本文介绍数据管理服务的优势和特点,帮助您快速了解数据管理服务。 支持多源异构数据库 数据管理服务DMS致力于构建企业级一站式数据管理平台，为各行业在异构、多云、多环境下的数据库提供统一的管理、运维和研发支持。 支持多种数据库类型，如MySQL、PostgreSQL、SQLServer、DRDS、MongoDB、DDS、ClickHouse等。 支持公网、天翼云RDS等来源的数据库。 安全可靠 数据管理服务DMS采用了一系列安全措施，以保障数据和元数据的安全，为企业数据库核心资产保驾护航。 提供了角色权限管理功能，允许企业为不同用户分配不同的权限，确保数据的访问和操作符合企业的安全策略。 支持元数据按团队隔离，大型组织可将实例和人员进行划分并归属不同团队，实现管理域分割，降低跨域越权访问风险。 全员、全生命周期的数据库审计，支持DMS操作审计和数据库内核全量SQL审计，确保数据库操作可追溯。 支持按实例、库/模式、表级进行细粒度的数据权限管控，保障企业数据安全。 提供账密托管能力，普通用户使用数据库不直接接触账密，减少数据库账密泄漏的概率，进一步保障数据库安全。 支持高危操作审批，通过定义不同操作对应的风险等级，可支撑高危操作下强制进行审批的场景，减少操作风险。 脚本和可视化操作双重支持 数据管理服务DMS支持用户编写SQL操作数据库，并支持将常用SQL保存为脚本。此外还支持对表、视图、存储过程、函数、事件、触发器等主要对象的可视化管理功能。 这些功能让用户可以通过直观的图形界面对数据库对象进行创建、修改、删除等操作，无需编写复杂的SQL语句，在满足用户数据库操作的灵活性之余，大大降低了操作门槛，使得非专业数据库管理员也能轻松地进行数据库管理。

此小节介绍设置告警通知。 通过设置告警通知，当数据库发生设置的告警事件时，您可以收到告警的通知邮件。您可以开启或关闭告警通知、设置告警的风险等级以及系统资源的告警信息。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 操作步骤 1. 登录管理控制台。 2. 单击右上角的 ，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全审计“总览”界面。 4. 在左侧导航树中，选择“设置”，进入设置界面。 5. 在“选择实例”下拉列表框中，选择需要设置告警通知的实例。 6. 选择“告警通知”页签。 7. 设置告警通知，如下图所示，相关参数说明如下表所示。 参数名称 说明 取值样例 告警通知 开启或关闭告警通知。数据库安全审计默认开启告警通知，当数据库发生设置的告警事件时，数据库安全审计将发送告警通知邮件。：开启：关闭 告警方式 当前支持邮件通知的告警方式。 邮件通知 每天发送告警总条数 每天允许发送的告警总条数。须知如果每天的告警数超出该参数值，超出部分的告警信息将不会发送通知。 30 告警风险等级 选择产生告警通知的风险日志告警风险等级，可以选择：高中 低 高 CPU告警阈值(%) 设置审计实例系统资源CPU告警的阈值。当超过该阈值时，产生告警通知。 80 内存告警阈值(%) 设置审计实例系统资源内存告警的阈值。当超过该阈值时，产生告警通知。 80 磁盘告警阈值(%) 设置审计实例系统资源磁盘告警的阈值。当超过该阈值时，产生告警通知。 80 8. 单击“应用”。

本节将接入如何快速为日志设置告警模型。 操作场景 态势感知（专业版）支持将查询分析结果设置告警模型，并在满足条件时触发告警。 前提条件 已完成数据接入，详细操作请参见云服务接入。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计 > 安全数据”，进入安全分析页面。 5. 在左侧数据空间导航栏中，单击数据空间名称，展开数据管道列后，再单击管道名称，右侧将显示管道数据的检索页面。 6. 输入查询分析语句，设置时间范围，并单击“查询分析”，显示查询分析结果。 更多查询分析详细操作请参见查询与分析日志。 7. 单击页面右上角“添加告警”，进入新建告警模型页面。 8. 配置告警基础信息，参数说明如下表所示。 参数名称 参数说明 管道名称 该告警模型的执行管道，系统默认生成。 模型名称 自定义该条告警模型的名称。 严重程度 设置该告警模型的严重程度。可以设置致命、高危、中危、低危、提示级别。 告警类型 选择该条告警模型触发后，提示的告警类型。 模型类型 默认为规则模型。 描述 填写该告警模型的描述信息。 启用状态 设置该告警模型的启用状态。 此处设置的状态，可在整个告警模型设置成功后进行更改。 9. 设置完成后，单击页面右下角“下一步”，进入设置模型逻辑页面。 10. 设置模型逻辑，参数说明如下表所示。 参数名称 参数说明 查询规则 设置告警的查询规则，设置完成后可以单击“运行”，查看当前运行结果。 说明 如果筛留字段为text类型时，默认会使用MATCHQUERY进行分词查询。 查询计划 设置告警查询计划。 运行查询间隔：xx分钟/小时/天。 当运行查询间隔为分钟时，可设置为559分钟；当运行查询为小时时，可设置为123小时；当运行查询为天时，可设置为114天。 时间窗口：xx分钟/小时/天。 当时间窗口为分钟时，可设置为559分钟；当时间窗口为小时时，可设置为123小时；当时间窗口为天时，可设置为114天。 延迟执行时间：xx分钟，可以设置为05分钟。 告警扩充 自定义信息：自定义告警扩充信息。 单击“添加”，并设置key+value信息，完成新增。 告警详细信息：自定义填写告警名称、描述和处置建议。 触发条件 设置告警触发条件。可设置为：大于/等于/不等于/小于xx时，触发告警。 如有多条触发条件，可以单击“添加”按钮进行添加，最多可添加5个触发条件。 当设置了多个触发条件时，在日志数据扫描检测中，系统将按照从上到下的校验逻辑，如果有满足此处设置的触发条件被检测到时，系统都将展示不同类型的告警。 告警分组 配置将规则查询结果分组到告警的方式。可选择以下方式： 将所有查询结果分组到一个告警中 将每条查询结果独立触发告警 调试模式 设置是否生成调试类告警。 抑制 设置生产告警后是否停止运行查询。 如果设置为抑制，即生成告警后停止运行查询。 如果设置为不抑制，即生成告警后不停止运行查询。 11. 设置完成后，单击页面右下角“下一步”，进入模型详情预览页面。 12. 预览确认无误后，单击页面右下角“确定”。

本章节介绍了什么是云主机备份,以及该产品的架构和基本功能模块。 云主机备份简介 该服务目前仅提供给部分存量用户使用，云服务备份（CBR）服务融合了云主机备份（CSBS），新用户请前往云服务备份进行使用。 云主机备份（CTCSBS，Cloud Server Backup Service）提供对弹性云主机的备份保护服务，支持基于多云硬盘一致性快照技术的备份服务，并支持利用备份数据恢复弹性云主机（简称云主机）数据，最大限度保障用户数据的安全性和正确性，确保业务安全。 云主机备份提供申请即用的备份服务，使您的数据更加安全可靠。例如，当云主机出现故障或者人为错误导致数据误删时，可以自助快速恢复数据。 云主机备份对于首次备份的云主机，系统默认执行全量备份。已经执行过备份并生成可用备份的云主机，系统默认执行增量备份。无论是全量还是增量备份都可以快速、方便地将云主机的数据恢复至备份所在时刻的状态。 云主机备份通过云主机与对象存储服务的结合，将云主机的数据备份到对象存储中，高度保障用户的备份数据安全。云主机备份的产品架构如图。

不再使用的自定义敏感数据规则，可在DSC的敏感数据规则列表中删除。 您可在数据安全中心DSC的敏感数据规则列表中删除不再使用的自定义敏感数据规则。其中已添加到敏感数据规则组中的规则、DSC内置规则都不可删除。 前提条件 已添加敏感数据规则。 待删除的规则未添加到规则组。 约束条件 DSC内置的规则不可删除。 如果待删除的规则已在敏感数据规则组中使用，您需要先参考编辑敏感数据规则组章节将待删除的规则移出规则组，然后参考本章节删除该规则。 规则删除后将无法恢复，请谨慎操作。 操作步骤 1.登录管理控制台。 2.单击左上角的，选择区域或项目。 3.在左侧导航树中，单击，选择“安全>数据安全中心”，进入数据安全中心总览界面。 4.在左侧导航树中，选择“敏感数据识别 > 识别规则”，进入敏感数据规则列表。 4.在敏感数据规则列表中，在需要删除的规则所在行的“操作”列，单击“删除”。 5.在弹出的删除规则的提示框中，单击“确定”。

处理可信异常信息 如果启动过程中某一环节出错，则可信信息页签下“资产启动概况”模块中对应的圆圈会变为红色，您需要前往“可信异常处理”模块处理告警信息并修复异常状态。 1. 在云主机详情页中选择“可信计算”页签，前往“可信异常处理”模块。本模块展示启动过程中出错的环节信息，并可以对出错环节进行“加入白名单”、“标记为已处理”操作。 2. “加入白名单”：点击“操作”栏中“加入白名单”按钮，即可完成加入白名单操作。 加入白名单即将安全告警中收集到的实际度量值，将转化为新的标准值，未来对该组件收集到相同的完整性度量值时将不再报警。若您近期进行了系统升级或维护操作，可以在检查修复后选择加白名单。 3. “标记为已处理”：点击“操作”栏中“标记为已处理”按钮，即可完成标记为已处理操作。 标记为已处理即删除/忽略掉该安全事件，当您使用非加白操作完成了安全事件的分析和处理时，可以使用该操作将事件制除。 说明 若您对云主机进行了变更配置操作，变配后开机pcr0会提示异常。这是由于pcr0会度量acpi table，vCPU个数包含在其中，因此变配后会改变pcr0的实际度量值。您可通过“加入白名单”操作更新pcr0的标准度量值。

本节为您介绍云迁移服务CMS中数据库迁移工具迁移前的准备工作,包括账号注册认证、账户余额确认、迁移网络打通等。 1.使用或注册天翼云账号。 2.确认源端数据库或目标端是否满足数据库类型要求。 需对数据库迁移工具支持迁移的迁移源数据库类型及版本做确认，具体请见数据库迁移兼容性列表。 迁移网络打通 迁移节点 迁移节点所在云主机需要能正常访问源数据库、目标数据库、CMS控制台，建议出方向安全组不作限制。 迁移节点若使用弹性IP连接，需要提前购买和配置正确的EIP。 迁移节点默认端口为18080，因此迁移节点所在云主机需开放TCP的18080端口，以便CMS控制台下发任务。未执行任务时，建议及时关闭18080端口。 源数据库 若使用弹性IP连接，源数据库需要提前购买和配置正确的EIP。 源数据库安全组需开放数据库端口，建议将数据库端口的入方向IP限制为迁移节点所在云主机IP。 目标数据库 若使用弹性IP连接，目标数据库需要提前购买和配置正确的EIP。 目标数据库安全组需开放数据库端口，建议将数据库端口的入方向IP限制为迁移节点所在云主机IP。

本章节介绍如何查看敏感数据规则。 前提条件 已添加敏感数据规则。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择“安全>数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中，选择“敏感数据识别 > 识别规则”，进入敏感数据规则列表。 说明 在“全部规则类型”、“全部风险等级”搜索栏选择敏感规则的类型、等级，敏感数据规则列表界面将只显示对应状态的规则。 输入规则名称或规则名称的关键字，单击或按“Enter”，可以搜索指定的敏感数据规则。 规则参数说明： 参数名称 参数说明 规则名称 敏感数据规则的名称。 规则类型 规则类型说明如下： 关键字：通过关键字来执行敏感规则。 正则表达式：通过正则表达式来执行敏感规则。 风险等级 敏感数据规则的风险等级。 风险等级分为110级。13级属于低风险，47级属于中风险。810级属于高风险。 规则描述 该规则的备注信息。

当您需要更新证书时,如果涉及到大量域名需要绑定证书,可以通过批量绑定域名进行快捷操作。 配置说明 证书批量绑定域名具体操作步骤如下： 1. 登录边缘安全加速平台控制台。 2. 在【域名】【证书管理】页面，找到您需要操作的证书，通过操作列>单击【绑定域名】按钮。 3. 选择您要绑定该证书的域名，域名将会出现在右侧，每次最多支持绑定100个域名。 4. 选择完毕后，单击【提交绑定】，将提交证书绑定域名的任务。 注意 关联域名后，已选择的域名将自动开启https开关，且绑定该证书。 证书绑定域名生效时间大概需要5~15分钟，您可以稍后在证书详情查看绑定域名情况。

套餐规格 标准资费（元/月/端点） 套餐主要内容 套餐版本能力 基础版 10 端点数授权数10个起购，每次购买步长为10，基础版10元/端点/月 支持终端资产管理、终端防病毒、合规检测、外设管控、漏洞检测及修复、上网行为管理、效能分析、软件管理、弹窗拦截、问题软件检测能力 企业版 25 端点数授权数10个起购，每次购买步长为10，企业版25元/端点/月 支持终端资产管理、终端态势大屏、终端防病毒、合规检测、外设管控、漏洞检测及修复、上网行为管理、效能分析、软件管理、弹窗拦截、问题软件检测、威胁检测与响应、AI 安全检测、勒索专项防护、网络攻击防护能力

关键特性 AD域作为Windows的一项企业级能力，有以下2个关键特性，适用于广泛的应用场景。 用户账户管理 企业可以通过 AD 域集中管理员工的用户账户，包括创建、修改、删除用户账号，重置密码等操作。适用于一些大型组织和机构，或进行分支机构管理。 资源访问控制 文件系统中存储企业内部各种资源，AD域可以根据用户角色控制文件系统中文件和文件夹的访问权限，保证资源池安全。

对象存储(Object Storage Service,OBS),是一个基于对象的海量存储服务,为客户提供海量、安全、高可靠、低成本的数据存储能力,包括:创建、修改、删除桶,上传、下载、删除对象等。支持S3协议,部分节点支持文件语义、HDFS协议。OBS系统和单个桶都没有总数据容量和对象/文件数量的限制,为用户提供了超大存储容量的能力,适合存放任意类型的文件,适合普通用户、网站、企业和开发者使用。

本节介绍了云数据库GaussDB 的应用场景。 交易型应用 大并发、大数据量、以联机事务处理为主的交易型应用，如政务、金融、电商、O2O、电信CRM/计费等，服务能力支持高扩展、弹性扩缩，应用可按需选择不同的部署规模。 详单查询 具备PB级数据负载能力，通过内存分析技术满足海量数据边入库边查询要求，适用于安全、电信、金融、物联网等行业的详单查询业务。

本节主要介绍操作系统更新。 GeminiDB Influx实例需要适时进行操作系统更新，以提高数据库性能和数据库的整体安全状况。 实例内核版本升级时，GeminiDB Influx会根据操作系统的实际情况，决定是否更新以及更新适合的操作系统冷补丁版本。 操作系统更新不会更改数据库实例的版本或数据库实例信息。 此外，GeminiDB Influx会在用户设置的运维时间段内，通过热补丁方式及时修复影响重大的操作系统漏洞。

编译安装(仅限Linux操作系统) 从源码上编译上安装。 1. 下载源码： redis7.2.4.tar.gz 2. 解压缩安装包 tar zxf redis7.2.4.tar.gz 3. 编译 cd redis7.2.4 make 4. 安装 make install 性能测试建议 为了排除网络或其他因素干扰， 建议Redis服务、ECS机器都是在同一个VPC区、可用区、子网和安全组。 而且压测的ECS机器也关闭了所有的防火墙。

参数 描述 是否必须 AWSAccessKeyId 用户的AccessKeyID信息，可以登录到可以登录到对象存储（经典版）I型控制中心，点击“访问控制”>“安全凭证”>“密钥”查看；或者调用ListAccessKey查看。 类型：字符串。 是 Expires 签名过期时间，按照秒来计算的。服务器端超过这个时间的请求将被拒绝。 类型：字符串。 是 Signature URL是按照HMACSHA1的StringToSign的Base64编码方式编码。 类型：字符串。 是

本小节介绍云日志审计Windows系统客户端配置。 Windows系统客户端配置 1.进入【日志采集】→【采集控制器】，点击“NXLog”客户端，进行下载。 压缩包内包括客户端配置程序、配置文件、操作方法。 相关配置文件需注意，“Host”为云日志审计IP地址。 2.配置文件修改后，重启服务。 Linux客户端配置 1.进入Linux系统，进行rsyslog进程配置。 命令： vim /etc/rsyslog.conf 2.修改配置如下： . @云日志审计IP地址（写入发送日志指向的云日志审计地址） 3.启动rsyslog服务。 systemctl start/restart rsyslog.service 其他类型资产日志配置 其他类型资产可选择内置syslog方式，填写云日志审计组件IP地址。 若配置完成，可到【安全概览】下查看资产设备的日志分析。

此小节介绍计费、到期续费与退订常见问题。 云堡垒机如何续费，更新授权？ 为保证用户正常使用云堡垒机服务，在云堡垒机到期前或保留期期间，用户可通过手动“续费”增加授权使用期限。 在云堡垒机到期前，可以通过“续费”操作延长到期时间。 在云堡垒机到期后，通过“续费” 继续使用云堡垒机。若未及时续费，则进入 “保留期” 将冻结云堡垒机，不能访问或使用云堡垒机。 “保留期”到期仍未续订或充值，存储在云堡垒机中的数据将被删除、资源将被释放。 为避免产品到期未及时续费，导致资源数据被删除，购买包年/包月产品后，可设置开通自动续费。开通自动续费后，系统将在产品到期前自动续费，无需客户再手动操作。 适用场景 云堡垒机实例已到期或即将到期。 云堡垒机系统“消息中心”提示，授权License快到期，需及时更新License许可证。 云堡垒机系统无法正常登录，提示需更新授权，更新License许可证。 前提条件 拥有CBH操作权限。 已放通安全组和防火墙ACL出方向9443端口，解除网络限制，否则可能导致续费更新授权失败。 手动续费 1. 登录管理控制台。 2. 选择“安全与合规 > 云堡垒机”，进入云堡垒机控制台页面。 3. 单击待续费的实例，“ 操作”列的“更多 > 续费”，进入 “续费”配置页面。 4. 根据需要选择续费时长。 5. 单击“去支付”，在支付页面完成付款。 6. 返回云堡垒机实例列表页面，在“计费模式”列查看授权后最新到期时间。大约5分钟后可正常登录云堡垒机系统。 云堡垒机支持哪些计费方式？ 云堡垒机服务提供包月和包年的计费方式。 在购买云堡垒机实例时，需要使用弹性云服务器的弹性IP，弹性IP需单独计费。 云堡垒机实例可以退订吗？ 若用户不再有使用云堡垒机实例需求，或配置的实例VPC或安全组等信息有误，可执行退订操作。

本章节介绍什么是密码服务。 密码服务是针对云上租户密评需求提供的端到端密评产品解决方案，产品基于具有商密资质的云密码机、密码服务在云上构建高性能密码资源池，为应用提供密钥管理、综合安全网关、协同签名等云原生密码服务，解决云上应用密评方案复杂、改造时间长问题，帮助租户快速通过密评。

本章为您介绍数据水印功能会不会修改源数据。 天翼云数据安全中心服务的数据水印功能不会修改源数据。 使用数据水印功能时，DSC通过调用OBS桶数据或者本地文件，将水印信息嵌入到文件后生成新的文档，该文档会下载到您指定的本地路径，所以对源数据不会有任何影响。更详细的了解，请参考数据水印章节。

产品分类 产品名称 存储 混合存储网关、云硬盘、弹性文件服务、媒体存储、云备份、云硬盘备份、对象存储、云主机备份、海量文件服务 OceanFS、云容灾、对象存储（经典版）I型、并行文件 网络与CDN 弹性IP、天翼云SDWAN、NAT网关、VPN连接、云间高速、虚拟私有云、弹性负载均衡、共享流量包、智能边缘云、云专线CDA、应用加速、边缘安全加速平台、CDN加速、智能DNS、VPC终端节点、全站加速、科研助手 计算 弹性云主机、天翼云电脑（政企版）、函数计算、弹性高性能计算、镜像服务、弹性伸缩服务、物理机、云骁智算平台、数据加密 数据库 关系数据库SQL Server版、关系数据库PostgreSQL版、分布式关系型数据库、关系数据库MySQL版、数据传输服务、文档数据库服务、数据管理服务、分布式缓存服务Redis版、时序数据库Influx版、分布式融合数据库HTAP、云数据库ClickHouse 监控与管理 云日志服务、应用性能监控 应用服务 API网关、EasyCoding敏捷开发平台、软件开发生产线CodeArts 数据库 关系型数据库MySQL版（CTRDS）、关系型数据库PostgreSQL版、关系型数据库SQL Server版、云数据库GaussDB、分布式关系型数据库、分布式融合数据库HTAP、文档数据库服务、时序数据库Influx版、分布式缓存服务Redis版 人工智能 AI能力开放平台、慧聚一站式智算服务平台 大数据 云搜索服务、大数据管理平台 DataWings、翼MapReduce 容器与中间件 应用服务网格、弹性容器实例、分布式容器云平台、容器镜像服务、分布式消息服务RabbitMQ、分布式消息服务RocketMQ、微服务应用平台MSAP、云容器引擎、分布式消息服务Kafka、微服务引擎注册配置中心、微服务引擎MSE、应用性能监控apm、分布式容器云平台CCSE ONE 安全及管理 云防火墙（原生版）、统一身份认证、密钥管理、服务器安全卫士（原生版）、云监控、Web应用防火墙（原生版）、证书管理服务、DDoS高防（边缘云版）、云堡垒机、Web应用防火墙（边缘云版）、云审计 企业应用 云通信短信 视频 视频直播、智能视图服务、云点播 专属云 专属云（计算独享型） 价格 账务 其他 数据库审计、云日志服务、轻量型云主机、云原生网关、API网关

本章节为您介绍如何快速配置RDS数据库审计。 背景 为保护数据库的数据安全，防范各种攻击事件，满足国家等保合规要求，您都需要对您的数据库进行保护。 天翼云数据库审计，提供旁路模式数据库安全审计服务功能，通过实时记录用户访问数据库行为，形成细粒度的审计报告，对风险行为和攻击行为进行实时告警。同时，数据库安全审计可以生成满足数据安全标准（例如SarbanesOxley）的合规报告，对数据库的内部违规和不正当操作进行定位追责，保障数据资产安全。 步骤一：购买数据库审计实例 您需要根据您的业务需求购买数据库审计规格并配置数据库安全审计参数，详细操作请参见：购买数据库审计实例。 步骤二：添加数据库资产 1.在左侧菜单栏选择“资产 > 资产管理”进入“资产管理”页面，选择“资产管理”页签，单击“添加”。 2.在弹出的“添加资产”窗口编辑相关信息。参数填写规则可参见下表。 参数 参数说明 保存时启用推荐的规则 勾选此选项，则保存时添加的资产会使用系统推荐的规则；不勾选此选项，保存时添加的资产不会使用系统推荐的规则。 类型 选择“关系型”数据库，此处以MySQL 5.7版本举例。 资产组 设置资产所属的资产组。 名称 填写资产的名称，必须为中文字符、字母、数字、下划线“”、点“.”或短横“”，长度不超过64字符。 操作系统 此处以“Linux”系统举例。 IP端口 设置资产所在主机的IP及端口号。 3.添加完成后，单击“保存”即可将数据库纳入资产中。

本节主要介绍云数据库GeminiDB的权限管理。 如果您需要对购买的云数据库 GeminiDB资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制天翼云资源的访问。 通过IAM，您可以在天翼云账号中给员工创建IAM用户，并授权控制他们对天翼云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有云数据库 GeminiDB的使用权限，但是不希望他们拥有删除云数据库 GeminiDB等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用云数据库 GeminiDB，但是不允许删除云数据库 GeminiDB的权限策略，控制他们对云数据库 GeminiDB资源的使用范围。 如果天翼云账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用云数据库 GeminiDB服务的其它功能。 IAM是天翼云提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。 关于IAM的详细介绍，请参见《IAM产品介绍》。 云数据库 GeminiDB权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 云数据库 GeminiDB部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如广州4）对应的项目（cngdgz1）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问云数据库 GeminiDB时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于天翼云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对ECS服务，管理员能够控制IAM用户仅能对某一类云主机资源进行指定的管理操作。 如表1所示，包括了云数据库 GeminiDB的所有系统权限。 表1 云数据库 GeminiDB系统权限 策略名称/系统角色 描述 类别 依赖关系 GeminiDB FullAccess 云数据库 GeminiDB服务所有权限。 系统策略 创建包周期实例需要配置CBC权限： bss:balance:view bss:balance:update bss:order:view bss:order:pay bss:order:update bss:renewal:view bss:renewal:update 退订包周期实例需要配置CBC权限： bss:unsubscribe:update GeminiDB ReadOnlyAccess 云数据库 GeminiDB服务只读权限。 系统策略 无 表2列出了云数据库 GeminiDB常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表2 常用操作与系统权限的关系 操作 GeminiDB FullAccess GeminiDB ReadOnlyAccess 创建实例 √ x 查询实例列表 √ √ 查询实例详情 √ √ 查询任务列表 √ √ 删除实例 √ x 重启实例 √ x 重置密码 √ x 变更实例安全组 √ x 修改数据库端口 √ x 绑定/解绑公网IP √ x 磁盘扩容 √ x 规格变更 √ x 节点扩容 √ x 节点缩容 √ x 修改备份策略 √ x 重命名实例 √ x 创建手动备份 √ x 查询备份列表 √ √ 恢复到新实例 √ x 删除备份 √ x 创建参数模板 √ x 查询参数模板列表 √ √ 修改参数模板 √ x 删除参数模板 √ x 查询企业项目配额管理列表 √ √ 修改企业项目配额 √ x 切换SSL开关 √ x 停止备份 √ x 表3列出了云数据库 GeminiDB常用操作以及对应的授权项，您可以参照该表自定义配置权限策略。 表3 常用操作与对应的授权项 操作 授权项 授权范围 备注 实例创建页 vpc:vpcs:list vpc:subnets:get vpc:securityGroups:get 支持： IAM项目(Project) 企业项目(Enterprise Project) 创建页需要查询对应的VPC、子网、安全组。 创建实例 nosql:instance:create vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 支持： IAM项目(Project) 企业项目(Enterprise Project) 界面使用默认VPC、子网、安全组需对应配置vpc::create权限， 创建加密实例需要在项目上配置KMS Administrator权限。 查询实例列表 nosql:instance:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 查询实例详情 nosql:instance:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 如果实例详情界面需要展示VPC、子网、安全组，请增加vpc::get和vpc::list授权项。 查询任务列表 nosql:task:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 删除实例 nosql:instance:delete 支持： IAM项目(Project) 企业项目(Enterprise Project) 删除实例需要同时删除数据侧IP地址。 重启实例 nosql:instance:restart 支持： IAM项目(Project) 企业项目(Enterprise Project) 重置密码 nosql:instance:modifyPasswd 支持： IAM项目(Project) 企业项目(Enterprise Project) 变更实例安全组 nosql:instance:modifySecurityGroup 支持： IAM项目(Project) 企业项目(Enterprise Project) 修改数据库端口 nosql:instance:modifyPort 支持： IAM项目(Project) 企业项目(Enterprise Project) 绑定公网IP nosql:instance:bindPublicIp 支持： IAM项目(Project) 绑定公网IP时，需要查询已经创建好的公网IP。 不支持企业项目 不支持细粒度 解绑公网IP nosql:instance:unbindPublicIp 支持： IAM项目(Project) 不支持企业项目 不支持细粒度 磁盘扩容 nosql:instance:modifyStorageSize 支持： IAM项目(Project) 企业项目(Enterprise Project) 规格变更 nosql:instance:modifySpecification 支持： IAM项目(Project) 企业项目(Enterprise Project) 节点扩容 nosql:instance:extendNode vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 支持： IAM项目(Project) 企业项目(Enterprise Project) 节点缩容 nosql:instance:reduceNode 支持： IAM项目(Project) 企业项目(Enterprise Project) 删除集群节点。 修改备份策略 nosql:instance:modifyBackupPolicy 支持： IAM项目(Project) 企业项目(Enterprise Project) 重命名实例 nosql:instance:rename 支持： IAM项目(Project) 企业项目(Enterprise Project) 创建手动备份 nosql:backup:create 支持： IAM项目(Project) 企业项目(Enterprise Project) 查询备份列表 nosql:backup:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 下载备份文件 nosql:backup:download 支持： IAM项目(Project) 企业项目(Enterprise Project) 恢复到新实例 nosql:backup:restoreToNewInstance vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 支持： IAM项目(Project) 企业项目(Enterprise Project) 加密实例需要在项目上配置KMS Administrator权限。 备份恢复到已有实例 nosql:backup:restoreToExistInstance 支持： IAM项目(Project) 企业项目(Enterprise Project) 删除备份 nosql:backup:delete 支持： IAM项目(Project) 企业项目(Enterprise Project) 创建参数模板 nosql:param:create 支持： IAM项目(Project) 企业项目(Enterprise Project) 查询参数模板列表 nosql:param:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 修改参数模板中的参数值 nosql:param:modify 支持： IAM项目(Project) 企业项目(Enterprise Project) 变更实例下节点的参数配置 nosql:instance:modifyParameter 支持： IAM项目(Project) 企业项目(Enterprise Project) 删除参数模板 nosql:param:delete 支持： IAM项目(Project) 企业项目(Enterprise Project) 标签操作 nosql:instance:tag tms:resourceTags:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 标签列表 nosql:tag:list tms:resourceTags:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 查询企业项目配额管理列表 nosql:quota:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 修改企业项目配额 nosql:quota:modify 支持： IAM项目(Project) 企业项目(Enterprise Project) 切换审计日志开关 nosql:instance:switchAuditLog 支持： IAM项目(Project) 企业项目(Enterprise Project) 下载审计日志 nosql:instance:downloadAuditLog 支持： IAM项目(Project) 企业项目(Enterprise Project) 删除审计日志 nosql:instance:deleteAuditLog 支持： IAM项目(Project) 企业项目(Enterprise Project) 更新慢日志明文开关 nosql:instance:modifySlowLogPlaintextSwitch 支持： IAM项目(Project) 企业项目(Enterprise Project) 切换SSL开关 nosql:instance:switchSSL 支持： IAM项目(Project) 企业项目(Enterprise Project) 修改内网IP nosql:instance:modifyPrivateIp 支持： IAM项目(Project) 企业项目(Enterprise Project) 切换主备节点 nosql:instance:switchover 支持： IAM项目(Project) 企业项目(Enterprise Project) 数据库补丁升级 nosql:instance:upgradeDatabaseVersion 支持： IAM项目(Project) 企业项目(Enterprise Project) 停止备份 nosql:backup:stop 支持： IAM项目(Project) 企业项目(Enterprise Project) 查询日志配置组 lts:groups:get 支持： IAM项目(Project) 企业项目(Enterprise Project) 查询日志配置流 lts:topics:get 支持： IAM项目(Project) 企业项目(Enterprise Project)

本文主要介绍如何删除IP地址组。 操作步骤 1.登录管理控制台。 2.在左侧导航树中，单击左上方的，选择“安全 > 云防火墙”，进入云防火墙的概览页面。 3.在左侧导航栏中，选择“访问控制 > IP地址组管理”，进入IP地址组管理界面。 4.在需要删除的IP地址组所在行的“操作”列，单击“删除”。 5.在弹出的“删除IP地址组”界面，单击“是”，完成删除。 说明 删除IP地址组后无法恢复，请谨慎操作。

本节介绍翼甲卫士的基础管理功能。 用户开通翼甲卫士后，可在AI云电脑（政企版）控制台安全防护进入翼甲管理界面。 绑定/解绑/更换带宽 点击“操作”后可在下拉菜单点击对应选项，对带宽绑定状态进行变更，支持解绑、更换、绑定（操作生效期间会导致关联AI云电脑35分钟无法上网）。 扩容 点击“操作”后可在下拉菜单点击扩容，对各项配置进行扩容，支持公网流量处理能力、日志容量、短信告警配置扩容。

配置IPsec VPN连接时，如何选择IKE版本？ 在配置IPsec VPN连接时，IKE（Internet Key Exchange）是用于在IPsec连接中建立安全联盟SA的协议，选择合适的IKE版本非常重要。 首先，您需要了解对端网关设备支持的IKE版本。一般来说，较新的设备通常支持IKEv2版本或同时支持IKEv1和IKEv2，IKEv2通常具有更好的安全性，如果对端设备支持IKEv2，您应该优先考虑使用IKEv2。然而，并非所有设备都支持IKEv2，选择双方都支持的IKE版本是最理想的。 因此，您需要确定对端设备支持的IKE版本，并考虑安全性和性能因素，以确保建立的IPsec连接能够正常运行并保护您的数据安全。 在VPN网关实例下添加路由时系统提示路由重复等报错时怎么办？ 在VPN网关实例下添加路由时系统报错，可能原因如下： 您添加的路由与VPN网关实例下的路由冲突，请排查VPN网关实例策略路由表、目的路由表下的路由配置，解决路由冲突问题。 如果您添加的是目的路由，且目的路由的目标网段和下一跳与VPN网关实例下已有的目的路由的目标网段和下一跳相同，则会产生路由冲突。 如果您添加的是策略路由，且策略路由的源网段、目标网段、下一跳与VPN网关实例下已有的策略路由的源网段、目标网段、下一跳相同，则会产生路由冲突。

敏感数据识别任务扫描完成后，可在识别任务列表目标任务操作列单击“识别结果”，查看数据资产的敏感信息总数、风险等级以及敏感信息分类分级结果。 前提条件 至少执行过一次敏感数据识别任务。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择选择“安全 > 数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中选择“敏感数据识别 > 识别任务”，进入识别任务页面。 5. 单击目标任务“操作”列的“识别结果”查看识别结果。 数据安全中心DSC分别统计了大数据、数据库、OBS和MRS这四个服务在不同风险等级的数量及分布情况。同时，DSC还为扫描目标提供了详细的识别结果列表。在页面左上角，您可以通过识别任务名称、资产类型和资产名称筛选出您想要查看的敏感数据识别结果。 识别结果参数说明如下： 参数名称 参数说明 对象名称 敏感数据识别的对象名称。 资产类型 OBS、数据库、大数据、MRS 资产名称 涉及敏感信息资产名称。 对象路径 敏感信息对象路径。 分级结果 敏感信息级别。 6. 在目标扫描对象所在行的“操作”列，单击“查看分类分级结果详情”，进入“分类分级结果详情”弹框。 说明 “分类分级结果详情”页主要展示“识别对象详情”和“结果详情”。 结果详情主要展示匹配规则、分级结果、分类结果以及分类分级模板。

本节介绍云智手机的账户与安全。 如何注册云智手机账户？ 支持在云智手机APP内使用手机验证码方式自助注册，或前往线下电信营业厅订购云智手机并开通账户。 如何修改云智手机密码？ 操作步骤如下： 1. 登录云智手机后，可以在“我的”页面中点击个人信息，进入个人中心页面； 2. 选择“修改密码”，按照要求填写密码后，点击“确认”即可修改成功。 云智手机数据信息是否会长久保留？ 云智手机使用到期后，数据资料将保留2天。在这段时间内： 1. 如果您选择续订服务，您的数据将会继续被保存。 2. 若未进行续订，超过2天后数据将过期失效且不可恢复。 因此，云智手机的数据并不是长久保留的。在服务到期前若未选择续订，建议您做好重要数据的备份工作。 账户被锁定怎么办？ 如果用户在登录时连续输入错误的密码达到10次，云智手机账户将会被锁定10分钟。这是为了保障账户的安全性，防止暴力破解。 如果您遇到账户被锁定的情况，请耐心等待10分钟后再次尝试登录。

本章节介绍了如何连接已开启SSL的分布式消息服务RocketMQ实例。 实例开启SSL时，数据使用加密传输，安全性更高。本文主要介绍在命令行模式下使用SSL连接RocketMQ实例的操作，其中包含VPC内和公网环境下两种连接场景。 在使用SSL连接的场景下，通过VPC内访问和通过公网环境访问，仅涉及连接IP和端口不一致，其他操作步骤是一样的，VPC内访问的连接端口为8100，公网环境下访问的连接端口为8200。 文中仅介绍公网环境下的连接示例，在VPC内连接时，替换为相应的连接地址即可。 前提条件 已创建RocketMQ实例，并记录实例详情中的“元数据连接地址”（VPC内访问）/“元数据公网连接地址”（公网访问）。 已配置安全组。 已创建Topic。 已创建弹性云服务器，并且弹性云服务器的VPC、子网、安全组与RocketMQ实例的VPC、子网、安全组保持一致。 已安装Java Development Kit 1.8.111或以上版本，并完成环境变量配置。 命令行模式连接实例 1. 下载“rocketmqtutorial”示例软件包。 wget 2. 解压“rocketmqtutorial”。 unzip rocketmqtutorial.zip 3. 进入“rocketmqtutorial/bin”目录。 cd rocketmqtutorial/bin 4. 运行生产普通消息示例。 sh mqadmin sendMessage n "{连接地址}" t {Topic名称} p "hello rocketmq" 参数说明如下： 连接地址：表示RocketMQ实例的元数据连接地址（VPC内访问）/元数据公网连接地址（公网访问）。 Topic名称：RocketMQ实例下创建的Topic名称。 示例如下，其中“100.xxx.xxx.89:8200;100.xxx.xxx.144:8200”为RocketMQ实例的元数据公网连接地址，“topictest”为Topic名称。 sh mqadmin sendMessage n "100.xxx.xxx.89:8200;100.xxx.xxx.144:8200" t topictest p "hello rocketmq" 使用Ctrl+C命令退出。 5. 运行消费普通消息示例。 sh mqadmin consumeMessage n "{连接地址}" t {Topic名称} 参数说明如下： 连接地址：表示RocketMQ实例的元数据连接地址（VPC内访问）/元数据公网连接地址（公网访问）。 Topic名称：RocketMQ实例下创建的Topic名称。 示例如下，其中“100.xxx.xxx.89:8200;100.xxx.xxx.144:8200”为RocketMQ实例的元数据公网连接地址，“topictest”为Topic名称。 sh mqadmin consumeMessage n "100.xxx.xxx.89:8200;100.xxx.xxx.144:8200" t topictest 如需停止消费使用Ctrl+C命令退出。 6. 运行生产带消息轨迹的消息示例。 sh mqadmin sendMessage n "{连接地址}" t {Topic名称} p "hello rocketmq" m true 参数说明如下： 连接地址：表示RocketMQ实例的元数据连接地址（VPC内访问）/元数据公网连接地址（公网访问）。 Topic名称：RocketMQ实例下创建的Topic名称。 示例如下，其中“100.xxx.xxx.89:8200;100.xxx.xxx.144:8200”为RocketMQ实例的元数据公网连接地址，“topictest”为Topic名称。 sh mqadmin sendMessage n "100.xxx.xxx.89:8200;100.xxx.xxx.144:8200" t topictest p "hello rocketmq" m true 使用Ctrl+C命令退出。 7. 运行消费消息示例，并发送消息轨迹。 sh mqadmin consumeMessage n "{连接地址}" t {Topic名称} m true 参数说明如下： 连接地址：表示RocketMQ实例的元数据连接地址（VPC内访问）/元数据公网连接地址（公网访问）。 Topic名称：RocketMQ实例下创建的Topic名称。 示例如下，其中“100.xxx.xxx.89:8200;100.xxx.xxx.144:8200”为RocketMQ实例的元数据公网连接地址，“topictest”为Topic名称。 sh mqadmin consumeMessage n "100.xxx.xxx.89:8200;100.xxx.xxx.144:8200" t topictest m true 使用Ctrl+C命令退出。

本章节介绍了如何连接未开启SSL的分布式消息服务RocketMQ实例。 实例开启SSL时，数据使用加密传输，安全性更高。本文主要介绍在命令行模式下使用SSL连接RocketMQ实例的操作，其中包含VPC内和公网环境下两种连接场景。 在使用SSL连接的场景下，通过VPC内访问和通过公网环境访问，仅涉及连接IP和端口不一致，其他操作步骤是一样的，VPC内访问的连接端口为8100，公网环境下访问的连接端口为8200。 文中仅介绍公网环境下的连接示例，在VPC内连接时，替换为相应的连接地址即可。 前提条件 已创建RocketMQ实例，并记录实例详情中的“元数据连接地址”（VPC内访问）/“元数据公网连接地址”（公网访问）。 已配置安全组。 已创建Topic。 已创建弹性云服务器，并且弹性云服务器的VPC、子网、安全组与RocketMQ实例的VPC、子网、安全组保持一致。 已安装Java Development Kit 1.8.111或以上版本，并完成环境变量配置。 命令行模式连接实例 1. 下载“rocketmqtutorial.zip”示例软件包。 wget 2. 解压“rocketmqtutorial”。 unzip rocketmqtutorial.zip 3. 进入“rocketmqtutorial/bin”目录。 cd rocketmqtutorial/bin 4. 运行生产普通消息示例。 sh mqadmin sendMessage n "{连接地址}" t {Topic名称} p "hello rocketmq" 参数说明如下： 连接地址：表示RocketMQ实例的元数据连接地址（VPC内访问）/元数据公网连接地址（公网访问）。 Topic名称：RocketMQ实例下创建的Topic名称。 示例如下，其中“100.xxx.xxx.89:8200;100.xxx.xxx.144:8200”为RocketMQ实例的元数据公网连接地址，“topictest”为Topic名称。 sh mqadmin sendMessage n "100.xxx.xxx.89:8200;100.xxx.xxx.144:8200" t topictest p "hello rocketmq" 使用Ctrl+C命令退出。 5. 运行消费普通消息示例。 sh mqadmin consumeMessage n "{连接地址}" t {Topic名称} 参数说明如下： 连接地址：表示RocketMQ实例的元数据连接地址（VPC内访问）/元数据公网连接地址（公网访问）。 Topic名称：RocketMQ实例下创建的Topic名称。 示例如下，其中“100.xxx.xxx.89:8200;100.xxx.xxx.144:8200”为RocketMQ实例的元数据公网连接地址，“topictest”为Topic名称。 sh mqadmin consumeMessage n "100.xxx.xxx.89:8200;100.xxx.xxx.144:8200" t topictest 如需停止消费使用Ctrl+C命令退出。 6. 运行生产带消息轨迹的消息示例。 sh mqadmin sendMessage n "{连接地址}" t {Topic名称} p "hello rocketmq" m true 参数说明如下： 连接地址：表示RocketMQ实例的元数据连接地址（VPC内访问）/元数据公网连接地址（公网访问）。 Topic名称：RocketMQ实例下创建的Topic名称。 示例如下，其中“100.xxx.xxx.89:8200;100.xxx.xxx.144:8200”为RocketMQ实例的元数据公网连接地址，“topictest”为Topic名称。 sh mqadmin sendMessage n "100.xxx.xxx.89:8200;100.xxx.xxx.144:8200" t topictest p "hello rocketmq" m true 使用Ctrl+C命令退出。 7. 运行消费消息示例，并发送消息轨迹。 sh mqadmin consumeMessage n "{连接地址}" t {Topic名称} m true 参数说明如下： 连接地址：表示RocketMQ实例的元数据连接地址（VPC内访问）/元数据公网连接地址（公网访问）。 Topic名称：RocketMQ实例下创建的Topic名称。 示例如下，其中“100.xxx.xxx.89:8200;100.xxx.xxx.144:8200”为RocketMQ实例的元数据公网连接地址，“topictest”为Topic名称。 sh mqadmin consumeMessage n "100.xxx.xxx.89:8200;100.xxx.xxx.144:8200" t topictest m true 使用Ctrl+C命令退出。

如何处理Appscan等扫描器检测结果为Cookie缺失Secure/HttpOnly？ Cookie是后端web server插入的，可以通过框架配置或setcookie实现，其中，Cookie中配置Secure，HttpOnly有助于防范XSS等攻击获取Cookie，对于Cookie劫持有一定的防御作用。 Appscan扫描器在扫描网站后发现客户站点没有向扫描请求Cookie中插入HttpOnly Secure等安全配置字段将记录为安全威胁。 黑白名单规则和精准访问防护规则的拦截指定IP访问请求，有什么差异？ 黑白名单规则和精准访问防护规则都可以拦截指定IP访问请求，两者的区别说明如表所示。 防护规则 防护功能 WAF检测顺序 黑白名单规则 只能阻断、仅记录或放行指定IP地址/IP地址段的访问请求。 最高 WAF根据配置的防护规则，按照8.1配置引导防护规则检测顺序，进行访问请求过滤检测。 精准访问防护规则 对常见的HTTP字段（如IP、路径、Referer、User Agent、Params等）进行条件组合，用来筛选访问请求，并对命中条件的请求设置放行或阻断操作。 低于黑白名单规则 Web应用防火墙支持哪些防护规则？ 防护规则 说明 Web基础防护规则 覆盖OWASP（Open Web Application Security Project，简称OWASP）TOP 10中常见安全威胁，通过预置丰富的信誉库，对恶意扫描器、IP、网马等威胁进行检测和拦截。 CC攻击防护规则 可以自定义CC防护规则，限制单个IP/Cookie/Referer访问者对您的网站上特定路径（URL）的访问频率，WAF会根据您配置的规则，精准识别CC攻击以及有效缓解CC攻击。 精准访问防护规则 精准访问防护策略可对HTTP首部、Cookie、访问URL、请求参数或者客户端IP进行条件组合，定制化防护策略，为您的网站带来更精准的防护。 黑白名单规则 配置黑白名单规则，阻断、仅记录或放行指定IP的访问请求，即设置IP黑/白名单。 地理位置访问控制规则 针对指定国家、地区的来源IP自定义访问控制。 网页防篡改规则 当用户需要防护静态页面被篡改时，可配置网页防篡改规则。 网站反爬虫规则 动态分析网站业务模型，结合人机识别技术和数据风控手段，精准识别爬虫行为。 防敏感信息泄露规则 该规则可添加两种类型的防敏感信息泄露规则： 敏感信息过滤。配置后可对返回页面中包含的敏感信息做屏蔽处理，防止用户的敏感信息（例如：身份证号、电话号码、电子邮箱等）泄露。 响应码拦截。配置后可拦截指定的HTTP响应码页面。 全局白名单规则 针对特定请求忽略某些攻击检测规则，用于处理误报事件。 隐私屏蔽规则 隐私信息屏蔽，避免用户的密码等信息出现在事件日志中。

本文为您介绍VPN连接服务的权限管理。 如果您需要对云服务平台上创建的VPN资源，为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制资源的访问。 通过IAM，您可以在帐号中给员工创建IAM用户，并授权控制员工对云服务资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有VPN的使用权限，但是不希望他们拥有删除VPN等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用VPN，但是不允许删除VPN的权限，控制他们对VPN资源的使用范围。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用VPN服务的其它功能。 IAM是云服务平台提供权限管理的基础服务，无需付费即可使用，您只需要为您帐号中的资源进行付费。关于IAM的详细介绍，请参见统一身份认证服务用户指南。 VPN权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 VPN部署时通过物理区域划分，为项目级服务。授权时，“授权范围”需要选择“指定区域项目资源”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果“授权范围”选择“所有资源”，则该权限在所有区域项目中都生效。访问VPN时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云服务平台各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对VPN服务，管理员能够控制IAM用户仅能对某一类VPN资源进行指定的管理操作。