本节主要介绍访问控制的功能特性、应用场景、涉及的基本概念（根用户、IAM用户、用户组、MFA、授权、策略）及服务限制。 用户身份管理和访问控制（Identity and Access Management，简称IAM）是OOS为用户提供的用户身份与权限管理服务，您可以使用IAM创建、管理用户账号，并对这些账号进行权限分配，方便资源管理。 您只需为您在天翼云账户中的资源付费，无需为IAM单独付费。 注意 OOS的IAM能力和天翼云官网的IAM能力不互通。 功能特性 只要您拥有一个天翼云账号，即可拥有IAM功能，天翼云账号管理员可以： 创建、管理子用户账号。 控制子用户账号内资源具有的操作权限。 按需为用户分配不同权限，从而避免与其他用户共享资源使用、访问密钥的使用等，降低账号的信息安全风险。 多重身份认证：通过多因子操作认证（MFA）,在进行IAM相关操作时，可以使用MFA，为操作增加一份安全保障。 应用场景 用户管理与分权 企业中有不同的员工，各自职责不同，权限不同。有的员工需要进行上传下载文件的操作，有的员工只需要查看统计信息，有的员工只需要查看日志信息。通过IAM，可以为不同的员工分配不同的操作权限。 基本概念 根用户 ：用户首次创建CTYUN账户时，最初使用的是一个对账户中所有服务和资源有完全访问权限的登录身份，此身份称为根用户。 IAM用户： IAM用户是OOS中的一个实体，该实体代表使用它与OOS进行交互的人员或应用程序，由CTYUN账户在OOS中创建的用户，也称为子用户。默认情况下，全新的IAM用户没有执行任何操作的权限，新用户无权执行任何OOS操作或访问任何OOS资源。 用户组 ：用户组是用户的集合，IAM可以将IAM用户添加到对应的用户组，通过对用户组进行授权管理IAM用户，用户组的权限会影响用户组内的IAM用户。建议具备相同权限的IAM用户添加到同一用户组，方便管理。同一个IAM用户可以同时加入多个用户组。 访问密钥（AK/SK） OOS通过访问密钥（AK/SK）认证方式进行认证鉴权，即使用AccessKeyID（AK）/SecretAccessKey（SK）加密的方法来验证某个请求发送者身份。 访问密钥包含两部分：访问密钥 ID（AccessKeyID）和秘密访问密钥（Secret Access Key）。必须同时使用访问密钥 ID 和秘密访问密钥对请求执行身份验证。 OOS支持使用永久AK/SK鉴权，也支持通过临时AK/SK和securitytoken进行认证鉴权，通过使用临时AK，SK和securitytoken，可以为第三方应用或IAM用户颁发一个自定义时效和权限的访问凭证，降低了帐号泄露带来的安全风险。 MFA ：多因子认证（MultiFactor Authentication，简称MFA）是一种简单安全的二次认证方式，为用户增加了一层安全保护。仅子用户支持MFA。 授权 ：通过给用户组和用户添加策略，用户就能获得策略中定义的权限，这一过程称为授权。 策略 ：策略是以JSON格式描述权限信息的集合，可以精确地描述被授权的资源集、操作集以及授权条件。支持系统策略和自定义策略： 系统策略：OOS预先创建好的策略，用户可以根据自身需求，直接引用。对于系统策略，用户只能使用，不能修改。 自定义策略：用户自己创建的策略，用户可以对该类型策略进行修改和删除。

2. 权限管理 进入权限管理界面，在个人权限中申请“个人手机号信息”与“通讯录个人信息读权限”两个权限和申请通讯录管理中的所有权限。 3. 安全设置 进入安全设置界面，配置重定向URL（回调域名）参数，填写AOneId控制台域名。 4. 应用发布 配置完成后需要进行应用发布，如不发布应用版本，配置修改无效。 进入版本管理与发布界面，点击“创建新版本”按钮，填写版本详情资料后点击“保存”后发布应用。

获取天翼云知识库租户ID（tenantId） 1. 在知识库问答控制台页面，点击【开始使用】按钮。  2. 在知识库问答对话框，点击同步基座模型，为您自动同步模型推理服务模型。  3. 在打开的对话页面，可看到租户id(tenantId)。复制知识库问答租户id信息，用于后续配置OpneClaw。  获取天翼云AK SK 说明：天翼云AK SK用于OpenClaw调用天翼云知识库问答服务。 1.点击天翼云门户首页右上角的“登录”，输入登录的用户名和密码。 2.点击右上角的用户名， 点击进入【账号中心】。在账号左侧菜单栏中单击“安全设置”。 3.在安全设置页面点击【登录保护】Tab，在“用户AccessKey”行，点击“新建”按钮，获取访问密钥（AK/SK）。  4. 在创建AccessKey弹窗中复制AK/SK，用于后续配置OpneClaw。 

查看网络流量 开启弹性公网IP防护后，可以查看网络流量。 1.登录天翼云控制中心。 2.在左侧导航树中，单击左上方的“服务列表”，选择“安全 > 云防火墙”，进入云防火墙的概览页面。 3.在左侧导航树中，选择“流量分析”，进入“流量分析”页面，可查看不同时间段互联网出入口流量、攻击趋势和TOP访问IP。 4.选择“主动外联访问”页签，查看不同时间段主动外联的出入口流量，以及攻击趋势。 查看日志审计 开启弹性公网IP防护和入侵检测基础防御后，可以查看日志审计。 1.登录天翼云控制中心。 2.在左侧导航树中，单击左上方的“服务列表”，选择“安全 > 云防火墙”，进入云防火墙的概览页面。 3.在左侧导航树中，选择“日志审计”，进入“攻击事件日志”页面，可查看近一周的攻击事件详情。 4.选择“访问控制日志”页签，可查看近一周的访问控制情况。若需要修改指定IP的访问控制的响应动作，可配置访问控制策略或添加黑白名单。 5.选择“流量日志”页签，可查看近一周的流量字节数和报文数。

本章节介绍如何查看数据库安全审计的操作日志信息。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 操作步骤 1. 登录管理控制台。 2. 单击右上角的，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全防护实例列表界面。 4. 在左侧导航树中，选择“数据库安全审计 > 实例列表”，进入“实例列表”界面。 5. 单击需要查看操作日志的实例名称，进入实例概览页面。 6. 选择“操作日志”页签，进入操作日志列表页面。 7. 查看操作日志，相关参数说明如下所示。查看操作日志，相关参数说明如下所示。 说明 选择时间（“近30分钟”、“近1小时”、“近24小时”、“近7天”或“近30天”）；或者单击日历图标，选择开始时间和结束时间，列表显示指定时间段的操作日志。 操作日志参数说明 参数名称 说明 用户名 执行操作的用户。 发生时间 执行操作的时间。 功能 执行的功能操作。 动作 执行功能操作的动作。 操作对象 执行操作的对象。 描述 执行操作的描述信息。 结果 执行操作的结果。

参数 描述 计费模式 支持包年包月和按需计费方式，费用说明请参照购买指南>计费说明。 购买时长 可以根据实际需求进行选择，支持1个月、2个月、3个月、4个月、5个月、6个月、1年。 自动续期 您可以选择开启自动续期，避免云原生网关到期后无法使用。 自动续期购买时长 当开启自动续期，可以选择续期时长，支持1个月、2个月、3个月、4个月、5个月、6个月、1年。 系列 支持基础版和集群版。 基础版：只支持单可用区部署，且节点数量为1。 集群版：自动将控制节点以及工作节点平均分配部署至各可用区，且节点数量不少于2。 实例规格 架构支持X86（通用、海光）、ARM（通用、鲲鹏、飞腾），具体以当前资源池提供的选项为准。 实例规格支持2C4G 、4C8G 、8C16G 、16C32G规格，规格支撑能力说明请参照 数据盘 支持超高IO ，最低大小50G，可根据实际需求自定义填写，填写值必须为50的倍数。 节点数量 基础版固定1个节点，无需填写；集群版您可以根据实际需求填写节点数量，节点数量不少于2。 部署方式 用户无需修改，基础版固定选中单可用区部署。 集群版时，如果当前资源池支持多可用区且节点数量大于2时，则默认为多可用区部署，单可用区部署置灰，否则为单可用区部署。 可用区 基础版需要选择任意一个可用区进行部署。 集群版会自动将控制节点以及工作节点平均分配部署至各可用区。 虚拟私有云 选择虚拟私有云，若您还没有虚拟私有云，请参照创建虚拟私有云。 所在子网 选择所在子网，若您还没有所在子网，请参照创建所在子网。 安全组 选择安全组，若您还没有可用安全组，请参照创建安全组。 实例名称 自定义实例名称，最长40字符，只能包含小写字母、数字及分隔符()，且必须以小写字母开头，数字或小写字母结尾。 企业项目 网关实例关联的企业项目，可以到IAM控制台创建企业项目。 启用监控指标 启用后，可在控制台观测分析中查看系统和API的流量、成功率、延迟等监控指标，若您还没有开通应用性能监控产品，可先点击提示链接前往开通。 启用链路追踪 可选择采集百分比启用，启用后，可在控制台观测分析中查看API请求的链路追踪信息，若您还没有开通应用性能监控产品，可先点击提示链接前往开通。 启用访问日志采集 启用后，可在控制台观测分析中查看访问日志，若您还没有开通云日志服务，可先点击提示链接前往开通。

威胁分析页面顶部的数据统计栏展示了所有安全组件产生的告警数量及风险级别。 风险项级别分为5级： 严重（红）； 高（橙）； 中（黄）； 低（蓝）； 提示（绿）。 统计项目包括存在告警的服务器数量、待处理告警数、急需处理告警数、所有告警总数，急需处理报警包括严重与高级别报警 。 点击统计项目数字及风险项级别，可以把统计项目与风险级别加为筛选条件，页面下方的趋势图、告警云、TOP10、告警列表会即时根据筛选结果更新。 如需取消筛选条件，在告警列表头上方删除条件。

本文介绍了备案管家的应用场景与前提条件。 解决客户在ICP 网站备案过程中的不了解流程、效率低、申请成功率低等问题，帮助客户便捷、高效、安全的提交、修改和管理备案流程，提升备案效率、成功率。

操作步骤 步骤一：放开云主机TCP22330端口 1. 登录“控制中心”，点击“计算>弹性云主机”进入弹性云主机控制台页面。 2. 找到目标云主机，点击名称进入云主机详情页。 3. 在详情页下方，点击“安全组”页签，在该页签默认安全组下点击“添加规则”，具体操作请参考添加安全组规则。 4. 添加“入方向”规则，各参数选项如下图。添加完成之后，在默认安全组下会显示相应的规则。 5. 重复以上步骤，对四台云主机均放开22330端口。 步骤二：部署Nginx负载均衡代理服务 注意 操作都是以root账号操作，云主机中没有运行其他的进程，避免端口被占用。 在三个代理服务器的主机上挂载文件系统，安装部署Nginx。 1. 以root用户登录弹性云主机，登录方式参考登录Linux弹性云主机，执行如下命令，安装NFS客户端。 plaintext yum install nfsutils y 2. 等待安装完成，执行如下命令，安装Nginx。 plaintext yum install nginx y 3. 执行如下命令，挂载文件系统到Nginx需要代理的目录，参考挂载NFS文件系统到弹性云主机 (Linux)。挂载地址在文件系统详情页获取，参考查看文件系统。 "/usr/share/nginx/html/"是需要挂载在本地主机的目录，也是Nginx默认使用的代理目录。 plaintext mount t nfs o vers3,prototcp,async,nolock,noatime,nodiratime,noresvport,wsize1048576,rsize1048576,timeo600 挂载地址 /usr/share/nginx/html/ 4. 执行如下命令，为共享目录下编辑一个index.html。 plaintext echo "Test for CTSFS!" > /usr/share/nginx/html/index.html 5. 重复14步骤，对三台Nginx都挂载同一个NFS文件系统。 6. 执行 vi /etc/nginx/nginx.conf命令，在该文件中修改Nginx的默认端口80为22330，然后执行以下命令为每一个代理服务器启动Nginx。 plaintext systemctl restart nginx 7. 验证代理结果。若三台Nginx代理服务都可以访问index.html文件，则表示配置成功。在每一个代理服务器上使用curl命令验证如下，其中{ip}为云主机的内网ip，可以在云主机详情页“弹性网卡”页签下获取。 plaintext curl " 在云主机详情页“弹性IP”页签下找到云主机的公网地址，并在浏览器上输入“{公网IP地址}:22330"，预期结果如下： 如网页请求不通但是本地curl没有问题，那么执行以下命令关闭防火墙： plaintext systemctl stop firewalld plaintext systemctl stop iptables

本节介绍了通过SQL命令转储与还原升级大版本的相关内容。 操作场景 升级RDS for PostgreSQL引擎大版本，能让您享受到RDS for PostgreSQL新版本带来的功能、性能、安全的提升。但大版本升级可能存在向后不兼容的数据变更，可能导致现有业务运行不兼容。因此需要用户使用目标版本测试确保业务能够正常运行后，再执行大版本升级。 本章节中“源数据库”表示待升级的低版本RDS for PostgreSQL数据库，“目标数据库”表示待升级到的高版本RDS for PostgreSQL数据库。 RDS for PostgreSQL版本号说明 RDS for PostgreSQL v10及其以上版本的版本号由major.minor组成。其中，major表示大版本号，minor表示小版本号。大版本升级是指major部分增加，比如：11.x升级到12.x。 RDS for PostgreSQL v10之前的版本号由major.major.minor组成。其中，major.major表示大版本号，minor表示小版本号。大版本升级是指如major.major部分增加，比如：从9.5.x升级到9.6.x或者从9.x.x升级到10.x。 准备工作 1. 查看待升级的云数据库 RDS for PostgreSQL实例信息。 a. 在“实例管理”页面，单击待升级实例名称，进入待升级实例基本信息页面。 b. 在“基本信息”页面中，可以查看到实例所属区域、可用区、虚拟私有云、子网、安全组。 2. 准备弹性云主机。 通过弹性云主机连接关系型数据库实例，需要创建一台弹性云主机。 该弹性云主机的区域、可用区、虚拟私有云、子网、安全组与待升级RDS for PostgreSQL实例相同。 3. 在2中的弹性云主机上，安装PostgreSQL客户端。 说明 该弹性云主机需要安装和RDS for PostgreSQL数据库服务端相同版本的数据库客户端，PostgreSQL数据库或客户端会自带pgdump、pgrestore和psql工具。 4. 参考通过内网连接RDS for PostgreSQL实例（Linux方式）连接源数据库，在每一个数据库上执行如下sql，获取已使用列表。 select extname from pgextension; 5. 根据查看的已使用列表，选择一个包含当前所有插件的目标升级版本。 RDS for PostgreSQL各版本支持的插件，参考支持的插件列表。 6. 参考创建参数模板，创建一个兼容待升级实例参数的目标版本参数模板。 7. 创建目标版本RDS for PostgreSQL实例。 − 创建RDS for PostgreSQL实例，请参见步骤一：购买实例。 − 目标版本RDS for PostgreSQL实例所属区域、可用区、虚拟私有云、子网、安全组与源实例相同。 8. 在2中的弹性云主机上，参考通过内网连接RDS for PostgreSQL实例（Linux方式），确认目标实例连接正常。

本文介绍了RDSPostgreSQL实例使用约束与限制。 RDSPostgreSQL为您提供更安全、稳定的服务，从功能与账号权限上有一些约束与限制。 功能约束与限制 功能 使用限制 部署 数据库实例所部署的弹性云主机，用户不可见，只允许应用程序通过IP和端口访问数据库。 数据库访问 对于没有开通公网访问的数据库实例，只能通过同一个虚拟私有云内的弹性云主机进行访问。 弹性云主机必须处于目标RDSPostgreSQL实例所属安全组允许访问的范围内。 弹性云主机或连接发起公网IP必须处于目标RDSPostgreSQL实例所属白名单允许的范围内。 当数据库实例与弹性云主机处于不同的安全组时，系统会默认禁止访问，需要在数据库实例的安全组中添加“入站”访问规则进行授权。 数据库只读实例必须与主实例在同一子网内创建。 数据库实例的默认访问端口默认为6543，暂不支持修改端口。 数据库引擎 不同资源池支持的版本不同，具体支持版本请参见数据库引擎与版本。 数据库的root权限 当前提供高级账号权限给用户，不提供超级管理员权限。 修改数据库参数设置 通过管理控制台可以修改大部分数据库参数。（说明：部分参数可能要重启才能生效，请谨慎操作。） 数据迁入 可以使用psql命令行工具方式迁入数据。 故障切换 对于主备实例，当主节点出现故障时，RDSPostgreSQL实例会自动切换到备节点。切换过程中有30秒左右的连接闪断，需要您设置好程序的自动重连，避免因为切换导致服务不可用。 搭建数据库复制 RDSPostgreSQL本身提供主备复制架构的双节点集群，无需用户手动搭建。其中主备复制架构集群的备节点不对用户开放，用户应用不可直接访问。 插件 RDSPostgreSQL为用户预置了多种扩展插件，用户需要通过命令行对插件进行安装和卸载，具体参见插件管理。 重启实例 无法通过命令行重启，必须通过RDSPostgreSQL服务的管理控制台操作重启实例。 数据恢复 建议您在数据恢复前备份好重要数据，以免导致数据丢失。 建议您通过创建新的临时实例或恢复到新实例，验证临时实例或新实例的数据后，再把需要的数据迁移到生产实例。 存储空间 如果实例的存储空间已满，该实例会被自动锁定，变成只读状态。建议您定期检查存储空间的使用情况。 说明：如果存储空间使用率过高，请在控制台执行存储空间扩容，具体参见数据空间扩容。 性能优化 请检查实例是否存在性能问题，例如是否有大量的慢SQL，SQL语句是否需要优化，是否有多余的索引或者缺失的索引等。

本文介绍了云防火墙（原生版）的系统类常见问题。 云防火墙（原生版）在天翼云网络中的位置是什么？ 如下图所示，云防火墙一般和DDoS防护系统、Web应用防火墙、数据中心网络、日志服务、SOC等一起组合使用，但也可以独立部署。DDoS防护系统、Web应用防火墙和云防火墙组成从外到内的三道屏障，云防火墙重点防护用户VPC的网络边界。云防火墙产生的日志通过日志服务来收集和对外展示，通过SOC整合汇聚（包括云防火墙在内的）各安全设备的日志和安全告警等，并结合外部威胁情报，可以提高安全数据利用率并挖掘潜在威胁，对抗愈发复杂的攻击手段与高级可持续威胁。 云防火墙（原生版）是否可以防护非天翼云上的资产？ 防火墙仅能防护天翼云账号下的 IP 资产，不支持非天翼云的资产。 云防火墙（原生版）支持防护哪些资产类型？ 目前只支持VPC内云主机资产所绑定公网IP的防护。 云防火墙互联网边界带宽会限制流量吗？ 云防火墙不会限制流量。 业务带宽超峰值带宽限制，会对我有业务影响么？ 如果公网流量大于购买的云防火墙边界带宽，则云防火墙不承诺对超出带宽的流量进行防护。对超出部分的流量，我们会做放行处理。

在云应用引擎中，应用配置可以通过 ConfigMap 和 Secret 管理，实现配置与容器镜像的分离。ConfigMap 适用于存储普通配置，如配置文件内容或命令行参数，更新配置无需重建镜像。 Secret 用于存储敏感信息，如密码、证书或密钥，数据在内存中安全处理并加密存储。两者都可通过文件挂载或环境变量注入容器。 资源类型 数据类型 注入方式 安全性 适用场景 ConfigMap 非敏感配置 文件挂载 / 环境变量 / 命令行参数 普通 配置频繁变动或公开数据 Secret 敏感信息 文件挂载 / 环境变量 高（加密存储） 密码、证书、密钥等机密数据 通过合理使用 ConfigMap 与 Secret，您可以实现 配置与应用解耦，提升应用管理的灵活性和安全性。

VPC边界防火墙用于防护VPC之间的通信流量，VPC之间通信流量的访问控制，实现内部业务互访活动的可视化与安全防护。 防护对象 对等连接 云专线 云间高速 约束条件 仅“企业版”支持VPC边界防火墙。

参数 描述 IP地址或域名 目标数据库的IP地址或域名。 端口 目标数据库服务端口，可输入范围为1~65535间的整数。 数据库用户名 目标数据库的用户名。 数据库密码 目标数据库用户名所对应的密码。 SSL安全连接 通过该功能，用户可以选择是否开启对同步链路的加密。如果开启该功能，需要用户上传SSL CA根证书。 说明 最大支持上传500KB的证书文件。 如果不使用SSL证书，请自行承担数据安全风险。

本节介绍天翼云手机在数据存储方面的常见问题。 数据信息是否可以长期保持？ 已购的天翼云手机会保留数据。切换天翼云手机的使用平台，或重装APP均不影响，用户的文档和相关设置等数据信息在付费情况下是可以长期保持。如果退订天翼云手机或者欠费拆机，数据将不再保留且无法恢复。 云手机内的个人信息和数据安全吗？ 云手机内个人信息和数据存在云端，不落地，传输经过多重加密，有效防止被恶意泄露或窃取，提供云上安全防护保障。

介绍分布式消息服务Kafka与天翼云其他服务关系。 虚拟私有云(CTVPC ，Virtual Private Cloud) 虚拟私有云为分布式消息服务Kafka提供一个逻辑隔离的区域，构建一个安全可靠、 可配置和管理的虚拟网络环境。更多信息请参见虚拟私有云。 弹性云主机（CTECS，Elastic Cloud Server） 分布式消息服务Kafka订购后，默认按照用户选择的实例规格开通弹性云主机，云主机由 CPU、内存、镜像、云硬盘组成，同时结合VPC、安全组、数据多副本保存等能力，打造一个既高效又可靠安全的计算环境，确保分布式消息服务Kafka持久稳定运行。更多信息请参见弹性云主机。 云硬盘（CTEVS，Elastic Volume Service） 分布式消息服务Kafka订购后，默认按照用户选择的存储大小开通云硬盘。云硬盘是一种可弹性扩展的块存储设备，可以为分布式消息服务Kafka提供高性能、高可靠的块存储服务。更多信息请参见云硬盘。 弹性IP（Elastic IP，EIP） 弹性IP是可以独立申请的公网 IP 地址，包括公网IP地址与公网出口带宽服务。可以与分布式消息服务Kafka动态绑定和解绑，实现云资源的互联网访问。针对需要公网访问分布式消息服务Kafka实例的需求，用户可开通弹性IP后，在Kafka实例开通页面进行绑定。更多信息请参见弹性IP。

使用云服务基线相关功能时，需要先参考本章节设置检查计划。 操作步骤 1. 登录管理控制台。 2. 在页面左上角单击，选择“安全 > 态势感知（专业版）”，进入态势感知页面。 3. 在左侧导航栏选择“设置 > 检测设置”，进入检测设置页面。 4. 在检测设置页面中，选择待创建计划所在的区域，并单击“创建计划”，系统右侧弹出新建检查计划页面。 5. 配置检查计划。 1. 填写基本信息，具体参数配置如下表所示。 参数名称 参数说明 计划名称 自定义检查计划的名称。 检查时间 选择检测周期和检查触发时间。 检测周期：每隔1天、3天、7天、15天、30天检查一次 检查触发时间：00:0006:00、06:0012:00、12:0018:00、18:0024:00 2. 选择检查规范。选择需要检测的基线检查项目。更多关于基线检查项目详细描述请参见云服务基线简介。 3. 单击“确定”。 6. 检查计划创建完成。 SA会在指定的时间执行云服务基线扫描，扫描结果可以在“安全 > 态势感知 > 基线检查”中查看。

本节介绍Web应用防火墙（独享版）购买类的问题。 Web应用防火墙（独享版）可以支持哪些区域购买？ 不同的服务，不同的计费方式，目前支持的区域不同： 独享模式 按需计费方式：广州4、苏州、华北、西安2、贵州、成都3、芜湖、上海4、杭州、长沙2、福州、武汉2、兰州、南昌、北京2、深圳、西宁、重庆、乌鲁木齐、青岛、石家庄、郑州、南宁、昆明、海口、中卫、太原、哈尔滨、天津、沈阳3、长春、内蒙3。 包年包月计费方式：广州4、苏州、华北。 内容安全：广州4、苏州、华北、贵州、成都3、福州。 Web应用防火墙（独享版）支持防护未部署在天翼云的业务么？ 不支持，Web应用防火墙（独享版）仅支持防护部署在天翼云的业务，主要针对大型企业网站，具备较大的业务规模，且基于业务特性具有制定个性化防护规则的安全需求。 Web应用防火墙（独享版）可以跨区域使用吗？ 原则上，在任何一个区域申请的WAF支持防护所有区域的Web业务。但是为了提高WAF的转发效率，建议您在购买WAF时，根据防护业务的所在区域就近选择申请的WAF区域。

6.救援模式 当AI云电脑故障无法登录AI云电脑时，使用救援模式提供临时访问通道，尝试登录及修复AI云电脑，或备份关键用户数据并重装系统。 注意 由于云电脑故障可能涉及底层虚拟化错误、存储损坏、网络基础设施故障等复杂原因，救援模式无法保证对所有故障都能成功救援。在极少数情况下，可能出现无法进入救援模式或无法恢复数据的情况。 7.报障 使用AI云电脑过程中，如遇到问题，选择“工具”，可点击“报障”，填写故障信息或者拨打服务热线：4008109889。 8.安全中心登录设备管理 在工具栏，选择“工具安全中心”，查看账号名称，登录设备，IP地址，登录时间以及下线时间。如需查看AI云电脑登录的设备或移除设备，点击“设备管理”。 9.电脑信息 工具栏，选择“工具”，偏好设置点击“电脑信息”，查看AI云电脑的配置信息。

企业账号是否有调试域名每天最多可以访问1000次的限制？ 有。每个子域名（调试域名）每天最多可以访问1000次的限制同样适用于企业账号。 API的流量控制策略不生效怎么处理？ 如果流控策略的API流量限制或源IP流量限制不生效，检查API是否绑定流控策略。 如果流控策略的用户流量限制不生效，检查API的安全认证方式是否为APP认证或IAM认证。 如果流控策略的应用（凭据）流量限制不生效，检查API的安全认证方式是否为APP认证。 调用绑定JWT认证策略的API报“Public key does not exist” 如果JWT认证策略的公钥获取方式为“定时拉取”，请检查填入的JWKSURI远程服务是否运行正常，调用该地址是否有JWKS公钥响应返回；此外，请检查返回的公钥是否符合正确的JWKS格式。 请检查请求携带Token中的kid，是否与JWKS中某一个公钥的kid匹配；网关会使用kid查找对应的公钥，如果JWKS中没有匹配的公钥，则会报错公钥不存在。

本节介绍天翼云手机可广泛应用于移动办公、游戏娱乐等场景。 移动办公场景 场景特点： 实体手机数据存储本地，经常遇到手机损坏，数据丢失，数据泄漏等安全问题，需要更安全的办公数据资产存储方案。 推荐方案： 本地手机+开通天翼云手机 方案优势： 1、云手机内置32/64/128GB存储容量，可满足日常文件存储。 2、云手机资料全部以三副本形式存储于云端，数据高可靠，无需担心办公资料丢失。 游戏娱乐场景 场景特点： 手游用户有如下痛点：手机性能不足、长时间发烫、续航差、下载游戏耗流量，用户需要有较大带宽，免流量的多样化服务。 推荐方案： 本地手机+开通天翼云手机 方案优势： 1、云手机内置大带宽、免流量的超值服务，用户无需担心流量消耗，可云端畅游。 2、让低配手机用户也能流畅运行大型手游，无需下载到手机可直接玩。 3、拓展实体手机的边界，满足对多台手机的使用需求。

本文详细介绍零信任办公组网服务计费模式资费。 零信任办公组网适用场景 零信任办公组网即多个办公场地/服务器进行网络互连互通，为了满足企业或办公场所的网络需求，将各种网络设备（如路由器、交换机、无线接入点等）进行合理配置和连接，构建一个稳定、高效、安全的计算机网络系统，以实现不同分支机构办公设备之间的互联互通、资源共享等。 通过购买“网络服务办公组网”来提供办公组网能力。 零信任办公组网计费概述 套餐标准资费 注意 1、办公组网不支持官网开通香港、亚太、美洲、欧洲、中东非的区域带宽，请联系您的客户经理或者 2、办公组网默认采用连接器双向互联进行办公，如需客户端连接内网，需同时订购零信任套餐。详见 3、连接器可使用帐号认证方式实现安全连接，办公组网默认赠送10个帐号，若需增加，可订购零信任套餐进行扩展。 计费模式：包周期 计费区域：中国内地、香港、亚太、美洲、欧洲、中东非 计费周期：按月结算。 折扣规则：详细见零信任网络服务折扣说明。 【计费项说明】 计费方式 描述 说明 网络服务办公组网区域带宽 按照购买的套餐使用量进行计费 详见[零信任网络服务计费概述](

本文将以CentOS,Ubuntu操作系统镜像为示例,介绍Linux操作系统进入单用户模式的背景,前提,约束与步骤。 背景介绍 用户模式介绍 Linux操作系统有两种重要的用户模式，一种是多用户模式，一种是单用户模式，具体介绍如下： 多用户模式（multiuser mode）：多用户模式是Linux系统默认的运行模式。在多用户模式下，系统可以同时支持多个用户登录，并运行各种服务和进程。多用户模式提供了完整的功能和服务，包括网络服务、图形界面等。 单用户模式（singleuser mode）：单用户模式是一种特殊的启动模式，提供了一个最小化但强大的环境，允许管理员以超级用户权限进行操作。进入单用户模式后，系统只会加载最基本的服务和功能，只有一个命令行界面，不会启动图形界面和网络服务。 单用户模式应用场景 单用户模式通常应用于以下场景： 系统故障排除和修复：当系统遇到启动问题、文件系统错误、网络配置问题或其他故障时。管理员可以以超级用户权限登录，并执行诊断、修复和恢复任务，如修复文件系统、检查硬件、还原配置文件等。 系统备份和还原：单用户模式提供了对系统磁盘的完全访问权限。这使得管理员可以在单用户模式下执行备份和还原操作，包括创建和还原系统快照、复制重要数据、修复损坏的文件系统等。 系统配置和维护：单用户模式提供了一个干净且最小化的系统环境，使管理员能够进行系统配置和维护操作，而不会受到其他服务或用户的干扰。这包括更新软件包、重建启动引导程序、更改网络配置等。 安全审计：单用户模式可以用于进行安全审计。管理员可以检查系统日志、分析安全事件、查找潜在的漏洞，并采取必要的措施来加固系统和提高安全性。

本节介绍天翼云电脑（公众版）产品支持多终端适配、支持投屏、数据安全等功能的内容介绍。 多终端适配 与传统PC一致的使用体验，多种外设无缝衔接，实现多终端适配。 多终端适配： 适配PC、Mac、 iOS、安卓等多终端。 多外设支持： 打印机、扫描仪等外设无缝衔接（备注：手机、pad等移动终端不支持USB外设）。 支持投屏 支持手机有线/无线投屏模式，大屏电视秒变电脑使用，娱乐、办公两不误。 无线投屏： 在手机投屏模式下，支持把手机设置为触控版模式，操控更便捷。 有线投屏： 支持搭配扩展坞、蓝牙键鼠使用，操控更流畅。 数据安全 系统数据云端集中存储，不但能释放本地空间，还能避免宕机与数据丢失，使用多重安全传输协议保障数据安全。 数据不落地： 所有桌面、应用和数据统一管理，集中存储在云端。 数据多副本： 采用三副本技术分布式存储，灵活应对各种突发情况。 数据加密： 使用多重加密算法，对数据传输、数据存储进行加密，保障用户信息安全。

本文介绍如何选择合适的动态回源策略。 功能介绍 在介绍动态回源策略之前，我们先介绍如何区分动态请求和静态请求？天翼云边缘安全加速平台安全与加速服务根据您配置的缓存规则来区分动静态请求，有配置缓存规则的被当作静态请求处理，其他请求将被当作动态请求处理。 如果您的域名有多个源站，可以配置合适的回源策略来实现不同的效果。动态回源策略支持择优回源、按权重回源、保持登录三种回源方式；静态回源策略默认轮询回源，无需配置。 择优回源：顾名思义，即根据边缘节点探测源站的结果，选择最快的源站回源。 按权重回源：根据每个源站配置的不同权重，轮询回源。默认所有源站权重相同，支持对不同源站配置不同的权重。 保持登录：基于客户端IP进行哈希计算，保证相同客户端IP的多次请求始终访问到相同的源站。 注意事项 基础版、高级版、企业版、旗舰版支持动态加速能力。 动态回源策略仅对动态请求生效，默认为择优回源。 静态请求默认轮询回源。 配置说明 1.登录客户控制 2.在域名列表页面，点击目标域名“详情”。 3.进入站点加速网络优化页面，点击“编辑配置”。 4.选择合适的动态回源策略。

天翼云应用服务网格CSM提供兼容开源istio的服务网格能力,并基于开源实现做了功能增强,提供了丰富的流量治理、安全和可观测能力,大大降低开发和运维的负担。

修改请求身份认证 1. 进入网格控制台，选择 网格安全中心 –> 请求身份认证菜单。 2. 选择命名空间，列表页会展示当前命名空间下的请求身份认证策略，选择操作栏的编辑选项，修改策略，保存即可。 删除请求身份认证 1. 进入网格控制台，选择 网格安全中心 –> 请求身份认证菜单。 2. 选择命名空间，列表页会展示当前命名空间下的请求身份认证策略，选择操作栏的删除选项，删除选定的策略即可。 RequestAuthentication配置说明： 字段 类型 必选 说明 selector WorkloadSelector No 工作负载选择器，选择策略生效的工作负载。 jwtRules JWTRule No JWT配置列表，表示当前工作负载所支持的jwt配置（不支持一个请求带多个jwt认证信息的情况）。 JWTRule 字段 类型 必选 说明 issuer string Yes Jwt签发方。 audiences string No Jwt接收方列表，jwt中包含其中任意一个接收者都可以通过验证。 jwksUri string No 验证jwt签名的公钥URL，jwksUri和jwks只能有一个生效。 jwks string No 验证jwt签名的公钥，jwksUri和jwks只能有一个生效。 fromHeaders JWTHeader No 提取Jwt信息的头部字段。 fromParams string No 提取Jwt信息的query字段。 outputPayloadToHeader string No 向后端透传payload的头部字段名称。 forwardOriginalToken bool No 设置为true时，原始的jwt将被透传到后端。 outputClaimToHeaders ClaimToHeader No 定义payload里面的字段透传到后端的头部信息。

操作场景 本节操作介绍在Windows和Linux环境中使用SSH密钥对方式远程登录Linux云主机的操作步骤。 使用SSH密钥对登录，无需输入密码。该方式可以提供更高的安全性和便利性。 前提条件 Linux云主机状态处于“运行中”。 Linux 操作系统首次登录的用户名一般可以设置为 root 或 ecsuser，出于安全考虑，推荐您使用ecsuser，CoreOS的默认用户名为“core”。 您已经获得用于创建Linux云主机时所使用的密钥对文件，该文件为私钥。 Linux云主机所在安全组的入方向已开放22端口。 Linux云主机防火墙未开启或开启后放通22端口。 您所使用的SSH登录工具（例如PuTTY）已经正确配置，并且与Linux云主机具有网络连通性。如果使用处于公网中的终端登录，需要您的Linux云主机已绑定弹性IP。如果通过内网使用此方式登录，则不需要绑定弹性IP，例如VPN、云专线等内网网络连通场景。 说明 出于安全考虑，通常会修改Linux远程登录端口。如果您需要修改默认登录端口，请参考 本地使用Windows操作系统 在本地使用Windows操作系统登录Linux云主机，您可以按照以下方式使用PuTTY进行登录。 方式一：使用PuTTY登录 我们以PuTTY为例介绍如何登录Linux云主机。在使用PuTTY登录Linux云主机之前，需要将私钥文件转换为.ppk格式。 1. 检查私钥文件是否已经是.ppk格式。 如果是.ppk格式，请执行步骤7。 如果不是.ppk格式，请执行步骤2。 2. 您可通过官方途径下载PuTTY和PuTTYgen。 说明 PuTTYgen是密钥生成器，用于创建密钥对并生成一对公钥和私钥供PuTTY使用。 3. 运行PuTTYgen。 4. 在“Actions”区域，单击“Load”， 导入您在创建Linux云主机时保存的私钥文件。请注意，在导入时确保选择了"All files (.)"格式。 5. 单击“Save private key”。 6. 将转换后的私钥保存到本地，例如：kp101.ppk。 7. 双击“PUTTY.EXE”，打开“PuTTY Configuration”。 8. 在"Session"中，输入Linux云主机的弹性IP地址到"Host Name (or IP address)"输入框中。 9. 在"Connection”>“Data"中，输入镜像的用户名到"Autologin username"处。 10. 在"Connection > SSH > Auth"中的"Private key file for authentication"配置项下，单击"Browse"，选择转换后的密钥文件。 11. 单击“Open”，登录Linux云主机。

本文介绍HSTS功能和配置方法。 功能介绍 HSTS（HTTP Strict Transport Security，HTTP 严格传输安全），是一种网站用来声明他们只能使用安全连接（HTTPS）访问的方法。网站可通过声明HSTS，来强制客户端（如浏览器）只能使用HTTPS与服务器连接，拒绝所有的HTTP连接并阻止用户接受不安全的SSL证书，降低第一次访问请求被拦截的风险。例如： 当您的域名在CDN加速产品中配置HTTPS功能和HTTP强制跳转HTTPS的功能时，若用户在浏览器中输入HTTP协议的URL进行访问，CDN节点会将该HTTP请求强制跳转到HTTPS协议，此时： 若未启用HSTS功能，且用户是首次以HTTP协议访问CDN节点，HTTP请求可能会被拦截或者篡改，存在安全隐患。 若启用HSTS功能，CDN节点会响应一个强制HSTS的头（例如：StrictTransportSecurity：maxagexxxx;includeSubDomains）给客户端，告诉客户端只能使用HTTPS协议访问CDN节点，此后浏览器将直接使用HTTPS协议访问CDN节点，不再需要HTTP协议强制跳转HTTPS协议。 注意事项 配置HSTS功能前，请确保已成功配置HTTPS证书，操作方法详情请见：新增证书。 在HSTS生效前，可参考：强制跳转功能，使用户首次以HTTP协议访问时，能够强制跳转到HTTPS协议发起访问。 配置说明 1. 登录CDN控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【请求协议】。 5. 在【请求协议】模块，勾选【HTTPS】。 6. 单击右侧【HTTPS配置】。 7. 选择域名对应的证书。如果已经在证书管理上传证书，可直接选择对应域名证书。如果还未上传证书，可单击【点击上传】，添加自有证书。添加完毕后，再选择对应证书。 8. 在【HSTS】模块，开启功能并根据需求填写配置。 9. 单击【保存】，完成配置。 参数 说明 过期时间 即StrictTransportSecurity响应头中maxage的值，单位为s；如过期时间为2592000s，则代表一个月内，访问该网站均需要使用HTTPS协议。 包含子域名 即StrictTransportSecurity响应头中是否需要包括includeSubDomains；如包括，则代表服务端告知客户端访问该域名及其子域名均需要使用HTTPS协议。

天翼云终端杀毒(统一服务器安全管理系统)面向政企用户的以大数据技术为支撑、以可靠服务为保障,能够精确检测已知病毒木马、未知恶意代码,有效防御APT攻击,为政企事业单位提供终端病毒、漏洞管控能力。

本节介绍应用市场客户端的更多设置。 在客户端右上角有一个更多设置，点击按钮，可以设置下载安装目录、查看帮助手册和更新检查等。