华为云用户手册

删除资源栈 1.无删除保护 进入资源栈列表页面，找到刚创建成功的资源栈，单击行操作列的“删除”，页面弹出确认删除框，在输入框中再次输入Delete，单击确定，即可删除。 或者进入资源栈详情页单击页面右上角的“删除”的按钮，达到相同的效果，样例如图1： 图1 删除资源栈弹框 2.存在删除保护 当资源中删除保护选项为“开启”时，如图2 图2 删除保护 如果在启用删除保护的情况下删除资源堆栈，则会显示错误消息，如图3 图3 删除失败 父主题： 入门

更新资源栈集 1.进入资源栈集界面，单击需要创建资源栈的资源栈集名称进入。 2.进入资源栈实例界面右上角单击“更新”按钮 3.进入选择模板页面，此处可以选择两种创建方式“1.使用当前模板”“2.替换当前模板” 此时，选择"使用当前模板"或者"替换当前模板"即使用一个新模板来进行已有资源栈集的更新功能。 方案一：使用当前模板： 单击"下一步"，进入参数配置页面，对当前模板配置参数进行修正。 单击“下一步”进入配置设置页面，需要填写需要创建的租户id和部署区域。 配置确认，确认上述步骤中回填参数无误，单击“部署”并确认。 方案二：替换当前模板：此处参考创建资源栈集进行创建 父主题： 使用资源栈集

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 各类各项云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。 华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类各项云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

支持Provider版本列表 Provider是将各类资源的API（比如资源的CRUD操作API）封装而成的插件，供资源编排引擎调用。 资源编排支持Provider类型与版本如下表。 类型 介绍 版本 支持云服务数 支持资源数 terraform-provider-huaweicloud 用户可以用华为云的provider与华为云上的各种资源进行交互。provider在使用前，需要配置相应的权限。 1.64.4 95 603 1.61.1 94 525 1.59.1 92 474 1.58.0 92 461 1.57.0 91 426 1.56.0 91 413 1.54.1 88 388 1.52.0 87 367 1.50.0 86 350 1.49.0 83 346 1.48.0 82 324 1.47.1 82 296 1.46.0 83 282 1.44.1 80 270 1.43.0 71 252 1.42.0 68 236 1.41.0 63 225 1.40.2 63 225 1.40.1 63 225 1.40.0 63 225 1.39.0 63 221 1.38.2 33 117 1.38.1 33 117 父主题： 资源编排

产品优势 声明性：用户仅需直观描述所需资源的最终状态，屏蔽复杂的申请过程，降低资源管理的复杂度。 幂等：资源描述代码多次调用效果幂等，可确保不重复申请资源。 安全可靠：可视化的审计、安全、和合规控制策略，杜绝资源变更操作带来的安全风险。 生态丰富：南向生态支持华为云主流服务（90+云服务、540+资源对象，详情参见：资源支持清单），开箱即用；北向完全兼容HCL语法，无学习成本。 简单易用：向导式操作配合完善的资料、样例辅助体系，五步即可完成资源管理操作。 服务全托管全云化：用户不需要安装任何软件、不需要准备执行机、不需要管理底层文件和数据就可以完成资源的自动化管理。 自动回滚：资源部署失败自动将所有资源状态返回上一个成功部署的状态。 父主题： 资源编排

审计与日志 审计 云审计服务（Cloud Trace Service，CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 RFS支持审计的操作事件，请参见云审计服务支持的RFS操作列表。 日志 用户开通云审计服务并创建和配置追踪器后，CTS可记录与RFS相关的操作事件，方便您进行事后审计。您可以在CTS控制台，事件列表菜单中，搜索RFS的事件来源，即可查看所有RFS相关的审计日志。 审计日志查看方法，请参见查看云审计日志。 父主题： 安全

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 各类各项云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。 华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类各项云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

身份认证与访问控制 身份认证 租户使用RFS服务通常有两种调用方式：控制台访问和API调用。 1.控制台身份认证方式 RFS对接了统一身份认证服务（Identity and Access Management，IAM）。RFS租户身份认证与访问控制通过IAM权限控制。 统一身份认证（Identity and Access Management，简称IAM）是华为云提供权限管理的基础服务，可以帮助RFS服务安全地控制访问权限。通过IAM，可以将用户加入到一个用户组中，并用策略来控制他们对RFS资源的访问范围。IAM权限可以通过细粒度定义允许和拒绝的访问操作，以此实现RFS资源的权限访问控制。 2.API调用身份认证方式 所有的API接口调用均需要经过认证的请求才可以访问成功，经过认证的请求需要包含一个签名值，该签名值以请求者的访问密钥（AK/SK）作为加密因子，结合请求体携带的特定信息计算而成。通过访问密钥（AK/SK）认证方式进行认证鉴权，即使用Access Key ID（AK）/Secret Access Key（SK）加密的方法来验证某个请求发送者身份。关于访问密钥的详细介绍及获取方式，请参见如何获取AK/SK？（账号）。 父主题： 安全

另存查询 您可以修改预设查询或已有自定义查询的名称、描述和查询语句，“另存为”后产生新的查询，以“预设查询”为例，您可按如下步骤操作。 进入“高级查询”页面，选择“预设查询”页签。 “高级查询”页面默认展示预设查询列表。 单击目标查询操作列的“使用查询”，进入“使用查询”页面。 也可以单击查询名称，进入查询概览页，再单击查询概览页右下方的“使用查询”，进入“使用查询”页面。 图2 使用预设查询 根据界面提示，在查询编辑器中修改查询语句。 详细请参见高级查询配置样例。 单击“另存为”，配置查询名称和描述。 在弹框中，单击“确定”。 通过“另存为”操作产生的新查询，将更新在自定义查询列表中。

新建查询 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击页面左侧的“高级查询”，进入“高级查询”页面。 选择“自定义查询”页签，单击页面右上角的“新建查询”。 根据界面提示，在查询编辑器中输入查询语句。 页面左侧为高级查询使用的Schema信息，也就是查询语句中properties参数需要填写的内容，为各个云服务资源类型的详细属性。查询语句的配置样例请参见高级查询配置样例。 单击“保存查询”，输入查询名称和描述。 查询名称仅支持输入数字、英文字母、下划线和中划线。 单击“确定”，保存成功。 图1 保存查询 如果自定义查询达到限额时，您将无法单击“保存查询”，同时页面右上方提示“您创建的查询已达到上限，请删除暂不需要使用的查询。”。但此时您依然可以单击“运行”，直接运行查询并查看和导出查询结果。 单击“运行”，查看查询结果。目前只支持展示和导出前4000条查询结果。 单击“导出”，选择要导出的文件格式（CSV格式或JSON格式）。

基本概念 示例模板： 配置审计服务提供给用户的合规规则包模板，合规规则包示例模板旨在帮助用户快速创建合规规则包，其中包含适合用户场景的合规规则和输入参数。 预定义合规规则包： 通过“示例模版”创建的合规规则包，用户只需要填入所需的规则参数即可完成合规规则包的部署流程。 自定义合规规则包： 用户根据自身需求编写合规规则包的模板文件，在模板文件中填入适合自身使用场景的预设规则或自定义规则，然后通过“上传模版”或“OBS存储桶”方式完成合规规则包的部署流程。自定义模板文件格式和文件内容格式均为JSON，不支持tf格式和zip格式的文件内容。 合规性数据： 一个合规规则包包含一个或多个合规规则，而每一条合规规则会评估一个或多个资源的合规结果，配置审计服务提供了如下的合规性数据，供您了解合规规则包的评估结果概览： 合规规则包的合规性评估：代表合规规则包中的所有合规规则是否评估到不合规的资源。若存在不合规资源，则合规评估结果为“不合规”；若不存在不合规资源，则合规评估结果为“合规”。 合规规则的合规性评估：代表合规规则包中的单个合规规则是否评估到不合规的资源。若存在不合规资源，则合规评估结果为“不合规”；若不存在不合规资源，则合规评估结果为“合规”。 合规规则包的合规分数：代表合规规则包中所有规则的合规资源数之和与所有规则的评估资源数之和的百分比。若该值为100，则代表合规规则包中所有的合规评估结果均为合规；若该值为0，则代表合规规则包中所有的合规评估结果均为不合规；若该值为“--”，则代表合规规则包未评估到任何资源。 图1 合规分数计算公式 资源栈： 合规规则包下发的合规规则的创建与删除行为最终是通过资源栈来实现的。资源栈是资源编排服务的概念，详见资源栈。 状态： 合规规则包的部署状态。包括以下几种情况： 已部署：合规规则包已部署成功，合规规则均创建成功。 部署中：合规规则包正在部署中，合规规则正在创建中。 部署异常：合规规则包部署失败。 回滚成功：合规规则包下发的合规规则创建失败，触发合规规则的回滚行为，已创建的合规规则删除成功。 回滚中：合规规则包下发的合规规则创建失败，触发合规规则的回滚行为，已创建的合规规则正在删除中。 回滚失败：合规规则包下发的合规规则创建失败，触发合规规则的回滚行为，回滚行为失败，需在RFS服务查看失败原因。 删除中：合规规则包正在删除中，合规规则正在删除中。 删除异常：合规规则包删除失败。 更新成功：合规规则包修改并更新成功。 更新中：合规规则包修改更新中。 更新失败：合规规则包修改更新失败。 合规规则包的授权： 通过资源编排服务的资源栈创建和删除合规规则时，需要拥有合规规则的创建和删除的权限。因此，部署合规规则包时，需要提供一个具有相应权限的委托，供配置审计服务的合规规则包下发时使用。 快速授权：快速授权将为您快速创建一个名为“rms_conformance_pack_agency”的委托，该权限是可以让合规规则包创建和删除的委托，该委托的权限包含授权资源编排服务（RFS）创建、更新和删除合规规则的权限。 自定义授权：您可自行在统一身份认证服务（IAM）中创建委托权限，并进行自定义授权，但必须包含可以让合规规则包正常工作的权限（授权资源编排服务创建、更新和删除合规规则的权限），创建委托详见创建委托（委托方操作）。

使用限制 单账号跟踪的事件可以通过云审计控制台查询。多账号的事件只能在账号自己的事件列表页面去查看，或者到组织追踪器配置的OBS桶中查看，也可以到组织追踪器配置的CTS/system日志流下面去查看。 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录，您必须配置转储到对象存储服务(OBS)，才可在OBS桶里面查看历史文件。否则，您将无法追溯7天以前的操作记录。 云上操作后，1分钟内可以通过云审计控制台查询管理类事件操作记录，5分钟后才可通过云审计控制台查询数据类事件操作记录。

其他操作 您可以修改预设查询或已有自定义查询的名称、描述和查询语句，“另存为”后产生新的查询，具体请参考其他操作。 如果您需要查看某个查询的名称、描述和查询语句，请参考查看查询。 如果您需要修改某个自定义查询的查询语句，请参考修改查询。 如果您不需要使用某个自定义的查询，删除操作请参考删除查询。预设查询不支持删除操作。 使用资源聚合器高级查询的相关功能，必须先指定需要查询的资源聚合器，从而定义您的查询范围，对指定聚合器聚合的多个源账号下的资源进行高级查询。

概述 资源聚合器提供高级查询能力，通过使用ResourceQL自定义查询单个或多个聚合源账号的资源配置状态。 高级查询支持用户自定义查询和浏览华为云云服务资源，用户可以通过ResourceQL在查询编辑器中编辑和查询。 您可以使用Config预设的查询语句，或根据资源配置属性自定义查询语句，查询具体的云资源配置。 ResourceQL是结构化的查询语言(SQL) SELECT语法的一部分，它可以对当前资源数据执行基于属性的查询和聚合。查询的复杂程度不同，既可以是简单的标签或资源标识符匹配，也可以是更复杂的查询，例如查看指定具体OS版本的云服务器。 高级查询仅支持用户自定义查询、浏览、导出云服务资源，如果要对资源进行修改、删除等管理类的操作，请前往资源所属的服务页面进行操作。

使用限制 为避免单用户长时间查询占用资源，影响其他用户，对高级查询功能做以下限制： 单次查询语句的执行时长不能超过15秒，否则会返回超时错误。 单次查询语句查询大量数据，会返回查询数据量过大的报错，需要用户主动简化查询语句。 单次查询结果只返回前4000条。 单个查询语句中最多只能做两次表的关联查询。 每个账号最多可以创建200个高级查询。 高级查询功能依赖于资源记录器所收集的资源数据，强烈建议您保持资源记录器的开启状态，不同场景的说明如下： 如您从未开启过资源记录器，则高级查询语句无法查询到任何资源数据。 如您已开启资源记录器，但仅在资源记录器监控范围内勾选部分资源，则高级查询语句仅能查询到所选择的资源数据。 如您开启资源记录器并勾选全部资源，但后续又关闭资源记录器，则高级查询语句仅能查询到资源记录器由开启到关闭期间收集到的资源数据。 关于如何开启并配置资源记录器请参见：配置资源记录器。

新建查询 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击页面左侧的“资源聚合器”，在下拉列表中选择“高级查询”，进入“高级查询”页面。 选择“自定义查询”页签，单击页面右上角的“新建查询”。 在右侧的“查询范围”页面中选择需要查询资源配置的聚合器，然后在下方输入框中输入查询语句。 页面左侧为高级查询使用的Schema信息，也就是查询语句中properties参数需要填写的内容，为各个云服务资源类型的详细属性。查询语句的配置样例请参见高级查询配置样例。 单击“保存查询”，输入查询名称和描述。 查询名称仅支持输入数字、英文字母、下划线和中划线。 单击“确定”，保存成功。 图1 保存查询 如果自定义查询达到限额时，您将无法单击“保存查询”，同时页面右上方提示“您创建的查询已达到上限，请删除暂不需要使用的查询。”。但此时您依然可以单击“运行”，直接运行查询并查看和导出查询结果。 单击“运行”，查看查询结果。目前只支持展示和导出前4000条查询结果。 单击“导出”，选择要导出的文件格式（CSV格式或JSON格式）。

预设策略列表 当您在配置审计控制台添加合规规则时，可以直接选用系统内置的预设合规策略。 当前配置审计服务支持的预设策略如下表所示。 表1 配置审计支持的预设策略 云服务 预设策略 触发方式 评估资源 公共可用预设策略 资源名称满足正则表达式 配置变更 全部资源 资源具有所有指定的标签键 配置变更 支持标签的云服务和资源类型 资源存在任一指定的标签 配置变更 支持标签的云服务和资源类型 资源具有指定前后缀的标签键 配置变更 支持标签的云服务和资源类型 资源标签非空 配置变更 支持标签的云服务和资源类型 资源具有指定的标签 配置变更 支持标签的云服务和资源类型 资源属于指定企业项目ID 配置变更 全部资源 资源在指定区域内 配置变更 全部资源 资源在指定类型内 配置变更 全部资源 不允许的资源类型 配置变更 全部资源 API网关 APIG APIG专享版实例配置安全认证类型 配置变更 apig.instances APIG专享版实例配置访问日志 配置变更 apig.instances APIG专享版实例域名均关联SSL证书 配置变更 apig.instances 部署 CodeArts Deploy CodeArts项目下的主机集群为可用状态 配置变更 codeartsdeploy.host-cluster MapReduce服务 MRS MRS资源属于指定安全组 配置变更 mrs.mrs MRS资源属于指定VPC 配置变更 mrs.mrs MRS集群开启kerberos认证 配置变更 mrs.mrs MRS集群使用多AZ部署 配置变更 mrs.mrs MRS集群未绑定公网IP 配置变更 mrs.mrs NAT网关 NAT NAT私网网关绑定指定VPC资源 配置变更 nat.privateNatGateways VPC终端节点 VPCEP 创建了指定服务名的终端节点 周期触发 vpcep.endpoints Web应用防火墙 WAF WAF防护域名配置防护策略 配置变更 waf.instance WAF防护策略配置防护规则 配置变更 waf.policy 弹性负载均衡 ELB ELB资源不具有公网IP 配置变更 elb.loadbalancers ELB监听器配置指定预定义安全策略 配置变更 elb.loadbalancers ELB监听器配置HTTPS监听协议 配置变更 elb.loadbalancers ELB后端服务器权重检查 配置变更 elb.members 弹性公网IP EIP EIP带宽限制 配置变更 vpc.publicips 弹性公网IP未进行任何绑定 配置变更 vpc.publicips EIP在指定天数内绑定到资源实例 周期触发 vpc.publicips 弹性伸缩 AS 弹性伸缩组均衡扩容 配置变更 as.scalingGroups 弹性伸缩组使用弹性负载均衡健康检查 配置变更 as.scalingGroups 弹性伸缩组启用多AZ部署 配置变更 as.scalingGroups 弹性文件服务器 SFS 弹性文件服务通过KMS进行加密 配置变更 sfsturbo.shares 弹性云服务器 ECS ECS资源规格在指定的范围 配置变更 ecs.cloudservers ECS实例的镜像ID在指定的范围 配置变更 ecs.cloudservers ECS的镜像在指定Tag的IMS的范围内 配置变更 ecs.cloudservers 绑定指定标签的ECS关联在指定安全组ID列表内 配置变更 ecs.cloudservers ECS资源属于指定虚拟私有云ID 配置变更 ecs.cloudservers ECS资源配置秘钥对 配置变更 ecs.cloudservers ECS资源不能公网访问 配置变更 ecs.cloudservers 检查ECS资源是否具有多个公网IP 配置变更 ecs.cloudservers 关机状态的ECS未进行任意操作的时间检查 周期触发 ecs.cloudservers ECS资源附加IAM委托 配置变更 ecs.cloudservers ECS实例的镜像名称在指定的范围 配置变更 ecs.cloudservers 分布式缓存服务 DCS DCS Memcached资源支持SSL 配置变更 dcs.memcached DCS Memcached资源属于指定虚拟私有云ID 配置变更 dcs.memcached DCS Memcached资源不存在公网IP 配置变更 dcs.memcached DCS Memcached资源需要密码访问 配置变更 dcs.memcached DCS Redis实例支持SSL 配置变更 dcs.redis DCS Redis实例高可用 配置变更 dcs.redis DCS Redis实例属于指定虚拟私有云ID 配置变更 dcs.redis DCS Redis实例不存在公网IP 配置变更 dcs.redis DCS Redis实例需要密码访问 配置变更 dcs.redis 函数工作流 FunctionGraph 函数工作流的函数并发数在指定范围内 配置变更 fgs.functions 函数工作流使用指定VPC 配置变更 fgs.functions 函数工作流的函数不允许访问公网 配置变更 fgs.functions 检查函数工作流参数设置 配置变更 fgs.functions 内容分发网络 CDN CDN使用HTTPS证书 配置变更 cdn.domains CDN回源方式使用HTTPS 配置变更 cdn.domains CDN安全策略检查 配置变更 cdn.domains CDN使用自有证书 配置变更 cdn.domains 配置审计 Config 账号开启资源记录器 周期触发 config.trackers 数据仓库服务 DWS DWS集群启用KMS加密 配置变更 dws.clusters DWS集群启用日志转储 配置变更 dws.clusters DWS集群启用自动快照 配置变更 dws.clusters DWS集群启用SSL加密连接 配置变更 dws.clusters DWS集群未绑定公网IP 配置变更 dws.clusters 数据复制服务 DRS 数据复制服务实时灾备任务不使用公网网络 配置变更 drs.dataGuardJob 数据复制服务实时迁移任务不使用公网网络 配置变更 drs.migrationJob 数据复制服务实时同步任务不使用公网网络 配置变更 drs.synchronizationJob 数据加密服务 DEW KMS密钥不处于“计划删除”状态 配置变更 kms.keys KMS密钥启用密钥轮换 配置变更 kms.keys 检查CSMS凭据轮转成功 配置变更 csms.secrets 统一身份认证服务 IAM IAM用户的AccessKey在指定时间内轮换 周期触发 iam.users IAM策略中不存在KMS的任一阻拦action 配置变更 iam.roles&iam.policies IAM用户组添加了IAM用户 配置变更 iam.groups IAM用户密码策略符合要求 配置变更 iam.users IAM策略黑名单检查 配置变更 iam.users、iam.groups、iam.agencies IAM策略不具备Admin权限 配置变更 iam.roles、iam.policies IAM自定义策略具备所有权限 配置变更 iam.roles、iam.policies IAM账号存在可使用的访问密钥 周期触发 iam.users IAM用户访问模式 配置变更 iam.users IAM用户创建时设置AccessKey 配置变更 iam.users IAM用户归属用户组 配置变更 iam.users IAM用户在指定时间内有登录行为 周期触发 iam.users IAM用户开启MFA 配置变更 iam.users IAM用户单访问密钥 配置变更 iam.users Console侧密码登录的IAM用户开启MFA认证 配置变更 iam.users 根账号开启MFA认证 周期触发 iam.users IAM策略使用中 配置变更 iam.policies IAM权限使用中 配置变更 iam.roles IAM用户开启登录保护 周期触发 iam.users 文档数据库服务 DDS DDS实例开启SSL 配置变更 dds.instances DDS实例属于指定实例类型 配置变更 dds.instances DDS实例未绑定公网IP 配置变更 dds.instances DDS实例属于指定虚拟私有云ID 配置变更 dds.instances 消息通知服务 SMN SMN主题配置访问日志 配置变更 smn.topic 虚拟私有云 VPC 未与子网关联的网络ACL 配置变更 vpc.firewallGroups 默认安全组关闭出、入方向流量 配置变更 vpc.securityGroups VPC启用流日志 配置变更 vpc.vpcs 安全组端口检查 配置变更 vpc.securityGroups 安全组入站流量限制指定端口 配置变更 vpc.securityGroups 安全组入站流量限制SSH端口 配置变更 vpc.securityGroups 安全组非白名单端口检查 配置变更 vpc.securityGroups 虚拟专用网络 VPN VPN连接状态为“正常” 配置变更 vpnaas.vpnConnections、vpnaas.ipsec-site-connections 云监控服务 CES CES启用告警操作 配置变更 ces.alarms CES配置监控KMS禁用或计划删除的事件监控告警 周期触发 ces.alarms CES配置监控OBS桶策略变更的事件监控告警 周期触发 ces.alarms 指定的资源类型绑定指定指标CES告警 周期触发 ces.alarms 检查特定指标的CES告警进行特定配置 配置变更 ces.alarms CES配置监控VPC变更的事件监控告警 周期触发 ces.alarms 云容器引擎 CCE CCE集群版本为处于维护的版本 配置变更 cce.clusters CCE集群运行的非受支持的最旧版本 配置变更 cce.clusters CCE集群资源不具有公网IP 配置变更 cce.clusters CCE集群规格在指定的范围 配置变更 cce.clusters 云审计服务 CTS CTS追踪器通过KMS进行加密 配置变更 cts.trackers CTS追踪器启用事件分析 配置变更 cts.trackers CTS追踪器追踪指定的OBS桶 周期触发 cts.trackers CTS追踪器打开事件文件校验 配置变更 cts.trackers 创建并启用CTS追踪器 周期触发 cts.trackers 在指定区域创建并启用CTS追踪器 周期触发 cts.trackers 云数据库 RDS GaussDB资源属于指定虚拟私有云ID 配置变更 gaussdb.instance GaussDB NoSQL部署在单个可用区 配置变更 nosql.instances GaussDB NoSQL开启备份 配置变更 nosql.instances GaussDB NoSQL使用磁盘加密 配置变更 nosql.instances GaussDB NoSQL开启错误日志 配置变更 nosql.instances GaussDB NoSQL支持慢查询日志 配置变更 nosql.instances GaussDB实例开启审计日志 配置变更 gaussdb.instance GaussDB实例开启自动备份 配置变更 gaussdb.instance GaussDB实例开启错误日志 配置变更 gaussdb.instance GaussDB实例开启慢日志 配置变更 gaussdb.instance GaussDB for MySQL实例开启审计日志 配置变更 gaussdb.instance GaussDB for MySQL实例开启备份 配置变更 gaussdb.instance GaussDB for MySQL实例开启错误日志 配置变更 gaussdb.instance GaussDB for MySQL实例开启慢日志 配置变更 gaussdb.instance RDS实例开启备份 配置变更 rds.instances RDS实例开启错误日志 配置变更 rds.instances RDS实例开启慢日志 配置变更 rds.instances RDS实例支持多可用区 配置变更 rds.instances RDS实例不具有公网IP 配置变更 rds.instances RDS实例开启存储加密 配置变更 rds.instances RDS实例属于指定虚拟私有云ID 配置变更 rds.instances RDS实例配备日志 配置变更 rds.instances RDS实例规格在指定的范围 配置变更 rds.instances 云搜索服务 CSS CSS集群启用认证 配置变更 css.clusters CSS集群启用快照 配置变更 css.clusters CSS集群开启磁盘加密 配置变更 css.clusters CSS集群启用HTTPS 配置变更 css.clusters CSS集群绑定指定VPC资源 配置变更 css.clusters CSS集群具备多AZ容灾 配置变更 css.clusters CSS集群具备多实例容灾 配置变更 css.clusters CSS集群不能公网访问 配置变更 css.clusters CSS集群开启安全模式 配置变更 css.clusters CSS集群白名单不生效 配置变更 css.clusters CSS集群kibana白名单不生效 配置变更 css.clusters 云硬盘 EVS 云硬盘的类型在指定的范围内 配置变更 evs.volumes 云硬盘创建后在指定天数内绑定资源实例 周期触发 evs.volumes 云硬盘闲置检测 配置变更 evs.volumes 已挂载的云硬盘开启加密 配置变更 evs.volumes 云硬盘开启加密 配置变更 evs.volumes 云证书管理服务 CCM 检查私有CA是否过期 周期触发 pca.ca 检查私有证书是否过期 周期触发 pca.cert 分布式消息服务Kafka版 DMS Kafka队列打开内网SSL加密访问 配置变更 dms.kafkas DMS Kafka队列打开公网SSL加密访问 配置变更 dms.kafkas DMS Kafka队列开启公网访问 配置变更 dms.kafkas 分布式消息服务RabbitMQ版 DMS RabbitMq队列打开SSL加密访问 配置变更 dms.rabbitmqs 分布式消息服务RocketMQ版 DMS Reliability队列打开SSL加密访问 配置变更 dms.reliabilitys 组织 Organizations 账号加入组织 周期触发 organizations.account 云防火墙 CFW CFW防火墙配置防护策略 配置变更 cfw.cfw_instance 父主题： 系统内置预设策略

操作步骤 登录管理控制台。 将鼠标移动至图标处，在下拉框中单击“专业服务”，默认进入“我的服务单”页面。 在目服务单“操作”列单击“申请交付”。 在弹出的“申请交付”页面，添加“项目名称”、“被测站点”信息，如图1所示，各参数说明如表1所示。 勾选“保存站点信息至后台”，再次选用该站点时不需要重复认证。站点信息会在用户注销华为云账号时删除。 图1 申请交付 表1 申请交付参数说明 参数 说明 配置样例 服务类型 购买认证测试中心的类型。 网站安全体检 项目名称 自定义项目名称。 名称长度为1～32个字符。 名称只能由中文字符、大小写英文字母、数字、下划线和中划线组成。 PSM-test 被测站点 输入需要进行认证测试中心的站点。 http(s)://www.example.com 备注 需要对服务单添加的备注信息。 - 在被测站点所在行的右侧，单击“认证”，认证站点的归属权。 请按照认证步骤，完成资料上传，上传成功后，单击“提交”。 站点认证成功后，华为安全专家将对被测的站点提供一对一的认证服务。 图2 站点认证 当申请交付服务单信息后，华为安全专家将在1个工作日内联系您，与您沟通确定测试内容并审核您的资质。审核通过后，系统线下将订单发送给权威第三方机构，权威第三方机构根据您订单中描述检认完成后，将生成的体检报告交由华为安全专家团队审核，审核认证测试中心完成。 查看服务单后续进度，详细操作，请查看：查看服务单信息。

操作步骤 登录管理控制台。 将鼠标移动至图标处，在下拉框中单击“专业服务”，默认进入“我的服务单”页面。 在目服务单“操作”列单击“查看”，服务单状态说明如表1所示。 表1 服务单状态参数说明 参数名称 说明 待处理 您购买认证测试中心，服务单付款成功，服务单条状态为“待处理”。 处理中 您购买等保安全，服务单付款成功，服务单状态为“处理中”。 服务取消 华为云终止本次认证测试中心服务，系统将服务单状态更新为“服务取消”。 待用户验收 认证测试中心服务报告由华为安全专家审核通过后，系统将服务单状态更新为“待用户验收”。 已完成 认证测试中心服务完成后，您对本次认证测试中心进行验收后，系统将服务单状态更新为“已完成”。 服务单列表展示了您名下的所有服务单，以上服务单的状态说明为认证测试中心服务单的状态说明。 详情页面包含以下内容： 基础信息：服务单的产品信息、联系人信息、服务内容等。 您可以单击，修改联系人电话和邮箱。 服务单完成信息：服务总结、服务报告。 服务评价：方案完善度、实施专业性、响应及时性。 处理日志：服务单的历史处理进展。 对于服务单的过程交付件，您可以单击“下载”来获取。 “服务单完成信息”和“服务评价”区域在认证测试中心服务完成后，您进行验收时呈现。

操作步骤 登录管理控制台。 将鼠标移动至图标处，在下拉框中单击“专业服务”，默认进入“我的服务单”页面。 在目服务单“操作”列单击“验收”。 在“服务单完成信息”区域了解服务单的完成情况。 您可以单击“下载”获取详细的服务报告。 验收服务单。 如果服务单满足交付要求，请单击“立即验收”。 单击“立即验收”后，CTC服务默认此服务单已交付完成，验收后此服务单将不再提供服务。 如果服务单不满足交付要求，请单击“验收延期”，并填写延期原因。 您需要在收到验收请求后于10个自然日内完成验收。如您在此期间未验收，系统将自动进行验收。 延期验收，每延期一次，验收时长将增加10个工作日，最多可延期三次。

软件包完整性校验 用户可对下载的SDK包进行完整性校验，判断下载过程中是否存在篡改和丢包现象。 详细操作如下所示： 在表1中下载SDK包及其完整性校验sha256包至本地。 打开本地命令提示符框，输入如下命令，在本地生成已下载SDK包的SHA256值。 其中，“D:\HWLLS_SDK_Web_2.6.0.tar.gz”为SDK包本地存放路径和SDK包名，请根据实际情况修改。 certutil -hashfile D:\HWLLS_SDK_Web_2.6.0.tar.gz SHA256 命令执行结果示例，如下所示： SHA256 的 D:\HWLLS_SDK_Web_2.6.0.tar.gz 哈希: 3ac83be852e8dcc9e90f236801fd4c494983073543e1ae66ee4d0c29043dccd1 CertUtil: -hashfile 命令成功完成。 比对查询出的SDK包SHA256值和下载后的SDK包SHA256值。 如果一致，说明下载过程中不存在篡改和丢包现象。

streamStatistic streamStatistic(enable: boolean, interval: number): void 【功能说明】 设置是否开启流信息统计。 【请求参数】 enable：必选，boolean类型，是否开启流信息统计，true表示开启统计。 interval：必选，number类型，设置统计间隔，单位为秒，取值范围为[1, 60]，默认值为1。 【返回参数】 无

enableStreamStateDetection enableStreamStateDetection(enable: boolean, interval: number, interruptRetry:StreamInterruptRetry): boolean 【功能说明】 开启/关闭音、视频码流状态探测功能，开启后可探测推流侧是否处于断流的状态。 【请求参数】 enable：必选，boolean类型，true表示开启音视频码流状态探测，false表示关闭音视频码流状态探测。默认值为false。 interval：必选，number类型，单位为秒，取值范围为[1,60]。音视频无码流状态的判断时间。默认值为3，推荐设置为3。 interruptRetry：可选，StreamInterruptRetry类型。断流重试播放配置参数，StreamInterruptRetry定义为：{ enable：boolean类型，开启断流后尝试自动恢复播放。默认值为false，即不开启自动重试。 retryInterval：number类型，拉流播放的重试周期，单位为秒。最小值10，最大值建议不超过60，默认值为30。 retryTimes：number类型，尝试重新恢复播放的最大重试次数。最小值1，默认值为30。 } 【返回参数】 boolean：是否成功，true表示成功，false表示失败。

streamStatistic streamStatistic(enable: boolean, interval: number): void 【功能说明】 设置是否开启流信息统计。 【请求参数】 enable：必选，boolean类型，是否开启流信息统计，true表示开启统计。 interval：必选，number类型，设置统计间隔，单位为秒，取值范围为[1, 60]，默认值为1。 【返回参数】 无

enableStreamStateDetection enableStreamStateDetection(enable: boolean, interval: number, interruptRetry:StreamInterruptRetry): boolean 【功能说明】 开启/关闭音、视频码流状态探测功能，开启后可探测推流侧是否处于断流的状态。 【请求参数】 enable：必选，boolean类型，true表示开启音视频码流状态探测，false表示关闭音视频码流状态探测。默认值为false。 interval：必选，number类型，单位为秒，取值范围为[1,60]。音视频无码流状态的判断时间。默认值为3，推荐设置为3。 interruptRetry：可选，StreamInterruptRetry类型。断流重试播放配置参数，StreamInterruptRetry定义为：{ enable：boolean类型，开启断流后尝试自动恢复播放。默认值为false，即不开启自动重试。 retryInterval：number类型，拉流播放的重试周期，单位为秒。最小值10，最大值建议不超过60，默认值为30。 retryTimes：number类型，尝试重新恢复播放的最大重试次数。最小值1，默认值为30。 } 【返回参数】 boolean：是否成功，true表示成功，false表示失败。

请求示例 创建环境，环境名称为“test”，组织名“cae-test”，绑定虚拟私有云VPC。 POST https://{endpoint}/v1/{project_id}/cae/environments { "api_version" : "v1", "kind" : "Environment", "metadata" : { "annotations" : { "vpc_id" : "9b320498-6c39-4fe7-a758-79636dd68a82", "group_name" : "cae-test", "type" : "exclusive", "subnet_id" : "1c75734a-132c-459f-86e2-a3db86a66b86", "security_group_id" : "e6c5a41d-8f47-48bd-a21b-0a4b10766aef" }, "name" : "test" } }

请求示例 更新监控系统配置。 PUT https://{endpoint}/v1/{project_id}/cae/monitor-system/{monitor_system_id} { "api_version" : "v1", "kind" : "MonitorSystem", "spec" : { "type" : "opentelemetry", "access_token" : "******", "apm_application" : "default", "image_pull_policy" : "Always", "version" : "1.32.0.14", "instrumentation" : "automatic" } }

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token。 获取Token，请参考《统一身份认证服务API参考》的“获取用户Token”章节。 请求响应成功后在响应消息头中包含的“X-Subject-Token”的值即为Token值。 最大长度：16384 X-Enterprise-Project-ID 否 String 企业项目ID。 创建环境时，环境会绑定企业项目ID。 最大长度36字节，带“-”连字符的UUID格式，或者是字符串“0”。 该字段不传（或传为字符串“0”）时，则查询默认企业项目下的资源。 说明： 关于企业项目ID的获取及企业项目特性的详细信息，请参见《企业管理服务用户指南》。 X-Environment-ID 是 String 环境ID。 获取环境ID，通过《云应用引擎API参考》的“获取环境列表”章节获取环境信息。 请求响应成功后在响应体的items数组中的一个元素即为一个环境的信息，其中id字段即是环境ID。 表3 请求Body参数 参数 是否必选 参数类型 描述 api_version 否 String API版本，固定值“v1”，该值不可修改。 枚举值： v1 kind 否 String API类型，固定值“MonitorSystem”，该值不可修改。 枚举值： MonitorSystem spec 否 MonitorSystemRequestBodySpec object 创建或更新监控系统配置。 表4 MonitorSystemRequestBodySpec 参数 是否必选 参数类型 描述 type 是 String 采集方式。 枚举值： opentelemetry apm2 instrumentation 是 String 探针注入方式。 枚举值： manual automatic access_key 否 String apm2访问密钥Key。 access_value 否 String apm2访问密钥value。 access_token 否 String apm2 opentelemetry接入token。 apm_application 是 String apm2应用。 version 是 String 增强型探针/opentelemetry探针版本。 image_pull_policy 是 String 探针镜像更新策略。 枚举值： Always IfNotPresent

响应参数 状态码： 200 表5 响应Body参数 参数 参数类型 描述 api_version String API版本，固定值“v1”，该值不可修改。 kind String 资源种类。 spec SecretDetail object 表6 SecretDetail 参数 参数类型 描述 id String 凭据ID name String 凭证名字。 if_update_available Boolean 当前凭据是否有更新版本。 secret_status String 凭据在DEW的状态。 status String 凭据在CAE使用状态。 version_id String 当前使用的凭证版本号。 modified_time Integer 当前版本凭证在dew的创建时间。

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token。 获取Token，请参考《统一身份认证服务API参考》的“获取用户Token”章节。 请求响应成功后在响应消息头中包含的“X-Subject-Token”的值即为Token值。 最大长度：16384 X-Enterprise-Project-ID 否 String 企业项目ID。 创建环境时，环境会绑定企业项目ID。 最大长度36字节，带“-”连字符的UUID格式，或者是字符串“0”。 该字段不传（或传为字符串“0”）时，则查询默认企业项目下的资源。 说明： 关于企业项目ID的获取及企业项目特性的详细信息，请参见《企业管理服务用户指南》。 X-Environment-ID 是 String 环境ID。 获取环境ID，通过《云应用引擎API参考》的“获取环境列表”章节获取环境信息。 请求响应成功后在响应体的items数组中的一个元素即为一个环境的信息，其中id字段即是环境ID。 表3 请求Body参数 参数 是否必选 参数类型 描述 api_version 是 String API版本，固定值“v1”，该值不可修改。 kind 是 String 资源种类。 spec 是 CreateOrUpdateSecretDetail object 表4 CreateOrUpdateSecretDetail 参数 是否必选 参数类型 描述 name 是 String 凭证名字。 version_id 是 String 当前使用的凭证版本号。 modified_time 是 Integer 当前版本凭证在dew的创建时间。