本节主要介绍统计分析涉及的概念：直接流量互联网流量、直接流量非互联网流量、漫游流量互联网流量、漫游流量非互联网流量、删除容量。 统计分析指用户可以查询指定存储桶（Bucket）、指定数据位置的数据使用情况，根据统计分析数据，采取对应的措施。 直接流量互联网流量：从互联网上传下载文件，并且未经对象存储网络内部调度产生的流量。 直接流量非互联网流量：从非互联网（例如内网）上传下载文件，并且未经对象存储网络内部调度产生的流量。 漫游流量互联网流量：从互联网上传下载文件，并且经过对象存储网络内部调度产生的流量。 漫游流量非互联网流量：从非互联网（例如内网）上传下载文件，并且经过对象存储网络内部调度产生的流量。 删除容量：已删除文件的大小。

CC防护 业务正常运行时，建议采用“常规”防护模式。 由于CC防护的“紧急”防护模式可能产生一定量的误拦截，如果您的业务为App业务或Web API服务，不建议您开启“紧急”防护模式。如果使用CC安全防护的正常模式仍发现误拦截现象，建议您使用“精准访问控制”功能放行特定类型请求。 说明 业务接入WAF防护一段时间后（一般为23天），可以通过分析业务日志数据（例如，访问URL、单个IP访问QPS情况等）评估单个IP的请求QPS峰值，提前通过自定义CC防护策略配置限速策略，避免遭受攻击后的被动响应和临时策略配置。 BOT防护 当您的业务经常受到爬虫骚扰或面临数据泄露、被篡改的风险，针对防护需求，建议您为网站开启BOT防护功能。BOT防护设置支持公开类型、自定义会话策略两大类防护策略。 公开类型：云WAF提供已知公开的BOT大类，包括Web爬虫、扫描器、语言库等爬虫类型，用户可以根据自身需求对公开BOT类型设置防护状态及防护动作，WAF将对命中公开类型的BOT请求进行相应处理。 自定义会话策略：提供自定义协议特征、自定义会话特征两类防护策略，每种类型特征包含多个判定维度，用户可以根据实际业务情况设置协议特征规则状态、自定义会话策略，WAF将对命中防护策略的请求进行处理。

本节主要介绍怎么删除IAM用户。 选择需要删除的用户，点击“删除”，可以删除多个用户；或者点击对应用户“操作”列的“删除”，删除用户。 说明 删除用户时，会弹出对话框，确认是否删除选中用户。

添加标签 点击“添加标签”，填写标签键和标签值。标签值可为空，一个用户最多添加10个标签。 删除标签 选择需要删除的标签，点击“删除标签”，可以将多个标签删除；或者点击标签“操作”列的“删除”，可以将该标签删除。 编辑标签 点击标签“操作”列的“编辑”，可以修改标签值。

项目 描述 请求时间 事件发生的时间。 事件ID 由跟踪生成的用来唯一标识每个事件的ID。 事件源 处理请求的服务端。 如果是对象存储网络： OOS：ooscn.ctyunapi.com。 操作跟踪：ooscncloudtrail.ctyunapi.cn。 IAM：ooscniam.ctyunapi.cn。 统计API：ooscnmg.ctyunapi.cn。 自服务门户：ooscn.ctyun.cn。 如果是对象存储网络2： OOS：ooscn2.ctyunapi.com。 操作跟踪：ooscn2cloudtrail.ctyunapi.cn。 IAM：ooscn2iam.ctyunapi.cn。 统计API：ooscn2mg.ctyunapi.cn。 自服务门户：ooscn2.ctyun.cn。 用户 用户名。 资源类型 操作涉及的资源模块： OOS Bucket：存储桶。 CloudTrail：操作跟踪。 IAM User：IAM用户。 IAM Group：IAM用户组。 IAM Policy：IAM权限策略。 IAM AccessKey：IAM密钥。 IAM MfaDevice：IAM MFA。 ：事件对应资源类型的所有资源，或者不涉及。 源IP地址 用户发起请求的源IP地址。 访问密钥 用户发起操作使用的密钥ID： ：表示控制台访问。 请求ID 发送请求后，服务端返回的xamzrequestid响应。 事件名称 请求操作的名称。 操作类型 操作类型： 读操作。 写操作。 资源名称 操作访问的资源： ：表示事件对应的所有资源。 错误代码 产生的错误码： ：表示正确访问，无错误码。

服务限制 IAM中的用户、用户组等有限定的配额。 项目 限额 账户中的IAM用户数量 500 账户中可存在的自定义策略数量 150 账户中可存在的组数量 30 附加到IAM用户的策略数量 10 账户根用户的访问密钥数量 2 IAM用户的访问密钥数量 2 IAM用户可加入的用户组数量 10 附加到IAM用户的标签数量 10 附加到IAM组的策略数量 10

本节主要介绍怎么复制文件名称。 在“存储桶列表”页面，点击对应的存储桶，进入“文件列表”，在该页面，可以复制文件名。 当需要复制文件名称时，可以将鼠标放到需要复制的文件上，文件名称旁会出现一个复制按钮（），点击该按钮，即可复制该文件名称。

本节主要介绍怎么在控制台删除文件/文件夹。 通过控制台删除文件或文件夹有两种方式： 通过控制台手动删除：在“存储桶列表”页面，点击对应的存储桶，进入“文件列表”，在该页面，可以删除文件或文件夹。选择需要删除的文件或文件夹，点击“删除”。删除文件或文件夹时，需要用户的二次确认，防止误删。 说明 删除文件夹时，会弹出文件夹的删除状态。如果删除失败，会给出失败原因。 通过配置生命周期规则进行删除文件或文件夹，详见生命周期。

名称 描述 文件名称 要分享的文件名称。 过期时间（天） 设置的过期时间。 取值：[1, 9999999]，单位是天。如果不填写，默认分享链接15分钟过期。 限制下载速度 是否开启下载速度限制。 下载速度（KiB/s） 下载速度限制。 取值：[1, 2147483647]，单位是KiB/s。 限制下载并发数 是否开启下载并发数限制。 下载并发数 下载并发数。 取值：[1，2147483647]。 链接 文件的共享链接。

本节主要介绍查看文件的详细信息。 在“存储桶列表”页面，点击对应的存储桶，进入“文件列表”。点击具体的文件，可以查看文件的详细信息。 名称 描述 文件概览 可以查看下列信息： 存储区域：文件存储的数据位置。 文件名。 上次修改时间：文件最近一次的修改时间。 文件URI：文件具体的URI。 大小：文件的大小。 存储类型 文件的存储类型： 标准存储。 低频访问存储。 说明 点击“了解更多”，可以了解存储类型更多信息。 元数据 文件的具体元数据信息。详细参见管理文件元数据。

清单结果文件 存储桶清单配置后，清单结果文件会按指定的周期输出，按下列目录结构输出： destbucket └──destinationprefix └──srcbucket └──inventoryid ├──YYYYMMDDTHHMMZ │ ├──manifest.json │ └──manifest.checksum └──data └──UUID.csv.gz 名称 描述 :: destbucket 该目录为清单的目标存储桶，清单结果将存储在此存储桶。 destinationprefix 该目录为清单结果的存储路径前缀。如果清单规则配置的时候未指定该前缀，则省略该目录。 srcbucket 该目录为源存储桶，即配置清单的存储桶。 inventoryid 该目录为清单名称。 YYYYMMDDTHHMMZ 该目录为开始扫描源存储桶的时间，格林威治时间戳，如20230824T1600Z。该目录下包含了manifest.json和manifest.checksum文件。 manifest.json 提供了有关清单的元数据和其他基本信息，其中包含清单结果压缩文件的MD5值，待清单结果文件生成后，才会生成汇总清单结果文件的manifest文件。 manifest.checksum 包含manifest.json文件MD5值的文件。 data 该目录下存放了清单结果文件，清单结果文件格式为使用GZIP压缩的CSV文件。 注意 当源存储桶中文件数量较多时，为方便用户下载和处理数据，程序会自动将清单文件切分成多个CSV压缩文件。CSV压缩文件按照uuid.csv.gz、uuid1.csv.gz、uuid2.csv.gz的顺序依次递增。您可以从manifest.json文件中获取CSV文件列表，然后按照以上顺序依次解压CSV文件并读取清单数据。每个文件只会出现在一个清单结果文件中。 UUID.csv.gz 清单结果文件，存储在data文件夹中，包含清单功能导出的文件信息。报告以.csv.gz的格式进行存储，可能存在多个清单结果文件，每生成一个，就在data目录下新增一个文件。 manifest.json：提供了有关清单的元数据和其他基本信息。示例如下： { "destinationBucket": "testbucket1", "fileSchema": "Bucket, Key, Size, StorageClass, LastModifiedDate, ETag, IsMultipartUploaded", "creationTimestamp": "1692856559088", "files": [ { "MD5checksum": "3970e82605c7d109bb348fc94e9eecc0", "size": 20, "key": "abc/testbucket2/bucketempty/data/8b87dce026a54377ab6370e484764ba5.csv.gz" } ], "sourceBucket": "testbucket2", "version": "20230830", "fileFormat": "CSV" } manifest.json描述 名称 描述 :: destinationBucket 存放清单结果的目标存储桶。 fileSchema 清单结果包含的字段： Bucket：清单文件所在的存储桶。 Key：清单文件名称。 Size：文件大小。 StorageClass：文件存储的类型。 LastModifiedDate：文件最后一次修改日期。 ETag：文件的ETag值。 IsMultipartUploaded：文件是否通过分片上传生成。如果是，则该字段值为TRUE，否则为FALSE。 说明 用户在“清单内容可选信息”配置了Size、StorageClass、LastModifiedDate、ETag、IsMultipartUploaded，fileSchema中才会出现对应字段。 creationTimestamp 扫描源存储桶的时间，UNIX时间戳，精确到毫秒。 files 清单结果文件的内容： MD5checksum：清单结果文件的MD5。 size：清单结果文件的大小，单位字节。 key：清单结果文件的名称，格式为：destinationprefix /srcbucket/inventoryid /data/文件名，用户配置了destinationprefix ，destinationprefix 才会出现在路径中。 sourceBucket 源存储桶，即配置清单规则的存储桶。 version 清单版本号，值为20230830。 fileFormat 清单结果文件格式。 清单结果输出内容如下例所示，该例为“清单内容可选信息”中选择了所有可选信息输出的示例： 清单结果从左到右字段分别是： 字段名称 描述 :: Bucket 清单文件所在的存储桶。 Key 清单文件名称 文件名称使用URL编码，需要用户自行解码查看。 Size 文件大小。 StorageClass 文件存储的类型： Standard：标准存储。 StandardIA：低频访问存储。 LastModifiedDate 文件最后一次修改日期。 ETag 文件的ETag值。 文件创建的时会生成一个ETag值，用于标识Object的内容。 IsMultipartUploaded 文件是否通过分片上传生成： TRUE：通过分片上传。 FALSE：不是通过分片上传。

本节主要介绍合规保留功能。 在“存储桶列表”页面点击“属性”>“合规保留”，进入“合规保留”页面。在该页面，可以添加合规保留规则，为存储桶开启合规保留功能。合规保留开启后，对存储桶（Bucket）内的所有文件生效。 项目 描述 :: 规则类型 项目类型为合规保留。 适用范围 合规保留规则的适用范围，目前为整个存储桶。 规则 合规保留的天数。 状态 合规保留规则的启用状态： 启用。 禁用。 操作 可以对合规保留规则进行操作。未启用前，可以对规则进行启用、编辑和删除。启用后只能对规则进行编辑，设置合规保留时长大于或等于上次设置的时长，才能生效。 注意 启用存储桶合规保留功能后，任何用户（包括根用户）都不能对此存储桶内处于合规保留期的文件进行修改和删除。 可以按照下列步骤启用合规保留规则： 1. 点击“添加规则”，添加合规保留。如果已经添加了合规保留且未启用，可以点击“操作”列的“编辑”，进行修改，如果不修改，直接跳到步骤3启用合规保留。 2. 输入保留周期，点击“确认”后，会进行二次确认，是否要创建合规保留。 3. 点击“确认”后，合规保留规则创建成功。 说明 合规保留创建后，默认是禁用状态，需要用户启用后，才能生效。合规保留未启用时，可以对合规保留时长进行编辑。 4. 点击“启用”后，输入启用合规保留的存储桶名称，为该存储桶启用合规保留。 5. 点击“确认”后，合规保留启用成功。 注意 合规保留一旦启用，不能关闭，不能缩短合规保留时长，但可以通过编辑延长合规保留时长。 合规保留的时间精确到秒，例如对Bucket A设置合规保留时长为10天，文件A属于Bucket A，A的最后更新时间为201931 12:00:00，该文件会在2019311 12:00:01过合规保留期。 任何用户（包括根用户）都不能修改、覆盖、删除处于合规保留期的文件。 处于合规保留期的文件，无法通过调用API、控制台修改文件的存储类型，只能通过生命周期修改存储类型。 处于合规保留期的文件，如果设置了生命周期规则，则修改存储类型的生命周期规则可以生效，设置删除操作的生命周期规则需过了合规保留期后才能生效。

本节简要介绍文件（Object）信息。 用户存储在OOS上的每个文件都是一个Object，也被称为OOS的文件。文件可以是文本、图片、音频、视频或者网页。OOS支持的单个文件的大小从1字节到5T字节。用户可以上传、下载、删除和共享文件，还可以对文件的组织形式进行管理，将文件（Object）移动或者复制到目标目录下。 文件包含以下信息： Key：文件名称。 Data：存储的文件数据内容。 MetaData：文件元数据，表示文件的一些属性信息，如文件的最后一次修改的时间、文件大小等信息。 说明 在存储桶（Bucket）中可以创建文件夹，这里的文件夹并不是文件系统中文件夹的概念。为了方便用户进行数据管理，OOS提供了一种模拟文件夹。实际上OOS内部是通过在文件（Object）名称中增加“/”，将该文件（Object）在控制台上模拟成一个文件夹的形式展现。例如在OOS的某一存储桶中创建名为A的文件夹，待上传的文件为B.txt，将B.txt上传到A内，则文件名称（Key值）为：A/B.txt。

本节主要介绍日志功能。 在“存储桶列表”页面点击“属性”>“日志”，进入“日志”页面。在该页面，用户可以为存储桶配置日志功能。 日志功能可以帮助您记录所有操作记录， 您可以选择“启用”或“禁用”用户日志功能，同时还可以通过设置目标存储桶和路径来指定日志的存储位置。日志记录的格式，请参见API参考HTTP REST（OOS API）关于Bucket的操作PUT Bucket Logging。 项目 描述 : 日志类型 日志类型为本地日志。 状态 是否启用日志功能记录对该存储桶的所有操作： 启用。 禁用。 前缀 日志的前缀名称。 目标存储桶 日志存储的目标存储桶，可以根据下拉框进行选择目标存储桶。

本节主要介绍存储桶的安全策略。 安全策略定义OOS资源的访问权限，作用于所配置的存储桶及存储桶内文件（Object）。OOS存储桶拥有者通过安全策略可为IAM用户或其他帐号授权存储桶及存储桶内文件的操作权限，具体包括： 允许/拒绝Bucket级别的权限。 允许/拒绝Object级别的权限。 存储桶的安全策略是由效果、被授权用户、资源、动作和条件5个桶策略基本元素共同决定，详细的Bucket Policy格式请参见Bucket Policy元素。 说明 如果存储桶（Bucket）的属性为私有或者公共读，配置允许任何用户可以向该Bucket写文件的策略时，需要联系天翼云客服评估审核后开通此功能。 在“存储桶列表”页面点击“属性”>“安全策略”，进入“安全策略”页面，在该页面点击“编辑策略”，可以添加Bucket Policy。 Policy示例如下： Referer设置（防盗链设置） 如果要配置名称为"examplebucket"的Bucket的访问策略，只允许Referer头为以“ { "Version":"20121017", "Id":"", "Statement":[ { "Sid":"", "Effect":"Allow", "Principal":{ "CTYUN": [""] }, "Action":"oos:GetObject", "Resource":"arn:ctyun:oos:::examplebucket/", "Condition":{ "StringLike":{ "ctyun:Referer":[ " " ] } } } ] } IP设置 如果只允许IP地址在192.168.143.0/24范围内的IP访问存储桶examplebucket，不允许IP地址192.168.143.188/32访问，那么可以采用如下的配置方式。 { "Version": "20121017", "Id": "OOSPolicyId1", "Statement": [ { "Sid": "IPAllow", "Effect": "Allow", "Principal": { "CTYUN": "" }, "Action": "oos:GetObject", "Resource": "arn:ctyun:oos:::examplebucket/", "Condition" : { "IpAddress" : { "ctyun:SourceIp": "192.168.143.0/24" }, "NotIpAddress" : { "ctyun:SourceIp": "192.168.143.188/32" } } } ] }

项目 描述 时间选择 数据取回量查询的时间段，可以选择查看下列时间段的数据取回量： 今日。 昨日。 近7日。 近30日。 根据日历按钮，选择查询任意90天数据取回量。 数据位置 数据取回量查询的数据位置，可以选择： 全部数据位置：展示所有数据位置的数据取回量之和。 具体数据位置：根据显示的数据位置进行选择，查看对应数据位置的数据取回量。 存储桶 数据取回量查询的存储桶，可以选择： 全部存储桶：展示所有存储桶的数据取回量之和。 指定存储桶：根据显示的存储桶，选择查看对应存储桶的数据取回量。 存储类型 选择数据的存储类型： 全部存储类型：分别展示不同存储类型的数据取回量。 低频访问存储：低频访问存储的数据取回量。

项目 描述 时间选择 并发连接数查询的时间段，可以选择查看下列时间段的并发连接数： 今日。 昨日。 根据日历按钮，选择查询任意1天的并发连接数。 数据位置 并发连接数查询的数据位置，可以选择： 全部数据位置：展示所有数据位置的并发连接数之和。 具体数据位置：根据显示的数据位置进行选择，查看对应数据位置的并发连接数。 存储桶 并发连接数数查询的存储桶，可以选择： 全部存储桶：展示所有存储桶的并发连接数之和。 具体存储桶：根据显示的存储桶，选择查看对应存储桶的并发连接数。 连接类型 选择并发连接数的连接类型： 全部连接类型：包含互联网连接数和非互联网连接数。 互联网连接数。 非互联网连接数。

本节主要介绍删除量的统计信息。 进入“统计”页面，点击“删除量”，可以查看删除量的统计信息，包括标准类型的删除量、低频访问存储的删除量。 删除量的统计信息描述 项目 描述 :: 时间选择 删除量查询的时间段，可以选择查看下列时间段的删除量： 今日。 昨日。 近7日。 近30日。 根据日历按钮，选择查询任意90天内删除量。 时间粒度 删除量查询的时间粒度，可以选择： 按五分钟查询：统计信息按每5分钟展示，可以选择查询今日、昨日或按日历选择任意1天的数据。 按小时查询：统计信息按每小时展示，可以查询今日、昨日、近7日或按日历选择任意7天内的数据。 按天查询：统计信息按天展示，可以查询今日、昨日、近7日、近30天或按日历按钮选择任意90天内的数据。 数据位置 删除量查询的数据位置，可以选择： 全部数据位置：展示所有数据位置的删除量之和。 具体数据位置：根据显示的数据位置进行选择，查看对应数据位置的删除量。 存储桶 删除量查询的存储桶，可以选择： 全部存储桶：展示所有存储桶的删除量之和。 具体存储桶：根据显示的存储桶，选择查看对应存储桶的删除量。 存储类型 选择删除量查询的类型： 全部存储类型：分别展示标准存储和低频访问存储的删除量。 标准类型：标准存储的删除量。 低频访问存储：低频访问存储的删除量。 可以点击“下载”按钮，将统计信息下载到本地查看。 项目 描述 :: Date 统计时间。 StorageClass 存储类型，即产生删除量的存储类型。 DeleteStorageUsage(Bytes) 用户删除及生命周期删除产生的删除量，单位是Bytes。

本节主要介绍怎么通过控制台下载文件。 在“存储桶列表”页面，点击对应的存储桶，进入“文件列表”，在该页面，可以下载文件。 点击操作列的“下载”，可以下载单个文件。选中一个或者多个文件，点击上方导航的“下载”，可以批量下载文件。 注意 基于安全合规要求，禁止通过OOS默认域名以匿名或者URL签名方式下载后缀为apk、ipa的文件，在Header中包含签名或者通过自定义域名方式下载此类文件不受影响。

本节主要介绍怎么创建存储桶（Bucket）。 点击“存储桶列表”>“创建存储桶（Bucket）”，输入存储桶名称，并设置访问权限、数据位置、索引位置 、数据调度策略。 命名规范 存储桶（Bucket）的命名规范是： 存储桶名称必须全局唯一。 存储桶名称长度介于3到63字节之间。 存储桶名称可以由一个或者多个小节组成，小节之间用点（.）隔开，各个小节需要： 只能包含小写字母、数字和短横线（）。 必须以小写字母或者数字开始。 必须以小写字母或者数字结束;Bucket名称不能是IP地址形式（如192.162.0.1）。 存储桶名称不能是一组或多组“数字.数字”的组合。 存储桶名称中不能包含双点（..）、横线点（.）和点横线（.）。 不允许使用非法敏感字符，例如暴恐涉政相关信息等。 访问权限 对象存储系统提供Bucket级别的权限控制，Bucket目前有3种访问权限：私有、公共读、公共读写。各自的含义如下： 私有：只有根用户和具有相应权限的子用户可以对该存储桶内的文件进行读/写/删除操作（包括Get、Put和Delete Object），其他人（包括匿名访问）只有通过Bucket Policy授权或分享链接才可访问该存储桶内的文件。 公共读：只有根用户和具有相应权限的子用户可以对该存储桶内的文件进行写/删除操作（包括Put和Delete Object）。任何人（包括匿名访问）都可以对该存储桶内的文件进行读操作，这有可能造成您数据的外泄以及费用激增，请慎用该权限。 公共读写：任何人（包括匿名访问）都可以对该存储桶内的文件进行读/写/删除操作（包括Get、Put和Delete Object）。 注意 配置公共读写权限可能造成您数据的外泄以及费用激增，若被人恶意写入违法信息还可能会侵害您的合法权益，除特殊场景外，不建议您配置公共读写权限。 如果想使用访问权限为公共读写的存储桶，请联系天翼云客服评估审核后开通此功能。

本文汇总了WAF管理类常见问题。 若流量超过当前WAF实例版本支持的带宽峰值时有什么影响？ 如果用户将多个网站业务接入WAF实例进行保护，则必须保证所有网站业务的正常峰值带宽之和不超出WAF实例的业务带宽。 超出业务带宽限制，WAF会触发限流、随机丢包等动作，导致用户的网站业务在一定时间内出现卡顿、延迟，甚至不可用等，WAF的服务防护性能无法得到保障，各产品版本规格详情请参见产品规格。 多个域名对应同一源站，WAF可以防护这些域名吗？ 可以防护。 域名接入：WAF的防护对象是域名，如果多个域名使用了同一个源站对外提供服务，需要将多个域名都接入WAF实现所有域名的防护。 独享型接入：WAF的防护对象是域名或IP地址，如果多个域名使用了同一个源站对外提供服务，可以将多个域名都接入WAF实现所有域名的防护，或将网站IP接入WAF进行防护。 WAF支持防护IPv6地址吗？ 支持，WAF支持添加IPv6的源站地址。 接入WAF的域名需要备案吗？ 使用WAF前，请确保域名已在工信部备案，未备案域名将无法正常使用WAF。如何备案请参见新增备案。 说明 根据 《非经营性互联网信息服务备案管理办法》第五条规定：在中华人民共和国境内提供非经营性互联网信息服务，应当依法履行备案手续。未经备案，不得在中华人民共和国境内从事非经营性互联网信息服务。本办法所称在中华人民共和国境内提供非经营性互联网信息服务，是指在中华人民共和国境内的组织或个人利用通过互联网域名访问的网站或者利用仅能通过互联网IP地址访问的网站，提供非经营性互联网信息服务。第十九条规定：互联网接入服务提供者应当记录其接入的非经营性互联网信息服务提供者的备案信息。

计费项 计费项说明 存储空间（元/GiB/月） 按用户数据占用的存储空间量收取费用 公网流出流量（元/GiB） 按存储数据被调用或下载产生的公网流量收取费用 请求费用（元/万次） 按调用API各种请求的次数收取费用 数据取回（元/GiB） 按从对象存储服务端读取的数据量收取费用

本节主要介绍OOS与其他服务的关系。 云存储网关 用户可以使用云存储网关将本地数据上传到OOS，云存储网关通过标准 iSCSI 协议提供块存储服务，帮助用户将全量数据自动同步到OOS中，实现存储空间的弹性扩展。 CDN OOS提供低成本的存储，CDN可以将网站、视频和应用等文件内容分发至用户附近的节点，使用户可以快速和安全地获取所需内容。将数据存放在OOS中然后通过配置CDN加速，可以帮助降低存储成本，同时提高用户体验。

产品能力 简要说明 用户身份管理和访问控制（Identity and Access Management，简称IAM）是OOS为用户提供的用户身份与权限管理服务，您可以使用IAM创建、管理用户账号，并对这些账号进行权限分配，方便资源管理。 通过STS（Security Token Service）给第三方应用或用户授予一个自定义时效的临时访问凭证，无需透露用户自身的AK/SK。 通过Bucket访问权限控制，可以对Bucket设置访问权限，包括公共读写、公共读、私有。 通过Bucket Policy功能授权IAM用户或其他用户访问您的OOS资源，例如向特定用户授予访问权限，以及向匿名用户授予带特定IP条件限制的访问权限。 为了防止用户在OOS的数据被其他人盗链，OOS支持基于HTTP Header中表头字段Referer的防盗链方法，同时支持访问白名单和访问黑名单的设置。 跨域资源共享（CORS）是由W3C标准化组织提出的一种网络浏览器的规范机制，定义了一个域中加载的客户端Web应用程序与另一个域中的资源交互的方式。而在通常的网页请求中，由于同源安全策略（Same Origin Policy，SOP）的存在，不同域之间的网站脚本和内容是无法进行交互的。OOS支持CORS规范，允许跨域请求访问OOS中的资源。

本节主要介绍访问控制的功能特性、应用场景、涉及的基本概念（根用户、IAM用户、用户组、MFA、授权、策略）及服务限制。 用户身份管理和访问控制（Identity and Access Management，简称IAM）是OOS为用户提供的用户身份与权限管理服务，您可以使用IAM创建、管理用户账号，并对这些账号进行权限分配，方便资源管理。 您只需为您在天翼云账户中的资源付费，无需为IAM单独付费。 注意 OOS的IAM能力和天翼云官网的IAM能力不互通。 功能特性 只要您拥有一个天翼云账号，即可拥有IAM功能，天翼云账号管理员可以： 创建、管理子用户账号。 控制子用户账号内资源具有的操作权限。 按需为用户分配不同权限，从而避免与其他用户共享资源使用、访问密钥的使用等，降低账号的信息安全风险。 多重身份认证：通过多因子操作认证（MFA）,在进行IAM相关操作时，可以使用MFA，为操作增加一份安全保障。 应用场景 用户管理与分权 企业中有不同的员工，各自职责不同，权限不同。有的员工需要进行上传下载文件的操作，有的员工只需要查看统计信息，有的员工只需要查看日志信息。通过IAM，可以为不同的员工分配不同的操作权限。 基本概念 根用户 ：用户首次创建CTYUN账户时，最初使用的是一个对账户中所有服务和资源有完全访问权限的登录身份，此身份称为根用户。 IAM用户： IAM用户是OOS中的一个实体，该实体代表使用它与OOS进行交互的人员或应用程序，由CTYUN账户在OOS中创建的用户，也称为子用户。默认情况下，全新的IAM用户没有执行任何操作的权限，新用户无权执行任何OOS操作或访问任何OOS资源。 用户组 ：用户组是用户的集合，IAM可以将IAM用户添加到对应的用户组，通过对用户组进行授权管理IAM用户，用户组的权限会影响用户组内的IAM用户。建议具备相同权限的IAM用户添加到同一用户组，方便管理。同一个IAM用户可以同时加入多个用户组。 访问密钥（AK/SK） OOS通过访问密钥（AK/SK）认证方式进行认证鉴权，即使用AccessKeyID（AK）/SecretAccessKey（SK）加密的方法来验证某个请求发送者身份。 访问密钥包含两部分：访问密钥 ID（AccessKeyID）和秘密访问密钥（Secret Access Key）。必须同时使用访问密钥 ID 和秘密访问密钥对请求执行身份验证。 OOS支持使用永久AK/SK鉴权，也支持通过临时AK/SK和securitytoken进行认证鉴权，通过使用临时AK，SK和securitytoken，可以为第三方应用或IAM用户颁发一个自定义时效和权限的访问凭证，降低了帐号泄露带来的安全风险。 MFA ：多因子认证（MultiFactor Authentication，简称MFA）是一种简单安全的二次认证方式，为用户增加了一层安全保护。仅子用户支持MFA。 授权 ：通过给用户组和用户添加策略，用户就能获得策略中定义的权限，这一过程称为授权。 策略 ：策略是以JSON格式描述权限信息的集合，可以精确地描述被授权的资源集、操作集以及授权条件。支持系统策略和自定义策略： 系统策略：OOS预先创建好的策略，用户可以根据自身需求，直接引用。对于系统策略，用户只能使用，不能修改。 自定义策略：用户自己创建的策略，用户可以对该类型策略进行修改和删除。

本节主要介绍Bucket清单功能的概念。 通过OOS存储桶（Bucket）清单功能可以获取存储桶中指定文件（Object）的大小、存储类型等信息。相对于GET Bucket (List Objects)接口，存储桶清单可以按每天或者每周以CSV的形式输出指定文件的相关信息，且不会影响存储桶的请求速率。在需要列举海量文件的场景中，推荐使用存储桶清单功能。

本节主要介绍OOS合规保留功能。 OOS提供合规保留功能，即开启Bucket合规保留功能后，任何用户（包括根用户）都不能对此Bucket内处于合规保留期的文件进行修改和删除。 可以根据需求，对Bucket级别开启合规保留功能，以天（Days）或者以年（Years）为单位设置合规保留时长，1年365天。 注意 合规保留一旦开启，不能关闭，不能缩短合规保留时长，但可以延长合规保留时长。 合规保留的时间精确到秒，例如对Bucket A设置合规保留时长为10天，文件A1属于Bucket A，A1的最后更新时间为201931 12:00:00，该文件会在2019311 12:00:01过合规保留期。 任何用户（包括根用户）都不能修改、覆盖、删除处于合规保留期的文件。 处于合规保留期的文件，无法通过调用API、控制台修改文件的存储类型，只能通过设置的生命周期规则修改存储类型。 文件处于合规保留期：如果生命周期规则为修改文件存储类型，则生命周期规则可以生效；如果生命周期规则为到期删除文件，则文件必须过了合规保留期后，生命周期规则才能生效。

配置建议 如果您对自己的业务流量特征还不完全清楚，建议先切换到“观察”模式。一般情况下，建议您观察一至两周，然后根据攻击日志分析网站访问情况： 如果没有发现任何正常业务流量被拦截的记录，则可以切换到“拦截”模式启用正常防护。 如果发现攻击日志中存在正常业务流量被拦截的记录，建议调整防护等级或者设置规则白名单来避免正常业务的误拦截。配置流程详见规则白名单。 说明 业务操作方面应注意以下问题： 正常业务的HTTP请求中尽量不要直接传递原始的SQL语句、JAVA SCRIPT代码。 正常业务的URL尽量不要使用一些特殊的关键字（UPDATE、SET等）作为路径，例如：“www.ctyun.cn/abc/update/mod.php?set1”。 如果业务中需要上传文件，不建议直接通过Web方式上传超过50M的文件，建议使用对象存储服务或者其他方式上传。 防护效果 开启Web基础防护功能后，模拟常见命令注入攻击测试域名，WAF拦截了此条攻击，拦截效果如下： 同时，您可以在防护事件页面，查看攻击的防护日志。

风险名称 风险描述 WAF应对方案 相关文档 Web UI漏洞 Open WebUI 0.1.105版本存在文件上传漏洞，ComfyUI多个插件存在安全漏洞。部署大模型过程中，通常会使用大模型自带的WebUI组件，开源的Web UI组件以及老旧的版本，为大模型的部署和应用带来了巨大的入侵风险。 开启WAF的Web攻击防护功能，为Web UI提供必要的安全防护能力。 企业敏感信息泄露 企业利用私有数据进行数据训练时，私有数据可能包含商业敏感信息，存在数据泄露风险。 根据企业机密信息内容，通过WAF精准访问控制功能，对敏感信息进行检测拦截，保障企业数据安全。 大模型输入输出内容违规 私有化大模型输入输出内容可能涉及政治、赌博、色情、违法犯罪等违规内容，影响企业声誉。 通过WAF敏感信息防泄漏功能，自动屏蔽违规内容，保障企业声誉安全。 应用层CC攻击及API互联网暴露风险 由于多用户同时使用或单用户对大模型API接口的频繁调度导致大模型token被大量占用，服务器繁忙无法为用户提供正常服务；大模型API接口的暴露，会为用户的API接口带来安全风险。 采用WAF的CC防护限速功能，保证大模型连续可用性；建设API安全监测与分析能力，降低因API漏洞造成的安全风险。

本节主要介绍OOS的功能特性。 在使用OOS之前，建议您先了解存储桶（Bucket）、对象/文件（Object）、地域（Region）、访问域名（Endpoint）、对象存储网络其他区域及等基本概念，以便更好地使用OOS的功能。OOS主要提供以下功能： 功能名称 功能描述 各区域支持 功能名称 功能描述 对象存储网络区域 港澳台及海外 其他地域 存储类别 OOS提供了标准存储、低频访问型存储两种存储类别，满足不同场景下客户对存储性能和成本的不同诉求。 √ √ √ 存储桶管理 OOS提供创建、列举、查看、删除等基本功能，帮助您便捷的进行存储桶管理。 √ √ √ 文件管理 OOS提供上传、下载、复制、移动、删除、分享、列举、搜索、断点续传、多段操作等基本功能，满足您各个场景的文件管理需求。 √ √ √ 生命周期管理 OOS可针对某个存储桶下具体前缀或者所有文件设置删除或者转储规则。 √ √ √ 静态网站托管 您可以将静态网站文件上传至OOS存储桶中，并对存储桶赋予匿名用户可读权限，然后将该存储桶配置成静态网站托管模式，以实现在OOS上托管静态网站。 √ √ √ 跨域资源共享 跨域资源共享（CORS）是由W3C标准化组织提出的一种网络浏览器的规范机制，定义了一个域中加载的客户端Web应用程序与另一个域中的资源交互的方式。而在通常的网页请求中，由于同源安全策略（Same Origin Policy，SOP）的存在，不同域之间的网站脚本和内容是无法进行交互的。OOS支持CORS规范，允许跨域请求访问OOS中的资源。 √ √ √ 防盗链 为了防止用户在OOS的数据被其他人盗链，OOS支持基于HTTP Header中表头字段Referer的防盗链方法，同时支持访问白名单和访问黑名单的设置。 √ √ √ 日志 日志功能可以帮助您记录所有object级别的操作记录， 您可以通过控制台日志功能页面“开启”/“不开启”用户日志功能，同时还可以通过设置目标存储桶和路径来指定日志的存储位置。 √ √ √ 合规保留 OOS支持WORM特性，允许用户以“不可删除、不可篡改”方式保存和使用数据。 √ √ x 清单配置 通过OOS存储桶清单功能可以获取Bucket中指定文件（Object）的大小、存储类型等信息。相对于GET Bucket (List Objects)接口，存储桶清单可以按每天或者每周以CSV的形式输出指定文件的相关信息，且不会影响存储桶的请求速率。在需要列举海量文件的场景中，推荐使用存储桶清单功能。 √ √ x 访问权限控制 OOS支持灵活的授权、鉴权机制，您可以通过以下方式控制OOS资源的访问权限： ACL：通过访问控制列表（ACL）给存储空间和文件授予访问权限，包括公共读写、公共读、私有。 Bucket Policy：通过Bucket Policy功能授权其他用户访问您的OOS资源，例如向特定用户授予访问权限，以及向匿名用户授予带特定IP条件限制的访问权限。 IAM Policy：通过IAM Policy来控制存储空间和文件的访问权限。通过用户、用户组、策略的组合，实现精准的资源权限控制。 STS临时授权：通过STS（Security Token Service）给第三方应用或用户授予一个自定义时效的临时访问凭证。 √ √ x （IAM Policy和STS暂不支持） 数据位置选择 您可以按需选择存储桶中数据的存储位置，并且支持后期修改。 √ √ x 文件速率和连接数控制 OOS支持单链接限速功能，您可以使用单链接限速功能在上传、下载、拷贝文件时进行流量和并发连接数控制，以保证您其他应用的网络带宽。 √ √ √ 获取文件元数据信息 OOS支持仅获取文件的元数据信息，而不返回数据本身，有效提升响应速度。 √ √ √ 设置HTTP头 OOS支持设置文件的HTTP头，您可以通过设置HTTP头来自定义HTTP请求的策略。例如，缓存策略、文件强制下载策略等。 √ √ √ 图片处理 您可以使用图片处理功能对存放在OOS中的图片进行瘦身、剪切、缩放、增加水印、转换格式等操作，并且可以快速获取到处理后的图片。 √ √ √ 统计分析 OOS支持查询指定存储桶的使用情况、指定数据域的使用情况。用户可以根据统计分析数据，采取对应的措施。 √ √ x（不支持Bucket维度的统计） 操作跟踪 您可以通过操作跟踪记录OOS账户的管理事件，并将产生的跟踪日志保存到指定的OOS存储桶中持久存储。 √ √ x API访问 OOS提供了REST（Representational State Transfer）风格API，支持您通过HTTP/HTTPS请求调用，实现创建、修改、删除存储桶，上传、下载、删除文件等操作。 √ √ √ 控制台访问 OOS提供可视化控制台页面，方便用户使用。 √ √ √ 工具访问 OOS提供迁移工具以及支持第三方工具（S3Browser、S3cmd等），满足不同场景下数据迁移和数据管理需求。 √ √ √ SDK访问 OOS提供多种开发语言的SDK，帮助您轻松实现二次开发。目前支持：Java、Python、C、JS、Android、IOS、PHP、Go。 √ √ √（不支持PHP和Go）

匹配字段 适用的逻辑符 字段描述 请求参数值 包含、相等、正则匹配 请求的参数value，包括query和form，如/?p123中的123 请求参数名 包含、相等、正则匹配 请求的参数key，包括query和form，如/?p123中的p Cookie 包含、相等、正则匹配、统计次数、统计个数 请求的Cookie值 请求路径 包含、相等、正则匹配、统计次数、统计个数 请求的路径，不包含域名和参数，未解码 请求URI 包含、相等、正则匹配、统计次数、统计个数 请求的URI，带参数 请求头值 包含、相等、正则匹配 请求header的值 请求头名 包含、相等、正则匹配 请求header的名字 请求方法 包含、相等、正则匹配、统计次数、统计个数 请求方法 请求大小 大于等于、小于等于 请求的大小 请求Host 包含、相等、正则匹配、统计次数、统计个数 请求Host头的值 请求referer 头 包含、相等、正则匹配、统计次数、统计个数 请求referer头的值 请求UserAgent 包含、相等、正则匹配、统计次数、统计个数 请求UserAgent 请求体 包含、相等、正则匹配、统计次数 请求体 请求端口 相等、统计次数、统计个数 请求的端口 源IP 属于、不属于 请求来源IP

本文用图文的形式介绍Web应用防火墙