请求示例 更新IAM用户登录安全策略设置。 POST / HTTP/1.1 Host: ooscniam.ctyunapi.cn Connection: KeepAlive xamzcontentsha256: UNSIGNEDPAYLOAD Authorization: SignatureValue XAmzDate: 20211214T024257Z ContentType: application/octetstream ContentLength: 124 ActionUpdateAccountLoginSecurityPolicy&Version20100508&PeriodWithLoginFailures20&AllowSingleUsersSimultaneousLogintrue 响应示例 HTTP/1.1 200 OK xamzrequestid: 9f1f4d6e6d1d4ab8 Date: Tue, 14 Dec 2021 02:42:57 GMT ContentType: text/xml;charsetUTF8 ContentLength: 161 Server: CTYUN 9f1f4d6e6d1d4ab8

参数 类型 描述 是否必须 timestamp Int64 时间戳，单位纳秒 是 OriMsg string 原始日志内容 是 contents Dictionary<string, object""> 日志内容，分词后的内容，可用于索引 否 labels Dictionary<string, object""> 自定义标签 否

本节介绍了使用RedisShake工具离线迁移自建Redis Cluster集群的相关内容。 RedisShake是一款开源的Redis迁移工具，支持Cluster集群的在线迁移与离线迁移（备份文件导入）。DCS Cluster集群与Redis Cluster集群设计一致，数据可平滑迁移。与在线迁移相比，离线迁移适用于源实例与目标实例的网络无法连通，或者源端实例部署在其他云厂商Redis服务中，无法实现在线迁移的场景。 本文以Linux系统环境为例，介绍如何使用RedisShake工具将自建的Redis Cluster离线迁移到DCS Cluster集群。 前提条件 已创建DCS Cluster集群Redis，创建Redis的方法，请参见创建实例。 创建的目标Redis内存规格不能小于源Redis。 已创建弹性云主机ECS。ECS请选择与DCS Cluster集群实例相同虚拟私有云、子网和安全组。 获取源Redis和目标Redis节点信息 1. 分别连接源端和目标端Redis。连接Redis的方法请参考使用rediscli连接Redis实例。 2. 在线迁移Cluster集群时需要将Cluster集群各个节点数据分别迁移。执行如下命令分别查询源端和目标Cluster集群的所有节点的IP地址与端口： rediscli h {redisaddress} p {redisport} a {redispassword} cluster nodes {redisaddress}为Redis的连接地址，{redisport}为Redis的端口，{redispassword}为Redis的连接密码。 在命令返回的结果中，获取所有master节点的IP端口。

本节介绍了创建云主机启动模板。 启动模板概述 云主机启动模板是天翼云提供的创建云主机的配置信息模板，包括镜像、规格、系统盘及数据盘类型和容量、网络配置、安全组、标签、登录信息等。 模板配置成功后，即可多次快速创建相同配置云主机，无需重新指定模板中已配置的参数，缩短部署时间。 若模板中配置不能满足您本次云主机创建时的需要，您可以在创建云主机环节在创建云主机页面修改相关参数。需注意的是，修改仅影响此次创建云主机操作，不影响模板内容。具体使用可查看使用云主机启动模板创建云主机。 前提条件及限制 不可跨地域使用云主机启动模板，例如不能使用华东1地域的模板创建华北2地域的云主机； 单地域最多可创建20个启动模板，如需调整请提交工单。 操作步骤 1. 登录控制中心。 2. 单击控制中心顶部的，选择“地域”。 3. 单击左侧导航栏“产品服务列表”，选择“计算 >弹性云主机 > 云主机启动模板”，进入云主机启动模板控制列表页。 4. 点击页面右上角“创建启动模板”。 5. 在启动模板中配置云主机基础配置、网络配置、高级配置信息，配置项填写可参考创建弹性云主机中步骤1、步骤2及步骤3。 6. 确认配置中，优先需要确认本次填写的所选配置，其次需要填写模板名称与模板描述。 7. 确认无误后，点击右下角“创建启动模板”。

本节主要介绍OBS的存储类别。 OBS支持桶级和对象级存储类别。 存储类别可以分为：标准存储、低频访问存储、归档存储。 不同的存储类别可以满足客户业务对存储性能、成本的不同诉求。 标准存储访问时延低和吞吐量高，因而适用于有大量热点文件（平均一个月多次）或小文件（小于1MB），且需要频繁访问数据的业务场景，例如：大数据、移动应用、热点视频、社交图片等场景。 低频访问存储适用于不频繁访问（平均一年少于12次）但在需要时也要求快速访问数据的业务场景，例如：文件同步/共享、企业备份等场景。 归档存储适用于很少访问（平均一年访问一次）数据的业务场景，例如：数据归档、长期备份等场景。归档存储安全、持久且成本极低，可以用来替代磁带库。为了保持成本低廉，数据恢复时间可能长达数分钟到数小时不等。 桶存储类别和对象存储类别的关系 上传对象时，对象的存储类别默认继承桶的存储类别。您也可以重新指定对象的存储类别。 修改桶的存储类别，桶内已有对象的存储类别不会修改，新上传对象时的默认对象存储类别随之修改。 存储类别对比 对比项目 标准存储 低频访问存储 归档存储 特点 高性能、高可靠、高可用的对象存储服务 高可靠、较低成本的实时访问存储服务 归档数据的长期存储，存储单价更优惠 应用场景 云应用、数据分享、内容分享、热点对象 网盘应用、企业备份、活跃归档、监控数据 档案数据、医疗影像、视频素材、带库替代 最低存储时间 无 30天 90天 图片处理 支持 支持 不支持

本节主要介绍OBS的存储类型。 OBS支持桶级和对象级存储类别，提供了标准存储、低频访问存储和归档存储三种存储类型。 不同的存储类别可以满足客户业务对存储性能、成本的不同诉求。 标准存储访问时延低和吞吐量高，因而适用于有大量热点文件（平均一个月多次）或小文件（小于1MB），且需要频繁访问数据的业务场景，例如：大数据、移动应用、热点视频、社交图片等场景。 低频访问存储适用于不频繁访问（平均一年少于12次）但在需要时也要求快速访问数据的业务场景，例如：文件同步/共享、企业备份等场景。 归档存储适用于很少访问（平均一年访问一次）数据的业务场景，例如：数据归档、长期备份等场景。归档存储安全、持久且成本极低，可以用来替代磁带库。为了保持成本低廉，数据恢复时间可能长达数分钟到数小时不等。 桶存储类别和对象存储类别的关系 上传对象时，对象的存储类别默认继承桶的存储类别。您也可以重新指定对象的存储类别。 修改桶的存储类别，桶内已有对象的存储类别不会修改，新上传对象时的默认对象存储类别随之修改。 存储类别对比 对比项目 标准存储 低频访问存储 归档存储 特点 高性能、高可靠、高可用的对象存储服务 高可靠、较低成本的实时访问存储服务 归档数据的长期存储，存储单价更优惠 应用场景 云应用、数据分享、内容分享、热点对象 网盘应用、企业备份、活跃归档、监控数据 档案数据、医疗影像、视频素材、带库替代 最低存储时间 无 30天 90天 图片处理 支持 支持 不支持

本章节为您介绍堡垒机应用资产相关内容。 用户获取应用资产访问权限后，通过应用发布服务器访问Web应用，并以视频方式全程记录用户运维操作，实现对远程应用账户的安全管理和用户远程访问应用的操作审计。 约束限制 仅企业版支持使用应用运维功能。 添加的主机和应用资源数量总和不能超过资产数。 前提条件 添加应用资产前，需已添加应用服务器，具体操作请参见应用服务器。 新增资产组 您可以通过应用资产组来管理多个应用资产，方便您在授权的时候可以一键选择。 1. 使用“管理角色”账户登录云堡垒机（原生版）控制台。 2. 在左侧导航栏选择“资产管理 > 应用资产”，进入应用资产页面。 3. 在应用资产列表左侧资产树中，单击资产组右侧的更多图标，选择“新增子节点”或“复制”。 支持创建多级资产组，最多支持创建10级。 4. 在弹出的“新增资产组”或“资产组复制”对话框中，填写资产组信息。 参数 参数名称 资产组名称 自定义资产组的名称。 资产 在下拉框中选择需要添加至该资产组中的资产。 描述 自定义资产组的描述。 5. 填写完成后，单击“提交”完成资产组的创建。 创建完成后，您也可以根据需要对资产组进行修改或删除： 编辑资产组：选择需要修改的资产组，单击资产组右侧的更多图标，选择“编辑”，按照需求对资产组进行修改，单击“确定”完成修改操作。 删除资产组：选择需要删除的资产组，单击资产组右侧的更多图标，选择“删除”，在弹出的对话框中单击“确定”完成删除操作。

本节主要介绍怎么在控制台进行对象分享。 在“存储桶列表”页面，点击对应的存储桶，进入“文件列表”，在该页面，可以分享文件。 对于私有存储桶（Bucket）内的文件（Object），用户可以创建临时的“共享链接”，以便在不破坏存储桶的私有属性的前提下，与他人分享文件。 注意 严禁传播诈骗、色情、暴力及其他侵犯他人权利或违反法律及公序良俗内容。 基于安全合规要求，禁止通过OOS默认域名以匿名或者URL签名方式下载后缀为apk、ipa的文件，在Header中包含签名或者通过自定义域名方式下载此类文件不受影响。 在分享图片或者网页时，访问者会下载到本地查看。 通过文件分享，可以分享单个文件或者多个文件。 单个文件分享 分享单个文件，选择需要分享的文件，点击“更多”>“分享”，或则点击对应文件后的“操作”列的“更多”>“分享”，即可对该文件进行分享。 点击“分享”按钮，弹出“文件分享”对话框。 名称 描述 文件名称 要分享的文件名称。 过期时间（天） 设置的过期时间。 取值：[1, 9999999]，单位是天。如果不填写，默认分享链接15分钟过期。 限制下载速度 是否开启下载速度限制。 下载速度（KiB/s） 下载速度限制。 取值：[1, 2147483647]，单位是KiB/s。 限制下载并发数 是否开启下载并发数限制。 下载并发数 下载并发数。 取值：[1，2147483647]。 链接 文件的共享链接。 点击“生成”按钮，即可生成一个带有签名认证的URL。用户可以直接将该URL分享给其他人，在有效期内，通过该URL可以访问此文件。

参数 说明 策略配置方式 可视化视图 策略名称 自定义 策略内容 允许/拒绝 允许 策略内容 被授权用户 授权用户：匿名用户 用户策略：包含以上用户 策略内容 资源 资源范围：桶内对象，选择所有对象 资源策略：包含以上资源 说明 本示例仅配置桶内资源的权限，如果还需要配置桶的权限（如列举桶内对象），则需要再额外创建一条配置到当前桶的自定义桶策略 策略内容 动作 选择动作： （表示所有动作） 操作策略：包含以上动作 说明 配置所有权限可能有资源被删除的风险，如果想规避此风险，建议配置动作名称为“Get ”，表示所有读权限。 策略内容 条件 条件1： −条件运算符：DateGreaterThan − 键：CurrentTime − 值：20190326T12:00:00Z（取值为UTC格式） 条件2： − 条件运算符：DateLessThan − 键：CurrentTime − 值：20190326T15:00:00Z（取值为UTC格式）

本实例结合天翼云CDN运营团队积累的丰富运营经验,为客户推荐配置方案,帮助客户提高CDN缓存命中率,提升用户访问体验。 背景信息 CDN缓存命中率低，会导致源站压力大，静态内容访问效率低。您可以针对导致CDN缓存命中率低的具体原因，选择对应的优化策略，提高CDN的缓存命中率。目前天翼云CDN支持流量命中率、请求命中率的统计与查询。 统计方式： 流量命中率 1 回源流量/流量（5分钟粒度）。 请求命中率 1 回源请求数/请求数（5分钟粒度）。 查看流量命中率/请求命中率 用户可以通过天翼云CDN控制台查看流量命中率/请求命中率。查询路径：CDN控制台>数据分析>CDN加速用量>用量分析>命中率。 优化缓存命中率 CDN加速的本质是缓存加速，把源站内容缓存在遍布全球的节点上，用户可以就近从边缘节点获取内容，从而达到加速的效果。可以通过如下几个手段提升缓存命中率。 1. 合理设置缓存过期时间 缓存过期时间如果设置不合理，比如对不常更新的文件设置较短的缓存时间，导致文件频繁过期，当有用户请求到节点时频繁需要回源站校验后才能响应，会增加响应时延，因此建议： 不常更新的静态文件（例如，图片类型、应用下载、点播视频类型等），建议设置较长时间。 频繁更新的静态文件（例如，JS、CSS、XML、HTML等），根据实际业务情况设置。 动态文件（例如，PHP、JSP、ASP、ASPX、DO等），建议设置为0s，即不缓存。 配置路径：CDN控制台>域名管理>域名列表>选定具体域名 ，单击“编辑”>缓存配置>缓存过期时间>强制缓存。功能介绍文档，详情请见：缓存过期时间设置。 2. 开启去问号缓存 目前大多数的网页请求都携带URL参数信息，参数以“?”开始，如果参数没有包含重要信息（如版本信息等），是否携带该参数访问不会影响用户获得正确的内容，可以选择开启“去问号缓存”功能，提高缓存命中率，提升分发效率。 效果差异说明： 开启“去问号缓存”： 用户首次访问“ 用户第二次访问“ 关闭“去问号缓存”： 用户首次访问“ 用户第二次访问“ 配置路径：CDN控制台>域名管理>域名列表>选定具体域名，单击“编辑”>缓存配置>缓存过期时间>去问号缓存。功能介绍文档，详情请见：缓存过期时间设置。 3. 文件预取 文件预取的原理是通过事前主动下发预取指令到CDN，由CDN自动触发向客户源站发起对应内容的请求，提前把文件缓存在CDN节点，后续访问到CDN时，缓存可以直接命中，既提升命中率，又缓解源站因新内容发布而导致的回源压力问题。 适用场景：首次接入、新内容发布、促销活动。 使用建议： 首次接入CDN：域名首次接入CDN时，节点暂未缓存源站内容，此时，您可以将源站热门内容预取至CDN节点。后续用户访问内容将直接从就近的CDN节点获取内容，提升访问速度。 APP或软件安装包发布：新版本APP或软件安装包发布前，提前将安装包预取至CDN节点。正式上线后，海量用户的下载请求将直接由全球加速节点响应，提升下载速度的同时，大幅度降低源站压力。 促销活动：促销活动发布前，提前将活动页涉及到的静态内容预取至CDN节点。活动开始后，用户访问的所有静态内容均由加速节点响应，海量带宽储备保障用户服务可用性，提升用户体验。 4. 开启分片回源 功能介绍文档，详情请见：分片回源，适用于APP、应用程序下载以及音视频点播等较大文件的内容分发场景。

操作权限 涉及资源 API 列表 GetAccountSummary 所有（） GetAccountSummary 列表 GetLoginProfile user（user/ username 、user/或） GetLoginProfile 列表 ListAccessKeys user（user/ username 、user/或） ListAccessKeys 列表 ListUsers user（user/或） ListUsers 列表 ListUserTags user（user/ username 、user/或） ListUserTags 列表 ListGroups group（group/或） ListGroups 列表 ListGroupsForUser user（user/ username 、user/或） ListGroupsForUser 列表 ListPolicies policy（policy/或） ListPolicies 列表 ListAttachedGroupPolicies group（group/ groupname 、group/或） ListAttachedGroupPolicies 列表 ListAttachedUserPolicies user（user/ username 、user/或） ListAttachedUserPolicies 列表 ListEntitiesForPolicy policy（policy/ policyname 、policy/或） ListEntitiesForPolicy 列表 ListMFADevices user（user/ username 、user/或） ListMFADevices 列表 ListVirtualMFADevices mfa（mfa/或） ListVirtualMFADevices 读取 GetUser user（user/ username 、user/或） GetUser 读取 GetAccessKeyLastUsed user（user/ username 、user/或） GetAccessKeyLastUsed 读取 GetGroup group（group/ groupname 、group/或） GetGroup 读取 GetPolicy policy（policy/ policyname 、policy/或） GetPolicy 读取 GetAccountPasswordPolicy 所有（） GetAccountPasswordPolicy 读取 GetAccountLoginSecurityPolicy 所有（） GetAccountLoginSecurityPolicy 写入 CreateAccessKey user（user/ username 、user/或） CreateAccessKey 写入 DeleteAccessKey user（user/ username 、user/或） DeleteAccessKey 写入 UpdateAccessKey user（user/ username 、user/或） UpdateAccessKey 写入 CreateUser user（user/ username 、user/或） CreateUser 写入 DeleteUser user（user/ username 、user/或） DeleteUser 写入 TagUser user（user/ username 、user/或） TagUser 写入 UntagUser user（user/ username 、user/或） UntagUser 写入 CreateGroup group（group/ groupname 、group/或） CreateGroup 写入 DeleteGroup group（group/ groupname 、group/或） DeleteGroup 写入 AddUserToGroup group（group/ groupname 、group/或） AddUserToGroup 写入 RemoveUserFromGroup group（group/ groupname 、group/或） RemoveUserFromGroup 写入 ChangePassword user（user/ username 、user/或） ChangePassword 写入 UpdateAccountPasswordPolicy 所有（） UpdateAccountPasswordPolicy 写入 DeleteAccountPasswordPolicy 所有（） DeleteAccountPasswordPolicy 写入 UpdateAccountLoginSecurityPolicy 所有（） UpdateAccountLoginSecurityPolicy 写入 DeleteAccountLoginSecurityPolicy 所有（） DeleteAccountLoginSecurityPolicy 写入 CreateVirtualMFADevice mfa（mfa/ mfaname 、mfa/或） CreateVirtualMFADevice 写入 DeactivateMFADevice user（user/ username 、user/或） DeactivateMFADevice 写入 DeleteVirtualMFADevice mfa（mfa/ mfaname 、mfa/或） DeleteVirtualMFADevice 写入 EnableMFADevice user（user/ username 、user/或） EnableMFADevice 写入 CreateLoginProfile user（user/ username 、user/或） CreateLoginProfile 写入 DeleteLoginProfile user（user/ username 、user/或） DeleteLoginProfile 写入 UpdateLoginProfile user（user/ username 、user/或） UpdateLoginProfile 权限 CreatePolicy policy（policy/ policyname 、policy/或） CreatePolicy 权限 DeletePolicy policy（policy/ policyname 、policy/或） DeletePolicy 权限 AttachUserPolicy user（user/ username 、user/或） AttachUserPolicy 权限 DetachUserPolicy user（user/ username 、user/或） DetachUserPolicy 权限 AttachGroupPolicy group（group/ groupname 、group/或） AttachGroupPolicy 权限 DetachGroupPolicy group（group/ groupname 、group/或） DetachGroupPolicy

3.请求失败返回响应参数 参数 是否必填 参数类型 说明 示例 下级对象 statusCode 是 Int 错误码，放置API对应的错误码 4101 message 是 String 返回对应的错误信息 请求内容错误 details 是 String 返回对应的错误描述 传入内容为空，或者传入的参数名错误 error 是 String 返回对应的错误码 AIOP4101 返回值示例 1.请求成功返回值示例 json { "statusCode": 0, "message": "success", "returnObj":{ "facenum" : 1, "facelist" : [{ "facelocation" : { "top" : 36, "left" : 48, "width" : 58, "height" : 72 }, "gender" : "Male", "age" : "23", "mask" : True, "glass" : True, }] } } 2.请求失败返回值示例 json { 'code': 4101, 'message': '请求内容错误', 'details': '传入内容为空，或者传入的参数名错误', 'statusCode': 4101, 'error': 'AIOP4101' } 状态码 http状态码 描述 200 表示请求成功 错误码说明 4 位错误码，4 开头为业务错误码，5 开头为服务错误码。 错误码 错误信息 错误描述 AIOP4101 请求内容错误 传入内容为空，或者传入的参数名错误 AIOP4102 请求参数格式错误 参数格式不满足要求，如请求参数字段类型错误等 AIOP4103 图片大小超过2M 图片大小超过2M AIOP4104 图片解码失败 图片为空，base64编码内容有误，或图片格式不支持 AIOP4105 未检测到人脸 上传图片中不包含人脸 base64 编码规则：使用常规的 safe base64 编码方式 python 中推荐使用 base64.urlsafeb64encode() 函数进行编码。 java 中推荐使用 BASE64.getUrlEncoder().encodeToString() 函数进行编码。

本文解释CDN和镜像站点的区别。 CDN关注于把内容放在离用户最近的地方，让用户访问更快。CDN的内容由用户请求触发回源获取后才能缓存下来，且无法保证内容一直存储在CDN服务器上，有可能会被更热的内容覆盖掉，此时如果下次再有同个文件访问，需要再回源站获取。 而镜像站点是将网站文件放在多个不同服务器站点上，不同站点之间做实时文件同步，保障数据一致性。镜像站点的文件是保存完整的，且彼此之间同步是自动的，无需用户请求触发。

macOS 发布版本 发布时间 版本描述 2.26.3 20260206 支持关闭开机自启动，新增可信网络因子检测、悬浮球体验优化，内外网隔离支持本机流量处理，其他缺陷问题修复。 2.24.1 20261124 支持滑动验证码，联动客户端登录态，单点登录更丝滑、节点优选，协议探测优化，访问质量提升，修复其他缺陷问题。 2.22.2 20250908 支持OTP口令、滑动验证码，联动客户端登录态，单点登录更丝滑，视觉改版，交互体验提升，修复其他缺陷问题。 2.17.2 20250415 客户端支持外设管控等能力。 2.13.3 20250210 客户端全面支持deepseek满血版。 2.10.4 20241018 插件功能优化，支持验证码登录，解决安全线上问题，修复已知问题。 2.10.1 20240918 优化使用体验，修复已知问题。 2.9.1 20240826 主页新增最近访问，优化使用体验。 2.8.1 20240813 页面全新改版，使用体验优化，新增进程管理，内外网隔离能力优化。 2.5.0 20240510 支持能力相关配置下管理，修复使用问题。 2.2.1 20240328 增加RBI相关能力、安全基线补充更新、问题修复。 2.0.1 20240222 客户端界面全新改版，提供内网访问诊断工具，增加问题反馈栏目，新增快速上下线连接内网功能，使用虚拟IP技术提高客户端兼容性稳定性，修复部分问题。 1.13.2 20231030 增加访问控制等弹窗拦截提示等优化用户访问体验。 增加客户端错误日志上报。 修复部分访问异常的缺陷。 支持客户端应用地址查看和权限搜索。 1.9.1 20230609 增加我的设备管理。 优化智能选路方式，增加多路探测。 优化部分用户交互体验。 优化客户端准入管控、环境感知能力。修复部分问题。 1.4.0 20230426 增加用量、最近登录展示、增加忘记密码、记住密码相关功能、支持客户端工作台内容定制，如自定义企业logo等、去掉底层监听，解决部分场景因底层监听导致访问失败，修复部分问题。 1.2.0 20230325 首个版本发布。

本节介绍了容器镜像加签验签的用户指南。 概述 镜像签名功能保障镜像来源安全可靠，避免中间人攻击和非法镜像的更新与运行。CRS支持为命名空间的镜像自动加签，每次推送容器镜像后都会匹配加签规则自动加签，保障您的容器镜像内容可信。 镜像签名步骤 为命名空间下的镜像设置自动加签的步骤如下： 1. 登录容器镜像服务控制台。 2. 在顶部菜单栏，选择所需资源池。 3. 在实例页面中选择容器镜像仓库实例。 4. 在企业版实例管理页面的左侧菜单上选择"安全可信" "镜像签名"，点击左上角的创建镜像加签规则按钮。 5. 在弹出的对话框，填写镜像加签规则的，然后点击“确定”按钮，完成创建，界面各项参数说明如下表； 参数 是否必选 说明 命名空间 必选 选择需要自动加签的命名空间名称 使用默认私钥 非必选 加签时是否使用默认的私钥，勾选则表明使用默认私钥加签，若不勾选则表明使用自定义私钥，则需要往下录入自定义私钥的信息 私钥 非必选 如果上述"使用默认私钥"不勾选，则必须在此框填入自定义私钥的信息，可以将私钥直接贴入，或者从"文件导入"，私钥目前只支持长度位数是2048，格式为PKC8的RSA密钥 密码 非必选 如果创建RSA密钥对时有添加密码，则需要再此处填上，否则会影响加签执行 6. 创建完毕的规则会展示在镜像签名的列表中，可对签名规则进行编辑，如更换签名密钥等。 注意 1. 镜像加签不会影响镜像的常规使用，更不会影响镜像中原有的能力及业务功能。 2. 单个命名空间只能创建一个加签规则。 3. 如果是使用自定密钥，密钥对需要自行保存维护好，使用跟密钥对应的公钥方可验签成功。

通过puttygen.exe工具创建的密钥对，导入管理控制台失败怎么办？ 问题描述 通过puttygen.exe工具创建的密钥对，在导入管理控制台使用时，系统提示导入公钥文件失败。 可能原因 公钥内容的格式不符合系统要求。 当用户使用puttygen.exe工具创建密钥对时，如果使用puttygen.exe工具的“Save public key”按钮保存公钥，公钥内容的格式会发生变化，不能直接导入管理控制台使用。 处理方法 使用本地保存的私钥文件，在“PuTTY Key Generator”中恢复内容格式正确的公钥文件，然后再将该公钥文件导入管理控制台。 1.双击“PUTTYGEN.EXE”，打开“PuTTY Key Generator”。 2.单击“Load”，并在本地选择该密钥对的私钥文件。 系统将自动加载该私钥文件，并在“PuTTY Key Generator”中恢复格式正确的公钥文件内容，如下图所示，红框中的内容即为符合系统要求的公钥文件。 3.复制红框中的公钥内容，并将其粘贴在文本文档中，以.txt格式保存在本地，保存公钥文件。 4.将公钥文件导入管理控制台。 a.登录管理控制台。 b.单击管理控制台左上角的区域按钮，选择地域和项目。 c.选择“计算 > 物理机”。 d.在左侧导航树中，选择“密钥对”。 e.在“密钥对”页面，单击“导入密钥对”。 f.将“.txt”格式文本文档中的公钥内容粘贴至“Public Key Content”的空白区域，并单击“OK”，导入公钥文件。

本节主要介绍数据对比 内容对比不支持哪些数据类型 DRS提供的数据比对功能可以清晰反馈出源数据库和目标数据库的数据是否存在差异。 目前对于以下数据类型，DRS不支持内容对比，进行内容对比时会自动跳过。 表 不支持内容对比的数据类型 源数据库类型 数据类型 MySQL TINYBLOB、BLOB、MEDIUMBLOB、LONGBLOB、TINYTEXT、TEXT、MEDIUMTEXT、LONGTEXT GaussDB(for openGauss) TEXT、CLOB、BLOB、BYTEA、INTERVAL DAY TO SECOND、INTERVAL Oracle BLOB、NCLOB、CLOB、LONG RAW、LONG、INTERVAL DAY TO SECOND、INTERVAL YEAR TO MONTH、UROWID、BFILE、XMLTYPE、SDOGEOMETRY MongoDB id为bindata类型。 对于以下数据类型作为主键，DRS也不支持内容对比，进行内容对比时会归到无法比对的表中。 表 不支持内容对比的主键类型 源数据库类型 数据类型 MySQL TINYBLOB、BLOB、MEDIUMBLOB、LONGBLOB、TINYTEXT、TEXT、MEDIUMTEXT、LONGTEXT、FLOAT GaussDB(for openGauss) TEXT、CLOB、BLOB、BYTEA、INTERVAL DAY TO SECOND、INTERVAL、REAL、DOUBLE PRECISION、BOOL、TIME、TIMETZ、TIMESTAMP、TIMESTAMPTZ、DATE Oracle BLOB、NCLOB、CLOB、LONG RAW、LONG、INTERVAL DAY TO SECOND、INTERVAL YEAR TO MONTH、UROWID、BFILE、XMLTYPE、SDOGEOMETRY、BINARYFLOAT、BINARYDOUBLE、FLOAT、RAW、TIMESTAMP、TIMESTAMP WITH TIME ZONE、TIMESTAMP WITH LOCAL TIME ZONE、DATE PostgreSQL REAL、DOUBLE PRECISION、MONEY、TEXT、BYTEA、TIMESTAMP WITHOUT TIME ZONE、TIMESTAMP WITH TIME ZONE、DATE、TIME WITHOUT TIME ZONE、TIME WITH TIME ZONE、INTERVAL、BOOLEAN、ENUMERATED TYPES、POINT、LINE、LSEG、BOX、PATH、POLYGON、CIRCLE、CIDR、INET、MACADDR、MACADDR8、BIT、BIT VARYING、TSVECTOR、TSQUERY、XML、JSON、ARRAY、COMPOSITE TYPES、INT4RANGE、INT8RANGE、NUMRANGE、TSRANGE、TSTZRANGE、DATERANGE

身份认证 CTIAM 统一身份认证（Identity and Access Management， 简称：CTIAM）是提供用户进行权限管理的基础服务，可以帮助您安全的控制天翼云服务和资源的访问及操作权限，包括：用户身份认证、权限分配、访问控制等功能。具体介绍请参考统一身份认证产品介绍。 您可以创建IAM用户，并为其设置关分布式消息服务MQTT实例权限，该用户就可以通过用户名和密码访问授权的实例资源。具体请参见统一身份认证快速入门创建IAM用户。 访问控制 权限控制 购买分布式消息服务MQTT实例之后，您可以使用CTIAM为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，通过CTIAM进行精细的权限管理。 VPC和子网 虚拟私有云（Virtual Private Cloud，VPC）为分布式消息服务MQTT构建隔离、私密的虚拟网络环境，提升消息队列的安全性，并简化用户的网络部署。您可以完全掌控自己的专有网络，VPC丰富的功能帮助您灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。通过子网与其他网络隔离，独享网络资源，提高网络安全性。具体内容请参见虚拟私有云用户指南创建虚拟私有云和子网 。

本文介绍URL鉴权的适用场景和配置方法。 功能介绍 默认情况下在边缘分发的内容大部分都是公开资源，用户可以直接请求URL获取。为了防止站点资源被恶意下载或者非法盗用，避免产生不必要的带宽浪费，您可以在天翼云边缘安全加速平台上配置URL鉴权功能。配置URL鉴权后，边缘节点会对加密串及时间戳进行校验，从而有效地保护用户站点资源。 适用场景 1、需要对站点资源限制用户访问，避免资源被恶意下载或者非法盗用。 2、请求的资源都具有一定的时效性，超过时效则不允许访问。 注意事项 1、配置URL鉴权需要客户端跟产品服务配合一起开启。 2、配置鉴权后，用户将携带鉴权参数访问，建议缓存策略修改为忽略鉴权参数进行缓存，否则将增大回源概率。 3、当鉴权规则（含算法、秘钥、鉴权参数等）发生变更时，需要通知安全与加速产品配合更改，否则将导致用户请求异常。 4、如果您的鉴权URL中含有中文或特殊字符，需先进行URL转码（即Encode）后使用。 配置说明 天翼云提供三种鉴权方式供您参考配置，以下为详细的鉴权原理及配置说明。 （一）鉴权方式A 1、原理说明 鉴权方式A访问URL构成： 鉴权字段说明： 字段 描述 DomainName 服务域名。 Filename 实际回源访问的URL，鉴权时Filename需以/开头。不包含？后面的参数。 authkey 设定的鉴权参数名，默认为authkey，也可自定义。 timestamp 鉴权服务器生成鉴权URL的时间，即：鉴权开始时间，值为从1970年1月1日0点至当前时间总秒数 ，十进制整数。 备注：与鉴权URL有效时长共同控制鉴权URL的失效时间。鉴权URL实际有效期timestamp+配置的鉴权URL有效时长。 rand 随机数。0 64位随机字符串，由大小写字母与数字组成，例如：477b3bbcf6711128c7bec。 uid 用户ID，暂未使用，设置成0即可。 md5hash 通过MD5算法计算出的32位字符串。计算公式如下：md5hash md5sum(Filenametimestampranduidkey)。 备注1：md5加密元素分隔符默认中划线（），也可自定义。 备注2：这里的key为用户设定的鉴权秘钥，长度6到32，由大小写字母与数字组成，例如：ctcdnkey123。

简述自定义重定向功能的应用场景和使用方法。 功能介绍 当客户源站的内容存放路径发生了变更，边缘节点上的内容存放路径也发生了变更，但是用户请求URL里面包含的内容路径没有变更，这时就需要边缘节点改写用户请求里面的内容路径。例如：点播文件原先存放在目录“/stream/”，现在变更为“/vod/”。技术实现方式是通过响应302状态码重定向的方式，让客户端取302响应里面的Location的新URL，重新向边缘节点发起访问，确保用户能获得正确的内容。 注意事项 该功能依赖客户端需要能支持重定向。 可以支持的重定向状态码类型：301、302、303、307、308。 配置说明 该功能暂不支持客户自助配置，如需使用，请提交工单给天翼云客服，由其帮您配置。 提交工单时，请附带如下信息： 参数 说明 状态码 例如：302。 待改写的Path 以/开头的path，不含 目标Path 以协议://域名开头的path，其中协议可为http/https（scheme），支持PCRE正则表达式，比如常用$1,$2来捕获待改写Path中圆括号内的字符串，目标Path值可设置为例如：$scheme://www.ctyun.cn/videos/$1。

本节介绍了如何配置应用层CC告警策略。 使用场景 业务接入DDoS高防（边缘云版）后，您可以设置告警策略，当攻击事件触发告警策略时，则产生告警记录并发送告警邮件（如配置），帮助您及时掌握业务的安全状态。 前提条件 已开通DDoS高防（边缘云版）。 说明 默认脱敏显示您的联系方式等敏感信息，点击明文显示时，请您注意保护数据安全！ 使用说明 1.登录DDoS高防（边缘云版）控制台。 2.进入【告警管理】【告警策略】页面。 新增告警策略 点击【新增】按钮，在弹框中配置策略内容，完成后点击左下角【新增】。 配置说明： 配置项 说明 告警名称 自定义告警名称 告警类型 选择应用层CC告警 域名 选择应用层CC告警时，需要关联域名。域名为单选。 告警条件 应用层CC告警支持配置： 持续XX分钟，则产生告警 在XX分钟内，产生XX次攻击，则产生告警 攻击峰值QPS超过XX，则产生告警 支持勾选多条告警条件，当满足任一条件均会产生告警。 告警通知间隔 为避免告警策略被频繁触发，可设置告警通知间隔。当告警策略被触发后，在告警通知间隔事件内，若再次被触发，将不会产生告警记录。 勿扰时间 选填，在配置的勿扰事件范围内，将不会产生告警记录。 告警邮箱 接收告警的邮箱，支持配置多个邮箱，以分号隔开。 告警状态 是否启用该告警策略。若关闭，则告警策略不生效。 编辑告警策略 在策略列表操作栏，点击【编辑】按钮，可修改策略配置。 修改告警状态 您有两种方式可以修改告警状态： 1）点击【编辑】按钮，在编辑框中修改告警状态。 2）在策略列表，告警状态栏，直接开启或关闭告警状态。 删除规则 在策略列表操作栏，点击【删除】按钮，可删除策略配置。 注意 若告警策略的状态为开启，需先关闭后才能删除策略。

本节介绍划词工具的使用方法。 划词工具适用于在办公场景中，当用户在文档、网页等内容里看到需要进一步处理（如搜索、翻译、生成相关内容等）的文字时，通过划选文字，快速调用工具进行操作，提升信息处理效率，比如在阅读资料时划选陌生概念进行搜索，或者划选外文进行翻译等。 1、开启关闭划词工具：在设置划词工具页面，可以开启或者关闭划词工具。 方式一：划词操作 2、划词搜索 / 翻译 / 生成等，在文档、网页等界面中，用鼠标划选需要处理的文字内容。划选后，会弹出划词工具栏，根据需求点击 “搜索”“翻译”“生成” 等相应功能按钮，即可对划选文字进行对应操作，比如点击 “搜索”，会跳转到搜索页面展示相关结果；点击 “翻译”，会显示翻译后的文字内容。 2、划词生成内容插入：划选文字后，在划词工具栏选择 “生成” 相关功能，设置好生成内容的类型（如文案、总结等）。 3、生成内容后，可点击 “继续提问” 按钮，可以进入云智助手中继续对话。 方式二：系统右键菜单入口 1、唤起右键菜单；在弹出的右键菜单中，找到划词“问问AI”功能，点击。 2、在对话页面，文件列表中，出现对应选择的文件，进行解析完成后可引用文件进行提问。

本节包含了弹性云主机的产品个人信息保护声明。 弹性云主机产品个人信息保护声明，详情请参见这里。

响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 返回状态码（800为成功，900为失败） 800 errorCode String 业务细分码，为product.module.code三段式码 Openapi.PatternCheck.NotValid error String 错误码，为product.module.code三段式码 Openapi.PatternCheck.NotValid message String 英文描述信息 SUCCESS description String 中文描述信息 成功 returnObj Object 成功时返回的数据 returnObj 表 returnObj 参数 参数类型 说明 示例 下级对象 masterOrderID String 主订单ID。调用方在拿到masterOrderID之后，可以使用masterOrderID进一步确认订单状态及资源状态 查询订单状态及资源UUID: 查 根据masterOrderID查询云主机ID 235145e4489811eda8330242ac110002 masterOrderNO String 订单号 20221010142913884246 masterResourceID String 主资源ID 3cda4bf48cac42b8b7db3b279d2fc6fb regionID String 资源池ID 81f7728662dd11ec810800155d307d5b 枚举参数 无 请求示例 请求url 无 请求头header 无 请求体body 示例1：创建2台云主机，配置各项内容，自动分配弹性公网IP，设置带宽为2Mbit/s。 在专属云内，系统盘选超高IO类型、大小40GB，并增加40GB高IO类型数据盘。 规格为s7.small.1，镜像为CTyunOS323.01x866420240926。 主网卡指定内网IP地址，并配置使用指定安全组，加入指定云主机组，设置密码。 { "regionID": "7fbbfa0a349241cbb476c492ef1cea20", "azName": "az1", "instanceName": "test1605", "displayName": "test11605", "flavorID": "5622ce59da34cb43ca0deef2a51475b3", "imageType": 1, "imageID": "0a50ee7ba91a4b8fafe51508ce53578c", "vpcID": "vpcumcq94wcc2", "bootDiskType": "SSD", "bootDiskSize": 40, "extIP": "1", "onDemand": true, "userPassword":"HelloCtyun.13", "projectID":"0", "secGroupList":["sgcpel83ehwl"], "networkCardList": [ { "subnetID": "subnetcon3h8n36g", "isMaster": true, "fixedIP":"10.0.0.123" } ], "dataDiskList": [ { "diskType":"SAS", "diskSize":40, "diskMode":"VBD", "diskName":"testdatayultest1605" } ], "ipVersion":"ipv4", "bandwidth":2, "affinityGroupID":"e89c5ce98e724a9bb9632fe7c5f6254a", "userPassword": "Test1556", "monitorService": false, "orderCount":2, "clientToken": "9fc6fa0deebe741689ea2802sdware18101644" } 示例2： 创建2台云主机，配置各项内容，不使用弹性公网IP。 系统盘指定专属存储池选择超高IO类型、大小40GB，并增加一块指定专属存储池选择高IO类型、大小40G的数据盘。 规格为s7.small.1，镜像为CTyunOS323.01x866420240926 { "regionID": "7fbbfa0a349241cbb476c492ef1cea20", "azName": "az1", "instanceName": "test1051", "displayName": "test1051", "flavorID": "5622ce59da34cb43ca0deef2a51475b3", "imageType": 1, "imageID": "0a50ee7ba91a4b8fafe51508ce53578c", "vpcID": "vpcumcq94wcc2", "bootDiskType": "SSD", "bootDiskSize": 40, "extIP": "0", "onDemand": true, "userPassword":"HelloCtyun.13", "affinityGroupID":"", "projectID":"0", "secGroupList":null, "networkCardList": [ { "subnetID": "subnetcon3h8n36g", "isMaster": true } ], "dataDiskList": [ { "diskType":"SAS", "diskSize":40, "decTypeID":"26f82b6f59f14cdab6080cd366a2eb9e" } ], "ipVersion":"ipv4", "bandwidth":2, "monitorService": false, "decTypeID":"9d8aa7d34fef40dcb2e26692b5ae8e34", "orderCount":2, "clientToken": "9fc6fa0deebe741689ea2802sdware18101104" }

此章节为您介绍数据库审计告警日志的相关的操作。 告警日志概述 当系统根据安全规则捕捉到异常访问时，会根据匹配的安全规则的级别产生相应级别的告警信息。系统支持在告警日志页面查看的所有产生告警的SQL语句的信息和告警等级等相关内容，并可以根据时间、字段和告警等级、规则名称等条件进行筛选。 查询告警日志 1.在菜单栏选择“查询分析 > 告警日志”进入“告警日志”页面，选择“告警日志”页签，设置查询条件（如时间范围、报文、资产等），单击“搜索”即可查询相关告警日志。 2.在告警日志列表中，单击右侧“操作”列中的“详情”可以查看该告警记录的详细信息，包括告警记录基本信息、客户端信息、服务端信息、请求详情、响应详情。 3.在告警日志详细页面，单击“统计数据”，可查看客户端、数据库账号等信息。 告警分析 1.在左侧菜单栏选择“查询分析 > 告警日志”进入“告警日志”页面，选择“告警分析”页签，可设置过滤条件（时间范围、规则名称、资产、数据库账号、客户端IP），查询符合过滤条件的告警信息。 2.单击“操作”列下的“详情”，可查看告警统计详情，包含规则详情、告警资产、各资产下的告警趋势、告警来源（维度包含客户端IP和数据库账号）和触发告警的SQL模板。 3.在“规则详情”区域单击资产数量链接可编辑已启用该规则的资产，单击白名单数量链接可以编辑该规则上启用的白名单。 4.在“告警资产”区域单击“规则启用状态”开关可以变更规则在某资产上的启用状态。 5.在“告警来源”区域，单击“操作”列下的“不再告警”。 6.在弹出的不再告警对话框中编辑相关信息，单击“确定”。将满足条件的客户端IP添加到信任规则和添加到规则白名单。对于普通规则产生的告警： 选择“添加到白名单”，再单击“确定”。添加为白名单后，系统对于此规则符合选中项的条件的相关操作不再产生告警。 选择“添加到信任规则”，再单击“确定”。添加为信任规则后，对于资产符合信任规则可选属性的将不再发生告警。 7.在触发告警的“SQL模板”区域，单击“操作”列下的“不再告警”。 8.在弹出的不再告警对话框中编辑相关信息，单击“确定”。将满足条件的SQL模板添加到信任规则和添加到规则白名单。对于普通规则产生的告警： 选择“添加到白名单”，再单击“确定”。添加为白名单后，系统对于此规则符合选中项的条件的相关操作不再产生告警。 选择“添加到信任规则”，再单击“确定”。添加为信任规则后，对于资产符合信任规则可选属性的将不再发生告警。

本节介绍划词工具的使用方法。 划词工具适用于在办公场景中，当用户在文档、网页等内容里看到需要进一步处理（如搜索、翻译、生成相关内容等）的文字时，通过划选文字，快速调用工具进行操作，提升信息处理效率，比如在阅读资料时划选陌生概念进行搜索，或者划选外文进行翻译等。 1、开启关闭划词工具：在设置划词工具页面，可以开启或者关闭划词工具。 方式一：划词操作 2、划词搜索 / 翻译 / 生成等，在文档、网页等界面中，用鼠标划选需要处理的文字内容。划选后，会弹出划词工具栏，根据需求点击 “搜索”“翻译”“生成” 等相应功能按钮，即可对划选文字进行对应操作，比如点击 “搜索”，会跳转到搜索页面展示相关结果；点击 “翻译”，会显示翻译后的文字内容。 2、划词生成内容插入：划选文字后，在划词工具栏选择 “生成” 相关功能，设置好生成内容的类型（如文案、总结等）。 3、生成内容后，可点击 “继续提问” 按钮，可以进入云智助手中继续对话。 方式二：系统右键菜单入口 1、唤起右键菜单；在弹出的右键菜单中，找到划词“问问AI”功能，点击。 2、在对话页面，文件列表中，出现对应选择的文件，进行解析完成后可引用文件进行提问。

什么样的域名无法接入防护？ 网站无域名 云WAF防护通过域名接入的方式来进行防护。用户将需要防护的域名通过CNAME方式指向云WAF，所有流量经过云WAF的清洗后，将正常的流量回源。在没有域名只有IP的情况下，无法实现用户流量的牵引，故无法接入防护。 未取得ICP备案号的网站不允许使用 网站域名与IP不匹配 客户接入云WAF时，需要提供真实的网站域名以及对应的真实网站地址，当网站流量被引流至云WAF，云WAF对流量进行清洗后，正常流量需要回源至客户的服务器进行处理，如果此时提供的IP与网站域名不匹配，会导致正常流量无法处理而被丢弃，从而影响客户网站的正常运行。 HTTPS域名无法提供SSL证书 HTTPS传输的内容为加密内容。当网站为HTTPS方式时，流量到达云WAF均为加密状态，而此时云WAF无法识别这些内容，从而无法执行相应的清洗动作。为保障清洗的正常运行，云WAF需要使用客户的SSL证书对流量进行解密后执行清洗，当清洗完成后，云WAF会再次通过SSL证书将流量加密，并返回给源站，从而保证整个传输过程都是加密的。 网站打不开或无任何实际内容，导致无法判断网站运营范围的网站不允许通过。 相关机构提示网页有威胁的，有非法信息提示不允许通过。 医院类型网站（流产，皮肤病，性病等医院），未获得卫生部资质网站，不允许通过。 网站主体内容含有色情（视频交友，一夜情交友）、违法（办假证，贩卖仿真枪）、黑客（非技术交流网站）、钓鱼网站、游戏私服、游戏外挂、网赚（传销性质网站）、成人用品、保健用品（减肥药）、两性、美女贴图和动漫贴图（尺度过大）、赌博（含贩卖赌博工具）等低俗内容。 网站存在恶意流氓广告（存在非法内容视频链接，非法网页内容链接）不允许通过。 网站内容存在版权风险的网站（视频，小说，音乐网站）不允许通过。 网站含有药品销售、保健品销售，但未取得资质的，或严重夸大药效事实不允许通过。 网站主要业务为向非法网站提供支付、交易平台、担保，代理外国金融理财（炒股，炒现货，炒黄金）等服务的网站不允许通过。 网站中大量存在影响社会和谐稳定的内容的网站（涉嫌攻击国家，攻击领导人，攻击人民，言论煽动性质网站）不允许通过。

本章节主要介绍翼MapReduce服务查看及导出审计日志。 操作场景 该任务指导用户在MRS Manager查看、导出审计日志工作，用于安全事件中事后追溯、定位问题原因及划分事故责任。 系统记录的日志信息包含： 用户活动信息，如用户登录与注销，系统用户信息变更，系统用户组信息变更等。 用户操作指令信息，如集群的启动、停止，软件升级等。 操作步骤 查看审计日志 1. 在MRS Manager，单击“审计管理”，可直接查看默认的审计日志。 若审计日志的审计内容长度大于256字符，请单击审计日志展开按钮展开审计详情。 默认以“产生时间”列按降序排列，单击 操作类型 、安全级别、产生时间、用户、主机、服务、实例或操作结果可修改排列方式。 支持在“安全级别”筛选相同级别的全部告警。结果包含已清除和未清除的告警。 导出的审计日志文件，包含以下信息列： “编号”：表示MRS Manager已生成的审计日志数量，每增加一条审计日志则编号自动加1。 “操作类型”：表示用户操作的操作类型，分为“告警”、“审计日志”、“备份恢复”、“集群”、“采集日志”、“主机”、“服务”、“多租户”和“用户管理”九种场景，其中“用户管理”仅在启用了Kerberos认证的集群中支持。每个场景中包含不同操作类型，例如“告警”中包含“导出告警”，“集群”中包含“启动集群”，“多租户”包含“增加租户”等。 “安全级别”：表示每条审计日志的安全级别，包含“高危”、“危险”、“一般”和“提示”四种。 “开始时间”：表示用户操作开始的时间，且时间为CET或CEST时间。 “结束时间”：表示用户操作结束的时间，且时间为CET或CEST时间。 “用户IP”：表示用户操作时所使用的IP地址。 “用户”：表示执行操作的用户名。 “主机”：表示用户操作发生在集群的哪个节点。如果操作不涉及节点则不保存信息。 “服务”：表示用户操作发生在集群的哪个服务。如果操作不涉及服务则不保存信息。 “实例”：表示用户操作发生在集群的哪个角色实例。如果操作不涉及角色实例则不保存信息。 “操作结果”：表示用户操作的结果，包含“成功”、“失败”和“未知”。 “内容”：表示用户操作的具体执行信息。 2. 单击“高级搜索”，在审计日志搜索区域中，设置查询条件，单击“搜索”，查看指定类型的审计日志。单击“重置”清除输入的搜索条件。 说明 “开始时间”和“结束时间”表示时间范围的开始时间和结束时间，可以搜索此时间段内产生的告警。

本文为您介绍策略内容。 在“策略管理”页面，以及在IAM授权和企业项目授权中选择策略时，您可以单击策略名称右侧的“查看”，查看策略的详细内容，以系统策略“ecs admin”为例。 { "Version": "1.1", "Statement": [ { "Action": [ "ecs::", "evs::", "vpc::", "ims::" ], "Effect": "Allow" } ] }

本节介绍云等保专区产品的堡垒机。 堡垒机具备统一安全管理与审计能力，提供集身份认证（Authentication）、帐户管理（Account）、控制权限（Authorization）、日志审计（Audit）功能于一体。支持多种字符终端协议、文件传输协议、图形终端协议、远程应用协议的安全监控与历史查询，具备全方位运维风险控制能力，可满足各类法律法规（如等级保护、赛班斯法案SOX、PCI、企业内控管理、分级保护、ISO/IEC 27001等）对运维审计的要求。 功能介绍 功能 描述 认证&授权 双因子认证 内置手机APP认证（谷歌动态口令验证）、OTP动态令牌、USBkey双因素认证引擎。 提供短信认证、AD、LDAP、RADIUS认证接口。 支持多种认证方式组合。 认证&授权 权限管理 系统预置多种用户角色：超级管理员、部门管理员、运维管理员、审计管理员、运维员、审计员、系统管理员和密码管理员。 每种用户角色的权限均不同，且可自定义用户角色。 认证&授权 集中授权 梳理用户与主机之间关系，提供一对一、一对多、多对一、多对多的灵活授权模式。 认证&授权 单点登录 托管主机的帐户和密码，运维人员直接点击“登录”即可成功自动登录到目标主机中进行运维操作，无需输入主机的帐户和密码。 认证&授权 自动学习 运维人员通过堡垒机成功登录目标主机后即可自动录入主机信息，减轻管理员配置主机信息、用户与主机关系的工作量。 运维&审计 运维协议支持 支持管理Linux/Unix服务器、Windows服务器、网络设备（如思科/H3C/华为等）、文件服务器、Web系统、数据库服务器、虚拟服务器、远程管理服务器等。 兼容Xshell、XFTP、SecureCRT、MSTSC、VNC Viewer、PuTTY、WinSCP、FlashFXP、SecureFX等多种客户端工具。 运维&审计 统一审计 对所有操作进行详细记录，提供综合查询；审计日志可在线或离线播放，自动备份归档。 审计内容包括图形、字符、文件、应用、SQL语句等会话及应用会话。 运维&审计 浏览器客户端运维 基于H5技术实现浏览器客户端运维，无需安装本地工具，直接通过浏览器打开运维界面。 支持通过SSH、Telnet、Rlogin、RDP、VNC协议的Web客户端运维。 运维&审计 文件传输审计 记录所有操作会话，包括在线监控、实时阻断、日志回放、起止时间、来源用户、来源IP、目标设备、协议/应用类型、命令记录、操作内容。 完整备份传输文件，为上传恶意文件、拖库、窃取数据等危险行为提供查询依据。 运维&审计 自动运维 实现自动化的运维任务并将执行结果通知相关人员。 运维&审计 资产管理 支持主机、主机组、混合云、帐号、帐号组、应用等多种资产类型。 运维&审计 命令控制 集中命令控制基于不同主机、不同用户设置不同的命令控制策略，包括命令阻断、命令黑名单、命令白名单、命令审核四种动作。 运维&审计 工单流程 运维人员向管理员申请需要访问的设备，选择条件包括设备IP、设备帐户、运维有效期、备注事由等，运维工单以邮件方式通知管理员。 其他 系统自审 对系统自身变化信息进行审计，形成系统分析报表。 其他 冗余架构 结合端口聚合技术、RAID技术和HA技术，实现三重冗余备份的高可用架构。 其他 API接口 提供用户、资产、授权的增删改查等API接口。 允许第三方平台调用API接口，实现用户、资产、权限自动同步。

迁移方案 集群迁移工作主要涵盖以下六个关键环节： 1. 目标集群资源规划： 全面了解云容器引擎集群与自建集群之间的特性差异，合理进行资源分配。为确保迁移后的平稳运行，建议尽可能保持新旧集群在配置上的对应一致性。 2. 集群外资源迁移： 如涉及集群外部资源的迁移，可选用相应的迁移解决方案进行操作。 3. 迁移工具安装： 完成集群外资源转移后，分别在源集群与目标集群中安装迁移工具Velero。 4. 集群内资源迁移： 采用迁移工具Velero，将源集群内部资源备份至对象存储系统，随后在目标集群中执行恢复操作。 1. 原集群应用备份： 用户启动备份流程时，Velero会在源集群中生成Backup对象，同步收集并备份相关数据及资源，然后将其打包上传至符合S3协议的对象存储。备份的各类集群资源将以JSON格式文件保存。 2. 目标集群应用恢复： 在目标集群进行还原时，Velero会定位到先前存储备份数据的临时对象桶，将备份数据下载至新集群环境中，依据JSON文件内容逐一重新部署各项资源。 5. 资源更新适配： 迁移后的集群资源可能出现部署问题，此时需对存在问题的资源进行针对性更新适配，主要涵盖以下几类情况： 镜像更新适配 访问服务更新适配 StorageClass更新适配 数据库更新适配 6. 其他后续工作： 集群资源部署无误后，对迁移后应用的各项功能进行全面验证，逐步将业务流量切至新集群。确认所有服务均正常运作后，可将原集群安全下线。

本文介绍如何通过边缘函数修改源站响应内容。 根据特殊分支场景，修改源站响应内容。 示例代码 javascript async function handleRequest(request) { // 获取原始的请求数据 const originalResponse await fetch(" const url new URL(request.url) const params url.searchParams // 如果传入 title 参数，尝试填充到页面中，修改返回的内容 let title params.get("title") if (title ! "") { title encodeURIComponent(title) let text await originalResponse.text() text text.replace(" ", " " + title + " ") return new Response(text, originalResponse) } return originalResponse } addEventListener("fetch", event > { event.respondWith(handleRequest(event.request)) }) 示例预览 源站响应内容被修改。 相关参考 运行时API：addEventListener 运行时API：FetchEvent 运行时API：Web Standards 运行时API：Fetch 运行时API：Response