用户组 用户组是用户的集合，IAM通过用户组功能实现用户的授权。您创建的IAM用户，需要加入特定用户组后，才具备对应的权限，否则IAM用户无法访问您帐号中的任何资源或者云服务。当某个用户加入多个用户组时，此用户同时拥多个用户组的权限，即多个用户组权限的全集。 “admin”为系统缺省提供的用户组，具有所有云服务资源的操作权限。将IAM用户加入该用户组后，IAM用户可以操作并使用所有云资源，包括但不仅限于创建用户组及用户、修改用户组权限、管理资源等。 图 用户组与用户 权限 如果您仅授予IAM用户ECS的权限，则该IAM用户除了ECS，不能访问其他任何服务，如果尝试访问其他服务，系统将会提示没有权限。 图 系统提示没有权限 权限根据授权的精细程度，分为策略和角色。 角色：角色是IAM早期提供的一种粗粒度的授权能力，当前有部分云服务不支持基于角色的授权。角色不能全部满足用户对精细化授权的要求。 策略：策略是IAM提供的最新细粒度授权能力，可以精确到具体操作、条件等。使用基于策略的授权是一种更加灵活地授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对ECS服务，管理员能够控制IAM用户仅能对某一类云主机资源进行指定的管理操作。 策略包含系统策略和自定义策略。 云服务在IAM预置了常用授权项，称为 系统策略 。管理员给用户组授权时，可以直接使用这些系统策略，系统策略只能使用，不能修改。如果管理员在IAM控制台给用户组或者委托授权时，无法找到特定服务的系统策略，原因是该服务暂时不支持IAM。 如果系统策略无法满足授权要求，管理员可以根据各服务支持的授权项，创建 自定义策略 ，并通过给用户组授予自定义策略来进行精细的访问控制，自定义策略是对系统策略的扩展和补充。目前支持可视化视图、JSON视图进行自定义策略配置。 图 权限策略示例

用户组 用户组是用户的集合，IAM通过用户组功能实现用户的授权。您创建的IAM用户，需要加入特定用户组后，才具备对应的权限，否则IAM用户无法访问您帐号中的任何资源或者云服务。当某个用户加入多个用户组时，此用户同时拥多个用户组的权限，即多个用户组权限的全集。 “admin”为系统缺省提供的用户组，具有所有云服务资源的操作权限。将IAM用户加入该用户组后，IAM用户可以操作并使用所有云资源，包括但不仅限于创建用户组及用户、修改用户组权限、管理资源等。 图 用户组与用户 权限 如果您仅授予IAM用户ECS的权限，则该IAM用户除了ECS，不能访问其他任何服务，如果尝试访问其他服务，系统将会提示没有权限。 图 系统提示没有权限 权限根据授权的精细程度，分为策略和角色。 角色：角色是IAM早期提供的一种粗粒度的授权能力，当前有部分云服务不支持基于角色的授权。角色不能全部满足用户对精细化授权的要求。 策略：策略是IAM提供的最新细粒度授权能力，可以精确到具体操作、条件等。使用基于策略的授权是一种更加灵活地授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对ECS服务，管理员能够控制IAM用户仅能对某一类云主机资源进行指定的管理操作。 策略包含系统策略和自定义策略。 云服务在IAM预置了常用授权项，称为 系统策略 。管理员给用户组授权时，可以直接使用这些系统策略，系统策略只能使用，不能修改。如果管理员在IAM控制台给用户组或者委托授权时，无法找到特定服务的系统策略，原因是该服务暂时不支持IAM。 如果系统策略无法满足授权要求，管理员可以根据各服务支持的授权项，创建 自定义策略 ，并通过给用户组授予自定义策略来进行精细的访问控制，自定义策略是对系统策略的扩展和补充。目前支持可视化视图、JSON视图进行自定义策略配置。 图 权限策略示例

本页介绍了网络安全。 文档数据库服务采取了哪些措施来确保数据安全 文档数据库服务是虚拟私有云，从而确保实例与其它业务实现网络安全隔离。 为什么在虚拟私有云中使用文档数据库服务 安全性：在虚拟私有云中部署文档数据库服务可以提供更高的安全性。VPC 提供了网络隔离和访问控制，可以限制数据库实例只对特定的私有网络或子网可见，从而降低了公网暴露的风险。 性能：在虚拟私有云中部署文档数据库服务可以获得更好的性能。VPC 提供了低延迟的网络连接，使得应用程序可以快速地与数据库实例进行通信，从而提高了响应速度和吞吐量。 隔离：使用虚拟私有云可以将文档数据库服务实例隔离在私有网络中，这样其他云资源或虚拟机不会直接访问数据库，避免了资源竞争和干扰，提高了数据库的稳定性和可靠性。 在虚拟私有云中运行文档数据库服务时，如何确保其安全性 网络隔离将文档数据库服务部署在私有网络中，限制数据库实例只对特定的私有网络或子网可见，避免公网暴露，减少外部攻击的风险。 文档数据库服务是否支持选择创建IPV6子网 目前不支持选择IPV6网段的子网，建议您在使用时创建并选择IPV4网段的子网。 怎样在Windows和Linux操作系统中导入根证书 导入Windows操作系统 登陆文档数据库服务控制台，点击实例管理，点击需要证书的实例id进入基本信息，点击下载证书即可。

本小节介绍容器安全卫士服务等级协议，请点击查看。 天翼云容器安全卫士服务等级协议

通过NAT网关实现公网访问裸金属实例 1. 登录通用计算控制台。 2. 单击【网络>弹性IP】进入弹性IP列表，单击【操作 ，并从列表选择一个NAT网关实例（与需访问公网的裸金属同VPC）完成绑定。 3. 单击左侧【NAT网关】导航栏，在【NAT网关列表】选择已绑定了弹性公网IP的NAT网关实例，单击【操作>设置DNAT规则】进入网关详情。 4. 在【添加DNAT规则】页面，端口类型可选择【指定端口】或【所有端口】，【弹性公网IP】选择已绑定的弹性IP，私网IP选择裸金属实例，单击【提交】完成规则设置。 5. 在【DNAT】页签可以查看已添加的规则。 6. 单击左侧【子网ACL】导航栏，选择未绑定任何规则的子网ACL实例，在其列表页点击【操作>关联子网】进入到子网ACL详情页面。 8. 在【入/出方向规则】页签，点击【添加入/出方向规则】对裸金属实例与公网之间互访的规则进行添加。 9. 登录裸金属，输入账号密码，在命令行测试公网IP+端口的联通性。 注意： 1. SNAT 规则不能和全端口的 DNAT 规则共用弹性公网IP。 2. SNAT 规则和 DNAT 规则一般面向不同的业务，如果使用相同的弹性公网IP，会面临业务互相抢占问题，请尽量避免。 3. 配置 DNAT 规则后，一定需要放通对应的子网ACL规则。 入方向规则：如裸金属实例部署了对应服务（如TCP 8080）且第4步选择了所有端口，则需要严格限制公网至裸金属实例的规则。可配置只允许外部地址访问部署了服务的端口，如只放通公网0.0.0.0/0至裸金属IP的8080端口，其余端口可全部拒绝；从而避免过多端口暴露至公网引发安全问题。 出方向规则：可放通裸金属IP至0.0.0.0/0公网地址，协议为全部的规则。

接口约束 1、webhook地址正确，且需要把云监控平台以下公网地址段添加到安全组白名单182.43.5.0/24、182.43.7.0/24。 2、回调接口应当返回json response，内容不限，且http状态码应当为200，用作回调结果校验。 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 msgtype 是 String 信息类型 text msgtype 是 String 信息类型(飞书使用) text context 是 Object 通知内容 {"text":"云监控告警通知信息"} text 是 Object 通知内容(冗余字段，飞书使用) {"content":"云监控告警通知信息"} modelid 是 String 规则id 81b365af142d55cf989eba30903e25a3 issueid 是 String 告警事件id 6750107b8d4ae01a03632f26 name 是 String 告警规则名称 云主机CPU告警 status 是 int 通知类型：0：恢复；1：告警 0 level 是 int 告警等级 ： 1：紧急2：警示3：普通 1 region 是 String 资源池名称 贵州15 info 是 Array of Object 告警详情 InfoNotify ctime 是 int 告警事件创建时间戳 1733300347 mtime 是 int 告警事件更新时间戳 1733879666 表InfoNotify 参数 是否必填 参数类型 说明 示例 下级对象 value 是 String 告警数值 0.5 ctime 是 int 告警详情创建时间戳 1733300347 mtime 是 int 告警详情更新时间戳 1733879666 resource 是 Array of Object 告警资源信息 resource inforule 是 Object 触发告警的规则策略信息 Rule 表 resource 参数 参数类型 说明 示例 下级对象 name String 资源实例标签键 uuid value String 资源实例标签值 000f03221f4d8cc8bb2e1c30fb 表 Rule 参数 参数类型 说明 示例 下级对象 metric String 监控指标 memutil for Integer 持续时间，当规则执行结果持续多久符合条件时报警（防抖，evaluationCount60 120 func String 本参数表示告警采用算法。取值范围：last：原始值算法。avg：平均值算法。max：最大值算法。min：最小值算法。sum：求和算法。根据以上范围取值。 avg operator String 本参数表示比较符。取值范围：eq：等于。gt：大于。ge：大于等于。lt：小于。le：小于等于。ne：不等于。rg：环比上升。cf：环比下降。rc：环比变化。根据以上范围取值。 eq value String 告警阈值，可以是整数、小数或百分数格式字符串 0 period String 本参数表示算法统计周期。 5m unit String 单位，部分资源池不支持，默认为空 bit

本文介绍云硬盘存储卷概述。 Serverless集群支持使用天翼云云硬盘存储卷。当前cstorcsi插件支持使用云盘动态存储卷和静态存储卷，通过将云硬盘存储卷挂载到容器指定目录下，以实现数据持久化需求。 云硬盘挂载可以实现当容器在同一可用区内进行迁移时，挂载的云硬盘也将随之迁移。 通过云硬盘挂载，可以将远端存储系统中的数据直接映射到容器中，即使容器被删除，数据卷中的数据仍然会保存在存储系统中，从而确保数据的安全和持久性。 使用限制 共享存储 如果选择非共享盘存储，则同时只能被一个节点挂载，访问模式不能为ReadWriteMany；如果选择共享盘存储，则可以被多个节点挂载，卷模式仅支持块设备（Block），不能为文件系统（Filesystem）。 卷模式与访问模式 卷模式 访问模式 Block ReadWriteOnce/ReadWriteMany/ReadOnlyMany Filesystem ReadWriteOnce 跨可用区 非共享盘不支持跨可用区挂载。当Pod重建时，会重新挂载原云盘。若由于其他限制无法调度到原可用区，则Pod将会处于Pending状态。 容量 单个数据盘最小容量10GB，最大容量为32TB，最小扩容容量为1GB，扩容步长为1GB。 挂载数量 单个节点最多允许挂载8个数据盘，如果需要更多，可以通过提工单方式将上限提到22个。 磁盘模式 当前仅支持云硬盘磁盘模式为VBD。 云盘加密 当前暂不支持使用加密盘。 与ECS挂载关系 极速型SSD云硬盘仅支持挂载至vCPU数量至少为16且为6代以上的通用计算增强型和内存优化型云主机，并且一台云主机只允许挂载最多3块极速型SSD云硬盘。 挂载应用类型 推荐使用有状态应用通过PVC模版方式挂载使用云盘。 无状态应用挂载使用云盘有诸多限制，比如当选择卷模式为Filesystem的存储卷时，无法为每个Pod配置独立的存储卷，所以要求Replica需要配置为1或者保证Pod均调度到同一节点上。此外，由于Deployment的升级策略，重启Pod时新的Pod可能一直无法挂载，故不推荐使用。 应用参数配置 创建工作负载时，如果配置了securityContext.fsgroup参数，kubelet在存储卷挂载完成后会执行chmod和chown操作，导致挂载时间延长。

本章节会介绍MySQL读写分离的功能 读写分离是指通过一个读写分离的连接地址实现读写请求的自动转发。创建只读实例后，您可以开通读写分离功能，通过RDS的读写分离连接地址，写请求自动访问主实例，读请求按照读权重设置自动访问各个实例。 Proxy负载均衡基于负载的自动调度策略，实现多个只读节点间的负载均衡。 备注：目前支持的局点有华北、广州4、苏州、深圳。 功能限制 注意 由于开启读写分离时，系统会自动删除已有的帐户rdsProxy，然后自动创建新的rdsProxy帐户，关闭读写分离时，系统也会自动删除已有的帐户rdsProxy。因此，建议您不要创建rdsProxy帐户，防止被系统误删除。 开启读写分离功能，需要RDS for MySQL为主备实例，并且主实例规格大于或等于4U8GB。 读写分离地址都是内网地址，只能通过内网连接。 开通读写分离时必须保证至少有一个只读实例，且主实例和只读实例必须处于同一Region。 开启读写分离功能后，删除RDS for MySQL主实例，会同步删除只读实例，并关闭读写分离功能。 开启读写分离功能后，主实例和只读实例均不允许修改数据库端口、安全组和内网地址，建议先修改完端口或内网地址后再启用读写分离。 读写分离功能不支持SSL加密。 读写分离功能不支持压缩协议。 读写分离不支持事务隔离级别READUNCOMMITTED。 如果执行了MultiStatements，当前连接的后续请求会全部路由到主节点，需断开当前连接并重新连接才能恢复读写分离。 使用读写分离的连接地址时，事务请求都会路由到主实例，不保证非事务读的一致性，业务上有读一致性需求可以封装到事务中。 使用读写分离的连接地址时， LASTINSERTID() 函数仅支持在事务中使用。 使用读写分离的连接地址时，show processlist命令的执行结果不具有一致性。 使用读写分离的连接地址时，不支持使用show errors和show warnings命令。 使用读写分离的连接地址时，不支持用户自定义变量，如SET @variable语句。 使用读写分离的连接地址时，如果存储过程(procedure)和函数(function)中依赖了用户变量，即@variable，则运行结果可能不正确。

本节介绍服务器安全卫士（原生版）服务协议。 请参见天翼云服务器安全卫士（原生版）服务协议。

本节介绍服务器安全卫士（原生版）服务等级协议。 请参见服务器安全卫士（原生版）服务等级协议。

本文介绍了跨域复制的基本概念、关键特点及应用场景等信息,供您了解弹性文件服务的异地容灾能力。 基本概念 跨域复制是指在不同地域之间进行自动复制数据的过程，弹性文件服务的跨域复制功能基于中国电信骨干网可以将文件系统中的数据近实时、异步复制到跨地域的另一个文件系统，以实现现数据的备份 、容灾 以及满足特定合规性要求等目的。比如金融、政企等安全合规性要求较高的企业可能在不同的地区拥有数据中心，为了确保数据的高可用性和灾难恢复能力，会使用跨域复制功能将数据从一个数据中心复制到另一个数据中心。这样，即使一个地区的数据中心出现故障，数据仍然可以在另一个地区的副本中找到，保证业务的连续性。 关键特点 自动复制 跨域复制是自动进行的，无需人工触发和干预。服务端会根据创建复制时选择的目标区域及目标文件系统，将数据和元数据自动进行同步。当复制任务创建成功后会进行一次全量扫描，然后进行初始化同步，当后续发生新增和修改时都会进行自动增量同步。 数据一致性 单个文件的数据一致性由多种方式来保证： 当用户创建一个复制任务时，服务端会比较从源传过来的文件列表下文件的checksum，如果不一致的文件，那么目的端会返回这部分不一致的文件列表，告诉源端这些不一致的文件需要复制。 如果是一个完整的文件复制完成，将会由checksum比较算法来快速比对文件是否内容一致。 如果是文件只修改了部分，首先使用checksum比较算法比对文件内容，发现不一致时就按照分块checksum比较算法，来验证块之间是否一致，不一致的块需要复制同步，当这些任务完成之后源和目的端即达到数据一致。 初始化同步时，会进行源和目标的数据扫描，目标文件系统已经存在但源文件系统不存在的数据会被保留，若是源和目标存在同名目录/同名文件，则会比较文件的数据是否一致，若不一致则会被覆盖。因此建议目标文件系统仅作为源的复制目标，不作为业务读写使用，防止数据被覆盖。

媒体存储为客户提供丰富的数据管理、数据处理、数据安全的产品能力。 块存储 产品能力 功能说明 接入方式 支持iSCSI接入方式。 块空间管理 支持通过控制台管理块设备资源，包括创建、扩容、删除等操作。 鉴权管理 可通过控制台管理文件资源访问权限，接入使用资源时进行鉴权。 文件存储 产品能力 功能说明 接入方式 提供NFS、CIFS两种类型接口，支持NFSV4.0、SMB2、SMB3协议。 文件空间管理 支持通过控制台管理文件资源，包括创建、扩容、删除等操作。 鉴权管理 可通过控制台管理文件资源访问权限，接入使用资源时进行鉴权。 对象存储 产品能力 功能说明 对象管理 支持文件的上传/分片上传/追加上传、下载、删除、复制、前缀搜索、移动功能、追加上传支持整个对象内容MD5计算、可自定义元数据。 对象标签 通过对象（Object）标签功能，对Object进行分类管理，比如列举指定标签的Object、对指定标签的Object配置统一的生命周期。 跨域资源共享 通过桶上配置跨域规则，允许或禁止某些网站的跨域请求。 生命周期 对象存储支持按照过期天数等灵活的策略配置生命周期管理机制。 镜像回源 通过镜像回源功能，当请求者向存储桶（Bucket）请求不存在的文件时，从回源规则设置的源站获取目标文件。 仅部分资源池支持，具体可参考：资源池与区域节点。如需使用，可联系客户经理或提交工单申请。 桶清单 通过桶清单功能，定时生成桶内指定文件（Object）的数量、大小、存储类型、加密状态的清单信息，并保存到指定Bucket。 仅部分资源池支持，具体可参考：资源池与区域节点。如需使用，可联系客户经理或提交工单申请。 桶标签 通过存储桶（Bucket）的标签功能， 对 Bucket 进行分类管理，比如列举带有指定标签的Bucket。 仅部分资源池支持，具体可参考：资源池与区域节点。如需使用，可联系客户经理或提交工单申请。 文件解压缩 通过压缩包解压规则，当上传满足条件的压缩包文件时，服务将自动解压该压缩包后，将文件保存到Bucket中。 仅部分资源池支持，具体可参考：资源池与区域节点。如需使用，可联系客户经理或提交工单申请。 访问权限 支持基于资源的访问权限策略，包括Bucket ACL、Object ACL、 Bucket Policy。 防盗链 可通过是否允许空Referer或黑白名单设置，校验访问账号内资源操作的合法性。 主子账号 可基于子账号进行资源访问与管理授权。 仅部分资源池支持，具体可参考：资源池与区域节点。如需使用，可联系客户经理或提交工单申请。 STS角色管理 支持STS临时凭证，可对其他用户颁发临时凭证，无需透露owner的AKSK。 仅部分资源池支持，具体可参考：资源池与区域节点。如需使用，可联系客户经理或提交工单申请。 合规保留 媒体存储以“不可删除、不可篡改”方式保存和使用数据。 仅部分资源池支持，具体可参考：资源池与区域节点。如需使用，可联系客户经理或提交工单申请。 版本控制 针对Object的覆盖和删除操作将会以版本的形式保存下来，可将 Object 恢复至指定的历史版本。 仅部分资源池支持，具体可参考：资源池与区域节点。如需使用，可联系客户经理或提交工单申请。 服务端加密 媒体存储可对收到的文件进行加密，再保存加密后的文件，用户下载文件时，服务自动将加密文件解密后返回给用户。 仅部分资源池支持，具体可参考：资源池与区域节点。如需使用，可联系客户经理或提交工单申请。 存储桶复制 支持跨不同存储区域或同一存储区域的Bucket 自动、异步（近实时）复制对象（Object）。 仅部分资源池支持，具体可参考：资源池与区域节点。如需使用，可联系客户经理或提交工单申请。 数据迁移 支持多种数据迁移能力，可以满足客户多种数据迁移场景，包括存储桶迁移、跨账号迁移、跨云数据迁移。 事件通知 当资源发生变动时，用户可及时接收通知消息。 仅部分资源池支持，具体可参考：资源池与区域节点。如需使用，可联系客户经理或提交工单申请。 日志存储 通过日志存储功能，将操作日志按照固定的命名规则，以5分钟为单位写入指定的Bucket。 仅部分资源池支持，具体可参考：资源池与区域节点。如需使用，可联系客户经理或提交工单申请。 告警管理 支持告警规则管理，包括添加告警规则，管理告警规则，查看告警消息等。 仅部分资源池支持，具体可参考：资源池与区域节点。如需使用，可联系客户经理或提交工单申请。 自定义域名 通过自定义域名绑定功能，可以通过已绑定的自定义域名访问存储桶内的文件。 仅部分资源池支持，具体可参考：资源池与区域节点。如需使用，可联系客户经理或提交工单申请。 操作日志 支持查询指定时间内在控制台操作的相关日志。 实时日志查询 支持查询通过API或SDK操作对象存储的相关日志。目前实时日志查询为内测功能，如需使用，可联系客户经理或提交工单申请。 用量统计 统计并支持查询存储空间、流量与请求次数用量信息。 图片处理 提供的产品自带图片处理功能，包括基础图片转换、水印功能、原图保护、视频截帧、数据处理持久化保存等功能。 仅部分资源池支持，具体可参考：资源池与区域节点。如需使用，可联系客户经理或提交工单申请。 视频截帧 对象存储内置提供视频截帧功能，可截取出H264视频文件中的指定位置内容的对应图片。 仅部分资源池支持，具体可参考：资源池与区域节点。如需使用，可联系客户经理或提交工单申请。 工具指南 提供图形化客户端工具以及网络测速工具。 API接口 提供REST形式的访问接口，可直接调用相应接口完成操作。 SDK 对媒体存储提供的REST API进行的封装，可直接调用SDK提供的接口函数进行使用。

通过NAT网关实现公网访问裸金属实例 1. 登录通用计算控制台。 2. 单击【网络>弹性IP】进入弹性IP列表，单击【操作 ，并从列表选择一个NAT网关实例（与需访问公网的裸金属同VPC）完成绑定。 3. 单击左侧【NAT网关】导航栏，在【NAT网关列表】选择已绑定了弹性公网IP的NAT网关实例，单击【操作>设置DNAT规则】进入网关详情。 4. 在【添加DNAT规则】页面，端口类型可选择【指定端口】或【所有端口】，【弹性公网IP】选择已绑定的弹性IP，私网IP选择裸金属实例，单击【提交】完成规则设置。 5. 在【DNAT】页签可以查看已添加的规则。 6. 单击左侧【子网ACL】导航栏，选择未绑定任何规则的子网ACL实例，在其列表页点击【操作>关联子网】进入到子网ACL详情页面。 8. 在【入/出方向规则】页签，点击【添加入/出方向规则】对裸金属实例与公网之间互访的规则进行添加。 9. 登录裸金属，输入账号密码，在命令行测试公网IP+端口的联通性。 注意： 1. SNAT 规则不能和全端口的 DNAT 规则共用弹性公网IP。 2. SNAT 规则和 DNAT 规则一般面向不同的业务，如果使用相同的弹性公网IP，会面临业务互相抢占问题，请尽量避免。 3. 配置 DNAT 规则后，一定需要放通对应的子网ACL规则。 入方向规则：如裸金属实例部署了对应服务（如TCP 8080）且第4步选择了所有端口，则需要严格限制公网至裸金属实例的规则。可配置只允许外部地址访问部署了服务的端口，如只放通公网0.0.0.0/0至裸金属IP的8080端口，其余端口可全部拒绝；从而避免过多端口暴露至公网引发安全问题。 出方向规则：可放通裸金属IP至0.0.0.0/0公网地址，协议为全部的规则。

错误码 描述 Obs.0000 无效的参数。 Obs.0001 所有对这个对象的访问已经无效了。 Obs.0002 文件的绝对路径总长度不能超过1023字符，请重试。 Obs.0003 连接超时。 Obs.0004 客户端与服务器的时间相差大于15分钟。出于安全目的，OBS会校验客户端与OBS服务器的时间差，当该时间差大于15分钟时，OBS服务器会拒绝您的请求，从而出现此报错。请根据本地UTC时间调整本地时间后再访问。 Obs.0005 服务器负载过高，请稍后重试。 Obs.0006 用户拥有的桶的数量已经达到了系统的上限。一个帐号及帐号下的所有IAM用户可创建的桶+并行文件系统的上限为100个。建议结合OBS细粒度权限控制能力，合理进行桶规划和使用。 Obs.0007 目标桶不存在或目标桶与当前桶不属于同一区域，请确认后重新操作。 Obs.0008 你的帐号还没有在系统中注册，必须先在系统中注册了才能使用该帐号。 Obs.0009 另外一个冲突的操作当前正作用在这个资源上，请重试。这是由于OBS中存在同名桶且该同名桶在短期内因欠费被释放导致的。建议您更换桶名再试。 Obs.0010 删除失败，请检查桶中是否存在对象或历史版本的对象。 Obs.0011 桶策略规则无效，请重新配置。 Obs.0012 请求的桶名已经存在。桶的命名空间是系统中所有用户共用的，选择一个不同的桶名再重试一次。 Obs.0013 请求的文件夹名已经存在。选择一个不同的名字再重试一次。 Obs.0014 文件超过5GB。请使用OBS Browser+上传。 Obs.0015 搜索条件的绝对路径总长度超过1023字符，请重试。 Obs.0016 上传对象失败。可能原因如下：网络异常。无桶的写权限。 Obs.0017 新的有效期对应的过期时间必须晚于当前该对象的过期时间。 Obs.0018 有效期必须大于或等于剩余天数。 Obs.0019 无法判断桶中是否有对象或碎片，请检查您是否有桶的读权限。 Obs.0020 TMS系统内部错误，请稍后重试。 Obs.0021 您没有权限访问TMS。TMS需要的权限请在IAM中配置。 Obs.0022 TMS系统繁忙，请稍后重试。

步骤四：购买客户端服务器 购买3台ECS服务器（资源池、可用区、虚拟私有云、子网、安全组与Kafka实例保持一致，带宽要大于等于Kafka实例带宽） 购买完成后需要进行如下操作： 安装JDK yum install y java1.8.0openjdkdevel.x8664 下载Kafka命令行工具并解压 tar zxvf kafka2.132.8.2.tar.gz 步骤五：测试命令 ./kafkaproducerperftest.sh producerprops bootstrap.servers${连接地址} acks1 batch.size16384 topic ${Topic名称} numrecords 5000000 recordsize 1024 throughput 1 producer.config ../config/producer.properties bootstrap.servers：购买Kafka实例后，获取的Kafka实例的地址。 acks：消息主从同步策略，acks1表示异步复制消息，acks1表示同步复制消息。 batch.size：每次批量发送消息的大小（单位为字节）。 topic：创建Topic中设置的Topic名称。 numrecords：总共需要发送的消息数。 recordsize：每条消息的大小。 throughput：每秒发送的消息数，1表示不作限制。 测试结果 测试场景一（实例是否开启SASL）：相同的Topic（30分区，3副本，异步复制） 实例规格 磁盘类型 节点数量 TPS（使用SASL） TPS（不使用SASL） 计算增强型4核8GB 超高IO 3 170000 500000 计算增强型8核16GB 超高IO 3 200000 730000 计算增强型16核32GB 超高IO 3 360000 886000 测试场景二（同步/异步复制）：相同的实例（超高I/O、3个节点、不使用SASL） 实例规格 分区数 副本数 TPS（同步复制） TPS（异步复制） 计算增强型4核8GB 30 3 238000 500000 计算增强型8核16GB 30 3 315000 730000 计算增强型16核32GB 30 3 375000 886000 测试场景三（不同磁盘类型）：相同的Topic（30分区，3副本，异步复制） 实例规格 是否使用SASL 节点数量 TPS（高IO） TPS（超高IO） 计算增强型4核8GB 不使用 3 135000 500000 计算增强型8核16GB 不使用 3 240000 730000 计算增强型16核32GB 不使用 3 280000 886000 测试场景四（不同分区数）：相同的实例（超高I/O、3个节点、不使用SASL） 实例规格 是否同步复制 副本数 TPS（3分区） TPS（12分区） TPS（100分区） 计算增强型4核8GB 否 3 330000 280000 260000 计算增强型8核16GB 否 3 480000 410000 340000 计算增强型16核32GB 否 3 534000 744000 630000

数据安全专区支持IPv4/IPv6双栈防护，在购买数据安全专区时，可以直接选择已开启IPv6的VPC和子网。或者购买数据安全专区后，修改VPC和子网配置，开启IPv6后，重启实例后会自动分配IPv6地址。 对于新用户来说，可以创建VPC和子网时选择开启 IPv6。 对于已开通服务的用户来说，可以修改VPC和子网配置，开启IPv6后，重启实例后会自动分配IPv6地址。

本节介绍了修复节点操作系统CVE漏洞的用户指南。 节点操作系统中的CVE漏洞可能导致集群出现远程代码执行、数据泄露与篡改、服务中断等问题，威胁集群的安全性、稳定性、和合规性。使用操作系统（OS）CVE漏洞修复功能，扫描节点上的安全漏洞，获取修复建议和方法，快速修复出现的漏洞威胁。 本文主要介绍如何使用修复节点操作系统CVE漏洞功能。 前提条件 本功能是天翼云服务器安全卫士（原生版）提供的高级功能，使用时需要开通服务器安全卫士（原生版）的企业版或旗舰版，且保证配额大于或等于集群节点数量。云容器引擎不额外收取费用。具体操作，请参见开通服务器安全卫士（原生版）、计费模式。 因节点修复漏洞需要拉取外部软件源，所以请确保在修复前节点有公网访问能力。开通公网能力可参考使用SNAT访问公网或绑定弹性IP。 约束与限制 CVE的兼容性由服务器安全卫士（原生版）保证，请自行检查集群应用与CVE的兼容性。 如果您的CVE漏洞修复时需要通过重启节点来实现，请在重启节点前将业务Pod调度到其他节点。 同一时间段内，一个节点池中仅支持一个CVE漏洞修复任务运行。

此小节介绍数据库安全审计的使用限制 使用限制 在使用数据库安全审计前，您需要了解数据库安全审计的使用限制。 支持的数据库类型 数据库安全审计可以为管理控制台上的以下数据库提供旁路模式的数据库审计功能： 关系型数据库（Relational Database Service，RDS） 弹性云主机（Elastic Cloud Server ，ECS）的自建数据库 裸金属服务器（Bare Metal Server，BMS）的自建数据库 云主机（Elastic Cloud Server ，ECS）的自建数据库 物理机（Bare Metal Server，BMS）的自建数据库 数据库安全审计支持数据库类型及版本如所示。 数据库安全审计支持的数据库类型和版本 数据库类型 版本 MySQL 5.0、5.1、5.5、5.6、5.7 8.0（8.0.11及以前的子版本） 8.0.23 8.0.25 Oracel (因Orace为闭源协议，适配版本复杂，如您需审计Orace数据库，请先联系客服人员) 11g 11.1.0.6.0、11.2.0.1.0、11.2.0.2.0、11.2.0.3.0、11.2.0.4.0 12c 12.1.0.2.0、12.2.0.1.0 19c PostgreSQL 7.4 8.0 8.0、8.1、8.2、8.3、8.4 9.0 9.0、9.1、9.2、9.3、9.4、9.5、9.6 10.0 10.0、10.1、10.2、10.3、10.4、10.5 11.0 12.0 13.0 SQL Server 2008、2008R2 2012 2014 2016 2017 DWS 1.5 8.1 SHENTONG V7.0 GBase 8a V8.5 GBase 8s V8.8 Gbase XDM Cluster V8.0 Greenplum V6.0 HighGo V6.0 TAURUS MySQ 8.0 GaussDB 1.4企业版 DAMENG DM8 KINGBASE V8 MongoDB V5.0

本文介绍容器安全卫士扩容规则及操作步骤。 扩容说明 扩容节点不支持独立购买，必须在购买主套餐的基础上进行叠加购买；扩容的节点与主套餐绑定，资源到期时间与主套餐一致，不支持单独退订或单独续订。 扩容步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“订单中心”，进入订单信息页面。 3. 单击“立即扩容”，进入扩容页面。 4. 选择扩容的防护节点数。到期时间为主套餐到期时间，扩容时不能更改。 5. 阅读《天翼云容器安全卫士服务协议》后，勾选“我已阅读理解并同意《天翼云容器安全卫士服务协议》”，单击“立即购买”。 6. 进入付款页面，完成付款。

完成Moltbot（原Clawdbot）服务器的部署（可参考使用云主机一键部署Moltbot），可通过配置聊天软件与Moltbot进行交互，本文将为您介绍打造飞书个人助理的最佳实践。 注意 Molbot 作为开源项目，建议在使用前全面评估其安全性与稳定性，并且严格按照对应的开源许可协议规范使用，确保系统和数据安全。 步骤1：登录云主机，配置Moltbot 1. 登录目标云主机。登录天翼云官网，进入计算控制台，点击远程登录按钮。在管理终端页面中，输入用户名密码，登录云主机。 2. 进行功能的授权，执行命令： plaintext clawdbot onboard 3. 风险确认，选择“Yes”。 3. 安装模式，选择“QuickStart”。 4. 配置模型供应商。如果已经订购上述供应商的大模型接口，则选择对应选项，如果使用私有化部署的大模型，选择“Skip for now”，初始化结束后，通过修改~/.clawdbot/clawdbot.json文件，进行大模型配置。 注意 Moltbot 的智能交互依赖于大语言模型（LLM）的支持。在开始配置前，请确保您已准备好模型服务商的 API Key，或已搭建可用的开源模型接口。推荐使用天翼云息壤模型推理服务，以获取稳定的推理能力。 5. 过滤大模型的供应商。这里选择“All providers”。 6. 确定智能体服务的默认模型，默认使用的是“claudeopus45”，也可以下拉选择，选择“Enter model manually”进行手动配置。 7. 选择和Moltbot通信的软件，这里先跳过，选择“Skip for now”。 8. 是否配置扩展技能（skills），由于大部分skills目前为国外服务的功能，此处选择跳过，选择“No”。 9. hooks配置。hooks可以理解为三个智能体的能力配置： bootmd：启动时增加引导内容，可将规则、偏好、项目背景等信息，在每次启动时自动注入使用。 commandlogger：记录在 Moltbot 中执行的命令及关键操作并生成日志，方便后续排查问题、复盘操作；若注重隐私或无需留存操作痕迹，建议关闭。 sessionmemory：保存会话相关的状态与记忆数据，支持后续启动时延续上下文，让使用体验更连贯。 这三个可以选择都开，本次演示选择全部打开。 10. 是否重启Gateway服务，这里选择“restart”。 11. 下面是对ai的个性化设置，这里可以选择“Do this later”。 到此，Moltbot安装已完成。若配置大模型时选择跳过，此时可以打开配置文件~/.clawdbot/clawdbot.json进行配置，可参考以下配置： plaintext { "meta": {}, // 请忽略 "wizard": {}, // 请忽略 "models": { "providers": { "self": { // self可以替换为其他字符，表示模型供应商 "baseUrl": " "apiKey": "[api key]", "api": "openaicompletions", "models": [ { "id": "[模型 id]", "name": "[模型名称]", "api": "openaicompletions", "reasoning": false, "input": [ "text" ], "cost": { "input": 0, "output": 0, "cacheRead": 0, "cacheWrite": 0 }, "contextWindow": 65536, // 根据实际能力修改 "maxTokens": 65536 // 根据模型实际能力修改 } ] } } }, "agents": { "defaults": { "model": { "primary": "self/[模型 id]" // self需要与前文模型供应商对应 }, "models": { "self/[模型 id]": {} // self需要与前文模型供应商对应 } } }, "tools": {}, // 请忽略 "media": {}, // 请忽略 "messages": {}, // 请忽略 "commands": {}, // 请忽略 "hooks": {}, // 请忽略 "channels": {}, // 请忽略 "gateway": {}, // 请忽略 "skills": {},// 请忽略 "plugins": {} // 请忽略 }

本节为您介绍数据安全中心如何保护您的个人数据。 数据安全中心DSC通过控制个人数据访问权限，以及记录操作日志等方法防止个人数据泄露，可以使您的个人数据（如用户名、密码、手机号码等）不被未经过认证、授权的实体或者个人获取，保证您的个人数据安全。 个人信息收集范围 数据安全中心DSC收集及产生的个人数据如下： 类型 收集方式 是否可以修改 是否必须 用户ID 在控制台进行任何操作时Token中的用户ID 在调用API接口时Token中的用户ID 否 是，用户ID是用户的身份标识信息。 数据库密码 用户在控制台自行填入 是 是，对数据库数据进行扫描、脱敏和注入水印时，DSC需使用数据库密码联通数据库，获取数据。 数据存储方式 租户ID不属于敏感数据，明文存储。 数据库密码：加密存储。 数据访问权限 用户只能查看自己业务的相关日志。 审计日志记录 用户个人数据的所有操作，包括修改、查询和删除等，数据安全中心DSC都会记录审计日志并上传至云审计服务（CTS），用户可以并且仅可以查看自己的审计日志。

本文介绍容器安全卫士支持的区域。 容器安全卫士已支持的产品区域如下所示： 区域 一类节点 二类节点 华东地区 华东1、南昌5 华南地区 华南2、武汉41 西南地区 西南1 北方地区 华北2

本文介绍如何将客户端加入已经部署好的AD域。 前提条件 AD域控制器已安装AD域服务并已部署完成。 操作步骤 1. 登录非AD域控制器的云主机客户端，进入“控制面板>系统和安全>系统”，在“计算机名、域和工作组设置”处可以看到当前计算机不属于任何域。 2. 设置DNS，使得客户端能解析AD域的域名。 1）客户端DNS设置。 a.登录客户端，打开“控制面板>网络和共享中心”，在“查看网络活动”找到“连接”，点击已连接的网络，通常为“以太网”。 b.在“以太网状态”弹窗中点击“属性>Internet协议版本4（TCP/IPv4）>属性”。 c.将“自动获得DNS服务器地址”改为“使用下面的DNS服务器地址”，并设置“首选DNS服务器”，设置的IP为AD域控制器的IPv4内网地址，在天翼云官网>弹性云主机控制台列表页获取。备用DNS服务器设置为空即可。 2）AD域控制器DNS设置。 AD域控制器的Internet协议版本4（TCP/IPv4）属性保持为“自动获得DNS服务器地址”。 3）网络验证。 在客户端命令行提示符工具或power shell工具处执行ping AD域名验证网络连通性。本文中执行 ping sfs.com。 3. 设置Sysprep。在客户端 C:Windows/System32/Sysprep，双击Sysprep.exe ，在勾选“通用”选项。防止计算机SID相同而无法加入AD域。 4. 设置域信息。在“计算机名、域和工作组设置”右侧点击“更改设置>更改”，选择“域”，填入AD域的域名“sfs.com”，点击“确定”。 5. 加域。输入步骤二中在域控制器创建用户时设置的用户名和密码。加入成功后会显示“欢迎加入sfs.com域”的提示。 6. 重启计算机使配置生效。 7. 验证。重启后，重新进入“系统”界面，此时可以看到本计算机已经加入到域sfs.com中。

本文介绍 了不同资源池的DMS服务IP地址，用户使用DMS管理数据库实例前，需要先将DMS服务IP地址配置至数据库实例的白名单中。 配置IP白名单 用户使用DMS管理数据库实例前，需要先将DMS服务IP地址配置至数据库实例的白名单中。 注意 不同地域、不同来源的数据库实例需要配置的DMS服务IP地址不同。 配置DMS服务IP地址至数据库实例白名单 在目标数据库实例中，可以手动配置DMS服务IP地址至数据库实例的白名单。 例如，手动配置DMS服务IP地址至关系型数据库MySQL版的白名单，详见：设置IP白名单。 DMS服务IP地址列表 在目标数据库实例中配置白名单时，建议按照实例来源将对应的DMS服务IP地址配置至实例的安全设置中，详见下表。 地域 云数据库 公网直连 ::: 华东1 33.2.1.0/24 117.89.250.178 上海36 33.2.2.0/24 117.89.250.178 西南1 33.2.0.0/24 117.89.250.178 长沙42 33.2.3.0/24 117.89.250.178 华北2 33.2.3.0/24 117.89.250.178 南昌5 33.2.2.0/24 117.89.250.178 华南2 33.2.0.0/24 117.89.250.178 青岛20 33.2.1.0/24 117.89.250.178 南宁23 33.2.0.0/24 117.89.250.178 郑州5 33.2.0.0/24 117.89.250.178 武汉41 33.2.0.0/24 117.89.250.178 太原4 33.2.0.0/24 117.89.250.178 苏州 33.2.0.0/24 117.89.250.178 广州4 33.2.0.0/16 117.89.250.178 ecx郑州4 198.17.5.0/24 117.89.250.178 ecx北碚1 198.17.5.0/24 117.89.250.178 杭州7 33.2.0.0/24 117.89.250.178 西南2贵州 33.2.0.0/24 117.89.250.178 庆阳2 33.2.0.0/24 117.89.250.178 西安7 33.2.2.0/24 117.89.250.178 北京行业云20 33.2.0.0/24 117.89.250.178 乌鲁木齐7 33.2.0.0/24 117.89.250.178 呼和浩特3 33.2.0.0/24 117.89.250.178 芜湖4 33.2.0.0/24 117.89.250.178 佛山7 33.2.0.0/24 117.89.250.178 香港2 33.2.0.0/24 117.89.250.178 河北张家口IT上云1 33.2.0.0/24 117.89.250.178 印尼1 10.203.3.0/24 117.89.250.178 [ ]

本节主要介绍CCM私有证书配置。 操作场景 GeminiDB Influx支持使用云证书管理服务（CCM）创建的证书进行数据库实例连接，既支持创建实例的时候选择证书，也支持实例创建成功后重置证书。 本章节主要介绍如下两种方式将CCM私有证书应用到数据库实例中： a.创建实例时选择证书功能。 b.实例创建成功后使用重置证书功能。 使用须知 实例状态为“正常”。 前提条件 已创建CCM私有证书。若未创建CCM私有证书，请参见《云证书管理服务用户指南》中“申请私有证书”章节先创建证书。 注意 创建证书时需要将待连接的数据库IP信息添加到证书中，即“配置证书的AltName信息”。若不配置该信息，则会导致数据库连接失败。 若您在创建实例时选择证书功能，此处“证书的AltName信息”只能添加弹性公网IP，因为此时待连接的数据库实例尚未创建成功，无对应的内网IP地址生成，故无法将内网IP地址添加到证书的AltName信息处。 若您是在创建实例成功后，使用重置证书的功能来切换证书信息，此处“证书的AltName信息”可以添加数据库实例所有节点的内网IP地址或者弹性公网IP地址。 图 创建CCM私有证书 场景一：创建实例时配置私有证书 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB Influx 接口”。 3. 在“实例管理”页面，单击“购买数据库实例”，进入“服务选型”页面。 4. 在“服务选型”页面，填写并选择实例相关信息后，单击“立即购买”。 SSL安全连接选择“启用”，证书信息选择已创建好的CCM私有证书。若无可用证书，请先参见上文前提条件中的方法创建证书。 图 选择证书 其余参数配置请参见3.2.1 购买集群实例章节进行设置即可。 5. 待实例创建成功后，单击实例名称，进入“基本信息”页面，在“数据库信息”区域的“证书”处，可以查看到证书状态为“正常”。 图 查看证书状态 6. 下载证书。 单击“证书”处的“下载”按钮，跳转至“云证书管理服务”页面，选择“Nginx”页签，单击“下载证书”。 图 下载证书

出云流量页面展示当前防火墙实例防护的云上EIP访问互联网的流量数据，数据基于会话统计，在连接期间，数据不会上报，连接结束后才会上报。 前提条件 开启弹性公网IP（EIP）防护且已有流量经过EIP，开启EIP防护的操作步骤请参见“开启互联网边界流量防护”。 规格限制 “私网外联资产”数据查看需满足专业版防火墙且开启VPC边界防火墙防护，请参见“开启VPC边界流量防护”。 查看出云流量 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“流量分析> 出云流量”，进入“出云流量”页面。 5. 查看经过防火墙的流量统计信息，支持5分钟~7天的数据。 流量看板：内部服务器访问互联网时最大流量的相关信息。 出云流量：出方向请求流量和响应流量数据，最多支持同时查询30个EIP的流量数据。 取值说明： 时间段 取值说明 近1小时 取1分钟内的平均值 近24小时 取5分钟内的平均值 近7天 取1小时内的平均值 自定义 5分钟~6小时：取1分钟内的平均值 6小时（含）~3天：取5分钟内的平均值 3天（含）~7天（含）：取30分钟内的平均值 可视化统计：查看指定时间段内出方向流量中指定参数的TOP 5 排行，参数说明请参见下表。单击单条数据查看流量详情，每个详情支持查看50条数据。 出云流量可视化统计参数说明： 参数名称 参数说明 TOP访问目的IP 出方向流量的目的IP地址。 TOP访问目的地区 出方向流量的目的IP所属的地理位置。 TOP访问源IP 出方向流量的源IP地址。 TOP开放端口 出方向流量的目的端口。 应用分布 出方向流量的应用信息。 IP分析：查看指定时间段内 TOP 50 的流量信息。 外联IP：目的IP的流量信息。 外联域名：域名信息。 公网外联资产：源IP为公网IP的流量信息。 私网外联资产：源IP为私网IP的流量信息。 说明 私网IP信息仅配置了VPC边界防护的专业版防火墙可见。

本章节主要介绍如何创建、修改和删除实例的内网域名。 注意 实例内网域名功能仅西南1、华东1、武汉41（II类型资源池）支持，具体支持情况以控制台页面展示为准。更多资源池信息，请参见功能概览。 使用场景 该功能提供关系数据库MySQL版实例的内网访问地址 ，用于同一VPC或内网环境下的应用（如ECS、容器服务等）安全、低延迟地连接数据库，避免公网暴露风险。 约束限制 修改内网域名，将导致数据库连接中断，请修改对应的应用程序连接地址。 内网域名的名称唯一，默认内网域名格式为：实例ID.rds.mysql.域名。 当您在切换VPC时，由于切换VPC会引起连接地址的变更，此时不允许内网域名的设置。 设置内网域名 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 在实例信息 区域，找到IPv4地址，单击内网域名 参数旁的设置。 5. 按照提示，先前往内网DNS控制台创建一个域名，并关联本实例的VPC。 6. 回到MySQL控制台，即可在域名中选择以上步骤中创建的域名。 7. 在实例内网域名中，填写您想定义为该实例的内网域名。 8. 单击确定。 9. 确定后，需要更改主机DNS使内网DNS配置生效，具体的步骤可参考更改主机DNS使内网DNS配置生效。 10. 配置后即可访问。 注意 域名（主域名）和实例内网域名不同，域名是于DNS控制台创建的主域名，MySQL控制台的内网域名是针对该实例的一个内网域名，以主域名为后缀创建。 一个主域名可以绑定多个VPC，一个VPC内可能有多个实例；一个主域名可以应用于多个实例，但一个实例内网域名只能绑定一个实例。 您在DNS网络控制台最多可以创建10个域名，相关限制可参考内网DNS官网文档。

查看攻击信息 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“威胁管理 > 告警管理”，进入告警管理页面。 5. 在告警管理页面，选择“攻击”页签，查看攻击信息。 参数名称 参数说明 设置告警的显示时间范围 左上角可设置展示告警的周期，默认展示最近一周内的告警信息。用户可下拉选择或自定义展示告警的周期： 最近24小时 最近一周 最近一个月 自定义：用户自定义设置起止时间。 信息统计 从3个维度统计状态为“打开”或“阻塞”的告警信息： 来源分布：以柱状图形式统计各数据源的告警数。 类型Top5:以告警数维度降序排序统计前Top5类型的告警。 资产风险Top5:展示告警数多的Top5风险资产。 急需处理告警 当前工作空间中状态为“打开”或“阻塞”且风险等级为“高危”或“致命”的告警数量。 待处理告警 当前工作空间中状态为“打开”或“阻塞”，在筛选的时间范围内未处理告警的数量。 告警总数 当前工作空间在筛选的时间范围内告警总数量。 自动处理告警 当前工作空间在筛选的时间范围内通过剧本自动关闭的告警数量。 手动处理告警 当前工作空间在筛选的时间范围内手动关闭的告警数量。 告警列表 在告警列表中下方可以查看告警总条数。其中，使用翻页查看时最多可查看10000条告警信息，如果需要查看超过10000条以外数据，请优化过滤条件筛选数据。 告警列表中，可以查看告警名称、等级、类型、受影响资产、防御状态、状态、防线、数据来源、最近发生时间信息。 如需查看某个告警信息详情，可单击目标告警，进入告警详情页面： 概览：告警详情页的基础信息模块，呈现告警ID、防线/来源、攻击阶段、责任人、告警类型、首次发生时间。 受影响资产：呈现该告警影响的资产信息，包括资产名称、区域、资产归属账号名称/ID、企业项目名称/ID。 处置建议：告警的处置建议。 更多信息：告警的基础信息、受影响资产、进程信息等详细信息。 相似告警：呈现相似告警的告警列表。

本章主要介绍个人设置 消息通知 在“消息通知”页面，可以配置当前用户是否接收软件开发生产线各服务消息通知。 消息通知方式说明 软件开发生产线消息通知有两种方式：浏览器桌面通知、邮件通知。 浏览器桌面通知：消息通知将发送至PC端桌面，内容包括代码检查、编译构建、部署、流水线任务的执行结果。 邮件通知：根据各服务通知设置，软件开发生产线将发送消息通知至的对应成员的邮箱中。 开启/关闭通知 步骤 1 进入软件开发生产线首页，单击页面右上角用户名，在下拉菜单中选择“个人设置”。 步骤 2 页面默认跳转至“消息通知”页面，根据需要选择开启或关闭通知。 若需要修改接收消息通知的邮箱，请单击“更改设置”，根据页面提示修改邮箱地址。 消息设置 设置勿扰时间 软件开发生产线默认24小时接收消息通知，通过勿扰时间设置可以设置每天的某个时间段内不接收消息通知。 步骤 1 单击“勿扰时段设置”开关至状态。 步骤 2 单击更改设置，根据需要再弹框中设置开始时间与结束时间，单击“确定”。 勿扰时段设置 SSH密钥/HTTPS密码管理 什么是SSH密钥/HTTPS密码 当您需要从云端代码仓库拉取代码到本地，或将代码推送到云端代码仓库中时，代码仓库需要验证您的身份与权限，SSH和HTTPS是对云端代码仓库进行远程访问的两种身份验证方式。 SSH密钥是在本地计算机与您帐号下的代码仓库之间建立安全连接。 在一台本地计算机上配置了SSH密钥并添加公钥到代码托管服务中后，所有该帐号下的代码仓库与该台计算机之间都可以使用该密钥进行连接。 不同的用户通常使用不同的电脑，在使用SSH方式连接代码仓库前需要在自己电脑生成自己的SSH密钥，并设置到代码托管服务中。 HTTPS密码是HTTPS协议方式下载、上传时使用的用户凭证。 每个开发者，只需要设置一次密码，所有该项目下的仓库都会生效。 说明 两种方式中，使用其中任何一种方式都可以进行代码的上传下载，密钥（密码）的设置根据您选择的连接方式设定即可。

本章主要介绍创建并使用签名密钥。 操作场景 签名密钥用于后端服务验证API网关的身份，在API网关请求后端服务时，保障后端服务的安全。 签名密钥是由一对Key和Secret组成，签名密钥需要绑定到API才能生效。当签名密钥绑定API后，API网关向后端服务发送此API的请求时，会增加相应的签名信息，此时需要后端服务依照同样方式进行签名，通过比对签名结果和API网关传过来的Authorization头中签名是否一致来校验API的合法性。 说明 每个用户最多创建30个签名密钥。 同一个环境中一个API只能被一个签名密钥绑定，一个签名密钥可以绑定多个API。 使用流程 1. 在控制台创建签名密钥。 2. 将新创建的签名密钥绑定API。 3. API网关将签名后的请求发送到后端服务，此时Authorization头中包含签名信息。后端服务通过不同的开发语言（例如Java、Go、Python、JavaScript、C 、PHP、C++、C、Android等）进行签名，比对签名结果和API网关传过来的Authorization头中签名是否一致来校验API的合法性。 图 签名密钥流程图 创建签名密钥 步骤 1 进入API网关控制台页面。 步骤 2 根据实际业务在左侧导航栏上方选择实例。 步骤 3 在左侧导航栏选择“API管理 > API策略”。 步骤 4 在“策略管理”页面，单击“创建策略”。 步骤 5 选择策略类型，单击“签名密钥”，弹出“创建密钥”对话框。 步骤 6 填写如表 所示信息。 表 密钥信息 信息项 描述 密钥名称 自定义名称，用于识别不同的密钥。 类型 选择签名密钥的认证类型，可选择“HMAC”、“Basic Auth”、“AES”。 签名算法 选择aes的签名算法，包含以下两种： l aes128cfb l aes256cfb Key 根据选择的密钥类型，填写不同的密钥信息。 l HMAC：填写APP认证所使用密钥对的Key。 l Basic Auth：填写basic认证所使用的用户名。 l aes：填写aes认证所使用的密钥key。 l Public Key：填写publickey认证所使用的公钥。 Secret 根据选择的密钥类型，填写不同的密钥信息。 l HMAC：填写APP认证所使用密钥对的Secret。 l Basic Auth：填写basic认证所使用的密码。 l aes：填写aes认证所使用的向量。 l Public Key：填写Public Key认证所使用的私钥。 确认Secret 填写与Secret一致的值。 步骤 7 单击“确定”，完成密钥的创建。

本章节主要介绍创建用户并授权使用分布式消息服务RabbitMQ。 如果您需要对您所拥有的分布式消息服务RabbitMQ服务进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用分布式消息服务RabbitMQ资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将分布式消息服务RabbitMQ资源委托给更专业、高效的其他帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用分布式消息服务RabbitMQ服务的其它功能。 本章节为您介绍对用户授权的方法，操作流程如图1所示。 说明 分布式消息服务RabbitMQ服务的权限与策略基于分布式消息服务DMS，因此在IAM服务中为RabbitMQ分配用户与权限时，请选择并使用“DMS”的权限与策略。 前提条件 给用户组授权之前，请您了解用户组可以添加的分布式消息服务RabbitMQ系统策略，并结合实际需求进行选择，分布式消息服务RabbitMQ支持的系统策略及策略间的对比，请参见：权限管理。 示例流程 图1 给用户授权RabbitMQ权限流程 1. 创建用户组并授权 在IAM控制台创建用户组，并授予RabbitMQ的只读权限“DMS ReadOnlyAccess”。 2. 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 3. 用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择分布式消息服务RabbitMQ，进入RabbitMQ实例主界面，单击右上角“购买RabbitMQ实例”，尝试购买RabbitMQ实例，如果无法购买RabbitMQ实例（假设当前权限仅包含DMS ReadOnlyAccess），表示“DMS ReadOnlyAccess”已生效。 在“服务列表”中选择云硬盘（假设当前策略仅包含DMS ReadOnlyAccess），若提示权限不足，表示“DMS ReadOnlyAccess”已生效。

本小节介绍服务器安全卫士的Agent卸载。 卸载方法 1.登录云平台，进入控制中心“服务器安全卫士”界面，点击订单中的“控制台”，进入服务器安全卫士控制台。 2.选择通用功能服务工具Agent管理，进入Agent管理界面，点击“删除Agent”，即可彻底清除产品中该Agent所有数据信息，显示为"清除数据中"，清除完成后触发统计更新；并下发"Agent卸载"命令，释放"AgentID"。