本小节介绍证书管理服务权限管理。 如果您需要对天翼云上购买的证书管理服务（CCMS）资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制天翼云资源的访问。 通过IAM，您可以在天翼云帐号中给员工创建IAM用户，并使用策略来控制他们对天翼云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有证书管理服务（CCMS）的使用权限，但是不希望他们拥有删除CCMS等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用CCMS，但是不允许删除CCMS的权限策略，控制他们对天翼云CCMS资源的使用范围。 如果天翼云帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用CCMS服务的其它功能。IAM是天翼云提供权限管理的基础服务，无需付费即可使用，您只需要为您帐号中的资源进行付费。关于IAM的详细介绍，请参见《IAM产品介绍》。 CCMS权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组/用户授予策略或角色，才能使得用户组/用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 CCMS部署时不区分物理区域，为全局级服务。授权时，在全局项目中设置权限，访问CCMS时，不需要切换区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于天翼云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM提供的一种细粒度授权的能力，可以具体到服务的操作。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对CCMS服务，管理员能够控制IAM用户仅能对CCMS进行指定的管理操作。 如下表所示，包括了CCMS所有系统角色。 角色名称/策略名称 描述 类别 依赖关系 ccms admin SSL证书管理服务管理员权限，拥有服务的所有权限。 系统策略 购买证书需要依赖bss admin策略、mkt admin策略。 bss admin策略：系统策略，订单费用中心（BSS）管理员，拥有该服务下的所有权限。 mkt admin策略：系统策略，营服中心管理员，拥有该服务下的所有权限。 ccms viewer SSL证书管理服务只读权限，拥有该权限的用户仅能查询证书信息，不具备对证书、csr、联系人、公司进行增删改权限。 系统策略 无 说明 如需购买SSL证书，账号除了必须拥有“ccms admin”之外，还需要拥有“bss admin”权限和“mkt admin”权限。

添加审计范围后，您可以查看审计范围信息，启用、编辑、禁用或删除审计范围。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 已成功添加审计范围。 启用、编辑和删除审计范围前，请确认审计范围的状态为“已禁用”。 禁用审计范围前，请确认审计范围的状态为“已启用”。 注意 数据库安全审计默认提供一条“全审计规则”的审计范围，可以审计所有连接数据库安全审计实例的数据库。该审计规则默认开启，您只能禁用或启用该审计规则。 查看审计范围信息 1. 登录管理控制台。 2. 单击右上角的，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全防护实例列表界面。 4. 在左侧导航树中，选择“数据库安全审计 > 审计规则”，进入审计规则界面。 5. 在“选择实例”下拉列表框中，选择需要查看审计范围的实例。 6. 查看审计范围信息，相关参数说明如下所示。 在列表右上方输入审计范围名称的关键字，可以搜索指定的审计范围。 审计范围信息参数说明 参数名称 说明 名称 审计范围的名称。 例外IP 该审计范围内的白名单IP。 源IP 访问数据库的IP地址或IP地址段。 源端口 审计的IP地址端口。 数据库名称 审计范围的数据库。 数据库帐户 数据库的用户名。 状态 审计范围的状态，包括： 已启用 已禁用 根据需要，您还可以对审计范围执行以下操作： 启用 在需要启用的审计范围所在行的“操作”列，单击“启用”，数据库安全审计将对该审计范围的数据库进行审计。 编辑（仅自定义创建审计范围的支持） 在需要编辑的审计范围所在行的“操作”列，单击“编辑”，在弹出的对话框中，您可以修改审计范围。 禁用 在需要禁用的审计范围所在行的“操作”列，单击“禁用”，在弹出的对话框中，单击“确定”，可以禁用该审计范围。禁用审计范围后，该审计范围规则将不在审计中执行。 删除（仅自定义创建审计范围的支持） 在需要删除的审计范围所在行的“操作”列，单击“删除”，在弹出的对话框中，单击“确定”，可以删除该审计范围。删除审计范围后，如果需要对该审计范围进行审计，请重新添加该审计范围。

本章节主要介绍如何查看已有情报指标信息。 操作场景 可以查看情报指标的威胁度、发现时间、状态等信息。支持翻页查看或自定义过滤条件筛选情报指标。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间> 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“威胁管理> 情报管理”，进入情报管理页面。 5. 在情报管理页面查看情报指标信息。 参数名称 参数说明 情报类型 呈现所有类型情报指标总数及对应类型下情报指标数量。 超期情报 呈现已超过威胁情报指标设置的失效时间，且还未关闭的威胁情报指标总数。 情报状态 呈现不同状态的情报指标总数及对应状态下情报指标数量。 关闭：已经关闭的情报指标数量。 作废：已经作废的情报指标数量。 打开：处于打开状态的情报指标数量。 威胁度 呈现不同威胁程度对应的情报指标数量。 黑：表示危险，威胁程度为黑的情报指标数量。 灰：表示一般，威胁程度为灰的情报指标数量。 白：表示安全，威胁程度为白的情报指标数量。 情报管理列表 展示情报的详细信息。 在情报指标列表中下方可以查看情报指标总条数。其中，使用翻页查看时最多可查看10000条情报指标信息，如果需要查看超过10000条以外数据，请优化过滤条件筛选数据。 情报指标列表中，可以查看情报的威胁度、发现时间、状态等信息。如需查看某个指标详细信息，可单击指标名称，页面右侧将展示指标的详细信息。 在情报概览页面可以查看情报的基本信息和关联信息（包括关联的威胁指标、告警、事件）。 在关联信息中，可以将情报指标和其他情报指标、告警和事件进行绑定或解绑操作。

本节介绍如何购买态势感知专业版。 操作场景 态势感知（专业版）专业版支持包周期和按需方式进行购买，您可以根据业务需求进行购买。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面左上角的“服务列表”，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在总览页面中，单击购买按钮，进入购买态势感知（专业版）页面。 4. （可选）购买访问授权。 首次购买需要进行访问授权，获取账号中的ECS主机资产信息。在弹出的访问授权页面中，勾选“同意授权”并单击“确认”。 5. 在购买态势感知（专业版）页面，配置购买参数。 参数名称 说明 计费模式 请根据您的需求选择“包周期”或“按需”计费模式。 包周期：一种预付费模式，即先付费再使用，按照订单的购买周期进行结算。购买周期越长，享受的折扣越大。 按需：一种后付费模式，即先使用再付费，按照实际使用时长计费，秒级计费，按小时结算。按需计费模式允许您根据实际业务需求灵活地调整资源使用，无需提前预置资源，从而降低预置过多或不足的风险。 区域 根据已有云上资源所在的区域选择态势感知（专业版）的区域。 版本 选择“专业版”。 配额数 配额数是指主机资产支持防护的最大主机数量。 请根据当前账户下所有主机资产总数设置配额数，可设置最大主机配额需等于或大于当前账户下主机总数量，且不支持减少。 说明 配额数最大限制为10000台。 为避免主机资产在防护份额外，不能及时感知攻击威胁，而造成数据泄露等安全风险。当主机资产数量增加后，请及时增加配额数。 购买时长 选择“购买时长”。 其中，选择按1个月进行收费时，到期将自动续费。 6. 确认参数配置无误后，在页面右下角单击“立即购买”。 7. 确认订单详情无误后，阅读并同意相关协议，单击“去支付”。 8. 在支付页面，选择付款方式完成付款，完成购买操作。

操作步骤 1.登录翼MR管理控制台。 2.选择 “集群列表 > 现有集群”，选中一个运行中的集群并单击集群名称，进入集群信息页面。 3.选择“节点管理”页签，在需要扩容的节点组的“操作”列单击“扩容”，进入扩容集群页面。只有运行中的集群才能进行扩容操作。 4. 设置“扩容节点数量”、“启动组件”和“执行引导操作”参数，并单击“确定”。 说明 若集群中没有Task节点组，请参考下方 配置Task节点 。 如果创建集群时添加了引导操作，则“执行引导操作”参数有效，开启该功能时扩容的节点会把创建集群时添加的引导操作脚本都执行一遍 。 如果“新节点规格”参数有效，则表示与原有节点相同的规格已售罄或已下架，新扩容的节点将按照“新节点规格”增加 。 扩容集群前需要检查集群安全组是否配置正确，要确保集群入方向安全组规则中有一条全部协议，全部端口，源地址为可信任的IP访问范围的规则 。 5.进入“扩容节点”窗口，单击“确定”。 6.弹出扩容节点提交成功提示框。 集群扩容过程说明如下： 扩容中：集群正在扩容时集群状态为“扩容中”。已提交的作业会继续执行，也可以提交新的作业，但不允许继续扩容和删除集群，也不建议重启集群和修改集群配置。 扩容成功：集群扩容成功后集群状态为“运行中”。 扩容失败：集群扩容失败时集群状态为“运行中”。用户可以执行作业，也可以重新进行扩容操作。 扩容成功后，可以在集群详情的“节点管理”页签查看集群的节点信息。

本章节主要介绍使用Spark的操作指导。 前提条件 已安装客户端。 例如安装目录为“/opt/hadoopclient”，以下操作的客户端目录只是举例，请根据实际安装目录修改。 使用Spark客户端 1. 安装客户端。 2. 登录安装客户端的节点。 3. 执行以下命令，切换到客户端安装目录，例如“/opt/hadoopclient”。 plaintext cd /opt/hadoopclient 4. 执行以下命令配置环境变量。 plaintext source bigdataenv 5. 集群默认为安全模式，将实际的keytab文件路径替换以下命令中的/path/example.keytab，执行命令进行用户认证。 plaintext kinit kt /path/example.keytab klist kt /path/example.keytab sed n 4p awk '{print $NF}' 6. 直接执行命令。例如： 7. plaintext sparksql

前提条件 用户持有天翼云弹性 EIP：所有弹性 EIP 均纳入 DDoS 基础防护覆盖范围，平台基于整体安全管控需求，为每一个弹性 EIP 统一分配 DDoS 防护阈值；若客户无公网业务需求，可无需使用该产品相关功能。 完成账号实名制认证。 用户已登录DDoS基础防护控制台，若不知道如何登录，请参照快速入门。 操作步骤 1.进入告警中心页面。 2.新增告警联系组，配置机器人通知凭证。 3. 新增告警策略，选择需要告警的事件类型和要接收告警的告警联系组。

视频播放类其他问题。 视频同时在线观看人数是否有限制？ 云点播目前对并发不做任何限制。但如有大并发观看需求，建议配置CDN加速服务。CDN加速的配置可参考【如何为云点播配置CDN加速服务】。 如何解决在HTTPS协议的页面播放HTTP协议的视频，被浏览器拦截的问题？ 浏览器会出于安全考虑进行拦截。因此，建议在HTTP协议的页面播放HTTP的视频，HTTPS协议的页面播放HTTPS的视频。 另外还有一种可能性，即遇到浏览器跨域导致的拦截。解决方案可查看【实例管理】【权限设置】。

您可以在产品信息界面查看WAF产品信息，包括申请的WAF版本、域名规格等信息。 前提条件 已申请Web应用防火墙实例。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择区域或项目。 步骤 3 单击页面左上方的，选择“安全> Web应用防火墙（独享版）”。 步骤 4 在左侧导航树中，选择“系统管理> 产品信息”，进入“产品信息”页面。 步骤 5 在“产品信息”界面，查看WAF版本、产品规格、到期时间等信息。单击“规格详情”，可以查看当前WAF版本的详细规格信息。

常见的连接失败问题与解决方法 报错信息 原因及其解决方法 mysql conmand not found 服务器未安装MySQL，可参考以下命令进行安装： CentOS：执行命令sudo yum install mysql。 Ubuntu：执行命令sudo aptget update，并执行sudo apt install mysqlserver。 Access denied for use 'xxxx'(using password:YES) 输入的账号或密码错误，可在访问MySQL实例列表中查看对应目标实例ID的账号管理。 Unknown MySQL server host 'xxxx' 输入的MySQL地址错误，请重新确认地址。 Can't connect to mysql sever on ‘xxxx’ Cannot Connect to Database Server Your connection attempt failed for user ‘xxxx’ to the MySQL server 请根据连接场景重新确认RDS连接地址类型与安全组规则设置。

操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 密钥管理”。 4. 在左侧导航栏，选择“信息概览”，进入信息概览页面，在页面上方选择目标服务。 5. 切换至目标服务后，在当前服务信息展示页面，点击“续订”。 6. 进入续订页面，选择订购时长，确认无误后，勾选“我已阅读并同意《天翼云密钥管理产品服务协议》”后，点击“确认”后进入支付页面。 7. 完成订单支付，可在订单详情页查看订单状态，状态更新为“已完成”后代表续订成功。

本节介绍如何查看并处理文件篡改告警。 查看告警 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“文件安全 > 文件完整性保护”，进入文件完整性保护页面。 3. 查看统计数据和变更信息。 查看统计信息 上方展示文件变更篡改行为事件和存在文件变更服务器的统计情况。 查看文件变更信息 在页面下方的“文件变更”页签，展示文件变更列表，展示字段包括服务器、原文件名、原文件路径、变更后文件MD5、文件变更时间、变更类型、状态。 告警事件支持按发现时间、处理状态、变更类型、服务器名称和服务器IP进行搜索。 查看变更统计信息 在页面下方的“变更统计”页签，系统帮助您自动统计出所有存在文件变更篡改行为的服务器。单击文件变更类型列的数字可查看详情。 处理告警 标记为已处理 若您已手动处理文件变更告警，可将其“标记为已处理”，标记后，告警的状态将从“未处理”变为“已处理”。 具体操作步骤如下： 1. 在文件变更告警列表中，找到目标告警，单击操作列的“标记已处理”，或勾选目标告警，单击列表上方的“标记已处理”进行批量处理。 2. 在弹出的对话框中单击“确定”。

云等保的测评要求 等保工作是一个持续的工作，等保测评也是一个周期性的工作，三级系统要求每年做一次，四级系统每半年做一次，二级系统部分行业明确要求每两年做一次，没有明确要求的行业一般是建议两年做一次测评。 定期等保合规基线检查 合规基线覆盖等级保护二级、三级技术要求主机安全检查330项。涵盖系统基线、应用基线、等保合规检查和CIS合规检查。 使用合规基线功能，无需任何人工干预，全自动高效清点，一旦安全配置被修改迅速响应并可定位到具体的主机及负责人，最大限度减少风险暴露的同时有效降低员工再犯可能。 选择合规基线模版 点击某个基线任务，可查看该任务中的基线检查列表，也可对单个基线进行检查。 检查合规基线扫描结果 根据选定的基线检查任务，检查结果按照每个检查项的维度展示了该检查项的基本信息，和在主机范围内检查结果的通过率。

本节主要介绍如何通过公网连接Redis实例 当您的本地设备需要管理或测试Redis实例时，您可以本地设备上通过公网连接至Redis实例，需要先为Redis实例申请公网IP地址。 注意事项 通过公网连接首先需要申请弹性IP，具体操作请参见购买弹性IP。注意使用弹性IP服务会产生流量费用，并且会增加网络延迟，影响分布式缓存Redis服务的性能，且存在一定的安全风险。因此更推荐通过专有网络连接，可获得更低的网络延迟和更高的安全性。 若实例为Cluster集群架构，则不支持申请公网连接，无法通过公网连接Redis实例，请通过专有网络连接实例。 操作步骤 1. 申请公网连接地址，具体操作，请参见购买弹性IP。 2. 为Redis实例绑定公网IP地址，具体操作，请参见绑定公网IP。 3. 通过获取到的公网连接地址，使用rediscli或客户端程序连接Redis实例。具体可参考以下文档： 通过客户端连接方式。 rediscli连接方式。

处置告警 您可以根据自己的业务需求，自行判断并处理告警，快速清除资产中的安全威胁。告警处理完成后，告警的状态将从“未处理”变为“已处理”。 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“入侵检测 > 告警中心”，进入告警中心页面。 3. 在页面下方的告警列表中，单击告警操作列的“详情”，可在弹出的对话框中查看告警详情。 4. 核对告警信息，单击弹窗下方的“处理”按钮，根据业务实际需求处理告警。 5. 在弹出的告警处理对话框中，选择告警处理方式。 忽略：选择忽略，告警状态将变为已忽略。 加白名单：选择加白名单，系统会为您自动填写加白规则，若自动生成的加白规则不满足您也可以自定义加白规则。 文件隔离：选择隔离文件，告警状态将变为已隔离。 文件删除：选择删除文件，删除文件可能影响业务系统正常运行，文件被删除后无法恢复，请谨慎操作。 6. 填写备注后，单击“提交”即可完成告警处理。

本文介绍了如何重置管理员账号密码。 操作场景 在使用过程中，如果用户忘记管理员账号密码，可以通过控制台重新设置密码。 注意 如果新密码被系统视为弱密码，您将收到错误提示，请提供更高强度的密码。 重置密码生效时间取决于该实例当前执行的业务数据量。 请定期修改用户密码，以提高系统安全性，防止出现密码被暴力破解等安全风险。 请妥善管理您的密码，因为系统为保障您的数据安全未保存您的密码信息。 Ⅰ类资源池操作步骤 1. 登录天翼云门户。 2. 打开控制中心。 3. 左上角选择资源池区域，RDSPostgreSQL基础版加载的资源池详见功能加载说明。 4. 找到【关系数据库PostgreSQL版】，点击进入组件控制台管理页面。 5. 在实例管理页面中的“操作”列，点击对应实例的“修改密码”按钮，如图所示。 6. 在弹出框内输入新的密码，点击确认。返回成功即为修改密码成功，返回失败请根据错误提示重新设置您的密码。 Ⅱ类资源池操作步骤 1. 登录天翼云门户。 2. 点击控制中心，进入控制中心后，选择目标资源池。 3. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 4. 在左侧菜单中点击【PostgreSQL】→【实例管理】，点击进入产品实例管理页。 5. 在【实例管理】的实例列表中选择目标实例，点击实例名称进入实例管理详情页。 6. 在基本信息中找到“管理员账号名”项中的“重置密码”。 7. 在弹出框内输入新的密码，点击确定。返回成功即为修改密码成功。返回失败请根据错误提示重新设置您的密码。

此小节介绍启动实例。 以下场景需要启动实例： 当实例关闭后，实例的“运行状态”为“关闭”时，如果需重新登录使用云堡垒机系统，则需执行启动实例操作。 当实例异常时，实例的“运行状态”为“异常”时，为重新登录使用云堡垒机系统，可尝试执行启动实例操作。 前提条件 已获取管理控制台的登录帐号与密码。 操作步骤 1. 登录管理控制台。 2. 在页面左上角单击，选择区域，选择“安全 > 云堡垒机”，进入云堡垒机实例管理页面。 3. 单击左上角的，选择区域或项目。 4. 在左侧导航树中，单击，，进入云堡垒机实例界面。 5. 在需要启动的实例所在行，单击“操作”列中的“启动”。 6. 在弹出的开启实例对话框中，单击“确定”。 7. 实例启动成功后，实例的“运行状态”变为“运行”。

接口描述：调用本接口删除域名的频率控制规则配置内容 请求方式：post 请求路径：/waf/accessratelimit/deleteaccessratelimit 使用说明： 您需要先开通安全加速产品； 需要先配置频率控制策略 单个用户一分钟限制调用10000次，并发不超过100； 请求参数说明（json）： 参数名 类型 是否必填 名称 说明 domain string 是 域名 单次调用支持新增一个域名 ids list 是 访问限速规则id 返回参数说明： 参数 类型 是否必传 名称及描述 code int 是 状态码，成功100000 message string 是 描述信息，成功返回success，其他返回异常信息描述 示例： 请求路径： 示例1： 请求参数： json { "domain": "www.ctyun.cn", "ids":[21321] } 返回结果： json { "code": 100000, "message": "", "data": null } 错误码请参考：API返回参数code和message含义

本文为您介绍重点操作验证的定义和重点操作范围。 产品定义 重点操作验证，是天翼云平台为了保障安全，在用户进行重点操作前增加的二次认证，二次认证通过后系统才能执行用户操作。可避免因误操作引起严重后果，提供更高的安全性。 目前二次认证仅支持短信验证码方式认证。若您开启短信验证能力，在控制台进行重点操作时，系统会向您的手机号（绑定天翼云账号的手机号）发送短信验证码，需输入正确的验证码才能执行该重点操作。从而避免您进行误操作，造成云产品数据的丢失；另一方面，确保操作人身份，避免影响业务运行。 重点操作：可能引起服务运行中断、网络中断、数据丢失等情况的操作。 重点操作范围 当您开启操作保护后，进行重点操作时，需要进行身份验证，重点操作范围如下表： （操作范围会不定期更新，敬请关注） 产品名称 功能 上线时间 ::: 弹性云主机 关机 2023年2月10日 弹性云主机 批量关机 2023年2月10日 弹性云主机 重启 2023年2月10日 弹性云主机 批量重启 2023年2月10日 弹性云主机 一键重装 2023年2月10日 弹性云主机 重置密码 2023年2月10日 弹性云主机 批量重置密码 2023年2月10日 弹性云主机 变配 2023年2月10日 弹性云主机 删除（按需） 2023年2月10日 弹性云主机 退订（包周期） 2023年2月10日 弹性云主机 批量删除/退订 2023年2月10日 弹性云主机 弹性IP解绑 2023年2月10日 云硬盘 卸载 2023年2月10日 云硬盘 删除（按需） 2023年2月10日 云硬盘 退订（包周期） 2023年2月10日 虚拟私有云 VPC安全组删除 2023年2月10日 弹性IP 弹性IP解绑 2023年2月10日 弹性IP 弹性IP删除 2023年2月10日 弹性IP 弹性IP退订 2023年2月10日 弹性IP 共享带宽删除 2023年2月10日 弹性负载均衡 弹性负载均衡删除 2023年2月10日 弹性负载均衡 弹性负载均衡退订 2023年2月10日 NAT网关 DNAT规则删除 2023年2月10日 NAT网关 SNAT规则删除 2023年2月10日 VPN连接 VPN删除 2023年2月10日

操作场景 在您创建弹性云主机后，通过控制台进入弹性云主机列表页与详情页，可以查看弹性云主机的列表与详细信息。 操作步骤 1. 登录控制中心。 2. 单击控制中心顶部的，选择“地域”。 3. 单击左侧导航栏“产品服务列表”，选择“计算 > 弹性云主机”，进入弹性云主机控制台，此处展示弹性云主机列表页，您可以查看弹性云主机名称、规格、镜像等基本信息。 4. 在弹性云主机列表页，点击目标弹性云主机名称，即可跳转至该云主机的详情页，可以进一步查看弹性网卡、云硬盘、安全组、弹性IP、监控等详细信息。

本文介绍IPv4/IPv6云主机通过绑定弹性IP和共享带宽,实现互联网连接的前提条件。 在进行本文操作之前，您需要完成以下准备工作： 1. 在天翼云资源节点中，根据网络、业务需要，创建、配置VPC相关信息，需选择VPC产品支持IPv4/IPv6双栈的资源节点进行配置。 2. 以上VPC的子网选择“开启IPv6”。 3. 在以上VPC的子网中，完成云主机或云服务器的创建与配置工作，需选择支持IPv4/IPv6双栈网卡的规格类型。 4. 云主机或云服务器绑定的安全组需要将业务通信需要的端口进行放开，以便网络验证成功、业务正常运行。

如何分发Keytab? 登录翼MR管理控制台，单击“我的集群”，单击指定的集群名称，进入集群信息页面。 单击“翼MR Manager”tab，点击菜单“租户与资源 > Kerberos安全凭证”，选择要下发的Keytab，单击“分发”按钮，出现分发Keytab弹框，选择目标主机，依次输入相关字段单击确定等待下发结果即可。 如何查看集群服务监控大屏？ 登录翼MR管理控制台，单击“我的集群”，单击指定的集群名称，进入集群信息页面。 单击“翼MR Manager”tab，单击菜单“集群服务”，单击指定集群服务，进入集群服务详情页面，单击“集群大屏”tab即可查看该集群服务的监控大屏。

本节主要介绍IAM用户登录。 1. 根用户或有管理用户权限的IAM用户，通过“用户管理”>“用户”，进入具体用户页面，在用户详细信息页面，点击“安全”，复制“控制台登录链接”，即得到该IAM用户的登录链接。 2. 输入上一步骤中复制的控制台链接，进入子用户登录页面。根据提示，输入IAM用户名和登录密码，进行登录。 说明 IAM用户名为“@”前面的部分。 IAM子用户与根用户的页面基本一致，子用户的功能根据授权而定。如果需要更多权限，可以向根用户进行申请。

本文介绍存储桶复制的适用场景。 通过存储桶复制功能，可满足用户以下场景需求： 合规性要求：因合规性要求，数据需要在不同存储区域或存储桶保存一份副本。通过存储桶复制，可在媒体存储的存储区域之间复制数据，以满足业务要求。 数据迁移：因业务发展需要，将业务数据从一个存储桶复制到另一个存储桶，实现数据的迁移。 数据备份与容灾：因业务运行需要，希望所有写入媒体存储对象存储服务的数据能够在另一存储区域进行备份，以预防在数据发生不可逆损毁时，有安全、可用的备份数据，可实时切换业务访问路径，保证业务不中断。

本节指导用户通过密钥管理界面关闭自动轮换密钥。 前提条件 密钥处于“启用”状态。 “密钥材料来源”为“密钥管理”。 已开启密钥轮换。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角，选择区域或项目。 步骤 3 单击“服务列表”，选择“安全> 数据加密服务”，默认进入“密钥管理”界面。 步骤 4 单击目标对称密钥的别名，进入密钥详细信息页面。 步骤 5 单击“轮换策略”，进入密钥轮换管理界面。 步骤 6 单击，关闭密钥轮换。 步骤 7 关闭后，页面将显示密钥轮换管理界面。

方案架构 方案防护措施 事前预防 提供漏洞检测能力：主动发现系统、应用、数据库等存在的漏洞风险，并支持一键漏洞修复，避免被攻击者利用。 提供基线检查能力：一键核查服务器、数据库等的安全合规配置，如弱口令、配置文件等，消除部分安全隐患。 提供数据备份能力：对关键数据采取实时备份/定时备份等方式对数据进行备份，在被勒索后，可以对备份数据一键恢复，减少损失。 事中防御 提供入侵检测和病毒查杀能力：在网络层面阻断勒索病毒的下载传播，在主机层面识别、阻断和隔离勒索病毒，实现对已知勒索病毒的防御。 提供诱饵防护能力（旗舰版功能）：利用投放在关键位置的诱饵文档，实时监控诱饵文档的改动，一旦单位时间内多个诱饵文件连续发生改动，立即产生报警，终止修改诱饵文件的进程，并隔离进程对应的文件 ，实现对未知勒索病毒的检测和查杀能力。 事后补救防御 提供数据恢复能力：遭遇黑客攻击、人为删除等恶性事件时，将备份的特定时间节点数据进行数据恢复，覆盖被加密或损坏的数据。

参数 说明 账号名称 数据库账号名称在1到128个字符之间，由字母、数字、中划线或下划线组成，不能包含其他特殊字符，不能和系统用户名称相同。系统用户包括：rdsadmin, rdsuser, rdsbackup, rdsmirror。 密码 长度为8~32个字符，至少包含大写字母、小写字母、数字、特殊字符三种字符的组合，其中允许输入 ~ ! @ $ % ^ + ? , 特殊字符。 密码不能包含数据库账号名称或名称的逆序。 密码不能是易于破解的弱密码，否则会因弱密码拦截导致创建用户失败。建议您输入高强度密码，以提高安全性，防止出现密码被暴力破解等安全风险。 权限 可以为创建的用户指定角色权限，包括CREATEDB、CREATEROLE、REPLICATION。 CREATEDB：代表该用户具备创建数据库的权限。当不指定此属性时，新创建的用户默认无法创建数据库。 CREATEROLE：代表该用户具备创建其它用户角色的权限。当不指定此属性时，默认无法使用此用户创建新用户。 REPLICATION：代表该用户具备使用流复制或逻辑复制的能力。当不指定此属性时，默认无法使用此用户搭建流复制或逻辑复制。 备注 长度可在0~512个字符之间。

通过后台提交作业 MRS 3.x及之后版本客户端默认安装路径为“/opt/Bigdata/client”，MRS 3.x之前版本为“/opt/client”。具体以实际为准。 1.登录MRS客户端。 2.执行如下命令初始化环境变量。 source /opt/Bigdata/client/bigdataenv 3.若集群开启Kerberos认证，需要执行以下步骤，若集群未开启Kerberos认证请跳过该步骤。 a.准备一个提交Flink作业的用户。 b.使用新创建的用户登录Manager页面。 MRS 3.x之前版本，登录集群的Manager界面，选择“系统设置 > 用户管理”，在已增加用户所在行的“操作”列，选择“更多 > 下载认证凭据”。 MRS 3.x及之后版本，登录集群的Manager界面，选择“系统 > 权限 > 用户”，在已增加用户所在行的“操作”列，选择“更多 > 下载认证凭据”。 c.将下载的认证凭据压缩包解压缩，并将得到的user.keytab文件拷贝到客户端节点中，例如客户端节点的“/opt/Bigdata/client/Flink/flink/conf”目录下。如果是在集群外节点安装的客户端，需要将得到的krb5.conf文件拷贝到该节点的“/etc/”目录下。 d.MRS 3.x及之后版本，安全模式下需要将客户端安装节点的业务IP以及Manager的浮动ip追加到“/opt/Bigdata/client/Flink/flink/conf/flinkconf.yaml”文件中的“jobmanager.web.allowaccessaddress”配置项中，ip之间使用英文逗号分隔。 e.配置安全认证，在“/opt/Bigdata/client/Flink/flink/conf/flinkconf.yaml”配置文件中的对应配置添加keytab路径以及用户名。 security.kerberos.login.keytab: security.kerberos.login.principal: 例如： security.kerberos.login.keytab: /opt/Bigdata/client/Flink/flink/conf/user.keytab security.kerberos.login.principal: test f.在Flink的客户端bin目录下，执行如下命令进行安全加固，password请重新设置为一个用于提交作业的密码。 sh generatekeystore.sh 该脚本会自动替换“/opt/Bigdata/client/Flink/flink/conf/flinkconf.yaml”中关于SSL的值，针对MRS 3.x之前版本，安全集群默认没有开启外部SSL，用户如果需要启用外部SSL，进行配置后再次运行该脚本即可，配置参数在MRS的Flink默认配置中不存在，用户如果开启外部连接SSL，则需要添加下表中参数。 参数描述 参数 参数值示例 描述 security.ssl.rest.enabled true 打开外部SSL开关。 security.ssl.rest.keystore ${path}/flink.keystore keystore的存放路径。 security.ssl.rest.keystorepassword 123456 keystore的password，“123456”表示需要用户输入自定义设置的密码值。 security.ssl.rest.keypassword 123456 ssl key的password，“123456”表示需要用户输入自定义设置的密码值。 security.ssl.rest.truststore ${path}/flink.truststore truststore存放路径。 security.ssl.rest.truststorepassword 123456 truststore的password，“123456”表示需要用户输入自定义设置的密码值。 说明 针对MRS 3.x之前版本，generatekeystore.sh脚本无需手动生成。 会将生成的flink.keystore、flink.truststore、security.cookie自动填充到“flinkconf.yaml”对应配置项中。 针对MRS 3.x及之后版本，“security.ssl.keypassword”、“security.ssl.keystorepassword”和“security.ssl.truststorepassword”的值需要使用Manager明文加密API进行获取： curl k i u : X POST HContenttype:application/json d '{"plainText":" "}' 'https:// x.x.x.x :28443/web/api/v2/tools/encrypt' ；其中 要与签发证书时使用的密码一致，x.x.x.x为集群Manager的浮动IP。 g.客户端访问flink.keystore和flink.truststore文件的路径配置。 绝对路径：执行该脚本后，在flinkconf.yaml文件中将flink.keystore和flink.truststore文件路径自动配置为绝对路径“/opt/Bigdata/client/Flink/flink/conf/”，此时需要将conf目录中的flink.keystore和flink.truststore文件分别放置在Flink Client以及Yarn各个节点的该绝对路径上。 相对路径：请执行如下步骤配置flink.keystore和flink.truststore文件路径为相对路径，并确保Flink Client执行命令的目录可以直接访问该相对路径。 i.在“/opt/Bigdata/client/Flink/flink/conf/”目录下新建目录，例如ssl。 ii. 移动flink.keystore和flink.truststore文件到“/opt/Bigdata/client/Flink/flink/conf/ssl/”中。 iii. 针对MRS 3.x及之后版本，修改flinkconf.yaml文件中如下两个参数为相对路径。 security.ssl.keystore: ssl/flink.keystore security.ssl.truststore: ssl/flink.truststore iv. 针对MRS 3.x之前版本，修改flinkconf.yaml文件中如下两个参数为相对路径。 security.ssl.internal.keystore: ssl/flink.keystore security.ssl.internal.truststore: ssl/flink.truststore h.如果客户端安装在集群外节点，请在配置文件（如：“ /opt/Bigdata/client/Flink/fink/conf/flinkconf.yaml ”） 中增加如下配置值，其中xx.xx.xxx.xxx请替换为客户端所在节点的IP。 web.accesscontrolalloworigin: xx.xx.xxx.xxx jobmanager.web.allowaccessaddress: xx.xx.xxx.xxx 4.运行wordcount作业。 普通集群（未开启Kerberos认证） −执行如下命令启动session，并在session中提交作业。 yarnsession.sh nm "sessionname" flink run /opt/Bigdata/client/Flink/flink/examples/streaming/WordCount.jar −执行如下命令在Yarn上提交单个作业。 flink run m yarncluster /opt/Bigdata/client/Flink/flink/examples/streaming/WordCount.jar 安全集群（开启Kerberos认证） −flink.keystore和flink.truststore文件路径为绝对路径时： 执行如下命令启动session，并在session中提交作业。 yarnsession.sh nm "sessionname" flink run /opt/Bigdata/client/Flink/flink/examples/streaming/WordCount.jar 执行如下命令在Yarn上提交单个作业。 flink run m yarncluster /opt/Bigdata/client/Flink/flink/examples/streaming/WordCount.jar −flink.keystore和flink.truststore文件路径为相对路径时： 在“ssl”的同级目录下执行如下命令启动session，并在session中提交作业，其中“ssl”是相对路径，如“ssl”所在目录是“opt/Bigdata/client/Flink/flink/conf/”，则在“opt/Bigdata/client/Flink/flink/conf/”目录下执行命令。 yarnsession.sh t ssl/ nm "sessionname" flink run /opt/Bigdata/client/Flink/flink/examples/streaming/WordCount.jar 执行如下命令在Yarn上提交单个作业。 flink run m yarncluster yt ssl/ /opt/Bigdata/client/Flink/flink/examples/streaming/WordCount.jar

参数 示例值 描述 k8s.ctyun.cn/eciusespecs pi7.4xlarge.4 指定ECI实例规格，只支持指定一种规格 k8s.ctyun.cn/eciimagecache "true" 配置为true表示自动匹配镜像缓存 k8s.ctyun.cn/eciimagesnapshotid imc7nh0dkpoaxepqyh2 指定镜像缓存ID k8s.ctyun.cn/ecisecuritygroup sg5bvqyvrmch 指定ECI容器实例所在的安全组ID k8s.ctyun.cn/ecieipinstanceid eipxxxx 指定弹性IP的ID。注：弹性IP默认不开放8080、80、443、8443端口，建议使用其他端口 k8s.ctyun.cn/eciiamrolename testName ECS资源委托名称 k8s.ctyun.cn/ecisubnet subnetxxxx 指定ECI子网ID。注：只支持单个子网

section86b7c78dda9d6762)。 目的IP地址 根据所选IP版本，输入对应的IP地址或使用已添加的地址簿： 输入IP：使用“/”隔开掩码。 注意 添加入向规则时，目的IP地址请配置弹性IP所绑定的内网IP，切勿直接配置弹性IP地址，否则规则无法正常生效。 地址簿选择：通过下拉框选择已添加的IP地址簿，添加IP地址簿请参见添加IP地址簿。 特征ID 填写特征ID，特征 ID 可通过入侵防御日志获取。 相关操作 入侵防御告警请参见安全告警。 入侵防御日志请参见入侵防御日志。

本页介绍透明加密功能的使用示例。 plaintext 创建插件 CREATE EXTENSION teledbxmls; 切换为安全管理员用户 c mlsadmin 注册内置的加密算法和对应密钥 使用国测sm4加密算法进行注册，获得对应的算法ID select MLSTRANSPARENTCRYPTCREATEALGORITHM('SM4','0123456789012345'); Select MLSTRANSPARENTCRYPTCREATEALGORITHM('AES128','0123456789012345'); c root create table t1(id int,content int); c mlsadmin 将加密算法绑定到表上,其中1是上面创建的算法ID select MLSTRANSPARENTCRYPTALGORITHMBINDTABLE('public','t1',1); insert into t1 values(1,0), (2,0), (3,0); insert into t1 values(7, 0), (8,0), (9,0);

本文介绍函数运行时的Web Crypto的定义与用法。 Web Crypto API为常见的加解密任务提供了一组基础函数，可通过全局crypto.subtle接口访问。 支持的算法 边缘函数计划支持Web Crypto标准的所有操作，如下表所示： Algorithm digest() generateKey() （即将支持） importKey() exportKey() （即将支持） sign() verify() encrypt() decrypt() （即将支持） wrapKey() unwrapKey() （即将支持） deriveBits() deriveKey() （即将支持） ::::::::::::::: MD5 √ SHA1 √ SHA256 √ SHA384 √ SHA512 √ HMAC √ √ √ AESCTR √ √ √ √ AESCBC √ √ √ √ AESGCM √ √ √ √ AESKW √ √ √ RSASSAPKCS1 v1.5 √ √ √ RSA PSS √ √ √ RSA OAEP √ √ √ ECDH √ √ √ ECDSA √ √ √ HKDF √ √ PBKDF2 √ √ 备注：MD5不是Web Crypto标准的一部分，但支持与需要MD5的旧系统交互。MD5被认为是一种弱算法。不要依赖MD5来保证安全。