华为云用户手册

前提条件 已 注册华为账号 并开通华为云，完成实名认证。 已获取源端和目的端账号的AK/SK并授予相关权限。 源端桶对应账户需要的权限：亚马逊云S3读取数据的权限（AmazonS3ReadOnlyAccess） 。 目的端桶需要的权限包括：列举桶，获取桶位置，列举对象，获取对象元数据，获取对象内容，上传对象，列举已上传段，取回归档存储对象。获取方式参见目的端桶权限获取。 已在OBS服务中创建桶。 您过去24小时内已创建的迁移任务未满1000000个。 您名下处于“等待中”状态的迁移任务未满1000000个。

解决方法 如果是网络故障的原因导致主机不能访问，请在网络恢复后重新进行主机扫描。 如果是因为开启了主机安全防护软件导致主机不能访问，则区分如下两种情况： 如果未使用主机安全防护软件的“SSH登录IP白名单”功能，则请参考如何手动解除误拦截IP？，先检查IP是否被拦截，若已被拦截需要解除误拦截IP再重新进行主机扫描。若没有被拦截则请联系华为云技术支持工程师处理。 该操作仅指导购买并开启了华为云 企业主机安全 （HSS）的客户。 如果使用了主机安全防护软件的“SSH登录IP白名单”功能，则请参考开启了主机安全（HSS）如何配置SSH登录IP白名单将如下这些漏洞管理服务的扫描IP添加至主机访问的白名单中，再重新进行主机扫描。

开启了主机安全（HSS）如何配置SSH登录IP白名单 该示例仅指导购买并开启了华为云企业主机安全（HSS）且未配置过白名单的客户，如何将漏洞管理服务扫描IP添加至白名单。 如果您使用的是其他主机安全防护产品，请自行添加。 使用鲲鹏计算EulerOS（EulerOS with ARM）和Centos 8.0及以上版本的主机，SSH登录IP白名单功能对其不生效。 配置了SSH登录IP白名单的服务器，只允许白名单内的IP通过SSH登录，启用该功能时请确保将所有需要发起SSH登录的IP地址都加入白名单中。 登录企业主机安全控制台，参考图1，单击“添加白名单IP”。 图1 添加白名单IP 在配置框中输入白名单IP，在“可选云服务器”列表中选择云服务器，如图2所示： 图2 添加SSH登录IP白名单

影响因素 结合漏洞管理服务工作机制，我们可以得出影响扫描结果的以下几个关键因素，这些因素在多次扫描中的差异，会最终导致多次扫描结果的不一致。 会话维持 如果登录信息存在问题，漏洞管理服务将无法登录进目标系统，只能进行测试目标外围的信息探测，从而影响扫描结果。常见的可能原因有： 用户名密码被更改 Cookie/Token 等信息失效，结合业务本身的Cookie/Token等会话机制判断 业务自身的会话机制 多因子认证：验证码、短信等等。 异地登录限制。 登录频率限制。 异常请求等强制中断会话。 单用户登录（不允许多个客户端同时登录）。 登录失败次数限制。 扫描范围 漏洞管理服务主动爬虫会通过自动填充form表单等策略来尝试发现更多页面。 业务对随机值响应不一致导致了扫描范围不一致。 响应信息 响应信息是漏洞管理服务判断漏洞是否存在的决定性因素。网络状况、动态内容、WAF机制、测试目标本身稳定性都会影响漏洞的判定，常见的可能原因有： 网络状况 网络链接本身：网络延迟、网络波动。 业务策略：访问过快、攻击报文、异常报文等直接将客户端加入黑名单。 业务稳定性：在大量请求下的稳定性（响应时间）。 业务逻辑 响应内容不一致 攻击报文中存在大量异常、随机值，业务对不同内容响应不同。 对不同客户端（ip/user-agent/...）响应不同。 响应时间不一致 攻击报文中存在大量异常、随机值，业务处理方式不一致，耗时不同。 WAF机制 限制访问频率 限制攻击来源访问

主机操作系统 漏洞管理服务支持扫描的主机操作系统版本如下： 支持的Linux操作系统版本，如表1所示。 支持的Windows操作系统版本，如表2所示。 表1 Linux操作系统版本 分类 支持的OS类型 EulerOS EulerOS 2.2，2.3，2.5，2.8 和2.9 64bit CentOS CentOS 6.10，7.1， 7.2，7.3，7.4，7.5，7.6，7.7，7.8， 7.9，8.0，8.1和8.2 64 bit 说明： CentOS 8基于RedHat 8公开的补丁信息做检查。 RedHat Red Hat Enterprise Linux 6.10，7.5和8 64bit Ubuntu Ubuntu 16.04，18.04，20.04和22.04 server 64bit SUSE SUSE Enterprise 11 SP4 64bit，SUSE Enterprise 12 SP1/SP2/SP3/SP4 64bit，SUSE Enterprise 15 SP1/SP2 64bit OpenSUSE OpenSUSE 13.2和42.2 64bit Debian Debian 8.2.0，8.8.0，9.0.0，10.0.0和11.1.0 64bit Kylin OS Kylin OS V10 SP1 64bit 统信UOS V20 Huawei Cloud EulerOS HCE 2.0 openEuler openEuler 20.03，22.03 AlmaLinux AlmaLinux 8/9 Rocky Linux Rocky Linux 8/9 表2 Windows操作系统版本 分类 支持的Windows系统版本 Windows Server Windows Server 2012 R2，Windows Server 2016，Windows Server 2019，Windows Server 2022，Windows10/11桌面系统

扫描IP加入网站访问白名单 如果您的网站设置了防火墙或其他安全策略，将导致漏洞管理服务的扫描IP被当成恶意攻击者而误拦截。因此，在使用漏洞管理服务前，请您将以下扫描IP添加至网站访问的白名单中： 119.3.232.114，119.3.237.223，124.70.102.147，121.36.13.144，124.70.109.117，139.9.114.20，119.3.176.1，121.37.207.185，116.205.135.49，110.41.36.44，139.9.57.171，139.9.1.44，121.27.200.40

操作步骤： 在专职人员激励“付款申请”页面选择状态为“付款申请审核通过”的激励，单击“查看开票清单”。 邮寄发票 在“发票清单”页面，核对信息后单击“打印”； 填写发票号码后将开票清单和发票邮寄到华为公司。 结算币种，根据伙伴商业信息认证时填写的币种来进行结算。 若华为云对您的发票审核未通过，请根据审核意见修改后重新提交。 查看付款进展 在“付款申请”页签中，选择状态为“待华为付款”的申请，单击付款申请编码可在详情页查看华为付款详情。

激励权益 区域 考试券激励 能力提升激励 培训激励 中国站 10*HCCDP认证考试券 10万（元） 10*开发者认证培训（人次） 说明： 已获得一级能力标签的伙伴需在获得能力标签当年12月31日前完成激励申请（包括培训激励、考试券激励和现金激励），未在当年申请的激励将自动失效，无法补申请。 服务伙伴能力提升专项计划激励按季度进行核算。 由于激励上限有限，服务伙伴能力提升专项计划激励采用优先申请优先发放的原则。

申请门槛 合作伙伴已加入服务伙伴发展路径且达到角色认证阶段。 本年度内至少获得1个激励范围内的一级能力标签。 表1 一级能力标签范围及申请区域 一级能力标签 区域范围 数据库服务能力 全球 大数据服务能力 全球 数据仓库 服务能力 仅限中国区 AI平台服务能力 仅限中国区 DevSecOps服务能力 仅限中国区 解决方案集成实施服务能力 仅限中国区 公有云云运维服务能力 仅限中国区 卓越运营服务能力 仅限中国区 应用现代化服务能力 仅限中国区 昇腾云服务能力 仅限中国区 盘古大模型服务能力 仅限中国区 安全托管服务能力 仅限中国区 iDME服务能力 仅限中国区 物联网服务能力 仅限中国区 Workspace服务能力 仅限中国区 上云实施规划服务能力 仅限海外 注：华为云可能对以上激励范围做不定期变更（包括新增或移除），范围变更以 华为云计算 全球生态部ST决策纪要为准，变更后的激励范围由伙伴PDM告知伙伴。

了解伙伴发展路径和伙伴计划，确认后选择 伙伴发展路径和伙伴计划是不同的合作方向；发展路径主要用于构建您的方案和能力，伙伴计划用于营销推广您的产品和服务。 了解伙伴发展路径： 软件伙伴发展路径 服务伙伴发展路径 数字化转型咨询与系统集成伙伴发展路径 学习与赋能伙伴发展路径 总经销商合作伙伴发展路径 了解伙伴计划： 解决方案提供商计划 分销计划（总经销商） 分销计划（云经销商） 云商店商家计划 合作伙伴能力计划 结合您的业务发展意愿在选择发展路径或加入计划前，请务必提前与您的生态经理咨询确认后再进行选择。

入驻的先决条件 华为云客户在入驻HCPN成为华为云合作伙伴时，请提前准备入驻时需要填写的认证信息。 商业信息： 主要包括公司的基本信息和详细信息。 您可以按照贵公司的营业执照填写基本信息，包括：统一社会信用代码、税务编码、注册资金（万元）、公司法人、营业执照所在地、经营范围等；根据公司实际情况填写详细信息，包括：公司所在省/市、雇员规模、年营业额（万元）、公司简介等。 其中“公司名称”请确保必须与营业执照文件上的公司名称完全一致（包括半角、全角括号等）；如不一致，请先前往华为云账号中心完成企业名称变更，变更完成后再重新入驻HCPN。 联系人信息： 建议填写从事华为云业务的负责人姓名及常用联系方式。 敏感关系： 提前了解公司员工与华为公司是否存在敏感关系。 合作伙伴不得让华为公司在职员工及其家属参股；如果华为公司在职员工或其主要亲属正在为合作伙伴工作，或担任其雇员、顾问、董事、高管或者股东等，合作伙伴应当及时向华为公司报告。

申请门槛 软件合作伙伴云实验： 伙伴已加入软件伙伴发展路径，并达到选择角色/角色认证/能力差异化阶段。 服务合作伙伴云实验： 伙伴已加入服务伙伴发展路径，并达到选择角色/角色认证/能力差异化阶段。 数字化转型咨询与系统集成（SI）合作伙伴云实验： 伙伴已加入数字化转型咨询与系统集成伙伴发展路径，并达到选择角色/角色认证/能力差异化阶段。 学习与赋能合作伙伴云实验： 伙伴已加入学习与赋能合作伙伴发展路径，并达到选择角色/角色认证/能力差异化阶段。

邀请状态及状态说明 邀请状态 状态说明 已邀请 成功下发邀请后，伙伴员工尚未完成个人账号绑定前 已失效 下发的邀请链接7天失效后，管理员未再次成功邀请绑定前 已绑定 伙伴员工成功完成个人账号绑定后，尚未取消绑定前 已解绑 管理员完成取消绑定操作后，管理员未再次成功邀请绑定前 申请专员审核中 已绑定的伙伴员工成功递交项目专员申请后，审核未出现结果前 申请专员审核未通过 伙伴员工项目专员申请未通过后，重新递交项目专员审核前 取消专员审核通过 伙伴员工取消项目专员标记审核通过后，未申请项目专员/取消绑定前 取消专员（华为方操作） 华为方完成取消绑定操作后，未申请项目专员/取消绑定前

前提条件 合作伙伴入驻华为云并加入伙伴发展路径（服务合作伙伴发展路径/数字化转型咨询与系统集成伙伴路径/学习与赋能伙伴发展路径）或计划（分销计划（总经销商）/解决方案提供商计划）。 被邀请员工个人华为账号需满足以下条件： 个人华为账号未实名认证为企业用户； 个人华为账号未被其他伙伴账号成功关联； 个人华为账号已实名认证（仅中国站）； 个人华为账号非华为云伙伴账号； 个人华为账号1年内未与3个伙伴关联过；

注意事项 合作伙伴修改商业信息时，请谨慎变更申请，一旦提交申请，在认证完成之前，伙伴无法进行结算处理。 伙伴是华为供应商管理系统中的同名非IOI伙伴，若伙伴在进行商业信息认证时提交的银行账号、华为签约主体、签约币种与系统中的信息不一致，即伙伴使用新的银行账号，则需要上传银行确认函。 若伙伴需要使用新的银行账号，则需执行下文“商业信息首次认证”的步骤1~步骤10，下载银行确认函。 云商店伙伴只有进行商业信息认证才可进行结算。 云商店伙伴须在云商店签署合作分成协议后，才可进行商业信息认证。 云商店伙伴提交商业信息认证后，不支持对信息进行修改。

专职人员激励（FH） 专职人员激励（FH）是指为达成特定的商业目标，基于双方协议，对伙伴专职员工的能力提升进行的激励。 服务合作伙伴-专家服务专职人员激励 服务合作伙伴-CCoE能力构建专职人员激励 服务伙伴专家能力构建激励（Funding Head）专项计划 数字化转型咨询与系统集成伙伴售前解决方案专家激励（Funding Head）专项计划 数字化转型咨询与系统集成伙伴-售前专职人员激励 父主题： 伙伴权益申请

操作步骤 在专职人员激励（FH）“付款申请”页面选择可申请付款的季度，单击操作列的“申请付款”。 在申请付款弹框中确认信息并单击“提交”。 FH付款申请提交成功后，华为云进行审核，审核结果会邮件通知您，请耐心等待。 查看付款申请审核状态。 付款申请审核中 伙伴在“付款申请”页签中，单击付款申请编号，在申请详情页查看申请详情及审核进度。 付款申请审核不通过 若伙伴付款申请审核未通过，请根据审核意见修改申请信息后重新提交申请。 付款申请审核通过 付款申请审核通过后，可在“付款申请”页签中单击付款申请编码查看详情。

注意事项 企业的华为云账号需要满足以下条件，才能申请加入云经销商计划： 该账号已经完成企业实名认证。 该账号没有被冻结（包含账号关闭冻结、欠费冻结、公安冻结、违规冻结等）。 该账号没有关联一级经销商。 该账号不是合作伙伴或者正在申请成为合作伙伴。 该账号不是企业主账号或者企业子账号。 该账号下没有未关闭的资源。 该账号无欠费，充值账户无余额。 该账号下没有可开票金额。 该账号没有开通后付费。 该账号没有与华为云签署指定合同（线下直签合同、电销授权合同折扣、直签特价商务）等。 该账号不是一级经销商的顾问销售或代售模式客户。 若账号下有未使用完的代金券，折扣券或者储值卡，成为云经销商后将失效不可使用。 如果客户希望继续使用这些代金券，折扣券或储值卡，建议客户选择其他账号或者重新注册新账号，再申请加入云经销商。 企业客户申请加入云经销商计划后无法再申请加入其他任何伙伴计划。

操作步骤 在专职人员激励（FH）“激励确认”页面选择CCoE能力构建专职人员激励，单击操作列的“核对激励”。 在核对激励页面，核对信息并上传证明材料后，单击“确定提交”。 上传证明材料：请下载对应模板，按照要求填写后再上传。 人员在职证明； 第三方社保证明：社保证明仅保留姓名、参保地/城市、单位、社保打印日期、缴费起止年月（其中上海为上月缴费状态、杭州为参保年月、西安为签章日期）。 激励申请提交成功后华为方进行审核，审核结果会邮件通知您，请耐心等待。 查看激励申请详情。 激励审核中： 伙伴在“激励确认”页签中可单击激励编号，在激励申请详情页查看提交的申请信息及审核进度。 激励审核不通过： 若伙伴激励申请审核未通过，请根据审核意见修改信息后重新提交申请。 激励审核通过： 激励申请审核通过后，可在“激励确认”页签中单击激励编码查看详情。

申请门槛 软件合作伙伴考试券： 伙伴已加入软件伙伴发展路径，并达到选择角色/角色认证/能力差异化阶段。 服务合作伙伴考试券： 伙伴已加入服务伙伴发展路径，并达到选择角色/角色认证/能力差异化阶段。 数字化转型咨询与系统集成（SI）合作伙伴考试券： 伙伴已加入数字化转型咨询与系统集成伙伴发展路径，并达到选择角色/角色认证/能力差异化阶段。 学习与赋能合作伙伴考试券： 伙伴已加入学习与赋能合作伙伴发展路径，并达到选择角色/角色认证/能力差异化阶段。 解决方案提供商计划考试券： 伙伴加入解决方案提供商计划，且伙伴等级达到核心级。 分销计划（总经销商）考试券： 伙伴加入分销计划（总经销商）。

查看年度考核结果 分销计划（总经销商）年度考核于每年1月底或2月初发布上一年度的考核结果，全国型总经销商伙伴可使用拓渠激励主账号登录【伙伴中心-主页】进行查看，区域型总经销商（一类/二类区域）和区域型总经销商（三类区域）可按账号登录伙伴中心查看，并进行确认已知反馈回执。对于考核结果不达标的伙伴，可按照引导选择申请合适的处理方式。 在伙伴中心“主页”积分卡模块，查看年度考核结果通知并单击“确认已知”。 分销计划（总经销商）年度考核达标，伙伴将继续享受伙伴权益，请继续保持业绩增长。 分销计划（总经销商）年度考核不达标，根据伙伴政策要求，需选择一种方式处理考核不达标情况。 年度考核不达标处理。 在考核结果通知中，单击“选择处理”。 在选择处理弹框中选择处理方式并上传申请材料后，单击“提交审核”。 退出分销计划（总经销商），标记“退出中”。 保留分销计划（总经销商），标记“不达标”。 选择“保留分销计划（总经销商），标记不达标”处理方式时，请下载模板制定绩效改进计划并上传。 处理方式请与代表处协商一致后进行选择，当您选择处理方式，华为审核通过后则不可撤销，请谨慎选择。 提交处理申请成功后，在积分卡中单击“查看详情”可查看华为方审核进展。

申请达标考核 对于上一年度考核结果不达标的总经销商伙伴，可以在分销计划（总经销商）身份保留期内根据当前年度考核指标完成情况，与销售伙伴发展经理确认后申请达标考核。 达标考核审核结果会通过邮件/站内信/短信向伙伴反馈，伙伴可在积分卡及历史记录中进行查看。 在伙伴中心“主页”积分卡模块，单击“申请达标考核”。 在申请达标考核弹框中，查看分销计划（总经销商）的指标完成情况，确认并提交申请。 达标考核申请提交成功后，在积分卡中单击“查看详情”可查看华为方审核进展。 查看达标考核审核结果。 审核通过： 伙伴达标考核申请审核通过，华为云会通过邮件/短信/站内信通知伙伴。 伙伴可在“历史记录”中查看达标考核详情。 审核不通过： 伙伴达标考核申请审核不通过，伙伴可根据华为方审核意见完成要求后重新申请达标考核，或重新选择处理方式。

查看积分卡 总经销商伙伴可通过积分卡查看考核指标及达标要求，以及指标完成情况。其中，全国型总经销商需使用拓渠激励主账号登录【伙伴中心-主页】进行查看，区域型总经销商（一类/二类区域）和区域型总经销商（三类区域）可按账号登录伙伴中心进行查看。 使用合作伙伴账号登录华为云。 单击页面右上角账号下拉框中的“伙伴中心”，进入伙伴中心。 在伙伴中心“主页”积分卡模块，查看考核指标及达标情况。 查看分销计划（总经销商）考核指标详情。 全国型总经销商仅在拓渠业绩主账号展示积分卡，需前往主账号查看指标详情。 区域型总经销商（一类/二类区域）和区域型总经销商（三类区域）指标详情可按账号进行查看。 年度业绩：统计当前周期的年度业绩。 价值云经销商数量：年度业绩≥5万元、且付费≥100元的客户数不少于3个。 职业认证/开发者认证： 同一个人多张证书只计算一次，HCCDX和HCIX取最高等级；高等级证书可向下兼容低等级证书。 专业认证：高等级证书可向下兼容低等级证书。 年度业绩、价值云经销商数量刷新时间为T+2。 职业/开发者认证、专业认证数据刷新时间为T+1。 伙伴年度考核数据以次年1月公示结束定稿数据为准。

操作步骤 使用合作伙伴账号登录华为云。 单击页面右上角账号下拉框中的“伙伴中心”，进入伙伴中心。 在总览页面提示弹框中，查看解决方案提供商计划过期提醒。 认证为云经销商： 快捷注册新账号加入分销计划（云经销商），开展云经销商业务； 若存在空账号，您也可使用空账号加入分销计划（云经销商）开展业务； 获取验证码进行验证。 邮件验证及手机验证为当前登录的主账号对应的邮箱地址和手机号。 验证成功后需在24小时内完成新账号注册。 在华为云账号注册页面，填写注册信息，单击“注册”。 注册新账号时，请更换其他手机号进行操作，若使用已注册的手机号进行注册将注册失败。 在开通华为云页面，勾选服务条款，单击“开通”。 在华为云入驻页面填写入驻信息，单击“立即入驻”。 系统提示您成功入驻华为云合作伙伴体系。 请联系总经销商发送邀请邮件，使用该账号关联成为云经销商。 注意：在邀请期间使用该账号加入发展路径或计划会导致邀请失败，请谨慎操作。

售前工程师申请条件 已成为数字化转型咨询与系统集成发展路径的项目专员，岗位为解决方案架构师； 同时持有华为云业务方向专业认证中级H CS P（基于华为云构建客户的业务体系)及HCCDP – Solution Architectures或HCCDE – Solution Architectures或HCIP-Cloud Service Solutions Architect或HCIE-Cloud Service Solutions Architect认证，且证书在有效期内； 从事华为云的时间大于半年； 补贴期内最多可申请2次激励。 补贴期指项目专员从事华为云业务之日起一年内。

激励人员的条件有哪些？ 激励人员是绑定为数字化转型咨询与系统集成伙伴的项目专员，且成为项目专员要大于等于3个月。 证书要求：在有效期内，同时持有专业认证-业务方向中级HCSP《基于华为云构建客户的业务体系》及（HCCDP – Solution Architectures或HCCDE – Solution Architectures或HCIP-Cloud Service Solutions Architect或HCIE-Cloud Service Solutions Architect认证）。（括号内的认证证书任意一个满足即可）。 次数要求：每位售前解决方案专家最多可申请2次激励。 项目要求：每次申请至少要有1个基于华为云的实战项目投入经验作为能力举证，同一项目只能被一位伙伴售前解决方案专家调用。 父主题： 数字化转型咨询与系统集成伙伴售前解决方案专家激励（Funding Head）专项计划

申请售前专职人员激励的人员条件有哪些？ 岗位要求：解决方案构架师； 证书要求： 专职人员需同时持有 （1）专业认证HCSP（基于华为云构建客户的业务体系）； （2）至少HCIP-Cloud Service Solution Architect 或 HCCDP-Solution Architectures。 成为SI伙伴售前专人满半年后，且在补贴期1年内能申请专职人员激励，根据售前专人在伙伴中心“就职信息”页签中填写的“开始从事华为云的时间”开始计算。 一个人补贴期内最多申请2次。 父主题： SI伙伴-售前专职人员激励

VPN标签 权限 对应API接口 授权项（Action） 依赖的授权项 IAM 项目（Project） 企业项目（Enterprise Project） 创建资源标签 POST /v5/{project_id}/{resource_type}/{resource_id}/tags/create vpn:resourceInstanceTags:create - √ √ 删除资源标签 POST /v5/{project_id}/{resource_type}/{resource_id}/tags/delete vpn:resourceInstanceTags:delete - √ √ 查询资源类型标签列表 GET /v5/{project_id}/{resource_type}/tags vpn:resourceTypeTags:list - √ x 查询资源实例列表 POST /v5/{project_id}/{resource_type}/resource-instances/filter vpn:resourceInstances:list - √ x 查询资源标签列表 GET /v5/{project_id}/{resource_type}/{resource_id}/tags vpn:resourceInstanceTags:list - √ √ 查询资源实例数量 POST /v5/{project_id}/{resource_type}/resource-instances/count vpn:resourceInstances:count - √ x 父主题： 服务公共接口授权项列表

参考标准和协议 与VPN相关的参考标准与协议如下： RFC 2403: The Use of HMAC-MD5-96 within ESP and AH RFC 2404: The Use of HMAC-SHA-1-96 within ESP and AH RFC 2409: The Internet Key Exchange (IKE) RFC 2451: The ESP CBC-Mode Cipher Algorithms RFC 3526: More Modular Exponential (MODP) Diffie-Hellman groups for Internet Key Exchange (IKE) RFC 3566: The AES-XCBC-MAC-96 Algorithm and Its Use With IPsec RFC 3602: The AES-CBC Cipher Algorithm and Its Use with IPsec RFC 3664: The AES-XCBC-PRF-128 Algorithm for the Internet Key Exchange Protocol (IKE) RFC 4106: The Use of Galois/Counter Mode (GCM) in IPsec Encapsulating Security Payload (ESP) RFC 4109: Algorithms for Internet Key Exchange version 1 (IKEv1) RFC 4434: The AES-XCBC-PRF-128 Algorithm for the Internet Key Exchange Protocol (IKE) RFC 4868: Using HMAC-SHA-256, HMAC-SHA-384, and HMAC-SHA-512 with IPsec RFC 4301: Security Architecture for the Internet Protocol RFC 4302: IP Authentication Header RFC 4303: IP Encapsulating Security Payload (ESP) RFC 4305: Cryptographic Algorithm Implementation Requirements for Encapsulating Security Payload (ESP) and Authentication Header (AH) RFC 4306: Internet Key Exchange (IKEv2)Protocol RFC 4307: Cryptographic Algorithms for Use in the Internet Key Exchange Version 2 (IKEv2) RFC 4308: Cryptographic Suites for IPsec RFC 5282: Using Authenticated Encryption Algorithms with the Encrypted Payload of the Internet Key Exchange version 2 (IKEv2) Protocol RFC 6989: Additional Diffie-Hellman Tests for the Internet Key Exchange Protocol Version 2 (IKEv2) RFC 7296: Internet Key Exchange Protocol Version 2 (IKEv2) RFC 7321: Cryptographic Algorithm Implementation Requirements and Usage Guidance for Encapsulating Security Payload (ESP) and Authentication Header (AH) RFC 8247: Algorithm Implementation Requirements and Usage Guidance for the Internet Key Exchange Protocol Version 2 (IKEv2) RFC 3947: Negotiation of NAT-Traversal in the IKE RFC 3948: UDP Encapsulation of IPsec ESP Packets RFC 3706: A Traffic-Based Method of Detecting Dead Internet Key Exchange (IKE) Peers RFC 4271: A Border Gateway Protocol 4 (BGP-4) RFC 8446: The Transport Layer Security (TLS) Protocol Version 1.3 RFC 5280: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile RFC 5116: An Interface and Algorithms for Authenticated Encryption GM/T 0022-2014: IPSec VPN技术规范 GB∕T 36968-2018: 信息安全技术 IPSec VPN技术规范

VPN权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 VPN部署时通过物理区域划分，为项目级服务。授权时，“授权范围”需要选择“指定区域项目资源”，然后在指定区域（如华北-北京1）对应的项目（cn-north-1）中设置相关权限，并且该权限仅对此项目生效；如果“授权范围”选择“所有资源”，则该权限在所有区域项目中都生效。访问VPN时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对VPN服务，管理员能够控制IAM用户仅能对某一类VPN资源进行指定的管理操作。 如表1所示，包括了VPN的所有系统权限。 表1 VPN系统权限 系统角色/策略名称 描述 依赖关系 VPN Administrator（不推荐使用） VPN服务的管理员权限，拥有该权限的用户拥有VPN服务所有执行权限。 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest、VPC Administrator。 VPC Administrator：项目级策略，在同项目中勾选。 Tenant Guest：项目级策略，在同项目中勾选。 - VPN FullAccess（推荐使用） VPN服务的所有执行权限。 说明： 所有查询列表的action不支持企业项目授权，需要在IAM视图下单独配置。 全局服务的action和region级的action不能配置在同一策略，需要补充全局action： "tms:predefineTags:list" "scm:cert:list" "scm:cert:get" "scm:cert:download" VPN ReadOnlyAccess VPN服务只读权限，拥有该权限的用户仅能查看VPN服务下的资源信息。 说明： 所有查询列表的action不支持企业项目授权，需要在IAM视图下单独配置。 全局服务的action和region级的action不能配置在同一策略，需要补充全局action： "tms:predefineTags:list" "scm:cert:list" "scm:cert:get" 表 VPN常用操作与系统权限的关系列出了站点入云VPN常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表2 站点入云VPN常用操作与系统权限的关系 操作 VPN Administrator（不推荐使用） VPN FullAccess（推荐使用） VPN ReadOnlyAccess 创建VPN网关 √ 企业版VPN：√ 经典版VPN：× × 查询VPN网关 √ √ √ 查询VPN网关列表 √ √ √ 更新VPN网关 √ 企业版VPN：√ 经典版VPN：× × 删除VPN网关 √ 企业版VPN：√ 经典版VPN：× × 创建VPN连接 √ 企业版VPN：√ 经典版VPN：√ × 查询VPN连接 √ √ √ 查询VPN连接列表 √ √ √ 更新VPN连接 √ 企业版VPN：√ 经典版VPN：√ × 删除VPN连接 √ 企业版VPN：√ 经典版VPN：√ × 创建对端网关 √ 企业版VPN：√ 经典版VPN：不涉及 × 查询对端网关 √ 企业版VPN：√ 经典版VPN：不涉及 √ 查询对端网关列表 √ 企业版VPN：√ 经典版VPN：不涉及 √ 更新对端网关 √ 企业版VPN：√ 经典版VPN：不涉及 × 删除对端网关 √ 企业版VPN：√ 经典版VPN：不涉及 × 创建连接监控 √ 企业版VPN：√ 经典版VPN：× × 查询连接监控 √ 企业版VPN：√ 经典版VPN：× √ 查询连接监控列表 √ 企业版VPN：√ 经典版VPN：× √ 删除连接监控 √ 企业版VPN：√ 经典版VPN：× × 列出了终端入云VPN常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表3 终端入云VPN常用操作与系统权限的关系 操作 VPN Administrator（不推荐使用） VPN FullAccess（推荐使用） VPN ReadOnlyAccess 订购包周期终端入云VPN网关 √ √ × 变更包周期终端入云VPN网关规格 √ √ × 更新终端入云VPN网关 √ √ × 查询终端入云VPN网关详情 √ √ √ 查询终端入云VPN网关列表 √ √ √ 查询终端入云VPN连接列表 √ √ √ 创建VPN服务端 √ × 全局服务的action和region级的action不能配置在同一策略，需要补充全局action： scm:cert:get scm:cert:list scm:cert:download × 查询一个网关下的服务端信息 √ √ √ 更新指定网关的服务端 √ × 全局服务的action和region级的action不能配置在同一策略，需要补充全局action： scm:cert:get scm:cert:list scm:cert:download × 导出服务端对应的客户端配置信息 √ √ × 校验CA证书的合法性 √ √ √ 导入客户端CA证书 √ √ × 修改客户端CA证书 √ √ × 查询客户端CA证书 √ √ √ 删除客户端CA证书 √ √ × 查询租户下的所有服务端信息 √ √ √ 创建VPN用户 √ √ × 查询VPN用户列表 √ √ √ 修改VPN用户 √ √ × 查询VPN用户 √ √ √ 删除VPN用户 √ √ × 修改VPN用户密码 √ √ × 重置VPN用户密码 √ √ × 创建VPN用户组 √ √ × 查询VPN用户组列表 √ √ √ 修改VPN用户组 √ √ × 查询VPN用户组 √ √ √ 删除VPN用户组 √ √ × 添加VPN用户到组 √ √ × 删除组内VPN用户 √ √ × 查询组内VPN用户 √ √ √ 创建VPN访问策略 √ √ × 查询VPN访问策略列表 √ √ √ 修改VPN访问策略 √ √ × 查询VPN访问策略 √ √ √ 删除VPN访问策略 √ √ × 查询P2C VPN网关可用区 √ √ √ 批量添加资源标签 √ √ × 批量删除资源标签 √ √ × 通过资源标签查询资源实例列表 √ √ √ 查询标签下资源实例数量 √ √ √ 通过资源实例查询资源标签列表 √ √ √ 查询资源标签列表 √ √ √