本节介绍Windows防火墙可以设置为关闭状态或者添加入站访问规则的操作流程。 Windows防火墙可以设置为关闭状态或者添加入站访问规则。 下面以Win10为例演示关闭Windows防火墙与设置具体的IP段的入站访问规则。 关闭Windows防火墙 1.打开Windows防火墙，点击“启用或关闭Windows防火墙”。 2.将Windows防火墙设置为关闭状态。 添加入站访问规则 1.打开Windows防火墙，进入“高级设置”； 2.新建入站规则； 3.选择自定义规则类型； 4.点击“作用域”，添加需要放行的远端地址； 5.点击“名称”，输入规则名称，点击“完成”即可。

本节介绍IPSec VPN开通使用步骤。 IPSec VPN开通使用步骤： （1）创建IPSec VPN实例； （2）配置客户防火墙，与IPSec VPN实例对接； （3）设置IPSec VPN实例带宽； （4）设置桌面安全组与关闭Windows防火墙； （5）VPN接入云电脑。 注：可点击步骤链接，查看详细的操作说明。

配置项 说明 服务状态 每个资源节点均可开通/退订AI云电脑服务。注意：退订桌面服务需要该账号下无桌面资源，包括资源包、桌面、带宽、VPC、防火墙等；服务一经退订，无法撤销，请谨慎操作。 企业ID 对于以“管理员激活”方式开通的AI云电脑账号，企业ID用于租户下AI云电脑统一的登录账号后缀，例如企业管理员开通AI云电脑时分配了名为“desk01”的用户账号，那么终端用户在AI云电脑客户端中输入的登录账号就应为“desk01企业ID”。 手机号必填 开启后，通过“邮件通知”激活AI云电脑用户时，终端用户必须填写手机号（手机号可用于设备验证、免密登录、找回密码等）。 邮箱必选 开启后，通过“邮件通知”激活的AI云电脑用户，默认使用通知邮箱作为账号邮箱。 修改密码 允许后，可限制未绑定通知邮箱的管理员激活用户，在客户端登录后修改密码的操作权限。 设备绑定 开启后，在设备登录AI云电脑客户端时，绑定手机号需要进行验证。 双因子认证登录 开启双因子认证登录后，如果用户绑定了手机号码，并且使用账号（包括用户账号、手机和邮箱）+用户密码登录时，每次登录必须通过短信验证才能完成登录。 记录终端SN码 开启后，将会收集终端SN码，用于用户登录记录中展示，仅限于部分机型。 密码定期强制更新 设置后，可强制要求用户在指定周期内必须修改密码，周期可设置为：无限制/1个月/3个月/6个月/12个月。 联系方式 配置后可在AI云电脑客户端的”AI云电脑配置“页面显示管理员的联系方式。 专线不通切换互联网 开启后，“专线接入”和“互联网接入”均开启时，在专线不通的情况下，才能自动使用互联网连接桌面。 互联网接入 可配置当前资源池下的虚拟私有云启用/禁用状态。如需配置接入互联的VPC，详见 专线接入 如需对接专线，请向您的专属客户经理提交申请，或拨打天翼云客服电话： 4008109889。

网络包缩容 1. 在需要进行升级的资源包所在行，点击“管理”，在下拉菜单中选择“网络包缩容”； 2. 根据实际情况选择缩容网络包的带宽。确认配置费用，点击“立即购买”，完成网络包缩容。 资源包明细 1. 在需要查看明细的资源包所在行，点击“管理”，在下拉菜单中选择“资源包明细”； 2. 进入资源包明细页面后，可查看资源包消耗的明细清单。 续订资源包 1. 在需要进行续订的资源包所在行，点击“管理”，在下拉菜单中选择“续订”； 2. 根据实际情况选择资源包的续订时长，点击“立即购买”完成资源包续订。 注意 资源包的有效使用总时长不超过5年 退订资源包 由于退订操作会导致资源回收和清理，资源包和使用该资源包分配的电脑数据将无法恢复，因此，在退订前请您做好数据备份工作。 1. 在需要进行退订的资源包所在行，点击“退订”； 2. 根据实际情况确认退订资源包信息，点击“确认”完成资源包退订。

本节介绍OpenSSL漏洞修复最佳实践。 OpenSSL简介 OpenSSL是一个开放源代码的软件库包，应用程序可以使用这个包来进行安全通信，避免窃听，同时确认另一端连接者的身份。这个包广泛被应用在互联网的网页服务器上，因此需要注重OpenSSL安全漏洞的修复。 OpenSSL用途 加密和解密数据：OPENSSL支持对称和非对称加密算法，可以用于安全的数据加密和解密操作。 数字签名：OPENSSL可以对数据进行数字签名，提高数据的可信度和合法性。还可以验证数字签名和证书的有效性。 SSL/TLS协议实现：OPENSSL支持SSL、TLS等协议，可以用于建立安全的网络连接，对数据进行加密传输，提高网络的安全性。 生成和管理数字证书：OPENSSL可以生成和管理各种类型的数字证书，包括服务器证书、客户端证书等。数字证书是实现安全通信的重要工具之一。 伪随机数生成器：OPENSSL可以生成高质量的伪随机数，用于各种密码算法中的随机数种子。 其他的密码学工作：除了上述主要用途外，OPENSSL还包括了各种密码学工具和库，可以实现密码算法的实现和分析。 依赖OpenSSL的软件或协议 MongoDB 4.4 Nginx KeepAlived Https OpenSSH SSH VPN 电子邮件 OpenSSL漏洞扫描 您可以参考漏洞扫描最佳实践进行漏洞扫描。 OpenSSL常见漏洞 CVE20160705 OpenSSL DSA代码双重释放漏洞 漏洞危害 OpenSSL 1.0.2及更早版本、1.0.1及更早版本解析畸形DSA密钥中存在双重释放漏洞，可导致受影响应用拒绝服务或内存破坏。 影响版本 OpenSSL 1.0.2及更早版本 OpenSSL 1.0.1及更早版本 修复建议 目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：< CVE20160799 OpenSSL‘BIOprintf’函数安全漏洞 漏洞危害 OpenSSL 1.0.2及更早版本、1.0.1及更早版本在BIOprintf函数的实现上存在内存破坏漏洞，可导致内存泄露等。 影响版本 OpenSSL 1.0.2及更早版本 OpenSSL 1.0.1及更早版本 修复建议 目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：< CVE20162842 OpenSSL doaproutch函数拒绝服务漏洞 漏洞危害 OpenSSL 1.0.1 < 1.0.1s、1.0.2 < 1.0.2g版本，crypto/bio/bprint.c/doaproutch函数未验证某些内存分配结果，这可使远程攻击者造成拒绝服务。 影响版本 OpenSSL 1.0.1 < 1.0.1s OpenSSL 1.0.2 < 1.0.2g 修复建议 目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：< CVE20162108 OpenSSL ASN.1编码器内存破坏漏洞 漏洞危害 OpenSSL中的ASN.1解析器在对数据解析时没有正确处理特定标签，当遇到VASN1NEGINTEGER和VASN1NEGENUMERATED标签时，ASN.1解析器也会将其视作ASN1ANY类型，从而解析其中的数据。当数据再次编码序列化时，可能造成数据越界写入，引起内存损坏。 影响版本 OpenSSL Project OpenSSL 1.0.2 OpenSSL Project OpenSSL 1.0.1 不受影响版本 OpenSSL Project OpenSSL 1.0.2c OpenSSL Project OpenSSL 1.0.1o 修复建议 目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：<

系统 修改口令方式 Linux系统 1. 登录Linux系统命令行，执行以下命令。 passwd 2. 根据提示修改用户口令。 Windows系统 1. 登录Windows系统。 2. 在左下角搜索栏搜索打开“设置”窗口，点击“账户”。 3. 在左侧导航栏中，点击“登录选项”，并根据提示修改口令。 MySQL数据库 1. 登录MySQL数据库。 2. 执行以下命令修改弱口令。 SET PASSWORD FOR '用户名'@'主机'PASSWORD('新密码'); 3. 执行以下命令刷新用户信息，使口令修改生效。 flush privileges; Redis数据库 1. 打开Redis数据库配置文件redis.conf。 2. 找到“requirepass”配置行，修改弱口令（password为登录口令）。 PostgreSQL数据库 1. 登录PostgreSQL数据库。 2. 执行以下命令修改弱口令。 ALTER USER WITH PASSWORD;

本节介绍漏洞扫描最佳实践。 什么是漏洞？ 漏洞也被称为软件漏洞或安全漏洞，是指在软件或系统的设计和实现过程中存在的未被发现或被忽视的缺陷，可以被攻击者利用来获取未授权的访问、修改或删除敏感数据，或对系统进行破坏。 漏洞的危害 主要体现在以下几个方面： 对企业的危害 经济损失：漏洞可导致企业遭受不同程度的经济损失。攻击者可以通过恶意代码或其他手段窃取敏感数据、财务信息和客户信息，导致企业面临巨大财务损失。 品牌声誉受损：一旦遭受漏洞攻击，企业的品牌声誉不可避免地会遭受影响。如果数据泄露或其他风险引起公众关注，相应的负面宣传会对企业造成巨大的损害。 对用户的危害 个人信息泄露：攻击者可以通过利用漏洞窃取用户的个人信息，如姓名、地址、手机号、信用卡信息等，导致用户面临财务损失和其他风险。 盗用身份信息：通过漏洞，攻击者可以盗用他人的身份，访问用户的账号、甚至是社交媒体等，对用户造成心理困扰和隐私泄露的问题。 对社会的危害 因为漏洞的存在，攻击者可以轻松地进行各种网络犯罪行为，如网络诈骗、恶意软件植入、网络钓鱼等，给用户、企业、甚至是整个社会带来不可挽回的后果。

勒索软件是当前主要网络攻击威胁，一般通过木马病毒的形式传播，将自身掩盖为看似无害的文件，利用钓鱼邮件或软件漏洞等方式进行攻击，攻击后将受害者主机硬盘上的文件进行加密，以此来达到勒索的目的。所有的勒索软件都会要求受害者缴纳赎金以取回对电脑的控制权，或是取回受害者根本无从自行获取的解密密钥以便解密文件，对全球的政府、金融、医疗等各行业都造成了严重损失。 勒索攻击阶段 准备阶段：感染准备阶段，包括最初攻击阶段的漏洞利用信息，以及勒索软件自身模块释放之后对环境系统及应用终止，还包括勒索病毒在内网环境的自我扩散等。 感染阶段：遍历文件加密阶段，勒索病毒在入侵之后会遍历系统文件，如果有高价值数据、文件，则进入加密环节，完成勒索前重要一步。 勒索阶段：弹窗勒索环节，该阶段是勒索病毒的最终下发环节，意味着数据、文件已经被加密，企业如不支付赎金，数据、文件将处于不可用状态。 常见攻击手法 暴力破解：对密码进行破解的行为，破解成功登录主机后，便可获得主机的控制权限。 漏洞利用：利用系统或者第三方软件存在的已知或未知漏洞实施攻击。 钓鱼邮件：发送钓鱼邮件，将恶意脚本/程序掩盖为普通的文件，欺骗受害者下载、运行。

提升员工安全意识 禁止随便点击邮件中的不明附件或快捷方式，网站链接等。 禁止从来历不明的网站下载的一些文档。 重要文件或信息（如密码口令等）需要加密，防止泄露。 重要文件定期备份 用户自行对重要文档数据与数据库文件做备份。 使用备份产品对主机、硬盘、文件目录或数据库进行备份。 定期系统安全巡检 对可疑文件/进程或应用进行清理，如后缀名异常文件、来源不明的应用等。 系统/软件即时更新补丁 及时修复系统漏洞，定期更新。 上线前进行主机安全加固 关闭不必要的端口，减少暴露面。 关闭不必要的网络访问，减少暴露面。 系统安全配置检查：核查系统配置，如设置密码策略、设置用户锁定策略、禁用Guest账户、限制匿名用户连接等。 不设置弱密码 设置复杂口令： 长度为8～26个字符；包含大小写字母、数字及符号3种。 不能包含与账号名相关的信息。 不能使用连续3个及以上键位排序字符，如123，Qwe。 不能使用常用的具有特殊含义的字符串等。

不支持OOS Bucket重命名。若需要其他名称，建议您创建新的Bucket，将原Bucket的文件（Object）迁移到新创建的Bucket后，删除原文件（Object）和原存储桶（Bucket）即可。 若您原Bucket内的文件较少，您可以通过复制文件的方式迁移您的数据，详见复制文件或PUT Object Copy。 若您原Bucket内的文件较多，可以使用OOS数据迁移工具来迁移您的数据，详见OOS数据迁移工具。

如果您不想保留OOS服务，可以自助在官网进行OOS服务退订，具体详见退订OOS服务。 如果您还想保留OOS服务，只是暂时不再使用也不想产生任何按需费用，可选择删除存储桶（Bucket）下的所有文件（Object），再删除Bucket，即可在下一个账期（OOS按量付费一天出一次账单）不产生扣费信息，如果数据量较大，请通过生命周期规则将其自动批量删除。

本节提供OOS数据迁移工具使用手册和安装包的下载。 OOS数据迁移工具使用手册.pdf CTYUNOOSImport1.3.2.zip

本节提供OOS开发者文档的下载。 对象存储网络的开发者文档请参考 OOS开发者文档v6.pdf 其他地域的开发者文档请参考 OOS开发者文档v5.pdf

本节主要介绍如何将数据从本地迁移到OOS中。 应用场景 将数据从本地迁移到天翼云OOS的Bucket。 注意 在线迁移会占用网络资源。若您的业务比较重要，建议您对迁移任务设置限速（设置system.conf中的maxThroughput），或在空闲时间启动迁移任务。 前提条件 Windows7 及以上版本或 Linux CentOS 7.x 及以上版本。 Java 1.8 及以上版本。 迁移工具所在的服务器可以访问OOS资源池。 具体操作 确定目标Bucket 在天翼云OOS中创建目标Bucket，具体操作请参见创建存储桶（Bucket）或PUT Bucket，用于存放迁移的数据。也可以使用已存在的Bucket。 下载安装迁移工具 1. 下载数据迁移工具。 2. 解压缩安装包 对于Windows客户端，直接解压缩迁移工具zip 包即可。 对于Linux客户端，执行 unzip 解压缩安装包。 迁移工具解压后的目录结果如下： CTYUNOOSImportversionid config log4j2.xml migrate.conf system.conf lib import.sh import.bat 修改配置文件 更新迁移任务配置文件 migrate.conf，配置源和目的资源池信息、迁移配置项。您可根据需要配置system.conf和 log4j2.xml文件，具体参数介绍参见常用工具OOS数据迁移工具迁移步骤。其中： srcType需填写为：LOCAL，代表本地。 localFolderPath需要填写待迁移文件所在的本地目录，且操作用户需要对该目录及文件有读权限。 OOS的AccessKeyID和SecretAccessKey需要至少拥有目的Bucket的写权限。 migrate.conf配置示例如下： { "srcType":"LOCAL", 从LOCAL迁移文件（Object） "localFolderPath":"F:/test/test1/",本地目录，请根据实际填写 "destEndpoint":"ooscn.ctyunapi.cn", OOS的Endpoint "destAccessKey":"AccessKeyID", OOS的AccessKeyID "destSecretKey":"SecretAccessKey", OOS的SecretAccessKey "destBucket":"BucketName", OOS的Bucket名称 "isSkipExistFile":false 是否跳过目标资源池中已有的文件 }

与旧版IAM相比，新版IAM支持更精细、更安全、更全面的访问控制。需要注意的是： 新版的IAM不再区分主密钥、普通密钥。 每个根用户/子用户可以拥有2个访问密钥对。 当创建访问密钥时，您只有在创建时可以下载和查看您的私有访问密钥（即SecretAccessKey），如不慎遗失，您可以选择删除该访问密钥，并创建新的访问密钥。 为了提供更安全的服务，新版IAM API统一使用V4签名。

请求示例 列出账户的密码策略。 POST / HTTP/1.1 Host: ooscniam.ctyunapi.cn xamzcontentsha256: UNSIGNEDPAYLOAD Authorization: SignatureValue XAmzDate: 20190322T031900Z Contenttype: application/octetstream ContentLength: 50 ActionGetAccountPasswordPolicy&Version20100508 响应示例 HTTP/1.1 200 OK xamzrequestid:be5351535a7c4304 ContentType:text/xml;charsetUTF8 ContentLength:817 Date:Fri, 22 Mar 2019 03:19:00 GMT Server: CTYUN true 8 false 0 true true false false false 10 be5351535a7c4304

名称 描述 IsTruncated 与用户组关联的策略是否已经都返回： true：有未返回的与用户组关联的策略。 false：已经返回所有的与用户组关联的策略。 Marker 分页标识。当IsTruncated是true时，该项存在，其值用于下一次请求的参数Marker的取值。 AttachedPolicies.member.PolicyArn 策略的资源名称。 AttachedPolicies.member.PolicyName 策略名称。 AttachedPolicies.member.Scope 策略类型： Local：用户自定义策略。 OOS：系统策略。 AttachedPolicies.member.Description 策略描述。

名称 描述 是否必须 Action UpdateAccountPasswordPolicy。 是 Version 请求版本。 取值：20100508。默认值为20100508。 否 AllowUsersToChangePassword 是否允许IAM用户自己更改控制台的密码。 类型：布尔型 取值： true：允许用户自己更改控制台的密码。 false：不允许用户自己更改控制台的密码。 默认值为true。 否 HardExpiry 控制台密码过期后，下次登录时，是否允许用户在控制台修密码。 类型：布尔型 取值： true：控制台密码过期后，用户不能通过控制台登录，显示密码过期，用户不能通过控制台修改密码。 false：控制台密码过期后，用户下次通过控制台时，直接跳转到修改密码界面。 默认值为false。 否 MaxPasswordAge IAM用户密码有效天数。 类型：整型 取值：0~1095,0表示永不过期，默认值为0。 否 MinimumPasswordLength 控制台登录密码最短的长度。 类型：整型 取值:8~128。默认值为8。 否 PasswordReusePrevention 指定IAM用户设置新登录密码时，不能与前多少次内的登录密码重复。 类型：整型 取值：0~24，0表示允许IAM用户设置先前的登录密码为新登录密码，默认取值为0。先前的密码不包含当前使用的密码，新密码不能设置为当前的密码。 否 RequireLowercaseCharacters 指定控制台登录密码中是否必须包含小写字母（az）。 类型：布尔型 取值： true：必须包含小写字母。 false：不强制要求包含小写字母。 默认值为true。 否 RequireNumbers 指定控制台登录密码中是否必须包含数字（09）。 类型：布尔型 取值： true：必须包含数字。 false：不强制要求包含数字。 默认值为true。 否 RequireSymbols 指定控制台登录密码中是否必须包含特殊字符：! @ $ % ^ & ( ) + [ ] { } ' 类型：布尔型 取值： true：必须包含特殊字符。 false：不强制要求包含特殊字符。 默认值为false。 否 RequireUppercaseCharacters 指定控制台登录密码中是否必须包含大写字母（AZ）。 类型：布尔型 取值： true：必须包含大写字母。 false：不强制要求包含大写字母。 默认值为false。 否

本节主要介绍操作跟踪相关问题。 什么是OOS 操作跟踪 (CloudTrail)？ 操作跟踪用于记录OOS账户的管理事件，并将产生的跟踪日志保存到指定的OOS存储桶中。记录的信息包括用户的身份，请求时间，源IP地址，请求参数以及服务返回的响应元素等，便于您实时了解账户的操作情况及合规性审查。 为什么要使用 CloudTrail？ CloudTrail 可记录每个管理类操作的信息，包括请求的发出方、请求的时间、使用的服务、执行的操作等，这些信息能够帮助您实时跟踪 OOS 资源的变更情况，帮助您确认操作性问题。具体记录内容，详见管理事件记录。 CloudTrail支持查询多久的操作事件？ 通过CloudTrail可以查看近6个月内的管理事件记录，同时您可以对账户内的敏感操作设置跟踪日志，CloudTrail会将账户活动以日志的方式发送到您指定的OOS存储桶进行持久化存储。详见管理事件记录。 单个账户最多支持创建几个跟踪？ 单个账户最多支持创建10个跟踪，创建操作跟踪可以参考跟踪列表或CreateTrail。

本节主要介绍安全类相关问题。 非活跃用户的定义是什么？被标记为非活跃用户后会有什么影响吗？ 非活跃用户是指在最近1年内PUTt+GET+DELETE请求次数统计为0，且实时容量为0的账号。防止长期闲置的AccessKeyId/SecretAccessKey因保存不当产生泄露风险，当账号被系统自动标记为非活跃用户后，会自动禁用该账号下的所有AccessKeyId/SecretAccessKey，用户无法再通过这些AccessKeyId/SecretAccessKey请求OOS的任何服务。 被标记为非活跃用户是否支持自助申诉解除？ 非活跃用户可以通过天翼云官网或者OOS的控制台地址（仅限早期通过OOS产线侧开通的账号）登录，登录成功后，页面会有提示框强制引导进行非活跃用户的解除。在“安全凭证”>“密钥”页面，建议用户先删除旧的密钥，然后创建新的密钥，系统会自动解除非活跃状态。如果用户（包括主账号/子用户）历史的密钥还想继续使用，需要单独启用。 AccessKeyId/SecretAccessKey建议多久轮换一次？ 当前系统会针对AccessKeyId/SecretAccessKey的创建时间做自动检测，当创建时间超过90天后，会在OOS的控制台页面弹出轮换提示框引导用户进行AccessKeyId/SecretAccessKey的轮换。在“安全凭证”>“密钥”页面，每个密钥后面会有超期标记字段来提醒。出现密钥轮换提醒弹窗时，也可以选择关闭，在“统计概览”页面顶部关闭，5天内不再弹出轮换提醒。

本节主要介绍图片处理相关问题。 OOS可以处理的图片格式有哪些？ OOS图片处理支持处理的源文件格式包括jpg、png、bmp、webp，生成后的图片支持的格式包括jpg、png、bmp、webp格式 (注意gif默认保存成jpg)。详见规则说明。 OOS在处理图片时有哪些限制？ 源文件的大小不能超过20MiB。对缩略后的图片的大小有限制，目标缩略图的宽与高的乘积不能超过4096 4096，而且单边的长度不能超过4096 4。管道目前限制在4个。不支持处理分片上传的图片。 什么是长边和短边？ 关于“长边”和“短边”的定义需要特别注意，它们表达的是在缩放中相对比例的长或短。“长边”是指原尺寸与目标尺寸的比值大的那条边；“短边”同理。如原图400 200，缩放为800 100，（400/8000.5，200/1002，0.5 < 2），所以在这个缩放中200那条是长边，400是短边。 什么是管道？ 如果对图片有多次处理任务（比如先做缩略，再加上水印）可以用管道来实现，执行顺序按管道指定顺序执行，目前最多支持四级管道。详见管道。 图像支持哪些处理接口？ 支持的接口有：单边固定缩略、指定宽高缩略、强制宽高缩略、自动剪裁、按比例缩放、高级剪裁、格式转换、获取基本信息和exif信息。详见图像处理接口。

本节主要介绍图片处理中URL构成规则。 图片处理服务通过URL来处理图片，以下定义访问方式的规范： 直接显示原图，形式为： /bucket /object /object /object，即支持website的方式访问文件 通过处理参数访问，形式为： /bucket /object@oosImage100w100h90q.jpg .endpoint/object@oosImage100w100h90q.jpg /object@oosImage100w100h90q.jpg，即支持website的方式访问文件 object为用户Bucket上存储的原图片。100w100h90q为转换字符串，用来转换处理图片的一段参数。通过指定转换字符串，可以返回另一张转换处理后的图片。 一个典型的转换字符串，如“100w100h90q.jpg”，代表需要一张宽（w）100px、高（h）100px、质量（q）90%、jpg格式的图：@oosImage120w120h90q.jpg 转换字符串分为3部分：初始操作、转换参数、转换格式： 初始操作（如@oosImage）是一个“@”符号 +“oosImage”+“”管道符号，后面都为转换字符串。 转换参数（如120w120h90q）由一个或多个键值对（以""连接）组成，“值”在前“键”在后，“值”为数字类型，“键”为一位字母。 转换格式（如.jpg）是指定图片转换的输出格式，通过指定转换格式，可以对原图处理并返回指定的图片格式。支持的转换格式为： jpg、webp、png、bmp。

操作类型 支持的S3 API Bucket操作 ListBuckets CreatetBucket GetBucketACL GetBucket DeleteBucket PutBucketPolicy GetBucketPolicy DeleteBucketPolicy PutBucketWebsite GetBucketWebsite DeleteBucketWebsite ListMultipartUploads PutBucketLogging GetBucketLogging HeadBucket PutBucketLifecycle GetBucketLifecycle DeleteBucketLifecycle PutBucketCORS GetBucketCORS DeleteBucketCORS PutObjectLockConfiguration GetObjectLockConfiguration PutBucketInventoryConfiguration GetBucketInventoryConfiguration ListBucketInventoryConfigurations DeleteBucketInventoryConfiguration Object操作 PutObject PostObject GetObject DeleteObject DeleteObjects CopyObject CreateMultipartUpload UploadPart CompleteMultipartUpload AbortMultipartUpload ListParts UploadPartCopy HeadObject

名称 描述 IsTruncated 虚拟MFA设备是否已经都返回： true：有未返回的虚拟MFA设备。 false：已经返回所有的虚拟MFA设备。 Marker 分页标识。当IsTruncated是true时，该项存在，其值用于下一次请求的参数Marker的取值。 MFADevices.member.EnableDate 虚拟MFA设备启用的时间。 MFADevices.member.SerialNumber 唯一标识虚拟MFA设备的序列号。 MFADevices.member.UserName IAM用户名。

名称 描述 是否必须 Action DeactivateMFADevice。 是 Version 请求版本。 取值 ：20100508，默认值为20100508。 否 UserName 指定与虚拟MFA解除关联的IAM用户名。 类型 ：字符串 取值 ：1~64个字符组成，字符只能包含字母、数字或特殊字符，字母不区分大小写，特殊字符只能是：下划线（）、中划线（）、逗号（,）、句点（.）、加号（+）、等号（）和at符号（@）。 是 SerialNumber 唯一标识虚拟MFA设备的序列号。虚拟MFA设备序列号是设备的ARN。 类型 ：字符串 取值 ：字符只能包含字母、数字或特殊字符，字母不区分大小写，特殊字符只能是：下划线（）、右斜线（/）、中划线（）、逗号（,）、句点（.）、加号（+）、等号（）、at符号（@）和冒号（:）。 是

什么是 OOS Identity and Access Management (IAM)？ 统一身份认证（Identity and Access Management，简称IAM）是OOS为用户提供的用户身份管理与访问控制服务，您可以使用IAM创建、管理用户账号，并对这些账号进行权限分配，实现[谁] [在什么条件下] [可以/不可以] [对哪些资源] [做什么]，方便资源管理。 如何使用IAM？ 您可以通过IAM API、OOS控制台（IAM模块）创建和管理用户、组和权限。除了使用JSON创建策略，您还可以使用可视化编辑器创建策略。IAM API参见访问控制（IAM）API，控制台使用IAM详见访问控制。 AccessKey包括哪些信息？ AccessKey包括AccessKeyID和SecretAccessKey： AccessKeyID：用于标识用户。 SecretAccessKey：用于验证用户的密钥，SecretAccessKey 必须保密。 创建AccessKey后，可以查看哪些信息？ 在对象存储网络创建AccessKey后，您可以再次查看AccessKeyID、状态、最后使用时间和创建时间等基本信息。控制台查询AccessKey信息详见密钥。 在其他区域创建AccessKey后，您可以查看AccessKeyID、状态、和创建时间等基本信息。 创建AccessKey后，能否再次查看AccessKeyID？ 可以。可以通过控制台查看，详见密钥。 创建AccessKey后，能否再次查看SecretAccessKey？ 根据不同的地域，情况不同： 在对象存储网络创建AccessKey时，SecretAccessKey只显示一次，会提示下载csv文件本地保存。 在其他区域创建AccessKey后，AccessSecretKey可以再次显示。

本节主要介绍统计分析类相关问题。 流出流量是什么意思？ 流出流量就是下载数据所用的流量，即下行流量。 OOS中，下载文件算不算流出流量？ 下载文件属于流出流量，是下行流量。 什么是互联网 / 非互联网流量和请求次数？ 互联网流量、请求次数是指从互联网进行操作，如上传下载文件时产生的流量和请求次数。 非互联网流量、请求次数是指从非互联网，例如内网等，进行上传下载文件时产生的流量和请求次数。 什么是直接/ 漫游流量和请求次数？ 直接流量和请求次数是指未经对象存储网络的地域调度产生的流量和请求次数。例如，用户从对象存储网络的郑州地域访问，并将数据就近存储到了郑州，那么就属于直接流量和请求。 漫游流量和请求次数是指通过对象存储网络的地域调度产生的流量和请求次数。例如，用户从对象存储网络的郑州地域访问，并指定将数据写入沈阳，这个过程经过了地域调度，那么就属于漫游流量和请求次数。

请求示例 列出所有的AccessKey的详细信息。 POST / HTTP/1.1 Host:ooscniam.ctyunapi.cn xamzcontentsha256: UNSIGNEDPAYLOAD Authorization: SignatureValue XAmzDate: 20190202T013629Z ContentType: application/octetstream ActionListAccessKeys&Version20100508 响应示例 HTTP/1.1 200 OK xamzrequestid:524be065a8d84e68 ContentType:text/xml;charsetUTF8 ContentLength:559 Date:Sat, 02 Feb 2019 01:36:29 GMT Server: CTYUN testuser2 false 1e6139134373f86ec4ea testuser2 20190202T00:47:36Z Active 524be065a8d84e68

资源包并不是必须要购买的，即使您没有购买资源包也可以使用OOS服务，此时计费模式采用按需计费。资源包对OOS账号生效，不能指定具体存储桶（Bucket）使用，按照所属的区域、存储类型、资源包类型进行抵扣使用。 购买资源包后，可以抵扣使用OOS所产生的费用，相比按需计费的方式更优惠，因此推荐您按实际业务购买对应的资源包。 当前资源包区分中国大陆区域和香港区域，同时具有不同的资源包类型，例如购买大陆区域的存储资源包后该区域下所有符合资源包要求的存储桶产生的存储费用均可以抵扣，因此资源包和具体的存储桶之间并不存在对应关系，也不支持将资源包指定给某个具体的存储桶使用。 注意 由于OOS有多种计费项，因此即使购买了资源包，也并不意味着在资源包使用完毕前不会产生其他费用。在购买了资源包的情况下，如果产生按需计费，请您参考

您可以在控制台页面右上角的地域切换下拉菜单中，选择要使用的OOS地域。对象存储网络是天翼云推出的最新对象存储服务。对象存储网络中包含分布在全国多个省、市、自治区及直辖市的资源池，这些资源池间的存储桶（Bucket）、文件（Object）、访问密钥（AccessKeyId和SecretAccessKey）信息互通，可以实现全国数据的就近读取和写入。您可以在控制台页面右上角的地域切换下拉菜单中，选择对象存储网络。OOS推荐您使用对象存储网络来进行文件的管理。除对象存储网络之外的其他地域，存储桶、文件、访问密钥信息是不互通的。各个地域对应的Endpoint列表，参见域名（Endpoint）列表。

参数 描述 取值 object object和objectURL中指定的文件，需在同一个存储桶（Bucket）中。object是url 安全Base64编码，EncodedObject urlsafebase64encode(objectName@oosImage图片处理参数)。最多支持同时合并20个图片文件。例如：objectbase64urlecnode(a.jpg@oosImage20w)。 无 objectURL objectURL是第一个要拼接图片的地址，如果要对第一个图片做处理，需要在mergegif参数前面增加管道参数。如果在mergegif后面加管道参数，说明是对拼接后的gif进行处理。 无 delayTime gif文件中每帧的延迟时间。 整数形式，取值是[0, 5000]。单位是毫秒。 loop 是否循环播放。 整数形式，取值： 0：不循环。 1：是循环。 默认值是0。

本节主要介绍访问控制错误码。 响应码 错误码 错误信息 描述 400 AuthorizationHeaderMalformed The authorization header is malformed. 签名请求头不合法。 400 AuthorizationQueryParametersError XAmzExpires must be less than a week (in seconds); that is, the given XAmzExpires must be less than 604800 seconds 签名请求参数不合法。 400 MalformedInput Invalid Argument. 参数不正确。 400 MalformedInput N is not a valid index. 标签的N非法。 400 MalformedPolicyDocument The policy must contain a valid version string 创建策略时，版本不正确。 400 MalformedPolicyDocument Missing required field Effect 创建策略时，策略没有Effect。 400 MalformedPolicyDocument Invalid effect:effect 创建策略时，Effect不正确。 400 MalformedPolicyDocument Missing required field Action. 创建策略时，Action缺失。 400 MalformedPolicyDocument Required field Action cannot be empty. 创建策略时，有Action，但是Action是空。 400 MalformedPolicyDocument Statement/policy already has instance of Action 创建策略时，Action和NotAction都有时，报错。 400 MalformedPolicyDocument Missing required field Resource. 创建策略时，Resource字段缺失。 400 MalformedPolicyDocument Required field Resource cannot be empty. 创建策略时，有Resouce，但是Resource是空。 400 MalformedPolicyDocument Statement/policy already has instance of Resource. 创建策略时，Resouce和NotResource都有 400 MalformedPolicyDocument Invalid Condition type :condition 创建策略时，条件运算符或者条件键不正确。 400 MalformedPolicyDocument Syntax errors in policy 创建策略时，policy不是json格式。 400 InvalidAction Could not find operationAPIName for version version . Version错误。 400 InvalidArgument InvalidDurationSeconds. DurationSecond无效。 400 InvalidInput Arn policyArn is not valid. 策略的Arn不合法。 400 InvalidInput Duplicate tag keys found. Please note that Tag keys are case insensitive. 设置了重复的标签key。 400 PasswordPolicyViolation Password does not conform to the account password policy. 更改密码时，密码不符合密码策略。 400 PasswordPolicyViolation Policy constraint violation with password reuse prevention during password change. 该密码和历史密码重复。 400 ValidationError 1 validation errors detected: Value 'groupName ' at 'groupName' failed to satisfy constraint: Member must have length less than or equal to 128 用户组名称长度超过限制。 400 ValidationError 1 validation error detected: Value 'InActive' at 'status' failed to satisfy constraint: Member must satisfy enum value set: [Active, Inactive] AccessKey的状态设置的不对。 400 ValidationError 1 validation errors detected: Value null at 'groupName' failed to satisfy constraint: Member must not be null 用户组名为空。 400 ValidationError 1 validation error detected: Value 'userName ' at 'userName' failed to satisfy constraint: Member must have length less than or equal to 64 userName长度超过限制。 400 ValidationError The specified value for groupName is invalid. It must contain only alphanumeric characters and/or the following: +,.@ 创建用户组时，名称不正确，包含非法字符。 400 ValidationError Value at 'oldPassword' failed to satisfy constraint: Member must satisfy regular expression pattern: [u0009u000Au000Du0020u00FF]+ 更改密码时，密码是空字符串。 400 ValidationError The specified value for authenticationCode1/ authenticationCode2 is invalid. It must be a sixdigit decimal number 设置的MFA code格式不正确。 400 ValidationError 2 validation errors detected: Value '1' at 'minimumPasswordLength' failed to satisfy constraint: Member must have value greater than or equal to 6; Value '2000' at 'maxPasswordAge' failed to satisfy constraint: Member must have value less than or equal to 1095 设置密码策略时，策略选项的值不合法。 400 ValidationError 1 validation error detected: Value null at 'tags' failed to satisfy constraint: Member must not be null 添加标签时，没有设置标签。 400 ValidationError 1 validation error detected: Value null at 'tags.1.member.key' failed to satisfy constraint: Member must not be null 添加标签时，没有设置标签的Key。 400 ValidationError 1 validation error detected: Value null at 'tags.1.member.value' failed to satisfy constraint: Member must not be null 添加标签时，没有设置标签的value。 400 ValidationError 4 validation errors detected: Value null at 'tags.1.member.value' failed to satisfy constraint: Member must not be null; Value null at 'tags.1.member.key' failed to satisfy constraint: Member must not be null; Value null at 'tags.2.member.value' failed to satisfy constraint: Member must not be null; Value null at 'tags.2.member.key' failed to satisfy constraint: Member must not be null 设置标签时，如果N未从1开始（例如从3开始），会提示1到N1的标签没有设置。 400 ValidationError 2 validation errors detected: Value 'testvalue?' at 'tags.1.member.value' failed to satisfy constraint: Member must satisfy regular expression pattern: [p{L}p{Z}p{N}.:/+@] ; Value 'testkey?' at 'tags.1.member.key' failed to satisfy constraint: Member must satisfy regular expression pattern: [p{L}p{Z}p{N} .:/+@]+ 创建用户时，标签名称或值非法。 400 ValidationError 1 validation error detected: Value 'key ' at 'tags.1.member.key' failed to satisfy constraint: Member must have length less than or equal to 128 标签名称长度超长。 400 ValidationError 1 validation error detected: Value 'value ' at 'tags.1.member.value' failed to satisfy constraint: Member must have length less than or equal to 256 标签值长度超长。 400 ValidationError The specified value for 'serialNumber' is invalid. MFA设备的序列号不正确。 400 ValidationError 1 validation error detected: Value 'value ' at 'assignmentStatus' failed to satisfy constraint: Member must satisfy enum value set: [Unassigned, Any, Assigned] ListVirtualMFADevicesResult时，assignmentStatus输入不对。 400 ValidationError The specified value for 'marker' is invalid. It must contain only printable ASCII characters list user时，marker参数非法，不是可打印的ASCII码。 400 ValidationError The specified value for 'userName' is invalid. It must contain only alphanumeric characters and/or the following: +,.@ 创建用户时，名称不正确，使用了非法字符。 400 ValidationError 1 validation error detected: Value null at 'policyDocument' failed to satisfy constraint: Member must not be null 创建策略时，policyDocument为空。 400 ValidationError 1 validation error detected: Value 'entityFilter ' at 'entityFilter' failed to satisfy constraint: Member must satisfy enum value set: [User, Group] ListEntitiesForPolicy时，EntityFilter不正确，不是User或Group. 400 ValidationError The specified value for 'policyName' is invalid. It must contain only alphanumeric characters and/or the following: +,.@ 名称不正确，包含非法字符。 400 ValidationError 1 validation error（s）detected: Value 'value' at ' PeriodWithLoginFailures ' failed to satisfy constraint: Member must have value greater than or equal to 15. 限定时间长度不能小于15。 400 ValidationError 1 validation error detected: Value 'value ' at ' PeriodWithLoginFailures ' failed to satisfy constraint f: Member must have value less than or equal to 60。 限定时间长度不能大于60。 400 ValidationError 1 validation error detected: Value 'value ' at ' LoginFailedTimes ' failed to satisfy constraint: Member must have value greater than or equal to 5。 登录失败次数不能小于5。 400 ValidationError 1 validation error detected: Value 'value ' at ' LoginFailedTimes ' failed to satisfy constraint f: Member must have value less than or equal to 10。 登录失败次数不能大于10。 400 ValidationError 1 validation error detected: Value 'value ' at ' LockoutDuration ' failed to satisfy constraint f: Member must have value less than or equal to 60。 锁定时间长度不能大于60。 400 ValidationError 1 validation error detected: Value 'value ' at ' SessionDuration ' failed to satisfy constraint: Member must have value greater than or equal to 10。 登录Session时间长度不能小于10。 400 ValidationError 1 validation error detected: Value 'value ' at ' SessionDuration ' failed to satisfy constraint f: Member must have value less than or equal to 30。 登录Session时间长度不能大于30。 403 AccessDenied The old password was incorrect. 更改密码时，旧密码不正确。 403 AccessDenied The secret token is expired。 临时访问凭证已过期。 403 AccessDenied Only IAM Users can change their own password. root用户调用ChangePassword方法。 403 AccessDenied Policy is outside your own account. arn中的账户id和不是请求者的账户id。 403 AccessDenied User:user is not authorized to perform:action on resource: resource . 没有权限访问此资源。 403 InvalidAccessKeyId The AccessKeyId is invalid. 密钥无效。 403 InvalidAuthenticationCode Authentication code for device is not valid. MFA身份认证码不正确。 403 SecurityTokenNotSupported This interface does not support security token. 当前接口暂不支持通过临时访问凭证权限进行调用。 404 NoSuchEntity Login Profile for User userName cannot be found. 用户无密码。 404 NoSuchEntity MFA Device invalid for user. DeactivateMFA设备时，MFA设备未绑定到用户。 404 NoSuchEntity Login Profile for User userName cannot be found. 调用UpdateLoginProfile时，被修改用户没有密码。 404 NoSuchEntity Policy arn:ctyun:iam::policy does not exist or is not attachable. 策略不存在。 404 NoSuchEntity VirtualMFADevice with serial number mfaArn does not exist. MFA设备不存在。 404 NoSuchEntity The Access Key with id id cannot be found. AccessKey不存在。 404 NoSuchEntity The group with name groupName cannot be found. 用户组不存在。 404 NoSuchEntity The user with name userName cannot be found. 用户不存在。 404 NoSuchEntity The Password Policy with domain name accountId cannot be found. 删除密码策略时，没有用户自己创建的密码策略。 409 DeleteConflict Cannot delete entity, must remove users from group first. 删除用户组之前，要先删除用户组中的用户。 409 DeleteConflict Cannot delete entity, must detach all policies first. 删除用户组之前，要先删除用户组上的策略。 409 DeleteConflict Cannot delete entity, must remove users from group first. 用户属于某个用户组时，不允许删除。 409 DeleteConflict Cannot delete entity, must delete login profile first. 用户有登录密码时，不允许删除。 409 DeleteConflict Cannot delete entity, must detach all policies first. 用户分配了策略时，不允许删除。 409 DeleteConflict Cannot delete entity, must delete access keys first. 用户有AccessKey/SecretAccessKey时，不允许删除。 409 DeleteConflict Cannot delete a policy attached to entities. policy有被附加到用户或用户组，不能删除。 409 DeleteConflict MFA VirtualDevice in use. Must deactivate first. MFA设备正在被使用，不能删除。 409 DeleteConflict Cannot delete entity, must deactivate MFA device first. DeleteUser时，必须先解绑MFA设备。 409 EntityAlreadyExists MFA Device entity at the same path and name already exists. MFA设备已经存在。 409 EntityAlreadyExists MFA Device is already in use. EnableMFADevice时，MFA设备已被启用。 409 EntityAlreadyExists Group with name groupName already exists. 用户组已经存在。 409 EntityAlreadyExists Login Profile for user userName already exists. 用户的密码已经存在。 409 EntityAlreadyExists User with name userName already exists. 试图创建的用户名已经存在。 409 LimitExceeded Cannot exceed quota for AccessKeysPerAccount: 2. 根用户数量密钥超过限制。 409 LimitExceeded Cannot exceed quota for AccessKeysPerUser: 2 . AK数量超过限制 409 LimitExceeded Cannot exceed quota for GroupsPerAccount: 30. 用户组的数量超过了最大限制。 409 LimitExceeded Cannot exceed quota for PoliciesPerAccount: 150. 策略数量超过限制。 409 LimitExceeded Cannot exceed quota for PoliciesPerGroup: 10. 用户组关联的策略数量超过限制。 409 LimitExceeded Cannot exceed quota for UsersPerAccount: 500. 用户数量超过限制。 409 LimitExceeded Cannot exceed quota for PoliciesPerGroup: 10. 用户组关联的策略数量超过限制。 409 LimitExceeded Cannot exceed quota for PoliciesPerUser: 10. 用户关联的策略数量超过限制。 409 LimitExceeded Cannot exceed quota limit for MFADevicesPerUser. 为用户分配的MFA超过上限。 409 LimitExceeded The number of tags has reached the maximum limit. 添加标签时，标签数量超过限制。 500 InternalError We encountered an internal error. Please try again. 发生内部错误。