前期准备 构造请求 请求地址：{终端节点地址}+{对应接口URL}，详情查看构造请求； 终端节点地址： 对应接口URL：/v1/aiop/api/2f7awxekgvls/face/compare/PERSON/person/compareFromBase64。 认证鉴权 认证鉴权详细版本，点击查看认证鉴权。 1.信息的获取 登录云网门户，在“控制台”>“账号中心”>“安全设置”>“用户AccessKey”点击“查看”获取。 2.基本签名流程 待签字符串：使用规范请求和其他信息创建待签字符串； 计算密钥：使用header、ctyuneopsk、ctyuneopak来创建hmac算法的密钥； 计算签名：使用第三步的密钥和待签字符串在通过hmacsha256来计算签名； 签名应用：将生成的签名信息作为请求消息头添加到HTTP请求中。 3.创建待签名字符串 待签名字符串需要进行签名的header排序后的组合列表+ "n" + 排序的query + "n" + toHex(sha256(原封的body))； 假设你需要将ctyuneoprequestid、eopdate、host都要签名，则待签名的header构造出来是：ctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n； 如果你加入一个ccad的header，同时这个header也需要进行签名，则待签名的header组合：ccad:123nctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n。 4.构造动态密钥 发起请求时，需要构造一个eopdate的时间，这个时间的格式是yyyymmddTHHMMSSZ，言简意赅一些，就是年月日T时分秒Z； 先是用申请的ctyuneopsk作为密钥，eopdate作为数据，算出ktime； 用ktime作为密钥，申请的ctyuneopak作为数据，算出kAk； 用kAk作为密钥，eopdate的年月日值作为数据，算出kdate。 5.签名应用 由“构造动态密钥”和“创建待签名字符串”分别得出来的待签名字符串stringsigture、kdate生成出Signature； 得到EopAuthorization，然后将数据整合成header放在httpclient内，发出即可。

前期准备 构造请求 请求地址：{终端节点地址}+{对应接口URL}，详情查看构造请求； 终端节点地址： 对应接口URL：/v1/aiop/api/2f3rrma38pvk/FileIdentity2/api/v1/textpolitic.json。 认证鉴权 认证鉴权详细版本，点击查看认证鉴权。 1.信息的获取 登录云网门户，在“控制台”>“个人中心”>“安全设置”>“用户AccessKey”点击“查看”获取。 2.基本签名流程 待签字符串：使用规范请求和其他信息创建待签字符串； 计算密钥：使用header、ctyuneopsk、ctyuneopak来创建hmac算法的密钥； 计算签名：使用第三步的密钥和待签字符串在通过hmacsha256来计算签名； 签名应用：将生成的签名信息作为请求消息头添加到HTTP请求中。 3.创建待签名字符串 待签名字符串需要进行签名的header排序后的组合列表+ "n" + 排序的query + "n" + toHex(sha256(原封的body))； 假设你需要将ctyuneoprequestid、eopdate、host都要签名，则待签名的header构造出来是：ctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n； 如果你加入一个ccad的header，同时这个header也需要进行签名，则待签名的header组合：ccad:123nctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n。 4.构造动态密钥 发起请求时，需要构造一个eopdate的时间，这个时间的格式是yyyymmddTHHMMSSZ，言简意赅一些，就是年月日T时分秒Z； 先是用申请的ctyuneopsk作为密钥，eopdate作为数据，算出ktime； 用ktime作为密钥，申请的ctyuneopak作为数据，算出kAk； 用kAk作为密钥，eopdate的年月日值作为数据，算出kdate。 5.签名应用 由“构造动态密钥”和“创建待签名字符串”分别得出来的待签名字符串stringsigture、kdate生成出Signature； 得到EopAuthorization，然后将数据整合成header放在httpclient内，发出即可。

群发助手是为用户提供的批量发送短信的辅助工具，无需进行代码开发，即可使用天翼云云通信控制台的群发助手发送消息，支持发送所有类型的短信模板。 前提条件 完成天翼云账号注册和实名认证。 开通短信服务。具体操作，请参见短信服务。 添加签名和短信模板并通过审核。具体操作，请参见添加签名和添加模板。 操作流程 1. 登录短信服务控制台。 2. 选择群发助手页签，单击添加任务，根据页面提示，填写相关任务信息。 3. 单击提交群发任务。预计十分钟处理完成。 配置信息及说明参照下表： 名称 说明 短信签名 选择短信发送任务的短信签名。 短信模板 根据需要选择相应模板类型和指定模板。 备注：使用群发助手发送验证码会存在一定的时间延迟，不适用于注册，登录等场景。 定时发送 可以根据需要设置短信发送的日期和时间。推荐设置每日8:0021:00的发送任务，尽量避免夜间发送，减少用户投诉。 接收号码 接收号码支持导入号码文件和手动输入接收号码的两种方式，可以选择任意一种方式设置接收号码，支持所有短信模板发送。 导入接收号码文件：单击下载标准模板，根据模板示例填写接收号码和对应变量参数；填写完成后，导入接收号码文件。 手动输入接收号码：参照控制台提示，请添加目标手机号（格式：手机号，参数1，参数2） 注意 ： 单次群发任务最多支持上传2万条号码，请上传csv格式文件，大小在30MB以内。 请根据模板要求填入客户手机号码和变量参数内容，下载标准模板进行发送。 企业认证用户变量内容长度限制为40个字。 手动输入最多支持1000个手机号码。

本文解释平台用量查询的流量与日志统计的流量差异产生的原因。 CDN控制台上可查询带宽流量等统计数据，该数据同时也应用于生成计费账单，其流量会比基于访问日志统计的流量偏多。 原因是CDN日志中记录的流量数据是基于应用层日志中响应消息头+响应body体统计出的流量，而在实际网络请求中产生的网络流量，由于存在TCP/IP包头消耗和TCP重传，要比应用层统计到的流量数据高出7%~15%。因此按照业界标准，应用于账单的计费值会比基于访问日志计算得出的计费值上浮10%。 TCP/IP包头的消耗： HTTP请求是基于TCP/IP协议的，数据包是TCP/IP协议通信传输中的数据单位，我们在使用基于TCP/IP协议的网络时，网络中传递的其实就是数据包。每个数据包的大小最大是1500字节，这1500字节中包括了TCP和IP协议组成的40个字节的包头，这两个协议包头其实也会产生流量，但是却无法被应用层统计到，因此这40个字节的流量就不会被统计到日志里，这部分的流量会占到我们通过日志计算出流量的2.74%（40/1460）以上，即3%左右。 TCP重传： 根据互联网中网络的负载情况，通常情况下，会有接近3%~10%的数据包会因为网络堵塞、设备故障等各种异常情况被丢弃。发生丢包后，服务器会对丢弃的数据包进行重传，这部分的具体操作是由内核层的协议栈处理完成的，通常无法被应用层统计到的，因此在一定程度上也会造成日志统计与实际网络响应流量的差异。 综上所述，天翼云CDN加速产品取平均值10%作为网络层额外消耗的流量比例，即应用于账单的计费值会比基于访问日志计算得出的计费值上浮10%。

前期准备 构造请求 请求地址：{终端节点地址}+{对应接口URL}，详情查看构造请求； 终端节点地址： 对应接口URI：/v1/aiop/api/2z0yhhrzgv0g/tts/predict。 认证鉴权 认证鉴权详细版本，点击查看认证鉴权。 1.信息的获取 登录云网门户，在“控制台”>“账号中心”>“安全设置”>“用户AccessKey”点击“查看”获取。 2.基本签名流程 待签字符串：使用规范请求和其他信息创建待签字符串； 计算密钥：使用header、ctyuneopsk、ctyuneopak来创建hmac算法的密钥； 计算签名：使用第三步的密钥和待签字符串在通过hmacsha256来计算签名； 签名应用：将生成的签名信息作为请求消息头添加到HTTP请求中。 3.创建待签名字符串 待签名字符串需要进行签名的header排序后的组合列表+ "n" + 排序的query + "n" + toHex(sha256(原封的body))； 假设你需要将ctyuneoprequestid、eopdate、host都要签名，则待签名的header构造出来是：ctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n； 如果你加入一个ccad的header，同时这个header也需要进行签名，则待签名的header组合：ccad:123nctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n。 4.构造动态密钥 发起请求时，需要构造一个eopdate的时间，这个时间的格式是yyyymmddTHHMMSSZ，言简意赅一些，就是年月日T时分秒Z； 先是用申请的ctyuneopsk作为密钥，eopdate作为数据，算出ktime； 用ktime作为密钥，申请的ctyuneopak作为数据，算出kAk； 用kAk作为密钥，eopdate的年月日值作为数据，算出kdate。 5.签名应用 由“构造动态密钥”和“创建待签名字符串”分别得出来的待签名字符串stringsigture、kdate生成出Signature； 得到EopAuthorization，然后将数据整合成header放在httpclient内，发出即可。

关系数据库MySQL版支持为部分已创建的实例切换虚拟私有云VPC,并根据实际需要设置子网。本文介绍为实例切换VPC/子网的功能和操作步骤。 注意 除广州4，苏州外II类型资源池都支持该功能，具体支持情况以控制台页面展示为准。更多资源池信息，请参见功能概览。 约束限制 如果主实例已开通只读实例和数据库代理，则不支持切换VPC，需先进行退订。 使用云硬盘备份类型的实例不支持切换VPC，仅对象存储备份类型实例支持。 实例状态不为运行中时，可能会导致切换失败。 受底层网络限制，IPv4和IPv6的VPC和子网无法互相切换。 如果实例有IPv6地址，要求修改后的子网有开启IPv6功能。如果实例没有IPv6地址，要求修改后的子网关闭IPv6功能。 切换VPC时，不可进行弹性IP与IPv6带宽绑定，可于切换后操作。 可用IP数量不足可能导致切换失败，可重试切换VPC或选择其他VPC。 切换VPC后，会为您将切换后的VPC网段加入到白名单配置中，旧的VPC网段可自行前往IP白名单删除。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 在网络 区域，单击虚拟私有云 参数右侧的切换VPC/子网。 5. 在对话框内选择需要切换的VPC，然后选择需要的子网和安全组。 注意 如仅修改子网，则选择同VPC下的其他子网即可，您需注意：子网修改后连接地址会发生变化，会自动将新的网段加入到白名单，可自行前往修改。 6. 勾选同意框，并单击确定，开始切换VPC和子网，期间服务不可用。 切换后，实例状态重回运行中。 您可以在网络区域，看到新的VPC信息。 注意 为防止实例异常影响使用，执行VPC和子网切换后，请确保切换后的网络已加入到白名单中。 切换VPC期间会重启导致服务不可用，并会更换实例的连接地址，请在切换VPC后及时将业务中的连接地址进行变更，建议在业务低峰期切换。 切换VPC后，连接地址会发生切换，如果此前绑定了弹性IP，则会为您将弹性IP绑定到新的连接地址，IPV6带宽与内网域名同理，都会为您自动绑定到新的连接地址。

本节介绍如何申请开通Web应用防火墙（独享版）独享引擎。 前提条件 已获取管理控制台的登录账号（配置WAF Administrator或WAF FullAccess权限策略）与密码。 已成功申请虚拟私有云VPC。 已创建了资源集。 操作须知 申请成功后，独享引擎实例规格不能修改。 创建实例大约需要10分钟。当实例的运行状态为“运行中”时，说明实例已经创建成功。 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 首次申请独享引擎时，在界面左侧，单击“立即申请独享模式”。 步骤5 在“申请Web应用防火墙”界面，配置WAF实例参数如下图。 WAF独享引擎实例参数说明： 参数名称 说明 计费模式 WAF独享引擎实例为按需计费，实例从创建成功开始计费到删除实例时结束计费，按实际使用时长（精确到秒）计费。 区域 原则上，在任何一个区域申请的WAF支持防护所有区域的Web业务。但是为了提高WAF的转发效率，建议您在申请WAF时，根据防护业务的所在区域就近选择申请的WAF区域。 可用区 选择区域中的可用区。 WAF实例名称前缀 设置WAF实例名称前缀，申请多个实例时，实例前缀名称相同。 WAF实例数量 设置申请的WAF实例个数。 WAF实例规格 选择实例的规格。WAF支持500Mbit/s和100Mbit/s两种规格。 CPU架构 选择实例的CPU架构。 CPU规格 选择实例的CPU规格。 预计最终规格 吞吐量的性能参考值。 虚拟私有云 选择源站所在的VPC。 业务网卡 选择VPC中已配置的子网。 安全组 选择区域中已有的安全组，或者单击“管理安全组”，跳转到VPC管理控制台创建新的安全组。选择安全组后，该实例将受到该安全组访问规则的保护。 说明 安全组建议配置以下访问规则： 入方向规则：根据业务需求添加指定端口入方向规则，放通指定端口入方向网络流量。例如，需要放通“80”端口时，您可以添加“策略”为“允许”的“TCP”、“80”协议端口规则。 出方向规则：默认。放通全部出方向网络流量。 如果WAF独享引擎实例与源站不在同一个VPC中，需要在安全组中设置实例与源站的子网互通。 步骤6 确认参数配置无误后，在页面右下角单击“下一步”。 步骤7 确认订单详情无误，单击“立即申请”。 步骤8 单击“返回独享引擎列表”，在独享引擎实例列表界面，可以查看实例的创建情况。

本节介绍订购WAF独享引擎实例的操作步骤。 前提条件 已获取管理控制台的登录账号（配置WAF Administrator或WAF FullAccess权限策略）与密码。 已成功申请虚拟私有云VPC。 已创建了资源集。 操作须知 申请成功后，独享引擎实例规格不能修改。 创建实例大约需要10分钟。当实例的运行状态为“运行中”时，说明实例已经创建成功。 操作步骤 步骤1 登录天翼云账号，在服务列表中找到Web应用防火墙（独享版）。 步骤2 在产品详情页点击立即开通，点击进入订购页面，补充购买信息。 步骤3 确认订单详情无误，单击“立即申请”。 步骤4 单击“返回独享引擎列表”，在独享引擎实例列表界面，可以查看实例的创建情况。实例创建需一定的时间，可在控制台查看运行状态。 WAF独享引擎订购参数说明 参数名称 说明 计费模式 WAF独享引擎实例支持按需和包年包月计费，实例从创建成功开始计费到删除实例时结束计费，按实际使用时长（精确到秒）计费。 区域 原则上，在任何一个区域申请的WAF支持防护所有区域的Web业务。但是为了提高WAF的转发效率，建议您在申请WAF时，根据防护业务的所在区域就近选择申请的WAF区域。 可用区 选择区域中的可用区。 WAF实例名称前缀 设置WAF实例名称前缀，申请多个实例时，实例前缀名称相同。 WAF实例数量 设置申请的WAF实例个数。 WAF实例规格 选择实例的规格。WAF支持500Mbit/s和100Mbit/s两种规格。 CPU架构 选择实例的CPU架构。 CPU规格 选择实例的CPU规格。 预计最终规格 吞吐量的性能参考值。 虚拟私有云 Web应用防火墙（独享版）需要配合VPC使用，购买时选择被防护源站所在的VPC即可。 业务网卡 选择VPC中已配置的子网。 安全组 选择区域中已有的安全组，或者单击“管理安全组”，跳转到VPC管理控制台创建新的安全组。选择安全组后，该实例将受到该安全组访问规则的保护。 安全组建议配置以下访问规则： 入方向规则：根据业务需求添加指定端口入方向规则，放通指定端口入方向网络流量。例如，需要放通“80”端口时，您可以添加“策略”为“允许”的“TCP”、“80”协议端口规则。 出方向规则：默认。放通全部出方向网络流量。 如果WAF独享引擎实例与源站不在同一个VPC中，需要在安全组中设置实例与源站的子网互通。

本节介绍了云数据库GaussDB 的权限管理。 如果您需要对购买的云数据库GaussDB 资源，为企业中的员工设置不同的访问权限，为达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制资源的访问。 如果账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用云数据库GaussDB 服务的其它功能。 通过IAM，您可以在账号中给员工创建IAM用户，并授权控制他们对资源的访问范围。例如您的员工中有负责软件开发的人员，您希望开发人员拥有云数据库GaussDB openGauss版的使用权限，但是不希望他们拥有删除云数据库GaussDB 等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用云数据库GaussDB openGauss版，但是不允许删除云数据库GaussDB openGauss版的权限，控制他们对云数据库GaussDB openGauss版资源的使用范围。 云数据库GaussDB 权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 云数据库GaussDB 部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问云数据库GaussDB 时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。于各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对云数据库GaussDB 服务，管理员能够控制IAM用户仅能对某一类数据库资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分。 云数据库GaussDB 的所有系统权限。 策略名称 描述 类别 云数据库GaussDB FullAccess 云数据库 云数据库GaussDB 服务的所有执行权限。 系统策略 云数据库GaussDB ReadOnlyAccess 云数据库 云数据库GaussDB 服务的只读访问权限。 系统策略 云数据库GaussDB 常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 操作 云数据库GaussDB FullAccess 云数据库GaussDB ReadOnlyAccess 创建云数据库GaussDB实例 √ x 删除云数据库GaussDB实例 √ x 查询云数据库GaussDB实例列表 √ √ 常用操作与对应授权项 操作名称 授权项 备注 创建数据库实例 gaussdb:instance:creategaussdb:param:list 界面选择VPC、子网、安全组需要配置：vpc:vpcs:listvpc:vpcs:getvpc:subnets:getvpc:securityGroups:get创建加密实例需要在项目上配置:kms:cmk:getkms:cmk:list操作失败上报事件监控需要配置："ces:alarmsOnOff:put""ces:alarms:create" 规格变更 gaussdb:instance:modifySpec 操作失败上报事件监控需要配置："ces:alarmsOnOff:put""ces:alarms:create" 扩容节点 gaussdb:instance:modifySpec 操作失败上报事件监控需要配置："ces:alarmsOnOff:put""ces:alarms:create" 磁盘扩容 gaussdb:instance:modifySpec 操作失败上报事件监控需要配置："ces:alarmsOnOff:put""ces:alarms:create" 重启数据库实例 gaussdb:instance:restart 操作失败上报事件监控需要配置："ces:alarmsOnOff:put""ces:alarms:create" 删除数据库实例 gaussdb:instance:delete 操作失败上报事件监控需要配置："ces:alarmsOnOff:put""ces:alarms:create" 查询数据库实例列表 gaussdb:instance:list 无 实例详情 gaussdb:instance:list 实例详情界面展示VPC、子网、安全组，需要对应配置vpc::get和vpc::list。显示磁盘已使用大小，需要配置ces::list。 修改数据库实例密码 gaussdb:instance:modify 操作失败上报事件监控需要配置："ces:alarmsOnOff:put""ces:alarms:create" 修改实例名称 gaussdb:instance:modify 无 绑定/解绑公网IP gaussdb:instance:modify 界面列出公网IP需要配置：vpc:publicIps:getvpc:publicIps:list操作失败上报事件监控需要配置："ces:alarmsOnOff:put""ces:alarms:create" 创建参数模板 gaussdb:param:creategaussdb:param:list 无 修改参数模板 gaussdb:param:modify 无 获取参数模板列表 gaussdb:param:list 无 应用参数模板 gaussdb:param:apply 操作失败上报事件监控需要配置："ces:alarmsOnOff:put""ces:alarms:create 删除参数模板 gaussdb:param:delete 无 创建手动备份 gaussdb:backup:create 操作失败上报事件监控需要配置："ces:alarmsOnOff:put""ces:alarms:create" 获取备份列表 gaussdb:backup:list 无 修改备份策略 gaussdb:instance:modifyBackupPolicy 无 删除手动备份 gaussdb:backup:delete 操作失败上报事件监控需要配置："ces:alarmsOnOff:put""ces:alarms:create" 恢复到新实例 gaussdb:instance:create 界面选择VPC、子网、安全组需要配置：vpc:vpcs:listvpc:vpcs:getvpc:subnets:getvpc:securityGroups:get操作失败上报事件监控需要配置："ces:alarmsOnOff:put""ces:alarms:create 查询项目标签 gaussdb:tag:list 无 批量添加删除项目标签 gaussdb:instance:dealTag 无 修改配额 gaussdb:quota:modify 无

在任务列表中可查看敏感数据识别任务的详细信息 前提条件 已添加OBS、数据库、大数据源资产或MRS，具体操作请参见资产列表。 查看识别任务列表 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择选择“安全 > 数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中，单击“敏感数据识别（新） > 识别任务”，进入识别任务界面查看任务详情，相关参数如下表。 参数 说明 任务名称 识别任务名称。 单击任务名称前方的，查看任务下各个对象执行扫描的具体时间以及识别状态，并在具体对象所在行的“操作”列，可执行以下操作： 单击“停止”，停止对该任务下具体对象的扫描。 单击“立即识别”，立即执行对该任务下具体对象的扫描。 单击“识别结果”，查看该任务下具体对象的扫描结果。 单击“删除”，删除该任务下具体对象。 识别模板 识别模板名称。 执行周期 识别任务的具体执行周期。说明如下： 单次：识别任务仅执行一次。 每天：每天固定时间执行一次识别任务。 每周：每周固定时间执行一次识别任务。 每月：每月固定时间执行一次识别任务。 状态 识别任务的执行状态。 待识别：识别任务在队列中，等待识别。 识别中：正在执行的识别任务。 识别完成：目标任务下的所有识别对象都已成功完成了扫描。 识别异常：目标任务下至少存在一个识别对象执行识别任务失败。 识别终止：正在识别中的任务，被强行停止。 上次识别时间 上一次执行该任务的具体时间。 上次识别结果 上一次该任务扫描的结果，包含内置级别和自定义级别，详情参见新增分级章节。 操作 用户可以在操作栏中，执行以下操作： 立即执行识别任务，具体的参见启动识别任务章节。 查看识别结果，单击“识别结果”，跳转到“ 结果明细”页面，DSC为您提供了详细的结果分析报告，具体的参见查看识别结果章节。 开启任务，当该任务处于关闭状态时，单击“更多> 开启任务”，具体请参见启动识别任务章节。 编辑扫描任务，单击“更多>编辑”，具体请参见配置识别任务。 删除扫描任务，单击“更多>删除”，具体请参见删除识别任务。

本章节主要介绍权限模型。 基于角色的权限控制 FusionInsight通过采用RBAC（rolebased access control，基于角色的权限控制）方式对大数据系统进行权限管理，将系统中各组件零散的权限管理功能集中呈现和管理，对普通用户屏蔽掉了内部的权限管理细节，对管理员简化了权限管理的操作方法，提升权限管理的易用性和用户体验。 FusionInsight权限模型由“用户－用户组－角色－权限”四类对象构成。 权限模型 权限 由组件侧定义，允许访问组件某个资源的能力。不同组件针对自己的资源，有不同的权限。 例如： −HDFS针对文件资源权限，有读、写、执行等权限。 −HBase针对表资源权限，有创建、读、写等权限。 角色 组件权限的一个集合，一个角色可以包含多个组件的多个权限，不同的角色也可以拥有同一个组件的同一个资源的权限。 用户组 用户的集合，当用户组关联某个或者多个角色后，该用户组内的用户就将拥有这些角色所定义的组件权限。 不同用户组可以关联同一个角色，一个用户组也可以不关联任何角色，该用户组原则上将不具有任何组件资源的权限。 说明 部分组件针对特定的默认用户组，系统默认赋予了部分权限。 用户 系统的访问者，每个用户的权限由该用户关联的用户组和角色所对应的权限构成，用户需要加入用户组或者关联角色来获得对应的权限。 基于策略的权限控制 Ranger组件通过PBAC（policybased access control，基于策略的权限控制）方式进行权限管理，可对HDFS、Hive、HBase等组件进行更加细粒度的数据访问控制。 说明 组件同时只支持一种权限控制机制，当组件启用Ranger权限控制策略后，通过FusionInsight Manager创建的角色中关于该组件的权限将失效（HDFS与Yarn的组件ACL规则仍将生效），用户需通过Ranger管理界面添加策略进行资源的赋权。 Ranger的权限模型由多条权限策略组成，权限策略主要由以下几方面组成： 资源 组件所提供的可由用户访问的对象，例如HDFS的文件或文件夹、Yarn中的队列、Hive中的数据库/表/列等。 用户 系统的访问者，每个用户的权限由该用户关联的策略来获得。LDAP中的用户、用户组、角色信息会周期性的同步至Ranger。 权限 策略中针对资源可配置各种访问条件，例如文件的读写，具体可以配置允许条件、拒绝条件以及例外条件等。

在概览页面，可以查看安全防护情况、安全告警情况、用户配置的访问控制策略数量、入侵检测防护开启情况、以及已开启防护的资产上的流量趋势等。 概览主要分为安全防护、安全告警、实例状态、资产防护监控、防护配置、访问控制策略、互联网边界流量趋势、VPC边界流量趋势等统计功能，如下图所示。 安全防护 安全防护展示了防护的总体情况，包括入侵防御拦截数和访问控制拦截数，防护总次数为两项之和。支持查看最近一天、最近三天、最近七天的统计数据。 防护总次数：展示了近期云防火墙（原生版）为您的资产触发的安全防护的总次数，等于入侵防御拦截数与访问控制拦截数的总和。 入侵防御拦截数：展示了入侵防御拦截的数量。点击数字时会跳转至“日志审计 > 入侵防御日志”界面。 访问控制拦截数：展示了访问控制拦截的数量。点击数字时会跳转至“日志审计 > 访问控制日志”界面。

本节介绍如何开启Cookie安全属性。 当“对外协议”配置为HTTPS时，WAF支持开启“Cookie安全属性”，开启后会将Cookie的HttpOnly和Secure属性设置为true。 Cookie是后端Web Server插入的，可以通过框架配置或setcookie实现，其中，Cookie中配置Secure，HttpOnly有助于防范XSS等攻击获取Cookie，对于Cookie劫持有一定的防御作用。 Appscan扫描器在扫描网站后发现客户站点没有向扫描请求Cookie中插入HttpOnly Secure等安全配置字段将记录为安全威胁。 约束条件 “对外协议”包含“HTTP”时，“Cookie安全属性”默认为关闭状态，不支持开启。 操作步骤 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 单击页面左上角的“服务列表”，选择“安全 > Web应用防火墙（独享版）”。 4. 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。 5. 在目标网站所在行的“域名”列中，单击目标网站，进入网站基本信息页面。 6. 在“高级配置”栏中“Cookie安全属性”列单击，开启Cookie安全属性。

本页主要介绍查看备份文件的md值校验方法和步骤。 使用场景 对于某些数据较多，文件较大的备份文件，备份时间可能较长，可能存在备份上传到对象存储前后文件缺失的情况，因此可以通过md5值进行校验，来判断是否为最原始的数据文件，如果前后一致则可以保证恢复的数据无误，如果不一致，则可能需要重新备份。 条件限制 仅针对备份空间是对象存储类型的实例。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入基本信息页面。 4. 单击备份恢复 ，进入基础备份列表页签，选择数据备份。 5. 在需要确定的备份文件后面，点击更多中的校验。 6. 在弹窗中可以看到校验前后的md5值和校验结果。

本节介绍翼打印的应用场景。 典型场景 国产化转型 翼打印提供零成本适配各国产品牌打印机方案，轻松实现国产化转型。 大型组织办公场景 通过AI云电脑（政企版）管理台策略分配一键实现翼打印，无需单台安装驱动，同时支持针对性设置打印机使用权限。 安全敏感场景打印 支持打印水印+打印审计，在安全敏感场景下对打印产出物与打印行为进行控制监测，保障打印行为安全性。 场景案例 场景对象 某大型企业使用打印机人员较多且频繁，打印机数量较多，维护打印机驱动与配置工作任务重。 核心诉求 （1） 减轻打印机日常维护成本； （2） 减少使用人员接入打印机的操作步骤； （3） 增加打印文件的安全性。 解决方案 （1）接入翼打印服务桌面，服务端提供与维护所有设备型号的打印机驱动，工作人员无需再关注驱动更新与兼容性问题； （2）在管理台策略给打印机使用人员开通翼打印服务，自动发现打印机，无需配置任何内容； （3）提供打印行为数据审计服务，企业资料安全性得到进一步提升。

本节介绍如何导出告警列表。 支持导出的告警：基线检测、漏洞扫描、弱口令检测、异常登录、暴力破解、后门检测、可疑操作、反弹shell、进程提权、Webshell、端口蜜罐、病毒查杀、文件防勒索、文件完整性保护等告警。 支持导出的格式：支持“.csv”格式。 操作步骤 如下以导出异常登录告警为例，介绍导出告警的详细步骤。 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“入侵检测 > 异常登录”，进入异常登录页面。 3. 单击告警列表右上角的“导出”图标，导出告警列表。 若只需要导出某一类告警或某一段时间内的告警，可以先筛选告警，再进行导出。支持按照告警类型、时间、状态、登录源IP、登录账号、服务器名称、服务器IP进行筛选。 4. 页面右上角会显示导出状态，当导出完成后，单击“下载”，将告警列表下载到本地。 注意 若“关闭”页面，此时告警列表还未下载到本地，若需要下载，则需要重新导出。

威胁处置 威胁处置支持恢复被隔离的文件，支持解封被隔离的IP。 恢复文件：支持恢复被隔离的文件，恢复至原文件路径。 解封IP：手动解放被禁止访问的IP地址，解封后对应IP可正常访问服务器。 导出告警 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“入侵检测 > 告警中心”，进入告警中心页面。 3. 单击告警列表右上角的“导出”按钮，导出告警。 如果您只需要导出某个ATT&CK攻击阶段的告警或某一类告警，您可以先选中相应的ATT&CK攻击阶段或告警事件类型，再单击“导出”按钮。 4. 页面右上角会显示导出状态，当导出完成后，单击“下载”，将告警列表下载到本地。 注意 若“关闭”页面，此时告警列表还未下载到本地，若需要下载，则需要重新导出。

本文介绍RDSPostgreSQL内核发版记录。 RDSPostgreSQL支持的社区版本及发布日期如下表所示。 发布日期 版本修改说明 202205 Ⅰ类资源池：新增 PostgreSQL 12.3版本 202304 Ⅱ类资源池：新增 PostgreSQL 14.6版本 202306 Ⅱ类资源池：新增 PostgreSQL 13.9版本 202310 Ⅱ类资源池：升级内核小版本至 PostgreSQL 12.16、13.12、14.9版本，并修复部分漏洞 202312 Ⅱ类资源池：新增 PostgreSQL 15.4版本 202409 Ⅱ类资源池：升级内核小版本至 PostgreSQL 12.20、13.16、14.13、15.8版本，并修复部分漏洞 202501 Ⅱ类资源池：西南1新增 PostgreSQL 16.4版本 202503 Ⅱ类资源池：放开全网Ⅱ类资源池 PostgreSQL 16.4版本 202504 Ⅱ类资源池：升级内核小版本至 PostgreSQL 12.22、13.20、14.17、15.12、16.8版本，并修复部分漏洞 202506 Ⅱ类资源池：部分资源池新增 PostgreSQL 17.5版本 202507 Ⅱ类资源池：PostgreSQL 12~16版本新增适配rdkit插件

本页介绍RDSPostgreSQL如何删除手动备份。 操作场景 RDSPostgreSQL支持对存在的实例删除手动备份，用户可以通过删除手动备份，将多余的手动备份删除，节省磁盘资源。 注意 手动备份删除后，不可恢复，请谨慎操作。 操作步骤 1. 登录天翼云官网。 2. 点击控制中心，进入控制中心后，选择目标资源池。 3. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 4. 在左侧菜单中点击【PostgreSQL】→【实例管理】，点击进入产品实例管理页。 5. 在【实例管理】的实例列表中选择目标实例，点击指定的实例，进入单个实例管理详情页。 6. 在详情页中点击备份恢复页签，进入备份恢复功能页，点击目标备份记录后的【删除】按钮。 7. 在弹出的页面中，点击确定进行删除，点击取消，则不进行删除。 注意 如下备份不可被删除： 自动备份。 恢复中的备份。 复制中的备份。 不同资源池因IaaS资源能力等原因，加载版本有所差异，操作步骤有细微差异，请以实际界面为准，功能加载情况详见

本文介绍了如何查看RDSPostgreSQL实例SSL链路加密。 操作场景 客户从内外网连接实例时使用SSL链路加密通信，防止实例数据被泄露。 前提条件 当前实例状态为运行中。 操作步骤 1. 登录天翼云门户。 2. 点击控制中心，进入控制中心后，选择目标资源池。 3. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 4. 在左侧菜单中点击【PostgreSQL】→【实例管理】，点击进入产品实例管理页。 5. 在【实例管理】的实例列表中选择目标实例，点击实例名称进入实例管理详情页。 6. 在实例详情页，选择SSL设置栏中，点击最右侧的开启按钮，选择云端证书或自定义证书开启SSL。 7. 开启成功后，可在实例详情页查看SSL开启状态，以及其证书有效期。 注意 不同资源池因iaas资源能力等原因，加载版本有所差异，详见

本节介绍服务器安全卫士（原生版）产品优势。 统一管理和运维 天翼云控制台上统一查看服务器资产和各项风险，快速构建安全可视化运维平台。自动收集云上服务器数据，实现云上安全威胁实时管控，让安全没有死角。 三位一体全面防护 提供事前预防、事中防御、事后检测的全面防护，全面降低服务器入侵风险。 防护资源占用少 正常的系统负载情况下，CPU占用率低，内存占用小，消耗极低；在系统负载过高时，Agent会主动降级运行，严格限制对系统资源的占用，确保业务系统正常运行。 用户使用方便快捷 无需登录云主机进行安装，简单配置防护策略即可实现防护；全部操作都有可视化界面，方便用户使用；平台级产品，用户无需切换资源池即可查看全部情况。 防护机制安全可靠 有先进的检测技术和丰富的检测库，提供精准防御，做到全方位安全防护；对Agent进程加壳防护，防止被篡改，采用加密传输与服务端通信，保证数据安全。通过5000+台服务器的运行实践，稳定性高达99.9%，2分钟内离线自动重启机制，保障系统始终处于检测状态。

本文介绍脱敏算法的相关功能，包括新增脱敏算法、查看脱敏算法列表、编辑/查看脱敏算法、删除脱敏算法和类似创建脱敏算法，并介绍系统内置脱敏算法。 前提条件 用户需要具有进入敏感数据保护页面的菜单权限，菜单权限参考权限说明。 敏感数据保护为企业版功能，请切换到DMS企业版后使用该功能，切换步骤及实例注意事项详见版本说明。 当前仅支持MySQL、PostgreSQL、SQL Server、DRDS数据库。 操作步骤 1. 登录数据管理服务DMS系统。 2. 在左侧菜单栏依次点击数据资产 > 敏感数据保护。 3. 在敏感数据保护页面中，选择脱敏算法页签。 注意事项 组织版本由基础版切换为企业版时，需要超级管理员补充托管的账密。 功能介绍 新增脱敏算法 除系统内置脱敏算法外，用户可以自定义脱敏算法，并应用到敏感列上。 1. 登录数据管理服务。 2. 在左侧菜单栏中，选择数据资产 > 敏感数据保护，进入敏感数据保护页面。 3. 在顶部菜单栏中，选择脱敏算法页签，进入脱敏算法页面。 4. 在脱敏算法页面，点击左上角的新增算法按钮，弹出新增算法侧边栏。 5. 在新增算法侧边栏中，可以配置算法名称、数据库类型、一级分类、二级分类、算法描述、原始数据，配置完成后点击确定按钮即可提交算法。 6. 具体配置说明如下表： 配置名 配置项 配置说明 算法名称 / 具有唯一性，不能与组织内已有算法名称重复 数据库类型 / 脱敏算法只能应用于对应数据库类型的敏感列，不支持编辑脱敏算法的数据库类型 一级分类 哈希 包含MD5二级分类 一级分类 变换 包含数字去精度、日期取整二级分类 一级分类 掩码 包含保留前x后y、保留前x至y、遮盖前x后y、遮盖前x至y、特殊字符前遮盖、特殊字符后遮盖二级分类 二级分类 MD5 需要配置盐值，可以将字符串值脱敏为其MD5值 二级分类 数字去精度 需要配置保留小数点位数，可以将小数值脱敏为保留至指定位数 二级分类 日期取整 需要配置取整单位，包括年、月、日、时、分、秒，可以将日期值脱敏为保留至指定时间单位 二级分类 保留前x后y 需要配置前、后的保留位数以及遮盖符，保留位数必须大于0，遮盖符包括&、

若需配置钉钉群接收告警，或在联系人模块中添加钉钉机器人，需先在目标钉钉群内获取自定义机器人的 Webhook 地址。本文将详细介绍获取该地址的具体操作流程。 前提条件 已在钉钉中创建需要接受告警的钉钉群。 操作步骤 1. 进入PC版钉钉，打开所需要添加报警机器人的钉钉群，并单击右上角的群设置图标。 2. 在群设置 面板中点击机器人添加机器人。 3. 选择添加自定义。 4. 在机器人详情 对话框单击添加。 5. 在添加机器人对话框中执行以下操作。 1. 设置机器人头像和名字。 2. 安全设置 选中自定义关键词，可设置关键词为告警。 3. 选中我已阅读并同意《自定义机器人服务及免责条款》。 4. 单击完成。 6. 完成后即可复制机器人webhook地址。 相关文档 获取到自定义机器人Webhook地址之后，您可以参考【钉钉机器人】，创建接收告警的钉群对象。

本文为您介绍Web应用防火墙（原生版）的应用场景。 场景一： 网站应用防数据泄露 恶意访问者通过SQL注入，网页木马等攻击手段，入侵网站数据库，窃取业务数据或其他敏感信息。 方案优势 精准识别恶意流量，全面防护SQL注入、XSS、Webshell上传、目录遍历、后门隔离等各类常见Web攻击。 根据会话特征有效识别恶意爬虫，防止数据泄露。 目标用户 互联网 + 企业Web服务、电商O2O站点、金融政务网站 场景示意图 场景二：CC攻击防护 网站被发起大量的恶意CC请求，长时间占用核心资源，导致网站业务响应缓慢或无法正常提供服务。 方案优势 可根据IP或者会话Session设置灵活的限速策略，精准识别CC攻击，保障业务稳定运行。 用户可根据业务需要，自主控制访问频率，并配置期望的处置动作，满足业务定制化需要。 场景示意图 场景三：0Day漏洞修复 第三方框架或插件爆发0Day漏洞时，需要通过下发虚拟补丁，第一时间防护由漏洞引发的攻击。

您可以随时手动续订包年包月的DDoS高防（边缘云版）服务，本文介绍手动续订操作方式。 续订规则 用户随时可以手动续订包月包年且未退订、未释放的资源，延长相关资源的使用时间。 手动续订方式 官网控制中心产品视图中找到需要续订的产品，点击“手动续订”，根据使用需要调整续订周期后，提交续订订单。 当续订周期达到1年或以上时，续订单将可享受包年折扣。 手动批量续订 用户可以一次性手动续订多个包月包年且未退订、未释放资源，最多一次性续订50个资源。 批量续订方式：进入控制中心费用中心续订管理页面，通过筛选资源到期时间、筛选产品类型等，找到并勾选所需续订的多个资源，点击“批量续订”。 下单前如需确认资源详情，可点击右侧的下拉键查看资源ID、配置等。 批量续订的多个资源续订周期相同，如需对不同资源续订不同周期，需要分别下不同的续订订单。

本章介绍如何使用主子账号体系管理子账号权限 概述 分布式消息服务MQTT已接入主子账号体系，可区分两种账号权限，实现主账号对子账号的数据权限管理与功能权限管理，支持系统策略和自定义策略的授权方式。本章介绍如何使用主子账号体系管理子账号权限。 背景 1. 主账号 ：用户在天翼云注册后自动创建，该账号对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，由于账号是付费主体为了确保账号安全，建议创建子用户来进行日常管理工作。 2. 子账号 ：主账号认证为企业账号后，在天翼云用户中心页面创建出来的账号。子账号的用户名、密码统一由主账号创建管理。子账号同样可以登录访问天翼云控制台，登录入口与主账号相同，受主账号赋予的权限限制。 3. 企业项目： 将云资源、企业成员按项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用项目内云资源的权限受用户组的授权限制。 注意 一个实例只能归属一个企业项目（可变更），一个子账号可以同时在多个企业项目中。 4. 策略： 是描述一组权限集的语言，它可以精确地描述被授权的资源集和操作集，通过策略，用户可以自由搭配需要授予的权限集。通过给用户组授予策略，用户组中的用户就能获得策略中定义的权限。 5. 系统策略： 系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对组件的只读权限、普通用户权限和管理员权限等等；系统策略只能用于授权，不能编辑和修改。 6. 数据权限： 看到的数据不一样。主账号看到所有实例，子账号只能看到所属项目中的实例。 7. 功能权限： 主账号可以进行所有控制台操作，子账号对单个组件实例拥有的操作权限由主账号授权。 8. 功能权限授权： 给子账号在企业项目A下增加一个策略，即代表该子账号对企业项目A下的实例拥有了策略中定义的权限，策略以外的操作会被禁止。

本章介绍如何使用主子账号体系管理子账号权限 概述 分布式消息服务RabbitMQ已接入主子账号体系，可区分两种账号权限，实现主账号对子账号的数据权限管理与功能权限管理，支持系统策略和自定义策略的授权方式。本章介绍如何使用主子账号体系管理子账号权限。 背景 1. 主账号：用户在天翼云注册后自动创建，该账号对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，由于账号是付费主体为了确保账号安全，建议创建子用户来进行日常管理工作。 2. 子账号：主账号认证为企业账号后，在天翼云用户中心页面创建出来的账号。子账号的用户名、密码统一由主账号创建管理。子账号同样可以登录访问天翼云控制台，登录入口与主账号相同，受主账号赋予的权限限制。 3. 企业项目：将云资源、企业成员按项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用项目内云资源的权限受用户组的授权限制。 注意 一个实例只能归属一个企业项目（可变更），一个子账号可以同时在多个企业项目中。 4. 策略： 是描述一组权限集的语言，它可以精确地描述被授权的资源集和操作集，通过策略，用户可以自由搭配需要授予的权限集。通过给用户组授予策略，用户组中的用户就能获得策略中定义的权限。 5. 系统策略： 系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对组件的只读权限、普通用户权限和管理员权限等等；系统策略只能用于授权，不能编辑和修改。 6. 数据权限： 看到的数据不一样。主账号看到所有实例，子账号只能看到所属项目中的实例。 7. 功能权限： 主账号可以进行所有控制台操作，子账号对单个组件实例拥有的操作权限由主账号授权。 8. 功能权限授权： 给子账号在企业项目A下增加一个策略，即代表该子账号对企业项目A下的实例拥有了策略中定义的权限，策略以外的操作会被禁止。

若需配置钉钉群接收告警，或在联系人模块中添加钉钉机器人，需先在目标钉钉群内获取自定义机器人的 Webhook 地址。本文将详细介绍获取该地址的具体操作流程。 前提条件 已在钉钉中创建需要接受告警的钉钉群。 操作步骤 1. 进入PC版钉钉，打开您想要添加报警机器人的钉钉群，并单击右上角的群设置图标。 2. 在群设置 面板中点击机器人添加机器人。 3. 在智能群助手 面板单击添加机器人 ，继续单击添加机器人 ，然后选择添加自定义。 4. 在机器人详情 对话框单击添加。 5. 在添加机器人对话框中执行以下操作。 1. 设置机器人头像和名字。 2. 安全设置 选中自定义关键词，设置关键词为告警。 3. 选中我已阅读并同意《自定义机器人服务及免责条款》。 4. 单击完成。 6. 复制生成的机器人Webhook地址，然后单击完成 。 相关文档 获取到自定义机器人Webhook地址之后，您可以参考【钉钉机器人】，创建接收告警的钉群对象。

术语与缩略语 描述 ALUA Asymmetric Logical Unit Access，非对称逻辑单元访问。 CHAP Challenge Handshake Authentication Protocol，质询握手认证协议。 DSM Device Specific Module，设备特定模块。 EndPoint OOS的域名地址。 IQN iSCSI Qualified Name，iSCSI限定名。 iSCSI Internet Small Computer System Interface，互联网小型计算机系统接口。 I/O Input/Output，输入/输出。 LUN Logical Unit Number，逻辑单元号。 MPIO MultiPath I/O，多路径IO管理。 NFS Network File System，网络文件系统。 NTP Network Time Protocol，网络时间协议。 OOS ObjectOriented Storage，天翼云对象存储（经典版）I型。是天翼云为客户提供的一种海量、弹性、廉价、高可用的存储服务。 OOS Bucket OOS提供的存储Object的容器。OOS系统的每个Object都必须包含在一个Bucket中。 RAID Redundant Arrays of Independent Disks，独立磁盘冗余阵列。 SAN Storage Area Network，存储区域网络。 SPC SCSI（Small Computer System Interface，小型计算机系统接口） Primary Commands，SCSI基础命令。 SSD Solid State Disk，固态硬盘。 SSL Secure Sockets Layer，安全套接字协议。

本文介绍迁移实例节点可用区功能。 注意 仅 华北2 Ⅱ类型资源池支持该功能，Ⅰ类型资源池不支持该功能，具体支持情况以控制台页面展示为准。更多资源池信息，请参见功能概览。 前提条件 实例状态为运行中。 实例内核小版本为最新，如实例内核小版本非最新，请先升级数据库内核小版本。 约束限制 只读实例和代理节点不支持迁移可用区。 开启透明加密的实例不支持迁移可用区。 实例所在资源池需要有多个可用区才支持迁移可用区功能，单可用区的不支持迁移。 开启SSL数据加密的实例不支持迁移可用区，如需迁移，请先关闭SSL。 影响 迁移可用区过程中可能会出现数次闪断，请确保应用具有自动重连机制。 迁移可用区任务完成时间和用户设置的迁移策略与用户数据量相关。在发起迁移可用区请求后到迁移可用区结束过程中您将不可以进行重启、退订等操作。 如果迁移的目标可用区资源不足可能导致迁移可用区失败。 迁移可用区之后，将触发一次全量备份，以保证高频备份的增量备份功能正常。 迁移可用区后，数据库实例的节点信息发生变更，若实例已开启数据库代理，会回到系统配置，可以在数据库代理页面重新设置节点权重，以刷新后端的节点信息。 操作步骤 注意 迁移前的SQL审计日志（如开启）、慢查询日志、错误日志等均不随之迁移。 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库PostgreSQL版 ，进入关系数据库PostgreSQL版产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择PostgreSQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 单击可用区信息 区域右侧的迁移可用区 ，进入迁移可用区页面。 5. 配置如下迁移相关参数，单击提交。 参数 说明 可用区 选择迁移的目标可用区。 说明 主备实例选择不同可用区，可以具备跨可用区故障容灾的能力。 切换时间 选择迁移时间，取值范围如下： 立即切换 用户指定时间段生效 注意 默认选择的迁移时间为立即迁移，请确认在业务低峰期执行该动作。 若您选择在指定时间段迁移，您可以指定的时间距离当前时间最长不超过72小时，若您指定的时间距离当前时间小于1小时则会立即触发迁移。 6. 若您选择了同时变更配置则会跳转至订单支付页，您需要按照页面提示完成支付。 您可以在 PostgreSQL > 任务列表页面，查看迁移可用区任务的进度。

本文带您了解如何使用告警规则。 操作场景 支持根据需要灵活创建告警规则，既可以使用系统默认告警模板，也可以对具体监控指标进行自定义告警规则的设置。 当资源的监控指标达到告警条件，云监控将向您发送告警消息，报告异常监控数据，帮助您及时掌握异常状态并处理，保证业务顺畅进行。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“告警服务”下拉菜单，单击“告警规则”，进入告警规则详情页面。 5. 在“告警规则”界面，单击“创建告警规则”按钮，进入告警规则创建页面。 6. 在“创建告警规则”页面，根据界面提示配置参数。 配置参数如下： 参数 参数说明 规则类型 选择规则的类型，主要包括指标监控、事件监控、站点监控三种。 云服务 配置告警规则监控的云服务资源类型。 维度 用于指定告警规则对应指标的维度名称。 监控对象 用来配置该告警规则针对的具体资源，可以是一个或多个。 选择类型 可以选择从模板导入或自定义创建。 模板 选择需要导入的模板。 发送通知 配置是否发送邮件通知用户，可以选择“是” （推荐选择）或者“否”。 选择告警联系组 配置发生告警通知的用户组。 重复告警 告警发生后，如果监控项未恢复正常，之后间隔多久再次发送告警。 触发场景 触发告警邮件的场景，可在告警及恢复时发送提醒信息。 通知周期 配置告警通知的周期时间。 通知时段 配置告警通知的时间段。 通知方式 配置告警通知的通知方式，支持邮箱及短信。 名称 该告警规则的自定义名称。 企业项目 选择告警规则适用的企业项目。 描述 添加对该告警规则描述（此参数非必填项）。

前期准备 构造请求 请求地址：{终端节点地址}+{对应接口URL}，详情查看构造请求； 终端节点地址： 对应接口URI：/v1/aiop/api/2hfksnibjaos/facefasaction/person/detectFasFromBase64。 认证鉴权 认证鉴权详细版本，点击查看认证鉴权。 1.信息的获取 登录云网门户，在“控制台”>“账号中心”>“安全设置”>“用户AccessKey”点击“查看”获取。 2.基本签名流程 待签字符串：使用规范请求和其他信息创建待签字符串； 计算密钥：使用header、ctyuneopsk、ctyuneopak来创建hmac算法的密钥； 计算签名：使用第三步的密钥和待签字符串在通过hmacsha256来计算签名； 签名应用：将生成的签名信息作为请求消息头添加到HTTP请求中。 3.创建待签名字符串 待签名字符串需要进行签名的header排序后的组合列表+ "n" + 排序的query + "n" + toHex(sha256(原封的body))； 假设你需要将ctyuneoprequestid、eopdate、host都要签名，则待签名的header构造出来是：ctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n； 如果你加入一个ccad的header，同时这个header也需要进行签名，则待签名的header组合：ccad:123nctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n。 4.构造动态密钥 发起请求时，需要构造一个eopdate的时间，这个时间的格式是yyyymmddTHHMMSSZ，言简意赅一些，就是年月日T时分秒Z； 先是用申请的ctyuneopsk作为密钥，eopdate作为数据，算出ktime； 用ktime作为密钥，申请的ctyuneopak作为数据，算出kAk； 用kAk作为密钥，eopdate的年月日值作为数据，算出kdate。 5.签名应用 由“构造动态密钥”和“创建待签名字符串”分别得出来的待签名字符串stringsignature、kdate生成出Signature； 得到EopAuthorization，然后将数据整合成header放在httpclient内，发出即可。