请求参数 描述 是否必须 BucketName 存储桶名称。 是

本节主要介绍IAM用户操作控制台时需具备的权限。 用户身份管理和访问控制（Identity and Access Management，简称IAM）是OOS为用户提供的用户身份与权限管理服务，您可以使用IAM创建、管理用户账号，并对这些账号进行权限分配，方便资源管理。 在OOS控制台，使用访问控制创建的用户为IAM用户，也称子用户。对于IAM用户，拥有相应的权限才可以对控制台进行操作，各项操作需要的权限详见下面各表。 统计 操作 需具备的权限 统计 statistics:GetAccountStatistcsSummary 存储桶管理 操作 需具备的权限 创建存储桶 oos:PutBucket、oos:GetRegions 建议同时赋予的权限：oos:ListAllMyBucket 存储桶列表 oos:ListAllMyBucket 删除存储桶 oos:ListAllMyBucket、oos:DeleteBucket 清空存储桶 oos:ListAllMyBucket、oos:DeleteMultipleObjects 查看/修改存储桶属性 oos:ListAllMyBucket、oos:GetBucketAcl、oos:PutBucket 区域属性 oos:ListAllMyBucket、oos:GetBucketLocation、oos:PutBucket、oos:GetRegions、oos:GetBucketAcl 安全策略 oos:ListAllMyBucket、oos:GetBucketPolicy、oos:PutBucketPolicy、oos:DeleteBucketPolicy 网站管理 oos:ListAllMyBucket、oos:GetBucketWebSite、oos:PutBucketWebSite、oos:DeleteBucketWebSite、oos:GetRegions 日志 oos:ListAllMyBucket、oos:GetBucketLogging、oos:PutBucketLogging 生命周期 oos:ListAllMyBucket、oos:GetLifecycleConfiguration、oos:PutLifecycleConfiguration 跨域设置 oos:ListAllMyBucket、oos:GetBucketCORS、oos:PutBucketCORS 合规保留 oos:ListAllMyBucket、oos:GetBucketObjectLockConfiguration、oos:PutBucketObjectLockConfiguration、oos:DeleteBucketObjectLockConfiguration 清单配置 oos:ListAllMyBucket、oos:PutBucketInventoryConfiguration、oos:GetBucketInventoryConfiguration

名称 描述 BucketConfiguration 设置Bucket索引位置和数据位置的容器。 类型：容器。 子节点：MetadataLocationConstraint、DataLocationConstraint。 MetadataLocationConstraint 设置Bucket的索引位置。 类型：容器。 父节点：CreateBucketConfiguration。 子节点：Location。 DataLocationConstraint 设置Bucket的数据位置。 类型：容器。 父节点：CreateBucketConfiguration。 子节点：Type、LocationList、ScheduleStrategy。 Type 数据位置的类型。 类型：枚举。 取值： Local：本地。 Specified：指定位置。 默认Local。 父节点：DataLocationConstraint。 LocationList 指定的数据位置。 类型：容器。 父节点：DataLocationConstraint。 子节点：Location。 Location 索引位置或数据位置。 类型：字符串。 取值： 父节点为MetadataLocationConstraint，表示索引位置，有效值为：ChengDu、FuZhou、GuiYang、HangZhou、LaSa、LanZhou、QingDao、ShenYang、ShenZhen、WuHan、WuHu、WuLuMuQi、ZhengZhou、SH2、SuZhou 父节点为LocationList，表示数据位置，有效值为：ChengDu、GuiYang、LanZhou、QingDao、SH2、ShenYang、ShenZhen、SuZhou、WuHan、WuHu、WuLuMuQi、ZhengZhou 父节点：MetadataLocationConstraint或LocationList。 ScheduleStrategy 指定数据时的调度策略 类型：枚举 取值： Allowed：允许OOS自动调度。 NotAllowed：不允许OOS自动调度。 父节点：DataLocationConstraint

本节主要介绍Get Regions。 获取资源池中的索引位置和数据位置列表。 注意 香港节点不支持此接口。 请求语法 GET /?regions HTTP/1.1 HOST:ooscn.ctyunapi.cn Date:date Authorization: SignatureValue 请求参数 名称 描述 是否必须 regions 表示要获取索引位置和数据位置的列表。 是 响应结果 名称 描述 BucketRegions Bucket的索引位置和数据位置。 类型：容器 MetadataRegions Bucket的索引位置。 类型：容器 DataRegions Bucket的数据位置。 类型：容器 Region 索引位置或数据位置的值。 类型：字符串 请求示例 GET /?regions HTTP/1.1 Host: ooscn.ctyunapi.cn Date: Fri, 29 Oct 2021 06:49:13 GMT ContentType: application/octetstream Connection: KeepAlive Authorization: SignatureValue 响应示例 HTTP/1.1 200 OK ContentType: application/xml;charsetUTF8 Date: Fri, 29 Oct 2021 06:49:12 GMT xamzrequestid: 79a75e2d5bc54d4ffc686c737b73757b3a3c4030323436383a Server: CTYUN ContentLength: 281 ShenYang ChengDu ZhengZhou ShenYang ChengDu ZhengZhou

本节主要介绍Get Service。 此操作用来返回请求者拥有的读权限的所有Bucket，其中“/”表示根目录。该API只对验证用户有效，匿名用户不能执行该操作。 请求语法 GET / HTTP/1.1 Host: ooscn.ctyunapi.cn Date: Date Authorization: SignatureValue 响应结果 名称 描述 Owner Bucket所属账户的信息。 ID Bucket所属账户的ID。 Buckets 存储一个或多个Bucket的容器。 Bucket 存储Bucket信息的容器。 Name Bucket的名称。 CreationDate Bucket的创建日期。 请求示例 GET / HTTP/1.1 Host: ooscn.ctyunapi.cn Date: Thu, 28 Oct 2021 06:06:32 GMT ContentType: application/octetstream Connection: KeepAlive Authorization: SignatureValue 响应示例 HTTP/1.1 200 OK ContentType: application/xml;charsetUTF8 Date: Thu, 28 Oct 2021 06:06:32 GMT xamzrequestid: 8ec6af80431f4f0281edf1f800f8fa00bfc1c7b5b7b9bbbdbf Server: CTYUN ContentLength: 369 xxxxxxxxxx@ctyun.cn docs 20210710T17:52:34.949Z examplebucket 20211028T06:06:19.309Z

本节主要介绍OOS API请求结构。 接入地址 对象存储网络接入地址为：ooscn.ctyunapi.cn。对象存储网络2接入地址为：ooscn2.ctyunapi.cn。香港精品网接入地址为：ooscnhkhqnet.ctyunapi.cn。香港普通网接入地址为：ooscnhknqnet.ctyunapi.cn。 注意 对于对象存储网络、对象存储网络2中的OOS API，如果您的数据存储在某个资源池，建议您直接使用该资源池的Endpoint，详见 通信协议 为了保证通信的安全性，同时支持HTTP和HTTPS。 请求方法 OOS API支持GET、POST、PUT、HEAD、DELETE和OPTION请求方法发送请求。 请求参数 每个请求都需要指定如下信息： 每个操作接口都需要包含的公共请求参数。 操作接口所特有的请求参数。 本节主要描述公共请求参数和请求结果。 说明 在后续提到具体API时，举例中都会有 公共请求头、 公共响应头 ，但是不对其进行描述和解释。 公共请求头 以下是OOS API的公共请求头。 名称 描述 是否必须 ::: BucketName Bucket名称。 除GET Service (List Bucket)、GET Regions外，其他Bucket、Object操作都需要该参数。 是 Authorization 用于身份验证的请求头。Authorization的构造方式请参考安全策略部分，请先确定使用V2还是V4版本的签名方式，再按照对应的计算方式生成Authorization。 是 ContentLength 请求体的长度。 否 ContentMD5 按照RFC 1864，使用base64编码格式生成信息的128位MD5值。此请求头可以用作数据完整性检查，以验证数据是否与客户端发送的数据相同。 否 xamzcontentsha256 当使用V4签名对请求进行身份验证时，此请求头提供请求有效负载的哈希。 V4签名必填。 ContentType 描述请求内容的标准MIME类型。 否 Date 请求的日期和时间，GMT时间。 V2签名可以填写xAmzDate或Date。 xamzdate 请求的日期和时间。日期和时间格式必须遵循ISO 8601标准，并且必须使用“yyyyMMddT HHmmssZ”格式进行格式化。例如，如果日期和时间是“08/01/2018 15：32：41.982700”，则必须首先将其转换为UTC（协调世界时），然后提交为“20180801T083241Z”。 V4签名必填。 Host 请求的域名。 对象存储网络的请求域名为：ooscn.ctyunapi.cn。 对象存储网络2的请求域名为：ooscn2.ctyunapi.cn。 香港精品网的请求域名为：ooscnhkhqnet.ctyunapi.cn。 香港普通网的请求域名为：ooscnhknqnet.ctyunapi.cn。 是 Connection 客户端与OOS服务器之间的连接状态。 取值： keepalive：长连接，请求结束后继续保持连接。 close：短连接，请求结束后关闭连接。 默认值为：keepalive。 否

本节主要介绍在控制台怎么进行OOS域名（Endpoint）切换。 用户可以在OOS控制台对OOS地域（Endpoint）进行切换，根据选择跳转到不同的地域。 可以选择“中国大陆区域”的“对象存储网络”、“对象存储网络2”、其他地域 。 对象存储网络 ：包含分布在全国多个省、市、自治区及直辖市的资源池，这些资源池间的存储桶（Bucket）、对象（Object）、访问密钥（AccessKeyID和SecretAccessKey）信息互通，可以实现全国数据的就近读取和写入。 对象存储网络2：包含分布在全国多个省、市、自治区及直辖市的资源池，这些资源池间的存储桶（Bucket）、文件（Object）、访问密钥（AccessKeyId和SecretAccessKey）信息互通，可以实现全国数据的就近读取和写入。 其他地域 ：存储桶、对象、访问密钥信息是不互通的。

本节简要介绍访问控制。 访问控制（Identity and Access Management，简称IAM）是OOS为用户提供的用户身份与权限管理服务，您可以使用IAM创建、管理用户账号，并对这些账号进行权限分配，方便资源管理。 天翼云账号管理员可以： 创建、管理子用户账号。 控制子用户账号内资源具有的操作权限。 按需为子用户分配不同权限，从而避免与其他子用户共享资源使用、访问密钥的使用等，降低账号的信息安全风险。 多重身份认证：通过多因子操作认证（MFA），在进行IAM相关操作时，可以使用MFA，为操作增加一份安全保障。

字段 描述 AWS4HMACSHA256 用于签名的算法，固定值。 Credential 用户AccessKeyID和范围信息，范围信息包括请求日期、区域、服务、终止字符串aws4request，格式如下： AccessKeyID / date / region / service /aws4request 其中： date格式为 YYYYMMDD 。 region： 对于oos api：访问域名为oosxx.ctyunapi.cn，region为xx。 对于统计api：访问域名为oosxxmg.ctyunapi.cn，region为xxmg。 对于操作跟踪api：访问域名为oosxxcloudtrail.ctyunapi.cn，region为xx。 对于iam api：访问域名为oosxxiam.ctyunapi.cn，region为xx。 各资源池的详细访问域名详见 SignedHeaders 已签名请求头的列表。该列表只需包含请求头名字，用分号分隔，必须全部小写，并按字符顺序对其进行排序，示例如下： host;range;xamzdate。 Signature 计算出的256位签名信息，以64个小写十六进制字符串形式表示。

对象存储网络2 对象存储网络2中的各个地区，使用统一的OOS API、统计、操作跟踪和IAM API的Endpoint。对象存储网络2 Endpoint列表如下： OOS API Endpoint: ooscn2.ctyunapi.cn，支持HTTP和HTTPS。 统计API Endpoint: ooscn2mg.ctyunapi.cn，支持HTTPS。 操作跟踪API Endpoint：ooscn2cloudtrail.ctyunapi.cn，支持HTTPS。 IAM Endpoint: ooscn2iam.ctyunapi.cn，支持HTTPS。 说明 对于对象存储网络2中的OOS API，如果您的数据存储在某个资源池，建议您直接使用该资源池的Endpoint。Endpoint列表如下（Endpoint列表仅为资源池Endpoint访问信息描述，与资源状态无关联）。 地区 OOS API Endpoint 内蒙古1 oosnm1.ctyunapi.cn 杭州1 ooshz1.ctyunapi.cn 香港节点（仅支持API） 香港节点分为香港精品网络 和香港普通网络两种方式，精品网和普通网OOS API的Endpoint不同，统计、操作跟踪和IAM API的Endpoint相同： 香港精品网OOS API Endpoint: ooscnhkhqnet.ctyunapi.cn，香港普通网OOS API Endpoint：ooscnhknqnet.ctyunapi.cn。支持HTTP和HTTPS。 统计API Endpoint: ooscnhkmg.ctyunapi.cn，支持HTTP和HTTPS。 操作跟踪API Endpoint：ooscnhkcloudtrail.ctyunapi.cn，支持HTTPS。 IAM Endpoint：ooscnhkiam.ctyunapi.cn，支持HTTPS。 其他地域 除对象存储网络、对象存储网络2和香港节点外，其他地域的Endpoint列表如下。 地区 OOS API Endpoint 北京2 oosbj2.ctyunapi.cn 内蒙2 oosnm2.ctyunapi.cn 杭州 ooshz.ctyunapi.cn 江苏 oosjs.ctyunapi.cn 北京 ooshqbj.ctyunapi.cn 上海 ooshqsh.ctyunapi.cn

本节主要介绍查看已订购的OOS资源包。 根据用量需求，您可以订购OOS资源包，订购须知请参见快速入门服务开通订购须知。 在“资源包管理”页面，可以查看已经订购的OOS资源包，订购新的资源包，或者对已有资源包进行续订、退订操作。具体操作参见快速入门服务开通。

项目 描述 AccessKeyID 密钥ID。点击编辑按钮，可以对密钥ID进行复制。 SecretAccessKey 密钥值，点击查看按钮，可以查看密钥值的明文形式。 说明 在IAM上线之前创建的密钥才有此项。 创建时间 密钥创建时间。 无：表示该密钥是在IAM功能上线前创建的。 最后使用时间 密钥最后一次使用的时间。 密钥类型 主密钥。 普通密钥。 说明 在IAM上线之前创建的密钥才有此项。 状态 密钥启用状态： 启用。 禁用。 超期标记 密钥创建时间超过90天后，会有超期标记。建议及时删除超期密钥，并创建新的密钥。 ：表示未超期。 操作 可以对密钥进行操作： 启用。 禁用。 删除。

OpenSSL名称 RFC名称 TLS支持的版本 ECDHEECDSAAES128GCMSHA256 TLSECDHEECDSAWITHAES128GCMSHA256 TLS1.2 ECDHEECDSAAES256GCMSHA384 TLSECDHEECDSAWITHAES256GCMSHA384 TLS1.2 ECDHEECDSAAES128SHA256 TLSECDHEECDSAWITHAES128CBCSHA256 TLS1.2 ECDHEECDSAAES256SHA384 TLSECDHEECDSAWITHAES256CBCSHA384 TLS1.2 ECDHERSAAES128GCMSHA256 TLSECDHERSAWITHAES128GCMSHA256 TLS1.2 ECDHERSAAES256GCMSHA384 TLSECDHERSAWITHAES256GCMSHA384 TLS1.2 ECDHERSAAES128SHA256 TLSECDHERSAWITHAES128CBCSHA256 TLS1.2 ECDHERSAAES256SHA384 TLSECDHERSAWITHAES256CBCSHA384 TLS1.2 AES128GCMSHA256 TLSRSAWITHAES128GCMSHA256 TLS1.2 AES256GCMSHA384 TLSRSAWITHAES256GCMSHA384 TLS1.2 AES128SHA256 TLSRSAWITHAES128CBCSHA256 TLS1.2 AES256SHA256 TLSRSAWITHAES256CBCSHA256 TLS1.2 ECDHEECDSAAES128SHA TLSECDHEECDSAWITHAES128CBCSHA TLS1.0 TLS1.1 TLS1.2 ECDHEECDSAAES256SHA TLSECDHEECDSAWITHAES256CBCSHA TLS1.0 TLS1.1 TLS1.2 ECDHERSAAES128SHA TLSECDHERSAWITHAES128CBCSHA TLS1.0 TLS1.1 TLS1.2 ECDHERSAAES256SHA TLSECDHERSAWITHAES256CBCSHA TLS1.0 TLS1.1 TLS1.2 AES128SHA TLSRSAWITHAES128CBCSHA TLS1.0 TLS1.1 TLS1.2 AES256SHA TLSRSAWITHAES256CBCSHA TLS1.0 TLS1.1 TLS1.2 DESCBC3SHA TLSRSAWITH3DESEDECBCSHA TLS1.0 TLS1.1 TLS1.2 TLSAES128GCMSHA256 TLSAES128GCMSHA256 TLS1.3 TLSAES256GCMSHA384 TLSAES256GCMSHA384 TLS1.3 TLSCHACHA20POLY1305SHA256 TLSCHACHA20POLY1305SHA256 TLS1.3 ECDHESM2SM4GCMSM3 ECDHESM4GCMSM3 TLS1.1 ECDHESM2SM4CBCSM3 ECDHESM4CBCSM3 TLS1.1 ECCSM2SM4CBCSM3 ECCSM4CBCSM3 TLS1.1 ECCSM2SM4GCMSM3 ECCSM4GCMSM3 TLS1.1 RSASM4CBCSM3 RSASM4CBCSM3 TLS1.1 RSASM4GCMSM3 RSASM4GCMSM3 TLS1.1 RSASM4CBCSHA256 RSASM4CBCSHA256 TLS1.1 RSASM4GCMSHA256 RSASM4GCMSHA256 TLS1.1

本节主要介绍删除自定义策略。 点击导航栏的“权限策略”，进入“权限策略”页面。可以通过两种方式删除自定义的策略： 选择需要删除的策略进行勾选，点击“删除”，可以删除对应的策略。 点击策略“操作”中的“删除”，可以删除该策略。

Resource Resource元素指定执行策略的资源，可以指定一个或多个文件（Object）。 格式可以为： “Resource”: “arn:ctyun:service::accountid:resource” “Resource”: “arn:ctyun:service::accountid:resourcetype/resource” 其中： service ：服务名。 accountid ：账户ID。 resourcetype ：资源类型。 resource ：具体资源。在指定资源时，可以使用通配符，其中表示字符的任意组合，？表示任何单个字符。 说明 在resource最后部分添加策略变量“${ctyun:username}”指定占位符。当策略执行时，策略变量将被替换为请求本身的用户名。 在resource最后部分添加策略变量“${ctyun:AccessKey}”指定占位符。当策略执行时，策略变量将被替换为请求本身的AccessKeyID。 如下列举例，将含有策略变量的策略附加给多个用户，当用户A发起请求时，username将替换为A的用户名；当用户B发起请求时，username将替换为B的用户名。 { "Version": "20121017", "Statement": [ { "Action": [ "oos:GetObject", "oos:PutObject" ], "Effect": "Allow", "Resource": ["arn:ctyun:oos::123456789012:mybucket/${ctyun:username}/"] } ] } NotResource NotResource元素指除指定资源列表之外的所有内容显式匹配的策略元素。使用NotResource时，只列出不应匹配的一些资源，而不是包括将匹配的资源列表。使用NotResource时应注意，在此元素中指定的资源是受限的资源，即： 如果使用Allow，则将允许未列出的所有资源，包括所有其他服务中的资源； 如果使用Deny，则拒绝所有未列出资源。

本文介绍如何删除WAF接入的域名。 域名还未完全接入WAF 如果要删除的防护域名没有完全接入WAF，可直接在域名列表删除防护域名。 域名已接入WAF进行防护 域名接入防护后，用户请求链路如下。如果要删除的防护域名已经接入WAF，请先到DNS服务商处，将该域名重新解析，指向源站服务器地址，然后再删除WAF上接入的域名，从而保证用户业务不中断，否则，如果直接删除WAF上接入的域名，将会导致用户业务不可用。

本节主要介绍查看和修改用户组信息。 点击导航栏中“访问控制”>“用户管理”>“用户组”，可以查看和维护用户组信息。 为用户组设置权限 添加权限 可以使用下列方法为用户组添加权限： 在“用户组”页面，点击对应用户组操作中的“添加权限”，弹出“添加权限”页面，为用户组添加策略。弹框中灰色的策略表示用户组已关联的策略。 点击对应的用户组名，进入用户组详细信息页，点击“权限”>“添加权限”，为用户组添加策略。 移除权限 在用户组详细信息页，点击“权限”，选择需要移除的策略，点击“移除权限”，可以为用户组删除多条策略；或者点击对应策略“操作”列的“移除权限”，可以为用户组删除对应的策略。 为用户组添加或移除用户 添加用户 可以使用下列方法为用户组添加用户： 在“用户组”页面，点击对应用户组操作中的“添加用户”，弹出“添加用户”页面，为用户组添加用户。 点击对应的用户组名或者“管理”，进入用户组详细信息页，点击“用户”>“添加用户”，为用户组添加用户。 移除用户 点击对应的用户组名或者“管理”，进入用户组详细信息页，点击“用户”，选择需要移出的用户，点击“移除用户”，可以为用户组删除多个用户；或者点击对应用户“操作”列的“移除用户”，为用户组移出对应用户。

本文为您介绍网站防护配置最佳实践。 网站接入WAF实例后，您可以按照以下推荐防护模块对已接入的网站进行防护策略配置。 Web基础防护 一般情况下，建议选用“拦截”模式，并选用“正常规则组”防护策略。 防护规则组：可选择宽松规则组、正常规则组、严格规则组。 正常规则组：中等宽松规则组，该规则组综合考虑误报和漏报策略检测情况，选择均衡的规则策略进行匹配，一般情况下，该种策略为默认推荐规则，建议用户选择正常策略。 宽松规则组：该规则组更关注精准攻击拦截度，对于疑似攻击行为的访问请求将会认定为安全从而放行，如需减少误拦截，可选用该规则组。 严格规则组：该规则组关注攻击拦截的覆盖程度，会全面拦截攻击和疑似攻击行为，如需尽可能保证业务的安全性，可选用该规则组。 处置动作：可选择拦截、观察两种动作。 拦截：将会拦截掉所有攻击行为，并产生告警拦截日志。 观察：会放行所有攻击行为，但会产生告警日志。 说明 业务接入WAF防护一段时间后（一般为2~3天），如果出现网站业务的正常请求被WAF误拦截的情况，您可以通过设置自定义规则组的方式提升Web防护效果。相关操作，请参见自定义防护规则组，提升Web攻击防护效果。

查看和修改权限 点击“权限”，可以查看用户权限，为用户添加权限、移除权限和从组移出。 添加权限 点击“添加权限”，弹出“添加权限”弹框，可以为用户关联新的策略，弹框中灰色的策略表示用户已关联的策略。 移除权限 选择需要移除的策略，点击“移除权限”，可以为用户删除多条策略。点击对应策略的“移除权限”，可以解除已关联的策略。 从组移出 点击“从组移出”，该用户将移出对应的组，并解除随组关联的策略。 查看和修改用户组 点击“用户组”，可以查看用户所在的组，将用户加入到组或移出组。 加入到组 点击“加入到组”，弹出“加入到组”弹框，选择用户需要加入的组，点击“确认”。弹框中灰色的用户组表示用户已加入的用户组。 移出组 选择需要移出的组，点击“移出组”，可以将用户移出多个组；或者点击对应组“操作”列的“移出组”，可以将用户从该组移出。 查看和修改标签 点击“标签”，可以为查看用户标签信息、编辑标签信息、为用户添加标签或删除标签 。

字段 描述 eventId 事件ID。 resource 资源信息。 eventVersion 操作跟踪版本。 eventSource 事件源。 requestParameters 请求参数。 userAgent 用户代理。 发送API请求的客户端代理标识，除控制台外，都按照客户端API发出的UserAgent请求头展示，如无法获取到则不展示。 请求由用户通过控制台发出，显示ooscn.ctyun.cn。 readOnly 是否为只读操作： true：读操作。 false：写操作。 userIdentity 用户信息。 eventType 事件请求类型。 serviceName 服务名称。 sourceIp 源IP。 requestId 请求ID。 requestURL 请求URL。 eventTime 事件发生的时间。 eventName 事件名称。 requestRegion 请求区域。 managementEvent 是否为管理事件： true：是管理事件。 false：非管理事件。

防护模块 说明 默认规则 配置建议 Web应用基础防护 覆盖OWASP中的常见的攻击类型，通过内置规则库进行安全防护。 用户可选择系统默认规格的规则库，也可自定义防护规则库，实现针对性防护。 可开启/关闭，默认处于开启状态。 包括系统默认规则组（正常/宽松/严格）以及用户自定义规则组。默认选择正常规则组。 可根据不同的防护需求选择不同的防护等级： 正常规则组为考虑漏保和误报均衡结果的规则组，一般业务防护建议选择正常规则组。 宽松规则组提供精准的攻击检测策略，仅会对较为明确的攻击进行防护。 严格规则组提供全面的安全演策，会阻断所有可能为攻击的行为。 CC攻击防护 CC攻击（Challenge Collapsar）是DDoS的一种，攻击者通过代理服务器向受害主机不停发送大量数据包，造成Web业务服务器的资源耗尽，从而无法响应其他正常访问请求的一种攻击行为。CC攻击防护可以通过对Web业务请求的安全验证，防护网络攻击者对业务服务器发起的CC攻击。 可开启/关闭，默认处于关闭状态。 系统提供两种默认防护级别，无需用户设置防护规则实现快速配置。为了避免误杀，用户也可自定义CC防护规则，限制单个访问者对命中特定匹配条件的访问频率，WAF会根据配置的规则，精准识别CC攻击，并做出拦截、人机验证等动作处理。 当网站服务器资源有限，且存在被CC攻击的情况下建议开启。 开启后可能会影响业务的正常访问流程，建议选择人机验证，从而保证业务的可用性。 精准访问控制 用户可根据客户端IP、请求URL、以及常见的请求头字段定义访问请求的精确匹配条件，以进行过滤，并对命中条件的请求设置放行、拦截、观察或人机验证等操作。 可开启/关闭，默认处于关闭状态。 当业务出现明确需要保护的地址，例如用户名或密码保存的文件路径、以及管理员访问路径，可进行精准访问控制。 IP黑白名单设置 自定义添加IP黑白名单规则，阻断、放行指定IP的访问请求。 白名单优先级高于黑名单优先级，即当会话命中白名单后会被直接放行，不再进行后续的安全检测。 可开启/关闭，默认处于关闭状态。 黑白名单通常与其他防护模块并行使用，通过设置黑白名单，放行安全的访问请求，阻断恶意的访问请求。 BOT防护 WAF提供若干个已知的公开BOT类型，用户可分别设置相应的防护动作。 支持公开类型和自定义会话策略两大类防护策略。同时，用户可自定义防护策略，根据协议特征或者其他会话特征设置判定维度，对命中的请求进行相应的处理。 可开启/关闭，默认处于关闭状态。 BOT防护主要用于防止其他网站对业务网站信息的爬取，当有相关需要时，可以开启该模块。 地域访问控制 通过配置地域访问控制规则，可针对指定国家、地区的来源IP自定义访问控制。 可开启/关闭，默认处于关闭状态。 地域访问控制可以通过拒绝部分地域的访问，例如境外地址的访问，从而阻断掉可能来源于境外的攻击。 防敏感信息泄露 支持对网站返回的内容进行过滤（拦截、脱敏展示），过滤内容包括敏感信息、关键字和响应码。 可开启/关闭，默认处于关闭状态。 当网站返回信息中包括敏感信息时，通过设置防敏感信息泄露规则，可以过滤网站返回内容中的敏感信息（比如身份证号、电话号码等），对敏感信息进行脱敏展示，可以有效防止敏感泄露。 网页防篡改 通过缓存页面和锁定访问请求，可避免页面被恶意篡改而带来的负面影响，对重点静态页面进行保护。 可开启/关闭，默认处于关闭状态。 网页防篡改主要用于防护一些重点的静态页面。 Cookie防篡改 通过对Cookie中的字段增加完整性校验保护，WAF会新增一个Cookie字段用于篡改校验。 可开启/关闭，默认处于关闭状态。 Cookie防篡改主要用于防护Cookie变化较少、对安全性要求较高的网页。 隐私屏蔽 通过设置隐私屏蔽规则，可屏蔽用户隐私信息，避免用户隐私信息出现在系统记录的日志中。 可开启/关闭，默认处于关闭状态。 隐私屏蔽规则主要是屏蔽WAF系统日志中的用户隐私信息，可以从安全运维侧规避用户的隐私泄露风险。

本节主要介绍怎么进行文件排序。 在“存储桶列表”页面，点击对应的存储桶，进入“文件列表”，在该页面，将鼠标放在“文件名”、“大小”或者“修改日期”上，可以对存储桶内已经列举出的文件根据文件名、文件大小或修改日期进行排序，每次只能选择一种排序方式。

本节主要介绍怎么通过控制台下载文件。 在“存储桶列表”页面，点击对应的存储桶，进入“文件列表”，在该页面，可以下载文件。 点击操作列的“下载”，可以下载单个文件。选中一个或者多个文件，点击上方导航的“下载”，可以批量下载文件。 注意 基于安全合规要求，禁止通过OOS默认域名以匿名或者URL签名方式下载后缀为apk、ipa的文件，在Header中包含签名或者通过自定义域名方式下载此类文件不受影响。

本节主要介绍怎么在控制台进行对象分享。 在“存储桶列表”页面，点击对应的存储桶，进入“文件列表”，在该页面，可以分享文件。 对于私有存储桶（Bucket）内的文件（Object），用户可以创建临时的“共享链接”，以便在不破坏存储桶的私有属性的前提下，与他人分享文件。 注意 严禁传播诈骗、色情、暴力及其他侵犯他人权利或违反法律及公序良俗内容。 基于安全合规要求，禁止通过OOS默认域名以匿名或者URL签名方式下载后缀为apk、ipa的文件，在Header中包含签名或者通过自定义域名方式下载此类文件不受影响。 在分享图片或者网页时，访问者会下载到本地查看。 通过文件分享，可以分享单个文件或者多个文件。 单个文件分享 分享单个文件，选择需要分享的文件，点击“更多”>“分享”，或则点击对应文件后的“操作”列的“更多”>“分享”，即可对该文件进行分享。 点击“分享”按钮，弹出“文件分享”对话框。 名称 描述 文件名称 要分享的文件名称。 过期时间（天） 设置的过期时间。 取值：[1, 9999999]，单位是天。如果不填写，默认分享链接15分钟过期。 限制下载速度 是否开启下载速度限制。 下载速度（KiB/s） 下载速度限制。 取值：[1, 2147483647]，单位是KiB/s。 限制下载并发数 是否开启下载并发数限制。 下载并发数 下载并发数。 取值：[1，2147483647]。 链接 文件的共享链接。 点击“生成”按钮，即可生成一个带有签名认证的URL。用户可以直接将该URL分享给其他人，在有效期内，通过该URL可以访问此文件。

名称 描述 文件概览 可以查看下列信息： 存储区域：文件存储的数据位置。 文件名。 上次修改时间：文件最近一次的修改时间。 文件URI：文件具体的URI。 大小：文件的大小。 存储类型 文件的存储类型： 标准存储。 低频访问存储。 说明 点击“了解更多”，可以了解存储类型更多信息。 元数据 文件的具体元数据信息。详细参见

名称 描述 destinationBucket 存放清单结果的目标存储桶。 fileSchema 清单结果包含的字段： Bucket：清单文件所在的存储桶。 Key：清单文件名称。 Size：文件大小。 StorageClass：文件存储的类型。 LastModifiedDate：文件最后一次修改日期。 ETag：文件的ETag值。 IsMultipartUploaded：文件是否通过分片上传生成。如果是，则该字段值为TRUE，否则为FALSE。 说明 用户在“清单内容可选信息”配置了Size、StorageClass、LastModifiedDate、ETag、IsMultipartUploaded，fileSchema中才会出现对应字段。 creationTimestamp 扫描源存储桶的时间，UNIX时间戳，精确到毫秒。 files 清单结果文件的内容： MD5checksum：清单结果文件的MD5。 size：清单结果文件的大小，单位字节。 key：清单结果文件的名称，格式为： destinationprefix / srcbucket/inventoryid /data/文件名，用户配置了 destinationprefix ， destinationprefix 才会出现在路径中。 sourceBucket 源存储桶，即配置清单规则的存储桶。 version 清单版本号，值为20230830。 fileFormat 清单结果文件格式。

项目 描述 规则类型 项目类型为合规保留。 适用范围 合规保留规则的适用范围，目前为整个存储桶。 规则 合规保留的天数。 状态 合规保留规则的启用状态： 启用。 禁用。 操作 可以对合规保留规则进行操作。未启用前，可以对规则进行启用、编辑和删除。启用后只能对规则进行编辑，设置合规保留时长大于或等于上次设置的时长，才能生效。

项目 描述 日志类型 日志类型为本地日志。 状态 是否启用日志功能记录对该存储桶的所有操作： 启用。 禁用。 前缀 日志的前缀名称。 目标存储桶 日志存储的目标存储桶，可以根据下拉框进行选择目标存储桶。

项目 描述 ID 规则的唯一标识，最长255个字符，选填。 来源 允许跨域的源。 可以指定多个，每行一个，每行最多有一个使用通配符（）。 允许的方法 允许跨域的请求：GET、PUT、HEAD、POST、DELETE。 允许的Headers 通过AccessControlRequestHeaders请求头，指定预检OPTIONS请求中允许的请求头。 可以指定多个，每行一个，每行最多有一个使用通配符（）。 暴露的Headers 指定客户应用程序(例如，JavaScript XMLHttpRequest文件)能够访问的响应头。 可以指定多个，每行一个，不能使用通配符（）。 缓存时间（秒） 指定浏览器对特定资源的预检（OPTIONS）请求返回结果的缓存时间，单位为秒。

本节主要介绍怎么删除存储桶（Bucket）。 在“存储桶列表”页，点击要删除存储桶“操作”列的“删除”按钮，可以删除该存储桶。 说明 只有存储桶中不包含任何文件夹和文件时，用户才可以删除该存储桶。 当用户点击“删除”后，需要在弹窗进行二次确认后，才可以删除存储桶。

本节主要介绍存储桶属性。 对象存储系统提供存储桶（Bucket）级别的权限控制，用户可以根据需求，设置存储桶的访问权限。 可以点击“下载”按钮，在“存储桶列表”页面点击“属性”>“存储桶属性”，可查看所选存储桶的属性信息，并对存储桶的访问权限进行修改。 存储桶（Bucket）目前有3种访问权限：私有、公共读、公共读写。各自的含义如下： 私有：只有根用户和具有相应权限的子用户可以对该存储桶内的文件进行读/写/删除操作（包括Get、Put和Delete Object），其他人（包括匿名访问）只有通过Bucket Policy授权或分享链接才可访问该存储桶内的文件。 公共读：只有根用户和具有相应权限的子用户可以对该存储桶内的文件进行写/删除操作（包括Put和Delete Object）。任何人（包括匿名访问）都可以对该存储桶内的文件进行读操作，这有可能造成您数据的外泄以及费用激增，请慎用该权限。 公共读写：任何人（包括匿名访问）都可以对该存储桶内的文件进行读/写/删除操作（包括Get、Put和Delete Object）。 注意 配置公共读写权限可能造成您数据的外泄以及费用激增，若被人恶意写入违法信息还可能会侵害您的合法权益，除特殊场景外，不建议您配置公共读写权限。 如果想使用访问权限为公共读写的存储桶，请联系天翼云客服评估审核后开通此功能。

本节主要介绍存储桶的区域属性。 在“存储桶列表”页面点击“属性”>“区域属性”，进入区域属性页面，用户可以通过该页更改存储桶（ Bucket）的数据位置和数据调度策略，但不能修改索引位置。 项目 描述 索引位置 存放文件索引信息的位置，在创建存储桶（Bucket）时指定索引位置，创建成功后不能再对存储桶的索引位置进行更改。 数据位置 存放文件的数据位置，用户可以根据自身需求进行修改： 就近写入：文件将被存储在距离写入点最近的数据位置。 指定位置：可以指定多数据位置存放对文件，OOS将按用户指定的位置顺序存储文件。 数据调度策略 数据调度的策略： 允许自动调度：OOS可以根据用户选择地区的实际使用情况，自动进行数据存储位置的调度，以便为用户提供更快的访问速度。 不允许自动调度：OOS不会自动调度用户数据存储位置的调度。 Endpoint 域名地址。 Bucket域名 Bucket域名地址。