华为云用户手册

费用说明 由于用量封顶的监控数据存在一定延迟（10分钟左右），实际用量达到峰值后大约10分钟， 域名 才会被下线，下线前产生的带宽/流量将会正常计费。 示例1（峰值带宽计费）： 客户A使用“带宽峰值计费”，仅添加了域名example.com，并开启了用量封顶功能，带宽上限设为15Gbps。 在2023年10月10日22:00~22:05带宽突增至15Gbps，由于监控数据有一定的延迟，域名在2023年10月10日22:11左右才被执行下线，下线前带宽峰值达到了23Gbps。则在系统生成的2023年10月10日“按带宽峰值计费”账单中会按照23Gbps的带宽用量来计算账单金额。 示例2（流量计费）： 客户B使用“流量计费”，仅添加了域名example.com，并为该域名开启了用量封顶功能，设置的流量上限为400G。 在2023年10月10日22:00~22:05流量突增至400G。由于监控数据有一定的延迟，域名在2023年10月10日22:11左右才会被执行下线，数据延迟过程中消耗流量550 GB，域名example.com在下线之前产生的所有流量都会被计算到2023年10月10日22:00~23:00这个时间段的“按流量计费”账单中。

注意事项 由于统计数据存在一定的时延，当实际用量达到阈值后10分钟左右才会停用域名，域名停用前产生的流量、带宽、请求数等资源消耗将正常计费。 用量封顶功能开启后，当域名的用量触发设置的阈值时，会停用域名。域名停用后将无法正常访问（返回403状态码），请合理设置用量阈值，以免业务受损。 域名停用后，会删除CNAME解析，如果用户的Local DNS还有解析缓存或用户通过host强行解析到CDN节点上，CDN接收到请求后会拒绝提供服务，但是会产生相应的流量和请求数据，您需要支付此部分的费用。 支持泛域名（*.test.com）配置用量封顶，此时将统计所有子域名（a.test.com、b.test.com、c.test.com...）的用量之和，总用量达到阈值后会停用泛域名，此时泛域名的所有子域名都将无法访问。为了不影响您的域名业务，建议您合理评估，慎重开启泛域名用量封顶。 最多支持给20个域名配置用量封顶功能，每个域名可配置一条带宽封顶规则。 后台有特殊配置的域名暂不支持用量封顶功能。 域名用量触发阈值停用后，在当前统计周期内不再执行该域名的用量封顶功能。例如： 客户A于2023年10月19日配置流量封顶，统计类型为累积用量（小时），用量阈值为400G，解封周期为1小时。2023年10月25日20:00~20:35流量突增至400G，由于监控数据有一定的延迟，域名在2023年10月25日20:41左右被执行下线，则20:41~20:59:59不再执行用量封顶功能。 检测到域名带宽/流量超出阈值后，访问返回403配置均需要全网节点逐步下发生效，因此会有一定的生效延迟。 用量封顶功能CDN侧不收费，发送告警通知时 消息通知 服务（ SMN ）会收取相应的费用，SMN服务的计费说明详见这里。

校验方法 CDN服务器收到请求后，会按照如下步骤进行校验： 是否携带鉴权参数。如果没有携带鉴权参数，认为请求非法，返回HTTP 403错误。 时间校验：CDN服务器接收到客户端请求后，判断鉴权URL中的“timestamp参数 + 鉴权URL有效时长”是否大于当前时间。 如果“timestamp参数 + 鉴权URL有效时长”小于当前时间，认为过期失效并返回HTTP 403错误。 如果“timestamp参数 + 鉴权URL有效时长”大于或等于当前时间，则通过时间校验，继续执行步骤3。 加密串校验：时间校验通过后，则以sstring方式构造出一个字符串（参考以下sstring构造方式）。然后使用md5（sha256）算法算出HashValue，并和用户请求中带来的md5hash（sha256）进行对比。结果一致则认为鉴权通过并返回文件，否则鉴权失败返回HTTP 403错误。HashValue计算方式如下： sstring = "PrivateKeyFilenameTimestamp" HashValue = md5sum(sstring) 或： sstring = "PrivateKeyFilenameTimestamp" HashValue = sha256sum(sstring)

示例说明 以使用MD5算法为例： 回源请求对象： http://hwcdn.example.com/T128_2_1_0_sdk/0210/M00/82/3E/test.mp3 密钥设为：huaweicloud12345（用户自行设置） 鉴权生效开始日期为：2017年6月30日10：00：00，计算出来的秒数为1498788000，并转换为十六进制为5955b0a0。并且设置有效时间为1800s。 CDN服务器构造一个用于计算md5hash的签名字符串： huaweicloud12345/T128_2_1_0_sdk/0210/M00/82/3E/test.mp35955b0a0 CDN服务器根据该签名字符串计算md5hash： md5hash = md5sum(huaweicloud12345/T128_2_1_0_sdk/0210/M00/82/3E/test.mp35955b0a0) = 8540f43a2416fd4a432fe4f92d2ea089 请求CDN时URL： http://hwcdn.example.com/T128_2_1_0_sdk/0210/M00/82/3E/test.mp3?auth_key=8540f43a2416fd4a432fe4f92d2ea089×tamp=5955b0a0 如果请求在有效时间内(请求时间小于等于2017年6月30日10：30：00)，并且计算出来的md5hash与用户请求中带的md5hash值（8540f43a2416fd4a432fe4f92d2ea089）一致，则鉴权通过。

示例说明 以使用MD5算法为例： 通过req_auth请求对象： http://hwcdn.example.com/T128_2_1_0_sdk/0210/M00/82/3E/test.mp3 密钥设为：huaweicloud12345（由用户自行设置） 鉴权生效开始日期为：2017年6月30日00：00：00，计算出来的秒数为1498752000。并且设置有效时间为1800s。 CDN服务器构造一个用于计算HashValue的签名字符串： /T128_2_1_0_sdk/0210/M00/82/3E/test.mp3-1498752000-0-0-huaweicloud12345 CDN服务器根据该签名字符串计算HashValue： HashValue = md5sum(“/T128_2_1_0_sdk/0210/M00/82/3E/test.mp3-1498752000-0-0-huaweicloud12345”) =4143ae4a8034c637fd256dfd3542bafc 请求时URL为： http://cdn.example.com/T128_2_1_0_sdk/0210/M00/82/3E/test.mp3?auth_key=1498752000-0-0-4143ae4a8034c637fd256dfd3542bafc 如果请求在有效时间内(请求时间小于等于2017年6月30日00：30：00)，并且计算出来的HashValue与用户请求中带的md5hash值（4143ae4a8034c637fd256dfd3542bafc）一致，则鉴权通过。

校验方法 CDN服务器收到请求后，会按照如下步骤进行校验： 是否携带鉴权参数。如果没有携带鉴权参数，认为请求非法，返回HTTP 403错误。 时间校验：CDN服务器接收到客户端请求后，判断鉴权URL中的“timestamp参数 + 鉴权URL有效时长”是否大于当前时间。 如果“timestamp参数 + 鉴权URL有效时长”小于当前时间，认为过期失效并返回HTTP 403错误。 如果“timestamp参数 + 鉴权URL有效时长”大于或等于当前时间，则通过时间校验，继续执行步骤3。 加密串校验：时间校验通过后，则以sstring方式构造出一个字符串（参考以下sstring构造方式）。然后使用md5（sha256）算法算出HashValue，并和用户请求中带来的md5hash（sha256）进行对比。结果一致则认为鉴权通过并返回文件，否则鉴权失败返回HTTP 403错误。HashValue计算方式如下： sstring = "Filename-Timestamp-rand-uid-PrivateKey" HashValue = md5sum(sstring) 或： sstring = "Filename-Timestamp-rand-uid-PrivateKey" HashValue = sha256sum(sstring)

支持复制的配置项 复制配置到新的域名时支持的配置项见表1。表中支持复制的配置项为控制台可见配置。如果您请运维给原域名设置了特殊配置，该特殊配置将无法复制到新域名。如果新域名需要该特殊配置，您可以提交工单申请。 表1 支持复制的配置项 配置大类 配置项 基本配置 企业项目（校验子账号是否有权限，子账号如果没有该企业项目的权限，域名将添加失败） 业务类型 服务范围 源站配置 复制源站配置时会复制存量域名的回源HOST，详情如下： 如果存量域名的源站类型是IP或域名，且配置了自定义回源HOST，新域名将复制该HOST。 如果存量域名的源站类型是IP或域名，且回源HOST是存量域名本身，新域名的回源HOST也将是新域名本身。 如果存量域名的源站类型是OBS桶域名，新域名的回源HOST与存量域名保持一致。 IPv6配置 回源配置 回源方式 回源SNI 回源URL改写 高级回源 Range回源 回源跟随 回源是否校验Etag 回源超时时间 回源请求头 缓存配置 缓存规则 浏览器缓存过期时间 状态码缓存时间 访问URL重写 访问控制 防盗链 IP黑白名单 User-Agent黑白名单 URL鉴权配置 远程鉴权配置 高级配置 HTTP header配置（跨域请求） 自定义错误页面 智能压缩 请求限速 用量封顶 WebSocket配置（原域名的业务类型是全站加速时会复制该配置项） 视频配置 视频拖拽 标签 标签

配置约束 存量域名状态为已开启、已停用、审核未通过状态可以复制配置。 存量域名状态为删除中、配置中、审核中、配置失败不允许复制配置。 如果存量域名已被封禁，则不支持复制该域名的配置。 单次最多可添加10个新的域名，新域名会占用账号配额。 如果存量域名在后台有特殊配置项，这些特殊配置不支持复制，新域名将添加失败。 复制配置到新添加域名，不支持复制存量域名的状态。 HTTPS证书需要绑定域名，证书和域名不匹配将导致域名复制失败，因此不支持复制HTTPS证书。

域名高级配置概述 修改域名高级配置时需要加速域名处于“已开启”或“配置中”状态，并且未被CDN锁定、禁用。 配置项 场景说明 HTTP header配置（跨域请求） 当您的网站需要自定义HTTP响应头取值时，可以在此项中进行配置。 配置自定义错误页面 当您需要给客户端返回自定义的错误页面时，您需要配置此项。 配置智能压缩 如果您想要压缩您网站的静态资源，缩小传输文件的大小，提升传输效率，减少带宽消耗，您需要开启智能压缩。 配置WebSocket协议 如果您开通了全站加速，有弹幕聊天、协同会话、行情播报、体育实况更新、在线教育和物联网等场景，需要实现长时间双向传输数据，可以通过配置WebSocket协议来实现。 配置请求限速 配置请求限速，将用户请求速度限制在指定范围内，一定程度上减少突发高带宽风险，节省成本。 配置用量封顶 如果您想给域名配置流量或带宽上限，当用量达到阈值时暂停 CDN加速 ，以减少因流量盗刷或攻击带来的高额账单，可以配置用量封顶功能。 父主题： 高级配置

停用加速域名 对处于“已开启”或“配置失败”状态的域名，您可以对其进行“停用”操作。停用后，CDN将不再为域名提供加速服务，但域名的配置暂时保留，如果想恢复CDN加速服务请重新启用CDN。 单域名停用 进入CDN控制台的“域名管理”页面，在需要停用的加速域名对应的“操作”列单击“更多”，选择“停用”。 图2 停用域名 确认需要停用的域名信息，单击“确定”完成域名停用操作。 批量停用域名 进入CDN控制台的“域名管理”页面，勾选需要停用的加速域名，单击域名列表上方“停用”。 图3 批量停用域名

示例说明 以使用MD5算法为例： 回源请求对象： http://hwcdn.example.com/T128_2_1_0_sdk/0210/M00/82/3E/test.mp3 密钥设为：huaweicloud12345（用户自行设置） 用户访问客户源服务器时间为：201706301000（格式为：YYYYMMDDHHMM） CDN服务器构造一个用于计算md5hash的签名字符串： huaweicloud12345201706301000/T128_2_1_0_sdk/0210/M00/82/3E/test.mp3 CDN服务器根据该签名字符串计算md5hash： md5hash = md5sum("huaweicloud12345201706301000/T128_2_1_0_sdk/0210/M00/82/3E/test.mp3") =668f28d134ec6446a8ae83a43d0a554b 请求CDN时URL： http://hwcdn.example.com/201706301000/668f28d134ec6446a8ae83a43d0a554b/T128_2_1_0_sdk/0210/M00/82/3E/test.mp3 如果请求在有效时间内(请求时间小于等于2017年6月30日10：30：00)，并且计算出来的md5hash与用户请求中带的md5hash值（668f28d134ec6446a8ae83a43d0a554b）一致，则鉴权通过。

校验方法 CDN服务器收到请求后，会按照如下步骤进行校验： 是否携带鉴权参数。如果没有携带鉴权参数，认为请求非法，返回HTTP 403错误。 时间校验：CDN服务器接收到客户端请求后，判断鉴权URL中的“timestamp参数 + 鉴权URL有效时长”是否大于当前时间。 如果“timestamp参数 + 鉴权URL有效时长”小于当前时间，认为过期失效并返回HTTP 403错误。 如果“timestamp参数 + 鉴权URL有效时长”大于或等于当前时间，则通过时间校验，继续执行步骤3。 加密串校验：时间校验通过后，则以sstring方式构造出一个字符串（参考以下sstring构造方式）。然后使用md5（sha256）算法算出HashValue，并和用户请求中带来的md5hash（sha256）进行对比。结果一致则认为鉴权通过并返回文件，否则鉴权失败返回HTTP 403错误。HashValue计算方式如下： sstring = “PrivateKeytimestampFilename” HashValue = sha256sum(sstring) 或： sstring = “PrivateKeytimestampFilename” HashValue = md5sum(sstring)

背景介绍 Etag是URL的Entity Tag，用于标示URL对象是否改变。 域名接入CDN加速后，客户端首次访问时CDN节点会回源请求数据返回给用户，同时将资源缓存到CDN节点。在设置的缓存过期时间内，当用户再次请求资源时，CDN会将节点缓存的资源返回给客户端，不需要回源。当CDN节点缓存的资源过期后： 开启“回源是否校验ETag”：客户端再次请求该资源时，CDN会校验ETag值。如果ETag、Last-Modified和Content-Length值都没有变化，CDN将继续返回给用户节点缓存的资源，无需回源，降低回源率，减轻源站压力；如果ETag、Last-Modified和Content-Length其中一个值改变，CDN节点都会回源。 未开启“回源是否校验ETag”：客户端再次请求该资源时，CDN不会校验ETag值。如果Last-Modified和Content-Length的值都没有变化，CDN将继续返回给用户节点缓存的资源；如果Last-Modified和Content-Length其中一个值改变，CDN节点都会回源。

注意事项 CDN默认开启“回源是否校验ETag”。 如果加速域名开启了Range回源，CDN节点回源时获取到资源不同分片的Last-Modified值不一致，CDN将会判定资源发生变化 ，为避免将错误的资源返回给客户端 ，CDN会中断连接 ，客户端访问也将中断。如果遇到类似问题，请根据业务情况选择以下措施规避： 关闭Range回源。 如果资源存放在不同的源站，请将资源迁移到同一个源站。 回源时不校验Last-Modified的值，如需关闭校验，请提交工单申请。 如果您域名的业务类型是全站加速，本功能仅对静态资源生效。

配置示例 配置详情：域名www.example.com开启了IP访问限频，访问阈值设置为10000次/秒。 触发IP限频的条件：单IP的单URL每秒访问单节点的次数达到10000次，才会触发访问限频。 示例：IP地址为0.0.0.0的客户端，一秒内访问链接https://www.example.com/abc.jpg的次数达到了10000次，即触发访问限频，该IP再次请求https://www.example.com/abc.jpg时，阻断请求，返回403状态码，10分钟后解除阻断。

示例说明 以使用MD5算法为例： 回源请求对象： http://hwcdn.example.com/T128_2_1_0_sdk/0210/M00/82/3E/test.mp3 密钥设为：huaweicloud12345（用户自行设置） 鉴权生效开始日期为：2017年6月30日10：00：00，计算出来的秒数为1498788000，并转换为十六进制为5955b0a0。并且设置有效时间为1800s。 CDN服务器构造一个用于计算md5hash的签名字符串： huaweicloud12345/T128_2_1_0_sdk/0210/M00/82/3E/test.mp35955b0a0 CDN服务器根据该签名字符串计算md5hash： md5hash = md5sum(huaweicloud12345/T128_2_1_0_sdk/0210/M00/82/3E/test.mp35955b0a0) = 8540f43a2416fd4a432fe4f92d2ea089 请求CDN时URL： http://hwcdn.example.com/8540f43a2416fd4a432fe4f92d2ea089/5955b0a0/T128_2_1_0_sdk/0210/M00/82/3E/test.mp3 如果请求在有效时间内(请求时间小于等于2017年6月30日10：30：00)，并且计算出来的md5hash与用户请求中带的md5hash值（8540f43a2416fd4a432fe4f92d2ea089）一致，则鉴权通过。

校验方法 CDN服务器收到请求后，会按照如下步骤进行校验： 是否携带鉴权参数。如果没有携带鉴权参数，认为请求非法，返回HTTP 403错误。 时间校验：CDN服务器接收到客户端请求后，判断鉴权URL中的“timestamp参数 + 鉴权URL有效时长”是否大于当前时间。 如果“timestamp参数 + 鉴权URL有效时长”小于当前时间，认为过期失效并返回HTTP 403错误。 如果“timestamp参数 + 鉴权URL有效时长”大于或等于当前时间，则通过时间校验，继续执行步骤3。 加密串校验：时间校验通过后，则以sstring方式构造出一个字符串（参考以下sstring构造方式）。然后使用md5（sha256）算法算出HashValue，并和用户请求中带来的md5hash（sha256）进行对比。结果一致则认为鉴权通过并返回文件，否则鉴权失败返回HTTP 403错误。HashValue计算方式如下： sstring = "PrivateKeyFilenameTimestamp" HashValue = md5sum(sstring) 或： sstring = "PrivateKeyFilenameTimestamp" HashValue = sha256sum(sstring)

域名基本配置概述 域名添加到CDN加速后，可能会随着业务的不断变化需要修改域名的服务范围、业务类型或者源站信息，这类信息可以在域名基本配置模块修改。 修改域名基本配置时需要加速域名处于“已开启”或“配置中”状态，并且未被CDN锁定、禁用。 配置项 场景说明 修改域名源站配置 当您的源站IP、域名发生变化，源站信息配置错误，或需要添加备源站时，可以在此项配置中配置相关源站信息。 回源HOST 如果CDN回源时访问的站点域名不是您的加速域名（CDN默认回源HOST为加速域名），您需要设置回源HOST。 修改业务类型 如果您的业务有变，当前CDN加速域名的业务类型已经无法匹配您的需求时，您可以修改业务类型。 修改服务范围 如果您的用户所在地域发生改变，您可以修改加速域名的服务范围，更好的匹配当前业务。 配置客户端用IPv6协议访问CDN节点 如果您需要以IPv6协议访问CDN，您需要开启此项配置。 父主题： 基本配置

操作步骤 登录CDN控制台。 在左侧菜单栏中，选择“域名管理”。 在域名列表中，单击需要修改的域名或域名所在行的“设置”，进入域名配置页面。 选择“高级配置”页签。 在请求限速配置模块，单击“编辑”。 单击页面“添加”按钮，即可编辑规则内容。 图1 请求限速配置 表1 参数说明 参数 说明 匹配类型 所有文件：所有文件均参与限速。 目录匹配：指定目录内的文件参与限速。 匹配内容 匹配类型为所有文件时不填。 匹配类型为目录匹配时，输入规则如下： 以“/”开头，例如：/test/folder。 不能以“/”结尾。 每条规则对应一个目录，不支持一条规则配置多个目录。 限速类型 支持按传送流量限速，即单个HTTP请求流量达到设定的值，开始限制访问速度，该请求之后的访问速度不超过设定的限速值。 限速条件 设置限速起始值，当传送流量达到限速条件设置的值后开始限速。 单位为Byte，最大值可设置为1GB，即：1,073,741,824Byte。 限速值 设置开始限速后的最大访问速度。 最大值可设置为100MBps。 限速时段 指明限速的时段，按照每天24小时设置限速时段，格式为：HHMM-HHMM（HH为时，MM为分，时区为UTC+8），多个时段限速时用“,”分隔，例如：0100-0200,2200-2300。默认值为0000-2400，代表限速对所有时段生效。 最多可设置10个限速时段。 优先级 限速规则的优先级，优先级设置具有唯一性，不支持多条规则设置同一优先级，且优先级不能输入为空。多条限速规则下，不同限速规则中的相同资源内容，CDN优先匹配优先级高的限速规则。 取值为1~100之间的整数，数值越大优先级越高。 配置相关参数，单击“保存”完成限速配置。

清理托管证书 您也可以在页面对托管证书进行删除操作。 注意事项 清理托管证书，该托管证书将从服务器端删除，不会泄露您的相关隐私。 已关联加速域名的托管证书不能清理，请先关闭HTTPS安全配置。 如果您需要再次使用托管证书，请从SSL证书管理中重新推送至CDN。 操作步骤 单击“清理托管证书”。 在弹出页面选择您需要清理的证书，单击“确定”，完成托管证书清理。 如果您需要再次使用托管证书，请从SSL证书管理中重新推送至CDN

场景示例 如果某加速域名被禁用的原因仅为域名备案过期，单击“重新审核”后有如下两种情况： 域名已重新备案，系统弹出解禁成功提示信息，域名解禁成功。 域名备案未恢复，系统弹出该加速域名尚未备案提示信息。您需要到工信部为该域名恢复备案后重试。 如果某加速域名被禁用的原因不只是备案过期，单击“重新审核”后系统弹出“该域名被禁用原因不是备案过期，无法通过重新审核来尝试解禁”提示信息，您需要重新检查并整改域名内容，整改完成后提交工单或联系客服咨询处理。

预设策略列表 当您在配置审计控制台添加合规规则时，可以直接选用系统内置的预设合规策略。 当前配置审计服务支持的预设策略如下表所示。 表1 配置审计 支持的预设策略 云服务 预设策略 触发方式 评估资源 公共可用预设策略 资源名称满足正则表达式 配置变更 全部资源 资源具有所有指定的标签键 配置变更 支持标签的云服务和资源类型 资源存在任一指定的标签 配置变更 支持标签的云服务和资源类型 资源具有指定前后缀的标签键 配置变更 支持标签的云服务和资源类型 资源标签非空 配置变更 支持标签的云服务和资源类型 资源具有指定的标签 配置变更 支持标签的云服务和资源类型 资源属于指定企业项目ID 配置变更 全部资源 资源在指定区域内 配置变更 全部资源 资源在指定类型内 配置变更 全部资源 不允许的资源类型 配置变更 全部资源 API网关 APIG APIG专享版实例配置安全认证类型 配置变更 apig.instances APIG专享版实例配置访问日志 配置变更 apig.instances APIG专享版实例域名均关联SSL证书 配置变更 apig.instances 部署 CodeArts Deploy CodeArts项目下的主机集群为可用状态 配置变更 codeartsdeploy.host-cluster CodeArts编译构建下的项目未设置参数加密 配置变更 codeartsbuild.CloudBuildServer MapReduce服务 MRS MRS集群属于指定安全组 配置变更 mrs.mrs MRS集群属于指定VPC 配置变更 mrs.mrs MRS集群开启kerberos认证 配置变更 mrs.mrs MRS集群使用多AZ部署 配置变更 mrs.mrs MRS集群未绑定弹性公网IP 配置变更 mrs.mrs MRS集群开启KMS加密 配置变更 mrs.mrs NAT网关 NAT NAT私网网关绑定指定VPC资源 配置变更 nat.privateNatGateways VPC终端节点 VPCEP 创建了指定服务名的终端节点 周期触发 account Web应用防火墙 WAF WAF防护域名配置防护策略 配置变更 waf.instance WAF防护策略配置防护规则 配置变更 waf.policy 启用WAF实例域名防护 周期触发 account 启用WAF防护策略地理位置访问控制规则 周期触发 account WAF实例启用拦截模式防护策略 配置变更 waf.instance 弹性负载均衡 ELB ELB资源不具有弹性公网IP 配置变更 elb.loadbalancers ELB监听器配置指定预定义安全策略 配置变更 elb.loadbalancers ELB监听器配置HTTPS监听协议 配置变更 elb.loadbalancers ELB后端服务器权重检查 配置变更 elb.members 监听器资源HTTPS重定向检查 配置变更 elb.listeners ELB资源使用多AZ部署 配置变更 elb.loadbalancers ELB负载均衡 器配置访问日志 配置变更 elb.loadbalancers 弹性公网IP EIP EIP带宽限制 配置变更 vpc.publicips 弹性公网IP未进行任何绑定 配置变更 vpc.publicips EIP在指定天数内绑定到资源实例 周期触发 vpc.publicips 弹性伸缩 AS 弹性伸缩组均衡扩容 配置变更 as.scalingGroups 弹性伸缩组使用弹性负载均衡健康检查 配置变更 as.scalingGroups 弹性伸缩组启用多AZ部署 配置变更 as.scalingGroups 弹性伸缩组未配置IPv6带宽 配置变更 as.scalingGroups 弹性伸缩组VPC检查 配置变更 as.scalingGroups 高性能弹性文件服务 SFS Turbo 高性能弹性文件服务通过KMS进行加密 配置变更 sfsturbo.shares SFS Turbo资源在备份存储库中 配置变更 sfsturbo.shares SFS Turbo资源的备份时间检查 周期触发 sfsturbo.shares 弹性云服务器 E CS ECS资源规格在指定的范围 配置变更 ecs.cloudservers ECS实例的镜像ID在指定的范围 配置变更 ecs.cloudservers ECS的镜像在指定Tag的IMS的范围内 配置变更 ecs.cloudservers 绑定指定标签的ECS关联在指定安全组ID列表内 配置变更 ecs.cloudservers ECS资源属于指定虚拟私有云ID 配置变更 ecs.cloudservers ECS资源配置密钥对 配置变更 ecs.cloudservers ECS资源不能公网访问 配置变更 ecs.cloudservers 检查ECS资源是否具有多个弹性公网IP 配置变更 ecs.cloudservers 关机状态的ECS未进行任意操作的时间检查 周期触发 ecs.cloudservers ECS资源附加 IAM 委托 配置变更 ecs.cloudservers ECS实例的镜像名称在指定的范围 配置变更 ecs.cloudservers ECS资源在备份存储库中 配置变更 ecs.cloudservers ECS云服务器 的备份时间检查 周期触发 ecs.cloudservers ECS资源绑定服务主机代理防护 配置变更 ecs.cloudservers 分布式缓存服务 DCS DCS Memcached资源支持SSL 配置变更 dcs.memcached DCS Memcached资源属于指定虚拟私有云ID 配置变更 dcs.memcached DCS Memcached资源不存在弹性公网IP 配置变更 dcs.memcached DCS Memcached资源需要密码访问 配置变更 dcs.memcached DCS Redis实例支持SSL 配置变更 dcs.redis DCS Redis实例高可用 配置变更 dcs.redis DCS Redis实例属于指定虚拟私有云ID 配置变更 dcs.redis DCS Redis实例不存在弹性公网IP 配置变更 dcs.redis DCS Redis实例需要密码访问 配置变更 dcs.redis 函数工作流 FunctionGraph 函数工作流的函数并发数在指定范围内 配置变更 fgs.functions 函数工作流使用指定VPC 配置变更 fgs.functions 函数工作流的函数不允许访问公网 配置变更 fgs.functions 检查函数工作流参数设置 配置变更 fgs.functions 函数工作流的函数启用日志配置 配置变更 fgs.functions 内容分发网络 CDN CDN使用HTTPS证书 配置变更 cdn.domains CDN回源方式使用HTTPS 配置变更 cdn.domains CDN安全策略检查 配置变更 cdn.domains CDN使用自有证书 配置变更 cdn.domains 配置审计 Config 账号开启资源记录器 周期触发 account 数据仓库服务 DWS DWS集群启用KMS加密 配置变更 dws.clusters DWS集群启用日志转储 配置变更 dws.clusters DWS集群启用自动快照 配置变更 dws.clusters DWS集群启用SSL加密连接 配置变更 dws.clusters DWS集群未绑定弹性公网IP 配置变更 dws.clusters DWS集群运维时间窗检查 配置变更 dws.clusters DWS集群VPC检查 配置变更 dws.clusters 数据复制服务 DRS 数据复制服务实时灾备任务不使用公网网络 配置变更 drs.dataGuardJob 数据复制服务实时迁移任务不使用公网网络 配置变更 drs.migrationJob 数据复制服务实时同步任务不使用公网网络 配置变更 drs.synchronizationJob 数据加密 服务 DEW KMS密钥不处于“计划删除”状态 配置变更 kms.keys KMS密钥启用密钥轮换 配置变更 kms.keys 检查C SMS 凭据轮转成功 配置变更 csms.secrets CSMS凭据启动自动轮转 配置变更 csms.secrets CSMS凭据使用指定KMS 配置变更 csms.secrets CSMS凭据在指定时间内轮转 周期触发 csms.secrets 统一身份认证 服务 IAM IAM用户的AccessKey在指定时间内轮换 周期触发 iam.users IAM策略中不授权KMS的禁止的action 配置变更 iam.roles&iam.policies IAM用户组添加了IAM用户 配置变更 iam.groups IAM用户密码策略符合要求 配置变更 iam.users IAM策略黑名单检查 配置变更 iam.users、iam.groups、iam.agencies IAM策略不具备Admin权限 配置变更 iam.roles、iam.policies IAM自定义策略具备所有权限 配置变更 iam.roles、iam.policies 根用户存在可使用的访问密钥 周期触发 account IAM用户访问模式 配置变更 iam.users IAM用户创建时设置AccessKey 配置变更 iam.users IAM用户归属指定用户组 配置变更 iam.users IAM用户在指定时间内有登录行为 周期触发 iam.users IAM用户开启MFA 配置变更 iam.users IAM用户单访问密钥 配置变更 iam.users Console侧密码登录的IAM用户开启MFA认证 配置变更 iam.users 根用户开启MFA认证 周期触发 account IAM策略使用中 配置变更 iam.policies IAM权限使用中 配置变更 iam.roles IAM用户开启登录保护 周期触发 iam.users IAM委托绑定策略检查 配置变更 iam.agencies IAM用户admin权限检查 配置变更 iam.users IAM用户不直接附加策略或权限 配置变更 iam.users 文档数据库服务 DDS DDS实例开启SSL 配置变更 dds.instances DDS实例属于指定实例类型 配置变更 dds.instances DDS实例未绑定弹性公网IP 配置变更 dds.instances DDS实例端口检查 配置变更 dds.instances DDS实例数据库版本检查 配置变更 dds.instances DDS实例属于指定虚拟私有云ID 配置变更 dds.instances 消息通知服务 SMN SMN主题配置访问日志 配置变更 smn.topic 虚拟私有云 VPC 未与子网关联的网络ACL 配置变更 vpc.firewallGroups 默认安全组关闭出、入方向流量 配置变更 vpc.securityGroups VPC启用流日志 配置变更 vpc.vpcs 安全组端口检查 配置变更 vpc.securityGroups 安全组入站流量限制指定端口 配置变更 vpc.securityGroups 安全组入站流量限制SSH端口 配置变更 vpc.securityGroups 安全组非白名单端口检查 配置变更 vpc.securityGroups 安全组连接到弹性网络接口 配置变更 vpc.securityGroups 虚拟专用网络 VPN VPN连接状态为“正常” 配置变更 vpnaas.vpnConnections、vpnaas.ipsec-site-connections 云监控服务 CES CES启用告警操作 配置变更 ces.alarms CES配置监控KMS禁用或计划删除密钥的事件监控告警 周期触发 account CES配置监控OBS桶策略变更的事件监控告警 周期触发 account 指定的资源类型绑定指定指标CES告警 周期触发 account 检查特定指标的CES告警进行特定配置 配置变更 ces.alarms CES配置监控VPC变更的事件监控告警 周期触发 account 云容器引擎 CCE CCE集群版本为处于维护的版本 配置变更 cce.clusters CCE集群运行的非受支持的最旧版本 配置变更 cce.clusters CCE集群资源不具有弹性公网IP 配置变更 cce.clusters CCE集群规格在指定的范围 配置变更 cce.clusters CCE集群VPC检查 配置变更 cce.clusters 云审计 服务 CTS CTS追踪器通过KMS进行加密 配置变更 cts.trackers CTS追踪器启用事件分析 配置变更 cts.trackers CTS追踪器追踪指定的OBS桶 周期触发 account CTS追踪器打开事件文件校验 配置变更 cts.trackers 创建并启用CTS追踪器 周期触发 account 在指定区域创建并启用CTS追踪器 周期触发 account CTS追踪器符合安全最佳实践 周期触发 account 云数据库 RDS RDS实例开启备份 配置变更 rds.instances RDS实例开启错误日志 配置变更 rds.instances RDS实例开启慢日志 配置变更 rds.instances RDS实例支持多可用区 配置变更 rds.instances RDS实例不具有弹性公网IP 配置变更 rds.instances RDS实例开启存储加密 配置变更 rds.instances RDS实例属于指定虚拟私有云ID 配置变更 rds.instances RDS实例配备日志 配置变更 rds.instances RDS实例规格在指定的范围 配置变更 rds.instances RDS实例启用SSL加密通讯 配置变更 rds.instances RDS实例端口检查 配置变更 rds.instances RDS实例数据库引擎版本检查 配置变更 rds.instances RDS实例启用审计日志 配置变更 rds.instances 云数据库 GaussDB GaussDB资源属于指定虚拟私有云ID 配置变更 gaussdb.instance GaussDB实例开启审计日志 配置变更 gaussdb.instance GaussDB实例开启自动备份 配置变更 gaussdb.instance GaussDB实例开启错误日志 配置变更 gaussdb.instance GaussDB实例开启慢日志 配置变更 gaussdb.instance GaussDB实例EIP检查 配置变更 gaussdb.instance GaussDB实例跨AZ部署检查 配置变更 gaussdb.instance GaussDB实例开启传输数据加密 配置变更 gaussdb.instance 云数据库 TaurusDB TaurusDB实例开启审计日志 配置变更 gaussdbformysql.instance TaurusDB实例开启备份 配置变更 gaussdbformysql.instance TaurusDB实例开启错误日志 配置变更 gaussdbformysql.instance TaurusDB实例开启慢日志 配置变更 gaussdbformysql.instance TaurusDB实例开启传输数据加密 配置变更 gaussdbformysql.instance TaurusDB实例跨AZ部署检查 配置变更 gaussdbformysql.instance TaurusDB实例EIP检查 配置变更 gaussdbformysql.instance TaurusDB实例VPC检查 配置变更 gaussdbformysql.instance 云数据库 GeminiDB GeminiDB部署在单个可用区 配置变更 nosql.instances GeminiDB开启备份 配置变更 nosql.instances GeminiDB使用磁盘加密 配置变更 nosql.instances GeminiDB开启错误日志 配置变更 nosql.instances GeminiDB开启慢查询日志 配置变更 nosql.instances 云搜索服务 CSS CSS集群启用安全模式 配置变更 css.clusters CSS集群启用快照 配置变更 css.clusters CSS集群开启磁盘加密 配置变更 css.clusters CSS集群启用HTTPS 配置变更 css.clusters CSS集群绑定指定VPC资源 配置变更 css.clusters CSS集群具备多AZ容灾 配置变更 css.clusters CSS集群具备多实例容灾 配置变更 css.clusters CSS集群不能公网访问 配置变更 css.clusters CSS集群支持安全模式 配置变更 css.clusters CSS集群未开启访问控制开关 配置变更 css.clusters CSS集群Kibana未开启访问控制开关 配置变更 css.clusters CSS集群开启慢日志 配置变更 css.clusters CSS集群版本检查 配置变更 css.clusters 云硬盘 EVS 云硬盘的类型在指定的范围内 配置变更 evs.volumes 云硬盘创建后在指定天数内绑定资源实例 周期触发 evs.volumes 云硬盘闲置检测 配置变更 evs.volumes 已挂载的云硬盘开启加密 配置变更 evs.volumes 云硬盘开启加密 配置变更 evs.volumes EVS资源在备份存储库保护中 配置变更 evs.volumes EVS资源的备份时间检查 周期触发 evs.volumes 云证书管理服务 CCM 检查私有CA是否过期 周期触发 pca.ca 检查私有证书是否过期 周期触发 pca.cert 检查私有根CA是否停用 周期触发 pca.ca 私有证书管理服务算法检查 配置变更 pca.ca、pca.cert 分布式消息服务Kafka版 DMS Kafka队列打开内网SSL加密访问 配置变更 dms.kafka DMS Kafka队列打开公网SSL加密访问 配置变更 dms.kafka DMS Kafka队列开启公网访问 配置变更 dms.kafka 分布式消息服务RabbitMQ版 DMS RabbitMq队列打开SSL加密访问 配置变更 dms.rabbitmqs DMS RabbitMQ实例开启公网访问 配置变更 dms.rabbitmqs 分布式消息服务RocketMQ版 DMS RocketMQ实例打开SSL加密访问 配置变更 dms.reliabilitys DMS RocketMQ实例开启公网访问 配置变更 dms.reliabilitys 组织 Organizations 账号加入组织 周期触发 account 云防火墙 CFW CFW防火墙配置防护策略 配置变更 cfw.cfw_instance 云备份 CBR CBR备份被加密 配置变更 cbr.backup CBR备份策略执行频率检查 配置变更 cbr.policy CBR存储库最低保留天数 配置变更 cbr.vault CBR备份存储库启用跨区域复制策略 配置变更 cbr.vault 对象存储服务 OBS OBS桶策略中不授权禁止的Action 配置变更 obs.buckets OBS桶策略中授权检查 配置变更 obs.buckets OBS桶策略授权约束 配置变更 obs.buckets OBS桶禁止公开读 配置变更 obs.buckets OBS桶禁止公开写 配置变更 obs.buckets OBS桶策略授权行为使用SSL加密 配置变更 obs.buckets OBS桶启用日志记录 配置变更 obs.buckets OBS桶启用多版本控制 配置变更 obs.buckets OBS桶不使用ACL授权 配置变更 obs.buckets OBS桶启用跨区域复制 配置变更 obs.buckets OBS桶策略服务端加密检查 配置变更 obs.buckets OBS桶启用生命周期规则 配置变更 obs.buckets OBS桶启用WORM保留策略 配置变更 obs.buckets OBS桶使用kms加密 配置变更 obs.buckets OBS桶存储类型检查 配置变更 obs.buckets OBS桶配置桶策略 配置变更 obs.buckets 镜像服务 IMS 私有镜像开启加密 配置变更 ims.images 裸金属服务器 BMS BMS资源使用密钥对登录 配置变更 bms.servers 图引擎服务 GES GES图通过KMS加密 配置变更 ges.graphs GES图开启LTS日志 配置变更 ges.graphs GES图支持跨AZ高可用 配置变更 ges.graphs IAM身份中心 检查IdP证书是否过期 周期触发 identitycenter.idp 检查SCIM令牌是否过期 周期触发 identitycenter.scim 父主题： 系统内置预设策略

操作流程 操作步骤 说明 准备工作 注册华为账号 、开通华为云，为账户充值、赋予CFW权限。 步骤一：购买标准版云防火墙 购买CFW，选择防护的区域、版本规格（本文以标准版为例）等信息。 步骤二：开启EIP的防护 在CFW上对需要防护的EIP开启防护，使流量经过防火墙。 步骤三：将入侵防御模式设置为观察模式 “观察模式”下，防火墙检测到攻击事件时记录到“攻击事件日志”中，不做拦截，避免出现误拦截造成流量中断。 步骤四：定期通过攻击事件日志查看是否存在误拦截可能 查看攻击事件日志，排查是否有被误判的正常流量，记录对应的“规则ID”。 步骤五：调整拦截的IPS规则并将入侵防御模式设置为拦截模式 调整误判规则的防护动作，将入侵防御模式修改至拦截模式（本文以“拦截模式-中等”为例）。 步骤六：通过攻击事件日志查看防护效果 查看攻击事件日志，确认正常流量是否被放行。

准备工作 在购买云防火墙之前，请先注册华为账号并开通华为云。具体操作详见注册华为账号并开通华为云、实名认证。 如果您已开通华为云并进行实名认证，请忽略此步骤。 仅在购买或使用中国大陆云服务区的资源时，需要实名认证。 购买包周期资源时，请保证账户有足够的资金，防止购买云防火墙失败。具体操作请参见账户充值。 请确保已为账号赋予相关CFW权限。具体操作请参见创建用户组并授权使用CFW。 表1 CFW系统角色 角色名称 描述 类别 依赖关系 CFW FullAccess 云防火墙服务的所有权限。 系统策略 无 CFW ReadOnlyAccess 云防火墙服务的只读权限。 系统策略 无

步骤四：添加防护规则——放行访问指定EIP的入方向流量 在“访问策略管理”页面的“防护规则”页签中，单击“添加”，在弹出的“添加防护规则”中，填写以下参数。 图2 放行指定IP 参数 示例 参数说明 方向 外-内（表示入方向流量） 选择流量的方向： 外-内：互联网访问云上资产（EIP）。 内-外：云上资产（EIP）访问互联网。 源 Any 设置会话发起方。 目的 xx.xx.xx.1 设置会话接收方。 服务 Any 设置协议类型、源端口和目的端口。 应用 Any 设置针对应用层协议的防护策略。 动作 放行 设置流量经过防火墙时的处理动作。 放行：防火墙允许此流量转发。 阻断：防火墙禁止此流量转发。 策略优先级 置顶（至少需高于上一条阻断规则） 设置该策略的优先级： 置顶：表示将该策略的优先级设置为最高。 移动至选中规则后：表示将该策略优先级设置到某一规则后。 单击“确认”，完成配置防护规则。

准备工作 在购买云防火墙之前，请先注册华为账号并开通华为云。具体操作详见注册华为账号并开通华为云、实名认证。 如果您已开通华为云并进行实名认证，请忽略此步骤。 仅在购买或使用中国大陆云服务区的资源时，需要实名认证。 购买包周期资源时，请保证账户有足够的资金，防止购买云防火墙失败。具体操作请参见账户充值。 请确保已为账号赋予相关CFW权限。具体操作请参见创建用户组并授权使用CFW。 表1 CFW系统角色 角色名称 描述 类别 依赖关系 CFW FullAccess 云防火墙服务的所有权限。 系统策略 无 CFW ReadOnlyAccess 云防火墙服务的只读权限。 系统策略 无

操作流程 操作步骤 说明 准备工作 注册华为账号、开通华为云，为账户充值、赋予CFW权限。 步骤一：购买标准版云防火墙 购买CFW，选择防护的区域、版本规格（本文以标准版为例）等信息。 步骤二：开启指定EIP的防护 在CFW上对需要防护的EIP开启防护，使流量经过防火墙。 步骤三：添加防护规则——阻断所有入方向流量 配置一条阻断所有入方向流量的防护规则，并将它优先级置于最低。 步骤四：添加防护规则——放行访问指定EIP的入方向流量 配置一条放行指定EIP（本文以xx.xx.xx.1为例）入方向流量的防护规则，并将它优先级设置在阻断规则之上。 步骤五：通过访问控制日志查看命中详情 查看防护规则是否生效。

配置超额采集 当日志超过每月免费赠送的额度（500M）时，超过的部分将按需收费。如果每月免费赠送的额度已经可以满足您的使用需求，超过后希望暂停日志收集，可以在配置中心进行设置。 该开关默认为开启状态，开启后表示当日志超过免费赠送的额度（500M）时，继续采集日志，超过的部分按需收费。 云日志 服务的计费依据为日志使用量，包括日志读写、日志索引和日志存储。超过免费额度后，如果关闭日志采集开关，将无法再进行日志读写和索引，同时也不再产生日志读写和索引费用。关闭日志采集开关后，超额部分的日志继续存储在LTS，LTS收取日志存储费用，系统将根据配置的日志存储时间老化日志，日志老化后将不再产生任何费用。 云日志服务与 应用运维管理 的日志采集开关为同步状态，即如果您在应用运维管理服务关闭了“超额继续采集日志”开关，则云日志服务的开关也同步关闭。 登录云日志服务控制台。 左侧导航选择“配置中心”，进入“配额设置”页面。 选择关闭“超额继续采集日志”。 关闭后表示当日志超过每月免费赠送的额度(500M)时，将暂停采集日志。支持在日志总览页查看当前资源使用情况，详情请参考查看日志管理。 开启“可观测For LTS”，推荐开启，开启后LTS的日志资源统计数据将投递到lts-system/lts-resource-traffic，您可以查看分钟级用量明细、配置自定义告警策略。 可观测功能仅支持华北-北京四、华东-上海一、华南-广州、亚太-新加坡区域的白名单用户使用，如有需要，请提交工单，其他区域暂不支持申请开通。

CodeArts Req最佳实践汇总 表1 CodeArts Req常用最佳实践 实践 描述 对IPD系统设备类项目的智能手表研发项目进行原始需求管理 成功产品的核心特征是满足客户需求。CodeArts Req打破了传统需求管理工具仅在研发阶段发挥作用的限制，将客户与市场需求也同步覆盖，提供了完整的客户需求采集、价值需求决策、交付与验收流程，让需求进展和动态客户实时透明，市场需求流动提速70%。 在CodeArts Req的原始需求管理中，用户可以将客户诉求提交至目标组织，目标组织对需求进行决策、分析、交付及后续验收流程全程实时透明化，可以加速客户诉求的交付速率，提升产品在市场上的竞争力。 对IPD系统设备类项目的智能手表研发项目进行缺陷管理 在整个产品生命周期管理中，缺陷管理是非常关键的一环。无论是硬件系统还是软件开发，都难免遇到不计其数的缺陷，如果缺陷管理不善，产品质量势必大打折扣。华为基于多年沉淀的质量运营管理经验，打造出一套行之有效的缺陷管理优秀实践，为团队提供统一、高效、风险可视的缺陷跟踪平台，确保每一个缺陷都被高质高效闭环。 某公司计划推出一款智能手表，研发周期较长，研发过程涉及多个部门、多团队的协作，如何保证缺陷在多个组织间的流转、最终达到有效闭环呢？下面请跟随我们，一起遍历整个缺陷生命周期管理实践。 对IPD系统设备类的智能手表研发项目进行基线评审管理 产品从规划到上市要经过复杂的研发过程，CodeArts Req提供了基线评审和变更管理能力，实现需求基线-受控变更-变更评审-变更管理的过程化管理，让基线变更如门禁一样，达到阈值才能启动下一步，确保产品研发“做正确的事”。 某公司计划推出一款智能手表，涉及多部门、多团队的协作，且已经过前期的多轮需求沟通与澄清，将研发需求分配到各产研团队。为保障产品如期保质交付，需要确保不同研发生产团队都忠实执行任务，按照既定的需求进行研发落地。这时就需要对需求进行基线管控，基线后的需求不允许随意更改。下面我们以该公司为例，介绍如何实施需求基线管控。 对看板项目的商城管理项目进行需求规划 CodeArts Req提供的看板项目是一种业界流行的轻量、灵活和简单的团队协作方法，它将项目的需求、缺陷和任务可视，让每个人一目了然地掌握每项工作的状态，团队通过移动工作卡片的方式更新工作进展，及时暴露风险和问题。 用户可以创建看板项目对项目进行需求规划，通过新建工作项、分配工作项、处理工作项等来实现项目的需求规划与交付。 对IDP系统设备类的智能手表研发项目进行特性树管理 产品的核心资产就是系统特性，一旦上市系统特性就会不断的增长，CodeArts Req提供产品全量系统特性管理，通过特性树可以更好管理系统特性，实现产品资产不丢失，让跨代的系统特性快速继承和发展。 使用IPD系统设备类管理智能手表研发项目的变更评审 产品从规划到上市要经过复杂的研发过程，CodeArts Req提供了工作项基线受控与变更管理能力，实现工作项受控变更-变更评审-变更管理的过程化管理，把控变更门禁，实现产品研发过程可控，基线契约化，审批留痕，确保决策依据可查，责任可追溯。

步骤三：审批人决策跨项目协同缺陷的评审单 当评审专家完成评审后，缺陷提出项目测试经理Bob作为评审单的审批人会收到待办通知，收到通知后，Bob将前往项目进行处理。 进入服务首页，单击右上角“待办中心”，进入待决策的CR单详情页。 图17 代办中心 在评审单详情页，单击每个变更对象操作列的审批人决策按钮，或勾选待我决策的变更对象，单击右上角的“审批人决策”按钮，弹出审批人决策弹框。 图18 变更评审单决策详情 按照表10填写后，单击“确定”，变更评审单状态为“已完成”。 表10 审批人决策信息说明 参数 解释 取值样例 决策处理 根据需要选择，当选择为“转他人处理”时，会出现“审批人”选择框，且必填。 同意 决策意见 当“决策处理”选择为“同意/拒绝”时，该信息必填。 同意 评审阶段结果 此处展示评审阶段的最终结果。 已通过 评审专家意见 此处展示参与评审阶段的评审专家给出的评审结果和评审意见信息。 -- 图19 审批人决策页面