华为云用户手册

使用HTTP/2 表2 使用HTTP/2注解 参数 类型 描述 支持的集群版本 kubernetes.io/elb.http2-enable String 表示HTTP/2功能的开启状态。开启后，可提升客户端与LB间的访问性能，但LB与后端服务器间仍采用HTTP1.X协议。 取值范围： true：开启HTTP/2功能； false：关闭HTTP/2功能（默认为关闭状态）。 注意：只有当监听器的协议为HTTPS时，才支持开启或关闭HTTP/2功能。当监听器的协议为HTTP时，该字段无效，默认将其设置为false。 v1.23.13-r0、v1.25.8-r0、v1.27.5-r0、v1.28.3-r0及以上版本 具体使用场景和说明请参见ELB Ingress配置HTTP/2。

Virtual Kubelet可分配资源监控影响说明 安装Virtual Kubelet插件后，系统会将CCI的资源作为集群节点资源。从监控的角度，相当于引入一个超大节点，此时在CCE集群监控界面上可分配资源使用率会把CCI的资源放在一起计算。如下所示，刚安装Virtual Kubelet插件后，CPU/内存的可分配率剧烈下降。 图2 集群监控 您可以在节点管理界面或AOM中查看具体节点的分配率。 图3 在AOM中查看节点资源可分配率

卸载插件 登录CCE控制台，进入集群，在左侧导航栏选择“插件管理”，在右侧“已安装插件”页签下，单击virtual kubelet下的“卸载”。 在弹出的窗口中，单击“是”，可卸载该插件。（卸载插件会自动删除CCI侧的所有资源，以确保不会有资源残留造成额外计费） 由于virtual-kubelet插件卸载时会在集群中启动Job用于清理资源，卸载插件时请保证集群中至少有一个可以调度的节点，否则卸载插件会失败。若已经因无可调度节点造成插件卸载失败，需要在有可调度节点后重新单击插件卸载。 如果在未卸载virtual-kubelet插件的情况下直接删除集群，CCI侧的资源不会被自动清理，会导致CCI侧资源残留，可能会造成额外计费。因此请确保完成以下任意一操作。 在删除集群前先卸载virtual-kubelet插件。 在直接删除集群后登录CCI控制台删除名为cce-burst-${CLUSTER_ID}的命名空间。 集群休眠时CCI侧正在运行的实例不会自动停止，会持续运行并计费。因此如不需要实例继续运行，请确保在集群休眠前将弹性到CCI的负载实例数缩至0。

通过标签labels设置弹性策略 您成功安装virtual-kubelet插件后，在工作负载中添加virtual-kubelet.io/burst-to-cci这个标签即可设置弹性到CCI。 apiVersion: apps/v1 kind: Deployment metadata: name: test namespace: default labels: virtual-kubelet.io/burst-to-cci: 'auto' # 弹性到CCI spec: replicas: 2 selector: matchLabels: app: test template: metadata: labels: app: test spec: containers: - image: 'nginx:perl' name: container-0 resources: requests: cpu: 250m memory: 512Mi limits: cpu: 250m memory: 512Mi volumeMounts: [] imagePullSecrets: - name: default-secret 创建弹性至CCI的负载时需要在工作负载或Pod的labels中添加如下字段： virtual-kubelet.io/burst-to-cci: "auto" 其中，value值支持以下选项： auto：根据用户集群内调度器实际打分结果自动决定是否弹性至CCI，其中在TaintToleration算法上会优先选择调度到CCE节点。 localPrefer：集群资源不足时，将Pod部署到CCI。 enforce：强制调度至CCI。 off：不调度至CCI。

使用profile管理线下IDC和云上分配数量 使用profile配置管理集群内pod，通过labelSelector类方式关联profile和pod，并配置关联pod的分配策略，实现pod在线下IDC和云上的分配或数量限制。 约束与限制 客户可通过Profile配置管理集群内pod策略，仍兼容原有pod的label内burst-to-cci的配置方式，优先级比profile高。 localPrefer不可同时配置local、cci。 auto和localPrefer策略允许关联未被profile关联过的pod，enforce策略不允许关联未被profile关联过的pod。 目前profile在配置localPrefer策略下，为避免全局性问题，在极限场景下限制local数量的配置可能会失效。 在deployment滚动升级场景下，推荐配置尽可能小的maxSurge值（如直接配置为0），避免出现升级时限制maxNum的区域调度量少于预期的现象。 pod只能关联一个profile，即关联度最大的profile。若pod创建后，对其label进行修改导致与原profile不匹配，pod会重新选择关联度最大的profile进行关联。关联度最大的profile确定方法： 根据profile中obejectLables计算labelSelector内matchLabels的数量及matchExpression的数量之和，和最大的profile即为pod关联度最大的profile； 若出现和相同的profile，选择profile的name字母序最小的profile为pod关联度最大的profile。 不支持使用log-agent插件采集profile管理的负载日志。 使用方式 配置local maxNum和scaleDownPriority apiVersion: scheduling.cci.io/v1 kind: ScheduleProfile metadata: name: test-cci-profile namespace: default spec: objectLabels: matchLabels: app: nginx strategy: localPrefer location: local: maxNum: 20 # 当前暂不支持local/cci同时配置maxNum scaleDownPriority: 10 cci: {} status: phase: initialized restrict: local: 20 # restrict内随着location内配置进行填写，即不会同时出现 local/cci used: local: 20 cci: 0 配置cci maxNum和scaleDownPriority apiVersion: scheduling.cci.io/v1 kind: ScheduleProfile metadata: name: test-cci-profile namespace: default spec: objectLabels: matchLabels: app: nginx strategy: localPrefer location: local: {} cci: maxNum: 20 # 当前暂不支持local/cci同时配置maxNum scaleDownPriority: 10 status: phase: initialized restrict: cci: 20 # restrict内随着location内配置进行填写，即不会同时出现 local/cci used: local: 0 cci: 20

版本记录 表1 CCE突发弹性引擎（对接CCI）插件版本记录 插件版本 支持的集群版本 更新特性 1.3.57 v1.21 v1.23 v1.25 v1.27 v1.28 适配CCE v1.28集群 1.3.54 v1.21 v1.23 v1.25 v1.27 修复部分问题。 1.3.48 v1.21 v1.23 v1.25 v1.27 支持v1.25、v1.27版本集群 支持JuiceFS类型的存储 1.3.44 v1.17 v1.19 v1.21 v1.23 支持Pod配置全域弹性公网IP 1.3.35 v1.17 v1.19 v1.21 v1.23 支持原地升级镜像 支持ReadinessGates 1.3.25 v1.17 v1.19 v1.21 v1.23 支持DownwardAPI Volume 支持Projected Volume 支持自定义StorageClass 1.3.19 v1.17 v1.19 v1.21 v1.23 支持schedule profile 1.3.7 v1.17 v1.19 v1.21 v1.23 支持v1.21、v1.23版本集群 1.2.12 v1.13 v1.15 v1.17 v1.19 新增了部分metrics指标 支持HPA与CustomedHPA 支持将弹性到CCI的Pod中的hostPath转换为其它类型存储 修复Kubernetes Dashboard无法使用终端问题 1.2.5 v1.13 v1.15 v1.17 v1.19 支持CCE Turbo集群 自动清理CCI中不再被Pod依赖的资源 支持配置Requests与Limits不相等，弹性到CCI时的资源申请量以Limits为准 修复CCI命名空间不存在时插件卸载失败问题 增加对Pod规格超过CCI限制的创建请求的拦截 1.2.0 v1.13 v1.15 v1.17 v1.19 支持v1.19版本集群 支持SFS、SFS Turbo类型存储 支持CronJob 支持配置envFrom 日志文件自动转储 屏蔽TCPSocket类型健康检查 支持配置资源标签（pod-tag） 提升了性能和可靠性 修复了一些已知问题 1.0.5 v1.13 v1.15 v1.17 支持v1.17版本集群

插件简介 云原生日志采集插件（log-agent）是基于开源fluent-bit和opentelemetry构建的云原生日志、K8s事件采集插件。log-agent支持基于CRD的日志采集策略，可以根据您配置的策略规则，对集群中的容器标准输出日志、容器文件日志及K8s事件日志进行采集与转发。同时支持上报K8s事件到AOM，用于配置事件告警，默认上报所有异常事件和部分正常事件。采集日志的详细使用方法请参见收集容器日志。

权限说明 云原生日志采集插件中的fluent-bit组件会根据用户的采集配置，读取容器标准输出、容器内文件日志并采集。 fluent-bit组件运行需要以下权限： CAP_DAC_OVERRIDE：忽略文件的 DAC 访问限制。 CAP_FOWNER：忽略文件属主 ID 必须和进程用户 ID 相匹配的限制。 DAC_READ_SEARCH：忽略文件读及目录搜索的 DAC 访问限制。 SYS_PTRACE：允许跟踪任何进程。

安装插件 登录CCE控制台，单击集群名称进入集群，在左侧导航栏中选择“插件中心”，在右侧找到云原生日志采集插件，单击“安装”。 在安装插件页面，设置“规格配置”。 表1 插件规格配置 参数 参数说明 实例数 选择上方插件规格后，显示插件中的实例数。 选择“自定义”规格时，您可根据需求调整插件实例数。 容器 log-agent插件包含以下容器，您可根据需求自定义调整规格： fluent-bit：日志收集器，以DaemonSet形式安装在每个节点。 log-operator：负责解析及更新日志规则的组件。 otel-collector：负责集中式日志转发的组件，将fluent-bit收集的日志转发到LTS。 完成以上配置后，单击“安装”。

操作步骤 登录视频直播控制台。 在左侧导航栏中，选择“域名管理”，进入域名管理页面。 请根据实际需求选择以下操作。 查看域名信息 在域名列表中，可查看已添加域名的CNAME值、域名类型、状态及创建时间等信息。 图1 域名状态 单击右侧操作列的“管理”，可查看目标域名的详细基本信息。 停用域名 停用域名后，该域名下正常启动的媒体直播频道会无法提供服务。域名停用状态下，受影响的频道均无法重新启动。 若您需要停用某个域名，可以在需要停用的域名行单击“停用”。当“状态”变为“停用”时，表示域名停用成功。 启用域名 若您需要将某个已停用的直播域名重新启用，可以在需要启用的域名行单击“启用”。当“状态”变为“正常”时，表示域名启用成功。 删除域名 注意：仅在“停用”状态下的域名才能删除。因此，您需要先停用不需要的域名，再在需要删除的域名行单击“删除”即可。

概览 登录视频直播控制台，进入“概览”页面。 图1 概览 在该页面可查看如下信息，也可以单击右上角的“使用指南”，查看操作文档。 今日数据 下行流量：今日所有播放域名使用播放加速产生的下行流量总和。 下行带宽峰值：今日所有播放域名使用播放加速产生的下行带宽峰值。 使用趋势：查询近期的直播用量趋势。 下行流量：所有播放域名在查询时间段内，使用播放加速消耗的总下行流量。 下行带宽：所有播放域名在查询时间段内，使用播放加速消耗的总下行带宽峰值。 上行带宽：所选播放域名在查询的时间段内，对应推流端产生的总上行带宽。 可将鼠标放置在图表上，查看具体数值，滚动鼠标滚轮可整体加长或缩短展示横轴的时间段。 计费模式：用户当前的CDN计费方式。可以单击“变更”，变更CDN计费方式。也可以单击“购买套餐包”，购买价格更优惠的套餐包使用。 客户等级为V0和V1的账户暂不支持变更计费方式，只能按流量计费。

功能列表 您可以在视频直播控制台的左侧导航栏中选择对应功能，进行配置或使用。 表1 控制台功能介绍 分类 功能 功能介绍 域名管理 域名配置 支持用户添加并管理自有的加速域名，并查看域名的CNAME值。 HTTPS证书配置 如果媒体直播的播放地址需要使用https://开头的地址，需要参考HTTPS证书配置，配置HTTPS证书。 频道管理 创建频道 您可以在媒体直播开始前，创建频道。 媒资输入类型包括： FLV_PULL：无需执行推流操作，直接获取用户提供的音视频拉流URL，媒体直播服务从URL拉流直接推流到源站。 如果媒资输入类型为“FLV_PULL”时，拉流URL仅支持HTTP协议，暂不支持其他协议。 RTMP_PUSH：需要配置推流域名，并执行推流操作。 直播转码 创建直播转码模板 支持对媒体直播视频进行转码模板配置，将推送的媒体直播流转码成多种分辨率和码率规格的，以满足不同网络环境的用户观看需求。 业务监控 业务监控 支持查看播放域名的监控信息，包括下行带宽/流量、请求响应返回的所有状态码和下行并发数。 工具库 获取频道回看URL 支持用户获取频道回看URL。

操作步骤 下面以播放域名为例，推流域名的CNAME配置步骤相同。 获取域名对应的CNAME值。 登录视频直播控制台，在左侧导航树中选择“域名管理 ”，进入域名管理页面。 在所需域名行获取对应的CNAME。 图1 获取CNAME值 登录云解析服务控制台。 在左侧导航栏中，选择“公网域名”，进入域名列表页面。 在需要配置解析的域名行，单击“域名”列的域名名称。 以域名“example.com”为例，找到对应的"example.com"域名行。 图2 域名列表 在页面右上角单击“添加记录集”。 图3 添加记录集 根据界面提示填写参数配置，参数信息如表1所示。 表1 参数说明 参数名 描述 如何配置 主机记录 输入域名的二级域名（后缀无需用户手动填写）。 以播放域名“play-test.example.com”为例，此处输入“play-test”。 类型 记录集的类型，此处为CNAME类型。 选择“CNAME-将域名指向另外一个域名”。 别名 用于是否将此记录集关联至云服务资源实例。 是：为此记录集关联云服务资源实例，详细说明请参见设置记录集别名。 否：不为此记录集关联云服务资源实例。 否 线路类型 用于DNS服务器在解析域名时，根据访问者的来源，返回对应的服务器IP地址，具体请参见解析线路。 默认值为“全网默认”。 仅支持为公网域名的记录集配置此参数。 选择“全网默认”。 TTL(秒) 记录集的有效缓存时间，以秒为单位。 数值越小，修改记录各地生效时间越快。 默认为“5分钟”，若无特殊需求，可直接保持默认选择。 值 需指向的域名，即步骤1获取的CNAME。 以播放域名“play-test.example.com”为例，此处输入“play-test.example.com.c.cdnhwc3.com”。 权重 可选参数，解析记录的权重，当域名有多条某一类型的解析记录时，根据权重数值选择解析记录，权重数值越高，优先级越高。默认值为1。 仅支持为公网域名的记录集配置此参数。 取值范围：0~100。 1 标签 可选参数，记录集的标识，包括键和值，每个记录集可以创建10个标签。 example_key1 example_value1 描述 可选参数，对域名的描述，主要起到提示作用。 长度不超过255个字符。 - 单击“确定”，完成添加。 您可以在域名对应的记录集列表中查看添加的记录集。当记录集的状态显示为“正常”时，表示记录集添加成功。 执行步骤1-步骤6，完成对推流域名的CNAME配置。

管理转码 转码模板配置完成后，您还可以根据实际需要进行如下操作。 修改转码模板 转码模板创建完成后，若您需要修改部分参数，可以通过单击操作列的“修改”，修改转码模板中的相关参数。如果转码模板所在频道已经启用，需要重启频道，修改才能生效。频道重启流程耗时约30s。频道重启过程中，音视频流转码流程会中断，待频道重启完成后，转码流程自动恢复。 删除转码模板 转码模板创建完成后，若您需要删除转码模板，可以通过单击操作列的“删除”，删除该转码模板。

什么是区域、可用区？ 我们用区域和可用区来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）：从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region，通用Region指面向公共租户提供通用云服务的Region；专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 可用区（AZ，Availability Zone）：一个AZ是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 图1阐明了区域和可用区之间的关系。 图1 区域和可用区 目前，华为云已在全球多个地域开放云服务，您可以根据需求选择适合自己的区域和可用区。

如何选择区域？ 选择区域时，您需要考虑以下几个因素： 地理位置 一般情况下，建议就近选择靠近您或者您的目标用户的区域，这样可以减少网络时延，提高访问速度。 在除中国大陆以外的亚太地区有业务的用户，可以选择“中国-香港”、“亚太-曼谷”或“亚太-新加坡”区域。 在非洲地区有业务的用户，可以选择“非洲-约翰内斯堡”区域。 在拉丁美洲地区有业务的用户，可以选择“拉美-圣地亚哥”区域。 资源的价格 不同区域的资源价格可能有差异，请参见华为云服务价格详情。

修订记录 发布日期 修改记录 2022-07-16 第十三次正式发布。 新增常见问题：威胁检测服务如何收费？、威胁检测服务支持退订吗？、威胁检测服务到期后，如何续费？。 2022-03-08 第十二次正式发布。 修改什么是威胁检测服务？。 2022-01-14 第十一次正式发布。 增加检查VPC能力，优化内容描述。 2021-12-03 第十次正式发布。 新增常见问题：如何通过主账号对子账号赋予MTD权限？ 删除：威胁检测服务是否收费，能否免费使用？ 删除：购买威胁检测服务（MTD）后，使用其他业务/服务出现token校验不通过怎么处理？ 2021-11-30 第九次正式发布。 新增常见问题：威胁检测服务可以跨区域使用吗？ 2021-11-17 第八次正式发布。 删除如何创建追踪器。 2021-09-29 第七次正式发布。 新增常见问题：什么是DGA域名生成算法？ 2021-08-23 第六次正式发布。 新增：购买MTD服务后，关闭所有日志数据源开关是否会计费？ 2021-07-10 第五次正式发布。 正式版本上线，修改章节如下： 什么是威胁检测服务？ 威胁检测服务的检测源头是什么？ 如何编辑Plaintext格式的对象？ 威胁检测服务购买后如何使用？ 威胁检测服务可以检测哪些风险？ 威胁检测服务是否支持自动防御措施？ 2021-07-02 第四次正式发布。 修改威胁检测服务是否收费，能否免费使用？章节。 2021-05-27 第三次正式发布。 新增用户使用过程出现的问题和一些常见问题，如下： 如何编辑Plaintext格式的对象？ 购买威胁检测服务（MTD）后，使用其他业务/服务出现token校验不通过怎么处理？ 威胁检测服务是否收费，能否免费使用？ 威胁检测服务购买后如何使用？ 威胁检测服务可以检测哪些风险？ 威胁检测服务是否支持自动防御措施？ 2021-04-27 第二次正式发布。 新增如何配置追踪器。 2021-01-20 第一次正式发布。

UserPermissions 发现与历史情报相似的恶意IP尝试调用一个API，该API通常用于在您的账户中添加、修改或删除IAM用户、组或策略。 严重级别：非固定，MTD根据告警实际威胁程度定级。 数据源：CTS日志。 此调查结果通知您，发现一个与历史情报相似的恶意IP尝试调用API，该API通常用于在您的账户中添加、修改或删除IAM用户、组或策略。 修复建议： 如果此IP为您正常使用IP，请添加到MTD的白名单中。

NetworkPermissions 发现与历史情报相似的恶意IP尝试调用一个API，该API通常用于更改您的账户中的安全组、路由和ACL的网络访问权限。 严重级别：非固定，MTD根据告警实际威胁程度定级。 数据源：CTS日志。 此调查结果通知您，发现与历史情报相似的恶意IP尝试调用一个API，该API通常用于更改您的账户中的安全组、路由和ACL的网络访问权限。 修复建议： 如果此IP为您正常使用IP，请添加到MTD的白名单中。

ResourcePermissions 发现与历史情报相似的恶意IP尝试调用一个API，该API通常用于更改您的账户中各种资源的安全访问策略。 严重级别：非固定，MTD根据告警实际威胁程度定级。 数据源：CTS日志。 此调查结果通知您，发现一个与历史情报相似的恶意IP尝试调用API，该API通常用于更改您的账户中各种资源的安全访问策略。 修复建议： 如果此IP为您正常使用IP，请添加到MTD的白名单中。

示例流程 图1 给用户授权服务权限流程 创建用户组并授权 在统一身份认证控制台创建用户组，并授予MTD权限。 创建用户并加入用户组 在统一身份认证控制台创建用户，并将其加入1中创建的用户组。 创建自定义策略 创建自定义策略。 用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择除MTD外（假设当前策略仅包含MTD）的任一服务，若提示权限不足，表示MTD已生效。

前提条件 已通过主账号对子账号赋予MTD权限。详细操作请参见如何通过主账号对子账号赋予MTD权限？。 当您使用子账号对服务进行创建检测引擎或其它操作时，需要您通过主账号对子账号 进行授权才可使用子账号对MTD服务进行操作。 操作步骤详情如下： 1. 需要您创建自定义策略。 在统一身份认证控制台创建自定义策略，操作详情请参见创建自定义策略。 2. 需要您给用户的用户组授权。 授予用户的用户组策略权限，操作详情请参见给用户的用户组授权。

MTD权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 MTD部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问MTD时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对MTD服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。

计费模式 提供包周期（包年/包月）计费模式，使用越久越便宜。包周期计费将按照订单的购买周期进行结算。 表2 MTD各版本计费模式 版本规格 计费模式 检测量说明 价格详情 入门包 包年/包月 DNS和VPC检测量：1G/月 CTS日志检测事件数：0.05百万/月 IAM日志检测事件数：0.05百万/月 OBS日志检测事件数：0.5百万/月 产品价格详情 初级包 包年/包月 DNS和VPC检测量：70G/月 CTS日志检测事件数：1百万/月 IAM日志检测事件数：0.5百万/月 OBS日志检测事件数：30百万/月 基础包 包年/包月 DNS和VPC检测量：230G/月 CTS日志检测事件数：20百万/月 IAM日志检测事件数：2百万/月 OBS日志检测事件数：300百万/月 高级包 包年/包月 DNS和VPC检测量：600G/月 CTS日志检测事件数：50百万/月 IAM日志检测事件数：5百万/月 OBS日志检测事件数：700百万/月

到期与欠费 到期 服务到期后，如果您没有按时续费，华为云将提供一定的资源保留期，保留期结束后，您的相关资源会被自动删除，且不能再找回资源，也不能再续费。关于保留期时长等信息请参考资源停止服务或逾期释放说明。 如果您所购买的服务规格到期，且未进行续购，MTD将根据您的使用情况按需计费。 欠费 如果存在月检测量超出您所购买的服务规格的情况，检测量“叠加包”的按需购买可能会导致您的账号欠费。 欠费后，您可以在管理控制台费用中心查询欠费详情。为了相关资源不受影响，请您及时充值，详细操作请参考欠费还款。

计费项 威胁检测服务根据您购买的服务规格、使用时长和超出服务规格的检测量进行计费。 表1 计费项信息 计费项 计费说明 服务规格（必选） 按购买的服务规格：入门包、初级包、基础包、高级包计费。 叠加包 按实际检测量超出您所购买的服务规格部分计费。 注意： 无需主动购买。在您的购买时长内，若某月实际检测量超出您所购买的服务规格，系统将根据实际检测量自动购买对应的叠加包，自动按需计费。 购买时长（必选） 提供包月和包年的购买模式。

前提条件 已通过主账号对子账号赋予MTD权限。详细操作请参见如何通过主账号对子账号赋予MTD权限？。 当您使用子账号对服务进行创建检测引擎或其它操作时，需要您通过主账号对子账号 进行授权才可使用子账号对MTD服务进行操作。 操作步骤详情如下： 1. 需要您创建自定义策略。 在统一身份认证控制台创建自定义策略，操作详情请参见创建自定义策略。 2. 需要您给用户的用户组授权。 授予用户的用户组策略权限，操作详情请参见给用户的用户组授权。

ResourcePermissions 发现与历史情报相似的恶意IP尝试调用一个API，该API通常用于更改您的账户中各种资源的安全访问策略。 严重级别：非固定，MTD根据告警实际威胁程度定级。 数据源：CTS日志。 此调查结果通知您，发现一个与历史情报相似的恶意IP尝试调用API，该API通常用于更改您的账户中各种资源的安全访问策略。 修复建议： 如果此IP为您正常使用IP，请添加到MTD的白名单中。

NetworkPermissions 发现与历史情报相似的恶意IP尝试调用一个API，该API通常用于更改您的账户中的安全组、路由和ACL的网络访问权限。 严重级别：非固定，MTD根据告警实际威胁程度定级。 数据源：CTS日志。 此调查结果通知您，发现与历史情报相似的恶意IP尝试调用一个API，该API通常用于更改您的账户中的安全组、路由和ACL的网络访问权限。 修复建议： 如果此IP为您正常使用IP，请添加到MTD的白名单中。

UserPermissions 发现与历史情报相似的恶意IP尝试调用一个API，该API通常用于在您的账户中添加、修改或删除IAM用户、组或策略。 严重级别：非固定，MTD根据告警实际威胁程度定级。 数据源：CTS日志。 此调查结果通知您，发现一个与历史情报相似的恶意IP尝试调用API，该API通常用于在您的账户中添加、修改或删除IAM用户、组或策略。 修复建议： 如果此IP为您正常使用IP，请添加到MTD的白名单中。