action": [ "vpc:subnets:create", "vpc:vips:update" ] } ]}

可视化视图配置自定义策略 登录管理控制台。 在控制台页面，将鼠标移动至右上方的帐号名，在下拉列表中选择“统一身份认证”。 在“统一身认证服务”页面左侧导航栏中，选择“权限”。 在“权限”页面，单击右上方的“创建自定义策略”。 进入“创建自定义策略”页面。 输入“策略名称”。 选择“作用范围”，即自定义策略的生效范围，根据服务的部署区域选择。服务部署区域，请参考系统权限。 全局级服务：系统权限中该服务的“所属区域”为“全局区域”，表示该服务为全局级服务。创建全局级服务的自定义策略时，作用范围选择“全局级服务”。给用户组授予该自定义策略时，需要在全局区域中进行。 项目级服务：系统权限中该服务的“所属区域”为“除全局区域外其他区域”，表示该服务为项目级服务。创建项目级服务的自定义策略时，作用范围选择“项目级服务”。给用户组授予该自定义策略时，需要在除全局区域外其他区域中进行。 因DNS是区域级项目，此处选择“项目级服务”。 如果一个自定义策略中包含多个服务的授权语句，这些服务必须是同一属性，即都是全局级服务或者项目级服务。如果需要同时设置全局服务和项目级服务的自定义策略，请创建两条自定义策略，“作用范围”分别为“全局级服务”以及“项目级服务”。 “策略配置方式”选择“可视化视图”。 在“策略内容”下配置自定义策略。 选择“允许”或“拒绝”。 选择“云服务”。 此处只能选择一个云服务，如需配置多个云服务的自定义策略，请在完成此条配置后，单击“添加权限”，创建多个服务的授权语句；或使用JSON视图配置自定义策略。 选择“操作”，根据需求勾选产品权限。 （可选）选择资源类型，如选择“特定类型”可以点击“通过资源路径指定”来指定需要授权的资源。 （可选）添加条件，单击“添加条件”，选择“条件键”，选择“运算符”，根据运算符类型填写相应的值。 表1 条件参数 名称 说明 条件值 条件键表示策略语句的Condition元素中的键值。分为全局条件键和服务级条件键。 全局级条件键：前缀为“g:”，适用于所有操作，如表2所示。 服务级条件键：前缀为服务缩写，如“dns:”，仅适用于对应服务的操作。 运算符 与条件键一起使用，构成完整的条件判断语句。 值 与条件键和运算符一起使用，当运算符需要某个关键字时，需要输入关键字的值，构成完整的条件判断语句。 表2 全局级请求条件 全局条件键 条件类型 说明 g:CurrentTime 时间 接收到鉴权请求的时间。以ISO 8601格式表示，例如：2012-11-11T23:59:59Z。 g:DomainName 字符串 帐号名称。 g:MFAPresent 布尔值 是否使用MFA多因素认证方式 获取Token 。 g:MFAAge 数值 通过MFA多因素认证方式获取的Token的生效时间。该条件需要和g:MFAPresent一起使用。 g:ProjectName 字符串 项目名称。 g:ServiceName 字符串 服务名称。 g:UserId 字符串 IAM 用户ID。 g:UserName 字符串 IAM用户名。 （可选）在“策略配置方式”选择JSON视图，将可视化视图配置的策略内容转换为JSON语句，您可以在JSON视图中对策略内容进行修改。 如果您修改后的JSON语句有语法错误，将无法创建策略，可以自行检查修改内容或单击界面弹窗中的“重置”，将JSON文件恢复到未修改状态。 （可选）如需创建多条自定义策略，请单击“添加权限”；也可在已创建的策略最右端单击“+”，复制此权限。 （可选）输入“策略描述”。 单击“确定”，完成自定义策略的创建。 参考创建用户并授权使用DNS将新创建的自定义策略授予用户组，使得用户组中的用户具备自定义策略中的权限。

搜索语法 内网域名支持多种类型的搜索，首先了解搜索类型、搜索属性、搜索语法。详细的搜索语法和示例请参考表1。 搜索类型：精确搜索、模糊搜索。 搜索属性：域名、ID、状态、标签、企业项目。 支持精确搜索的属性：域名、ID、状态、标签、企业项目。精确搜索时必须输入完整的属性值。 支持模糊搜索的属性：域名。 按标签过滤时可选择键或键值对搜索，支持设置多个标签： 如果键不同，标签按“与”的关系搜索。 如果键相同，值不同，标签按“与”的关系搜索。 表1 内网域名搜索语法 搜索类型 支持的属性 输入格式 示例 说明 仅输入属性值，但不选择属性 默认按照域名模糊搜索。 属性值 example.com 未选择搜索属性，仅输入属性值时默认是按照域名模糊搜索。 单属性 控制台支持的所有属性 属性：属性值 状态：正常 选择属性后，输入对应的属性信息，系统进行精确搜索。 仅域名名称支持模糊搜索。 多属性 控制台支持的所有属性 属性：取值 &属性：取值 状态：正常 名称：example.com 支持选择多个不同的属性，搜索时多个属性为“与”的关系。 仅域名名称支持模糊搜索。

示例2：单属性搜索 选择属性后，输入对应的属性信息。 以下属性仅支持精确搜索，需输入完整的属性值：ID、状态、标签、企业项目。 模糊搜索：仅域名名称支持模糊搜索 在内网域名列表页搜索的输入框中选择“域名”。 根据提示，输入域名名称，单击进行搜索。域名支持模糊搜索，例如输入“example123”，可以搜索到所有使用example123的域名。 图3 模糊匹配域名名称进行搜索 精确搜索：ID 在内网域名列表页搜索的输入框中选择“ID”。 根据提示，输入完整内网域名ID，单击进行搜索。 图4 按ID搜索内网域名

示例4：按标签搜索 按标签过滤时可选择键或键值对搜索。 支持设置多个标签，如果键不同，则标签按“与”的关系搜索。 如果键相同，值不同，则标签按“与”的关系搜索。 单个标签搜索 在内网域名列表页搜索的输入框中选择“标签”，选择标签键值对，单击“确认”进行搜索。 图6 按标签搜索内网域名 多个标签搜索 在内网域名列表页搜索的输入框中选择“标签”，选择多个标签键值对，单击“确认”进行搜索。 按“与”的关系搜索，搜索同时具备这两个标签的域名。 图7 多个标签搜索内网域名

记录集类型 云解析服务支持的记录集类型如表1所示。 适用于公网域名场景的记录集类型：A、CNAME、MX、AAAA、TXT、SRV、NS、SOA、CAA、PTR 适用于内网域名场景的记录集类型：A、CNAME、MX、AAAA、TXT、SRV、SOA、PTR 表1 记录集类型 记录集类型 说明 值 样例 A 指定域名对应的IPv4地址，用于将域名解析到IPv4地址。 填写域名对应的IPv4地址。 最多可以输入50个不重复地址，多个地址之间以换行符分隔。 192.168.12.2 192.168.12.3 CNAME 指定域名的别名，用于将域名解析到另一域名，或者多个域名映射到同一域名上。 填写您要指向的别名，只能填写一个域名。 www.example.com MX 指定域名对应的邮件服务器，用于为邮件域名设置邮箱服务器。 填写邮箱服务器地址。 最多可以输入50个不重复地址，多个地址之间以换行符分隔。 填写格式：[优先级] [邮箱服务器域名地址] 配置规则： 优先级：用来指定邮箱服务器接收邮件优先顺序，数值越小优先级越高。 邮箱服务器域名地址：邮箱服务商提供的域名地址。 10 mailserver.example.com. 20 mailserver2.example.com. AAAA 指定域名对应的IPv6地址，用于将域名解析到IPv6地址。 填写域名对应的IPv6地址。 最多可以输入50个不重复地址，多个地址之间以换行符分隔。 ff03:0db8:85a3:0:0:8a2e:0370:7334 TXT 用于对域名进行标识和说明，可填写任意的信息。主要用于以下场景： 记录DKIM的公钥，用于反电子邮件欺诈。 用于记录域名所有者身份信息，用于域名找回。 填写用户所需的任意文本记录。 配置规则： 文本记录需要由半角双引号包裹。 支持单个或多个文本记录，多个文本记录之间以换行符分隔。 最多可以输入50个不重复的文本记录。 单个文本记录可以包含多个文本字符串，每个文本字符串以半角双引号包裹，不同的文本字符串之间以单个空格隔开。 每个文本字符串长度不超过255个字符。 单个文本记录长度不超过4096个字符。 不可为空。 不支持反斜杠字符“\”。 单个文本记录 "aaa" 多个文本记录 "bbb" "ccc" 包含多个文本字符串的文本记录 "ddd" "eee" "fff" 用于SPF反垃圾邮件 "v=spf1 a mx -all" 表示只有当前域名的A记录和MX记录中的IP地址有权限使用这个域名发送邮件。 SRV 记录了具体某台计算机对外提供哪些服务，供用户查询使用。 填写指定服务的服务器地址。 最多可以输入50个不重复地址，多个地址之间以换行符分隔。 填写格式：[优先级] [权重] [端口号] [目标地址] 配置规则： 优先级、权重、端口号均为数字，取值范围0～65535。 优先级：值越小，优先级越高。 权重：值越大，权重越大。 目标地址：目的主机的域名。 请确保该主机可以解析。 说明： 系统优先比较优先级，优先级相同时，再比较权重。 2 1 2355 example_server.test.com NS 指定该域名的权威DNS服务器，用于指定域名由哪个DNS服务器进行解析。 对于公网域名，系统默认创建，支持为域名的子域名手工创建NS记录。 对于内网域名，系统默认创建，不支持手工创建。 填写您要授权的域名服务器地址。 最多可以输入50个不重复地址，多个地址之间以换行符分隔。 ns1.example.net ns2.example.net SOA 指定该域名的主权威DNS服务器，系统默认创建，不支持手工创建。 系统默认创建，不支持手工创建。 系统默认创建，不支持手工创建。 CAA 指定为域名颁发HTTPS证书的授权CA机构，用于防止HTTPS证书错误签发。 指定要授权的证书颁发机构，使其可以给域名或者子域名颁发证书。 最多可以输入50个不重复记录，多个记录之间以换行符分隔。 填写格式：[flag] [tag] [value] 配置规则： flag：认证机构限制标志，定义为0~255无符号整型。常用取值为0。 tag：仅支持大小写字母和数字0~9，长度1~15，常用取值： issue：授权任何类型的域名证书 issuewild：授权通配符域名证书 iodef：指定违规申请证书通知策略 value：域名或用于违规通知的电子邮箱或Web地址。其值取决于[tag]的值，必须加双引号。取值范围：字符串（仅包含字母、数字、空格、-#*?&_~=:;.@+^/!%），最长255字符。 0 issue "ca.abc.com" 0 issuewild "ca.def.com" 0 iodef "mailto:admin@domain.com" 0 iodef "http:// domain.com/log/" PTR 指定IP地址反向解析记录，用于通过私网IP地址反向查询对应的云服务器。 填写私网IP地址对应的内网域名，只能填写一个域名。 www.example.com