华为云用户手册

Octopus MapVendorOperations策略内容 { "Version": "1.1", "Statement": [ { "Action": [ "octopus:dataExpress:create", "octopus:dataExpress:get", "octopus:dataExpress:list", "octopus:dataExpress:updateConfig", "octopus:dataPackage:list", "octopus:dataProcessors:list" ], "Effect": "Allow" } ] }

Octopus权限管理 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。创建用户并授权使用八爪鱼自动驾驶云服务请参考创建用户并授权使用服务。 Octopus部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如华北-北京1）对应的项目（cn-north-1）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问Octopus时，需要先切换至授权区域。 图1 权限授权 IAM在对用户组授权的时候，并不是直接将具体的某个权限进行赋权，而是需要先将权限加入到“策略”当中，再把策略赋给用户组。为了方便用户的权限管理，各个云服务都提供了一些预置的“系统策略”供用户直接使用。如果预置的策略不能满足您的细粒度权限控制要求，则可以通过“自定义策略”来进行精细控制。请参考创建自定义策略。 如表1所示，包括了Octopus的所有系统权限。 表1 表1 Octopus系统策略 策略名称 描述 策略类别 角色/策略内容 Octopus FullAccess Octopus管理员权限，拥有该权限的用户可以操作并使用所有Octopus服务。 系统策略 Octopus FullAccess策略内容 Octopus CommonOperations Octopus操作权限，拥有该权限的用户拥有Octopus服务的除智驾模型服务、数据合规递送、创建工作空间、编辑工作空间、删除工作空间之外的所有操作权限。 系统策略 Octopus CommonOperations策略内容 Octopus MapVendorOperations（待下线） Octopus服务图商供应商权限。拥有该权限的用户拥有获取数据包列表、获取算子列表和数据递送的部分操作权限。 系统策略 Octopus MapVendorOperations策略内容 表2列出了Octopus常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表2 Octopus常用操作与系统权限的授权关系 服务 功能 操作 Octopus FullAccess Octopus CommonOperations Octopus MapVendorOperations（待下线） 镜像仓库 ALL ALL √ √ x 运维配置 ALL ALL √ √ x 标注服务 ALL ALL √ √ x 训练服务 ALL ALL √ √ x 仿真服务 ALL ALL √ √ x 智驾模型服务 ALL ALL √ x x 数据资产 数据总览 ALL √ √ x 地图管理 ALL √ √ x 标定管理 ALL √ √ x 源数据包 获取数据包列表 √ √ √ 获取数据包详情 √ √ x 永久删除数据包 √ √ x 操作数据包 √ √ x 更新数据包标签 √ √ x 数据场景 ALL √ √ x 数据集 ALL √ √ x 数据缓存 ALL √ √ x 模型管理 ALL √ √ x 通用存储 ALL √ √ x 数据合规 数据合规递送 创建合规订单 √ x x 获取合规订单列表 √ x x 获取合规订单配置信息 √ x x 更新合规订单状态 √ x x 获取合规数据包列表 √ x x 推送合规数据包 √ x x 合规处理模板 创建合规处理模板 √ x x 查询合规处理模板列表 √ x x 查询合规处理模板详情 √ x x 更新合规处理模板 √ x x 删除合规处理模板 √ x x 合规作业 查询合规作业列表 √ x x 查询合规作业详情 √ x x 创建合规作业 √ x x 操作合规作业和作业队列 √ x x 删除合规作业 √ x x 数据处理 数据导入 ALL √ √ x 算子 创建算子 √ √ x 查询算子列表 √ √ √ 查询算子详情 √ √ x 更新算子 √ √ x 删除算子 √ √ x 作业、队列 ALL √ √ x 回放仿真 ALL √ √ x 工作空间 ALL 获取工作空间列表 √ √ x 查看工作空间详情 √ √ x 创建工作空间 √ x x 编辑工作空间 √ x x 删除工作空间 √ x x 更详细的细粒度策略支持的授权项请参考《Octopus API参考》中“策略及授权项说明”章节。

理解Octopus的权限与委托 如果您需要对华为云上购买的Octopus自动驾驶云服务资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制华为云资源的访问。 通过IAM，您可以在华为云账号中给员工创建IAM用户，并使用策略来控制IAM用户对华为云资源的访问范围，例如您的员工中有负责软件开发的人员，您希望他们拥有Octopus的使用权限，但是不希望他们拥有删除通道等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用通道，但是不允许删除通道的权限策略，控制他们对通道资源的使用范围；在使用Octopus云资源过程中需要访问用户的其他服务，需要先获得用户的授权，这个动作就是一个“委托”，用户委托Octopus代表自己访问特定的云服务，已完成其在Octopus平台上的操作。 权限：使用Octopus自动驾驶云服务平台上的镜像仓库、运维配置、工作空间、数据资产、数据合规、数据处理、标注服务、训练服务、仿真服务的所有功能，均需要通过IAM权限体系进行正确权限授权。 委托：使用Octopus自动驾驶云服务平台上的智驾模型服务中的模型微调和2D图像生成功能需要访问对象存储服务（OBS），均需要获得用户的委托授权。 IAM是华为云提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。关于IAM的详细介绍，请参见《IAM产品介绍》。 如果华为云账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用Octopus的其它功能。

欠费与到期 如下图所示，包年/包月资源各个阶段的状态。购买后，在计费周期内资源正常运行，此阶段为有效期；资源到期而未续费时，将陆续进入宽限期和保留期。 当您的账号欠费后，资源不会立即停止服务，资源进入宽限期。在宽限期内客户可正常访问和使用此服务资源。 如果您在宽限期内仍未续费服务资源，那么就会进入保留期，资源状态变为“已冻结”，针对已购买的服务、扩展资源、模型，允许访问、修改、删除其中的数据，不允许创建数据。 保留期到期后，如果服务资源仍未续费，那么服务资源以及其中的数据将被自动删除，无法恢复。 图1 包年/包月资源生命周期 父主题： 计费说明

计费模式 Octopus当前支持包年/包月、套餐包和按需计费三种计费模式，满足不同场景下用户需求。 包年/包月：是一种预付费模式，即先付费再使用，按照订单的购买周期进行结算，因此在购买之前，用户必须保证账户余额充足。 套餐包：一种预付费模式，即先付费再使用，您可以根据实际需求购买套餐包获取更多的优惠。 按需计费：一种后付费模式，即先使用再付费，按照实际使用次数、处理数据量进行结算。 表1 计费模式说明 计费模式 包年/包月 套餐包 按需计费 付费方式 预付费 预付费 后付费 计费周期 按订单的实际购买时长计费。 按照订单的有效周期结算。 按照单次生成订单费用结算。 适用计费项 基础版、扩容资源 模型 模型 适用功能模块 数据服务、标注服务、训练服务、仿真服务、合规服务 智驾模型服务 智驾模型服务、合规服务 适用场景 适用于可预估资源使用周期的场景。推荐长期使用者购买。 适用于可预估资源使用周期的场景，价格比按需计费模式更优惠。 适用于需求波动大的场景，随时适用。 父主题： 计费说明

访问控制 Octopus作为一个完备的自动驾驶工具链，支持用户对其进行细粒度的权限配置，以达到精细化资源、权限管理之目的。为了支持客户对Octopus的权限做精细化控制，提供了IAM权限控制方面的能力来支撑。 IAM权限控制。 用户使用Octopus的任何功能，都需要通过IAM权限体系进行正确的权限授权。例如：用户希望在Octopus创建训练作业，则该用户必须拥有 "训练服务" 的权限才可以完成操作（无论界面操作还是API调用）。 管理员新创建的用户在没有配置细粒度授权策略时，默认具有Octopus所有权限。如果需要控制用户的详细权限，管理员可以通过IAM为用户组配置细粒度授权策略，使用户获得策略定义的权限，操作对应云服务的资源。基于策略授权时，管理员可以按Octopus的资源类型选择授权范围。详细的资源权限项可以参见API参考中的权限策略和授权项章节。

服务韧性 韧性特指安全韧性，即云服务受攻击后的韧性，不含可靠性、可用性。本章主要阐述Octopus服务受入侵的检测响应能力、防抖动的能力、域名合理使用、内容安全检测等能力。 安全防护套件覆盖和使用堡垒机，增强入侵检测和防御能力 Octopus服务部署主机层、应用层、网络层和数据层的安全防护套件。及时检测主机层、应用层、网络层和数据层的安全入侵行为。 Octopus服务涉及对互联网开放的Web应用，采用了统一推荐的Web安全组件防范Web安全风险，并且通过WAF进行安全防护。 所有承载Octopus服务的主机部署了主机安全防护和容器安全产品。包括不限于华为自研HSS/CGS或计算安全平台CSP。 Octopus服务部署了漏洞扫描服务并自行进行例行扫描，能快速发现漏洞并能及时修复。 Octopus服务通过统一的安全管控平台对云上资源进行安全运维。 Octopus服务部署了态势感知服务，以感知攻击现状，还原攻击历史，同时及时发现合规风险，对威胁告警及时响应。 Octopus对存放关键数据的数据库部署了数据库安全服务。 云服务防抖动和遭受攻击后的应急响应/恢复策略 Octopus服务具备租户资源隔离能力，避免单租户资源被攻击导致爆炸半径大，影响其他租户。 Octopus服务具备资源池和隔离能力，避免单租户资源被攻击导致爆炸半径过大风险。 Octopus服务定义并维护了性能规格用于自身的抗攻击性。例如：设置API访问限制，防止恶意接口调用等场景。 Octopus服务在攻击场景下，具备告警能力及自我保护能力。 Octopus服务提供了业务异常行为感知能力。 Octopus服务具备遭受攻击时的风险控制和应急响应能力。例如快速识别恶意租户，恶意IP。 Octopus服务具备攻击流量停止后，快速恢复业务的能力。 云服务域名使用安全及租户内容安全策略 Octopus服务使用的租户可见域名、租户不可见域名均满足如下安全相关要求， 避免了域名使用过程中的合规和钓鱼风险。其中： 租户可见域名：指租户可访问的域名，需要格外重视安全性和合规性。 租户不可见域名：指华为云服务在内网相互调用使用的域名，外部用户无法访问到对应的权威DNS服务器；或者Internet受限访问域名，只允许华为办公网络黄&绿区华为员工及合作方或外包人员访问的域名。 华为云基础域名安全使用，避免直接为租户分配基础域名。 华为云服务在内网互相调用使用的域名，避免使用外部已备案域名。 父主题： 安全

对象存储服务 Octopus服务使用对象存储服务（Object Storage Service， 简称OBS）存储原始Rosbag数据以及预处理后的视频、抽帧图片等数据，实现安全、高可靠和低成本的存储需求。OBS的更多信息请参见《对象存储服务控制台指南》。 表1 Octopus各环节与OBS的关系 功能 子任务 Octopus与OBS的关系 数据资产 地图管理 高精地图上传后存储在OBS中。 标定管理 传感器标定上传的标定文件存储在OBS中。 数据场景 场景挖掘后切出的rosbag片段存储在OBS中。 数据集 数据集存储在OBS中。 数据集的标注信息存储在OBS中。 模型管理 模型文件存储在OBS中。 通用存储 支持数据导出存储在OBS中。 数据处理 数据批导 支持导入OBS存储数据，支持实时扫描数据在OBS客户端操作。 数据处理 数据处理后的结果存储在OBS中。 标注服务 项目管理 标注的图片、点云数据存储在OBS中。 标注信息数据、标注规范存储在OBS中。 标注任务日志和审核报告存储在OBS中。 训练服务 算法管理 算法文件存储在OBS中。 训练任务 训练产物、训练任务日志存储在OBS中。 模型评测 评测脚本文件、评测产物、评测任务日志存储在OBS中。 编译管理 编译产物、编译任务日志存储在OBS中。 仿真服务 场景管理 场景文件存储在OBS中。 逻辑场景管理 逻辑场景的参数空间敏感性分析文件存储在OBS中。 并行仿真 仿真结果存储在OBS中。 智驾模型服务 2D图像生成 获取OBS访问授权，生成的2D图像存储在OBS中。 模型微调 获取OBS访问授权，模型微调使用的训练数据集从OBS中获取。

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的IaaS、PaaS和SaaS各类各项云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。华为云租户的安全责任在于对使用的IaaS、PaaS和SaaS类各项云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统，虚拟防火墙、API网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

数据保护技术 Octopus通过多种数据保护手段和特性，保障存储在Octopus中的数据安全可靠。 表1 表1 多种数据保护手段 数据保护手段 简要说明 传输加密（HTTPS） 支持HTTP和HTTPS两种传输协议，为保证数据传输的安全性，推荐您使用更加安全的HTTPS协议。 数据备份 支持设置数据库的备份和恢复，来保障数据的可靠性。 权限最小化 临时AK/SK和SecurityToken是系统颁发给用户的临时访问令牌，通过接口设置有效期，范围为15分钟至24小时，过期后需要重新获取。临时AK/SK和SecurityToken遵循权限最小化原则。使用临时AK/SK鉴权时，临时AK/SK和SecurityToken必须同时使用。 父主题： 安全

云服务费用 云服务费用是指购买服务所需要的费用，包含了服务运行所需公共资源产生的费用。 表1 云服务基础版计费说明 云服务名称 计费模式 计费说明 计费公式 八爪鱼自动驾驶云服务-基础版 包年/包月 购买八爪鱼自动驾驶云服务-基础版产生的费用。 规格单价 * 购买时长 * 套（仅支持1套） 数据服务-基础版 购买数据服务-基础版产生的费用。 标注服务-基础版 购买标注服务-基础版产生的费用。 训练服务-基础版 购买训练服务-基础版产生的费用。 仿真服务-基础版 购买仿真服务-基础版产生的费用。 合规服务-基础版 购买合规服务-基础版产生的费用。

模型费用 模型费用是在使用智驾模型服务2D预标注、2D图像生成、场景识别时，调用API所产生的费用。 表5 模型计费项说明 计费项 计费模式 计费说明 计费公式 场景识别 套餐包、按需计费 使用模型时API调用次数产生的费用。 购买模型套餐包，价格比按需计费模式更优惠。 套餐包：套餐包规格单价 * 购买数量 * 有效周期（当前仅支持1个月） 按需计费：规格单价 * API调用次数 2D图像生成 2D预标注

扩容资源费用 扩展资源费用是指使用Octopus时需额外购买的仿真扩展包、增强计算资源和存储扩容资源等产生的费用。除服务中自带的资源外，用户可增量购买扩容资源，提高计算性能和扩容存储空间。 表2 扩容资源计费项说明 计费项 计费子项 计费模式 计费说明 计费公式 存储扩容包 自动驾驶数据管理缓存扩容包 包年/包月 使用弹性文件服务（SFS）缓存文件，产生的费用。 规格单价 * 购买时长 * 套 自动驾驶数据管理存储扩容包 使用对象存储服务（OBS）存储数据和模型，产生的费用。 通用处理节点 octopus计算型CPU(16u32g)专属实例 增强计算性能，产生的费用。 octopus计算型CPU(64u128g)专属实例 AI处理节点 octopus计算型GPU(ant0324g24u96g)专属实例 octopus.hp.s2 octopus计算型NPU(x866sntp24g96u384g)专属实例 标注服务扩容包 同时在线用户数扩容包 支持多人在线标注，产生的费用。 仿真服务扩容包 规控仿真引擎-在线 购买在线仿真器，产生的费用。 感知规控仿真引擎-在线 仿真场景编辑器 规控仿真引擎-并行 增加并行任务数，产生的费用。

故障恢复 Octopus全球基础设施围绕华为云区域和可用区构建。华为云区域提供多个在物理上独立且隔离的可用区，这些可用区通过延迟低、吞吐量高且冗余性高的网络连接在一起。利用可用区，您可以设计和操作在可用区之间无中断地自动实现故障转移的应用程序和数据库。与传统的单个或多个数据中心基础设施相比，可用区具有更高的可用性、容错性和可扩展性。 Octopus通过对DB的数据进行备份，保证在原数据被破坏或损坏的情况下可以恢复业务。 父主题： 安全

个人数据说明 Octopus自动驾驶服务平台在自动驾驶开发的过程中，在以下场景中需要您同意授权我们收集和使用您的内容数据，其中可能包括个人信息或个人敏感信息，对于这部分数据您有义务根据所适用国家的法律制定必要的用户隐私政策并采取足够的措施以确保用户的个人数据受到充分的保护。 表1 个人数据说明 使用个人数据的场景 数据批导 数据集 通用存储 数据合规递送 收集的个人数据项 路采数据包（含有人像的2D图片，音频或视频） 自定义数据集（含有人像的2D图片，音频或视频） 路采数据包（含有人像的2D图片，音频或视频） 个人数据收集的来源和方式 对象存储导入 本地 标注 OBS 通用存储 数据递送 使用个人数据的目的以及安全保护措施 路采数据导入平台转换为平台支持的opendata格式 用于数据转换，标注，训练，仿真服务 对数据包中的人脸、车牌、点云、高程进行脱敏 个人数据的存留期限与存留策略 用户自行决定存留期限和策略。 用户自行决定存留期限和策略。 合规数据推送到数据服务后，会将源数据删除。 个人数据的销毁方式 用户自行删除 用户自行删除 平台删除 个人数据的导出方式 不涉及 提供数据集下载功能 不涉及 个人数据的导出指导 不涉及 OBS导出 不涉及

续费 包年/包月自动驾驶云服务到期后会影响云服务器正常运行。如果您想继续使用，需要在指定的时间内为服务、资源、模型续费，否则将终止服务，系统中的数据也将被永久删除。在到期前续费成功，所有资源、数据得以保留，且服务的使用不受影响。 表1 续费相关功能 功能 说明 手动续费 包年/包月云服务、资源从购买到自动删除之前，您可以随时在自动驾驶云服务控制台续费，以延长使用时间。 自动续费 开通云服务时勾选自动续费选项，系统会在每次到期前为您自动续费，避免因忘记手动续费而导致资源、数据被自动删除。 图1 自动续费 父主题： 计费说明

模型微调任务相关操作 在模型微调任务列表页，还可以完成以下操作。 表1 模型微调任务管理相关操作 任务 操作步骤 查看任务详情 单击任务名称，在任务详情页面查看模型微调任务详情，包括任务基本信息、参数详情以及任务日志。 停止任务 当任务状态为“排队中”或“运行中”时，可单击操作栏内的“停止”，进行停止任务操作。 复制任务 单击操作栏内的“复制”，可基于现有任务创建新任务。 单个删除任务 单击操作栏内的“删除”可单个删除任务。模型微调任务删除后无法恢复，请谨慎操作。 批量删除任务 勾选名称前面的复选框，单击列表左上角的“删除”，可批量删除任务。模型微调任务删除后无法恢复，请谨慎操作。 查询模型微调任务 在搜索输入框中输入搜索条件，按回车键即可查询目标任务。

敏感性分析 Octopus平台支持基于参数组合、回归训练、敏捷性评定三个参数空间分析得到的敏感性分析结果，主要对逻辑场景的参数空间进行敏感性分析。在泛化任务完成的批量仿真任务后加上敏感性分析，然后把敏感性分析结果展现在新的泛化任务创建界面上，来帮助客户更好调节参数创建泛化任务。 进入到创建泛化任务界面，参数设置，选择参数设置后的“灵敏度分析”。 图5 灵敏度分析 选择关联到该逻辑场景下泛化任务的仿真任务。 图6 选择仿真任务 单击“确定”，界面出现上次任务的敏感性分析结果，展示每个参数的灵敏度参数，该值的范围在[0,1]，该值越大，说明该参数的变化对评测分数的影响越大。 图7 泛化参数 用户可根据敏感性分析结果，设置当前各项参数的数值。

2D图像列表相关操作 在2D图像列表，还可以进行以下操作。 表1 2D图像列表相关操作 任务 操作步骤 搜索模型生成的2D图像 在搜索框中输入关键字搜索相关2D图像生成作业名称。 查看模型生成的2D图像详情 单击模型生成的2D图像生成作业名称，即可查看模型生成的2D图像详情页。 图4 2D图像详情 显示位置框：可选择是否显示位置框。 下载图片：鼠标悬停图片，可选择单张下载图片至本地。 删除图片：可选择单张或批量删除图片。 清理失效图片：如果有失效的图片，可选择单击右上角“清理失效图片”，清理失效图片。 终止模型生成2D图像 单击操作栏的“终止”，即可终止状态为“执行中”的模型。 删除模型生成的2D图像 单击操作栏的“删除”，即可删除模型生成的2D图像信息。 说明： 删除后无法恢复，请谨慎操作。（OBS中的图片数据需用户手动清理。）。

智驾模型列表相关操作 智驾模型列表可以进行以下操作。 表1 智驾模型列表相关操作 任务 操作步骤 编辑模型 单击操作栏中的“编辑”，编辑智驾模型。仅支持修改描述信息。初始模型不支持编辑。 删除模型 单击操作栏中的“删除”，删除智驾模型。初始模型不支持删除。 查看模型详情 单击模型名称，查看模型详情。 在模型详情页，查看模型基本信息和模型版本列表。可以对模型版本进行“模型微调”、“创建在线服务”和“删除”操作。 说明： 初始模型不支持“创建在线服务”和“删除”。 只有“创建成功”的模型版本支持“模型微调”和“创建在线服务”。 查询模型 在搜索输入框中输入搜索条件，按回车键即可查询。

工作空间相关操作 表1 工作空间相关操作 任务 操作步骤 编辑工作空间 单击操作栏中的“编辑”，编辑工作空间。支持修改空间名称、描述和授权对象。 删除工作空间 单击操作栏中的“删除”，删除工作空间。工作空间删除后会默认清理该工作空间下的所有资源。删除操作无法恢复，请谨慎操作。 查询工作空间 支持按状态和输入关键字两种方式查询工作空间。 按状态查询：在“请选择状态”下拉列表选择工作空间状态，即可查询该状态的工作空间。 输入关键字查询：在搜索输入框中输入搜索条件，按回车键即可查询工作空间。 查看工作空间详情 单击工作空间名称，查看工作空间详情。

新建工作空间 在左侧菜单栏中，单击“工作空间”。 单击“新建工作空间”。 图1 新建工作空间 完成工作空间基本信息。 图2 新建工作空间 空间名称：输入工作空间的名称，只能包含数字、英文、中文、下划线、中划线。 描述：简单描述空间名称，最大长度为255。 授权类型：当前可选择“Internal”。 工作空间授权类型分为“Public”和“Internal”。 “Public”仅在租户（主账号和所有子账号）内部访问。 “Internal”为创建者、主账号、指定的子账号可访问。当授权类型为Internal时，需要制定可访问的子账号的账号名或者账号id，可选择多个。 授权对象：请选择需要授权的对象。当创建的IAM子用户没有IAM管理权限时，无法选择授权对象，推荐为IAM子用户添加IAM ReadOnlyAccess策略。 单击“创建”，在工作空间列表查看创建好的工作空间。

CDN支持添加泛域名作为加速域名吗？ CDN支持添加泛域名作为加速域名。“泛域名”是指利用通配符“*”来做次级域名，以实现所有的次级域名均指向同一IP地址。如您在CDN添加泛域名*.test.com作为加速域名，并将*.test.com解析至CDN生成的CNAME域名后，那么您所有*.test.com的次级域名（如a.test.com）都将默认支持CDN加速。泛域名（*.test.com）的三级域名（如b.a.test.com）则不会被CDN加速。 泛域名添加规则如下： A账号添加泛域名后，其他账号不能再添加该泛域名的一级域名下所有次级域名。 泛域名的所有次级域名的加速都会产生费用，泛域名有多个次级域名时，CDN统计时将泛域名的产生的流量做汇总，不提供单个次级域名的计费数据。

如何同时部署CDN和WAF（Web应用防火墙） 先将域名解析到CDN，再将CDN加速域名的源站修改为WAF的“CNAME”，这样流量才会被CDN转发到WAF，WAF再将流量转到源站，实现网站流量检测和攻击拦截。配置完成后，流量会先经过CDN，再转发至WAF，实现联动防御。 同时，为了防止其他用户提前将您的域名配置到Web应用防火墙上，从而对您的域名防护造成干扰，建议您到DNS服务商处添加一条WAF的子域名和TXT记录。 配置详情请参考同时部署CDN和WAF的配置指导。

计费方式 当您开通CDN时，可以选择基础计费方式：流量计费或者峰值带宽计费。具体计费方式及计费示例详见计费说明。 流量计费 当选择流量计费时： 您可以选择通过按量计费，即按照每小时实际使用的流量进行计费。 您也可以购买价格更优惠的CDN流量包进行抵扣，购买流量包成功后，系统会一次性按照购买价格对账户余额进行扣费。具体流量包说明请参见预付费流量包。 峰值带宽计费 当选择峰值带宽计费时：峰值带宽计费采用按量计费方式，即按照每日峰值带宽进行计费。

使用限制 如果查询域名的服务范围为“全球”，需要按“中国大陆”和“中国大陆境外”分别查询该域名的统计数据，不支持按“全球”查询。 可查询的时间跨度最长为31天，支持查看最近90天的历史数据。 如果查询的域名在所指定时间跨度范围内无数据，则流量/带宽趋势图、请求数不会有数据展示。 最小统计粒度为5分钟，当查询跨度为8天及以上时，最小统计粒度为1小时。 本页面展示的数据是日志记录的流量数据，最终账单中的流量会上浮10%，上浮的是TCP/IP包头和TCP重传消耗的流量。 全站使用量统计有1小时左右的时延。 支持按照标签、业务类型筛选域名。

缓存配置 配置此项内容时需要加速域名处于“已开启”或“配置中”状态，并且未被CDN锁定、禁用。 配置项 场景说明 缓存规则 如果您想合理的配置不同资源的缓存过期时间和优先级，有效的提升缓存命中率，降低回源率，您需要设置缓存规则。 如果您需要CDN节点在缓存资源时忽略“?”之后参数，提高缓存命中率，提升分发效率，您需要配置对应资源的忽略URL参数。 如果您的源站配置了缓存过期时间，同时想要CDN侧的缓存过期时间跟源站一致，您需要开启对应资源的缓存遵循源站功能。 浏览器缓存过期时间 您可以配置浏览器缓存过期时间，当终端用户请求资源时，如果浏览器有缓存，直接返回给用户，降低回源率。 状态码缓存时间 如果您需要将源站返回的错误状态码缓存到CDN节点，用户再次请求时由CDN直接响应给用户错误码，您可以配置状态码缓存时间，减小回源概率，减轻源站压力。 访问URL重写 当用户请求URL与CDN节点缓存资源的URL不一致时，可以通过访问URL重写功能重定向到目标URL。

访问控制 配置此项内容时需要加速域名处于“已开启”或“配置中”状态，并且未被CDN锁定、禁用。 配置项 场景说明 防盗链 当您的网站需要对访问者身份进行识别和过滤，从而限制访问来源时，可以在此项中进行配置。 IP黑白名单 当您的网站需要对用户请求IP地址进行过滤，从而限制访问来源时，可以在此项中进行配置。 User-Agent黑白名单 当您的网站需要对用户请求使用的代理过滤，从而限制访问来源时，可以在此项中进行配置。 URL鉴权配置 当您需要保护用户站点资源，防止资源被用户恶意下载盗用时，可以在此项中进行配置。 远程鉴权配置 当您想要CDN将用户请求转发到指定的鉴权服务器来完成鉴权，从而防止资源被用户恶意下载盗用时，可以在此项中进行配置。

高级配置 配置此项内容时需要加速域名处于“已开启”或“配置中”状态，并且未被CDN锁定、禁用。 配置项 场景说明 HTTP header配置（跨域请求） 当您的网站需要自定义HTTP响应头取值时，可以在此项中进行配置。 自定义错误页面 当您需要给客户端返回自定义的错误页面时，您需要配置此项。 智能压缩 如果您想要压缩您网站的静态资源，缩小传输文件的大小，提升传输效率，减少带宽消耗，您需要开启智能压缩。 WebSocket配置 如果您开通了全站加速，有弹幕聊天、协同会话、行情播报、体育实况更新、在线教育和物联网等场景，需要实现长时间双向传输数据，可以通过配置WebSocket协议来实现。 请求限速 配置请求限速，将用户请求速度限制在指定范围内，一定程度上减少突发高带宽风险，节省成本。 用量封顶 如果您想给域名配置流量或带宽上限，当用量达到阈值时暂停CDN加速，以减少因流量盗刷或攻击带来的高额账单，可以配置用量封顶功能。

回源配置 配置此项内容时需要加速域名处于“已开启”或“配置中”状态，并且未被CDN锁定、禁用。 配置项 场景说明 回源方式 如果您需要指定CDN回源时的请求协议，您需要配置回源方式。 回源SNI配置 如果源站IP绑定了多个域名，当CDN节点以HTTPS协议访问源站时，您可以设置回源SNI，指定CDN节点需要访问的域名。 回源URL改写 如果您的回源请求URL与源站URL不匹配，您可以改写回源URL，提高回源请求URL与源站的匹配度，提升回源命中率。 高级回源 如果您需要根据不同的资源类型或路径回源到不同源站，可以通过高级回源配置实现。 Range回源 当您需要设置Range回源以提升大文件的分发效率时，可以在此项配置中开启Range回源功能开关。 回源跟随 如果您的源站地址因业务需求做了302 /301重定向，您不希望CDN直接返回302 /301跳转地址给用户，而是向重定向地址发起请求，将用户所需资源缓存至节点并返回给用户时，可以在此项配置中开启回源跟随功能开关。 回源是否校验ETag 如果您的源站资源未改变，该资源缓存到期后不希望CDN回源获取资源，以达到节约源站带宽的目的，您需要配置回源是否校验ETag。 回源请求头 如果您想要改写用户回源请求URL的头部信息，需要设置回源请求头。 回源超时时间 如果您需要根据源站特性和业务场景调整回源超时时间，您需要配置此项。