本文介绍配置在IP黑名单中的IP仍有访问记录的原因。 客户在CDN控制台配置IP黑名单后，对应IP将无法访问加速域名下的CDN资源，CDN服务器将向对应IP返回403。可在离线日志中看到该访问记录是因为CDN会记录所有加速域名的访问请求，即使因为IP黑名单机制拒绝客户端访问，也仍会有访问记录，相应流量也会统计进计费数据。但因为403仅响应消息头，一般不会造成实质的计费影响。

编号 字段 描述 1 36.111.88.33 用户IP 2 www.test.ctyun.cn 访问域名 3 文件类型 4 [20200101013524] 请求时间 5 GET HTTP请求方式 6 请求URL 7 http/1.1 HTTP协议 8 200 CDN节点HTTP响应状态码 9 1360598 CDN节点响应大小，单位byte 10 请求头Referer的值 11 "VLC/2.0.6 LibVLC/2.0.6" 请求头UserAgent的值 12 0.003 请求响应时间，指服务端接收到请求，到响应完成的时间，单位s（秒） 13 HIT 缓存命中状态，值为HIT或MISS 14 565 请求长度，含请求头和请求body长度，单位byte 15 bytes 01562467/1562468 CDN节点响应头ContentRange的值

本章节主要介绍最佳实践中基于角色的权限管理(RBAC)。 什么是基于角色的用户管理？ 基于角色的用户管理(RoleBased Access Control，简称RBAC)是通过为角色赋予权限，用户通过成为适当的角色而得到这些角色的权限。 角色是一组权限的抽象。 使用RBAC可以极大简化对权限的管理。 什么是RBAC模型？ 为角色赋予适当的权限。 指定用户为相应的角色。 场景介绍 假设有两个SCHEMA：s1, s2。 有两组用户： 一组用户包括u1, u2，可以在s1中查询所有表，在s2中更新所有表。 另一组用户包括u3, u4，可以在s2中查询所有表，在s1中更新所有表。 1.使用系统管理员dbadmin连接DWS数据库。 2.复制以下语句在窗口1中执行，创建本用例的SCHEMA s1和s2，用户u1~u4。 说明 示例中'{password}'请替换成实际密码。 CREATE SCHEMA s1; CREATE SCHEMA s2; CREATE USER u1 PASSWORD '{password}'; CREATE USER u2 PASSWORD '{password}'; CREATE USER u3 PASSWORD '{password}'; CREATE USER u4 PASSWORD '{password}'; 3.复制以下语句在窗口1中执行，创建对应的s1.t1，s2.t1表。 CREATE TABLE s1.t1 (c1 int, c2 int); CREATE TABLE s2.t1 (c1 int, c2 int); 4.复制以下语句在窗口1中执行，为表插入数据。 INSERT INTO s1.t1 VALUES (1,2); INSERT INTO s2.t1 VALUES (1,2); 5.复制以下语句在窗口1中执行，创建4个角色。分别对应s1的查询权限、s1的更新权限、s2的查询权限、s2的更新权限。 CREATE ROLE rs1select PASSWORD disable; s1的查询权限 CREATE ROLE rs1update PASSWORD disable; s1的更新权限 CREATE ROLE rs2select PASSWORD disable; s2的查询权限 CREATE ROLE rs2update PASSWORD disable; s2的更新权限 6.复制以下语句在窗口1中执行，将SCHEMA s1和s2的访问权限先授予这些角色。 GRANT USAGE ON SCHEMA s1, s2 TO rs1select, rs1update,rs2select, rs2update; 7.复制以下语句在窗口1中执行，将具体的权限授予这些角色。 GRANT SELECT ON ALL TABLES IN SCHEMA s1 TO rs1select; 将s1下的所有表的查询权限授予角色rs1select GRANT SELECT,UPDATE ON ALL TABLES IN SCHEMA s1 TO rs1update; 将s1下的所有表的查询、更新权限授予角色rs1update GRANT SELECT ON ALL TABLES IN SCHEMA s2 TO rs2select; 将s2下的所有表的查询权限授予角色rs2select GRANT SELECT,UPDATE ON ALL TABLES IN SCHEMA s2 TO rs2update; 将s2下的所有表的查询、更新权限授予角色rs2update 8.复制以下语句在窗口1中执行，将对应的角色授予对应的用户，实现将一组权限授予用户。 GRANT rs1select, rs2update TO u1, u2; u1，u2可以对s1的查询权限、对s2的更新权限。 GRANT rs2select, rs1update TO u3, u4; u3，u4可以对s2的查询权限、对s1的更新权限。 9.复制以下语句在窗口1中执行，可以查看指定用户绑定的角色。 du u1; 10.重新打开一个会话窗口2，以用户u1连接DWS数据库。 gsql d gaussdb h U u1 p 8000 r W {password}; 11.复制以下语句在窗口2中执行，验证用户u1对s1.t1有查询权限而没有更新权限。 SELECT FROM s1.t1; UPDATE s1.t1 SET c2 3 WHERE c1 1; 12.复制以下语句在窗口2中执行，验证用户u1对s2.t1有更新权限。 SELECT FROM s2.t1; UPDATE s2.t1 SET c2 3 WHERE c1 1;

参数 类型 是否必传 名称及描述 code int 是 状态码 message string 是 描述信息 result list<object> 否 统计结果 result[].rank int 否 倒叙排名 result[].channel string 否 域名 result[].uri string 否 uri值 result[].port string 否 result[].request long 否 请求数 result[].flow long 否 流量

告警趋势图根据时间及告警数量的关系直观展示告警趋势，图形根据筛选数据结果实时更新。 查询方法 点击时间控件选择或输入统计起始时间。

主机漏洞Top10榜单展示统计数量最高的事件排行榜，排行榜根据筛选数据实时更新。 查询方法 1.点击事件图示，可以把该事件加入筛选条件进一步分析。 2.点击具体的告警，自动把告警名称加入筛选条件。

根据业务的需要，配置目的IP转换策略，允许外网用户通过防火墙访问业务云主机服务。 配置方法： 在【策略】→【地址转换】→【IPV4地址转换】→【新增】→【服务器映射】。 原始数据包 源区域：选择“L3untrustA”。 外网地址：eth0地址（与绑定弹性公网IP对应的私有地址）。 协议&端口：互联网访问的协议及端口。 转换后数据包 内网地址：选择网络对象。 网络对象：业务云主机对象。 端口转换为：业务云主机提供的服务端口。

本小节介绍云日志审计采集器配置方法。 新增采集器： 点击【日志采集】→【采集控制器】→【新增】，如下图所展示。 类型：选择"事件采集器"； 标准化策略：选择系统内置对应的模版，系统将自动关联； IP范围：填写准确IP地址以便系统能够识别。

参数名 类型 是否必填 名称 说明 action string 是 操作参数 取值SetScdnBotInfo domainName string 是 域名 多个用英文逗号隔开，最多同时支持5个 enable string 是 开关类型 取值： 监控：LOG 拦截：BLOCK 关闭：CLOSE

接口描述：调用本接口查询证书详情信息。 请求方式：get 请求路径：/cert/querycertlist 使用说明： 单个用户一分钟限制调用10000次，并发不超过100。 请求参数说明（json）： 无 返回参数说明： 参数 类型 是否必传 名称及描述 code int 是 状态码 message string 是 描述信息 totalrecords int 否 总记录数 totalpage int 否 总页数 page int 否 当前页数 perpage int 否 每页显示的记录条数 result list 否 证书信息列表 result[].expires int 否 证书过期时间 result[].id int 否 证书id result[].issue int 否 证书颁发时间 result[].issuer string 否 证书颁发机构 result[].created int 否 证书创建时间 result[].name string 否 证书备注名称 result[].cn string 否 证书通用名称 result[].sans list 否 主题别名（Subject Alternative Names） 示例 请求路径： 请求参数 无 返回结果 { "code": 100000, "message": "success", "perpage": 1000, "totalrecords": 2, "totalpage": 1, "page": 1, "result": [ { "expires": 1911194411, "issue": 1595834411, "created": 1616749953, "name": "test9", "cn": "logging", "issuer": "Internet Widgits Pty Ltd", "sans": [ "", "" ] }, { "expires": 1911194411, "issue": 1595834411, "created": 1644474871, "name": "test056", "cn": "logging", "issuer": "Internet Widgits Pty Ltd", "sans": [ "", "" ] } ] } 错误码请参考：API返回参数code和message含义

参数 类型 是否必传 名称及描述 code int 是 状态码 message string 是 描述信息 result object 是 返回结果数组 result.quota list 是 每日配额使用信息 result.quota[].domains list 是 域名列表,按配置分组，如果域名没有配置，将使用default的配额 result.quota[].dirused int 是 每日刷新目录已使用条数 result.quota[].dirmax int 是 每日刷新目录最大条数 result.quota[].dirsurplus int 是 每日刷新目录剩余条数 result.quota[].urlused int 是 每次刷新url已使用条数 result.quota[].urlsurplus int 是 每日刷新url剩余条数 result.quota[].urlmax int 是 每次刷新url最大条数

参数 类型 是否必传 名称 描述 type int 否 查询方式 0（按照时间查询）；1（按照submitid查询）；2（按照taskid查询）。默认为0 starttime int 否 开始时间戳 起始时间，时间戳(秒)，type0时，必填，且传endtime时，starttime必传 endtime int 否 结束时间戳 结束时间，时间戳(秒)，type0时，必填，且传starttime时，endtime必传 submitid string 否 提交id 预热提交id，type1时，必填 taskid string 否 任务id 预热任务id，type2时，必填 url string 否 模糊查询关键字 筛选项 tasktype int 否 刷新类型 筛选项，1（url）；2（目录dir）；3（正则匹配re） page int 否 页数 默认1 pagesize int 否 每页条数 默认50， 最大300

参数 类型 是否必返回 名称及描述 attackCount int 是 攻击数量 attackKey string 是 攻击类型；据查询的类型不同对应的值为IP/URL/攻击来源地区/攻击类型

接口描述：调用本接口查询预热任务额度 请求方式：get 请求路径：/preloadtask/querypreloadtaskquota 使用说明： 单个用户一分钟限制调用10000次，并发不超过100 请求参数说明（json）： 无 返回参数说明： 参数 类型 是否必传 名称及描述 code int 是 状态码 message string 是 描述信息 result object 是 返回结果 result.quota list 是 每日预热配额使用信息 result.quota[].used int 是 每日预热已使用条数 result.quota[].surplus int 是 每日预热剩余条数 result.quota[].max int 是 每日预热最大条数 result.quota[].domains list 是 预热的域名列表，按配置分组，如果域名没有配置，将使用default的配额 result.concurrencys list 是 每次提交预加载最大条数信息 result.concurrencys[].concurrency int 是 预热并发数 result.concurrencys[].domain string 是 域名 示例： 请求路径： 示例1： 请求参数： 无 返回结果： { "code": 100000, "message": "success", "result": { "quotas": [ { "surplus": 9136, "max": 10000, "domains": [ "default" ], "used": 864 } ], "concurrencys": [ { "domain": "default", "singlecommitmax": 10 } ] } } 错误码请参考：API返回参数code和message含义

参数 类型 是否必传 名称 描述 domain list<string> 是 域名 域名列表 starttime int 是 开始时间戳 开始时间戳,单位秒 endtime int 是 结束时间戳 结束时间戳,单位秒

本文介绍如何查看态势感知大屏。 第一步，点击侧面导航—态势感知。 第二步，页面跳转态势感知大屏。

本文教你如何停用域名。 背景说明 如果客户的网站因业务变更需要停止防火墙服务，客户可以通过控制台对域名进行停用或者删除操作。 停用域名和删除域名的区别： 操作 说明 停用域名 对域名进行停用操作后，控制台上域名状态将变更为“已停止”。3天内，天翼云边缘云会将加速域名的CNAME解析至客户源站地址；3天后，天翼云边缘云会将加速域名的CNAME解析至不可用地址。 注意：对域名进行停用操作后，CDN节点会立即删除配置，但仍会在系统数据库中保留原来的配置记录，可再次对域名进行"启用"操作 删除域名 对域名进行删除操作后，天翼云边缘节点会直接删除加速域名在边缘节点的配置，域名对应CNAME入口地边缘节点址失效，此时域名请求如果仍访问至，则会响应403。 注意事项 域名需先停用后才能进行删除操作，域名删除后将无法再启用。

参数 类型 是否必传 名称 描述 domain list 否 域名 域名列表 starttime int 是 开始时间戳 开始时间戳,单位秒 endtime int 是 结束时间戳 结束时间戳,单位秒 httpProtocol int 否 协议类型 协议类型，不传默认全部协议类型。 0（http），1（https）

参数 类型 是否必传 名称 描述 starttime int 是 开始时间戳 起始时间，时间戳(秒)。 endtime int 是 结束时间戳 结束时间，时间戳(秒)。 domain string 是 域名

参数 类型 是否必传 名称及描述 code int 是 状态码 message string 是 描述信息 result list 是 返回结果数组 result[].ispid int 是 运营商ID result[].ispcode int 是 运营商编码 result[].ispcnname string 是 运营商中文名称 result[].ispenname string 是 运营商英文名称 result[].ispaddr string 是 运营商缩写

参数 类型 是否必传 名称及描述 code int 是 状态码 message string 是 描述信息 submitid string 是 预热提交id result list 是 创建的预热任务列表 result[].url string 是 预热URL result[].taskid string 是 预热任务id

接口描述：调用本接口创建刷新任务 请求方式：post 请求路径：/refreshtask/createrefreshtask 使用说明： 单个用户一分钟限制调用10000次，并发不超过100 请求参数说明（json）： 参数 类型 是否必传 名称 描述 tasktype int 是 刷新类型 1(url);2(目录dir);3(正则匹配re) values list 是 刷新参数值 刷新类型为url时单次最多1000条，类型为dir和re时单次最多50条。 返回参数说明： 参数 类型 是否必传 名称及描述 code int 是 状态码 message string 是 描述信息 submitid string 是 提交id result list 是 返回包含任务id的列表 result[].taskid string 是 任务id result[].url string 是 刷新的URL 示例： 请求路径： 示例1： 请求参数： { "tasktype": 1, "values": [ " " " ] } 返回结果： { "code": 100000, "message": "success", "submitid": "cf48cdece3160f174a5f3026d52991ee", "result": [ { "taskid": "e12a05dc190045af2645f4b8bbe4135f", "url": " } ] } 错误码请参考：API返回参数code和message含义

2）attackDataList参数 参数 类型 是否必返回 名称及描述 attackKey string 否 攻击对应的具体值 attackNum number 否 攻击次数 示例： 请求路径： 示例1： 请求参数： json { "request":{ "domain":"ctyun.cn", "protectionModule":"CC", "type":"IP", "startTime":"20221108T00:00:00Z", "endTime":"20221108T23:59:59Z", "pageSize":"10", "pageNum":"1" }, 返回结果： json { "respone":{ "code":10000, "message":"success", "data":{ "attackDataList":{ "attackKey":"1.1.1.1", "attackNum":100 }, "total":1 } } 错误码请参考：API返回参数code和message含义

参数 类型 名称及描述 code int 状态码 message string 描述信息 result object 证书信息 resultexpires int 证书过期时间 resultid int 证书ID resultissue int 证书颁发时间 resultcreated int 证书创建时间 resultname string 证书备注名称 resultsans list 证书绑定的域名 resultcn string 证书通用名称 resultcerts string 证书公钥信息 resultkkey string 证书私钥信息

参数 类型 是否必传 名称 描述 name string 是 证书备注名

参数 类型 是否必传 名称及描述 code int 是 状态码 message string 是 描述信息

参数名 类型 是否必填 名称 说明 action string 是 操作参数 取值SetScdnBotInfo domainName string 是 域名 多个用英文逗号隔开，最多同时支持5个

参数 类型 是否必传 名称及描述 code string 是 状态码，成功100000 message string 是 描述信息，成功返回success，其他返回异常信息描述 data attackInfoData 否 查询结果以及域名对应状态

本文介绍API返回code的含义 code code含义 message示例 100000 正确返回 success 100001 认证失败 用户认证失败 100002 找不到指定路径的API 当前调用的api不存在:$ 100003 无请求指定API的权限 当前用户对api:${api}无权限 100012 底层错误 请求错误，（底层返回结果） 100013 系统错误 系统错误 100014 底层超时 请求底层超时 200001 资源没有权限 请求参数域名校验失败，当前用户对域名%s无权限 200002 参数校验失败 请求参数校验失败，参数为必填 200003 域名创建或者修改失败 域名状态为已停用，无法进行修改

本文介绍如何配置告警规则和查看告警记录。 图 告警配置页面 图 告警记录查询页面

本文介绍如何配置证书。 客户控制台的【证书管理】模块，客户在证书管理模块可以上传证书，查看证书详情、更新证书、证书对应绑定的域名以及删除证书。 证书管理页 图 证书新增页

本文介绍请求数收费方式。 计费项 标准资费 说明 防护请求数 0.18元/万次 开通WAF防护功能，即有防护请求数的计费 静态https请求数 0.05元/万次 如果使用https加速服务，即有https请求数的计费 动态请求数 0.15元/万次 只订购了抗D服务功能，并开通了动态功能，会有动态请求数的计费