天翼云CDN加速，是基于天翼云遍布全球的网络节点提供的内容分发加速服务。它将源站内容分发至最接近用户的节点，使用户可就近获取所需内容，解决因跨运营商、跨地域、服务器带宽及性能瓶颈带来的访问延迟问题，提高用户访问的响应速度和成功率。适用于加速网页站点、文件下载、视频点播等场景。本文档提供CDN加速产品的API描述、语法、参数说明及示例等内容。

本文介绍边缘安全加速平台终端管理套餐版本的情况。 产品介绍 通过整合防病毒、漏洞修复、软件与外设管控、AI安全检测等能力，依托智能中台实现统一策略管理，精准解决资产不可视、风险难追溯、处置效率低等核心痛点，打破安全与业务效率的对立僵局，成为企业数字化转型的一站式终端安全防护与提效平台。 套餐和版本概述 天翼云边缘安全加速平台终端管理支持包年包月计费模式。目前终端管理已支持：基础版、企业版。 适用的业务规模 下表描述了“终端管理基础版”和“终端管理企业版”适用的业务规模与价格。零信任服务与终端管理可联动服务，零信任服务企业版本默认包含终端管理基础版功能。 注意 终端管理授权（端点数）按照设备的维度去使用和扣除，在设备接入企业时扣除授权。 举例，如果企业有100台设备需要进行终端管理，则这100台设备将占用100个终端管理授权。 设备范围包括：Windows系统、macOS系统、信创系统（麒麟/统信）。 业务规格 终端管理基础版 终端管理企业版 价格 10元/个/月 25元/个/月 版本功能列表 下表描述了主要功能模块在不同套餐中的支持情况。 注意 部分功能可能有最低AOne客户端版本号限制，客户端版本号限制详情见各个功能页面。 √：表示在当前版本中支持。 ×：表示在当前版本中不支持。 功能模块 一级能力 二级能力 终端管理基础版 终端管理企业版 总览 终端态势大屏 终端监测管控 × √ 终端安全态势 × √ 安全防护 病毒查杀 病毒查杀 √ √ 病毒库更新 √ √ 黑白名单 √ √ 实时防护 文件实时防护 √ √ U盘防护 √ √ 局域网共享防护 ×（限时免费） √ 多引擎查杀 多引擎查杀 × √ 漏洞补丁 漏洞修复 √ √ 补丁管理 √ √ 周期扫描/下发扫描 √ √ AI安全检测 AI 应用发现 × √ AI 应用管控 × √ AI应用漏洞检测 × √ 威胁检测与响应 高级威胁检测 × √ 勒索专项防护 × √ 网络攻击防护 × √ 防钓鱼 IM防钓鱼 ×（限时免费） √ 邮件防钓鱼 ×（限时免费） √ IT管理 外设管控 U盘管控 √ √ 便携设备管控 √ √ 外设白名单 √ √ 办公净化 广告弹窗拦截 √（限时免费） √ 问题软件防护 √（限时免费） √ 软件管理 软件分析 √ √ 软件管控 √ √ 风险软件 √ √ 正版管理 √ √ 上网管控 上网分析 √ √ 上网管控 √ √ 合规检测 合规检测 √ √ 其他服务 资产梳理 设备列表 √ √ 身份 用户与组织 √ √ 接入DeepSeek 满血版DeepSeek √ √ 自保护 防退出 √ √ 防卸载 √ √ 日志 终端登录日志 √ √ 平台操作日志 √ √

名称 描述 是否必须 StartTime 指定返回管理事件的起始时间。如果同时指定了起始时间和结束时间，则起始时间必须早于结束时间，否则将返回错误信息。 类型：时间戳 取值：unix时间戳（UTC），精确到毫秒。默认起始时间为距当前时间往前数的第184天。 如果起始时间晚于结束时间，会报错。 如果起始时间是早于当前时间184天之前的时间，则返回数据的起始时间为距当前时间往前数的第184天。 否 EndTime 指定返回管理事件的结束时间。如果同时指定了起始时间和结束时间，则起始时间必须早于结束时间，否则将返回错误信息。 类型：时间戳 取值：unix时间戳（UTC），精确到毫秒。默认结束时间为目前时间。 如果StartTime和EndTime都为早于当前时间184天前的时间，则返回距当前时间往前数的第184天那天的数据。 否 LookupAttributes 指定管理事件的查询属性。 类型：数组 取值：Attributekey和AttributeValue成对出现。 否 AttributeKey 指定查询管理事件的属性Key。 注意 如果指定AttributeKey，每次只能指定一个AttributeKey，且取值唯一。 类型：字符串 取值： EventId。 EventName。 ReadOnly。 UserName。 ResourceType。 ResourceName。 EventSource。 AccessKeyId。 否 AttributeValue 指定AttributeKey对应的值。 类型：字符串 取值：根据AttributeKey确定。其中ResourceName根据前缀匹配查询，区分大小写；EventId、UserName、EventName、ResourceType、EventSource、AccessKeyId全字匹配查询，并且区分大小写。 否 MaxResults 设置响应中最多返回的条数。如果存在超出您指定的返回项，响应结果中会返回NextToken的值。 类型：整数类型 取值：150，默认值为50。 否 NextToken 分页标识。还有需要返回的管理事件时，上条响应结果中会返回该参数。查看未显示项时，请求参数中需要携带此参数。 类型：字符串 取值：与上条响应结果中的参数值一样。 否

此小节介绍数据库审计的部署架构。 天翼云数据库审计架构图 天翼云数据库审计从产品部署架构可以自下而上分为数据采集、协议解析、风险识别、数据存储四个部分，在管理控制侧分成日志查询、仪表盘与报表、数据开发和分布式统一管理。 数据采集层的功能是接入需要审计的流量信息，并对流量二三层网络协议和TCP层协议进行解析，提取IP、端口等信息，并根据过滤规则去除不需要进行审计的流量。 协议解析层的功能是按照各种不同数据库的传输协议解析数据包中包含的有效信息，提取出数据库名称、SQL语句、客户端工具等信息，天翼云数据库审计在协议解析领域已积累十三年的解析经验，对数据库协议有着较深的理解，对协议的解析精确且全面。 风险识别功能将解析出来的SQL语句和安全规则进行匹配，以此来发现SQL语句中存在的可疑风险；规则匹配是采用基于DFA状态机的AC算法，该算法实现多条安全规则只需进行一次匹配，实现了高效的规则匹配。如果规则匹配的过程中没有发现风险，那么需要将SQL预计进行字段标准化形成一条审计日志，如果发现了风险，还会根据风险级别相应的产生一条标准化的告警日志，为了达到审计日志和告警日志可回溯，需要将日志进行存储，此时入库程序就会将产生的日志存储到磁盘当中。 当需要查询审计日志和风险日志时，天翼云数据库审计的数据输出模块提供了Web端查询功能，并可将这些日志信息通过Syslog、Kafka等方式发送到第三方平台。同时天翼云数据库审计的系统管理模块提供丰富的管理功能，包括了规则管理、软件升级等功能。

本节主要介绍分布式消息服务Kafka的退订说明 如果您有退订的需求，可以进行登录天翼云管理中心或产品控制台进行退订操作。天翼云目前支持7天无理由全额退订和非七天无理由退订以及其他退订，详细规则请参考文档费用中心退订。

功能 功能说明 产品识别并针对不同性质的事件生成相应的消息通知。例如，套餐用量使用方面，当短信使用出现超量事件时，系统会自动生成对应的通知消息，消息通知需要由客户进行设定通知的方式、通知对象以便更及时的进行消息传递。 为了实现高效、稳定的通知服务，产品除了自身携带的通知网关后，还支持接入多种网关，比如阿里云短信服务网关。

参数 参数类型 说明 示例 下级对象 protocol String 服务网格协议 name String 服务网格服务名称 port Integer 服务网格服务端口

本文主要介绍算力网关侧的裸金属挂载至天翼云4.0侧的负载均衡实例。 操作步骤 一、 前提 开通前需联系后台运营人员，放通天翼云4.0侧ELB挂载算力网关侧裸金属实例的能力。 二、 启用ELB所关联的VPC上挂载远端IP的功能 选择天翼云4.0侧的弹性负载均衡器下的高级功能，选择ELB所关联的VPC旁的“开启”。功能启用后，对应VPC绑定的ELB主机组中添加主机的时候，可添加远端的IP（算力网关侧）。 三、 创建ELB实例 在天翼云4.0侧控制台，创建ELB实例。 说明： 所属VPC：选择先前已创建的VPC子网。 网络类型：选择外网。 弹性IP：选择先前已购的EIP或点击跳转新建。 四、 ELB实例配置监听器 1. 点击ELB实例进入详情页面，选择“监听器”标签页。 2. 点击“添加监听器”按钮，进入创建监听器的页面。 说明： 后端主机组名称：填入后端主机组名称，名称无特殊规则，监听器创建的同时自动创建一个空的后端主机组。

本文介绍如何退订全站加速服务或停止计费。 全站加速资源包退订 用户可根据需要，在符合天翼云退订规则的前提下，灵活退订资源。只要流量包用量未用尽或者有效期未到期，均可按照天翼云的退订规则完成退订操作。 详情参见：资源包退订。 全站加速按量计费退订 全站加速按量计费的退订流程，可以登录天翼云管理中心进行退订操作。 详见参见：退订全站加速服务。 停止计费 若没有添加全站加速的域名，则不会产生计费。 若已添加了全站加速的域名，那么可以删除已有的加速域名，即可停止全站加速服务，也就不会产生费用。如何删除全站加速域名，详见：如何关闭加速服务。

信息字段 说明 是否可修改 用户名 DMS用户显示名。 是 用户角色 显示DMS用户角色名称，当前版本系统角色包括普通用户、运维管理员、审计管理员、配置管理员、系统管理员，超级管理员六种，其中运维管理员、审计管理员、配置管理员、系统管理员为企业版系统角色。 否 手机号码 显示用户在天翼云登记的手机号码。 否 邮箱 显示用户在天翼云登记的电子邮箱地址。 否 当前组织 显示用户所在当前组织。 否

Web防护版本说明 版本 免费版 基础版 高级版 企业版 旗舰版 适用场景 适用于小型网站、个人网站，有流量安全检测需求。 适用于小型网站流量安全防护需求。 适用于中小型网站的标准防护。 适用于中型企业级网站或服务对互联网公众开放，有较高标准的安全需求。 适用于中大型企业网站，具备较大的业务规模，或是具有特殊定制的安全需求。 流量/带宽 订购流量或者带宽 订购流量或者带宽 订购流量或者带宽 订购流量或者带宽 订购流量或者带宽 动态请求数 订购动态请求数 订购动态请求数 订购动态请求数 订购动态请求数 订购动态请求数 支持主域名个数 1 1 1 1 1 支持总域名个数（包括主域名和其下的子域名） 1 10 10 10 10 下表描述了主要功能模块在不同套餐中的支持情况。 √：表示在当前版本中支持。 ×：表示在当前版本中不支持。 分类 功能模块 描述 免费版 基础版 高级版 企业版 旗舰版 业务接入 泛域名防护 支持接入泛域名。 √ √ √ √ √ 业务接入 静态加速 支持将静态资源缓存到边缘节点，达到加速效果。 √ √ √ √ √ 业务接入 动态加速 支持动态资源采用最优链路回源。 × √ √ √ √ 业务接入 WebSockets 支持WebSockets协议 付费支持 付费支持 付费支持 付费支持 付费支持 业务接入 quic协议 支持quic协议 × × √ √ √ 业务接入 HTTPS防护 支持HTTPS防护。 √ √ √ √ √ 业务接入 IPv6 访问 支持对IPv6访问流量安全检测与防护。 √ √ √ √ √ 业务接入 IPv6 外链改造 提高网站链接的IPv6支持度，解决IPv6天窗问题。 × √ √ √ √ 业务接入 IPv6支持度检测 支持检测网站IPv6链接支持度，并输出分析结果与检测报告。 1 10 20 30 40 业务接入 非标准端口防护 支持防护80、443以外的非标准端口上的业务。 × × √ √ √ 业务接入 HTTP2防护 支持防护使用HTTP/2协议的网站。 √ √ √ √ √ 业务接入 回源IP管理 为了防止攻击者获取您的源站IP直接攻击源站，您可以设置源站服务器的访问控制策略，只放行边缘云节点回源IP段的入方向流量。 × √ √ √ √ 基础安全防护 DDoS防护 主动防御网络层DDoS攻击。 付费支持 付费支持 付费支持 付费支持 付费支持 基础安全防护 自定义防护界面 支持用户自定义响应给客户端的拦截界面。 × × √ √ √ 基础安全防护 规则防护引擎 支持防护常见的Web攻击。 √，（仅支持监测） √ √ √ √ 基础安全防护 自定义规则 支持自定义web防护规则。 × 10条规则/域名 20条规则/域名 50条规则/域名 200条规则/域名 基础安全防护 AI防护引擎 智能AI识别攻击和误拦截。 × × × × √ 基础安全防护 访问控制 支持基于基础字段和高级字段进行组合，设置白名单和黑名单。 5条/域名 10条/域名 20条/域名 50条/域名 100条/域名 基础安全防护 频率控制 支持基于基础字段和高级字段进行组合，设置访问频率。 5条/域名 10条/域名 20条/域名 50条/域名 100条/域名 基础安全防护 合规性检测 支持对HTTP请求信息中的方法以及参数长度等信息进行检测。 √ √ √ √ √ 基础安全防护 CC防护 支持防护常见的CC攻击，支持阈值和永久模式。 √，（默认策略） √，（默认策略 √ √ √ 基础安全防护 0Day 漏洞虚拟补丁 自定更新0day漏洞攻击防护规则。 × √ √ √ √ 基础安全防护 扫描防护 支持常见扫描工具封禁。 × √ √ √ √ 高级安全防护 网页防篡改 支持锁定网站页面，防止源站页面内容被恶意篡改带来的影响。 × √ √ √ √ 高级安全防护 防敏感信息泄露 支持防止网站敏感信息泄露（银行卡、身份证、手机号、邮箱）。 × √ √ √ √ 高级安全防护 Cookie防护 支持Cookie加密和Cookie签名。 × × √ √ √ 高级安全防护 广告防护 实现广告防护和监测功能。 × × √ √ √ 高级安全防护 账户安全 支持防护暴力破解、批量注册。 × × √ √ √ 高级安全防护 攻击挑战 支持识别反复攻击客户端IP，并且封禁 × √ √ √ √ 高级安全防护 大数据深度学习引擎 基于网站访问流量深度学习，自动生成防护策略。 × × × × √ 高级安全防护 验证码 为网页、小程序开发者提供全面的人机验证，适用于登录注册、电商大促、数据保护等场景。 × × √ √ √ 高级安全防护 Bot管理 缓解大量针对网站的爬取和异常注册登录行为。 付费支持 付费支持 付费支持 付费支持 付费支持 高级安全防护 API安全 支持对已接入WAF的API资产进行全面安全防护。 付费支持 付费支持 付费支持 付费支持 付费支持 网站风险监测 漏洞扫描 支持远程扫描Web漏洞和按照国际权威安全机构WASC分类的25种Web应用漏洞，全面覆盖OWASP Top 10 Web应用风险。 1/域名/次/月 1/域名/次/月 2/域名/次/月 3/域名/次/月 4/域名/次/月 网站风险监测 安全事件监测 支持监测网页中挂马及黑链的恶意代码，网页是否被非法篡改 × 任务数：1/个/域名 最小监测周期：24小时 任务数：1/个/域名 最小监测周期：12小时 任务数：1/个/域名 最小监测周期：6小时 任务数：1/个/域名 最小监测周期：3小时 网站风险监测 内容安全监测 支持监测网站文字和图片是否包含涉黄、涉毒、涉政、赌博、暴恐、邪教等敏感内容。 × 文本敏感词检测任务数：1/个/域名 最小监测周期：24小时 任务数：1/个/域名 最小监测周期：12小时 任务数：1/个/域名 最小监测周期：6小时 任务数：1/个/域名 最小监测周期：3小时 网站风险监测 DNS监测 多线路远程实时监测目标站点在多种网络协议下的响应速度、可访问性等反映网站性能状况的内容 × 任务数：1/个/域名 最小监测周期：60分钟 任务数：1/个/域名 最小监测周期：30分钟 任务数：1/个/域名 最小监测周期：10分钟 任务数：1/个/域名 最小监测周期：5分钟 网站风险监测 可用性监测 支持实时监测各地主流ISP的DNS缓存服务器和用户DNS授权服务器的解析过程及结果。 × 任务数：1/个/域名 最小监测周期：60分钟 任务数：1/个/域名 最小监测周期：30分钟 任务数：1/个/域名 最小监测周期：10分钟 任务数：1/个/域名 最小监测周期：5分钟 产品服务 日志服务 提供攻击日志、业务日志。 √ √ √ √ √ 产品服务 安全报表 提供Web攻击、CC攻击报表。 15天 31天 92天 180天 180天 产品服务 监控告警 支持自定义监控告警。 √ √ √ √ √ 产品服务 安全VIP服务 提供专业安全专家主动运营服务，持续深入定制整体防护方案。 付费支持 付费支持 付费支持 付费支持 付费支持 产品服务 态势感知大屏 提供数据大屏服务，让安全攻防状态一目了然。 付费支持 付费支持 付费支持 付费支持 付费支持

对比项 标准存储 低频存储 归档存储 存储成本 中等 较低 非常低 访问频率 高 低 非常低 数据可用性 高 高 低 数据访问延迟 低 较高 高 最小存储期限 无 30天 90天 数据安全性 高 高 高 数据存储用途 经常访问的数据 低频访问的数据 长期存档和备份 适用场景 实时数据、热门内容 冷数据、备份和归档 长期存储、合规性要求高的数据

参数 是否必填 参数类型 说明 示例 下级对象 RecordType 是 Integer 录制类型。取值：1：全天录制；2：循环定时录制；3：指定时间录制；5：手动录制。 1 StorageTime 是 Integer 存储时长，单位秒，最小不少于30天。例：2592000表示30天。 2592000 WeekTimeSections 否 Array of Objects 定时录制的时间段，当RecordType为2时，该字段必选。 WeekTimeSection SpecTimeSections 否 Array of Objects 指定时间录制的时间段，当RecordType为3时，该字段必选。 SpecTimeSection

参数 是否必填 参数类型 说明 示例 下级对象 RecordType 是 Integer 录制类型。取值：1：全天录制；2：循环定时录制；3：指定时间录制；5：手动录制。 1 StorageTime 是 Integer 存储时长，单位秒，最小不少于30天。例：2592000表示30天。 2592000 WeekTimeSections 否 Array of Objects 循环定时录制的时间段，当RecordType为2时，该字段必选。 WeekTimeSection SpecTimeSections 否 Array of Objects 指定时间录制的时间段，当RecordType为3时，该字段必选。 SpecTimeSection

参数名 说明 生效日期 调度任务的生效日期。 调度周期 选择调度任务的执行周期，并配置相关参数。 分钟 小时 天 周 说明 调度周期选择分钟/小时，需配置调度的开始时间、间隔时间和结束时间。 调度周期选择天，需要配置调度时间，即确定了调度任务于每天的几时几分启用。 调度周期选择周，需要配置生效时间和调度时间，即确定了调度任务于周几的几时几分启用。

本节将接入如何快速为日志设置告警模型。 操作场景 态势感知（专业版）支持将查询分析结果设置告警模型，并在满足条件时触发告警。 前提条件 已完成数据接入，详细操作请参见云服务接入。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计 > 安全数据”，进入安全分析页面。 5. 在左侧数据空间导航栏中，单击数据空间名称，展开数据管道列后，再单击管道名称，右侧将显示管道数据的检索页面。 6. 输入查询分析语句，设置时间范围，并单击“查询分析”，显示查询分析结果。 更多查询分析详细操作请参见查询与分析日志。 7. 单击页面右上角“添加告警”，进入新建告警模型页面。 8. 配置告警基础信息，参数说明如下表所示。 参数名称 参数说明 管道名称 该告警模型的执行管道，系统默认生成。 模型名称 自定义该条告警模型的名称。 严重程度 设置该告警模型的严重程度。可以设置致命、高危、中危、低危、提示级别。 告警类型 选择该条告警模型触发后，提示的告警类型。 模型类型 默认为规则模型。 描述 填写该告警模型的描述信息。 启用状态 设置该告警模型的启用状态。 此处设置的状态，可在整个告警模型设置成功后进行更改。 9. 设置完成后，单击页面右下角“下一步”，进入设置模型逻辑页面。 10. 设置模型逻辑，参数说明如下表所示。 参数名称 参数说明 查询规则 设置告警的查询规则，设置完成后可以单击“运行”，查看当前运行结果。 说明 如果筛留字段为text类型时，默认会使用MATCHQUERY进行分词查询。 查询计划 设置告警查询计划。 运行查询间隔：xx分钟/小时/天。 当运行查询间隔为分钟时，可设置为559分钟；当运行查询为小时时，可设置为123小时；当运行查询为天时，可设置为114天。 时间窗口：xx分钟/小时/天。 当时间窗口为分钟时，可设置为559分钟；当时间窗口为小时时，可设置为123小时；当时间窗口为天时，可设置为114天。 延迟执行时间：xx分钟，可以设置为05分钟。 告警扩充 自定义信息：自定义告警扩充信息。 单击“添加”，并设置key+value信息，完成新增。 告警详细信息：自定义填写告警名称、描述和处置建议。 触发条件 设置告警触发条件。可设置为：大于/等于/不等于/小于xx时，触发告警。 如有多条触发条件，可以单击“添加”按钮进行添加，最多可添加5个触发条件。 当设置了多个触发条件时，在日志数据扫描检测中，系统将按照从上到下的校验逻辑，如果有满足此处设置的触发条件被检测到时，系统都将展示不同类型的告警。 告警分组 配置将规则查询结果分组到告警的方式。可选择以下方式： 将所有查询结果分组到一个告警中 将每条查询结果独立触发告警 调试模式 设置是否生成调试类告警。 抑制 设置生产告警后是否停止运行查询。 如果设置为抑制，即生成告警后停止运行查询。 如果设置为不抑制，即生成告警后不停止运行查询。 11. 设置完成后，单击页面右下角“下一步”，进入模型详情预览页面。 12. 预览确认无误后，单击页面右下角“确定”。

天翼云公网NAT网关产品采用包年包月和按需计费两种方式订购，详细说明如下表所示： 包年包月： 产品规格 最大并发连接数 标准资费（元/月） ::: 小型 1万 306 中型 5万 586.5 大型 20万 1147.5 超大型 100万 2040 定制型 千万级 官网内测中，联系客户经理询价并开启白名单 按需计费： 产品规格 最大并发连接数 标准资费（元/天） ::: 小型 1万 12 中型 5万 23 大型 20万 45 超大型 100万 80 定制型 千万级 官网内测中，联系客户经理询价并开启白名单 注 ：1、中型，大型，超大型规格和按需计费仅部分资源池支持，具体支持资源池以购买页面展示为准。 2、公网NAT网关可支持千万级并发连接专属定制型实例，专属定制型实例1年起售，仅支持多可用区的资源池支持售卖，如需购买请联系客户经理。 3、一次性购买时长达到1年及以上享受资费85折优惠。 4、公网NAT网关按需计费按天计费出账，不满一天按一天计费。

IAM是一种基于用户的授权策略。通过设置IAM策略,您可以控制用户访问资源的权限。 IAM权限简介 如果您需要对您的对象存储（ZOS）资源进行精细的权限管理，您可以使用统一身份认证（Identity and Access Management，简称IAM）服务。IAM是一种基于用户的授权策略。通过设置IAM策略，您可以控制用户访问您名下哪些资源的权限，例如限制您的用户只拥有对某一个桶的读权限等。 如果当前的天翼云账号已经能满足您的要求，您可以跳过本章节，不需要创建独立的IAM用户，不影响您使用ZOS的其他功能。 默认情况下，天翼云主账号拥有对资源的完全控制权限，而主账号创建的IAM用户没有任何权限。主账号将IAM用户加入用户组，并给用户组授予策略或角色之后，IAM用户获得相应的权限，这一过程称为授权。授权后，IAM用户就可以基于被授予的权限对云服务进行操作。 使用场景 以下场景，您可以使用IAM进行权限控制。 对同一账号下的不同IAM用户授予相同权限。 对所有ZOS资源或者多个桶配置相同权限。 配置ZOS服务级别的权限，例如列举某一账号下的所有桶。 操作步骤 1. 创建用户组和授权 在IAM控制台创建用户组，并授予权限。 2. 创建IAM用户和登录 在IAM控制台创建用户，并将其加入上一步创建的用户组。 注意 由于权限策略同步存在一定的延迟，对用户组授予相关的权限后，可能需要等待5~10分钟权限才能生效，请您耐心等候。

1. 统一身份认证IAM介绍 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。 1.1 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，缩小不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 1.2 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素“Action”“Effect”等，更多信息，请参见“2.1.2 创建自定义策略“。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略: 系统策略 ：预置的系统策略，您只能使用不能修改。相关的系统策略包含如下： vpc Admin：弹性IP/共享流量包/IPv6服务的管理者权限，包含弹性IP/共享流量包所有控制权限（不含订单类权限）； vpc Viewer：弹性IP/共享流量包/IPv6服务的观察者权限，包含弹性IP/共享流量包服务的列表页与详情页面权限； 自定义策略 ：您按需自行创建和维护的权限策略，关于自定义策略的操作和示例，请参见“创建自定义策略“。

本章介绍函数工作流的监控信息说明。 FunctionGraph函数实现了与云监控服务的对接，用户无需任何配置，即可查询函数监控信息。 查看函数监控信息 FunctionGraph会统计函数的运行时指标，显示的指标是函数运行时活动的聚合视图。要查看不同函数版本的指标，可在查看指标前切换函数版本，查询不同版本对应的监控信息。 1. 登录函数工作流控制台，在左侧的导航栏选择“函数 > 函数列表”。 2. 选择待配置的函数，单击进入函数详情页。 3. 选择“监控 > 指标”，选择时间粒度（最近1天、最近3天、自定义），查看函数运行状态。 说明 可以查看的指标有：调用次数、错误次数、运行时间（包括最大运行时间、最小运行时间、平均运行时间）、被拒绝次数、资源统计。 指标说明 运行监控指标说明如下表所示。 监控指标说明表 指标 单位 说明 调用次数 次 函数总的调用请求数，包含了错误和被拒绝的调用。 异步调用在该请求实际被系统执行时才开始计数。 运行时间 毫秒 最大运行时间为某统计粒度（周期）下，即某一时间段内单次函数执行最大的运行时间。 最小运行时间为某统计粒度（周期）下，即某一时间段内单次函数执行最小的运行时间。平均运行时间为某统计粒度（周期）下，即某一时间段内单次函数执行平均的运行时间。 错误次数 次 指发生异常请求的函数不能正确执行完并且返回200，都计入错误次数。 函数自身的语法错误或自身执行错误也会计入该指标。 被拒绝次数 次 由于并发请求太多，系统流控而被拒绝的请求次数。 资源统计 个 该函数的请求并发数和预留实例数。

本文介绍验证域名归属权的两种方式及其详细操作步骤。 背景说明 客户在天翼云CDN控制台新增域名时，需通过域名归属权验证。具体可根据如下方法一、方法二，任意选择一种方式进行操作验证即可。 方法一：DNS解析验证 以加速域名www.ctcdn.cn为例，为您介绍如何通过DNS解析验证来验证域名归属权。 步骤一：生成TXT记录值 前往天翼云CDN控制台，单击左侧导航栏【域名管理】【域名列表】，单击右上角【添加域名】，在【加速域名】输入www.ctcdn.cn（待验证的域名）后，单击【进入验证环节】，在弹出的【认证域名归属权】界面中，选择【DNS解析认证】，复制表格中的TXT记录值（记录值仅为示例）：202207060000002jar4fb2hc79iwjq5cdid87t7rci1sgp33exuyvez4kwonobxt。 步骤二：在域名解析服务商平台添加TXT记录值 客户需在自己的域名解析服务商平台（例如：阿里云云解析DNS、腾讯云DNSpod、新网等），添加本次要新增域名的主域名解析记录，即第1步中需复制的TXT记录值（记录值仅为示例）。 下文以 阿里云云解析 DNS 平台为例，介绍如何完成 TXT 记录的添加操作。 1. 登录阿里云云解析DNS控制台。 2. 单击左侧导航栏【解析配置】【公网权威解析】。 3. 找到加速域名对应的主域名ctcdn.cn，单击右侧【解析设置】。 4. 单击【添加记录】，记录类型选择【TXT】，主机记录及记录值填写步骤一中提供的值，其他参数使用默认值即可。 说明 主域名：一级域名。例如：www.ctcdn.cn或者www.test.ctcdn.cn的主域名为：ctcdn.cn。 TXT记录值为根据域名随机生成的值。

天翼云Prometheus监控服务提供了Remote Read的标准接口，您可以通过这个接口远程访问天翼云上Prometheus的监控数据。本文以开源Prometheus访问天翼云Prometheus监控为例介绍如何使用Remote Read地址。 使用限制 Remote Read接口暂不支持HTTP/2。 前提条件 已创建Prometheus 版实例 远程读取的客户端网络已经与暴露接口打通。 操作指南 步骤一：获取用户的AccessKey和AccessKey Secret 如果您已创建Prometheus实例，且您需要使用AccessKey和AccessKey Secret进行远程读写，则需要先为获取用户的AccessKey ID和AccessKey Secret。 1. 通过实名认证的账号登录天翼云。 2. 进入天翼云账号中心。 3. 点击【安全设置】进入安全设置中心 4. 在用户AccessKey模块，可创建AKSK，或直接查看已生成的AKSK。 步骤二：获取Remote Read地址 1. 登录应用性能监控控制台，左侧菜单选择Prometheus监控，进入实例列表页面。 2. 单击目标实例名称。 3. 在设置页签上，复制Remote Read地址。 步骤三：配置开源版Prometheus 1. 安装开源Prometheus。 2. 编辑Prometheus.yml配置文件，并在文件末尾增加以下内容，将remoteread链接替换为上文步骤二中获取的地址，然后保存文件。 plaintext global: scrapeinterval: 15s evaluationinterval: 15sscrapeconfigs: jobname: 'prometheus' staticconfigs: targets: ['localhost:9090'] remoteread: 替换为您的Remote Read地址。 url: " readrecent: true 3. 重启开源版Prometheus服务。

使用事件总线EventBridge前，您需在产品页开通该服务。本文介绍如何开通事件总线EventBridge。如果您的账号为子用户，必须让天翼云账号为子用户进行授权，才能通过控制台或API访问相应的事件总线EventBridge资源。 前提条件 注册天翼云账号。 步骤一：开通事件总线EventBridge并委托授权 1. 登录天翼云官网，选择产品 > 容器与中间件 > 应用集成 > 事件总线 EventBridge。 2. 在事件总线EventBridge产品页，单击开通。 3. 请仔细阅读事件总线 EventBridge（按量付费）服务协议，选中事件总线 EventBridge（按量付费）服务协议，然后单击立即开通。 4. 开通服务后，账号未委托相关必要权限给事件总线时，需要先进行委托权限，详见服务内联委托管理。 5. 委托成功后，进入事件总线EventBridge管理控制台进行操作。 步骤二：（子账号必选）为子账号授权 1. 使用天翼云账号登录IAM控制台。 2. 在左侧导航栏，选择用户组。 在用户组页面，单击目标子账号用户组授权列的添加权限，详见主子账号和IAM权限管理。 3. 选择权限策略。 权限策略包括系统策略和自定义策略两种，您可以根据需要选择对应的权限策略。 事件总线EventBridge提供以下系统策略，您可以根据权限范围为RAM用户授予相应权限。 权限策略名称 说明 EventBridge admin 管理员权限策略，拥有事件总线EventBridge所有资源的读写权限 EventBridge user 普通用户策略，拥有事件总线EventBridge除订单相关操作之外对其他资源拥有读写权限 EventBridge publisher 拥有事件总线EventBridge事件的发送权限。 EventBridge viewer 只读权限策略，拥有事件总线EventBridge所有资源的只读权限

本文介绍如何校验域名归属权。 客户可根据如下方法一、方法二，任意选择一种方式进行操作验证即可。 方法一：DNS解析验证 示例为ctcdn.cn的解析配置 1、客户需在自己的域名解析服务商，添加天翼云控制台返回的TXT记录值（如下记录值仅为示例）。 记录类型 主机记录 记录值 TXT dnsverify 202207060000002jar4fb2hc79iwjq5cdid87t7rci1sgp33exuyvez4kwonobxt 2、域名解析操作完成后，等待（建议10分钟）DNS解析生效后即可进行解析验证。 解析命令：dig dnsverify.ctcdn.cn txt 3、如解析出来的txt值和天翼云控制台返回的TXT记录值一致，则表示配置正确。 确认配置正确后，可前往天翼云控制台，在新增域名界面点击验证，验证通过就可以正常操作新增域名。 方法二：文件验证 示例为ctcdn.cn的解析配置 1、在您的源站根目录下，创建文件名为：dnsverify.txt的文件，文件内容为天翼云控制台返回的TXT记录值（如下记录值仅为示例） 2、文件在源站根目录下创建完成后，即可进行访问验证（示例为访问 windows验证： linux验证： 3、如访问展示的文件内容和天翼云控制台返回的TXT记录值一致，则表示配置正确。 确认配置正确后，可前往天翼云控制台，在新增域名界面点击验证，验证通过就可以正常操作新增域名。

本文向您介绍如何选择企业路由器的组网构建方案。 组网方案概述 您可以通过企业路由器构建中心辐射型组网，简化网络架构。以构建云上业务VPC之间互通组网为例，当前我们为您提供两种典型组网方案： 方案一：将业务VPC直接接入企业路由器组网 方案二：使用中转VPC，结合VPC对等连接和企业路由器共同组网 图业务VPC接入企业路由器组网架构图（方案一） 图中转VPC接入企业路由器组网架构图（方案二） 详细的方案说明及方案对比如下表。 表企业路由器组网方案对比说明 序号 组网架构 网络路径说明 方案一 将业务VPCA和业务VPCB、VPCC直接接入企业路由器ER。 VPCA、VPCB以及VPCC之间的网络通过ER连通。 方案二 不直接将业务VPCA和业务VPCB接入企业路由器ER，而是创建一个中转VPCTransit，将VPCTransit和VPCC接入ER中。 VPCA和VPCB之间的网络，分别通过和VPCTransit的对等连接连通。 VPCA、VPCB以及VPCC之间的网络通过ER和VPCTransit连通。 组网方案选择 方案一是将业务VPC直接接入企业路由器，方案二是使用中转VPC，结合VPC对等连接和企业路由器共同构建组网。相比方案一，方案二可以降低成本，并且免去一些限制，详细说明如下： 当前将业务VPC直接接入ER，针对业务VPC有部分使用限制。由于方案二中您只需要将中转VPC接入ER，则可以解决以下针对业务VPC的限制： 当业务VPC下存在共享型弹性负载均、VPC终端节点、私网NAT网关、分布式缓存服务时，请联系客服，确认服务的兼容性，并优先考虑使用中转VPC组网方案。 当接入ER的VPC存在以下情况时，则不建议您在VPC路由表中将下一跳为ER的路由配置成默认路由0.0.0.0/0，那样会导致部分业务流量无法转发至ER。 VPC内的ECS绑定了EIP。 VPC内有ELB（独享型或者共享型）、NAT网关、VPCEP、DCS服务。 注意 如果您了解了以上信息后，仍然想使用方案一，即将业务VPC直接接入企业路由器，那么请您优先提交工单，由技术人员评估组网方案的可行性。

告警规则 告警规则：更新 接口功能介绍 更新指定告警规则， 支持全量字段修改。 接口约束 告警规则存在。 URI POST /v4.1/monitor/updatealarmrule 路径参数 无 Query参数 无 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 alarmRuleID 是 String 告警规则ID 2c2472dff6335b4bbe459609fc9f8154 regionID 是 String 资源池ID 81f7728662dd11ec810800155d307d5b name 是 String 规则名 告警规则示例 service 是 String 本参数表示服务。取值范围：ecs：云主机。evs：云硬盘。pms：物理机。...详见“告警规则：获取告警服务列表”接口返回。 ecs dimension 是 String 本参数表示告警维度。取值范围：ecs：云主机。disk：磁盘。pms：物理机。...详见“告警规则：获取告警服务维度关系”接口返回。 ecs conditions 是 Array of Objects 具体告警匹配策略 condition desc 否 String 规则描述 规则描述 repeatTimes 否 Integer 重复告警通知次数，默认为0 0 silenceTime 否 Integer 告警接收策略静默时间，多久重复通知一次，单位：秒 300 recoverNotify 否 Integer 本参数表示恢复是否通知。默认值0。取值范围：0：否。1：是。根据以上范围取值。 0 notifyType 否 Array of Strings 本参数表示告警接收策略。取值范围：email：邮件告警。sms：短信告警。根据以上范围取值。 ['email','sms'] contactGroupList 否 Array of Strings 告警联系组 ['fe7f0cdc469255168d3ab06355482090'] notifyWeekdays 否 Array of Integers 本参数表示通知周期。默认值[0,1,2,3,4,5,6]。取值范围：0：周日。1：周一。2：周二。3：周三。4：周四。5：周五。6：周六。根据以上范围取值。 [0,1,2,3,4,5,6] notifyStart 否 String 通知起始时段，默认为00:00:00 00:00:00 notifyEnd 否 String 通知结束时段，默认为23:59:59 23:59:59 webhookUrl 否 Array of Strings webhook消息推送url ['www.ctyun.cn'] resGroupID 否 String 资源分组ID，与resources字段互斥。 1.以资源分组为资源对象的告警规则，不需要传入resources。2.非资源分组为资源对象的告警规则，resources为必填项。 eec4a76a35ba57b891c6c4fd923351d6 resources 是 Array of Objects 具体告警匹配资源 resources projectID 否 String 项目ID 0 conditionType 否 Integer 本参数表示告警策略触发类型。默认值0。取值范围：0：或，任一条件触发。1：全部条件满足触发。根据以上范围取值。 0 0 表 conditions 参数 是否必填 参数类型 说明 示例 下级对象 evaluationCount 是 Integer 持续次数，当规则执行结果持续多久符合条件时报警（防抖），默认2次 2 metric 是 String 监控指标 cpuutil fun 是 String 本参数表示告警采用算法。取值范围：last：原始值算法。avg：平均值算法。max：最大值算法。min：最小值算法。sum：求和算法。根据以上范围取值。 avg operator 是 String 本参数表示比较符。取值范围：eq：等于。gt：大于。ge：大于等于。lt：小于。le：小于等于。rg：环比上升。cf：环比下降。rc：环比变化。根据以上范围取值。 eq value 是 String 告警阈值，可以是整数、小数或百分数格式字符串 0 period 是 String 本参数表示算法统计周期。默认值5m。参数fun为last时不可传。参数fun为avg、max、min均需填此参数。本参数格式为“数字+单位”。单位取值范围：m：分钟。h：小时。d：天。根据以上范围取值。 5m unit 是 String 单位，部分资源池不支持，默认为空 bit 表 resources 参数 是否必填 参数类型 说明 示例 下级对象 resource 是 Array of Objects 资源信息 resource 表 resource 参数 参数类型 说明 示例 下级对象 name 是 String 资源实例标签键 uuid value 是 String 资源实例标签值 000f03221f4d8cc8bb2e1c30fb751aa5

告警规则 告警规则：创建 接口功能介绍 创建一个或多个告警规则。 接口约束 regionID（资源池）存在，service（服务）、dimension（维度）、rules（告警规则）满足取值范围，具体范围见请求参数说明。 URI POST /v4.1/monitor/createalarmrule 路径参数 无 Query参数 无 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String 资源池ID 81f7728662dd11ec810800155d307d5b name 是 String 规则名 告警规则示例 service 是 String 本参数表示服务。取值范围：ecs：云主机。evs：云硬盘。pms：物理机。...详见“告警规则：获取告警服务列表”接口返回。 ecs dimension 是 String 本参数表示告警维度。取值范围：ecs：云主机。disk：磁盘。pms：物理机。...详见“告警规则：获取告警服务维度关系”接口返回。 ecs conditions 是 Array of Objects 具体告警匹配策略 condition desc 否 String 规则描述 规则描述 repeatTimes 否 Integer 重复告警通知次数，默认为0 0 silenceTime 否 Integer 告警接收策略静默时间，多久重复通知一次，单位：秒 300 recoverNotify 否 Integer 本参数表示恢复是否通知。默认值0。取值范围：0：否。1：是。根据以上范围取值。 0 notifyType 否 Array of Strings 本参数表示告警接收策略。取值范围：email：邮件告警。sms：短信告警。根据以上范围取值。 ['email','sms'] contactGroupList 否 Array of Strings 告警联系组 ['fe7f0cdc469255168d3ab06355482090'] notifyWeekdays 否 Array of Integers 本参数表示通知周期。默认值[0,1,2,3,4,5,6]。取值范围：0：周日。1：周一。2：周二。3：周三。4：周四。5：周五。6：周六。根据以上范围取值。 [0,1,2,3,4,5,6] notifyStart 否 String 通知起始时段，默认为00:00:00 00:00:00 notifyEnd 否 String 通知结束时段，默认为23:59:59 23:59:59 webhookUrl 否 Array of Strings webhook消息推送url ['www.ctyun.cn'] resGroupID 否 String 资源分组ID，与resources字段互斥。 1.以资源分组为资源对象的告警规则，不需要传入resources。2.非资源分组为资源对象的告警规则，resources为必填项。 eec4a76a35ba57b891c6c4fd923351d6 resources 是 Array of Objects 具体告警匹配资源 resources projectID 否 String 项目ID 0 conditionType 否 Integer 本参数表示告警策略触发类型。默认值0。取值范围：0：或，任一条件触发。1：全部条件满足触发。根据以上范围取值。 0 0 表 conditions 参数 是否必填 参数类型 说明 示例 下级对象 evaluationCount 是 Integer 持续次数，当规则执行结果持续多久符合条件时报警（防抖），默认2次 2 metric 是 String 监控指标 cpuutil fun 是 String 本参数表示告警采用算法。取值范围：last：原始值算法。avg：平均值算法。max：最大值算法。min：最小值算法。sum：求和算法。根据以上范围取值。 avg operator 是 String 本参数表示比较符。取值范围：eq：等于。gt：大于。ge：大于等于。lt：小于。le：小于等于。rg：环比上升。cf：环比下降。rc：环比变化。根据以上范围取值。 eq value 是 String 告警阈值，可以是整数、小数或百分数格式字符串 0 period 是 String 本参数表示算法统计周期。默认值5m。参数fun为last时不可传。参数fun为avg、max、min均需填此参数。本参数格式为“数字+单位”。单位取值范围：m：分钟。h：小时。d：天。根据以上范围取值。 5m unit 是 String 单位，部分资源池不支持，默认为空 bit 表 resources 参数 是否必填 参数类型 说明 示例 下级对象 resource 是 Array of Objects 资源信息 resource 表 resource 参数 参数类型 说明 示例 下级对象 name 是 String 资源实例标签键 uuid value 是 String 资源实例标签值 000f03221f4d8cc8bb2e1c30fb751aa5

防护规则 说明 参考文档 Web基础防护规则 覆盖OWASP（Open Web Application Security Project，简称OWASP）TOP 10中常见安全威胁，通过预置丰富的信誉库，对恶意扫描器、IP、网马等威胁进行检测和拦截。 CC攻击防护规则 可以自定义CC防护规则，限制单个IP/Cookie/Referer访问者对您的网站上特定路径（URL）的访问频率，WAF会根据您配置的规则，精准识别CC攻击以及有效缓解CC攻击。 精准访问防护规则 精准访问防护策略可对HTTP首部、Cookie、访问URL、请求参数或者客户端IP进行条件组合，定制化防护策略，为您的网站带来更精准的防护。 黑白名单规则 配置黑白名单规则，阻断、仅记录或放行指定IP的访问请求，即设置IP黑/白名单。 地理位置访问控制规则 针对指定国家、地区的来源IP自定义访问控制。 网页防篡改规则 当用户需要防护静态页面被篡改时，可配置网页防篡改规则。 网站反爬虫规则 动态分析网站业务模型，结合人机识别技术和数据风控手段，精准识别爬虫行为。 防敏感信息泄露规则 该规则可添加两种类型的防敏感信息泄露规则： 敏感信息过滤。配置后可对返回页面中包含的敏感信息做屏蔽处理，防止用户的敏感信息（例如：身份证号、电话号码、电子邮箱等）泄露。 响应码拦截。配置后可拦截指定的HTTP响应码页面。 全局白名单规则 针对特定请求忽略某些攻击检测规则，用于处理误报事件。 隐私屏蔽规则 隐私信息屏蔽，避免用户的密码等信息出现在事件日志中。

信息项 描述 类型 API类型： l 公开：选择“公开”类型时，API支持上架。 l 私有：选择“私有”类型时，当该API所在分组上架时，该API不会上架。 安全认证 API认证方式： l APP认证：表示由API网关服务负责接口请求的安全认证。推荐使用APP认证方式。 l IAM认证：表示借助IAM服务进行安全认证。 l 自定义认证：用户有自己的认证系统或服务（如使用OAuth认证），可选择“自定义认证”。 l 无认证：表示不需要认证。 注意 须知 认证方式为IAM认证时，任何API网关租户均可以访问此API，可能存在恶意刷流量，导致过量计费的风险。 认证方式为无认证时，任何公网用户均可以访问此API，可能存在恶意刷流量，导致过量计费的风险。 认证方式为自定义认证时，需要在函数服务中写一段函数，对接用户自己的认证系统或服务。如果当前Region没有上线 函数工作流服务 ，则不支持自定义认证。 支持简易认证 仅当“安全认证”选择“APP 认证”时可配置 。 简易认证指APP认证方式下调用API时，在HTTP请求头部消息增加一个参数XApigAppCode，而不需要对请求内容签名，API网关也仅校验AppCode，不校验请求签名，从而实现快速响应。 注意仅支持HTTPS方式调用，不支持HTTP方式。 说明 如果首次创建API未开启简易认证，那么之后开启简易认证，需要重新发布API。 支持双重认证 仅当“安全认证”选择“APP 认证”或“IAM 认证”时可配置 。 是否对API的调用进行双重安全认证。如果选择启用，则在使用APP认证或IAM认证对API请求进行安全认证时，同时使用自定义的函数API对API请求进行安全认证。 自定义认证 仅当“安全认证”选择“自定义认证”时需要配置 。 自定义认证需要提前创建，可单击右侧的“新建自定义认证”链接创建。 支持跨域CORS 是否开启跨域访问CORS（crossorigin resource sharing）。 CORS允许浏览器向跨域服务器，发出XMLHttpRequest请求，从而克服了AJAX只能同源使用的限制。 CORS请求分为两类： l 简单请求：头信息之中，增加一个Origin字段。 l 非简单请求：在正式通信之前，增加一次HTTP查询请求。 开启CORS（非简单请求）时，您需要单独创建一个“请求方法”为“OPTIONS”的API。

信息项 描述 类型 API类型： l 公开：选择“公开”类型时，API支持上架。 l 私有：选择“私有”类型时，当该API所在分组上架时，该API不会上架。 安全认证 API认证方式： l APP认证：表示由API网关服务负责接口请求的安全认证。推荐使用APP认证方式。 l IAM认证：表示借助IAM服务进行安全认证。 l 自定义认证：用户有自己的认证系统或服务（如使用OAuth认证），可选择“自定义认证”。 l 无认证：表示不需要认证。 注意 须知 认证方式为IAM认证时，任何API网关租户均可以访问此API，可能存在恶意刷流量，导致过量计费的风险。 认证方式为无认证时，任何公网用户均可以访问此API，可能存在恶意刷流量，导致过量计费的风险。 认证方式为自定义认证时，需要在函数服务中写一段函数，对接用户自己的认证系统或服务。如果当前Region没有上线 函数工作流服务 ，则不支持自定义认证。 支持简易认证 仅当“安全认证”选择“APP 认证”时可配置 。 简易认证指APP认证方式下调用API时，在HTTP请求头部消息增加一个参数XApigAppCode，而不需要对请求内容签名，API网关也仅校验AppCode，不校验请求签名，从而实现快速响应。 注意仅支持HTTPS方式调用，不支持HTTP方式。 说明 如果首次创建API未开启简易认证，那么之后开启简易认证，需要重新发布API。 支持双重认证 仅当“安全认证”选择“APP 认证”或“IAM 认证”时可配置 。 是否对API的调用进行双重安全认证。如果选择启用，则在使用APP认证或IAM认证对API请求进行安全认证时，同时使用自定义的函数API对API请求进行安全认证。 自定义认证 仅当“安全认证”选择“自定义认证”时需要配置 。 自定义认证需要提前创建，可单击右侧的“新建自定义认证”链接创建。 支持跨域CORS 是否开启跨域访问CORS（crossorigin resource sharing）。 CORS允许浏览器向跨域服务器，发出XMLHttpRequest请求，从而克服了AJAX只能同源使用的限制。 CORS请求分为两类： l 简单请求：头信息之中，增加一个Origin字段。 l 非简单请求：在正式通信之前，增加一次HTTP查询请求。 开启CORS（非简单请求）时，您需要单独创建一个“请求方法”为“OPTIONS”的API。

名称 描述 过期时间（天） 设置的过期时间。 取值：[1, 9999999]，单位是天。如果不填写，默认分享链接15分钟过期。 限制下载速度 是否开启下载速度限制。 下载速度（KiB/s） 下载速度限制。 取值：[1, 2147483647]，单位是KiB/s。 限制下载并发数 是否开启下载并发数限制。 下载并发数 下载并发数。 取值：[1，2147483647]。

本节主要介绍云存储网关的使用限制。 注意 在部署云存储网关前，需要明确使用单机版还是集群版，因为一旦部署后，不支持通过增减服务器进行模式切换。 说明 该产品通过软件形式部署在用户的环境中，本身不涉及资源池属性。 操作系统 支持 Linux CentOS 7.x，64位操作系统。建议使用最新的CentOS 7.x版本。 硬件 x86服务器。最低配置：单核CPU、2GB内存。可根据实际业务需要增加配置。 网络带宽 客户端到云存储网关的带宽：读写带宽能力大于业务读写带宽。 数据目录对应分区的写带宽能力大于写入带宽，同时还具备相同的读带宽。 云存储网关到OOS具备专线，带宽大于业务写入带宽。 安装目录所在盘 10GB以上，建议配置为RAID 1或者RAID 10。 数据目录所在盘 最小配置：5GB，可根据实际业务需要增加配置。 若作为存储模式存储卷的数据目录使用，需要根据存储容量和副本模式配置数据目录对应分区的容量。若作为缓存模式卷的数据目录使用，需要根据缓存数据量和副本模式配置数据目录对应分区的容量。 网络设定 可以与天翼云对象存储（经典版）I型（ObjectOriented Storage，OOS）进行网络连接。 若云存储网关与OOS之间配有专线，须在云存储网关服务器 /etc/hosts配置OOS资源池的内网域名解析（请联系我们获取），以确保是通过专线访问OOS，保证访问速度。若使用互联网，则不需要配置。 网络整体架构图： 云存储网关内部各节点之间通过内网互联。 云存储网关与上层应用之间通过内网或专线或公网互联。 云存储网关与OOS之间通过专线或公网互联。