华为云用户手册

约束与限制 用户只能共享自己没有发布为市场镜像的私有镜像，已经发布为市场镜像的不能共享。 镜像共享的范围只能在区域内。 系统盘镜像和数据盘镜像最多可以共享给128个租户，整机镜像最多可以共享给10个租户。 用户可以随时取消自己共享的镜像，无需通知镜像的接受方。 用户可以随时删除自己共享的镜像，无需通知镜像的接受方。 加密镜像不能共享。 只有通过云备份创建的整机镜像，才支持共享。通过其他方式创建的整机镜像，暂不支持共享。

涉及API 当您使用Token认证方式完成认证鉴权时，需要获取用户Token并在调用接口时增加“X-Auth-Token”到业务接口请求消息头中。 IAM获取token的API URI格式：POST https://{IAM的Endpoint}/v3/auth/tokens 镜像服务API：制作镜像（使用上传至OBS桶中的外部镜像文件制作私有镜像） URI格式：POST https://{IMS的Endpoint}/v2/cloudimages/action 弹性云服务器API：创建云服务器（按需） URI格式：POST https://{ECS的Endpoint}/v1/{project_id}/cloudservers 镜像服务API：制作镜像（使用数据盘制作系统盘镜像） URI格式：POST https://{IMS的Endpoint}/v2/cloudimages/action

状态码 正常 返回值 说明 200 OK GET和PUT操作正常返回。 201 Created POST操作正常返回。 202 Accepted 请求已被接受。 204 No Content DELETE操作正常返回。 异常 返回值 说明 400 Bad Request 服务器未能处理请求。 401 Unauthorized 被请求的页面需要用户名和密码。 403 Forbidden 对被请求页面的访问被禁止。 404 Not Found 服务器无法找到被请求的页面。 405 Method Not Allowed 请求中指定的方法不被允许。 406 Not Acceptable 服务器生成的响应无法被客户端所接受。 407 Proxy Authentication Required 用户必须首先使用代理服务器进行验证，这样请求才会被处理。 408 Request Timeout 请求超出了服务器的等待时间。 409 Conflict 由于冲突，请求无法被完成。 500 Internal Server Error 请求未完成。服务异常。 501 Not Implemented 请求未完成。服务器不支持所请求的功能。 502 Bad Gateway 请求未完成。服务器从上游服务器收到一个无效的响应。 503 Service Unavailable 请求未完成。系统暂时异常。 504 Gateway Timeout 网关超时。

调用API获取项目ID 项目ID可以通过调用查询指定条件下的项目列表API获取。 获取项目ID的接口为“GET https://{Endpoint}/v3/projects”，其中{Endpoint}为IAM的终端节点，可以从地区和终端节点获取。接口的认证鉴权请参见认证鉴权。 响应示例如下，其中projects下的“id”即为项目ID。 { "projects": [ { "domain_id": "65382450e8f64ac0870cd180d14e684b", "is_domain": false, "parent_id": "65382450e8f64ac0870cd180d14e684b", "name": "project_name", "description": "", "links": { "next": null, "previous": null, "self": "https://www.example.com/v3/projects/a4a5d4098fb4474fa22cd05f897d6b99" }, "id": "a4a5d4098fb4474fa22cd05f897d6b99", "enabled": true } ], "links": { "next": null, "previous": null, "self": "https://www.example.com/v3/projects" }}

支持的授权项 策略包含系统策略和自定义策略，如果系统策略不满足授权要求，租户管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应，授权项列表说明如下： 权限：允许或拒绝某项操作。 对应API接口：自定义策略实际调用的API接口。 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。 依赖的授权项：部分Action存在对其他Action的依赖，需要将依赖的Action同时写入授权项，才能实现对应的权限功能。 IAM项目（Project）/企业项目（Enterprise Project）：自定义策略的授权范围，包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目，表示此授权项对应的自定义策略，可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目，不支持企业项目，表示仅能在IAM中给用户组授权并生效，如果在企业管理中授权，则该自定义策略不生效。关于IAM项目与企业项目的区别，详情请参见：IAM与企业管理的区别。 “√”表示支持，“x”表示暂不支持。 镜像服务（IMS）支持的自定义策略授权项如下所示： 镜像管理，包含镜像管理接口对应的授权项，如查询镜像列表、更新镜像信息、制作镜像、注册镜像、导出镜像等接口。 镜像标签，包括镜像标签管理接口对应的授权项，如增加标签、删除标签、查询租户镜像标签列表等接口。 镜像视图，包含镜像视图管理接口对应的授权项，如查询镜像视图、查询镜像列表视图、查询镜像成员视图、查询镜像成员列表视图等接口。 镜像共享，包含共享镜像接口对应的授权项，如添加镜像成员、更新镜像成员状态、获取镜像成员详情、删除指定的镜像成员等接口。 镜像复制，包含复制镜像接口对应的授权项，如Region内复制镜像等接口。 镜像配额，包含镜像配额接口对应的授权项，如查询镜像配额等接口。 OpenStack原生API接口错误消息返回体为XML格式，暂不支持细粒度策略的标准无权限提示格式（JSON）。

__os_version取值 表1 __os_version取值 操作系统类型 操作系统版本（__os_version） Windows Windows 10 64bit Windows Server 2019 Standard 64bit Windows Server 2019 Datacenter 64bit Windows Server 2016 Standard 64bit Windows Server 2016 Datacenter 64bit Windows Server 2012 R2 Standard 64bit Windows Server 2012 Essentials R2 64bit Windows Server 2012 R2 Datacenter 64bit Windows Server 2012 Datacenter 64bit Windows Server 2012 Standard 64bit Windows Server 2008 R2 WEB 64bit Windows Server 2008 R2 Standard 64bit Windows Server 2008 R2 Enterprise 64bit Windows Server 2008 R2 Datacenter 64bit SUSE SUSE Linux Enterprise Server 15 SP1 64bit SUSE Linux Enterprise Server 15 64bit SUSE Linux Enterprise Server 12 SP5 64bit SUSE Linux Enterprise Server 12 SP4 64bit SUSE Linux Enterprise Server 12 SP3 64bit SUSE Linux Enterprise Server 12 SP2 64bit SUSE Linux Enterprise Server 12 SP1 64bit SUSE Linux Enterprise Server 11 SP4 64bit SUSE Linux Enterprise Server 11 SP3 64bit SUSE Linux Enterprise Server 11 SP3 32bit Oracle Linux Oracle Linux Server release 7.6 64bit Oracle Linux Server release 7.5 64bit Oracle Linux Server release 7.4 64bit Oracle Linux Server release 7.3 64bit Oracle Linux Server release 7.2 64bit Oracle Linux Server release 7.1 64bit Oracle Linux Server release 7.0 64bit Oracle Linux Server release 6.10 64bit Oracle Linux Server release 6.9 64bit Oracle Linux Server release 6.8 64bit Oracle Linux Server release 6.7 64bit Oracle Linux Server release 6.5 64bit Red Hat Red Hat Linux Enterprise 8.0 64bit Red Hat Linux Enterprise 7.6 64bit Red Hat Linux Enterprise 7.5 64bit Red Hat Linux Enterprise 7.4 64bit Red Hat Linux Enterprise 7.3 64bit Red Hat Linux Enterprise 7.2 64bit Red Hat Linux Enterprise 7.1 64bit Red Hat Linux Enterprise 7.0 64bit Red Hat Linux Enterprise 6.10 64bit Red Hat Linux Enterprise 6.9 64bit Red Hat Linux Enterprise 6.8 64bit Red Hat Linux Enterprise 6.7 64bit Red Hat Linux Enterprise 6.6 64bit Red Hat Linux Enterprise 6.6 32bit Red Hat Linux Enterprise 6.5 64bit Red Hat Linux Enterprise 6.4 64bit Red Hat Linux Enterprise 6.4 32bit Ubuntu Ubuntu 19.04 server 64bit Ubuntu 18.04.2 server 64bit Ubuntu 18.04.1 server 64bit Ubuntu 18.04 server 64bit Ubuntu 16.04.6 server 64bit Ubuntu 16.04.5 server 64bit Ubuntu 16.04.4 server 64bit Ubuntu 16.04.3 server 64bit Ubuntu 16.04.2 server 64bit Ubuntu 16.04 server 64bit Ubuntu 14.04.5 server 64bit Ubuntu 14.04.4 server 64bit Ubuntu 14.04.4 server 32bit Ubuntu 14.04.3 server 64bit Ubuntu 14.04.3 server 32bit Ubuntu 14.04.1 server 64bit Ubuntu 14.04.1 server 32bit Ubuntu 14.04 server 64bit Ubuntu 14.04 server 32bit openSUSE openSUSE 42.3 64bit openSUSE 42.2 64bit openSUSE 42.1 64bit openSUSE 15.0 64bit openSUSE 13.2 64bit openSUSE 11.3 64bit CentOS CentOS 8.0 64bit CentOS 7.7 64bit CentOS 7.6 64bit CentOS 7.5 64bit CentOS 7.4 64bit CentOS 7.3 64bit CentOS 7.2 64bit CentOS 7.1 64bit CentOS 7.0 64bit CentOS 7.0 32bit CentOS 6.10 64bit CentOS 6.10 32bit CentOS 6.9 64bit CentOS 6.8 64bit CentOS 6.7 64bit CentOS 6.7 32bit CentOS 6.6 64bit CentOS 6.6 32bit CentOS 6.5 64bit CentOS 6.5 32bit CentOS 6.4 64bit CentOS 6.4 32bit CentOS 6.3 64bit CentOS 6.3 32bit Debian Debian GNU/Linux 10.0.0 64bit Debian GNU/Linux 9.3.0 64bit Debian GNU/Linux 9.0.0 64bit Debian GNU/Linux 8.10.0 64bit Debian GNU/Linux 8.8.0 64bit Debian GNU/Linux 8.7.0 64bit Debian GNU/Linux 8.6.0 64bit Debian GNU/Linux 8.5.0 64bit Debian GNU/Linux 8.4.0 64bit Debian GNU/Linux 8.2.0 64bit Debian GNU/Linux 8.1.0 64bit Fedora Fedora 30 64bit Fedora 29 64bit Fedora 28 64bit Fedora 27 64bit Fedora 26 64bit Fedora 25 64bit Fedora 24 64bit Fedora 23 64bit Fedora 22 64bit EulerOS EulerOS 2.9 64bit EulerOS 2.5 64bit EulerOS 2.3 64bit EulerOS 2.2 64bit EulerOS 2.1 64bit openEuler openEuler 20.03 64bit 中标麒麟 NeoKylin 7.4 64bit NeoKylin Server release 5.0 U2 64bit NeoKylin Linux Advanced Server release 7.0 U5 64bit

__support_kvm_gpu_type取值 表3 镜像支持的GPU类型说明 支持GPU类型（__support_kvm_gpu_type） 说明 M60 表示镜像内部安装了M60显卡的硬件虚拟化驱动，支持的云服务器规格为g1.xlarge、g1.2xlarge、g3.4xlarge.4等。 V100_vGPU 表示镜像内部安装了V100显卡的硬件虚拟化驱动，支持的云服务器规格为g5.8xlarge.4等。 P2V_V100 表示镜像内部安装了V100显卡的硬件虚拟化驱动，支持的云服务器规格为p2v.2xlarge.8等。 P100 表示镜像内部安装了P100显卡的硬件虚拟化驱动，支持的云服务器规格为p1.2xlarge.8、p1.4xlarge.8等。 V100 表示镜像内部安装了V100显卡的硬件虚拟化驱动，支持的云服务器规格为p2.2xlarge.8、p2.4xlarge.8等。

特殊镜像类型与支持的操作系统版本 表4 镜像类型与支持的操作系统版本 镜像类型 支持的操作系统版本 超大内存型 CentOS 6.6 64bit CentOS 6.7 64bit CentOS 6.8 64bit CentOS 7.1 64bit CentOS 7.2 64bit CentOS 7.3 64bit SUSE Enterprise Linux Server 11 SP3 64bit SUSE Enterprise Linux Server 11 SP4 64bit SUSE Enterprise Linux Server 12 SP1 64bit SUSE Enterprise Linux Server 12 SP2 64bit Red Hat Linux Enterprise 6.8 64bit Red Hat Linux Enterprise 7.3 64bit GPU优化型（G1型） Windows Server 2008 R2 Enterprise SP1 64bit Windows Server 2012 R2 Standard 64bit Windows Server 2016 Datacenter GPU优化型（G2型） Windows Server 2008 R2 Enterprise SP1 64bit Windows Server 2012 R2 Standard 64bit 密集存储型 CentOS 7.2 64bit CentOS 7.3 64bit CentOS 6.8 64bit SUSE Enterprise Linux Server 11 SP3 64bit SUSE Enterprise Linux Server 11 SP4 64bit SUSE Enterprise Linux Server 12 SP1 64bit SUSE Enterprise Linux Server 12 SP2 64bit Red Hat Linux Enterprise 6.8 64bit Red Hat Linux Enterprise 7.3 64bit 高计算型 CentOS 6.8 64bit CentOS 7.2 64bit CentOS 7.3 64bit Windows Server 2008 Windows Server 2012 Windows Server 2016 SUSE Enterprise Linux Server 11 SP3 64bit SUSE Enterprise Linux Server 11 SP4 64bit SUSE Enterprise Linux Server 12 SP1 64bit SUSE Enterprise Linux Server 12 SP2 64bit Red Hat Linux Enterprise 6.8 64bit Red Hat Linux Enterprise 7.3 64bit

镜像管理 权限 对应API接口 授权项（Action） IAM项目（Project） 企业项目（Enterprise Project） 查询镜像列表 GET /v2/cloudimages ims:images:list √ √ 查询镜像支持的OS列表 GET /v1/cloudimages/os_version ims:images:list √ × 更新镜像信息 PATCH /v2/cloudimages/{image_id} ims:images:update ims:serverImages:create（仅企业项目迁移需要） √ √ 制作镜像 POST /v2/cloudimages/action 说明： 外部文件制作镜像前请确保用户已拥有对象存储服务的Tenant Administrator权限。 ims:serverImages:create √ √ 镜像文件快速导入 POST /v2/cloudimages/quickimport/action 说明： 使用镜像文件快速导入前请确保用户已拥有对象存储服务的Tenant Administrator权限。 ims:serverImages:create（仅快速导入系统盘镜像需要） ims:dataImages:create（仅快速导入数据盘镜像需要） √ √ 使用外部镜像文件制作数据镜像 POST /v1/cloudimages/dataimages/action 说明： 使用外部镜像文件前请确保用户已拥有对象存储服务的Tenant Administrator权限。 ims:dataImages:create √ √ 制作整机镜像 POST /v1/cloudimages/wholeimages/action 说明： 制作整机镜像前请确保用户已拥有云服务器备份服务的CSBS Administrator权限，或者云备份服务的CBR Admin权限。 ims:wholeImages:create √ √ 注册镜像 PUT /v1/cloudimages/{image_id}/upload 说明： 注册镜像前请确保用户已拥有对象存储服务的Tenant Administrator权限。 必须配置default的企业项目权限，才能正常使用企业项目权限注册镜像。 ims:images:upload √ √ 导出镜像 POST /v1/cloudimages/{image_id}/file 说明： 导出镜像前请确保用户已拥有对象存储服务的Tenant Administrator权限。 ims:images:export √ √ 查询镜像列表（OpenStack原生） GET /v2/images ims:images:list √ x 查询镜像详情（OpenStack原生） GET /v2/images/{image_id} ims:images:get √ √ 更新镜像信息（OpenStack原生） PATCH /v2/images/{image_id} ims:images:update √ √ 删除镜像（OpenStack原生） DELETE /v2/images/{image_id} ims:images:delete √ √ 创建镜像元数据（OpenStack原生） POST /v2/images ims:images:create √ x 上传镜像（OpenStack原生） PUT /v2/images/{image_id}/file ims:images:get ims:images:update ims:images:upload √ x 查询版本(OpenStack原生） GET / 无 √ x 查询镜像详情（OpenStack原生v1.1--已废弃，不推荐使用） GET /v1.1/images/detail ims:images:list √ x 查询镜像元数据（OpenStack原生v1--已废弃，不推荐使用） HEAD /v1/images/{image_id} ims:images:get √ x 删除镜像（OpenStack原生v1.1--已废弃，不推荐使用） DELETE /v1.1/images/{image_id} ims:images:delete √ x 父主题： 权限和授权项

镜像共享 权限 对应API接口 授权项（Action） IAM项目（Project） 企业项目（Enterprise Project） 添加镜像成员（OpenStack原生） POST /v2/images/{image_id}/members ims:images:get ims:images:share √ x 更新镜像成员状态（OpenStack原生） PUT /v2/images/{image_id}/members/{member_id} ims:images:get ims:images:share √ x 获取镜像成员详情（OpenStack原生） GET /v2/images/{image_id}/members/{member_id} ims:images:get ims:images:share √ x 获取镜像成员列表（OpenStack原生） GET /v2/images/{image_id}/members ims:images:get ims:images:share √ x 删除指定的镜像成员（OpenStack原生） DELETE /v2/images/{image_id}/members/{member_id} ims:images:get ims:images:share √ x 批量添加镜像成员 POST /v1/cloudimages/members ims:images:share √ x 批量更新镜像成员状态 PUT /v1/cloudimages/members ims:images:share √ x 批量删除镜像成员 DELETE /v1/cloudimages/members ims:images:share √ x 父主题： 权限和授权项

响应参数 状态码： 200 表6 响应Header参数 参数 参数类型 描述 X-request-id String This field is the request ID number for task tracking. Format is request_uuid-timestamp-hostname. 表7 响应Body参数 参数 参数类型 描述 code String Id value 最小长度：32 最大长度：64 message String Error message 最小长度：1 最大长度：32 total Integer tatal count 最小值：0 最大值：99999 limit Integer current page count 最小值：0 最大值：9999 offset Integer current page size 最小值：0 最大值：100 data Array of DataobjectInfo objects list of informations of dataobject 表8 DataobjectInfo 参数 参数类型 描述 id String Id value 最小长度：32 最大长度：64 create_time String Create time 最小长度：0 最大长度：64 update_time String Update time 最小长度：0 最大长度：64 project_id String Project id value 最小长度：32 最大长度：64 dataclass_id String dataclass id. 最小长度：32 最大长度：64 name String The name, display only 最小长度：0 最大长度：1024 type String SIMULATION,PLAYBOOK,MANUAL,INSTANCE,DATA_SOURCE 最小长度：0 最大长度：32 content String data 最小长度：0 最大长度：4096 状态码： 400 表9 响应Header参数 参数 参数类型 描述 X-request-id String This field is the request ID number for task tracking. Format is request_uuid-timestamp-hostname. 表10 响应Body参数 参数 参数类型 描述 code String Error code. 最小长度：0 最大长度：64 message String Error description. 最小长度：0 最大长度：1024

URI POST /v1/{project_id}/workspaces/{workspace_id}/soc/{dataclass_type}/{data_object_id}/{related_dataclass_type}/search 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String ID of project 最小长度：32 最大长度：36 workspace_id 是 String ID of workspace 最小长度：32 最大长度：36 dataclass_type 是 String type of dataclass 最小长度：1 最大长度：64 data_object_id 是 String ID of dataobject 最小长度：32 最大长度：36 related_dataclass_type 是 String type of related dataclass 最小长度：1 最大长度：64

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token。 通过调用IAM服务获取用户Token接口获取（响应消息头中X-Subject-Token的值）。 最小长度：1 最大长度：2097152 content-type 是 String application/json;charset=UTF-8 缺省值：application/json;charset=UTF-8 最小长度：1 最大长度：64 表3 请求Body参数 参数 是否必选 参数类型 描述 limit 否 Integer limit 最小值：0 最大值：1000 offset 否 Integer offset 最小值：0 最大值：1000 sort_by 否 String sortby 最小长度：0 最大长度：1000 order 否 String order 最小长度：0 最大长度：1000 from_date 否 String search start time 最小长度：0 最大长度：64 to_date 否 String search end time 最小长度：0 最大长度：64 condition 否 condition object search condition 表4 condition 参数 是否必选 参数类型 描述 conditions 否 Array of ConditonInfo objects conditions logics 否 Array of strings conditions 最小长度：1 最大长度：64 表5 ConditonInfo 参数 是否必选 参数类型 描述 name 否 String name 最小长度：0 最大长度：100 data 否 Array of strings search data 最小长度：1 最大长度：64

响应参数 状态码： 200 表3 响应Header参数 参数 参数类型 描述 X-request-id String This field is the request ID number for task tracking. Format is request_uuid-timestamp-hostname. 表4 响应Body参数 参数 参数类型 描述 code String Error code 最小长度：1 最大长度：32 message String Error message 最小长度：1 最大长度：32 data Array of DataClassTypeDetailInfo objects Response of dataclass detail total Integer tatal count 最小值：0 最大值：99999 size Integer current page size 最小值：0 最大值：100 page Integer current page count 最小值：0 最大值：9999 表5 DataClassTypeDetailInfo 参数 参数类型 描述 id String Id value 最小长度：32 最大长度：64 parent_name String The name, display only 最小长度：0 最大长度：1024 parent_business_code String 类型标识码 最小长度：32 最大长度：256 name String The name, display only 最小长度：0 最大长度：1024 business_code String 类型标识码 最小长度：32 最大长度：256 description String The description, display only 最小长度：0 最大长度：1024 workspace_id String workspace id 最小长度：32 最大长度：64 project_id String Project id value 最小长度：32 最大长度：64 enabled Boolean If is enabled, false for disenabled, true for enabled is_built_in Boolean 是否内置 缺省值：false 枚举值： true false layout_id String 布局ID 最小长度：0 最大长度：64 layout_name String The name, display only 最小长度：0 最大长度：1024 dataclass_id String dataclass id. 最小长度：32 最大长度：64 sla Integer sla 最小值：-1 最大值：999999999999 状态码： 400 表6 响应Header参数 参数 参数类型 描述 X-request-id String This field is the request ID number for task tracking. Format is request_uuid-timestamp-hostname. 表7 响应Body参数 参数 参数类型 描述 code String Error code. 最小长度：0 最大长度：64 message String Error description. 最小长度：0 最大长度：1024

响应示例 状态码： 200 Response of listing types { "code" : "SOAR.0000", "message" : "Error message", "data" : [ { "id" : "909494e3-558e-46b6-a9eb-07a8e18ca62f", "parent_name" : "MyXXX", "parent_business_code" : "stringstringstringstringstringst", "name" : "MyXXX", "business_code" : "stringstringstringstringstringst", "description" : "This my XXXX", "workspace_id" : "909494e3-558e-46b6-a9eb-07a8e18ca620", "project_id" : "909494e3-558e-46b6-a9eb-07a8e18ca62f", "enabled" : true, "is_built_in" : false, "layout_id" : "28f61af50fc9452aa0ed5ea25c3cc3d3", "layout_name" : "MyXXX", "dataclass_id" : "909494e3-558e-46b6-a9eb-07a8e18ca62f", "sla" : 6400 } ], "total" : 41, "size" : 10, "page" : 3}

URI GET /v1/{project_id}/workspaces/{workspace_id}/soc/incidents/types 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID 最小长度：1 最大长度：64 workspace_id 是 String 工作空间ID 最小长度：1 最大长度：64 表2 Query参数 参数 是否必选 参数类型 描述 parent_business_code 否 String 子类类型标识码 最小长度：32 最大长度：256 offset 否 Integer request offset, from 0 最小值：0 最大值：999999 缺省值：0 limit 否 Integer request limit size 最小值：1 最大值：999999 order 否 String sort order, ASC, DESC. 最小长度：1 最大长度：64 sortby 否 String sort by property, create_time. 最小长度：1 最大长度：64 name 否 String name 最小长度：0 最大长度：64 enabled 否 Boolean 是否启用 layout_name 否 String 布局名称 最小长度：0 最大长度：64 is_built_in 否 Boolean 是否内置

URI DELETE /v1/{project_id}/workspaces/{workspace_id}/soc/{dataclass_type}/{data_object_id}/{related_dataclass_type} 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String ID of project 最小长度：32 最大长度：36 workspace_id 是 String ID of workspace 最小长度：32 最大长度：36 dataclass_type 是 String type of dataclass 最小长度：1 最大长度：64 data_object_id 是 String ID of dataobject 最小长度：32 最大长度：36 related_dataclass_type 是 String type of related dataclass 最小长度：1 最大长度：64

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token。 通过调用IAM服务获取用户Token接口获取（响应消息头中X-Subject-Token的值）。 最小长度：1 最大长度：2097152 content-type 是 String application/json;charset=UTF-8 缺省值：application/json;charset=UTF-8 最小长度：1 最大长度：64 表3 请求Body参数 参数 是否必选 参数类型 描述 ids 否 Array of strings search ids 最小长度：32 最大长度：64

响应参数 状态码： 200 表4 响应Header参数 参数 参数类型 描述 X-request-id String This field is the request ID number for task tracking. Format is request_uuid-timestamp-hostname. 表5 响应Body参数 参数 参数类型 描述 code String Id value 最小长度：0 最大长度：64 message String Error message 最小长度：0 最大长度：32 request_id String Error message 最小长度：0 最大长度：32 success Boolean Error message 最小长度：1 最大长度：32 total Integer tatal count 最小值：0 最大值：99999 limit Integer current page count 最小值：0 最大值：9999 offset Integer current page size 最小值：0 最大值：100 data DataResponse object indicator batch operation response 表6 DataResponse 参数 参数类型 描述 success_ids Array of strings id list 最小长度：32 最大长度：64 error_ids Array of strings id list 最小长度：32 最大长度：64

响应示例 状态码： 200 Response of DeleteDataobjectRelation { "code" : "909494e3-558e-46b6-a9eb-07a8e18ca62f", "message" : "Error message", "request_id" : "Error message", "success" : false, "total" : 41, "limit" : 3, "offset" : 10, "data" : { "success_ids" : [ "909494e3-558e-46b6-a9eb-07a8e18ca62f" ], "error_ids" : [ "909494e3-558e-46b6-a9eb-07a8e18ca62f" ] }}

响应示例 状态码： 200 Response of CreateDataobjectRelation { "code" : "909494e3-558e-46b6-a9eb-07a8e18ca62f", "message" : "Error message", "request_id" : "Error message", "success" : false, "total" : 41, "limit" : 3, "offset" : 10, "data" : { "success_ids" : [ "909494e3-558e-46b6-a9eb-07a8e18ca62f" ], "error_ids" : [ "909494e3-558e-46b6-a9eb-07a8e18ca62f" ] }}

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token。 通过调用IAM服务获取用户Token接口获取（响应消息头中X-Subject-Token的值）。 最小长度：1 最大长度：2097152 content-type 是 String application/json;charset=UTF-8 缺省值：application/json;charset=UTF-8 最小长度：1 最大长度：64 表3 请求Body参数 参数 是否必选 参数类型 描述 ids 否 Array of strings search ids 最小长度：32 最大长度：64

URI POST /v1/{project_id}/workspaces/{workspace_id}/soc/{dataclass_type}/{data_object_id}/{related_dataclass_type} 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String ID of project 最小长度：32 最大长度：36 workspace_id 是 String ID of workspace 最小长度：32 最大长度：36 dataclass_type 是 String type of dataclass 最小长度：1 最大长度：64 data_object_id 是 String ID of dataobject 最小长度：32 最大长度：36 related_dataclass_type 是 String type of related dataclass 最小长度：1 最大长度：64

响应参数 状态码： 200 表4 响应Header参数 参数 参数类型 描述 X-request-id String This field is the request ID number for task tracking. Format is request_uuid-timestamp-hostname. 表5 响应Body参数 参数 参数类型 描述 code String Id value 最小长度：0 最大长度：64 message String Error message 最小长度：0 最大长度：32 request_id String Error message 最小长度：0 最大长度：32 success Boolean Error message 最小长度：1 最大长度：32 total Integer tatal count 最小值：0 最大值：99999 limit Integer current page count 最小值：0 最大值：9999 offset Integer current page size 最小值：0 最大值：100 data DataResponse object indicator batch operation response 表6 DataResponse 参数 参数类型 描述 success_ids Array of strings id list 最小长度：32 最大长度：64 error_ids Array of strings id list 最小长度：32 最大长度：64

支持的授权项 策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。 权限：允许或拒绝某项操作。 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。 权限 授权项 依赖关系说明 查询配额 cnad:quota:get - 查询单个防护策略详情 cnad:policy:get - 查询统计数据 cnad:countReport:get - 查询资产安全状态 cnad:securityStatusReport:get - 查询每周安全统计数据 cnad:weekStatisticsReport:get - 创建告警通知 cnad:alarmConfig:create 如果授予用户告警通知权限，需要同时授予用户“cnad:alarmConfig:create”授权项和“华北-北京四”的“SMN Administrator”权限。 删除告警通知 cnad:alarmConfig:delete 如果授予用户告警通知权限，需要同时授予用户“cnad:alarmConfig:delete”授权项和“华北-北京四”的“SMN Administrator”权限。 查询告警通知 cnad:alarmConfig:get 如果授予用户告警通知权限，需要同时授予用户“cnad:alarmConfig:get”授权项和“华北-北京四”的“SMN Administrator”权限。 更新实例 cnad:package:put - 绑定防护IP到实例 cnad:protectedIp:create 如果授予用户为CNAD实例绑定对象的权限，需要同时授予用户“cnad:protectedIp:create”授权项和实例所属区域的“vpc:publicIps:list”（查询弹性公网IP）授权项。 例如，用户在“华北-北京四”购买了一个CNAD实例。如果授予用户为CNAD实例绑定对象的权限，则需要授予该用户“cnad:protectedIp:create”授权项和“华北-北京四”的“vpc:publicIps:list”授权项，使该用户只能操作“华北-北京四”实例上绑定的防护对象。 创建防护策略 cnad:policy:create - 更新防护策略 cnad:policy:put - 删除防护策略 cnad:policy:delete - 绑定防护策略到防护IP cnad:bindPolicy:create - 移除防护IP的防护策略 cnad:unbindPolicy:create - 创建IP黑白名单 cnad:blackWhiteIpList:create - 删除IP黑白名单 cnad:blackWhiteIpList:delete - 更新防护IP标签 cnad:ipTag:put - 查询清洗范围 cnad:cleanScaleDropList:list - 查询实例列表 cnad:packageDropList:list - 查询防护策略列表 cnad:policyDropList:list - 查询防护IP列表 cnad:protectedIpDropList:list - 查询实例详情 cnad:package:list - 查询防护策略详情 cnad:policy:list - 查询防护IP列表 cnad:protectedIp:list - 查询总流量数据 cnad:trafficTotalReport:list - 查询攻击流量 cnad:trafficAttackReport:list - 查询总数据包 cnad:packetTotalReport:list - 查询攻击数据包 cnad:packetAttackReport:list - 查询DDoS防护趋势 cnad:cleanCountReport:list - 查询清洗流量峰值统计数据 cnad:cleanKbpsReport:list - 查询攻击类型分布 cnad:attackTypeReport:list - 查询攻击事件 cnad:attackReport:list - 查询Top10被攻击IP cnad:attackTop:list - 创建实例 cnad:package:create 如果授予用户购买CNAD权限，需要同时授予用户“cnad:package:create”授权项和所有区域以下BSS授权项： bss:order:update 操作订单权限 bss:contract:update 修改合同商务 bss:balance:view 查看帐户 bss:order:pay 支付权限

操作步骤 登录管理控制台。 进入自助解封页面，如图1所示。 图1 进入自助解封页面 在自助解封页面，查看“解封配额”（今日解封配额、今日剩余解封配额）和“封堵统计”（总解封次数、手动解封次数、自动解封次数、当前封堵IP数）信息。 每月剩余总配额每月1日凌晨刷新，每天剩余配额每天刷新。 配额刷新说明如下： 如果该月使用次数为96次及以下，每日凌晨刷新4次配额。 如果该月已使用次数为98次，则之后只更新为2次配额。 如果该月100次配额使用完，则该月不再更新配额。 选择“解封记录”页签，查看解封详细信息，如图2所示，相关参数说明如表1所示。 图2 解封记录 表1 解封记录参数说明 参数 说明 IP 解封的防护IP。 封堵时间 防护IP进入黑洞封堵的时间。 解封时间 防护IP解除黑洞封堵的时间。 解封类型 防护IP解封的方式，包括“手动解封”和“自动解封”。 状态 防护IP解封的状态。 执行者 进行解封操作的用户。

自助解封策略说明 自助解封策略规则说明如下： 对于同一防护IP，当日首次解封时间必须大于封堵时间30分钟以上才能解封。解封时间=2（n-1）*30分钟（n表示解封次数）。 例如，当日第一次解封需要封堵开始后30分钟，第二次解封需要封堵开始后60分钟，第三次解封需要封堵开始后120分钟。 对于同一防护IP，如果上次解封时间和本次封堵时间间隔小于30分钟，则本次解封时间的间隔=2n*30分钟（n表示解封次数）。 例如，该IP已解封过一次，上次解封时间为10:20，本次发生封堵时间为10:40，两者时间间隔小于30分钟，则本次需要封堵开始后120分钟才能解封，即12:40可以解封（本次发生封堵时间10:40后120分钟）。 如果您在30分钟内解封过其他任一IP，即使满足以上条件，您也不能对该IP进行解封。 DDoS防护会根据风控自动调整自助解封次数和间隔时长。

CNAD自定义策略样例 示例1：授权用户查询防护IP列表 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "cnad:protectedIpDropList:list" ] } ]} 示例2：拒绝用户删除IP黑白名单规则 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先。 如果您给用户授予“CNAD FullAccess”的系统策略，但不希望用户拥有“CNAD FullAccess”中定义的删除IP黑白名单规则的权限（cnad:blackWhiteIpList:delete），您可以创建一条相同Action的自定义策略，并将自定义策略的Effect设置为“Deny”，然后同时将“CNAD FullAccess”和拒绝策略授予用户，根据Deny优先原则用户可以对CNAD执行除了删除IP黑白名单规则的所有操作。以下策略样例表示：拒绝用户删除IP黑白名单规则。 { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "cnad:blackWhiteIpList:delete" ] }, ]}

操作步骤 登录管理控制台。 进入域名列表入口，如图1所示。 图1 域名列表入口 在目标域名所在行的“业务类型”列，单击“更换”。 在弹出的“更换证书”对话框中，上传新证书或者选择已有证书。 “上传方式”选择“手动上传”时，在对话框中输入证书名称，并将证书内容和私钥文件粘贴到对应的文本框中，如图2所示。 DDoS高防将对私钥文件进行加密保存，保障证书私钥的安全性。 图2 手动上传证书 DDoS高防当前仅支持PEM格式证书。如果证书为非PEM格式，请参考表1将证书转换为PEM格式，再上传。 表1 证书转换命令 格式类型 转换方式 CER/CRT 将“cert.crt”证书文件直接重命名为“cert.pem”。 PFX 通过openssl工具进行转换。 提取私钥命令，以“cert.pfx”转换为“cert.key”为例。 openssl pkcs12 -in cert.pfx -nocerts -out cert.key -nodes 提取证书命令，以“cert.pfx”转换位“cert.pem”为例。 openssl pkcs12 -in cert.pfx -nokeys -out cert.pem P7B 通过openssl工具进行转换。 执行转换命令。openssl pkcs7 -print_certs -in incertificat.p7b -out cert.cer 获取“cert.cer”文件中证书文件的内容。 将证书内容保存为PEM格式。 DER 通过openssl工具进行转换。 提取私钥命令，以“privatekey.der”转换为“privatekey.pem”为例。 openssl rsa -inform DER -outform PEM -in privatekey.der -out privatekey.pem 提取证书命令，以 “cert.cer”转换为“cert.pem”为例。 openssl x509 -inform der -in cert.cer -out cert.pem 在Windows操作系统上执行openssl命令，请确保您已安装openssl工具。 “上传方式”选择“选择已有证书”时，在“证书”的下拉框中选择已经上传的证书，如图3所示。 图3 选择已有证书 单击“确定”，证书更新完成。

示例流程 图1 给用户授权服务权限流程 创建用户组并授权 在IAM控制台创建用户组，并授予DDoS高防服务权限“AAD FullAccess”。 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台，验证权限： 单击页面左上方的，选择除DDoS高防服务外（假设当前策略仅包含“AAD FullAccess”）的任一服务，若提示权限不足，表示“AAD FullAccess”已生效。