华为云用户手册

关于OBS OperateAccess和OBS ReadOnlyAccess在控制台列举对象失败的问题说明 由于OBS提供的系统策略OBS OperateAccess和OBS ReadOnlyAccess中预置的列举权限只有列举对象（obs:bucket:ListBucket），而不包含列举多版本对象（obs:bucket:ListBucketVersions）。 所以当桶中存在多版本对象时，IAM用户通过控制台进入桶对象列表可能出现无法列举出对象的情况。此时需要额外授予列举多版本对象的权限（obs:bucket:ListBucketVersions）。

使用OBS SDK上传超过5GB的大文件失败 OBS服务端上传对象接口有规格限制，单次可上传的最大文件为5GB，如果需要上传超过5GB的大文件，需要通过OBS服务端提供的分段上传接口实现。具体步骤为： 调用OBS服务端初始化上传段任务接口，生成分段上传ID（Upload ID）。 调用OBS服务端上传段接口，逐个或并行上传段，每个段最大可支持5GB。 上传段完成后，调用OBS服务端合并段接口，生成最终对象。 OBS SDK实现了OBS服务端分段上传需要使用的原子接口，可在各语言《SDK参考》的“分段上传”章节获取更多使用OBS SDK进行分段上传的介绍。 父主题： API和SDK等开发者相关

请求类别 OBS的请求主要分为四大类： 读操作（GET类请求）：GET/HEAD/LIST等，例如下载对象、获取桶区域位置、获取桶策略、列举对象。 写操作（PUT类请求）：PUT/POST/COPY等，例如上传对象、复制对象。 删除操作（DELETE类请求）：DELETE等，例如删除对象、取消多段上传任务。 生命周期转换请求：在生命周期规则执行过程中，标准存储转换为低频访问存储或归档存储、低频访问存储转换为归档存储时，产生的生命周期转换请求。

举例 示例一 以上传对象为例，对一个对象或者段的每一次操作都会计算一次请求次数。假设上传一个拥有100个对象的文件夹： 在都使用PutObject方式上传的情况下，会发送100次PUT请求，计算100次请求次数。 如果其中有一些大对象需要分段上传，则会根据分成的段数额外计算分段上传的请求次数，此外还会有初始化段、合并段等请求产生，最终请求次数会大于100次。 示例二 以OBS控制台操作为例，每一次在控制台上的操作都会下发请求并计算请求次数。 例如进入OBS控制台首页，加载桶列表的过程会下发获取桶列表、获取桶区域位置等请求；进入桶概览页面，会下发获取桶存量信息、获取桶元数据等请求。 示例三 以下载对象为例，对一个对象的每一次下载操作都会计算一次请求次数。假设下载100个对象： 针对标准存储对象和低频访问存储对象，会发送100次GET类请求，计算100次请求次数。 针对未开启归档数据直读功能的归档存储对象，需要先恢复为标准存储对象，会产生100次PUT类请求。下载100个对象，会发送100次GET请求，共计200次请求次数。 针对开启归档数据直读功能的归档存储对象，可以直接下载，无需提前恢复。会发送100次GET类请求，计算100次请求次数。

请求次数计费 请求次数仅支持按需计费，不同类别请求的单价相同，具体价格可参见产品价格详情。 同时，购买标准存储包每月会分别赠送读操作和写操作请求次数，优先使用赠送部分，如果赠送的请求次数用完，超出部分会自动进行按需计费。如果您叠加购买标准存储包，赠送的请求次数也会叠加。如果您的包月资源包进行了升配，赠送的请求次数也会进行升级，剩余请求次数＝升配后的请求次数-原来已使用的请求次数。 除了服务端返回的状态码为5XX或403错误的请求外，其余的请求均会计入请求次数。

PUT上传和POST上传有什么区别？ PUT上传中参数通过请求头域传递；POST上传则作为消息体中的表单域传递。 PUT上传需在URL中指定对象名；POST上传提交的URL为桶域名，无需指定对象名。两者的请求行分别为： PUT /ObjectName HTTP/1.1 POST / HTTP/1.1 两种方式单次上传对象大小范围均为[0, 5GB]，如果需要上传超过5GB的大文件，需要通过多段上传实现。 关于PUT和POST上传更详细的API信息，请参见API参考PUT上传和POST上传。 父主题： API和SDK等开发者相关

我在什么场景下需要使用跨区域复制？ 客户需要在多地访问相同的OBS资源。为了最大限度缩短访问对象时的延迟，您可以使用跨区域复制，在离客户较近的区域中创建对象副本。 由于业务原因，您需要将OBS数据从一个区域的数据中心迁移至另一个区域的数据中心。 出于对数据安全性以及可用性的考虑，您希望对所有写入OBS的数据，都在另一个区域的数据中心显式地创建一个备份，以防止在数据发生不可逆损毁时，有安全、可用的备份数据。 父主题： 跨区域复制

创建桶失败 如果当前用户所创建的桶已达到上限100个，删除一些闲置的桶再创建。 如果是当前桶名已存在，则更换桶名再创建。在OBS中，桶名必须是全局唯一的，即用户创建的桶不能与自己已创建的其他桶名称相同，也不能与其他用户（包括其他华为云账号）创建的桶名称相同。 用户删除桶后，立即创建同名桶或并行文件系统会创建失败，需要等待30分钟才能创建。 当创建桶提示“另外一个冲突的操作当前正作用在这个资源上，请重试。”或“A conflicting operation is being performed on this resource. Try again later.”，这是由于OBS中存在同名桶且该同名桶在短期内因欠费被释放导致的。建议您更换桶名再试。 检查账号是否拥有权限，如果无权限，请授予对应的操作权限。 登录管理控制台。 在顶部导航栏单击用户名，选择“统一身份认证”，进入统一身份认证服务控制台，验证用户IAM权限。 在“用户”界面，搜索到用户名。 单击用户名左侧的下拉按钮，查看用户加入的用户组。如果用户没有加入用户组，单击“修改”，选择合适用户组加入。 在左侧导航栏单击“用户组”，搜索到用户加入的用户组，单击用户组名左侧的下拉按钮，然后单击“对象存储服务”的“查看”，检查用户组的权限是否有创建桶的权限。如果没有请重新创建用户组，设置有创建桶权限的策略，然后将用户加入该用户组。 检查账号是否已欠费或余额不足。如果欠费，请先续费。 登录OBS管理控制台。 在顶部导航栏单击“费用与成本”，进入费用中心。 在“总览”页面可以查看到账号可用额度。 如果您的账号已欠费，请参考续费管理对账号充值。 如果您充值后，仍不能上传对象，请联系客服进一步解决。 检查本地与OBS的网络是否正常，如果存在网络故障，解决网络故障，确保网络正常。 请检查账号是否已通过实名认证。如果没有，请先实名认证。 登录OBS管理控制台。 在顶部导航栏单击用户名，即可查看用户认证状态。 图1 账号认证状态 如果您没有实名认证，请参考个人账号如何完成实名认证对账号进行实名认证，实名认证后需要40分钟才能生效。 如果以上都不是，请根据返回的错误码进一步判断。 父主题： 桶和对象相关

使用obsutil下载文件夹前期速度正常，下载到90%后速度变慢 出现此种现象有两种场景。 场景一：文件夹中存在部分大对象和大量小对象。对于大对象，下载速度很快；对于大量小对象，下载速度主要受TPS影响。如果下载到90%后都是小对象，此时下载速度一定程度上可能会降低。 场景二：文件夹中的对象大小均匀。可能原因为数据已经下载完成，但是在写入磁盘时产生排队现象，造成显示下载变慢的假象，请客户排查客户端的写入速率等问题。 父主题： 工具相关

使用obsutil下载文件到99%后失败 出现该问题的主要原因： 网络波动导致下载失败。 磁盘IO卡顿导致缓存文件到目标文件夹失败。 解决方法： 重新执行下载命令。 obsutil在下载的时候默认开启断点续传，此时只要重新执行之前的下载命令就可以将之前下载失败的对象采用续传的方式重新下载到本地。 如果问题未能解决，请将obsutil升级到最新版本再进行下载。 如果问题仍然存在，请联系客服处理。 父主题： 工具相关

访问或下载已加密的对象 对象指定SSE-OBS加密后，开启公共读的匿名访问权限后可以直接访问对象。 对象指定SSE-C加密后，无法直接访问，即使对象开启了公共读的匿名访问权限。您可以调用API接口访问或下载对象。详见获取对象内容。 对象指定SSE-KMS加密后，无法直接访问，即使对象开启了公共读的匿名访问权限。您可以使用以下方法访问或下载已加密的对象： 方法一：使用具有KMS CMKFullAccess权限的用户访问加密对象，且用户拥有KMS CMKFullAccess权限的区域需要和对象所在桶的区域一致。关于如何给用户授予KMS CMKFullAccess权限，请参见给IAM用户授权。 方法二：使用加密对象分享的临时URL进行访问。加密对象分享后，使用分享的URL访问时服务端会自动解密。 例如，您有已经加密的对象（如视频、音频等）需要给匿名用户访问，可以先分享对象，将分享的URL发送给他人即可访问。

方案二：使用生命周期管理批量删除对象或清空桶 您可以利用OBS提供的生命周期管理功能，配置对象过期删除规则，一次性清空桶中所有对象或批量删除指定前缀的对象。 登录OBS控制台。 在OBS管理控制台左侧导航栏选择“桶列表”。 在OBS管理控制台桶列表中，单击待操作的桶，进入“对象”页面。 在左侧导航栏，单击“概览”，进入“概览”页面。 在“基础配置”区域下，单击“生命周期规则”，系统跳转至“生命周期规则”界面。 单击“创建”，系统弹出如图3所示对话框。 图3 创建生命周期规则 配置清空桶或批量删除指定前缀对象的生命周期管理规则。 表1 生命周期规则参数配置 类别 参数 参数配置说明 基本信息 状态 选择“启用”。 规则名称 自定义，用于识别不同的生命周期配置。 前缀 可选。 填写前缀：满足该前缀的对象将受生命周期规则管理，即批量删除指定前缀的对象。 未填写前缀：桶内所有对象都将受生命周期规则管理，即清空桶。 当前版本/历史版本 转换为低频访问存储天数 不勾选。 转换为归档存储天数 不勾选。 对象过期删除天数 勾选后设置天数。指定对象在最后一次更新后多少天将自动删除。过期删除时间最小设置为1天，且必须大于前面设置的转换时间的最大值。 说明： 当桶未启用多版本控制时，指定的对象在配置的过期时间后将被自动删除，无法找回。 碎片过期删除天数 仅当前版本支持配置。勾选后可设置。最小设置为1天，指定桶内碎片在产生后多少天自动删除。 “当前版本”与“历史版本”是针对“多版本控制”而言的。如果开启了“多版本控制”功能，同名的对象上传到同一路径下时，则会产生不同的版本号。最新版本的对象称之为“当前版本”，历史时间上传的对象称之为“历史版本”。 “历史版本”配置项默认不展示，只有当桶开启过“多版本控制”，即多版本控制状态为“已启用”或“暂停”时才会展示。 “当前版本”与“历史版本”至少配置一个，也可以两个版本同时配置。如果需要清空桶，则建议同时配置。 对象过期删除的时间可能会延迟，一般不超过48小时。配置生命周期规则后，如果期间修改了生命周期配置，会重新计算生效时间。 单击“确定”，完成生命周期规则配置，等待到期后OBS自动删除符合规则的对象。

如何查看桶内的文件夹大小？ 可以使用obsutil列举对象命令，指定前缀为需要查看的文件夹进行列举。 以Linux操作系统为例，运行./obsutil ls obs://bucket-test/test/ -du -limit=0命令，查询桶bucket-test下test文件夹的大小。 ./obsutil ls obs://bucket-test/test/ -du -limit=0 Start at 2023-03-16 06:40:18.2773873 +0000 UTC Listing objects . Remove the -du parameter to view more information [DU] Total prefix [test/] size: 990.85MB -du 参数仅支持obsutil 5.4.6及以上版本，旧版本可以只使用-limit=0参数，推荐使用最新版本。 父主题： 桶和对象相关

对象存储与SAN存储和NAS存储相比较有什么优势？ SAN存储提供给应用的是一个LUN或者是一个卷，LUN和卷是面向磁盘空间的一种组织方式，上层应用要通过FC或者ISCSI协议访问SAN。SAN存储处理的是管理磁盘的问题，其他事情都要依靠上层的应用程序实现。 NAS存储提供给应用的是一个文件系统或者是一个文件夹，上层应用通过NFS和CIFS协议进行访问。文件系统要维护一个目录树。 对象存储更加适合web类应用，基于URL访问地址提供一个海量的桶存储空间，能够存储各种类型的文件对象，对象存储是一个扁平架构，无需维护复杂的文件目录。无需考虑存储空间的限制，一个桶支持近乎无限大的存储空间。 父主题： 产品咨询

排查思路 以下排查思路根据原因的出现概率进行排序，建议您从高频率原因往低频率原因排查，从而帮助您快速找到问题根因。 如果处理完某个可能原因仍未解决问题，请继续排查其他可能原因。 OBS权限控制比较灵活，建议您使用前先阅读OBS权限控制说明，不同场景的权限配置方法可以参考典型场景配置案例。 图1 无法访问OBS排查思路 表1 排查思路 可能原因 处理措施 IAM缓存导致权限未生效 由于缓存的存在，配置IAM权限后一般需要10~15分钟权限才能生效。请等待10~15分钟后再试。 使用了错误的账号或AK/SK访问OBS 多数情况下，出现无权限访问OBS的问题，可能是由于使用了错误的登录信息，如账号或AK/SK，其中AK/SK使用错误更为常见。例如资源拥有者给用户A开通了OBS权限，但实际使用了用户B的账号密码或AK/SK登录访问OBS。 需要与资源拥有者确认，已开通OBS权限的账号与自己当前使用的账号或AK/SK是否匹配。 配置的权限不正确 请参考检查配置的权限是否正确。 配置了拒绝访问的权限 请参考检查是否配置了拒绝访问的权限。 配置了防盗链 请参考配置防盗链修改白名单Referer/黑名单Referer。 账户余额不足 请根据所需费用给账户充值后再进行操作。

继续运行中断或失败的分段上传任务消除碎片 OBS提供任务管理功能，当分段上传任务中断或失败时，您可以通过以下多种方式继续运行这些任务，任务完成后，碎片也会随着消除。 表1 消除碎片的不同方式 方式 操作指导 OBS Browser+ OBS Browser+提供图形化的任务管理界面，单击选中碎片对应的上传对象任务，运行该任务至完成，碎片即可消除。 obsutil obsutil通过结果清单记录失败的任务，您可以通过结果清单对应的任务号恢复失败的上传任务，从而消除碎片。 具体操作请参考恢复失败的上传任务。 OBS SDK OBS SDK通过记录上传进度提供断点续传，您可以读取记录的进度，继续上传中断或失败的分段上传任务。 具体操作请参考各SDK开发指南中的“断点续传”章节。

直接删除碎片 当碎片不再需要时，您可以通过以下多种方式删除桶中碎片来节约存储空间。 碎片删除后无法恢复，删除碎片会导致其对应的上传任务进度丢失，删除前请确保碎片不再需要。 表2 删除碎片的不同方式 工具 方法 OBS控制台 OBS控制台提供图形化的碎片列表界面，您可以一键批量删除桶中所选中的碎片。 具体操作请参见清理碎片。 OBS Browser+ 您可以一键批量删除桶中所选中的碎片。也可以单击页面上方“删除所有”，清除所有碎片。 obsutil obsutil分段上传任务产生的碎片，可以通过删除分段上传任务来删除碎片。如果一个桶内有多个分段任务，则需要删除多个任务来删除桶中所有碎片。 具体操作请参见删除分段上传任务。 OBS API 您可以通过以下步骤来直接删除桶中碎片： 使用列举桶中已初始化多段任务接口，来列举所有分段上传任务，获取所有UploadId。 使用取消多段上传任务接口，来取消分段上传任务，即可删除所有碎片。 OBS SDK OBS SDK通常只有采用多段上传，并且最后没有合并多段上传任务时会产生碎片，您通过取消多段上传任务来删除桶内碎片。步骤如下： 使用ObsClient.listMultipartUploads列举所有分段上传任务，获取所有UploadId。 使用ObsClient.abortMultipartUpload取消分段上传任务，即可删除所有分段碎片。

OBS账单为什么会出现0.01元的计费？ 如果账单中出现0.01元的计费，可能与小额累计有关。 扣费的最小粒度为0.01元。每小时消费不足0.01元的情况下，会触发小额累计，累计一天后如果仍不足0.01元则不扣费。第二天会继续进行累计。直到消费累计大于或等于0.01元的情况下，会直接进行扣费。 例如：用户在8:00~9:00共用了10次上传请求、10次下载请求，这1小时内消费不足0.01元，累计一天后仍然不足0.01元，第二天继续累计消费，当第三天9:00消费累计达到0.01元，10:00左右账户进行扣费0.01元。 由于存在话单延迟的情况，一般按需计费的结算周期有小时/天/月等，在结算周期结束后时，生成账单并执行扣款。当前查不到扣费记录，可能是因为还未到结算周期。 父主题： 计费相关

哪些资源包会按月更新额度，哪些不会？ 当前如下资源包是按月更新额度： 公网流出流量包 回源流量包 跨区域复制流量包 如下资源包额度购买后在指定时间内有效，不会按月更新额度： 标准存储包 归档存储包 按月更新额度：以公网流出流量包为例，如您购买10TB公网流出流量包一年，则您每月均有10TB的公网流出流量可抵扣，为期一年，超出部分按需计费。未用完的资源包用量下个月会被重置。 非按月更新额度：以标准存储包为例，如您购买10TB标准存储包一年，则一年内存储数据容量在10TB以内的部分，可以使用该存储包抵扣，超出部分按需计费。 父主题： 计费相关

我在什么场景下需要使用生命周期管理？ 生命周期管理可适用于以下典型场景： 周期性上传的日志文件，可能只需要保留一个星期或一个月。到期后要删除它们。 某些文档在一段时间内经常访问，但是超过一定时间后便可能不再访问了。这些文档需要在一定时间后转化为低频访问存储，归档存储或者删除。 为了存档目的而向OBS上传的某些类型的数据，包括数字媒体存档、金融和医疗记录、原始基因组序列数据、长期数据库备份以及为符合监管要求而必须保留的数据。 一次性删除桶中的大量文件。手动删除对象费时费力，且有数量限制。在桶中配置一条生命周期管理规则，设置定时删除所有文件即可。 如果您需要大量的删除桶内对象，您可以设置生命的周期的过期删除，可定时删除桶内对象。在“生命周期规则”界面，按照表1参数创建规则： 表1 过期删除参数配置 参数 取值 状态 启用 规则名称 例如：rule-delete 前缀 可选。 填写前缀：满足该前缀的对象将受生命周期规则管理，即批量删除指定前缀的对象。 未填写前缀：桶内所有对象都将受生命周期规则管理，即清空桶。 当前版本 对象过期删除天数 1天 历史版本 对象过期删除天数 1天 1天后，桶内对象按照规则删除成功。如果您以后不再按照该规则删除对象，则停止或删除该生命周期规则。 父主题： 生命周期管理

通过URL访问对象失败 本案例主要介绍对象URL无法访问的场景。如果您的问题是对象URL只能下载，而不能在线预览，请参考如何在浏览器中在线预览OBS中的对象？解决。 如果您是对象的拥有者，不能通过URL访问对象，请检查如下内容： 如果您是自定义对象的URL，请检查对象URL中是否有禁用字符。详情请参见用户指南中对象名称的约束。 如果您是使用自定义域名访问对象，请排查您的域名是否已解析到OBS桶域名。详情请参见绑定自定义域名章节“在域名解析服务器上配置CNAME记录”。 如果对象URL是由他人提供给您，您无法访问对象，请联系对象拥有者检查如下内容： 如果对象URL是通过分享功能生成，请检查分享有效期是否过期，如果过期，请重新分享并设置有效期。对象拥有者可以通过管理控制台、OBS Browser+来配置。您可以通过对象URL的格式来判断是否由分享生成，详情请参见分享文件。 工具 配置方式 OBS Console 分享文件 Browser+ 分享文件 如果对象URL的格式为BucketName.Endpoint/ObjectName，例如bucketname.obs.cn-north-4.myhuaweicloud.com/object.txt，则说明不是通过分享功能生成。请检查对象的访问权限是否授权给使用的用户。请通过桶策略、桶ACL、对象策略和对象ACL共同检查。如果用户无对象的访问权限，请授权。 您可以通过以下工具授权权限： 工具 配置方法 管理控制台 桶ACL、桶策略、对象ACL、对象策略 OBS Browser+ - obsutil 设置桶属性、设置对象属性 SDK SDK参考的使用URL进行授权访问 API 设置桶ACL 、设置桶策略、设置对象ACL 请检查对象是否加密，如果加密，只有通过分享的URL才能正常访问，通过普通对象URL即使有读权限也无法访问。 请检查对象归属的桶是否配置了防盗链的白名单或黑名单。 父主题： 桶和对象相关

OBS是否支持对象加密上传？ OBS提供了服务端加密功能，用户可以使用加密的方式上传对象，数据会在服务端加密成密文后存储。用户下载加密对象时，存储的密文会先在服务端解密为明文，再提供给用户。 OBS提供的多种访问方式中，对于对象加密上传的支持情况不同，具体如表1所示。 表1 对象加密上传在不同访问方式下的支持情况 访问方式 是否支持对象加密上传 参考文档 OBS控制台 是 使用服务端加密方式上传文件 OBS Browser+ 否 不支持对象加密上传，但如果桶配置了默认加密，那向该桶中上传的对象会自动加密。 - obsutil 否 不支持对象加密上传，但如果桶配置了默认加密，那向该桶中上传的对象会自动加密。 - OBS API 是 与服务端加密相关的接口 OBS SDK 是 具体操作请参考各语言SDK开发指南的“服务端加密”章节。 父主题： 服务端加密

如何迁移？ SFS的文件系统需要挂载到弹性云服务器、容器或裸金属服务器上，对于SFS和OBS之间的数据迁移，可以理解为服务器与OBS或者容器与OBS之间的数据迁移，其中服务器或容器中的数据存放在所挂载的SFS文件系统中。 所以，SFS文件系统挂载到服务器或容器之后，便可以登录服务器或容器，利用OBS提供的各种工具、API或SDK进行数据迁移。例如，如果希望将SFS中的数据迁移到OBS中，则需要在服务器或容器中使用OBS的上传功能将数据上传至OBS；反之，使用OBS的下载功能即可将数据从OBS迁移到SFS（需要读写权限）。 OBS提供如表1所示的方式帮助用户迁移数据。请根据操作系统类型和实际情况选择合适的方式，并参考对应指导文档中的上传/下载相关章节完成数据迁移。 不同方式支持的操作系统、迁移数据量、操作简易程度存在差异，推荐您使用obsutil工具进行数据迁移。 为了节省您的开支，建议您配置内网DNS，通过华为云内网完成数据迁移。具体配置方法，请参见通过内网访问OBS。 表1 OBS提供的数据迁移工具 工具 支持的操作系统类型 （支持的具体版本参考对应方式的指导文档） 指导文档 管理控制台 Windows 控制台指南 OBS Browser+ Windows OBS Browser+工具指南 obsutil（推荐） Windows/Linux obsutil工具指南 SDK All SDK参考 API All API参考

解决方法 检查endpoint 使用OBS SDK时需要检查此项。 正确的endpoint格式为obs.regionID.myhuaweicloud.com，当用户将endpoint错误地填写为桶访问域名（bucketname.obs.regionID.myhuaweicloud.com），即在endpoint前多加了桶名，也会报签名不匹配错误。 检查AK、SK 请确保AK、SK输入正确，成对匹配，且与请求所用AK、SK保持一致。 检查HTTP-Verb 签名所用HTTP-Verb与请求所用HTTP-Verb保持一致。 检查Date/Expires Header中携带签名：检查签名所用Date与请求头域所带Date是否一致。 URL中携带签名：检查签名所用Expires与请求URL中的Expires参数是否一致。 如果使用URL签名计算工具，工具中Expires参数设置的是一个时间段，以秒为单位，比如一小时为3600。工具最终生成的URL中的Expires值为有效期的最后时间点。 检查头域 检查Content-MD5、Content-Type、Canonicalized Headers，如果计算签名时有包含在内，发送请求时也必须带上对应的头域。 如果直接在浏览器中使用携带签名的URL访问OBS资源，因为这种方式不能携带头域参数，故在计算签名时也不能携带此类头域。 检查Canonicalized Resource Canonicalized Resource表示请求访问的obs资源，请严格按照API文档中Canonicalized Resource参数的规范设置。详情请参见Header中携带签名或URL中携带签名。 检查StringToSign StringToSign的构造规则为： Header中携带签名： HTTP-Verb + "\n" + Content-MD5 + "\n" + Content-Type + "\n" + Date + "\n" + CanonicalizedHeaders + CanonicalizedResource URL中携带签名： HTTP-Verb + "\n" + Content-MD5 + "\n" + Content-Type + "\n" + Expires + "\n" + CanonicalizedHeaders + CanonicalizedResource 值为空的参数处直接换行。 检查签名算法 签名的计算方法： 构造请求字符串（StringToSign）; 对第一步的结果进行UTF-8编码； 使用SK对第二步的结果进行HMAC-SHA1签名计算； 对第三步的结果进行Base64编码，header中携带的签名到此得到最终的签名； URL中携带的签名还需要对第4步的结果进行URL编码才能得到最终的签名。 签名验证方法请参见用户签名验证。

资源包是否必须购买？是否能指定给具体的桶使用？ 资源包并不是必须要购买的，即使您没有购买也可以使用OBS服务，此时计费模式采用按需计费。但是购买资源包后，资源包可以抵扣使用OBS所产生的费用，相比不购买资源包采用按需计费的方式更优惠，因此推荐您按实际业务购买对应的资源包。 当前资源包是按类型和区域划分的，例如在指定区域购买存储资源包后该区域下所有符合资源包要求的桶产生的存储费用均可以抵扣，因此资源包和具体的桶之间并不存在对应关系，也不支持将资源包指定给某个具体的桶使用。 需要注意的是，由于OBS有多种计费项，因此即使购买了资源包也并不意味着在资源包使用完毕前不会产生其他费用。在购买了资源包的情况下，如果产生按需计费，请您参考已购买资源包，为什么仍然产生按需计费？进行排查。 父主题： 计费相关

方案三：CDN私有桶回源方式访问 方案优劣势及约束限制说明 该方案不需要将桶设置为公共读，可用私有桶实现。 该方案不需要配置OBS自定义域名，仅需在CDN配置加速域名。按照工信部要求，您的桶如果在以下区域，使用的加速域名需要提前完成ICP备案。 包括：华北-北京一、华北-北京四、华北-乌兰察布一、华东-上海一、华东-上海二、华南-广州、西南-贵阳一 该方案支持HTTPS访问。如果需要使用HTTPS，需要将证书导入CDN。详情请参见HTTPS证书配置。 配置步骤 在CDN控制台将准备好的自有域名添加为加速域名。 添加方法请参见添加CDN加速域名。其中“源站类型”选择“OBS桶域名”，并在源站中选择对应的OBS桶域名。 开启私有桶回源功能。 开启方法请参见OBS私有桶回源。 在DNS上进行CNAME配置。 配置方法请参见绑定自定义域名中的CNAME配置步骤。其中，CNAME配置为CDN分配的CNAME域名。 验证对象是否可以在线预览。 配置成功后，将“http://自定义域名/对象访问路径”拼接成的链接分享给用户，用户可以在浏览器中通过此链接直接预览文件。 如仍不能在线预览，请检查对象元数据ContentType值是否是浏览器支持的在线展示类型。 例如对象是一个mp4格式的视频文件，则设置ContentType为“video/mp4”；对象是一个jpg格式的图片文件，则设置ContentType为“image/jpeg”。OBS支持的ContentType类型请参见对象元数据Content-Type介绍。 您可以通过管理控制台、API和SDK来设置对象元数据ContentType。 表3 修改对象元数据 工具 参考 管理控制台 配置对象元数据 API 修改对象元数据 SDK SDK参考的设置对象属性

背景信息 基于安全合规要求，华为云对象存储服务OBS禁止通过OBS的默认域名（桶访问域名或静态网站访问域名）在线预览桶内对象，即使用上述域名从浏览器访问桶内对象（如视频、图片、网页等）时，不会显示对象内容，而是以附件形式下载。 各区域将自以下两个时间点起生效： 自2022年1月1日起生效：华北-北京一、华北-北京四、华北-乌兰察布一、华东-上海一、华东-上海二、华南-广州、西南-贵阳一 自2022年3月25日起生效：中国-香港、亚太-曼谷、亚太-新加坡、非洲-约翰内斯堡、拉美-墨西哥城一、拉美-墨西哥城二、拉美-圣保罗一、拉美-圣地亚哥

方案一：使用OBS自定义域名访问（不开启CDN加速） 方案优劣势及约束限制说明 需要设置桶策略为公共读，桶内所有对象均可被匿名用户访问。 按照工信部要求，您绑定自定义域名的桶如果在以下区域，需要提前完成ICP备案。 包括：华北-北京一、华北-北京四、华北-乌兰察布一、华东-上海一、华东-上海二、华南-广州、西南-贵阳一 只支持HTTP方式访问，不支持HTTPS方式访问。 配置步骤 为OBS桶绑定自定义域名。 绑定的方法请参见绑定自定义域名。按照参考文档配置时，不需要开启CDN加速，CNAME配置为OBS桶域名。 验证对象是否可以在线预览。 配置成功后，将“http://自定义域名/对象访问路径”拼接成的链接分享给用户，用户可以在浏览器中通过此链接直接预览文件。 如仍不能在线预览，请检查对象元数据ContentType值是否是浏览器支持的在线展示类型。 例如对象是一个mp4格式的视频文件，则设置ContentType为“video/mp4”；对象是一个jpg格式的图片文件，则设置ContentType为“image/jpeg”。OBS支持的ContentType类型请参见对象元数据Content-Type介绍。 您可以通过管理控制台、API和SDK来设置对象元数据ContentType。 表1 修改对象元数据 工具 参考 管理控制台 配置对象元数据 API 修改对象元数据 SDK SDK参考的设置对象属性

排查思路 以下排查思路根据原因的出现概率进行排序，建议您从高频率原因往低频率原因排查，从而帮助您快速找到问题根因。 如果处理完某个可能原因仍未解决问题，请继续排查其他可能原因。 图1 产生按需计费问题排查思路 表1 排查思路 可能原因 处理措施 未购买对应的资源包 请参考判断是否经购买了对应的资源包 资源包额度已用完 请参考判断资源包额度是否超出 资源包和桶的属性不匹配 请参考判断资源包属性与桶属性是否匹配 购买的资源包没有涵盖到OBS所有计费项 请参考判断是否产生了资源包未涵盖的计费项

判断资源包属性与桶属性是否匹配 对于支持包年包月资源包的存储费用计费项，只有当资源包的区域、存储类别、数据冗余存储策略与桶的属性完全一致时，才会抵扣资源包，否则会产生按需费用。对于流量资源包也只能抵扣对应场景下的流量费用。 需要依次排查以下属性： 区域匹配 资源包仅支持抵扣同区域桶的费用，请确保桶所在区域和资源包所属区域一致，否则请重新创建桶或重新购买资源包，使其区域属性匹配。 存储包类型匹配 OBS提供标准存储包和归档存储包，分别用于抵扣标准存储类别对象和归档存储类别对象的存储费用。OBS区分桶存储类别和对象存储类别，允许桶和对象的存储类别不一致，需要确保已购买的存储包类型和桶中的对象存储类别一致。 数据冗余存储策略匹配（单AZ/多AZ） 标准存储包提供多AZ存储和单AZ存储两种选择，桶在创建时需要指定数据冗余存储策略为多AZ存储或单AZ存储。请确保已购买的标准存储包与桶的数据冗余存储策略一致。桶的数据冗余存储策略可以在桶基本信息中查看。 流量包类型匹配 OBS提供公网流出流量包、跨区域复制流量包和回源流量包： 公网流出流量包用于抵扣通过互联网从OBS下载数据到本地所产生的公网流出流量费用； 跨区域复制流量包用于抵扣通过跨区域复制功能将源桶数据复制到另一个区域的目标桶时所产生的流出流量费用； 回源流量包用于抵扣使用OBS作为华为云CDN加速域名源站时，CDN向源站OBS获取文件产生的回源流量费用。 如果您的OBS存在公网流出流量、跨区域复制流量或回源流量，请确保已购买对应的流量包。 如果上述要求有一项不满足，产生按需计费为正常现象；如果上述要求均满足，请继续按照下面的思路排查。