测评中心可以下发大模型测评任务,根据实际情况,选择进行全部测评或者选择部分内容进行测评。 操作步骤 1. 选择模型。 支持单独选择内容测评、注入攻击测评以及含密量检测下的一个或者多个具体小类测评类型，支持多选、全选。 2. 选择模型后，勾选测评内容，单击“开始评估”，弹窗提醒剩余的测评次数，单击“确定”后即可创建测评任务。 3. 在“测评管理 > 测评记录”页面，可以查看任务状态与最终测评报告。

部署完成后，在foo命名空间下看到3个服务 不使用授权策略的情况下，验证从sleep应用访问httpbin应用没有被拦截（返回状态码200）： kubectl exec "$(kubectl get pod l appsleep n foo o jsonpath{.items..metadata.name})" c sleep n foo curl s o /dev/null w "%{httpcode}n" 200 查看外部授权服务已经启动，HTTP和gRPC授权服务分别监听8000和9000端口： kubectl logs "$(kubectl get pod l appextauthz n foo o jsonpath{.items..metadata.name})" n foo c extauthz 2023/08/14 11:26:54 Starting HTTP server at [::]:8000 2023/08/14 11:26:54 Starting gRPC server at [::]:9000 添加外部授权服务 将上面的HTTP和gRPC服务添加到服务网格的外部授权服务内。 定义授权策略&验证访问 定义如下授权策略，对httpbin应用的/headers路径的请求将被转发到第三方授权服务进行验证： apiVersion: security.istio.io/v1beta1 kind: AuthorizationPolicy metadata: name: extauthz spec: selector: matchLabels: app: httpbin action: CUSTOM provider: The provider name must match the extension provider defined in the mesh config. You can also replace this with sampleextauthzhttp to test the other external authorizer definition. name: sampleextauthzgrpc rules: The rules specify when to trigger the external authorizer. to: operation: paths: ["/headers"] 从sleep应用请求httpbin的/headers路径，由于请求头带了"xextauthz:deny"，请求被拦截： kubectl exec "$(kubectl get pod l appsleep n foo o jsonpath{.items..metadata.name})" c sleep n foo curl " H "xextauthz: deny" s denied by extauthz for not found header xextauthz: allow in the request 修改请求，带上"xextauthz: allow"头部，请求放行： kubectl exec "$(kubectl get pod l appsleep n foo o jsonpath{.items..metadata.name})" c sleep n foo curl " H "xextauthz: allow" s { "headers": { "Accept": "/", "Host": "httpbin.foo:8000", "UserAgent": "curl/8.2.1", "XB3Parentspanid": "eb42a8165099e7db", "XB3Sampled": "1", "XB3Spanid": "cd6540ba1cfd9e8c", "XB3Traceid": "e7e15cc10dc66630eb42a8165099e7db", "XEnvoyAttemptCount": "1", "XExtAuthz": "allow", "XExtAuthzAdditionalHeaderOverride": "grpcadditionalheaderoverridevalue", "XExtAuthzCheckReceived": "source:{address:{socketaddress:{address:"10.1.0.25" portvalue:37654}} principal:"spiffe://cluster.local/ns/foo/sa/sleep"} destination:{address:{socketaddress:{address:"10.1.0.24" portvalue:80}} principal:"spiffe://cluster.local/ns/foo/sa/httpbin"} request:{time:{seconds:1692015383 nanos:990298000} http:{id:"7462237371770661564" method:"GET" headers:{key:":authority" value:"httpbin.foo:8000"} headers:{key:":method" value:"GET"} headers:{key:":path" value:"/headers"} headers:{key:":scheme" value:"http"} headers:{key:"accept" value:"/"} headers:{key:"useragent" value:"curl/8.2.1"} headers:{key:"xb3sampled" value:"1"} headers:{key:"xb3spanid" value:"eb42a8165099e7db"} headers:{key:"xb3traceid" value:"e7e15cc10dc66630eb42a8165099e7db"} headers:{key:"xenvoyattemptcount" value:"1"} headers:{key:"xextauthz" value:"allow"} headers:{key:"xforwardedclientcert" value:"Byspiffe://cluster.local/ns/foo/sa/httpbin;Hashc32db24acfa670a8bbe46f0897ebb70b9ccc0e630ee32afcd1ec037d6616e6c5;Subject"";URIspiffe://cluster.local/ns/foo/sa/sleep"} headers:{key:"xforwardedproto" value:"http"} headers:{key:"xrequestid" value:"aba7b68c6bee9d58b1637454075c6ece"} path:"/headers" host:"httpbin.foo:8000" scheme:"http" protocol:"HTTP/1.1"}} metadatacontext:{}", "XExtAuthzCheckResult": "allowed", "XForwardedClientCert": "Byspiffe://cluster.local/ns/foo/sa/httpbin;Hashc32db24acfa670a8bbe46f0897ebb70b9ccc0e630ee32afcd1ec037d6616e6c5;Subject"";URIspiffe://cluster.local/ns/foo/sa/sleep" } }

本章节介绍应用服务网格中使用JWT实现对请求的身份认证 使用JWT认证授权 应用服务网格中使用JWT实现对请求的身份认证，可以进一步配置授权策略，限制对请求的授权。 操作步骤 部署测试应用 参考以上示例部署sleep和httpbin应用，pod列表如下： 配置JWT认证策略： apiVersion: security.istio.io/v1beta1 kind: RequestAuthentication metadata: name: "jwtexample" namespace: bookinfo spec: selector: matchLabels: app: httpbin jwtRules: issuer: "testing@secure.istio.io" jwks: '{ "keys":[ {"e":"AQAB","kid":"DHFbpoIUqrY8t2zpA2qXfCmr5VO5ZEr4RzHUenvvQ","kty":"RSA","n":"xAE7eB6qugXyCAG3yhh7pkDkT65pHymXP7KfIupjf59vsdo91bSP9C8H07pSAGQO1MVxFj9VswgsCg4R6otmg5PV2He95lZdHtOcU5DXIgpbhLdKXbi66GlVeK6ABZOUW3WYtnNHD91gVuoeJTDwtGGcp4ignkgXfkiEm4sw4sfb4qdt5oLbyVpmW6x9cfa7vs2WTfURiCrBoUqgBo4WTiULmmHSGZHOjzwa8WtrtOQGsAFjIbno85jp6MnGGGZPYZbDAab3y5uYpW7ypZrvD8BgtKVjgtQgZhLAGezMt0ua3DRrWnKqTZ0BJEyxOGuHJrLsn00fnMQ"}]}'

产品分类 服务项 折扣说明 零信任服务远程办公 产品套餐（VPN版、基础版、企业版） 部署类型：混合部署/SaaS 按年购买，可享受1年8.5折、2年7.5折、3年6折、4年5.5折、5年4.5折折扣 零信任服务远程办公 流量中国内地流量包 无折扣 零信任服务远程办公 带宽扩展服务 支持按年购买，可享受1年8.5折、2年7.5折、3年6折、4年5.5折、5年4.5折折扣 零信任服务远程办公 账号数扩展 支持按年购买，可享受1年8.5折、2年7.5折、3年6折、4年5.5折、5年4.5折折扣 零信任服务远程办公 短信相关（资源包、扩展服务） 无折扣 网络服务（办公组网/全球加速) 区域带宽全球 无折扣 网络服务（办公组网/全球加速) 平台授权服务费 无折扣

本文介绍天翼云远程证明服务,包括工作原理、使用方式和计费说明。 概述 天翼云远程证明服务是一个统一的解决方案，可用于验证不同平台（如鲲鹏、海光、intel 、AMD等）的可信度和在该平台中运行的代码的完整性。该服务支持对基于虚拟可信平台模块vTPM（virtual Trusted Platform Module）的平台进行证明，以及对可信执行环境TEE（Trusted Execution Environment）的状态进行证明。 工作原理 基于硬件信任根建立从硬件到软件的可信启动链，并利用该信任根对系统状态生成密码学签名的报告。远端验证者通过验证该报告的完整性和真实性，并与预定义的可信策略进行比对，来达成两个核心目标： 确认平台基于真实的硬件可信根。 确认平台运行了符合预期的软件栈。 使用方式 远程证明服务主要用于对机密云主机和可信云主机进行远程证明，目前仅提供通过OpenAPI进行认证（详细可参见远程证明服务OpenAPI），主要有以下两种使用方式： 方式一： 1. 在可信/机密云主机启动过程中，（虚拟）硬件会度量所涉及的软件并保存度量值； 2. 启动完成后，您可从云主机内调用相关接口获得“证据“，由（虚拟）硬件内密钥所签名的内容（包含度量值）； 3. 您可以将“证据”提交给远程证明服务进行校验。远程证明服务负责取得（虚拟）硬件内密钥所对应的证书，用于校验“证据”确实由对应（虚拟）硬件生成，便验证了平台是基于真实的硬件可信根； 4. 您可以进一步检查“证据”中各字段的值（包含度量值），便验证了平台运行了符合预期的软件栈。 方式二： 1. 您需要制定证据校验策略，并将策略上传至远程证明服务； 2. 在可信/机密云主机启动过程中，（虚拟）硬件会度量所涉及的软件并保存度量值； 3. 启动完成后，您可从云主机内调用相关接口获得“证据“——由（虚拟）硬件内密钥所签名的内容（包含度量值）； 4. 您可以将“证据”提交给远程证明服务进行校验，提交时指定使用哪个策略进行校验。远程证明服务负责取得（虚拟）硬件内密钥所对应的证书，用于校验“证据”确实由对应（虚拟）硬件生成，便验证了平台是基于真实的硬件可信根；策略中包含客户预期的“证据”中各个字段的值（包含度量值），将预期值（基准值）与生成值作对比，便验证了平台是基于真实的硬件可信根。

授权自定义策略 授予IAM用户访问所创建的自定义策略范围中的资源，具体操作，请参见统一身份认证 IAM。 授权系统策略 您也可以直接使用天翼云预制的产品系统策略对IAM子用户进行授权。

本小节介绍微隔离防火墙服务对象说明。 1.服务对象是指用户已知允许访问的服务，描述一个服务对象需要包含服务名称、传输协议（tcp/udp）、服务所要使用的端口范围。 2.服务对象页面可以建立、修改、删除服务，上方的搜索框可以根据输入对服务对象进行过滤。 3.点击按钮，可以建立一条新的服务，服务名称不可相同，需要注意协议和端口的书写要求，端口可以用范围表示，多个协议和端口可用逗号隔开。 4.点击每条服务对象最右侧的标识可对服务对象进行修改，名称不可修改。可修改显示名称及服务的协议端口。

本小节介绍微隔离防火墙更新发布与记录。 更新发布 更新发布有两个作用，一是可以记录本次需要发布的所有操作，便于审阅；二是通过本页面点击发布，将本次的所有操作同步到Agent。 点击按钮，可将本次还未发布的操作进行还原。 发布记录 发布记录页面会记录每次发布的内容，包括分发状态，描述，发布人，发布时间等信息。 点击每条发布记录最右侧的 ，即可进入比较页面，本页面会显示本条发布记录时与现有策略的差别项。

本小节介绍微隔离防火墙地址对象。 1.地址对象是指某些我们已知的IP地址，这些IP地址配置成地址对象后，便于策略的建立，并且在业务拓扑图中来自地址对象的IP连接会转移到地址表中进行显示，如下图所示： 2.地址对象页面可以对地址对象进行新建、删除、修改操作。 3.点击标识，可新建一条地址对象。地址对象名称唯一，需注意地址的书写格式，IP段用IP地址加掩码表示，如果为单个IP地址也需标注32位掩码，多个地址中间用逗号隔开。 4.点击每条地址对象最右侧的标识，可对地址对象进行修改。 5.勾选对应的地址对象，点击按钮，可进行删除操作。

本页为您介绍数据传输服务DTS的故障恢复能力。 断点续传 DTS全量迁移支持表级和指定条件下的行级断点续传，当任务暂停或任务异常重启后，已经完成迁移的表不会重复迁移，如果满足相关条件，默认会从断点行开始迁移。 DTS增量迁移通过记录位点的方式支持断点续传，当任务暂停或任务异常重启后，会从上次完成的位点开始增量迁移。 工作节点高可用 天翼云DTS技术上已支持工作节点双节点冗余部署，具备故障时主备节点自动切换的HA能力。当前暂未提供高可用版，后续视具体情况将会择期上线，敬请期待。

操作步骤 1. 首先打开天翼云统一身份认证服务，使用您在天翼云官网注册的登陆凭证进行登陆。 2. 在进入CTIAM控制台后，在左侧的导航页内找到【用户】页。在该页中，您将能看到已经创建好的全部子用户列表。点击子用户右侧的【编辑】按钮，在弹窗中将该用户的【状态】改为【启用】。如下图所示： 3. 完成该操作后，当您使用子账号登陆用户控制台时，将可正常登陆。同时，该子用户所属的AK/SK处于正常启用状态。 注意 由于主账号冻结产生的关联冻结，无法通过本章节的方案实现解冻。您需要根据主账号的冻结原因，解除主账号的冻结状态。随后子账号会自动解冻。 子用户授权 操作步骤 1. 在进入CTIAM控制台后，在左侧的导航页内找到【用户】页。选择需要授权的子用户（注意，该用户不要归属于任意用户组）。 2. 在【操作】栏点击【查看】，可进入子用户授权配置页面。在此页点击【访问方式】，确认该子用户的【管理控制台访问】选项已经勾选上。然后在【权限管理】标签页，找到【新增权限】按钮。 3. 在【新增授权】的页面，利用组合搜索框依次选择【系统策略】【全局】【云点播】，点击搜索按钮，可以找到一条名为【云点播产品侧授权】的系统全局策略。如下图所示： 4. 勾选当前策略，并点击【下一步】，在【设置最小授权范围】这一页无需做任何配置，直接点击【确定】，完成本次权限配置。至此，当前子用户具备了使用云点播产品控制台的权限。 5. 打开云点播控制台，在【开发配置】【子用户授权】页面可以看到已经创建的点播实例。选择任意需要授权的实例，点击操作栏的【配置权限】，在弹出的【子用户授权】穿梭框内，将上一步授权的子用户加入已授权用户列表，点击确定即可完成授权。 注意 当前阶段，云点播尚未实现与CTIAM的全功能对接。因此，请勿使用CTIAM的用户组授权或在【新增权限】时使用【自定义策略】，或将作用范围配置为特定资源池。

操作步骤 1. 首先打开天翼云统一身份认证服务，使用您在天翼云官网注册的登陆凭证进行登陆。 2. 在进入CTIAM控制台后，在左侧的导航页内找到【用户】页。在该页中，您将能看到已经创建好的全部子用户列表。点击子用户右侧的【编辑】按钮，在弹窗中将该用户的【状态】改为【启用】。如下图所示： 3. 完成该操作后，当您使用子账号登陆用户控制台时，将可正常登陆。同时，该子用户所属的AK/SK处于正常启用状态。 注意 由于主账号冻结产生的关联冻结，无法通过本章节的方案实现解冻。您需要根据主账号的冻结原因，解除主账号的冻结状态。随后子账号会自动解冻。 子用户授权 操作步骤 1. 在进入CTIAM控制台后，在左侧的导航页内找到【用户】页。选择需要授权的子用户（注意，该用户不要归属于任意用户组）。 2. 在【操作】栏点击【查看】，可进入子用户授权配置页面。在此页点击【访问方式】，确认该子用户的【管理控制台访问】选项已经勾选上。然后在【权限管理】标签页，找到【新增权限】按钮。 3. 在【新增授权】的页面，利用组合搜索框依次选择【系统策略】【全局】【云点播】，点击搜索按钮，可以找到一条名为【云点播产品侧授权】的系统全局策略。如下图所示： 4. 勾选当前策略，并点击【下一步】，在【设置最小授权范围】这一页无需做任何配置，直接点击【确定】，完成本次权限配置。至此，当前子用户具备了使用云点播产品控制台的权限。 5. 打开云点播控制台，在【开发配置】【子用户授权】页面可以看到已经创建的点播实例。选择任意需要授权的实例，点击操作栏的【配置权限】，在弹出的【子用户授权】穿梭框内，将上一步授权的子用户加入已授权用户列表，点击确定即可完成授权。 注意 当前阶段，云点播尚未实现与CTIAM的全功能对接。因此，请勿使用CTIAM的用户组授权或在【新增权限】时使用【自定义策略】，或将作用范围配置为特定资源池。

本文主要介绍创建企业项目并授权。 创建企业项目 进入管理控制台页面，单击右上方的“企业管理”，进入企业管理页面。选择左侧导航中的“项目管理”，单击“创建企业项目”，输入名称。 说明： 开通了企业项目的客户，或者权限为企业主账号的客户才可以看到控制台页面上方的“企业”入口。如需使用该功能，请联系客服申请开通。 授权 通过为企业项目添加用户组，并设置策略，实现企业项目和用户组的关联。将用户加入到用户组，使用户具有用户组中的权限，从而精确地控制用户所能访问的项目，以及所能操作的资源。具体步骤如下： a.在新创建的企业项目所在行，单击操作列的“查看用户组”，进入“权限管理用户组”区域。单击“添加授权”，在左侧选择目标用户组，移入右侧区域。继续下一步设置策略，选择需要的云资源权限集。 b.进入“权限管理用户”页面，点击“添加授权”，选择目标用户，单击下一步，继续下一步设置策略，点击确定，完成授权过程。 关联资源与企业项目 企业项目可以将云资源按企业项目统一管理。 −购买弹性云主机时选择企业项目 在购买页面，“企业项目”下拉列表中选择目标企业项目，实现资源与企业项目关联。 −资源迁入 对于账号下的存量弹性云主机，您可以在“企业项目管理”页面将资源迁入目标企业项目。 “default”为默认企业项目，账号下原有资源和未选择企业项目的资源均在默认企业项目内。

在协同使用资源的场景下，根据实际的职责权限情况，您可以创建多个IAM用户并为其授予不同的权限，实现不同IAM用户可以分权管理不同的资源，从而提高管理效率，降低信息泄露风险。本文介绍如何创建IAM用户并授予特定权限策略，从而控制对物理机的访问。 操作步骤 创建IAM用户 具体操作，请参见统一身份认证 IAM。 创建自定义策略 天翼云提供了访问物理机服务的系统策略，更多信息，请参见“1.2权限管理”。如果系统策略不能满足需求，您还可以创建自定义策略，具体操作，请参见统一身份认证 IAM。 策略分为用户可以自行定义的自定义策略，以及预定义在平台录入的系统策略两类。 细粒度授权策略结构包括策略版本号（Version）及策略授权语句（Statement）列表。 策略版本号：Version，标识策略结构的版本号。目前为1.1. 策略授权语句：Statement，包括了基本元素：作用（Effect）和权限集（Action）。 作用（Effect）包含两种：允许（Allow）和拒绝（Deny）。 授权项（Action）是对资源的具体操作权限，支持单个或多个操作权限。 a) 脚本配置策略示例一：为IAM用户配置物理机查看者权限。 b) 脚本配置策略示例二：为IAM用户配置物理机管理员权限（代表取所有值）

Q：SDK 中输入的 desktopCode 是指什么？ A：desktopCode 是指桌面编码，用于唯一标识您的云电脑桌面实例。请注意，desktopCode 与桌面 ID 是两个不同的概念，请勿混淆，务必确认填写的是正确的桌面编码。 Q：如果我的云电脑桌面处于离线状态，是否仍然可以正常使用？ A：很抱歉，桌面处于离线状态时将无法正常接收和执行指令。请您先通过云电脑客户端或官网控制台将桌面开机并确认其处于在线运行状态后，再进行相关操作。 Q：通过 SDK 发送指令后，桌面没有任何响应，应如何排查？ A：建议您按以下步骤逐一排查： 1. 确认 SDK 指令格式是否正确，参数是否完整； 2. 检查接口返回的消息体中，是否包含成功标志（successtrue）； 3. 若上述检查均无异常，请进入目标桌面，打开「应用市场」，找到并重新安装以下两个插件：clinkagent 和 AiClientTool，安装完成后再重新发送指令。 如问题仍未解决，请联系我们的技术支持团队，并提供相关日志信息以便进一步协助排查。

本文介绍Aiuse云电脑功能的常见问题 Q：如果我的企业希望体验 Aiuse 云电脑功能，应该如何申请试用？ A：感谢您对 Aiuse 云电脑的关注！目前，您可以通过发送申请邮件至 zhangyh65@chinatelecom.cn 进行试用申请，我们的专属客服人员将在收到邮件后尽快与您联系，协助完成试用资格开通。后续也将提供自助开通渠道方便使用。 Q：开通试用后，如何获取云电脑调用工具包及开发接入指引？ A：开通试用后，您可参阅++SDK 接入指南++，其中涵盖工具包下载、环境配置及完整的开发接入说明，帮助您快速完成集成。如在接入过程中遇到问题，欢迎随时联系我们的技术支持团队。 Q：目前 AccessKey 最多可以创建多少个？绑定的云电脑数量是否有上限？ A：当前每个租户最多可创建 10 个 AccessKey，每个 AccessKey 所绑定的云电脑数量不设上限。为便于统一管理及实现数据隔离，建议为不同业务场景或团队分配独立的 AccessKey，并分别绑定对应的云电脑资源。 Q：如何将 AccessKey绑定到桌面？ A：AccessKey的绑定操作请前往++服务管理++页面进行配置，页面中提供了详细的操作步骤说明。如需进一步帮助，请参阅相关操作文档或联系客服人员。

本文介绍DMS的工单系统,使用户可以快速熟悉工单系统。 前提条件 用户已将可用实例添加至组织。添加云数据库的具体操作流程请参考添加云数据库，添加公网/直连数据库的具体操作流程请参考添加公网/直连数据库。 注意事项 基础版与企业版均包含工单系统，企业版工单系统的功能更加丰富。 重试工单和重试任务的区别：重试工单针对的是工单的整体流程，允许用户在工单状态处于预检查失败或工单异常时重新执行工单的当前流程，恢复由于预检查失败或系统异常导致中断的工单流程；重试任务针对的是工单的任务执行阶段，允许用户在工单状态处于执行失败时重新执行任务。 预检查阶段的检查项根据工单类型的不同有所差异。 工单流程中的审批过程可能根据预检查阶段的风险评级跳过，此时为免审批执行；或者根据风险评级直接中止，此时为预检查失败。 在审批结束之前均可以进行工单撤回操作，审批结束后不允许撤回。 功能介绍 工单系统用于管理敏感操作，确保敏感操作能够规范化执行。 工单类型 DMS工单系统当前支持以下类型： 数据导出 数据导入 SQL变更（仅限企业版） 数据权限（仅限企业版） 数据对比（仅限企业版） 结构对比（仅限企业版） 团队申请 数据追踪（仅限企业版） SQL审核（仅限企业版）

配置项 操作 本文示例 触发器类型 选择 对象存储 ZOS 。 对象存储ZOS 名称 填写自定义的触发器名称。 zostrigger 版本或别名 默认值为 LATEST ，如果您需要创建其他版本或别名的触发器，需先在函数详情页的 版本或别名 下拉列表选择该版本。关于版本和别名的简介，请参见 LATEST Bucket 名称 选择已创建的ZOS Bucket。 testbucket 文件前缀 输入要匹配的文件名称的前缀。建议您配置文件前缀和后缀，避免触发事件嵌套循环触发引起额外费用。此外，一个Bucket的不同触发器如果指定了相同的事件类型，则前缀和后缀不能重复。 myfolder 文件后缀 输入要匹配的文件名称的后缀。强烈建议您配置前缀和后缀，避免触发事件嵌套循环触发引起额外费用。另外，一个Bucket的不同触发器如果指定了相同的事件类型，则前缀和后缀不能重复。 zip 触发事件 选择一个或多个触发事件。关于对象存储ZOS的事件类型。本示例选择 zos:ObjectCreated:Put 。 zos:ObjectCreated:Put 委托名称 选择 CtyunServiceDelegateRoleForEb 。如果您第一次创建该类型的触发器，则需要在单击确定后，在弹出的对话框中选择立即授权。 CtyunServiceDelegateRoleForEb

函数计算权限管理通过天翼云的访问控制IAM实现。使用访问控制IAM可以让您避免与其他用户共享云账号密钥，即AccessKey（包含AccessKey ID和AccessKey Secret），按需为IAM用户分配最小权限。本文介绍函数计算的权限策略，包括系统策略、自定义策略及自定义策略示例。 策略类型 在访问控制中，权限策略是用语法和结构描述的一组权限的集合，可以精确地描述被授权的Resource（资源集）、Action（操作集）以及授权条件。函数计算包含以下权限策略： 系统策略：统一由天翼云创建，您只能使用不能修改，策略的版本更新由天翼云维护。 自定义策略：您可以自主创建、更新和删除，策略的版本更新由您自己维护。 系统策略 当您首次使用IAM用户登录函数计算控制台时，不仅需要通过天翼云账号给您的IAM用户添加访问函数计算的系统权限策略，也需要给IAM用户添加访问其他云服务的系统权限策略。成功授权后，您的IAM用户才可以正常访问函数计算服务及其他云产品服务。 系统策略包含以下类型： 权限策略名称 描述 CtyunFCReadOnlyAccess 表示允许对函数计算所有的资源进行读操作。 CtyunFCInvocationAccess 表示允许对所有函数的资源进行执行操作。 CtyunFCFullAccess 表示允许对所有函数计算资源进行所有执行操作。 自定义策略 除了函数计算默认提供的系统策略外，您也可以通过自定义策略进行更细粒度的权限管理。 Action Resource 描述 cf:inst:ListFunctions ctrn:cf:{region}:{uid}:functions/ 函数列表 cf:inst:GetFunction ctrn:cf:{region}:{uid}:functions/{functionName} 查询函数 cf:inst:CreateFunction ctrn:cf:{region}:{uid}:functions/{functionName} 创建函数 cf:inst:DeleteFunction ctrn:cf:{region}:{uid}:functions/{functionName} 删除函数 cf:inst:UpdateFunction ctrn:cf:{region}:{uid}:functions/{functionName} 更新函数 cf:inst:InvokeFunction ctrn:cf:{region}:{uid}:functions/{functionName} 调用函数 您可以通过以上自定义的权限策略设置具有调用华东1（杭州）地域下demo函数的权限，具体策略如下所示： json { "Version": "1", "Statement": [ { "Action": [ "fc:InvokeFunction" ], "Resource": "ctrn:cf:{region}:{uid}:functions/demo", "Effect": "Allow" } ] }

修改自建集群信息 如果后续您需要修改自建集群信息或查看命令，可在自建集群所在行的操作列单击“编辑”。 如果您不再需要HSS保存某个自建集群的信息，可在自建集群所在行的操作列单击“删除”。 后续操作 Agent安装完成后，请为容器开启防护，详细操作请参见开启容器版防护。

参数 是否必填 参数类型 说明 示例 下级对象 firewallId 是 String 防火墙id c7cfe772fd3f482da630132e6548a19a startTime 是 String 开始时间不为空 20241023T08:31:25Z finishTime 是 String 结束时间不为空 20241023T08:31:25Z agreement 否 Array of Strings 协议 ["UDP"] attackApp 否 Array of Longs 攻击应用 [1] sourceIp 否 String 来源ip 1.1.1.1 targetIp 否 String 目标ip 2.2.2.2 page 否 Integer 页码 1 size 否 Integer 页大小 10

参数 说明 展示粒度 选择系统报表趋势图呈现粒度。 可以选择“按小时”、“按天”、“按周”、“按月”。 时间 选择报表统计数据时间范围。 需同时选择起始时间和结束时间。 最长可选择连续的180天。 报表类型 选择报表需呈现统计数据类型。 文件格式 选择报表的文件格式，仅可选择一种格式。 默认导出DOC文件格式。 可选择PDF、DOC、XLS、HTML格式。

参数 说明 USBKey USBKey商品标识码。 关联用户 选择已配置“USBKey”多因子认证的用户帐号。 PIN码 USBKey厂商提供，与“USBKey”一一对应的唯一识别码。

参数 说明 客户信息 当时系统使用区域和可用区。 授权类型 系统默认内置“正式版”。 状态 “已激活”状态为授权许可正常使用状态。 l 单击“更新许可证”，根据系统提示，下载许可申请文件，并联系供应商申请授权许可。导入供应商已授权的许可文件，更新许可证。 l 单击“备份许可证”，下载当前系统许可证到本地保存。 说明 当资产数、用户数、并发数需求扩大，可更新授权许可证升级系统规格，对应需调整云堡垒机CPU、内存、带宽配置。 产品ID 当前系统产品ID。 授权模块 系统支持功能模块，分标准版和 专业版 。 l标准版仅包含“基础模块”。 l专业版包含“基础模块”、“自动化运维”、“数据库审计”。 − 自动化运维包括“帐户同步策略”模块、“配置备份策略”模块、“脚本管理”模块、“快速运维”模块、“运维任务”模块。 − 数据库审计支持添加数据库，通过调用本地数据库工具的方式连接到数据库，审计数据库日志记录和操作命令。 授权资源数 系统最多可添加资源数（包含主机资源和应用发布资源总数）。 授权资源并发连接数 系统不同用户可同时登录资源的协议连接数（包含主机资源和应用发布资源），即连接协议用户数与登录资源数的乘积。 过期时间 系统授权许可到期时间。

此小节介绍云堡垒机审计运维日志类常见问题。 云堡垒机可提供哪些审计日志？ 云堡垒机分别提供实例和系统审计日志。 实例审计 云堡垒机实例审计，需开启云审计服务（Cloud Trace Service，简称CTS），实现对CBH实例的操作的记录，CTS管理控制台将保存最近7天的操作记录。 系统审计 云堡垒机系统能集中管理用户登录系统，提供系统日志和系统报表。此外，CBH系统授权用户登录被纳管的资源，并进行运维操作，云堡垒机提供用户对系统和资源的运维记录，包括历史会话和运维报表。系统审计日志详细内容，请参见下表： 日志类型 日志内容 历史会话 运维会话视频：无需设置，全程录屏记录运维会话操作，可在线播放或下载操作视频。 运维会话详情：用户运维会话详情，可在线查看或导出Excel文件。详情内容包括资源会话信息 、系统会话信息 、运维记录 、文件传输 、协同会话的详细操作记录。 系统日志 以折线图的形式，从多方面呈现用户运维资源随时间变化的趋势，并可生成运维资源综合分析报告。 主要涵盖内容有“运维时间分布”、“资源访问次数”、“会话时长”、“来源IP访问数”、“会话协同”、“双人授权”、“命令拦截”、“字符命令数”和“传输文件数”。 运维报表 系统登录日志：用户登录系统的详细记录，可在线查看或导出Excel文件。 l 系统操作日志：用户系统操作的详细记录，可在线查看或导出Excel文件。 系统报表 以柱状图的形式，从多方面统计用户登录系统和系统操作次数，并可生成系统管理综合分析报告。 主要涵盖内容有“用户控制”、“用户与资源操作”、“用户源IP数”、“用户登录方式”、“异常登录”、“会话控制”和“用户状态”。

此小节介绍变更版本规格。 前提条件 已获取管理控制台的登录帐号与密码。 已为实例绑定EIP，未绑定EIP的实例不能执行变更规格操作。 已备份系统数据。 已关闭系统，并终止系统所有业务操作。 操作步骤 1. 登录管理控制台。 2. 在需变更规格的实例“操作”列，单击“更多 > 变更规格”，开始变更规格版本规格。 3. 按照变更规格变更要求，选择目标版本规格。选择目标“性能规格”，单击“立即购买”，进入“订单详情”页面。 4. 确认订单并付款。 确认订单无误后，单击“提交订单”。在支付页面，支付变更规格配置款项，完成付款。 5. 后台自动变更规格。 成功付款后，后台自动进行变更规格系统操作，整个后台变更规格过程需30min左右，请耐心等待，随时查看状态变化。 后台变更规格过程，实例的运行状态将会由“变更中”变为“正在重启”，系统重启完成实例运行状态变为“正常”。 6. 后台变更规格完成。 当实例运行状态转变为“正常”，且“实例规格”信息更新为目标版本规格，即后台变更规格完成。 此时即可正常登录云堡垒机系统，执行变更规格后验证操作。

参数 说明 策略名称 自定义的命令控制策略名称，系统内“策略名称”不能重复。 执行动作 选择策略控制用户的执行动作。 包括“断开连接”、“拒绝执行”、“动态授权”、“允许执行”。 断开连接：当会话执行策略生效的命令时，直接断开会话。 拒绝执行：当会话执行策略生效的命令时，直接拒绝命令的执行。 动态授权：当会话执行策略生效的命令时，直接拒绝命令的执行，需要向管理员提交审批，管理员通过之后才能执行。 允许执行：当会话执行策略生效的命令时，允许执行。 有效期 策略生效时间和策略的失效时间。 时段限制 限制策略的生效时间段。

参数 说明 服务器地址 输入RADIUS服务器地址。 状态 选择开启或关闭RADIUS远程认证，默认开启。 开启表示开启RADIUS认证。在配置信息有效情况下，登录系统时启动RADIUS认证。 关闭表示关闭RADIUS认证。 端口 输入RADIUS远程服务器的接入端口，默认1812端口。 认证协议 选择远程认证协议，可选择“PAP”和“CHAP”。 认证共享密钥 输入RADIUS远程服务器的认证密钥。 认证超时 输入RADIUS远程认证超时时间。 用户名 输入RADIUS服务器上用户名，用于测试配置的RADIUS服务器信息是否正确。 密码 输入RADIUS服务器上用户密码，用于测试配置的RADIUS服务器信息是否正确。 测试 单击测试，用于测试配置的RADIUS服务器信息是否正确。

批量导入资源账户 文件导入方式上传的文件类型需为csv、xls或xlsx格式的表格文件。 1. 登录云堡垒机系统。 2. 选择“资源 > 资源账户”，进入资源账户列表页面。 3. 单击界面右上角的“导入”，弹出配置界面。 4. 如果本地没有可编辑的模板，可以单击“点击下载”，下载模板文件到本地。 5. 按照模板文件中的配置项说明，填写要导入的帐户配置信息。 资源账户导入模板参数说明 参数 说明 :: 帐户 （必填）填入资源账户名称。 登录方式 选择资源登录方式。 可选择自动登录、手动登录、提权登录。 特权帐户 选择是否设置资源账户为特权帐户。 可选择是或否。 密码 填入资源账户的登录密码。 SSH Key 针对SSH协议类型主机，可填入登录SSH Key验证。 配置后优先使用SSH Key登录资源。 Passphrase 填入SSH Key对应私钥序列。 Oracle参数 针对Oracle协议类型主机，必须填入参数。 可选择SERVICENAME或SID 可填入多个参数，参数之间用“，”隔开。 SERVICENAME或SID 针对Oracle协议类型主机，必须填入参数值。 可填入多个参数值，参数值之间用“，”隔开。 登录角色 针对Oracle协议类型主机，必须填入参数。 可选择normal、sysdba、sysoper 可填入多个参数，参数之间用“，”隔开。 数据库名 针对DB2数据库，必须填入参数。 可选择数据库名、实例名。 可填入多个参数，参数之间用“，”隔开。 实例名 针对DB2数据库，必须填入参数。 可选择数据库名、实例名。 可填入多个参数，参数之间用“，”隔开。 切换自 填入一级帐户名称。 切换命令 填入切换帐户的执行命令。 AD域 针对Radmin类型应用资源，必须填入AD域地址。 帐户描述 填入对资源账户的简要描述。 关联资源名称 填入已添加到主机列表或应用列表的资源名称。 IP地址/域名 针对关联主机资源，必须填入主机资源的IP地址或域名。 类型 （必填）填入主机资源的协议类型或应用资源的应用类型。 主机资源协议类型：SSH、RDP、VNC、TELNET、FTP、SFTP、SCP、Rlogin。 应用资源应用类型： Windows服务器：MySQL Tool、Edge、FirefoxWindows、Oracle Tool、Chrome、VNC Client、SQL Server Tool、SecBrowser、VSphere Client、Radmin、dbisql、Navicat for MySQL、Navicat for PgSQL、Other。 Linux服务器：DM Tool、FirefoxLinux。 端口 针对关联主机资源，必须填入主机端口号。 帐户组 填入资源账户所属的帐户组。 资源账户可同时存在于同部门多个帐户组，不同帐户组之间用“，”隔开。 请务必确保填入系统内已创建的新建帐户组。 6. 单击“点击上传”，选择要导入的文件。 7. （可选）勾选“覆盖已有帐户”，默认不勾选。 8. （可选）勾选“验证帐户”，默认勾选。 勾选，表示当导入帐户信息时，同时验证帐户状态。 不勾选，表示当导入帐户信息时，不验证帐户状态。 9. 单击“确定”，返回资源账户列表页面，查看新增的帐户。

参数 说明 用户组 自定义组名称，系统唯一。 用户组描述 （可选）自定义对用户组的简要描述。

审批流程 用户提起工单电子流，按资源所属部门申请访问资源，审批流程如图所示。 镇管理员User D进行审批，审批通过则由县管理员User E进行下一环节的审批，审批不通过则工单被驳回。以此类推，直到市管理员User F审批通过后，用户即可获得相应的权限。审批的过程中任意一个环节驳回，则该工单审批不通过，用户不能获取相应的权限。 审批流程 实例三：建立固定流程的会签审批工单 前提条件 已完成部门、用户、角色和资源等项的规划和设置。部门设置请参考 部门概述，用户和角色设置请参考 用户概述，资源设置请参考 资源概述。 工单审批流程设置如表所示，具体操作请参考 配置工单审批流程。 工单配置参数说明 参数 内容 审批流程 固定流程 审批形式 会签审批 审批节点 3 签核流程 用户提起工单电子流，申请访问非用户所属部门的资源，审批流程如图所示。 工程部管理员User B和User C均拥有审批权，两者都批准则该环节审批通过，任意一人驳回则该环节审批不通过。工程部管理员审批通过后，下一环节将由财务部管理员User D进行审批，以此类推，直到财务部管理员User E审批通过后，用户即可获得相应的权限。审批过程中任意一个环节驳回，则该工单审批不通过，用户不能获取相应的权限。 会签审批流程

参数 说明 策略名称 自定义的数据库控制策略名称，系统内“策略名称”不能重复。 执行动作 策略控制用户在数据库的执行动作。 包括“断开连接”、“拒绝执行”、“动态授权”、“允许执行”。 断开连接：当数据库运维会话执行策略生效的命令时，直接断开会话。 拒绝执行：当数据库运维会话执行策略生效的命令时，直接拒绝命令的执行。 动态授权：当数据库运维会话执行策略生效的命令时，直接拒绝命令的执行，需要向管理员提交审批，管理员通过之后才能执行。 允许执行：当数据库运维会话执行策略生效的命令时，允许执行。 有效期 策略生效时间和策略的失效时间。 时间限制 限制策略的生效时间段。