游客4pmz2eo4zbgz6_个人页

详细解答可以参考官方帮助文档 您在使用万网虚拟主机或轻云主机时，访问域名或临时域名时，出现如下错误： 错误原因：这个问题一般是由于网站根目录下没有上传默认的首页文件，主机为了安全考虑，不允许列出文件目录，所以直接访问域名会报403错误。解决方法：1.       将网站程序通过FTP上传到主机。 Linux主机上传到htdocs目录，Windows主机上传至FTP根目录。2.       设置默认首页文件3.       访问域名或临时域名。  注意事项：1）  假如您的默认首页文件是index.html （默认首页的设置方法在主机CP控制台中，见上图）,   那么当您访问域名或临时域名http://qxu1085040960.my3w.com   时，默认访问的是根目录下的index.html文件。 所以如果index.html不在根目录下，就会报403禁止访问的错误。2）  假如您的首页文件放到了upload目录， 那么您需要在域名中指定访问路径：http://qxu1085040960.my3w.com/upload/index.html 这样访问也可以。如问题还未解决，请联系售后技术支持。  

详细解答可以参考官方帮助文档 进入顶级域名页面可查看您的域名。

详细解答可以参考官方帮助文档 除MySQL 基础版以外，其它类型的实例都支持日志管理，您可以通过控制台或SQL命令查询实例的错误日志和慢日志明细，帮助故障定位分析。但对于SQL Server 2012及以上版本的实例而言，仅能通过SQL命令进行日志管理。本文将介绍通过控制台及SQL命令进行日志管理的方法。 通过控制台或者API管理日志 您可以通过RDS控制台进行MySQL 5.5/5.6/5.7、SQL Server 2008 R2、PostgreSQL和PPAS实例的日志管理。但不同引擎所支持的管理内容不同，请以各控制台的界面为准。 对于MySQL高可用版、金融版实例，您还可以通过控制台或者API DescribeDBInstanceSwitchLog查询实例的主备切换日志。 操作步骤 登录RDS管理控制台。 选择目标实例所在地域。 单击目标实例的ID，进入基本信息页面。 在左侧导航栏中选择日志管理，进入日志管理页面。 在日志管理页面选择查询错误日志、慢日志明细、慢日志统计或者主备切换日志，选择时间范围，单击查询。 查询项 内容 错误日志 记录1个月内数据库中执行错误的SQL语句。 慢日志明细 记录1个月内数据库中执行时间超过1s（可以在参数设置中修改long_query_time参数来设置）的SQL语句，并进行相似语句去重。 该列表中不提供最近两个小时的慢日志，如需查询请通过MySQL库中的slow_log_view表查询。 慢日志统计 对1个月内数据库中执行时间超过1秒（可以在参数设置中修改long_query_time参数来设置）的SQL语句进行统计汇总，给出慢查询日志的分析报告。 主备切换日志 该功能适用于：MySQL高可用版、金融版实例。 通过SQL命令管理日志 SQL Server 2012及以上版本的实例仅支持通过存储过程sp_rds_read_error_logs读取错误日志，使用方法与sp_readerrorlog相同。 示例1： EXEC sp_rds_read_error_logs 示例2： EXEC sp_rds_read_error_logs 0,1 ,'error'

详细解答可以参考官方帮助文档 如果普通远程连接软件（比如 PuTTY、Xshell、SecureCRT 等）无法使用时，您可以使用云服务器 ECS 管理控制台的 管理终端 连接 ECS 实例，查看云服务器操作界面当时的状态。如果您拥有操作权限，可以连接到服务器进行操作配置。本文将介绍如何使用云服务器 ECS 管理控制台的 管理终端 连接 ECS 实例，并说明如何 修改远程连接密码、复制长命令，以及使用管理终端的一些常见问题及处理方法。 使用场景 管理终端 适用的场景包括但不限于： 如果您的实例引导速度慢（如启动自检），您可以通过 管理终端 查看进度。 如果您的实例内部设置错误（比如，误操作开启了防火墙），导致无法使用软件远程连接，您可以通过 管理终端 连接到实例后修改设置（比如关闭防火墙）。 如果应用消耗 CPU 或带宽比较高（例如云服务器被肉鸡，进程 CPU或带宽跑满），导致无法远程连接，您可以通过 管理终端 连接到 ECS 实例，结束异常进程等。 前提条件 您已经创建了实例。 您已经设置了实例登录密码。如果未设置，您可以 重置实例密码。 操作步骤 登录 云服务器 ECS 管理控制台。 在左侧导航栏里，单击 实例。 在 实例列表 页上，选择目标地域。 在实例列表里，找到需要连接的实例，在 操作 列，单击 远程连接。 连接 管理终端： 使用主账号第一次连接 管理终端 时，按以下步骤连接管理终端： 在弹出的 远程连接密码 对话框，复制密码。 说明 连接密码仅在第一次连接管理终端时显示一次。如果您以后需要使用这个密码连接管理终端，请记下该密码。 如果您以RAM用户身份第一次连接 管理终端，不会出现这个对话框。 单击 关闭。 在弹出的 输入远程连接密码 对话框中粘贴密码后，单击 确定，开始连接 管理终端。 如果您忘记了密码或者以RAM用户身份第一次连接 管理终端 时，按以下步骤操作： 修改远程连接密码。 单击界面左上角的 发送远程命令 > 连接远程连接。 在弹出的 输入远程连接密码 对话框中，输入刚修改的新密码。 单击 确定 ，开始连接 管理终端。 使用主账号或RAM用户身份再次连接 管理终端 时，在弹出的 输入远程连接密码 对话框中输入密码，单击 确定，开始连接 管理终端。 登录 ECS 实例。根据实例的操作系统，您应执行不同的操作步骤： 如果是 Linux 实例，输入用户名 root 和实例登录密码。 说明 Linux 系统一般不会显示密码输入过程。 您可以单击界面左上角的 发送远程命令 > CTRL+ALT+Fx（x 为 1 − 10），切换不同的 管理终端 连接 Linux 实例执行不同的操作。 如果出现黑屏，可能是因为 Linux 实例处于休眠状态，单击键盘上任意键即可唤醒。 如果是 Windows 实例，在 管理终端 界面的左上角单击 发送远程命令 > CTRL+ALT+DELETE，进入 Windows 实例的登录界面。输入用户名和密码即可登录。 其他操作 修改远程连接密码 如果您希望使用方便记忆的远程连接密码，或者忘记了密码，您可以按照以下步骤修改远程连接密码。 说明 如果您要连接的不是 I/O 优化实例，修改密码后，您需要在 ECS管理控制台 重启实例使新密码生效。重启操作需要停止您的实例，中断您的业务，所以请谨慎执行。 进入 管理终端 界面。 关闭弹出的 远程连接密码 对话框或 输入远程连接密码 对话框。 在界面的右上角，单击 修改远程连接密码。 在弹出的 修改远程连接密码 对话框里，输入新密码后，单击 确定，关闭对话框。 新密码生效： 如果您要连接的是 I/O 优化实例，新密码会立即生效。 如果您要连接的是非 I/O 优化实例，您必须先在控制台上 重启实例，密码才会生效。在 ECS 实例内部重启无效。 复制长命令 如果连接的是 Linux 实例，您可以使用 复制命令输入 功能输入比较长的文本、文件下载地址等。 进入 管理终端 界面。 在界面右上角，单击 复制命令输入 。 在弹出的 复制粘贴命令 对话框中，输入具体的命令后，单击 确定，即可将命令复制到 Linux 的命令行界面。 管理终端 FAQ 管理终端是独享的吗？ 目前是独享的。如果一个用户已经登录，其他用户则无法再登录。 忘记了远程连接密码，怎么办？ 如果忘记远程连接密码，您可以 修改远程连接密码。 为什么修改了远程连接密码还是连不上管理终端？ 如果您要连接的不是 I/O 优化实例，您需要在管理控制台上 重启实例，新密码才会生效。在 ECS 实例内部重启无效。 管理终端提示 授权验证失败，怎么解决？ 输入远程连接密码后，提示 授权验证失败，可能是因为您输入了错误的远程连接密码，所以，您应该： 确认您输入了正确的远程连接密码。 如果您忘了密码，可以 修改远程连接密码 之后再重试。 如果要连接非 I/O 优化实例，修改密码后，您需要先在控制台上 重启实例 使新的远程连接密码生效。 连接到管理终端后出现黑屏，怎么办？ 连接到管理终端后出现黑屏，说明系统处于休眠状态。根据操作系统不同，您应执行不同的操作： 如果是 Linux 实例，您可以按任意键激活该实例，进入登录界面。 如果是 Windows 实例出现持续黑，您可以在界面左上角单击 发送远程命令 > CTRL+ALT+DELETE ，进入登录界面。 管理终端无法访问了，怎么办？ 您可以使用 Chrome 浏览器进入管理终端界面，在键盘上按 F12 键显示开发者工具，然后分析 Console 中显示的信息。 我使用 IE8.0，为什么无法使用管理终端？ 管理终端目前仅支持 IE10 及以上的 IE 浏览器。您可以下载最新的 IE 浏览器或 Chrome 浏览器。 建议使用 Chrome 浏览器。阿里云的控制台对 Chrome 浏览器的兼容性更好。 我用 Firefox 浏览器打开管理终端会报错 安全连接失败，怎么办？ 报错原因：可能您使用的 Firefox 版本没有共用的加密算法。 建议使用 Chrome 浏览器。阿里云的控制台对 Chrome 浏览器的兼容性更好。 相关文档 在PC端，您可以使用其他方式远程连接ECS实例： 如果是Linux实例： 使用SSH密钥对连接Linux实例 使用用户名密码验证连接 Linux 实例 如果是Windows实例：使用软件连接Windows实例 在移动设备端，您可以参考 在移动设备上连接实例

详细解答可以参考官方帮助文档 域名信息修改（过户）操作 域名信息修改（过户）批量操作 域名信息修改（过户）操作 未实名认证的域名 登录 阿里云域名控制台，在相应域名后面单击管理。 单击域名信息修改（过户），填写各项的真实信息。如果有使用过的信息模板，可直接选择使用。单击 下一步 按钮。 或者通过域名和域名密码登录 单域名控制台，单击 域名信息修改（过户）。 您可以选择 手机认证、邮箱认证、阿里云 App 一键认证 进行验证。单击 获取验证码 后，输入刚刚收到的验证码。单击 下一步。 同时，根据您选择 关闭 或 开启 域名信息修改成功后 60 天内限制注册商间转移的功能，以上域名将相应 不受 或 受到域名信息修改成功后 60 天内禁止转出阿里云的限制。 说明 如果您的预留手机号或邮箱不正确，可修改手机号和邮箱。完成修改后方可完成身份验证。 域名持有者信息修改（过户）成功。 修改成功后，会同时给原域名持有者邮箱和新域名持有者邮箱发送域名信息修改操作的通知，请注意查收。 如果是未实名认证的 .com/.net 域名、.xin 域名和国内域名，持有者信息修改成功后还需提交域名实名认证。 已实名认证的域名 持有者信息修改（过户）： 登录 阿里云域名控制台，在相应域名后面单击 管理。 单击域名持有者名称右侧的修改按钮后填写新信息。 选择验证方式，进行身份验证。 上传认证资料。 如果域名持有者信息修改为 个人，那么需要填写所有者身份证号，上传身份证正面扫描件（或照片）。确认无误后，单击 提交。 如果域名持有者信息修改为 企业，那么需要填写企业证件号，上传企业认证资料（有效营业执照或组织机构代码证副本扫描件或数码照片）。确认无误后，单击 提交。 如果填写新域名持有者信息时，选择的是 已实名认证 的信息模板，系统将自动读取该域名持有者的实名制资料。 等待审核。 上传认证资料后，需要约 3-5 个工作日完成审核，请耐心等待。 审核通过，域名持有者信息修改（过户）成功。 修改成功后，会同时给原域名持有者邮箱和新域名持有者邮箱，发送域名信息修改操作的通知，请注意查收。 完善域名实名认证证件类型和证件号码等资料 若您的域名已经完成实名认证，但需补充完善实名认证证件类型和证件号码的，仍需在域名持有者名称输入框内重新填写域名持有者名称(复制/粘贴即可）后按照页面提示完成操作。 新转入域名 提交域名转入阿里云时，除了必须使用 已实名认证 的模板以外，还须选择 关闭域名信息修改成功后 60 天内禁止转移注册商。如果选择 关闭，域名将 不受域名信息修改成功后 60 天内禁止转出阿里云的限制。 从其他注册商转入到阿里云的域名，域名信息修改（过户）同域名信息修改（过户）操作中“已实名认证的域名”的操作流程。 .gov.cn 域名 .gov.cn 域名信息修改（过户）步骤如下： 将以下资料发送至邮箱：cndomain-notice@service.alibaba.com。 在线打印《域名信息修改申请表》（在 阿里云域名控制台 申请过户的操作中，系统会自动为您生成《域名信息修改申请表》，在线打印即可）。原/新域名持有者须在申请表上盖章，原域名持有者为个人时须提供手写签字。 有效的原/新所有人及联系人身份证明材料（个人提供身份证正反面原件扫描件、单位提供组织机构代码证或营业执照副本原件扫描件）。 邮件内容如下： 邮件标题：域名“abc.gov.cn”（示例）信息修改资料。 邮件正文：写明需要办理业务的域名，需要办理的业务内容。 附件要求：提供资料压缩包，并以域名命名（要求提供的带单位鲜章的扫描件或拍照件必须清晰完整）。 阿里云收到用户邮件后，在 3-5 个工作日内进行受理。 域名注册管理局（CNNIC）在审核资料的同时，会电话联系过户双方核实变更意愿，请保持联系电话畅通。 通过审核后，域名信息修改（过户）成功。 .hk 域名 目前阿里云下的英文 .hk/中文 .hk 域名暂不支持在线自助过户，需联系 阿里云客服 人工办理过户。 .hk 域名人工过户是收费服务。过户按域名个数收费，收费标准为 1850 元人民币/个，其中包含一年续费费用。过户成功后，域名到期时间会延长一年。 .hk 域名人工过户步骤如下： 登录 阿里云首页。将鼠标置于最右侧的账户头像，单击 余额 后面的 充值。选择支付方式，填写充值金额，单击 充值。 下载并填写 《域名注册联络资料(HK)》，以 word 形式提交 工单 给我们。 说明 在此表格中填写域名新持有者信息时，新持有者的中、英文名字务必与提供的所需联络资料、受让人证件上的公司名称或身份证姓名一致。 阿里云会将收到的资料提交给 HK 注册局。HK 注册局会创建标识您该项业务的参考编号（约两个工作日），收到该编号后阿里云将通过 工单 提供给您。此编号需要填写在步骤 4 中的变更所有者（过户）申请表里。 下载并填写 .hk 域名变更所有者（过户）申请表。 如果您是企业或组织，请下载并填写 《出让人为公司 Transfer Form - TNRCase 1》。 如果您是个人，请下载并填写 《出让人为个人 Transfer Form - TNRCase 2》。 申请表盖章并上传证件资料。 将步骤 4 中填写完整的申请表进行盖章及签字（如果是企业，需盖企业公章并由法定代表人签字；如果是个人，需填写身份证件号码并签字），域名过户双方的营业执照复印件盖章（域名持有者为个人的提供身份证复印件），相关法定代表人的身份证复印件。请将以上所有完成盖章及签字的资料及证件的扫描件提交 工单 给我们。 说明 申请表后面附有 DCTNR1 和 DCTNR2 表格，需过户双方根据实际情况来填写相应的内容。申请表中凡是涉及到签名的地方，第一行和第二行都需要手写签字，第一行可以草签，第二行必须以正楷签名。 收到您的全部资料后，阿里云会提交至 HK 注册局进行预先审核。待 HK 注册局审核有结果后（约十个工作日），阿里云会第一时间通知您。 域名信息修改（过户）批量操作 如果您需要同时对账号下多个域名进行域名信息修改（过户），您可以参考以下流程： 登录 阿里云域名控制台，选中需要操作的域名，单击 更多批量操作 > 域名信息修改（过户）。 进行身份验证，选择要修改的信息分类，按流程引导操作即可。 同时，根据您选择 关闭 或 开启 域名信息修改成功后 60 天内限制注册商间转移的功能，以上域名将相应 不受 或 受到60 天内禁止转出阿里云的限制。 说明 在您进行批量操作域名持有者信息修改的过程中，如下情况不支持批量功能： .gov.cn 域名、通用网址、.hk 域名、国别域名、海外域名等。 域名当前正处于实名认证审核中、域名转出中、域名开启了 域名安全锁、域名处于仲裁或冻结等。 需分开进行批量操作的情况： 在域名信息修改中，同时存在国内域名和国际域名。 在域名信息修改（过户）中，同时存在已实名认证的国内、国际域名和新转入国内域名，以及未实名认证的国内和国际域名。

详细解答可以参考官方帮助文档使用场景：目前虚拟主机控制面板提供网站搬家功能，主要提供给原来已经有网站的用户使用，降低从新网、西部数码、美橙等友商处迁移网站到万网主机的门槛，同时支持数据库备份导入、支持大文件导入。功能入口：登录 虚拟主机控制面板 > 工具&服务 > 网站搬家 > 新建搬家任务 。数据库搬家： 用户需要选择已经使用FTP工具上传到主机的数据库备份文件和要搬到主机上的目标数据库。 MySQL数据库只支持4.0、5.0和5.1版本导出的 sql文本文件，SQL Server只支持完全备份的.bak文件。 数据库搬家会清空目标数据库原有数据，并且重置数据库密码。网站文件搬家: 用户需要选择已经使用FTP工具上传到主机的网站文件压缩包。 Linux主机支持zip和tar压缩包。Windows主机支持zip和rar格式的压缩包。 网站文件搬家会解压文件到网站根目录。提交设置： 单击 提交 后任务开始执行，如果是虚拟主机则会排队执行，一台服务器只有一个搬家任务执行。 一个搬家任务最多执行1个小时，如果数据量过大则会超时失败。 搬家成功后需要重置数据库密码、修改网站程序中新的数据库连接串。查看搬家任务进度：单击 任务详情 可以查看任务执行明细。    如问题还未解决,请联系售后技术支持   

详细解答可以参考官方帮助文档PHP通过 .htaccess文件屏蔽IP代码如下 RewriteEngine onRewriteBase /Order Deny,Allow ## 拒绝开关，allow表示拒绝访问Deny from 182.92.253.20 ##输入要屏蔽的IP地址Deny from 121.18.126 ## 屏蔽IP段 ASP通过在首页添加以下代码实现 requestIP = request.ServerVariables('REMOTE_ADDR')IP = '127.0.0.1|192.168.1.1'trueURL = 'http://www.baidu.com'falseURL = 'http://www.google.com'ipArr = split(IP,'|')flag = falsefor i=0 to ubound(ipArr) if requestIP=ipArr(i) then flag=true exit for end ifnextif flag then response.Redirect(falseURL)else response.Redirect(trueURL)end if%>  JS通过以下方式禁止IP访问 可以通过访问新浪提供借口获取IP地址归属地相关信息 :http://int.dpool.sina.com.cn/iplookup/iplookup.php?format=js&ip=IP地址   如问题还未解决,请联系售后技术支持。  

详细解答可以参考官方帮助文档 进入控制台>账号管理>基本资料。 在此页面可以查询帐号的类型、姓名、行业信息，除类型及姓名不可修改外，其他信息可根据情况进行修改。

详细解答可以参考官方帮助文档问题现象：企业邮箱发送邮件时，若出现投递失败产生退信，内容提示包含如下： the mta server of * reply:550 failed to meet SPF requirements 或者 the mta server of 163.com — 163mx01.mxmail.netease.com(220.181.14.141) reply:550 MI:SPF mx14,QMCowECpA0qTiftVaeB3Cg—.872S2 1442548128 http://mail.163.com/help/help_spam_16.htm?ip=42.120.134.177&hostid=mx14&time=1442548128  原因分析：此是由于邮件被收信方服务器的spf策略检测身份认证未通过导致。 SPF是(Sender Policy Framework)的缩写，一种以IP地址认证电子邮件发件人身份的技术，是非常高效的垃圾邮件解决方案。接收邮件方会首先检查域名的 SPF 记录，来确定发件人的IP地址是否被包含在 SPF 记录里面，如果在，就认为是一封正确的邮件，否则会认为是一封伪造的邮件进行退回。 解决方法：请使用阿里云邮箱时，正确按照企业邮箱域名解析设置方法添加 TXT 解析，阿里云企业邮箱服务器默认的 TXT 解析指向： v=spf1 include:spf.mxhichina.com -all 完整企业邮箱的统一域名解析设置方法，请点击参考企业邮箱域名解析设置方法 。

详细解答可以参考官方帮助文档 发送访问OSS的请求 您可以直接使用OSS提供的RESTful API接口访问或者使用对API接口进行完整封装的SDK开发包。而每一次向OSS的请求根据当前Bucket权限和操作不同要求用户进行身份验证或者直接匿名访问。对OSS的资源访问的分类如下： 按访问者的角色可分为拥有者访问和第三方用户访问。这里的拥有者指的是Bucket的Owner，也称为开发者。第三方用户是指访问Bucket里资源的用户。 按访问者的身份信息可分为匿名访问和带签名访问。对于OSS来说，如果请求中没有携带任何和身份相关的信息即为匿名访问。带签名访问指的是按照OSS API文档中规定的在请求头部或者在请求URL中携带签名的相关信息。 AccessKey 类型 目前访问 OSS 使用的 AK（AccessKey）有三种类型，具体如下： 阿里云账号AccessKey 阿里云账号AK特指Bucket拥有者的AK，每个阿里云账号提供的AccessKey对拥有的资源有完全的权限。每个阿里云账号能够同时拥有不超过5个active或者inactive的AK对（AccessKeyId和AccessKeySecret）。 用户可以登录AccessKey管理控制台，申请新增或删除AK对。 每个AK对都有active/inactive两种状态。 Active 表明用户的 AK 处于激活状态，可以在身份验证的时候使用。 Inactive 表明用户的 AK 处于非激活状态，不能在身份验证的时候使用。 说明 请避免直接使用阿里云账户的 AccessKey。 RAM子账号AccessKey RAM (Resource Access Management) 是阿里云提供的资源访问控制服务。RAM账号AK指的是通过RAM被授权的AK。这组AK只能按照RAM定义的规则去访问Bucket里的资源。通过RAM，您可以集中管理您的用户（比如员工、系统或应用程序），以及控制用户可以访问您名下哪些资源的权限。比如能够限制您的用户只拥有对某一个Bucket的读权限。子账号是从属于主账号的，并且这些账号下不能拥有实际的任何资源，所有资源都属于主账号。 STS账号AccessKey STS（Security Token Service）是阿里云提供的临时访问凭证服务。STS账号AK指的是通过STS颁发的AK。这组AK只能按照STS定义的规则去访问Bucket里的资源。 身份验证具体实现 目前主要有三种身份验证方式： AK验证 RAM验证 STS验证 当用户以个人身份向OSS发送请求时，其身份验证的实现如下： 用户将发送的请求按照OSS指定的格式生成签名字符串。 用户使用AccessKeySecret对签名字符串进行加密产生验证码。 OSS收到请求以后，通过AccessKeyId找到对应的AccessKeySecret，以同样的方法提取签名字符串和验证码。 如果计算出来的验证码和提供的一样即认为该请求是有效的。 否则，OSS将拒绝处理这次请求，并返回HTTP 403错误。 对于用户来说可以直接使用OSS提供的SDK，配合不同类型的AccessKey即可实现不同的身份验证。 权限控制 针对存放在Bucket的Object的访问，OSS提供了多种权限控制，主要有： Bucket级别权限 Object级别权限 账号级别权限（RAM） 临时账号权限（STS） Bucket级别权限 Bucket权限类型 OSS提供ACL（Access Control List）权限控制方法，OSS ACL提供Bucket级别的权限访问控制，Bucket目前有三种访问权限：public-read-write，public-read和private，它们的含义如下： 权限值 中文名称 权限对访问者的限制 public-read-write 公共读写 任何人（包括匿名访问）都可以对该Bucket中的Object进行读/写/删除操作；所有这些操作产生的费用由该Bucket的Owner承担，请慎用该权限。 public-read 公共读，私有写 只有该Bucket的Owner或者授权对象可以对存放在其中的Object进行写/删除操作；任何人（包括匿名访问）可以对Object进行读操作。 private 私有读写 只有该Bucket的Owner或者授权对象可以对存放在其中的Object进行读/写/删除操作；其他人在未经授权的情况下无法访问该Bucket内的Object。 Bucket权限设定和读取方法 功能使用参考： API：Put BucketACL SDK：Java SDK-设置Bucket ACL 控制台：创建Bucket权限设置 API：Get BucketACL SDK：Java SDK-获取Bucket ACL Object级别权限 Object权限类型 OSS ACL也提供Object级别的权限访问控制。目前Object有四种访问权限：private, public-read, public-read-write, default。Put Object ACL操作通过Put请求中的“x-oss-object-acl”头来设置，这个操作只有Bucket Owner有权限执行。 权限值 中文名称 权限对访问者的限制 public-read-write 公共读写 该ACL表明某个Object是公共读写资源，即所有用户拥有对该Object的读写权限。 public-read 公共读，私有写 该ACL表明某个Object是公共读资源，即非Object Owner只有该Object的读权限，而Object Owner拥有该Object的读写权限。 private 私有读写 该ACL表明某个Object是私有资源，即只有该Object的Owner拥有该Object的读写权限，其他的用户没有权限操作该Object。 default 默认权限 该ACL表明某个Object是遵循Bucket读写权限的资源，即Bucket是什么权限，Object就是什么权限。 说明 如果没有设置Object的权限，即Object的ACL为default，Object的权限和Bucket权限一致。 如果设置了Object的权限，Object的权限大于Bucket权限。举个例子，如果设置了Object的权限是public-read，无论Bucket是什么权限，该Object都可以被身份验证访问和匿名访问。 Object权限设定和读取方法 功能使用参考： API：Put Object ACL SDK：Java SDK-ObjectACL 中设定Object ACL API：Get Object ACL SDK：Java SDK-ObjectACL 中读取Object ACL 账号级别权限（RAM） 使用场景 如果您购买了云资源，您的组织里有多个用户需要使用这些云资源，这些用户只能共享使用您的云账号AccessKey。这里有两个问题： 您的密钥由多人共享，泄露的风险很高。 您无法控制特定用户能访问哪些资源（比如Bucket）的权限。 解决方法：在您的阿里云账号下面，通过RAM可以创建具有自己AccessKey的子用户。您的阿里云账号被称为主账号，创建出来的账号被称为子账号，使用子账号的AccessKey只能使用主账号授权的操作和资源。 具体实现 有关RAM详情，请参考RAM用户手册。 对于授权中需要的Policy的配置方式可以参考本章最后一节：RAM和STS授权策略（Policy）配置。 临时账号权限（STS） 使用场景 对于您本地身份系统所管理的用户，比如您的App的用户、您的企业本地账号、第三方App，也有直接访问OSS资源的可能，将这部分用户称为联盟用户。此外，用户还可以是您创建的能访问您的阿里云资源的应用程序。 对于这部分联盟用户，通过阿里云STS (Security Token Service) 服务为阿里云账号（或RAM用户）提供短期访问权限管理。您不需要透露云账号（或RAM用户）的长期密钥（如登录密码、AccessKey），只需要生成一个短期访问凭证给联盟用户使用即可。这个凭证的访问权限及有效期限都可以由您自定义。您不需要关心权限撤销问题，访问凭证过期后会自动失效。 用户通过STS生成的凭证包括安全令牌(SecurityToken)、临时访问密钥(AccessKeyId, AccessKeySecret)。使用AccessKey方法与您在使用阿里云账户或RAM用户AccessKey发送请求时的方法相同。此外还需要注意的是在每个向OSS发送的请求中必须携带安全令牌。 具体实现 STS安全令牌、角色管理和使用相关内容详情，请参考RAM用户指南中的角色管理。关键是调用STS服务接口AssumeRole来获取有效访问凭证即可，也可以直接使用STS SDK来调用该方法。 RAM和STS应用场景实践 对于不同的应用场景，涉及到的访问身份验证方式可能存在差异。下面以几种典型的应用场景来说明访问身份验证中几种使用方式。 以一个移动App举例。假设您是一个移动App开发者，打算使用阿里云OSS服务来保存App的终端用户数据，并且要保证每个App用户之间的数据隔离，防止一个App用户获取到其它App用户的数据。 方式一：使用AppServer来做数据中转和数据隔离如上图所示，您需要开发一个AppServer。只有AppServer能访问云服务，ClientApp的每次读写数据都需要通过AppServer，AppServer来保证不同用户数据的隔离访问。 对于该种使用方式，使用阿里云账号或者RAM账号提供的密钥来进行签名验证访问。建议您尽量不要直接使用阿里云账号（主账号）的密钥访问OSS，避免出现安全问题。 方式二：使用STS让用户直接访问OSS STS方案描述如下图所示：方案的详细描述如下： App用户登录。App用户和云账号无关，它是App的终端用户，AppServer支持App用户登录。对于每个有效的App用户来说，需要AppServer能定义出每个App用户的最小访问权限。 AppServer请求STS服务获取一个安全令牌（SecurityToken）。在调用STS之前，AppServer需要确定App用户的最小访问权限（用Policy语法描述）以及授权的过期时间。然后通过扮演角色（AssumeRole）来获取一个代表角色身份的安全令牌。 STS返回给AppServer一个有效的访问凭证，包括一个安全令牌（SecurityToken）、临时访问密钥（AccessKeyId, AccessKeySecret）以及过期时间。 AppServer将访问凭证返回给ClientApp。ClientApp可以缓存这个凭证。当凭证失效时，ClientApp需要向AppServer申请新的有效访问凭证。比如，访问凭证有效期为1小时，那么ClientApp可以每30分钟向AppServer请求更新访问凭证。 ClientApp使用本地缓存的访问凭证去请求Aliyun Service API。云服务会感知STS访问凭证，并会依赖STS服务来验证访问凭证，正确响应用户请求。 RAM和STS授权策略（Policy）配置 对于RAM或者STS授权中使用Policy，详细规则如下。 示例 先看下面的一个Policy示例： { 'Version': '1', 'Statement': [ { 'Action': [ 'oss:GetBucketAcl', 'oss:ListObjects' ], 'Resource': [ 'acs:oss:*:1775305056529849:mybucket' ], 'Effect': 'Allow', 'Condition': { 'StringEquals': { 'acs:UserAgent': 'java-sdk', 'oss:Prefix': 'foo' }, 'IpAddress': { 'acs:SourceIp': '192.168.0.1' } } }, { 'Action': [ 'oss:PutObject', 'oss:GetObject', 'oss:DeleteObject' ], 'Resource': [ 'acs:oss:*:1775305056529849:mybucket/file*' ], 'Effect': 'Allow', 'Condition': { 'IpAddress': { 'acs:SourceIp': '192.168.0.1' } } } ] } 这是一个授权的Policy，用户用这样的一个Policy通过RAM或STS服务向其他用户授权。Policy当中有一个Statement（一条Policy当中可以有多条Statement）。Statement里面规定了相应的Action、Resource、Effect和Condition。 这条Policy把用户自己名下的mybucket和mybucket/file*这些资源授权给相应的用户，并且支持GetBucketAcl、GetBucket、PutObject、GetObject和DeleteObject这几种操作。Condition中的条件表示UserAgent为java-sdk，源IP为192.168.0.1的时候鉴权才能通过，被授权的用户才能访问相关的资源。Prefix这个Condition是在GetBucket（ListObjects）的时候起作用的，关于这个字段的解释详见OSS的API文档。 配置细则 Version Version定义了Policy的版本，本文档中sw2q的配置方式，设置为1。 Statement 通过Statement描述授权语义，其中可以根据业务场景包含多条语义，每条包含对Action、Effect、Resource和Condition的描述。每次请求系统会逐条依次匹配检查，所有匹配成功的Statement会根据Effect的设置不同分为通过（Allow）、禁止（Deny），其中禁止（Deny）的优先。如果匹配成功的都为通过，该条请求即鉴权通过。如果匹配成功有一条禁止，或者没有任何条目匹配成功，该条请求被禁止访问。 Action Action分为三大类：Service级别操作，对应的是GetService操作，用来列出所有属于该用户的Bucket列表。 Bucket级别操作，对应类似于oss:PutBucketAcl、oss:GetBucketLocation之类的操作，操作的对象是Bucket，它们的名称和相应的接口名称一一对应。 Object级别操作，分为oss:GetObject、oss:PutObject、oss:DeleteObject和oss:AbortMultipartUpload，操作对象是Object。 如想授权某一类的Object的操作，可以选择这几种的一种或几种。另外，所有的Action前面都必须加上oss:，如上面例子所示。Action是一个列表，可以有多个Action。具体的Action和API接口的对应关系如下： Service级别 API Action GetService（ListBuckets） oss:ListBuckets Bucket级别 API Action PutBucket oss:PutBucket GetBucket（ListObjects） oss:ListObjects PutBucketAcl oss:PutBucketAcl DeleteBucket oss:DeleteBucket GetBucketLocation oss:GetBucketLocation GetBucketAcl oss:GetBucketAcl GetBucketLogging oss:GetBucketLogging PutBucketLogging oss:PutBucketLogging DeleteBucketLogging oss:DeleteBucketLogging GetBucketWebsite oss:GetBucketWebsite PutBucketWebsite oss:PutBucketWebsite DeleteBucketWebsite oss:DeleteBucketWebsite GetBucketReferer oss:GetBucketReferer PutBucketReferer oss:PutBucketReferer GetBucketLifecycle oss:GetBucketLifecycle PutBucketLifecycle oss:PutBucketLifecycle DeleteBucketLifecycle oss:DeleteBucketLifecycle ListMultipartUploads oss:ListMultipartUploads PutBucketCors oss:PutBucketCors GetBucketCors oss:GetBucketCors DeleteBucketCors oss:DeleteBucketCors PutBucketReplication oss:PutBucketReplication GetBucketReplication oss:GetBucketReplication DeleteBucketReplication oss:DeleteBucketReplication GetBucketReplicationLocation oss:GetBucketReplicationLocation GetBucketReplicationProgress oss:GetBucketReplicationProgress Object级别 API Action GetObject oss:GetObject HeadObject oss:GetObject PutObject oss:PutObject PostObject oss:PutObject InitiateMultipartUpload oss:PutObject UploadPart oss:PutObject CompleteMultipart oss:PutObject DeleteObject oss:DeleteObject DeleteMultipartObjects oss:DeleteObject AbortMultipartUpload oss:AbortMultipartUpload ListParts oss:ListParts CopyObject oss:GetObject,oss:PutObject UploadPartCopy oss:GetObject,oss:PutObject AppendObject oss:PutObject GetObjectAcl oss:GetObjectAcl PutObjectAcl oss:PutObjectAcl Resource Resource指代的是OSS上面的某个具体的资源或者某些资源（支持*通配），resource的规则是acs:oss:{region}:{bucket_owner}:{bucket_name}/{object_name}。对于所有Bucket级别的操作来说不需要最后的斜杠和{object_name}，即acs:oss:{region}:{bucket_owner}:{bucket_name}。Resource也是一个列表，可以有多个Resource。其中的region字段暂时不做支持，设置为*。 Effect Effect代表本条的Statement的授权的结果，分为Allow和Deny，分别指代通过和禁止。多条Statement同时匹配成功时，禁止（Deny）的优先级更高。 例如，期望禁止用户对某一目录进行删除，但对于其他文件有全部权限： { 'Version': '1', 'Statement': [ { 'Effect': 'Allow', 'Action': [ 'oss:*' ], 'Resource': [ 'acs:oss:*:*:bucketname' ] }, { 'Effect': 'Deny', 'Action': [ 'oss:DeleteObject' ], 'Resource': [ 'acs:oss:*:*:bucketname/index/*', ] } ] } Condition Condition代表Policy授权的一些条件，上面的示例里面可以设置对于acs:UserAgent的检查、acs:SourceIp的检查、还有oss:Prefix这项用来在GetBucket的时候对资源进行限制。 OSS支持的Condition如下： condition 功能 合法取值 acs:SourceIp 指定ip网段 普通的ip，支持*通配 acs:UserAgent 指定http useragent头 字符串 acs:CurrentTime 指定合法的访问时间 ISO8601格式 acs:SecureTransport 是否是https协议 “true”或者”false” oss:Prefix 用作ListObjects时的prefix 合法的object name 更多示例 针对具体场景更多的授权策略配置示例，可以参考教程示例：控制存储空间和文件夹的访问权限和OSS授权常见问题。 Policy在线图形化便捷配置工具，请单击这里。 最佳实践 RAM和STS使用指南

详细解答可以参考官方帮助文档 OSS开通Region和Endpoint对照表 经典网络情况下各地域Endpoint的内外网设置如下： Region中文名称 Region英文表示 外网Endpoint 外网支持HTTPS ECS访问的内网Endpoint 内网支持HTTPS 华东 1 oss-cn-hangzhou oss-cn-hangzhou.aliyuncs.com 是 oss-cn-hangzhou-internal.aliyuncs.com 是 华东 2 oss-cn-shanghai oss-cn-shanghai.aliyuncs.com 是 oss-cn-shanghai-internal.aliyuncs.com 是 华北 1 oss-cn-qingdao oss-cn-qingdao.aliyuncs.com 是 oss-cn-qingdao-internal.aliyuncs.com 是 华北 2 oss-cn-beijing oss-cn-beijing.aliyuncs.com 是 oss-cn-beijing-internal.aliyuncs.com 是 华北 3 oss-cn-zhangjiakou oss-cn-zhangjiakou.aliyuncs.com 是 oss-cn-zhangjiakou-internal.aliyuncs.com 是 华北 5 oss-cn-huhehaote oss-cn-huhehaote.aliyuncs.com 是 oss-cn-huhehaote-internal.aliyuncs.com 是 华南 1 oss-cn-shenzhen oss-cn-shenzhen.aliyuncs.com 是 oss-cn-shenzhen-internal.aliyuncs.com 是 香港 oss-cn-hongkong oss-cn-hongkong.aliyuncs.com 是 oss-cn-hongkong-internal.aliyuncs.com 是 美国西部 1 （硅谷） oss-us-west-1 oss-us-west-1.aliyuncs.com 是 oss-us-west-1-internal.aliyuncs.com 是 美国东部 1 （弗吉尼亚） oss-us-east-1 oss-us-east-1.aliyuncs.com 是 oss-us-east-1-internal.aliyuncs.com 是 亚太东南 1 （新加坡） oss-ap-southeast-1 oss-ap-southeast-1.aliyuncs.com 是 oss-ap-southeast-1-internal.aliyuncs.com 是 亚太东南 2 （悉尼） oss-ap-southeast-2 oss-ap-southeast-2.aliyuncs.com 是 oss-ap-southeast-2-internal.aliyuncs.com 是 亚太东南 3 （吉隆坡） oss-ap-southeast-3 oss-ap-southeast-3.aliyuncs.com 是 oss-ap-southeast-3-internal.aliyuncs.com 是 亚太东南 5 (雅加达) oss-ap-southeast-5 oss-ap-southeast-5.aliyuncs.com 是 oss-ap-southeast-5-internal.aliyuncs.com 是 亚太东北 1 （日本） oss-ap-northeast-1 oss-ap-northeast-1.aliyuncs.com 是 oss-ap-northeast-1-internal.aliyuncs.com 是 亚太南部 1 （孟买） oss-ap-south-1 oss-ap-south-1.aliyuncs.com 是 oss-ap-south-1-internal.aliyuncs.com 是 欧洲中部 1 （法兰克福） oss-eu-central-1 oss-eu-central-1.aliyuncs.com 是 oss-eu-central-1-internal.aliyuncs.com 是 中东东部 1 （迪拜） oss-me-east-1 oss-me-east-1.aliyuncs.com 是 oss-me-east-1-internal.aliyuncs.com 是 说明 在分享链接或者做自定义域名绑定（CNAME）的时候建议使用三级域名，即Bucket + Endpoint的形式。以华东2地域内名为oss-sample的Bucket为例，三级域名为oss-sample.oss-cn-shanghai.aliyuncs.com。 使用SDK时，请将 http:// 或 https:// + Endpoint 作为初始化的参数。以华东2的Endpoint为例，建议将初始化参数设置为http://oss-cn-shanghai.aliyuncs.com 或者 https://oss-cn-shanghai.aliyuncs.com，不建议将三级域名（即http://bucket.oss-cn-shanghai.aliyuncs.com）作为初始化参数。 原地址oss.aliyuncs.com 默认指向华东1 地域外网地址。原内网地址oss-internal.aliyuncs.com 默认指向华东 1 地域内网地址。 VPC网络下Region和Endpoint对照表 在VPC网络下的ECS访问OSS可以使用如下的Endpoint： Region中文名称 Region英文表示 VPC网络Endpoint 支持HTTPS 华东 1 oss-cn-hangzhou oss-cn-hangzhou-internal.aliyuncs.com 是 华东 2 oss-cn-shanghai oss-cn-shanghai-internal.aliyuncs.com 是 华北 1 oss-cn-qingdao oss-cn-qingdao-internal.aliyuncs.com 是 华北 2 oss-cn-beijing oss-cn-beijing-internal.aliyuncs.com 是 华北 3 oss-cn-zhangjiakou oss-cn-zhangjiakou-internal.aliyuncs.com 是 华北 5 oss-cn-huhehaote oss-cn-huhehaote-internal.aliyuncs.com 是 华南 1 oss-cn-shenzhen oss-cn-shenzhen-internal.aliyuncs.com 是 香港 oss-cn-hongkong oss-cn-hongkong-internal.aliyuncs.com 是 美国西部 1 （硅谷） oss-us-west-1 oss-us-west-1-internal.aliyuncs.com 是 美国东部 1 （弗吉尼亚） oss-us-east-1 oss-us-east-1-internal.aliyuncs.com 是 亚太东南 1 （新加坡） oss-ap-southeast-1 oss-ap-southeast-1-internal.aliyuncs.com 是 亚太东南 2 （悉尼） oss-ap-southeast-2 oss-ap-southeast-2-internal.aliyuncs.com 是 亚太东南 3 （吉隆坡） oss-ap-southeast-3 oss-ap-southeast-3-internal.aliyuncs.com 是 亚太东南 5 （雅加达） oss-ap-southeast-5 oss-ap-southeast-5-internal.aliyuncs.com 是 亚太东北 1 （日本） oss-ap-northeast-1 oss-ap-northeast-1-internal.aliyuncs.com 是 亚太南部 1 (孟买) oss-ap-south-1 oss-ap-south-1-internal.aliyuncs.com 是 欧洲中部 1 （法兰克福） oss-eu-central-1 oss-eu-central-1-internal.aliyuncs.com 是 中东东部 1 （迪拜） oss-me-east-1 oss-me-east-1-internal.aliyuncs.com 是 金融云下Region和Endpoint对照表 在金融云下的ECS访问OSS只能使用如下的Endpoint： Region中文名称 Region英文表示 ECS访问的内网Endpoint 支持HTTPS 华东 1 oss-cn-hzfinance oss-cn-hzfinance-internal.aliyuncs.com 否 华南 1 oss-cn-shenzhen-finance-1 oss-cn-shenzhen-finance-1-internal.aliyuncs.com 否 华东 2 oss-cn-shanghai-finance-1 oss-cn-shanghai-finance-1-internal.aliyuncs.com 否