天翼云Prometheus监控服务提供了Remote Write标准接口，可通过该接口远程接入开源Prometheus的监控数据，以实现在天翼云Prometheus监控平台上收集和展示其自定义数据。本文将具体介绍如何使用Remote Write地址完成数据接入。 使用限制 Remote Write接口暂不支持HTTP/2。 前提条件 已创建Prometheus实例。 远程写入的客户端网络已经与暴露接口打通。 步骤一：获取AKSK 1. 通过实名认证的账号登录天翼云。 2. 进入天翼云账号中心。 3. 点击【安全设置】进入安全设置中心。 4. 在用户AccessKey模块，可创建AKSK，或直接查看已生成的AKSK。 步骤二：获取Remote Write地址 1. 登录Prometheus监控服务控制台。 2. 在左侧导航栏点击实例列表。 3. 单击目标实例名称。 4. 在设置页签上，即可获取Remote Write地址。 步骤三：配置开源版Prometheus 1. 安装Prometheus。 2. 编辑Prometheus.yml配置文件，并在文件末尾增加以下内容，将remotewrite链接替换为上文步骤二中获取的地址，然后保存文件。 plaintext global: scrapeinterval: 15s evaluationinterval: 15sscrapeconfigs: jobname: 'prometheus' staticconfigs: targets: ['localhost:9090'] remotewrite: 替换为您的Remote Write地址。 url: " basicauth: username和password分别对应您天翼云账号的AK和SK。 username: accesskeyid password: accesskeysecret 3. 重启开源版Prometheus服务。

本文主要介绍如何手工搭建Hadoop环境(Linux)。 简介 本文介绍了如何在天翼云上使用弹性云主机的Linux实例手工搭建Hadoop环境。Hadoop是一款由Apache基金会用Java语言开发的分布式开源软件框架，用户可以在不了解分布式底层细节的情况下，开发分布式程序，充分利用集群的能力进行高速运算和存储。Hadoop的核心部件是HDFS（Hadoop Distributed File System）和MapReduce： HDFS：是一个分布式文件系统，可对应用程序数据进行分布式储存和读取。 MapReduce：是一个分布式计算框架，MapReduce的核心思想是把计算任务分配给集群内的服务器执行。通过对计算任务的拆分（Map计算和Reduce计算），再根据任务调度器（JobTracker）对任务进行分布式计算。 前提条件 已购买一台弹性云主机，且已为其绑定弹性公网IP。 弹性云主机所在安全组添加了如下表所示的安全组规则。 方向 类型 协议 端口/范围 源地址 入方向 IPv4 TCP 8088 0.0.0.0/0 入方向 IPv4 TCP 50070 0.0.0.0/0 实施步骤 1、安装JDK a.登录弹性云主机。 b.执行以下命令，下载jdk软件包。 以jdk17为例，在列表中查看可用的JDK软件包版本，以jdk17linuxx64bin.tar.gz安装包为例，执行以下命令。 wget c.解压jdk安装包到opt目录下。 tar xvf jdk17linuxx64bin.tar.gz C /opt/ d.配置环境变量。 vim /etc/profile e.在底部添加以下内容。

本章节介绍如何为数据库安全审计实例所在的安全组添加TCP协议（8000端口）和UDP协议（70007100端口）。 Agent添加完成后，您需要为数据库安全审计实例所在的安全组添加入方向规则TCP协议（8000端口）和UDP协议（70007100端口），使Agent与审计实例之间的网络连通，数据库安全审计才能对添加的数据库进行审计。 说明 安全组规则也可以在成功安装Agent后进行添加。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 数据库已成功添加Agent。 添加安全组规则 1. 登录管理控制台。 2. 单击右上角的，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全防护实例列表界面。 4. 在左侧导航树中，选择“数据库安全审计 > 数据库列表”，进入“数据库列表”界面。 5. 在“选择实例”下拉列表框中，选择需要添加安全组规则的数据库所属的实例。 6. 在数据库列表的上方，单击“添加安全组规则”。 7. 在弹出的弹框中，记录数据库安全审计实例的“安全组名称”（例如default）。 8. 单击“前往处理”，进入“安全组”列表界面。 9. 在列表右上方的搜索框中输入安全组“default”后，单击或按“Enter”，列表显示“default”安全组信息。 10. 单击“default”，进入“基本信息”页面。 11. 选择“入方向规则”，检查安全组的入方向规则。请检查该安全组的入方向规则是否已为

参数名 数据类型 应用类型 默认值 Agent支持的起始版本 Agent支持的终止版本 描述 采集黑名单配置 objarray JAVA 2.0.0 指定url黑名单列表,不采集在黑名单中的url;匹配方式包含startwith,endwith,include,regex四种方式。 业务状态码采集长度限制 integer JAVA 0 2.0.0 配置业务状态码采集长度之后,会解析指定长度之内的body内容,获取其中的业务状态码。 解析业务状态码的key值 array JAVA 2.0.0 根据该配置,从body内容中获取对应key值的字段的值,作为业务状态码上报。 业务状态码的正确值 array JAVA 2.0.0 获取到的业务状态码不在该配置中的请求会标记为错误的调用链。 慢请求阈值 integer JAVA 800 2.0.0 定义慢请求阈值,超过指定阈值定义为慢url,提高慢url的采样率。 慢url阈值 objarray JAVA 2.0.0 定义指定url的慢请求阈值,超过指定阈值定义为慢url,提高慢url的采样率;采样方式包含：1.全采;2.百分比采样;3.每分钟固定数量采样;4.自动采样 四种方式。 拦截header指定key值 array JAVA 2.0.0 拦截header中指定key值的内容。

本文帮助您快速熟悉查看安全组。 操作场景 当您需要了解已有的安全组信息，可以通过网络控制台进行查看。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“访问控制安全组”选项。此时展示页面当前资源池下已有的安全组列表，可以查看安全组的名称、ID、描述等信息 5. 点击安全组名称，进入所选安全组的详情页。在详情页，可以查看安全组的基本信息、入方向规则、出方向规则、关联实例信息。

本文主要介绍单行全文模式的日志采集。 概述 单行全文是指一条日志仅包含一行的内容，在采集的时候，将使用换行符来作为一条日志的结束符，即在日志文件中，以换行符分隔两条日志。日志数据本身不再进行日志结构化处理，也不会提取日志字段，每条日志都被作为一个整体被采集到云日志服务中，日志采集流程简单快捷。 示例 在单行全文模式下，日志数据本身不再进行日志结构化处理，采集器会将日志内容存放在 message字段中。如采集网站访问的日志内容。 原始日志： plaintext [24/Aug/2023:15:42:18 +0000] "GET /examplepage HTTP/1.1" 200 1265 " "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.159 Safari/537.36" 采集到云日志服务后的日志： plaintext message：[24/Aug/2023:15:42:18+0000] "GET /examplepage HTTP/1.1" 200 1265 " "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.159 Safari/537.36" 配置方式 在日志接入流程创建采集配置步骤中，切割模式选择单行全文即可。

如果系统预置的FunctionGraph权限，不满足您的授权要求，可以创建自定义策略。 目前支持以下两种方式创建自定义策略： 可视化视图创建自定义策略：无需了解策略语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图创建自定义策略：可以在选择策略模板后，根据具体需求编辑策略内容；也可以直接在编辑框内编写JSON格式的策略内容。 FunctionGraph自定义策略样例 示例1：授权用户查询函数代码和配置 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "functiongraph:function:list", "functiongraph:function:getConfig", "funcitongraph:function:getCode" ] } ] } 示例2：拒绝用户删除函数 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先。 如果您给用户授予FunctionGraph FullAccess的系统策略，但不希望用户拥有FunctionGraph FullAccess中定义的删除函数权限，您可以创建一条拒绝删除函数的自定义策略，然后同时将FunctionGraph FullAccess和拒绝策略授予用户，根据Deny优先原则，则用户可以对FunctionGraph执行除了删除函数外的所有操作。拒绝策略示例如下： { "Version": "1.1", "Statement": [ "Effect": "Deny", "Action": [ "functiongraph:function:delete" ] ] }

本文为坐席助手的最佳实践案例介绍。 场景及问题 整体客户咨询服务包含四个主要环节。面对海量用户咨询，运营人员主要依赖知识库通过关键词查询来提供客户服务。因此，服务能力在很大程度上依赖于知识查询效率、业务理解程度和提炼总结能力等。当前存在以下风险： 客户服务体验差 运营服务成本高 业务抗风险能力弱 在有限的运营人员情况下，如何高效且高质量地完成服务？这对传统知识库内的搜索场景提出了新的要求。 现存问题 人工： 经验依赖度高 服务： 效率低，投诉频繁 结果： 首页采纳率低 知识： 规范化程度低 内容： 运营工作量大 解决方案 解决手段： 在知识库内的搜索场景中，提供智能答复能力，以提升运营服务手段。 结合自研大模型的优势，赋能传统知识库，补充AI模块，内部实现知识搜索一键触达，降低经验依赖，使每位员工都能成为运营专家；外部则缩短会话平均时长，提高服务效率和用户满意度。 标签与意图识别： 输入用户问题，输出意图标签以定位目标知识范围。 文档检索及管理： 根据标签结果进行查询，匹配目标文档内容。 大模型问答模块： 结合目标文档内容生成回复答案及参考来源。

本文介绍了访问RDSPostgreSQL实例应该如何配置安全组。 RDSPostgreSQL配置安全组具体步骤如下： 1. 如要连接RDSPostgreSQL实例，则需要配置安全组规则，实例默认绑定默认安全组和规则。 2. 将ECS或本地设备IP地址及目标实例端口加入安全组允许访问范围中。 3. 安全组配置可参考安全组简介。 4. 关于修改实例安全组的方法，详见修改实例安全组。

本节介绍安全云应用的管理员指南。 服务开通 管理员可以在AI云电脑（政企版）控制台的扩展功能中选择“开通”安全安全云应用服务。 1.登录AI云电脑（政企版）控制台，进入菜单“协同套件”，打开安全云应用，点击“开通功能” 2.功能开通后，左侧菜单栏出现安全云应用子菜单。 注意 服务开通后还需要创建应用池、上架应用、关联用户后才可使用安全云应用。 创建应用池 1.进入“AI云电脑（政企版）”管理控制台； 2.展开“安全云应用”菜单栏，选择“应用池管理”，点击“创建应用池”，进入“新增应用池”页面； 3.版本类型选择“独享版”； 独享版：每个用户独占一个虚机，适用于对数据和外设隔离要求比较高的场景； 4.选择规格类型“基础版”、“标准版”或“旗舰版”； 基础版：2C4G，适用于简单办公、文档编辑、客户服务等场景； 标准版：4C8G，适用于视频娱乐，在线会议，OA办公等场景； 旗舰版：8C16G，适用于高效办公，开发设计，视频监控等场景； 5.选择开通数量； 注：独享版此处开通数量要不小于使用安全云应用的用户数。应用池创建后可在应用池管理中通过“新增桌面”增加数量。 6.选择AI云电脑的“镜像类型”； 注：只能选择安全云应用镜像，管理员可先使用安全云应用基础镜像开一台AI云电脑，安装所需的应用软件并对软件进行个性化设置后，基于此AI云电脑创建自定义镜像。操作方法可参考镜像管理。 7.选择“vpc”和“业务子网”； 注：所选的业务子网需要绑定带宽，安全应用才能连接网络。详情可参考管理上网带宽； 8.确认相关的配置信息，点击“确定”，即完成应用池创建。 费用扣减：目前安全云应用仅支持资源包方式订购，有基础版（2C4G）、标准版（4C8G）、旗舰版（8C16G）三种规格可选，根据虚机规格和开通数量扣减资源包。 容量设置：系统盘只能使用默认规格，暂不支持更改。

C 示例 完整的C 签名Demo代码： using Newtonsoft.Json; using System; using System.Security.Cryptography; using System.Text; using System.Net.Http; using System.Threading.Tasks; public class Program { private static byte[] HmacSHA256(byte[] data, byte[] signKey) { string signRet string.Empty; using HMACSHA256 mac new(signKey); byte[] hash mac.ComputeHash(data); return hash; } private static string Sha256(string data) { byte[] bytes Encoding.UTF8.GetBytes(data); var hash SHA256.HashData(bytes); var strBuilder new StringBuilder(); for (int i 0; i 个人中心>安全设置>查看>AccessKey string SecurityKey ""; //填写控制台>个人中心>安全设置>查看>SecurityKey var currentTime DateTime.Now; var eopDate currentTime.ToString("yyyyMMddTHHmmssZ"); var ctyuneoprequestid Guid.NewGuid().ToString(); region 构造待签名字符串 //请参考帮助文档填写以下内容 var sortDic new SortedDictionary { { "action", "SendSms" }, //固定参数 { "phoneNumber", "" }, //请填写接收短信的目标手机号，多个手机号使用英文逗号分开 { "signName", "天翼云测试" }, //请填写您在控制台上申请并通过的短信签名。 { "templateCode", "SMS64124870510" }, //请填写您在控制台上申请并通过的短信模板，此模板为测试专用模板，可直接进行测试 { "templateParam", "{"code":"123456"}" }, //请填写短信模板对应的模板参数和值。此值为测试模板的变量及参数，可直接使用 { "extendCode", "" }, //可选，非必填 { "sessionId", "" } //可选，非必填 }; var header $"ctyuneoprequestid:{ctyuneoprequestid}neopdate:{eopDate}n"; var bodyJson JsonConvert.SerializeObject(sortDic); var body Sha256(bodyJson); var strS $"{header}nn{body}";

本节介绍如何管理安全报告，包括启用、停用、编辑、删除操作。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“态势感知 > 安全报告”，进入安全报告页面。 5. 管理安全报告。 操作名称 执行步骤 启用/停用安全报告 在安全报告页面中，单击目标报告模块中的未启用或启用按钮。 安全报告状态更新为启用，则表示启用成功。 安全报告状态更新为未启用，则表示停用成功。 编辑安全报告 1. 在安全报告页面中，单击目标报告中的“编辑”按钮，跳转到报告基本信息配置页面。 2. （可选）编辑报告基本信息。 3. 单击“下一步：报告选择”，跳转到报告选择页面。 4. （可选）勾选报告布局。 5. 单击右上角“完成”。 删除安全报告 1. 在安全报告页面中，单击目标报告中的“删除”，弹出删除报告确认窗口。 2. 单击“确定”。 下载安全报告 1. 在安全报告管理页面，单击待下载报告右下角“更多”按钮，在功能下拉菜单中单击“下载”，弹出报告预览页面。 2. 单击预览页面上方的“下载”按钮，并在弹出的对话框中，选择报告格式后，单击“确定”。系统将自动下载对应格式的报告到本地。 分享安全报告 1. 在安全报告管理页面，单击待分享报告右下角“更多”按钮，在功能下拉菜单中单击“分享”。 2. 在弹出的对话框中，单击复制按钮，进行分享。 3. 分享完成后，可以单击“确定”，关闭对话框。

参数 是否必填 参数类型 说明 示例 下级对象 securityGroupOid 是 String 安全组ID securityGroupName 是 String 安全组名称 remark 否 String 安全组备注 strategynetworkDTOList 否 Array of Objects 该安全组下全量规则信息，需要传所有安全组规则参数 strategynetworkDTOList 表 strategynetworkDTOList

本章节将介绍在安全评分中，不同分值的含义以及扣分项的详细情况。 态势感知实时呈现您云上资产的整体安全评估状况，并根据不同版本的威胁检测能力，评估整体资产安全健康得分。 安全分值 SA根据不同版本的威胁检测能力，评估整体资产安全健康得分。 风险等级包括“无风险”、“提示”、“低危”、“中危”、“高危”和“致命”。 分值范围为0～100，分值越大表示风险越小，资产更安全。 分值从0开始，每隔20取值范围对应不同的风险等级，例如分值范围40~60对应风险等级为“中危”。 分值环形图不同色块表示不同威胁等级，例如黄色对应“中危”。 资产风险修复，并手动刷新告警事件状态后，安全评分实时更新。 说明 由于检测需要一定的时间，请您在单击“重新检测”按钮5分钟后，再刷新页面，查看最新检测的安全评分。 资产安全风险修复后，为降低安全评分的风险等级，需手动忽略或处理告警事件，刷新告警列表中告警事件状态。 安全分值表： 风险等级 安全分值 分值说明 无风险 100分 恭喜您，您的资产当前安全状况良好。 提示 80≤分值<100 您的资产存在少量的安全隐患，建议您及时加固安全防护体系。 低危 60≤分值<80 您的资产存在较多的安全隐患，建议您及时加固安全防护体系。 中危 40≤分值<60 您的资产防御黑客入侵的能力较弱，建议您立即加固安全防护体系。 高危 20≤分值<40 您的资产存在较高的黑客入侵和病毒感染的风险，建议您立即处理。 致命 0≤分值<20 您的资产很可能遭受到黑客入侵和病毒感染的威胁，建议您立即处理。

本节介绍了创建用户并授权使用RDS的相关内容。 如果您需要对您所拥有的RDS进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的账号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用RDS资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将RDS资源委托给更专业、高效的其他账号或者云服务，这些账号或者云服务可以根据权限进行代运维。 如果账号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用RDS服务的其它功能。 本章节为您介绍对用户授权的方法，操作流程如下图所示。 前提条件 给用户组授权之前，请您了解用户组可以添加的RDS系统策略，并结合实际需求进行选择。RDS支持的系统权限，请参见：权限管理。 示例流程 图 给用户授权RDS权限流程 1. 创建用户组并授权 在IAM控制台创建用户组，并授予关系型数据库只读权限“RDS ReadOnlyAccess”。 说明 如果需要使用到对接其他服务的一些功能时，除了需要配置“RDS ReadOnlyAccess”权限外，还需要配置对应服务的权限。 例如：使用控制台连接实例时，除了需要配置“RDS ReadOnlyAccess”权限外，您还需要配置数据管理服务“DAS FullAccess”权限后，才可正常使用控制台登录数据库实例。 2. 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 3. 用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限： − 在“服务列表”中选择云数据库 RDS，进入RDS主界面，单击右上角“购买关系型数据库”，尝试购买关系型数据库，如果无法购买关系型数据库（假设当前权限仅包含RDS ReadOnlyAccess），表示“RDS ReadOnlyAccess”已生效。 − 在“服务列表”中选择除云数据库 RDS外（假设当前策略仅包含RDS ReadOnlyAccess）的任一服务，若提示权限不足，表示“RDS ReadOnlyAccess”已生效。

本文介绍认证鉴权内容。 信息的获取 获取AccessKey(ak)和SecurityKey(sk)： 登录天翼云门户，在“控制台”>“账号中心”>“安全设置”>“登录保护”>“用户AccessKey”点击“查看”获取。 注意：SecurityKey信息只在创建的时候展示，请务必留存好信息。 EopAuthorization签名认证信息： 可参考调用示例Python3调用示例、Java调用示例 步骤一：构造代签字符串 sigture sigture 需要进行签名的Header排序后的组合列表+ " n " + encode的query + " n " + toHex(sha256(原封的body)) 名称 描述 需要进行签名的Header排序后的组合列表 将ctyuneoprequestid、eopdate以 “headername:headervalue”的形式、以“n”作为每个header的结尾符、以英文字母表作为headername的排序依据将它们拼接起来。注意：EOP强制要求ctyuneoprequestid、eopdate必须进行签名。其他字段是否需要签名看自身需求。例子(假设你需要将ctyuneoprequestid、eopdate、host都要签名)： ctyuneoprequestid:123456789neopdate:20210531T100101Zn encode的query query以&作为拼接，key和value以连接，值需要encode，query参数全部都需要进行签名 toHex(sha256(原封的body)) 传进来的body参数进行sha256摘要，对摘要出来的结果转十六进制 sigture示例1（ 假设query为空 、需要进行签名的Header排序后的组合列表为“ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680n eopdate:20220525T160752Z n”、body参数做sha256摘要后转十六进制为e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855）： ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680n eopdate:20220525T160752Z nnne3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 sigture示例2（ 假设query不为空 、需要进行签名的Header排序后的组合列表为“ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680n eopdate:20220525T160752Zn”、body参数做sha256摘要后转十六进制为e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855）： ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680n eopdate:20220525T160930Z nnaa1&bb2ne3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855

本节介绍内容审核的用户控制台。 控制台 点击产品详情页左上角的【管理控制台】，页面跳转到控制台总览页面。 总览 点击左侧菜单栏【总览】，可以查看已开通能力、API调用排行榜以及平均响应时间等内容。 能力列表 点击左侧菜单栏【能力列表】，可以查看已有能力。 我的应用 点击左侧菜单栏【我的应用】，可以查看已经创建的应用。 应用监控 点击左侧菜单栏【应用监控】，可以查看所创建应用的请求次数、响应时间与请求流量。

本页介绍了如何编辑实例安全组。 文档数据库服务支持修改实例的安全组，步骤如下： 1. 进入TeleDB数据库控制台。 2. 点击“DDS”>“实例管理”菜单，进入实例列表页。 3. 选择需要修改的实例，点击该实例的实例ID，进入实例详情。 4. 在“网络”栏中找到“安全组”信息，点击“编辑”按钮（部分资源池为“修改”按钮）。 5. 在“编辑用户安全组”弹窗中，选择需要修改的安全组，点击“确定”按钮，即可完成安全组修改。

统一身份认证(Identity and Access Management,简称IAM)服务,是提供用户进行权限管理的基础服务,可以帮助您安全的控制云服务和资源的访问及操作权限。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，缩小不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素“Action”“Effect”等，更多信息，请参见“通过IAM用户控制资源访问创建自定义策略”。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略: 系统策略 预置的系统策略，您只能使用不能修改。云服务器ECS相关的系统策略包含如下： Ecs Admin：弹性云主机服务的管理者权限，包含弹性云主机所有控制权限（不含订单类权限）； Ecs Viewer:弹性云主机服务的观察者权限，包含弹性云主机服务的列表页与详情页面权限； 自定义策略 您按需自行创建和维护的权限策略，关于自定义策略的操作和示例，请参见“创建自定义策略”。

本文主要介绍设置安全组 操作场景 为了保障数据库的安全性和稳定性，在使用文档数据库实例之前，您需要开通需访问数据库的IP地址和端口。本文将主要介绍设置安全组的操作步骤。 注意事项 安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云主机和文档数据库可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当文档数据库服务加入该安全组后，即受到这些访问规则的保护。 当需要从安全组外访问安全组内的文档数据库时，需要为安全组添加相应的入方向规则。 操作步骤 步骤 1 在“实例管理”页面，选择指定的集群实例，单击实例名称。 步骤 2 在左侧导航树，单击“连接管理”。 步骤 3 在“安全组”区域，选择“入方向规则”页签，单击“添加规则”，弹出添加入方向规则窗口。选择“出方向规则”页签，单击“添加规则”，弹出添加出方向规则窗口。 单击，可以依次增加多条规则。 步骤 4 根据界面提示配置安全组规则。 参数说明 参数 说明 取值示例 ::: 协议 网络协议。支持全部放通、自定义协议、“TCP”、“UDP”、“ICMP”、“SSH”等协议。 TCP 端口 允许远端地址访问弹性云主机或外部设备的指定端口，取值范围为：1～65535。 端口填写包括以下形式：单个端口：例如22；连续端口：例如2230；全部端口：为空或165535 8635 源地址 可以是IP地址、安全组、IP地址组。用于放通来自IP地址或另一安全组内的实例的访问。例如：单个IP地址：192.168.10.10/32；IP地址段：192.168.1.0/24；所有IP地址：0.0.0.0/0；安全组：sgabc IP；地址组：ipGrouptest 0.0.0.0/0 步骤 5 单击“确定”。

态势感知（专业版）与企业主机安全HSS服务的区别。 服务含义区别 态势感知（专业版）是云原生的新一代安全运营中心，基于云原生安全，提供云上资产管理、安全态势管理、安全信息和事件管理、安全编排与自动响应等能力，可以鸟瞰整个云上安全，精简云安全配置、云防护策略的设置与维护，提前预防风险，同时，可以让威胁检测和响应更智能、更快速，帮助您实现一体化、自动化安全运营管理，满足您的安全需求。 企业主机安全（Host Security Service，HSS）是以工作负载为中心的安全产品，集成了主机 安全、容器 安全和 网页防篡改 ，旨在解决混合云、多云数据中心基础架构中服务器工作负载的独特保护要求。 简而言之，态势感知（专业版）是呈现全局 安全态势的服务，HSS是提升主机 和容器安全性的服务。 服务功能区别 态势感知（专业版）通过采集 全网安全数据 （包括HSS、WAF、AntiDDoS等安全服务检测数据），提供云上资产管理、安全态势管理、安全信息和事件管理、安全编排与自动响应等能力，帮助您实现一体化、自动化安全运营管理，满足您的安全需求。 HSS通过在主机中安装Agent，使用AI、机器学习和深度算法等技术分析主机中风险，并从HSS云端防护中心下发检测和防护任务，全方位保障主机安全。同时可从可视化控制台，管理主机Agent上报的安全信息。 态势感知（专业版）与HSS主要功能区别： 功能项 共同点 不同点 资产安全 主机资产 呈现主机资产的整体安全状态。 态势感知（专业版）：仅支持同步HSS主机资产风险信息，列表呈现各主机资产的整体安全状况。 HSS：不仅支持呈现主机的安全状况，还支持深度扫描主机中的账号、端口、进程、Web目录、软件信息和自启动任务。 资产安全 网站资产 态势感知（专业版）：支持检查和扫描网站安全状态，列表呈现各网站资产的整体安全状况。 HSS：不支持该功能。 漏洞管理 主机漏洞 呈现主机漏洞扫描结果，管理主机漏洞。 态势感知（专业版）：仅支持同步HSS主机漏洞扫描结果，管理主机漏洞。 HSS：支持检测Linux漏洞、Windows漏洞、WebCMS漏洞、应用漏洞，提供漏洞概览，包括主机漏洞检测详情、漏洞统计、漏洞类型分布、漏洞TOP5和风险服务器TOP5，帮助您实时了解主机漏洞情况。 基线检查 云服务基线 态势感知（专业版）：针对云服务关键配置项，从多种风险类别，了解云服务风险配置的所在范围和风险配置数目。 HSS：不支持该功能。 基线检查 主机基线 态势感知（专业版）：不支持该功能。 HSS：针对主机，提供基线检查功能，包括检测复杂策略、弱口令及配置详情，包括对主机配置基线通过率、主机配置风险TOP5、主机弱口令检测、主机弱口令风险TOP5的统计。

功能简介 当客户端发起请求时，需要在请求头中携带签名信息，服务端会根据请求内容、签名算法和存储的秘钥信息，对签名进行校验。签名校验的目的是： 1. 身份验证：确保请求者是合法用户，防止未授权用户访问。 2. 请求完整性校验：保障传输内容完整性，防止请求在传输过程中被篡改。 3. 时效性校验：签名中包含时间戳，用于限定请求的有效时长。服务端在接收到请求时，会校验请求时间是否在允许范围内。 签名计算工具 请查看签名工具。

本文为您介绍如何编辑策略。 约束与限制 您只能对自定义策略进行编辑，您不能编辑系统策略。 操作步骤 1. 管理员登录IAM控制台。 2. 管理员在IAM控制台左侧导航窗格中，点击“策略管理”。 3. 在策略列表选择已有策略，点击右侧操作栏的“编辑”按钮，进入策略编辑页面。 4. 根据需要，编辑策略名称、策略描述后，点击“下一步”。 5. 选择“可视化视图”或“JSON视图”编辑自定义策略内容，策略内容的编辑详见策略语法。点击“保存”完成编辑。

本节介绍如何查看安全概览，通过安全概览了解整体的安全风险和告警。 安全概览会通过大屏的方式展示安全评分、资产总数、告警总数、威胁动态、日志分布TOP5、风险资产TOP5、告警处置概览、近七天趋势图、攻击链统计图。 前提条件 安全概览的数据来源于接入系统的数据量，需要确保已完成数据接入。具体操作请参见接入日志、告警。 操作步骤 1. 登录云安全中心控制台。 2. 在左侧导航栏，选择“安全态势 > 安全概览”，进入安全概览页面，查看安全评分和风险数据统计。 说明 日志、告警等维度数据展示均支持下钻点击，通过详情进行展示。 概览数据只展示当前情况，最新实时数据需要手动刷新页面获取。

本文介绍安全加速的计费项。 注意事项： 1.订购资源包之前需开通安全加速的按需服务 2.订购安全加速时，至少需要订购WAF和抗D其中一种 计费分类 计费项 是否必选 是否有资源包 备注 安全加速基础服务 静态https请求数 是 是 购买安全加速基础费用，必须选择静态https请求数与CDN带宽/流量；WAF防护和抗D防护至少开启一项能力 安全加速基础服务 CDN带宽/流量 是 是 购买安全加速基础费用，必须选择静态https请求数与CDN带宽/流量；WAF防护和抗D防护至少开启一项能力 安全加速WAF防护 基础功能费用 是（若需要WAF防护则为必选） 否 安全加速WAF防护 防护请求数 是（若需要WAF防护则为必选） 是 安全加速WAF防护 域名数量扩展 否 否 WAF防护基础套餐数量不够则需要购买扩展 安全加速抗D防护 基础套餐 是（若需要抗D防护则为必选） 否 安全加速抗D防护 弹性防护 否 否 安全加速抗D防护 动态请求数 否（若仅购买抗D防护则必选） 否（暂未上线） 安全加速抗D防护 域名数量扩展 否 否 抗D防护基础套餐数量不够则需要购买扩展

本文介绍DRDS怎么选择安全组。 DRDS使用中有两个场景需要考虑VPC、子网、安全组，包括实例订购、实例访问使用。 实例订购 订购DRDS实例，需选择VPC、子网、安全组。如用户未创建VPC、子网或者安全组，请通过天翼云“控制中心虚拟私有云”进入VPC管理页面，创建VPC、子网或者安全组（访问控制安全组），系统会默认创建一个安全组，用户可以新建或者在默认安全组基础上修改。 实例订购完成，无法修改实例所在VPC及子网，请提前规划DRDS实例所在的VPC及子网（比如：和应用程序或者ECS主机在同一个VPC，方便使用），避免后续需要修改。 实例访问 若DRDS实例未绑定弹性公网IP，则用户只能在同一个VPC内的ECS主机等访问DRDS实例，建议应用程序、ECS主机、DRDS、MySQL实例都使用同一个VPC、子网及安全组，保证应用程序或者ECS能访问到DRDS实例。 用户可以通过安全组规则，限制可以访问DRDS实例的IP、协议、端口等，具体安全组规则修改可以参考修改安全组规则。 修改安全组，务必确保安全组允许用户的应用程序或弹性云主机能访问DRDS实例端口，避免修改出入规则后导致无法访问。

根据等级保护2.0要求，对系统管理员、审计管理员和安全管理员的管理主体、权限控制和管控过程提出明确要求，同时要求安全管理中心内的管理系统符合“三权分立”权限管理模式。 安全管理中心默认以下权限分配： 模块名称/角色名称 租户系统管理员 租户安全管理员 租户运维管理员 租户审计管理员 总览 √ √ √ 系统管理 用户管理 √ 白名单 √ 操作日志管理 √ √ √ 资产管理 √ √ √ 总览 √ √ √ 服务器 √ √ √ 域名 √ √ √ 运营管理 √ √ √ 安全报告 √ √ √ 组件管理 √ √ √ 安全组件 √ √ √ 威胁分析 √ √ √ 风险分析 √ √ √ 主机漏洞 √ √ √ 网站漏洞 √ √ √ 补丁漏洞 √ √ √ 基线合规 √ √ √ 病毒 √ √ √ 设置 √

场景描述 国密型VPN网关证书到期或失效后，需要更换VPN网关证书。 更换VPN网关证书，对端网关需要使用新的配套CA证书与VPN网关进行重协商，否则连接中断。 操作步骤 1. 登录管理控制台，单击“网络 > VPN”进入VPN控制台。 2. 在左侧导航栏，单击“虚拟专用网络 > 企业版VPN网关”。 3. 在“VPN网关”界面需要上传证书的国密型VPN网关所在行，选择“更多 > 查看/上传证书”。 4. 单击“更换”，根据界面提示填写相关信息。 表VPN网关证书参数说明 参数 说明 取值样例 证书名称 不支持修改。 与原证书名称保持一致。 新签名证书 签名证书用于对数据进行签名认证，以保证数据的有效性和不可否认性。 以文本方式打开签名证书PEM格式的文件（后缀名为“.pem”），将证书内容复制到此处。 签名证书需要同时上传签发此签名证书的CA证书。 BEGIN CERTIFICATE 签名证书 END CERTIFICATE BEGIN CERTIFICATE CA证书 END CERTIFICATE 新签名私钥 签名私钥用于对签名证书加密过的数据进行解密，签名私钥是非公开的，由用户自行保管。 以文本方式打开签名私钥KEY格式的文件（后缀名为“.key”），将私钥复制到此处。 BEGIN EC PRIVATE KEY 签名私钥 END EC PRIVATE KEY 新加密证书 加密证书用于对VPN连接的传输数据进行加密，以保证数据的保密性和完整性。签发该加密证书的CA机构需和签发签名证书的CA机构保持一致。 以文本方式打开加密证书PEM格式的文件（后缀名为“.pem”），将证书内容复制到此处。 BEGIN CERTIFICATE 加密证书 END CERTIFICATE 新加密私钥 加密私钥用于对加密证书加密过的数据进行解密，加密私钥是非公开的，由用户自行保管。 以文本方式打开加密私钥KEY格式的文件（后缀名为“.key”），将私钥内容复制到此处。 BEGIN EC PRIVATE KEY 加密私钥 END EC PRIVATE KEY 5. 勾选“我已知晓上述内容，确认更换证书”，单击“确定”。

接口功能介绍 标记已处理/已忽略旨在对文件变更的内容进行处理和忽略操作。 接口约束 此功能为收费功能。确认已经购买服务器配额，并且开启服务器防护。如果没有购买配额，可按照页面提示进行购买。如果没有开启防护，请在服务器列表页开启机器防护。 URI POST /v1/integrityProtection/handle 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String ContentType application/json 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 ids 是 Array of Strings id列表 ["idx","id2"] handleType 是 String 处理类型 HANDLE标记为已处理 IGNORE忽略 HANDLE 响应参数 参数 参数类型 说明 示例 下级对象 error String 返回码 CTCSSCN000000：成功 CTCSSCN000001：失败 CTCSSCN000003：用户未签署协议，安全卫士系统无法正常使用 CTCSSCN000004：鉴权错误 CTCSSCN000005：用户没有付费版配额，功能不可用 CTCSSCN000000 message String 返回信息 success returnObj Object 返回对象 traceId String traceId asaadasd11111 statusCode String 状态码 200成功 200

本文介绍了边缘安全加速平台安全与加速服务API防护模块下接口滥用拦截的使用方法。 功能介绍 攻击者常通过脚本、工具频繁调用某个接口完成账号暴力破解、批量注册等恶意行为。 高频的请求不仅不符合用户正常的操作行为，并且也容易导致接口高负载出现不稳定。 接口滥用拦截可识别客户端的异常高频的API请求，并进行实时拦截，防止接口被恶意滥用。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 注意 未订购“API安全”扩展能力，接口滥用拦截功能设置“关闭”、“告警”动作，无法设置“拦截”动作。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【API安全】菜单，并在左侧域名列表选择您要防护的域名。 3. 进入安全防护【接口滥用拦截】详细设置页。 配置说明

本节主要介绍开启和关闭SSL安全连接。 GeminiDB Influx实例支持实例创建成功后，开启或关闭SSL安全连接。 使用须知 该功能目前处于公测阶段，如需使用，请您联系客服申请开通。 开启或关闭SSL安全连接时需要重启实例。 开启SSL安全连接 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB Influx 接口”。 3. 在实例管理页面，单击目标实例名称，进入基本信息页面。 4. 在数据库信息区域，单击SSL后的，开启SSL安全连接。 图 开启SSL安全连接 关闭SSL安全连接 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB Influx 接口”。 3. 在实例管理页面，单击目标实例名称，进入基本信息页面。 4. 在数据库信息区域，单击SSL后的，关闭SSL安全连接。 图 关闭SSL安全连接

本文将向您介绍如何通过边缘安全加速平台安全与加速服务提供的访问控制功能设置网站白名单。 功能介绍 若存在您完全信任的请求，支持在边缘安全加速平台控制台配置网站白名单策略，符合条件的请求将不经过安全与加速服务任意的防护策略。 背景信息 您的域名接入边缘安全加速平台安全与加速服务后，配置防护策略将默认作用于所有符合策略的请求，若您希望某类请求不经过某个防护策略，可以分别配置对应的白名单功能。 若您希望请求针对任意防护策略加白，可以配置网站白名单，配置详情可见下文。 若防护规则集中的某条规则出现误报情况，可以配置规则白名单，配置详情可见设置Web规则白名单。 若您希望请求针对Bot防护策略加白，可以配置Bot策略白名单，配置详情可见Bot策略白名单。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通高级版及以上版本，支持使用访问控制功能。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【访问控制/限流】菜单，并在左侧域名列表选择您要防护的域名。 3. 进入防护能力高级安全防护【访问控制】详细设置。