本节提供OOS开发者文档的下载。 对象存储网络的开发者文档请参考 OOS开发者文档v6.pdf 其他地域的开发者文档请参考 OOS开发者文档v5.pdf

本节主要介绍如何将数据从本地迁移到OOS中。 应用场景 将数据从本地迁移到天翼云OOS的Bucket。 注意 在线迁移会占用网络资源。若您的业务比较重要，建议您对迁移任务设置限速（设置system.conf中的maxThroughput），或在空闲时间启动迁移任务。 前提条件 Windows7 及以上版本或 Linux CentOS 7.x 及以上版本。 Java 1.8 及以上版本。 迁移工具所在的服务器可以访问OOS资源池。 具体操作 确定目标Bucket 在天翼云OOS中创建目标Bucket，具体操作请参见创建存储桶（Bucket）或PUT Bucket，用于存放迁移的数据。也可以使用已存在的Bucket。 下载安装迁移工具 1. 下载数据迁移工具。 2. 解压缩安装包 对于Windows客户端，直接解压缩迁移工具zip 包即可。 对于Linux客户端，执行 unzip 解压缩安装包。 迁移工具解压后的目录结果如下： CTYUNOOSImportversionid config log4j2.xml migrate.conf system.conf lib import.sh import.bat 修改配置文件 更新迁移任务配置文件 migrate.conf，配置源和目的资源池信息、迁移配置项。您可根据需要配置system.conf和 log4j2.xml文件，具体参数介绍参见常用工具OOS数据迁移工具迁移步骤。其中： srcType需填写为：LOCAL，代表本地。 localFolderPath需要填写待迁移文件所在的本地目录，且操作用户需要对该目录及文件有读权限。 OOS的AccessKeyID和SecretAccessKey需要至少拥有目的Bucket的写权限。 migrate.conf配置示例如下： { "srcType":"LOCAL", 从LOCAL迁移文件（Object） "localFolderPath":"F:/test/test1/",本地目录，请根据实际填写 "destEndpoint":"ooscn.ctyunapi.cn", OOS的Endpoint "destAccessKey":"AccessKeyID", OOS的AccessKeyID "destSecretKey":"SecretAccessKey", OOS的SecretAccessKey "destBucket":"BucketName", OOS的Bucket名称 "isSkipExistFile":false 是否跳过目标资源池中已有的文件 }

与旧版IAM相比，新版IAM支持更精细、更安全、更全面的访问控制。需要注意的是： 新版的IAM不再区分主密钥、普通密钥。 每个根用户/子用户可以拥有2个访问密钥对。 当创建访问密钥时，您只有在创建时可以下载和查看您的私有访问密钥（即SecretAccessKey），如不慎遗失，您可以选择删除该访问密钥，并创建新的访问密钥。 为了提供更安全的服务，新版IAM API统一使用V4签名。

本节主要介绍操作跟踪相关问题。 什么是OOS 操作跟踪 (CloudTrail)？ 操作跟踪用于记录OOS账户的管理事件，并将产生的跟踪日志保存到指定的OOS存储桶中。记录的信息包括用户的身份，请求时间，源IP地址，请求参数以及服务返回的响应元素等，便于您实时了解账户的操作情况及合规性审查。 为什么要使用 CloudTrail？ CloudTrail 可记录每个管理类操作的信息，包括请求的发出方、请求的时间、使用的服务、执行的操作等，这些信息能够帮助您实时跟踪 OOS 资源的变更情况，帮助您确认操作性问题。具体记录内容，详见管理事件记录。 CloudTrail支持查询多久的操作事件？ 通过CloudTrail可以查看近6个月内的管理事件记录，同时您可以对账户内的敏感操作设置跟踪日志，CloudTrail会将账户活动以日志的方式发送到您指定的OOS存储桶进行持久化存储。详见管理事件记录。 单个账户最多支持创建几个跟踪？ 单个账户最多支持创建10个跟踪，创建操作跟踪可以参考跟踪列表或CreateTrail。

本节主要介绍图片处理相关问题。 OOS可以处理的图片格式有哪些？ OOS图片处理支持处理的源文件格式包括jpg、png、bmp、webp，生成后的图片支持的格式包括jpg、png、bmp、webp格式 (注意gif默认保存成jpg)。详见规则说明。 OOS在处理图片时有哪些限制？ 源文件的大小不能超过20MiB。对缩略后的图片的大小有限制，目标缩略图的宽与高的乘积不能超过4096 4096，而且单边的长度不能超过4096 4。管道目前限制在4个。不支持处理分片上传的图片。 什么是长边和短边？ 关于“长边”和“短边”的定义需要特别注意，它们表达的是在缩放中相对比例的长或短。“长边”是指原尺寸与目标尺寸的比值大的那条边；“短边”同理。如原图400 200，缩放为800 100，（400/8000.5，200/1002，0.5 < 2），所以在这个缩放中200那条是长边，400是短边。 什么是管道？ 如果对图片有多次处理任务（比如先做缩略，再加上水印）可以用管道来实现，执行顺序按管道指定顺序执行，目前最多支持四级管道。详见管道。 图像支持哪些处理接口？ 支持的接口有：单边固定缩略、指定宽高缩略、强制宽高缩略、自动剪裁、按比例缩放、高级剪裁、格式转换、获取基本信息和exif信息。详见图像处理接口。

本节主要介绍图片处理中URL构成规则。 图片处理服务通过URL来处理图片，以下定义访问方式的规范： 直接显示原图，形式为： /bucket /object /object /object，即支持website的方式访问文件 通过处理参数访问，形式为： /bucket /object@oosImage100w100h90q.jpg .endpoint/object@oosImage100w100h90q.jpg /object@oosImage100w100h90q.jpg，即支持website的方式访问文件 object为用户Bucket上存储的原图片。100w100h90q为转换字符串，用来转换处理图片的一段参数。通过指定转换字符串，可以返回另一张转换处理后的图片。 一个典型的转换字符串，如“100w100h90q.jpg”，代表需要一张宽（w）100px、高（h）100px、质量（q）90%、jpg格式的图：@oosImage120w120h90q.jpg 转换字符串分为3部分：初始操作、转换参数、转换格式： 初始操作（如@oosImage）是一个“@”符号 +“oosImage”+“”管道符号，后面都为转换字符串。 转换参数（如120w120h90q）由一个或多个键值对（以""连接）组成，“值”在前“键”在后，“值”为数字类型，“键”为一位字母。 转换格式（如.jpg）是指定图片转换的输出格式，通过指定转换格式，可以对原图处理并返回指定的图片格式。支持的转换格式为： jpg、webp、png、bmp。

什么是 OOS Identity and Access Management (IAM)？ 统一身份认证（Identity and Access Management，简称IAM）是OOS为用户提供的用户身份管理与访问控制服务，您可以使用IAM创建、管理用户账号，并对这些账号进行权限分配，实现[谁] [在什么条件下] [可以/不可以] [对哪些资源] [做什么]，方便资源管理。 如何使用IAM？ 您可以通过IAM API、OOS控制台（IAM模块）创建和管理用户、组和权限。除了使用JSON创建策略，您还可以使用可视化编辑器创建策略。IAM API参见访问控制（IAM）API，控制台使用IAM详见访问控制。 AccessKey包括哪些信息？ AccessKey包括AccessKeyID和SecretAccessKey： AccessKeyID：用于标识用户。 SecretAccessKey：用于验证用户的密钥，SecretAccessKey 必须保密。 创建AccessKey后，可以查看哪些信息？ 在对象存储网络创建AccessKey后，您可以再次查看AccessKeyID、状态、最后使用时间和创建时间等基本信息。控制台查询AccessKey信息详见密钥。 在其他区域创建AccessKey后，您可以查看AccessKeyID、状态、和创建时间等基本信息。 创建AccessKey后，能否再次查看AccessKeyID？ 可以。可以通过控制台查看，详见密钥。 创建AccessKey后，能否再次查看SecretAccessKey？ 根据不同的地域，情况不同： 在对象存储网络创建AccessKey时，SecretAccessKey只显示一次，会提示下载csv文件本地保存。 在其他区域创建AccessKey后，AccessSecretKey可以再次显示。

对OOS发送请求，请求和响应消息中如果带有请求头、响应头，则会产生流量。对于具体流量，可以在控制台“统计概览”>“统计”>“流量”页面查看，具体详见流量。 下列情况下存储桶（Bucket）内无文件，可能会产生流量： 流量每天结算一次，如果授权了其他用户可以向存储桶写入数据，在这一天中其他用户向存储桶中上传文件后又删除了该文件，结算时存储桶拥有者看到存储桶内无文件，但实际已产生流量。 向OOS发送请求失败，返回4xx错误（403除外），会同时返回响应头，该响应头会产生流量。 操作存储桶，如设置存储桶ACL、设置生命周期，请求中均会携带请求头，会产生流量。

资源包并不是必须要购买的，即使您没有购买资源包也可以使用OOS服务，此时计费模式采用按需计费。资源包对OOS账号生效，不能指定具体存储桶（Bucket）使用，按照所属的区域、存储类型、资源包类型进行抵扣使用。 购买资源包后，可以抵扣使用OOS所产生的费用，相比按需计费的方式更优惠，因此推荐您按实际业务购买对应的资源包。 当前资源包区分中国大陆区域和香港区域，同时具有不同的资源包类型，例如购买大陆区域的存储资源包后该区域下所有符合资源包要求的存储桶产生的存储费用均可以抵扣，因此资源包和具体的存储桶之间并不存在对应关系，也不支持将资源包指定给某个具体的存储桶使用。 注意 由于OOS有多种计费项，因此即使购买了资源包，也并不意味着在资源包使用完毕前不会产生其他费用。在购买了资源包的情况下，如果产生按需计费，请您参考

您可以在控制台页面右上角的地域切换下拉菜单中，选择要使用的OOS地域。对象存储网络是天翼云推出的最新对象存储服务。对象存储网络中包含分布在全国多个省、市、自治区及直辖市的资源池，这些资源池间的存储桶（Bucket）、文件（Object）、访问密钥（AccessKeyId和SecretAccessKey）信息互通，可以实现全国数据的就近读取和写入。您可以在控制台页面右上角的地域切换下拉菜单中，选择对象存储网络。OOS推荐您使用对象存储网络来进行文件的管理。除对象存储网络之外的其他地域，存储桶、文件、访问密钥信息是不互通的。各个地域对应的Endpoint列表，参见域名（Endpoint）列表。

本节主要介绍DeleteAccountLoginSecurityPolicy。 此操作用来将IAM用户登录安全策略恢复为默认值。默认值为： PeriodWithLoginFailures：15分钟。 LoginFailedTimes：5次。 LockoutDuration：15分钟。 AllowSingleUsersSimultaneousLogin：true。 SessionDuration：30分钟。 请求参数 名称 描述 是否必须 ::: Action DeleteAccountLoginSecurityPolicy。 是 Version 请求版本。 取值：20100508。默认值为20100508。 否 请求示例 将IAM用户登录安全策略恢复为默认值。 POST / HTTP/1.1 Host: ooscniam.ctyunapi.cn Connection: KeepAlive xamzcontentsha256: UNSIGNEDPAYLOAD Authorization: SignatureValue XAmzDate: 20211214T024410Z ContentType: application/octetstream ContentLength: 58 ActionDeleteAccountLoginSecurityPolicy&Version20100508 响应示例 HTTP/1.1 200 OK xamzrequestid: 8f0b0ec76d984417 Date: Tue, 14 Dec 2021 02:44:12 GMT ContentType: text/xml;charsetUTF8 ContentLength: 161 Server: CTYUN 8f0b0ec76d984417

OOS数据访问方式有以下几种： 通过OOS自服务控制台进行访问。 通过HTTP REST API接口进行访问。 通过OOS SDK进行编程访问。 通过天翼云云存储网关进行访问。 通过第三方工具（如S3 browser）进行访问。

OOS通过存储介质的慢盘/坏道检测、资源池内设备和数据冗余，提供针对介质、服务器、机柜、数据中心和区域的多级可靠性保障。其数据持久性高达99.99999999999%（13个9），可用性高达99.99%，远高于传统架构。 说明 选择不同存储类型，数据的持久性和可用性会有所不同，具体请参见 OOS提供了

FFFFFF), 文字阴影是50, 文字水印内容是：Hello 图片服务！，水印位置是：右中，水平边距是：10，中线垂直偏移是：20 is.getObject(bucket, objectName, "@oosImagewatermark2&typed3F5LXplbmhlaQ&size20&textSGVsbG8g5Zu54mH5pyN5YqhIQ&colorI0ZGRkZGRg&s50&t90&p6&x10&voffset20", new File("wartermark.jpg")); } private String authorize(String httpVerb, String date, String bucket, String objectName) throws Exception { String stringToSign httpVerb + "nnn" + date + "n/" + bucket + "/" + objectName; Mac mac Mac.getInstance("HmacSHA1"); mac.init(new SecretKeySpec(sk.getBytes("UTF8"), "HmacSHA1")); byte[] macResult mac.doFinal(stringToSign.getBytes("UTF8")); String signature new String(Base64.encodeBase64(macResult), "UTF8"); String authorization "AWS " + ak + ":" + signature; return authorization; } public static void downloadInputStream(InputStream input, File file) throws IOException { int c; FileOutputStream fos new FileOutputStream(file); byte[] buff new byte[1024 4]; try { while ((c input.read(buff)) ! 1) { fos.write(buff, 0, c); } input.close(); fos.flush(); } finally { fos.close(); } } public void getObject(String bucketName, String objectName, String imageParams, File destFile) throws Exception { String date DATEFMT.format(new Date()); String authorization authorize("GET", date, bucketName, objectName + imageParams); URL url new URL("https", host, "/" + bucketName + "/" + objectName + imageParams); HttpURLConnection conn (HttpURLConnection) url.openConnection(); conn.setUseCaches(false); conn.setRequestProperty("Date", date); conn.setRequestProperty("Authorization", authorization); conn.setConnectTimeout(CONNTIMEOUT); conn.setReadTimeout(READTIMEOUT); conn.setDoInput(true); conn.setRequestMethod("GET"); conn.connect(); downloadInputStream(conn.getInputStream(), destFile); } }

名称 描述 是否必须 BucketName 存储桶名称。 是

本节主要介绍V4签名认证方法。 用户可以使用以下方法来发送身份验证信息： HTTP授权请求头 使用HTTP Authorization请求头是验证OOS请求的最常用方法。所有OOS REST操作（使用POST请求的基于浏览器的上传除外）都需要此请求头。 查询字符串参数 使用URL查询参数来提供请求信息，包括身份验证信息。由于请求签名是URL的一部分，因此这种类型的URL通常称为预签名URL。 OOS还支持使用基于浏览器的HTTP POST请求的上传方式。通过HTTP POST请求，用户可以直接通过浏览器将内容上传到OOS。

请求示例 按天（byDay）查询Bucket为examplebucket、数据位置为ZhengZhou、20191015至20191016标准存储数据的流量。 plaintext GET /?ActionGetTraffics&BeginDate20191015&EndDate20191016& StorageClassSTANDARD&Bucketexamplebucket&FreqbyDay&RegionZhengZhou HTTP/1.1 Date: Wed, 16 Oct 2019 06:41:57 GMT Authorization: SignatureValue Host: ooscnmg.ctyunapi.cn 响应示例 plaintext HTTP/1.1 200 OK Date: Wed, 16 Oct 2019 06:41:57 GMT xamzrequestid: c1bd7162b01e4a45 ContentLength: 1316 ContentType: application/xml; charsetutf8 Server: CTYUN test@ctyun.cn usertest1 STANDARD UTC +0800 all all all byDay examplebucket ZhengZhou 20191015 86400 259200 432000 604800 172800 345600 518400 691200 ...

本节主要介绍Backoff。 当OOS系统服务繁忙，暂时不可使用时，OOS会向客户端返回503响应码和RetryAfter响应头。示例如下： HTTP/1.1 503 Service Unavailable xctyunrequestid: abdcf4945d14406a30383a4b4e4948542d6b6e696854 RetryAfter: 90 Date: Tue, 6 May 2014 08:02:58 GMT ContentLength: 133 ContentType: text/xml Server: CTYUN SlowDown Please reduce your request rate.

本节主要介绍OOS数据迁移工具运行环境。 迁移工具支持部署在Windows或Linux客户端，运行环境要求如下： Windows7及以上版本或Linux CentOS 7.x及以上版本。 Java 1.8及以上版本。 迁移工具所在的服务器可以访问源云存储资源池和OOS资源池。

本节主要介绍IAM用户登录。 1. 根用户或有管理用户权限的IAM用户，通过“用户管理”>“用户”，进入具体用户页面，在用户详细信息页面，点击“安全”，复制“控制台登录链接”，即得到该IAM用户的登录链接。 2. 输入上一步骤中复制的控制台链接，进入子用户登录页面。根据提示，输入IAM用户名和登录密码，进行登录。 说明 IAM用户名为“@”前面的部分。 IAM子用户与根用户的页面基本一致，子用户的功能根据授权而定。如果需要更多权限，可以向根用户进行申请。

本节主要介绍怎么在控制台复制文件。 在“存储桶列表”页面，点击对应的存储桶，进入“文件列表”，在该页面，可以复制文件。 选择需要复制的文件，点击“更多” >“复制” ，弹出“文件拷贝”窗口，用户可以通过文件拷贝功能将文件复制到其他存储桶（Bucket）中。 注意 注意使用控制台操作，复制的单个文件不能大于5GiB。如果大于5GiB，请调用API的PUT Object Copy或Copy Part接口进行操作。

本节主要介绍DELETE Bucket CORS。 删除Bucket的跨域配置信息。只有根用户和拥有DELETE Bucket CORS权限的子用户才能执行此操作，否则会返回403 AccessDenied错误。 如果Bucket配置了CORS，删除成功，返回200 OK。 如果Bucket没有配置CORS，返回204 No Content。 请求语法 DELETE /?cors HTTP/1.1 Host: BucketName.ooscn.ctyunapi.cn Date: date Authorization: SignatureValue 请求参数 名称 描述 是否必须 BucketName 存储桶名称。 是 请求示例 DELETE /?cors HTTP/1.1 Host: examplebucket.ooscn.ctyunapi.cn Date: Tue, 13 Dec 2011 19:14:42 GMT Authorization: SignatureValue 响应示例 HTTP/1.1 204 No Content xamzrequestid: a22e2ec7cee74e8874eef0e7e9efaeb0b3a4a6a8aaacaeb0b2 Date: Tue, 13 Dec 2011 19:14:42 GMT Server: CTYUN

名称 描述 是否必须 Action DetachGroupPolicy。 是 Version 请求版本。 取值 ：20100508。默认值为20100508。 否 GroupName IAM用户组名。 类型 ：字符串 取值 ：1~64个字符组成，字符只能包含字母、数字或特殊字符，字母不区分大小写，特殊字符只能是：下划线（）、中划线（）、逗号（,）、句点（.）、加号（+）、等号（）和at符号（@）。 是 PolicyArn 权限策略的资源名称。 类型 ：字符串 取值 ：20~2048个字符。 是

本节主要介绍GET Bucket Logging。 此操作用来获得指定Bucket的logging。只有根用户和拥有GET Bucket Logging权限的子用户才能执行此操作，否则会返回403 AccessDenied错误。 请求语法 GET /?logging HTTP/1.1 Host: BucketName.ooscn.ctyunapi.cn Date: date Authorization: SignatureValue 请求参数 名称 描述 是否必须 BucketName 存储桶名称。 是 响应结果 名称 描述 BucketLoggingStatus 响应的容器。 类型：容器。 子节点：LoggingEnabled。 LoggingEnabled 日志信息的容器，当启动日志时，包含这个元素；否则此元素及其子元素都不显示。 类型：容器。 父节点：BucketLoggingStatus。 子节点：TargetBucket、TargetPrefix。 TargetBucket 保存log的bucket，OOS会向此Bucket存储日志。 类型：字符串。 父节点：LoggingEnabled。 TargetPrefix 生成的log文件将以此为前缀命名。 类型：字符串。 父节点：LoggingEnabled。 请求示例 GET /?logging HTTP/1.1 Host: docs.ooscn.ctyunapi.cn Date: Mon, 03 Sep 2012 12:00:00 GMT Authorization: SignatureValue 响应示例 以下是设置了日志的响应示例。 HTTP/1.1 200 OK xamzrequestid: 7b6bfbc182504e46f26558675c696b7130323c26282a2c2e30 Date: Mon, 03 Sep 2012 12:00:00 GMT Server: CTYUN examplebucket mybucketaccesslog/ 以下是没有设置日志时的响应示例。 HTTP/1.1 200 OK xamzrequestid: ef00a70d4f2b43416ee1d4e3d8e5e7edacaeb7a2a4a6a8aaac Date: Mon, 03 Sep 2012 12:00:00 GMT Server: CTYUN

来自：

帮助文档

对象存储（经典版）I型

API参考

存储桶（Bucket）和文件(Object）

关于Bucket的操作

GET Bucket Logging

名称 描述 是否必须 Action DeleteVirtualMFADevice。 是 Version 请求版本。 取值 ：20100508，默认值为20100508。 否 SerialNumber 唯一标识虚拟MFA设备的序列号。虚拟MFA设备序列号是设备的ARN。 类型 ：字符串 取值 ：字符只能包含字母、数字或特殊字符，字母不区分大小写，特殊字符只能是：下划线（）、右斜线（/）、中划线（）、逗号（,）、句点（.）、加号（+）、等号（）、at符号（@）和冒号（:）。 是

本节主要介绍修改自定义策略。 点击“权限策略”>“策略名称”>“策略内容”>“编辑策略”，弹出“编辑策略”页面，可以通过可视化策略编辑器或JSON对策略进行编辑，具体编辑方法可以参考新建自定义策略中的“可视化策略编辑”和“JSON编程授权”。

本节主要介绍怎么创建用户组。 点击“访问控制”>“用户管理”>“用户组”>“创建”，进入“创建用户组”页面，按照下列步骤创建用户组： 1. 设置用户组 设置用户组名：用户组名创建成功后，不可进行修改。用户组命名需遵守以下规则： 用户组名必须唯一。 1~128位字符组成，字符只能包含字母、数字或特殊字符，不包含空格。字母不区分大小写，特殊字符只能是：下划线（）、中划线（）、逗号（,）、句点（.）、加号（+）、等号（）和at符号（@）。 2. 设置权限 可以在搜索框中搜索匹配策略，搜索出的匹配策略以列表的形式展现出来，可以通过勾选对应策略，为用户组附加策略。 说明 可以创建用户组时为用户组添加策略，也可以在用户组创建完成后，再为其添加策略。 注意 每个用户组最多添加10条策略。 3. 信息审核 对于新建用户组的信息，可以进行审核。如果有需要修改的地方，可以点击编辑图标进行修改。 4. 完成 完成用户组创建后，可以将IAM用户添加到组，以便管理。

简要介绍Bucket Policy。 Bucket Policy用于定义OOS资源的访问权限。Bucket Policy可以用于： 允许/拒绝Bucket级别的权限。 允许/拒绝Object级别的权限。 Policy本身是一个JSON字符串，限制在20KiB。一个Bucket Policy包括： 可选的Bucket Policy基本信息。 一个或多个独立的statements。 每个statement包括一个权限的核心信息。如果一个Bucket Policy包括多个statements，那么statements之间是逻辑或关系。 注意 ：如果多个statement之间有重叠或者冲突，那么含deny语句优先级最高。

本节主要介绍怎么清空存储桶。 在“存储桶列表”页，点击存储桶“操作”列的“清空存储桶”按钮，可以清空该存储桶数据。 注意 清空存储桶将永久删除存储桶中的所有文件，已删除的文件无法恢复。在执行清空存储桶过程中，可通过关闭任务方式进行终止，但是已经发送的任务无法终止。 执行清空存储桶时，添加文件到存储桶，文件可能会被删除。 为了防止在执行清空存储桶时将新文件添加到此存储桶，建议您更新存储桶策略，禁止将文件添加到存储桶。 如果存储桶包含大量文件，建议您创建生命周期规则来删除存储桶中的文件。 当点击“清空存储桶”后，弹出“清空存储桶确认”弹窗，填入存储桶名称后，才可以清空存储桶数据。 清空过程中，刷新或者关闭页面可能导致无法完全清空存储桶。

本节主要介绍策略基本信息。 在“权限策略”页面，点击具体策略名或者“操作”列的“管理”，可以进入具体策略页面，在该页面可以查看策略的基本信息和修改策略。 策略基本信息包含：策略名称、策略类型、创建时间、最近修改时间、描述。

本节主要介绍策略中的Version元素。 Version策略元素用在策略之中，用于定义策略语言的版本，包含在所有策略中的Statement元素之前。 目前OOS IAM在用的策略版本为：20121017，兼容AWS最新策略版本。 如果未包含Version元素，则此值默认为20121017。

本节主要介绍怎么在控制台创建IAM用户。 登录“访问控制”>“概览”，在“账户概览”区域下，点击“创建用户”；或者登录“访问控制”>“用户管理”>“用户”，点击“创建”。 按照下列步骤创建IAM用户： 1. 设置用户 根据页面提示添加用户名，可以添加一个或多个用户，并为新创建的用户设置访问方式。 2. 设置权限 为IAM用户设置权限。 有三种添加权限的方式（只能选择一种）： 1. 将用户添加到组 （前提：已经有用户组）：用户将继承该用户组的所有权限，一个用户最多可以加入10个组。 2. 从现有用户复制 （前提：现有用户有通过直接附加的方式被授权的策略），每次只能复制一个用户的权限。只能复制现有用户直接附加的策略，不能复制用户所在组的策略。 3. 附加现有策略 ：直接为用户添加现有的策略，每个用户最多可以直接添加10个策略。 用户设置权限时，只能选择以上三种方式中的一种为用户授权，当用户已经选择某一种权限设置方式，并进行了必要的勾选后，再切换其他授权方式会弹出提示框。 说明 可以创建用户时为用户添加策略，也可以用户创建完成后，再为其添加策略。 注意 每个用户最多可以直接附加10条策略，不包含随组附加的策略。 3. 设置标签 管理员可以为IAM用户设置标签，标签为IAM用户的附加属性。一个用户最多可以添加10个标签。 说明 不能为单个标签指定多个值，但多个标签键可以有相同的标签值。 项目 描述 :: 标签键 可以包含字母、数字、空格以及加号(+)、等号()、句点(.)、at符号(@)、下划线()、连字符()、冒号(:)、正斜杠(/)符号的任意组合。 标签键不区分大小写，但保留大小写。例如不能同时存在Department和department标签键，如果使用Departmentfoo标签标记用户后又添加departmentbar标签，则它会替换第一个标签，标签值变为bar。 标签值 可以为空。 4. 信息审核 对新建用户的信息进行审核，如果需要更改，可以在此页面点击对应的编辑标识，然后到对应的页面进行修改。 5. 完成 点击“下载凭证”，保存新建用户的密钥和密码。 注意 安全凭证仅能下载一次，务必妥善保管。如果某一用户的密钥丢失，可以在该用户详情页，先对原密钥进行删除，然后通过“创建密钥”的方式重新获取新的密钥。如果密码丢失，需要有修改密码权限的用户在控制台进行对该用户密码重置。