本文罗列了与云服务商账号管理有关的常见问题。
添加云服务商账号时,您需要提供 API 访问凭证。API 访问凭证是高度机密的,您的担心是有必要的并且可以理解。但是您可以放心的是,多云CDN遵守火山引擎的 SaaS 安全基线要求,落实租户隐私数据及业务数据访问控制,高度保障云上租户隐私数据及业务数据安全。同时,在多云CDN中,任何人都无法以明文形式查看账号的 API 访问凭证,包括您本人。该机制可以避免 API 访问凭证的泄露。
您也可以采取以下安全最佳实践,来更加保障数据安全:
遵循最小化授权原则
在多云CDN中添加公有云服务商账号时,我们不建议您使用主账号的 API 访问凭证。因为主账号的权限很大。我们建议您在公有云服务商处创建子账号。在多云CDN中添加账号时,使用子账号的 API 访问凭证。
您可以在公有云服务商处限定子账号的权限,把风险限制在可控范围内。一般建议您根据想要使用的多云CDN功能,仅为子账号授予这部分功能的接口访问权限。
更多信息,请参见云服务商账号授权概述。
使用可信代理方案
可信代理是一个部署在用户侧的开源代理软件,能够处理并转发多云CDN的请求到云服务商。该软件允许您在使用多云CDN时,无需向多云CDN提供云服务商的真实 API 访问凭证。您将可信代理软件安装到受信任的服务器上,使该服务器充当代理服务器。代理服务器用于托管云服务商的真实 API 访问凭证,及配置与之对应的代理 API 访问凭证。
可信代理服务启动后,您可使用代理凭证在多云CDN中添加云服务商账号。多云CDN使用代理凭证调用云服务商的 API,相关请求由代理服务器转发到云服务商。
更多信息,请参见添加可信代理账号。
常见的导致同步失败的原因如下表所示。
| 原因 | 说明 | 推荐的解决方案 |
|---|---|---|
API 访问凭证错误 | 如果您提供的 API 访问凭证(如 AK&SK、密钥、Token 等)不正确或已过期,那么多云CDN无法使用该凭证成功调用 CDN 服务商的 API 接口,以同步 CDN 加速域名。 | 请提供准确、有效的 API 访问凭证。 |
| 权限不足 | 如果 API 访问凭证所属云服务商账号/子账号没有访问 CDN 加速域名的权限,同步将会失败。 | 请确保您在云服务商系统中为账号授予 CDN 加速域名的访问权限。关于如何在不同云服务商系统中为账号/子账号授权,请参见云服务商账号授权。 |
| 云服务商有接口调用限制 | 部分 CDN 服务商对 API 的调用次数、频率或并发请求数有相应限制。如果多云CDN发起的同步请求超出了接口的使用限制,同步将会失败。 | 请确保同步请求满足 CDN 服务商的接口使用限制。您可以通过编辑数据同步设置,来修改多云CDN自动同步域名的时间间隔。更多信息,请参见数据同步。 |
| 云服务商故障 | 如果 CDN 服务商的系统出现故障或在正在维护,可能会导致同步失败。 | 请联系 CDN 服务商了解并解决问题。 |
| 网络连接问题 | 如果多云CDN与云服务商之间出现网络连接问题,导致多云 CDN 服务器无法访问 CDN 厂商的 API 接口,则会导致多云CDN无法同步 CDN 加速域名。 | 请稍候重试。 |
如果您收到了同步成功的提示,但是却没有看到任何加速域名,可能有以下原因。
| 原因 | 说明 | 推荐的解决方案 |
|---|---|---|
账号没有访问域名的权限 | 通常,CDN 服务商的权限设置分为接口权限和资源权限。如果您的账号未设置资源权限或者仅被分配了部分资源的权限,那么多云CDN虽然可以调用云服务商接口,但可能无法获取到加速域名或仅能获取到部分加速域名。 | 建议您使用该账号登录云服务商控制台,前往CDN产品控制台,查看加速域名列表是否与多云CDN控制台一致。如果您在云服务商控制台无法查看加速域名,则说明当前账号的权限设置有问题。您可以联系云服务商或按照多云CDN的云服务商账号授权文档为该账号/子账号授权。 |
CDN 服务商操作延迟 | 在某些情况下,即使同步请求成功了,CDN 服务商可能需要一些时间来返回加速域名给多云CDN。这可能是由于云服务商的内部处理流程或异步操作导致的。 | 请等待一段时间,确保多云CDN已经从云服务商处获得了 CDN 加速域名。 |
参见使用限制。
目前多云CDN可以管理的产品是公有云服务商的内容分发网络(CDN)、全站加速(DCDN)类型的产品。更多信息,请参见使用限制。
不可以。您必须有公有云服务商的账号并在公有云服务商处完成账号授权,您才可以在多云CDN绑定相应账号。
不支持。您必须在公有云服务商处先开通 CDN。
根据账号类别,API 访问凭证可分为 主账号凭证 及 子账号凭证。分别具备以下权限:
参见云服务商账号授权并授予子账号所需的最小权限。