如果您需要新增分类分级模板请参考此章节操作。 数据安全中心DSC默认内置一个识别模板，同时支持通过复制模板来自定义新的识别模板。 约束条件 创建识别模板后不支持删除模板，且一个帐号最多可创建20个识别模板。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择选择“安全 > 数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中选择“敏感数据识别 > 识别配置”，进入识别模板页签。 5. 在目标模板单击“复制”，在复制模板弹框中填写“新模板名称”和“描述”。 6. 单击“确定”。 相关操作 单击“设为默认”，可将该模板设置为默认模板。 单击模板“概览”查看模板分类分级详情。

此小节介绍设置邮件通知。 开启邮件通知后，当数据库设置的告警事件发生或生成报表时，您可以收到告警或报表生成的通知邮件。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 操作步骤 1. 登录管理控制台。 2. 单击右上角的 ，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全审计“总览”界面。 4. 在左侧导航树中，选择“设置”，进入设置界面。 5. 在“选择实例”下拉列表框中，选择需要设置邮件通知的实例。 6. 设置邮件通知，如下图所示，相关参数说明如下表所示。 参数名称 说明 取值样例 邮件通知 开启或关闭邮件通知。数据库安全审计默认开启邮件通知，当数据库发生设置的告警事件或生成报表时，数据库安全审计将发送通知邮件。：开启：关闭 收件人 输入收件人的邮箱地址。 抄送人 可选参数。输入抄送人的邮箱地址。 7. 单击“应用”。

安全可靠性高 提供与公共互联网隔离的网络数据传输环境，线路不连接，不经过互联网，杜绝公网IP攻击，安全性高。 高带宽低时延 专线末端提供光纤PON或LAN方式专线入云解决方案，网络延时低；带宽最高可达100M/1000Mbps，满足用户大量数据的稳定传输需求。 线上自主受理 用户可在云网通产品页自助开通受理，方便用户设计网络规划，减少方案沟通环节，专线工程人员将在线下进行物理线路接入及调试。目前支持福建电信客户，其它省份客户请至当地中国电信营业厅办理。

此小节介绍数据库审计的产品定义。 数据库审计（DBAudit），提供旁路模式数据库安全审计服务功能，通过实时记录用户访问数据库行为，形成细粒度的审计报告，对风险行为和攻击行为进行实时告警。同时，数据库安全审计可以生成满足数据安全标准（例如SarbanesOxley）的合规报告，对数据库的内部违规和不正当操作进行定位追责，保障数据资产安全。 支持的数据库类型 数据库协议 数据库类型 国产数据库协议 DM、GBase、Kingbase、OSCAR、 KDB、 OceanBase、PolarDB、PolarDBX、 TiDB、 AnalyticDB、GaussDB、HighGo DB、Percona、Vastbase、teleDBMySQL、teleDBPostgreSQL。 主流数据库协议 Oracle 、MySQL 、DB2、SQL server 、PostgreSQL、Informix、MariaDB、Sybase ASE、Teradata、Sybase IQ、HANA、libra、Vertica、Clickhouse。 非关系协议 MongoDB、Redis、Graphbase、ArangoDB、OrientDB、Neo4j。 大数据协议 Hive 、Hbase(Thrift)、Hbase(Protobuf)、Spark SQL(RESTful)、Spark SQL(Thrift)、GreenPlum、Cassandra、Impala、SSDB、HDFS、TDSQLC、TBase 、MAX COMPUTE。

本章节主要介绍翼MapReduce集群组件使用规则。 Kafka支持四种协议类型的访问，分别为：PLAINTEXT、SSL、SASLPLAINTEXT、SASLSSL。当前，翼MR集群默认采用Kerberos安全验证服务，Kafka协议类型建议使用SASLPLAINTEXT、SASLSSL这两种。

本节简要介绍访问控制。 访问控制（Identity and Access Management，简称IAM）是OOS为用户提供的用户身份与权限管理服务，您可以使用IAM创建、管理用户账号，并对这些账号进行权限分配，方便资源管理。 天翼云账号管理员可以： 创建、管理子用户账号。 控制子用户账号内资源具有的操作权限。 按需为子用户分配不同权限，从而避免与其他子用户共享资源使用、访问密钥的使用等，降低账号的信息安全风险。 多重身份认证：通过多因子操作认证（MFA），在进行IAM相关操作时，可以使用MFA，为操作增加一份安全保障。

统一身份认证IAM介绍 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他账号管理资源等。 使用前您需了解常用的基本概念，包括：帐号、IAM用户、用户组、身份凭证、授权、权限、项目、委托、身份凭证等，详细请查看：术语解释。 IAM应用场景 IAM策略主要面向对同租户帐号下，对不同IAM用户授权的场景： 您可以为不同操作人员或应用程序创建不同IAM用户，并授予IAM用户刚好能完成工作所需的权限，比如文件系统的查看权限，进行最小粒度授权管理。 新创建的IAM用户可以使用自己的用户名和密码登录云服务平台，实现多用户协同操作时无需分享帐号的密码的安全要求。 场景实例说明请查看：入门说明。 操作步骤 关于IAM功能的操作步骤请参见快速入门统一身份认证（一类节点）。 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素"Action""Effect"等更多信息。 系统策略 ：预置的系统策略，您只能使用不能修改，具体说明请查看系统策略。 弹性文件服务预置的系统策略包含如下： sfs admin：弹性文件服务的管理者权限，包含弹性文件服务所有控制权限（不包含订单类权限）。 sfs viewer：弹性文件服务的观察者权限，包含弹性文件服务的列表页与详情页页面权限。 自定义策略 ：您按需自行创建和维护的权限策略，关于自定义策略的操作和示例，请参见创建自定义策略。

本章介绍通过内网使用弹性云主机连接云数据库GaussDB 实例。 准备工作 云数据库GaussDB 提供gsql工具帮助您在命令行下连接数据库，您需要提前创建一台弹性云主机用于安装gsql工具。具体请参见《弹性云主机用户指南》。 须知 操作系统需要选择Euler操作系统。gsql支持的操作系统版本如下： X86：EulerOS V2.0SP5。 设置安全组规则 在访问数据库前，您需要将访问数据库的IP地址，或者IP段加入安全组入方向的访问规则，操作请参见设置安全组规则。 远程连接数据库 步骤 1 登录申请的弹性云主机。 步骤 2 在申请的弹性云主机上，上传客户端工具包并配置gsql的执行环境变量。 1. 以root用户登录客户端机器。 2. 创建“/tmp/tools”目录。 mkdir /tmp/tools 3. 获取云数据库GaussDB 软件包并解压。 unzip GaussDBopengaussclienttools.zip 4. 根据申请的弹性云主机的操作系统架构进入不同目录，获取“GaussDBKernelxxxEULER64bitgsql.tar.gz”，并上传到申请的弹性云主机“/tmp/tools”路径下。 说明 软件包相对位置为安装时所放位置，根据实际情况填写。 5. 解压文件。 cd /tmp/tools tar zxvf GaussDBKernelxxxEULER64bitgsql.tar.gz xxx为版本号，请根据实际情况替换。 6. 设置环境变量。 打开“~/.bashrc”文件。 vi ~/.bashrc 按下i键进入INSERT模式，在其中输入如下内容后，单击“ESC”退出编辑模式，使用“:wq!”命令保存并退出。 export PATH/tmp/tools/bin:$PATH export LDLIBRARYPATH/tmp/tools/lib:$LDLIBRARYPATH 使环境变量配置生效。 source ~/.bashrc 步骤 3 执行如下指令，根据提示输入密码，连接数据库。 数据库创建成功后，会默认生成名称为postgres的数据库，此处以postgres库为例。 gsql d postgres h 10.0.0.0 U root p 8000 Password for user root: postgres为需要连接的数据库名称，10.0.0.0分布式为CN的IP地址，主备版为主DN的IP地址，root为登录数据库的用户名，8000为CN的端口号。

本文将向您介绍如何使用边缘安全加速平台安全与加速服务提供的IP情报规则功能。 功能介绍 支持针对已维护的IP信誉库，从威胁类型维度（IDC服务器、傀儡机、漏洞利用等十几类）进行IP封禁，目前IP信誉库已维护接近120万条数据。 注意 目前控制台尚未开放IP情报规则功能，如有防护需求请通过 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 开通Web应用防火墙（边缘云版）扩展服务Bot管理，支持使用Bot防护策略，具体请见套餐和版本说明 背景信息 目前天翼云WAF通过大数据分析技术，并基于内置的评分机制对历史攻击数据进行威胁评定，生成IP信誉库，其中恶意IP包含了漏洞利用、扫描机、傀儡机、垃圾邮件、可疑、失陷主机、暴力破解、代理、远控、僵尸网络、劫持、钓鱼、恶意软件13种威胁类型，统计IP数量接近120万。 设置IP情报规则 支持通过威胁类型维度针对恶意IP进行监控或拦截的操作，支持配置多条防护规则 配置项 说明 开关 控制规则为开启/关闭状态 处理动作 支持配置拦截或监控 拦截：对IP访问请求进行拦截处理； 监控：不对请求拦截，但是会生成攻击日志 规则名称 支持设置规则名称 防护范围 将通过选择IP可信度、严重级别、威胁类型来配置IP情报防护规则，对同时满足三个配置的IP处理 可信度：即情报的可信度，针对已收录的IP情报，边缘云WAF安全团队将基于内置评分机制进一步验证，根据验证结果评定可信程度为高中低； 严重级别：恶意IP的严重级别，有严重、高、中、低； 威胁类型：漏洞利用、扫描机、傀儡机、垃圾邮件、可疑、失陷主机、暴力破解、代理、远控、僵尸网络、劫持、钓鱼、恶意软件，支持多选

本章节主要介绍数据治理中心DataArts Studio如何创建IAM用户并授予DataArts Studio权限。 创建IAM用户并授予DataArts Studio权限 如果您需要对您所拥有的DataArt Studio进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）。通过IAM，您可以： 根据企业的业务组织，在您的云帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用DataArts Studio资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将DataArts Studio资源委托给更专业、高效的其他云帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。 如果云帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用DataArts Studio服务的其它功能。 本章节为您介绍对用户授权的方法，操作流程如操作步骤所示。 背景信息 给用户组授权之前，请您了解用户组可以添加的DataArts Studio工作空间角色权限，并结合实际需求进行选择。 约束与限制 DAYU User系统角色为用户提供了实例及工作空间和依赖服务的相关权限，具体工作空间内的业务操作权限由工作空间角色提供。 IAM提供了以下两种授权机制。注意，DataArts Studio仅支持其中的IAM角色方式，不支持IAM策略。 − IAM角色 ：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。传统的IAM角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 − IAM策略 ：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。

信封加密方式，是一种加密手段，将加密数据的数据密钥封入信封中存储、传递和使用，不再使用用户主密钥直接加解密数据。 信封加密方式优势如下： 相对于KMS提供的另一种加密方式：KMS用户主密钥直接加密 使用KMS用户主密钥直接加密：是通过KMS界面使用在线工具加解密数据，或者调用KMS的API接口使用指定的用户主密钥直接加密、解密数据。 使用KMS用户主密钥直接加解密数据仅适用于不大于4KB的小数据加解密场景；而信封加密方式可以在本地对大量数据进行加解密。 信封加密方式加解密数据，只需要传输数据加密密钥到KMS服务端，无需通过网络传输大量数据。 相对于直接加解密的云服务 安全性 由云服务直接为用户加解密数据：通过因特网将敏感信息从客户手中传递到服务的过程中会存在诸多风险，例如：窃听、钓鱼。 信封加密方式：KMS通过使用硬件安全模块HSM保护密钥的安全，所有的用户密钥都由HSM中的根密钥保护，避免密钥泄露。 信任和可信证明 由云服务直接为用户加解密数据：信任和可信证明较难做。用户不一定信任云服务，愿意上传如此敏感的数据；云服务也难以证明自己不会误用和泄露这些数据。 信封加密方式：KMS对密钥的所有操作都会进行访问控制及日志跟踪，提供所有密钥的使用记录，满足审计和合规性要求。 性能、成本 由云服务直接为用户加解密数据：大量数据需要通过安全信道传递到服务端，加密后再返回给用户，这一过程，对用户服务的性能影响很大。另外，大量的移动数据会带来巨大的成本。 信封加密方式：可以通过KMS的密码运算API在线生成数据密钥，用离线数据密钥在本地加密大量数据。

本章节介绍关系型数据库如何绑定和解绑公网IP。 操作场景 关系型数据库实例创建成功后，默认未开启公网访问功能（即未绑定弹性公网IP）。关系型数据库服务支持用户绑定弹性公网IP，在公共网络来访问数据库实例，绑定后也可根据需要解绑。 注意 为保证数据库可正常访问，请确保数据库使用的安全组开通了相关端口的访问权限，假设数据库的访问端口是8635，那么需确保安全组开通了8635端口的访问。 注意事项 公网访问会降低实例的安全性，请谨慎选择。为了获得更快的传输速率和更高的安全级别，建议您将应用迁移到与您的关系型数据库在同一区域的弹性云主机上。 前提条件 用户需要在VPC申请一个弹性公网IP。 只有主实例和只读实例才能绑定弹性公网IP。 对于已绑定弹性公网IP的实例，需解绑后，才可重新绑定其他弹性公网IP。 说明 部分已创建实例暂不支持该功能，因为其连接地址的创建方式不支持绑定弹性公网IP。 绑定弹性公网IP 1、登录管理控制台。 2、单击管理控制台左上角的，选择区域和项目。 3、选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 4、在“实例管理”页面，选择指定的实例，单击实例名称，进入实例基本信息页面。 5、选择“弹性公网IP”页面，单击“绑定弹性公网IP”。 6、在弹出框的EIP地址列表中，显示“未绑定”状态的EIP，选择所需绑定的EIP，单击“确定”，提交绑定任务。如果没有可用的EIP，单击“查看弹性公网IP”，获取EIP。 7、在“弹性公网IP”页面，查看绑定成功的EIP。 您也可以在“任务中心”页面，查看绑定弹性公网IP任务的执行进度及结果。

本节介绍了管理实例白名单的相关内容。 由于Redis 3.0和Redis 4.0及以上版本实例的部署模式不一样，DCS在控制访问缓存实例的方式也不一样，差别如下： Redis 3.0：通过配置安全组访问规则控制，不支持白名单功能。安全组配置操作，具体请参考安全组配置和选择。 Redis 4.0及以上版本：不支持安全组，只支持通过白名单控制。 本章节主要介绍如何管理Redis 4.0及以上版本实例的白名单，如果需要指定的IP地址才能访问实例，您需要将指定的IP地址加入到实例白名单中。如果实例没有添加任何白名单或停用白名单功能，所有与实例所在VPC互通的IP地址都可以访问该实例。 创建白名单分组 步骤 1 登录分布式缓存服务管理控制台。 步骤 2 在管理控制台左上角单击 ，选择区域和项目。 步骤 3 单击左侧菜单栏的“缓存管理”，进入实例信息页面。 步骤 4 单击需要创建白名单的DCS缓存实例名称，进入该实例的基本信息页面。 步骤 5 单击"实例配置>白名单配置"页签，然后单击“创建白名单分组”。 步骤 6 在弹出的“创建白名单分组”页面，设置“分组名”和“IP地址/地址段”。 表 创建白名单参数说明 参数名称 参数说明 示例 分组名 实例的白名单分组名称。 每个实例支持创建4组白名单。 DCStest IP地址/地址段 每个实例最多可以添加20个IP地址/地址段。如果有多个，可以用逗号分隔。 不支持的IP和地址段：0.0.0.0和0.0.0.0/0 10.10.10.1,10.10.10.10 步骤 7 设置完之后，单击“确定”。 创建成功之后默认开启白名单功能，只有该分组白名单中的IP地址才允许访问实例。 说明 在白名单列表，您可以单击“编辑”修改该分组下的IP地址/地址段。或者单击“删除”，删除该白名单分组。 开启白名单功能后，您可以单击白名单列表左上角的“停用白名单”，让所有与实例VPC相通的IP都能访问该实例。 结束

配置类型 配置名称 基础配置 区域、可用分区、节点规格、集群名称、数据库端口、虚拟私有云、子网、安全组、公网访问、企业项目。 高级配置 当配置为“自定义”时，设置以下参数： 标签：如果原集群开启了“加密数据库”，可设置“密钥名称”。

本章介绍如何修改SQL Server数据库实例的参数组。 最佳实践概述 场景描述 概述：SQL Server是老牌商用级数据库，成熟的企业级架构，轻松应对各种复杂环境。一站式部署、保障关键运维服务，大量降低人力成本。根据华为国际化安全标准，打造安全稳定的数据库运行环境。被广泛应用于政府、金融、医疗、教育和游戏等领域。 典型行业：互联网企业、政府、医疗、金融 适配场景：企业级架构 方案优势 高安全性 弹性扩容 高可靠性 前提条件 需搭配开通ECS等产品 资源规划 网络资源规划 资源类型 配置项 配置明细 说明 :::: 区域 区域 西安2 本最佳实践全部资源部署在西安2资源池 专有网络VPC 状态 新购 云上选择专有网络（VPC）以保障安全性。 选择离原系统公网 IP 近的云上区域减少网络延迟。 选择资源丰富、离用户近的区域保障项目顺利实施。 网络规划留足可用 IP 数即可。 专有网络VPC VPC名 vpcvsfl 云上选择专有网络（VPC）以保障安全性。 选择离原系统公网 IP 近的云上区域减少网络延迟。 选择资源丰富、离用户近的区域保障项目顺利实施。 网络规划留足可用 IP 数即可。 专有网络VPC 网段 192.168.0.0/16 云上选择专有网络（VPC）以保障安全性。 选择离原系统公网 IP 近的云上区域减少网络延迟。 选择资源丰富、离用户近的区域保障项目顺利实施。 网络规划留足可用 IP 数即可。 弹性计算资源规划 资源类型 配置项 配置明细 说明 :::: ECS ECS名称 ecsbendi 自定义，易理解可识别 ECS 规格 通用计算增强型 c3.large.2 2vCPUs 4GiB 本示例中选择的规格。实际选择的规格需要结合业务场景选择，请参考弹性云服务器的实例规格。 ECS 操作系统 Windows 2016 ECS 系统盘 通用型SSD 40GiB 数据库资源规划 资源类型 配置项 配置明细 说明 :::: RDS RDS实例名 rds8c73 自定义，易理解可识别 RDS 数据库版本 SQL Server 2012标准版 本示例中为单机。实际使用时，为提升业务可靠性，推荐选择主备RDS实例。 RDS 实例类型 单机 RDS 存储类型 SSD RDS 可用区 可用区1 本示例中未单机，实际业务场景推荐选择主备RDS实例，此时建议将两个实例创建在不同的可用区，提升业务可靠性。 RDS 规格 2 vCPUs 4 GB

本节介绍了SSH密钥方式登录的操作场景、前提条件、本地使用Windows操作系统登录流程、本地使用Linux操作系统登录流程、后续处理。 操作场景 本节操作介绍在Windows和Linux环境中使用SSH密钥对方式远程登录Linux云主机的操作步骤。 前提条件 已获取创建该弹性云主机时使用的密钥对私钥文件。 弹性云主机已经绑定弹性IP，绑定方式请参见查看弹性云主机详细信息。 已配置安全组入方向的访问规则，配置方式请参见 配置安全组规则。 使用的登录工具（如PuTTY）与待登录的弹性云主机之间网络连通。例如，默认的22端口没有被防火墙屏蔽。 本地使用Windows操作系统 如果您本地使用Windows操作系统登录Linux弹性云主机，可以按照下面方式登录弹性云主机。 方式一：使用PuTTY登录 我们以PuTTY为例介绍如何登录弹性云主机。使用PuTTY登录弹性云主机前，需要先将私钥文件转化为.ppk格式。 1. 判断私钥文件是否为.ppk格式。 − 是，执行7。 − 否，执行2。 2. 在以下路径中下载PuTTY和PuTTYgen。 说明 PuTTYgen是密钥生成器，用于创建密钥对，生成一对公钥和私钥供PuTTY使用。 3. 运行PuTTYgen。 4. 在“Actions”区域，单击“Load”，并导入创建弹性云主机时保存的私钥文件。导入时注意确保导入的格式要求为“All files ( . )”。 5. 单击“Save private key”。 6. 保存转化后的私钥到本地。例如：kp123.ppk 7. 双击“PUTTY.EXE”，打开“PuTTY Configuration”。 8. 单击“Session”，在“Host Name (or IP address)”下的输入框中输入弹性云主机的弹性IP。 图 配置弹性IP 9. 选择“Connection > data”，在Autologin username处输入镜像的用户名。 说明 使用“SSH密钥方式”登录弹性云主机时： 如果是“CoreOS”的公共镜像，镜像的用户名为“core”。 如果是“非CoreOS”的公共镜像，镜像的用户名为“root”。 10. 选择“Connection > SSH > Auth”，在最下面一个配置项“Private key file for authentication”中，单击“Browse”，选择6转化的密钥。 11. 单击“Open”。 登录弹性云主机。 方式二：使用Xshell登录 1. 打开Xshell工具。 2. 通过弹性IP，执行以下命令，SSH远程连接弹性云主机。 ssh 用户名@弹性IP 说明 使用“SSH密钥方式”登录弹性云主机时： 如果是“CoreOS”的公共镜像，镜像的用户名为“core”。 如果是“非CoreOS”的公共镜像，镜像的用户名为“root”。 3. （可选）如果系统弹窗提示“SSH安全警告”，此时需单击“接受并保存”。 图 SSH安全警告 4. 选择“Public Key”，并单击“用户密钥(K)”栏的“浏览”。 5. 在“用户密钥”窗口中，单击“导入”。 6. 选择本地保存的密钥文件，并点击“打开”。 7. 单击“确定”，登录弹性云主机。

镜像服务(IMS)是弹性云主机实例可选择的运行环境模板,一般包括操作系统和预装软件。镜像服务包括公共镜像、私有镜像、共享镜像、安全产品镜像、应用镜像。通过镜像用户可以在云主机实例上实现应用场景的快速部署。

防盗链 提供多种防盗链机制，以防止内容资源被非法站点下载盗用。 支持配置Referer黑白名单，通过HTTP协议的Referer机制对访问者身份进行识别和过滤。 基于AK/SK安全认证，对每次访问资源进行鉴权，有效保护视频资源。

本节介绍大模型安全护栏的API使用说明。 OpenAPI门户提供了产品的API 文档、API调试、SDK中心等。 关于用户如何使用API的详细介绍，请参见API文档。您可以在OpenAPI门户可以了解到具体的调用前必知、API概览、如何调用API以及具体的API的接口详细说明。

本文介绍安全加速省分编码 省份 省份编码 :: 安徽 340000 浙江 330000 上海 310000 江苏 320000 福建 350000 山东 370000 广东 440000 广西 450000 海南 460000 江西 360000 河南 410000 湖南 430000 湖北 420000 辽宁 210000 吉林 220000 黑龙江 230000 陕西 610000 甘肃 620000 青海 630000 宁夏 640000 新疆 650000 北京 110000 天津 120000 河北 130000 山西 140000 内蒙古 150000 重庆 500000 四川 510000 贵州 520000 云南 530000 西藏 540000 香港 810000 澳门 820000 台湾 710000

本文介绍HTTPS定义及配置方法。 功能介绍 HTTP协议以明文方式发送内容，不提供任何方式的数据加密。HTTPS协议是以安全为目标的HTTP通道，简单来说，HTTPS是HTTP的安全版，即将HTTP用SSL/TLS协议进行封装，HTTPS的安全基础是SSL/TLS协议。 在天翼云直播控制台开启HTTPS协议，将实现客户端和天翼云直播加速节点之间请求的HTTPS加密。如果想要实现全链路HTTPS传输，则需要在直播加速节点配置HTTPS协议回源（源站服务器需支持HTTPS协议）。 HTTPS请求的基本流程： 1. 客户端以HTTPS协议请求直播加速节点。 2. 直播加速节点将相应的SSL证书公钥发送给客户端。 3. 客户端验证对应证书公钥是否正确，如果正确则生成一个密钥，并使用公钥进行加密，再发送给直播加速节点。 4. 直播加速节点使用对应私钥进行解密，得到密钥。 5. 直播加速节点使用对应密钥对传输的数据加密。 6. 客户端使用对应密钥对直播加速节点传输的加密数据进行解密，从而获取相应数据。 注意事项 域名进行HTTPS配置前，需已在直播控制台上传域名对应的SSL证书。证书上传路径请参见：新增证书。 只有拉流域名支持配置HTTPS。 配置说明 以推拉流场景下的拉流域名为例，操作步骤如下。 1. 登录直播控制台。 2. 在域名列表页面，单击域名操作列表中的【编辑】。 3. 单击【HTTPS配置】。 4. 开启【Https开关】。 5. 选择域名对应的有效证书，并单击页面右下方的【提交保存】。 参数 说明 Https开关 停用：即关闭HTTPS。启用：即开启HTTPS，需要上传HTTPS证书。 证书备注名 选定正确的证书与所配置的域名进行关联。说明：需要先上传相关证书。 HTTPS证书上传 可单击【证书备注名】下拉框下方的【点击上传】按钮，自助添加证书。 支持的tls协议 支持自助配置tls协议。如果未配置，则默认支持所有选项中的协议。

本文介绍了实例的风险监控相关说明。 RDSPostgreSQL提供多维度的监控指标和敏感操作保护，帮助您监控安全风险。 监控指标 RDSPostgreSQL提供基于云监控服务的资源监控能力，帮助您实时监控数据库实例，及时发现异常并自动告警或通知相关运维人员。 帮助您实时掌握实例运行过程中产生的运行指标和存储用量等信息，方便您预判风险及时处理。 关于RDSPostgreSQL支持的监控指标，以及如何创建监控告警规则等内容，请参见支持的监控指标。 敏感操作保护 RDSPostgreSQL管理控制台支持敏感操作保护，开启后执行删除数据库敏感操作时，系统会进行二次确认，进一步保证数据库实例配置和数据的安全性。

此章节为您介绍数据库审计购买常见的问题。 每个资源池最多支持购买几个数据库审计实例？ 根据你购买的数据库审计版本而决定。 标准版：3个 高级版：6个 企业版：12个 旗舰版：30个 如何为数据库审计实例续费？ 在数据库审计实例到期前，用户可以通过续费操作继续使用数据库审计。 续费步骤 1.登录天翼云控制台。 2.选择“安全 > 数据库审计”，进入数据库审计实例管理页面。 3.在待续费的数据库审计实例的“操作”列，选择“更多 > 续订”。 4.在续费页选择续订时长。 5.确认订单无误并阅读《天翼云数据库审计产品服务协议》后，勾选“我已阅读并同意《天翼云数据库审计产品服务协议》”，单击“提交订单”。 6.在后续操作中完成支付即可正常续费数据库审计。 如何退订数据库审计实例？ 1.登录天翼云控制台。 2.选择“安全 > 数据库审计”，进入数据库审计实例管理页面。 3.在待退订的数据库审计实例的“操作”列，选择“更多 > 退订”。 4.在弹出的对话框中单击“确定”。 5.在“退订申请”页面中选择退订原因和确认后，单击“退订”，即完成数据库审计实例的退订。

Agent添加完成后，您还需要下载Agent，并根据Agent的添加方式在数据库端或应用端安装Agent。 每个Agent都有唯一的AgentID，是Agent连接数据库安全审计实例的重要密钥。若您将添加的Agent删除，在重新添加Agent后，请重新下载Agent。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 数据库已成功添加Agent。 操作步骤 1. 登录管理控制台。 2. 单击右上角的，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全防护实例列表界面。 4. 在左侧导航树中，选择“数据库安全审计 > 数据库列表”，进入数据库列表界面。 5. 在“选择实例”下拉列表框中，选择需要下载Agent的数据库所属的实例。 6. 单击“数据库列表”列表页面下方的展开Agent的详细信息，在Agent所在行的“操作”列，单击“下载agent”。将Agent安装包下载到本地。 请根据安装Agent节点的操作系统类型，选择下载相应的Agent安装包。 Linux操作系统 在“操作系统”为“LINUX64”的数据库中下载Agent安装包 Windows操作系统 在“操作系统”为“WINDOWS64”的数据库中下载Agent安装包

防火墙网络及策略配置完毕后，需要进行网络割接，把防火墙嵌入南北向流量，才能实现安全检测防御。割接工作主要包括弹性IP迁移，割接过程网络会中断。本小节介绍安全专区云防火墙网络割接方法。 网络割接 云防火墙通过私有IP地址（或虚拟IP地址）与业务的弹性公网IP绑定，并通过服务器映射接入业务网络链路。 弹性IP迁移 1.如果弹性IP已经绑定在业务主机，进入【天翼云控制中心】→【弹性云主机】，点击绑定弹性IP的业务云主机，进入【弹性IP】→【绑定弹性IP】，把弹性IP从业务云主机解绑。 2.点击云防火墙云主机（AQZQAF），进入【弹性IP】→【绑定弹性IP】，将弹性IP重新绑定到防火墙云主机的NIC1主网卡上。（表示主机名称） 3.如有多个弹性IP地址，请通过云防火墙的虚拟IP地址绑定，点击（AQZQAF）的云主机，进入【网卡】→【管理虚拟IP地址】→【绑定弹性IP】。 配置VPC路由 进入【控制中心】→【虚拟私有云】→【路由表】→【添加路由信息】。 目的地址：0.0.0.0/0； 下一跳地址：填写云防火墙eth0的IP地址。 网络测试 从业务服务器Ping互联网IP，测试是否可以Ping通，确认防火墙割接完成。

镜像服务(CTIMS,Image Management Service)是弹性云主机实例可选择的运行环境模板,一般包括操作系统和预装软件。镜像服务包括公共镜像、私有镜像、共享镜像、安全产品镜像、应用镜像。通过镜像用户可以在云主机实例上实现应用场景的快速部署。

sectionbd4d673de698b223)。 7. 选择套餐产品购买的规格/版本、数量，以及是否购买资源扩展包及资源扩展包数量。规格详细说明请参见产品版本规格。 说明 在“二类节点”区域（云等保专区支持的区域请参见支持的区域），除“云安全中心v2.0、主机安全v2.0、Web应用防火墙v2.0 SaaS版”外，购买其他原子能力时还需要单独购买不同原子能力配置的云主机（详细价格请参见云主机价格），并合计原子能力一起计费，统一下单。 系统预设了云主机的默认配置，如需调整，可单击“自定义”修改主机规格、系统盘、数据盘，系统盘和数据盘不能低于系统要求的最低限制，详情见购买页面。 8. 查看并配置云等保专区管理节点的云主机规格。单击“自定义”，可以修改管理节点的云主机配置。 说明 在“二类节点”区域（云等保专区支持的区域请参见支持的区域），除“云安全中心v2.0、主机安全v2.0、Web应用防火墙v2.0 SaaS版”外，购买其他原子能力时还需要单独购买云等保专区管理节点的云主机资源（详细价格请参见云主机价格），并合计原子能力一起计费，统一下单。 该管理节点将为该账户下同一VPC中所有云等保服务提供访问服务，在服务退订完之前，请勿删除，否则将无法访问该服务。当VPC下所有服务均退订后，请尽快删除该管理节点，避免持续收费。 9. （可选）填写交付联系方式。 说明 为保障产品顺利交付，天翼云提供免费交付服务，请提供交付联系方式，订购完成后，天翼云安全专家会与您取得联系。 10. 选择购买时长。 云等保专区仅支持“包年包月”计费模式。 11. 确认配置信息无误后，阅读并接受相关服务协议，单击“立即购买”下单。

参数 参数类型 说明 示例 下级对象 agentIp String 内网IP 192.168.1.1 publicIp String 公网IP 192.168.1.1 custName String 主机名称 test hostName String 实例名称 test displayName String 实例名称 test osType String 操作系统类型 Windows bgGroupName String 所属分组全路径 事业部xx/产品线 agentStateCode String Agent状态 在线/离线 在线 agentGuid String agentGuid 11111111 hostId Integer 主机ID 1 type String 服务器类型：vm 虚机；pm 物理机 vm guardStatus String 防护状态 防护中/未防护 1 regionName String 地域 华东1 sshRisk Integer 入侵检测风险数 0 vulRisk Integer 漏洞扫描风险数 0 wpRisk Integer 网页防篡改风险数 0 scaRisk Integer 安全基线风险数 0 virusRisk Integer 病毒风险数 0 riskStatus String 风险状态 无风险/未知/风险 1 quotaVersion Integer 配额版本 1基础版 2企业版 3旗舰版 1 agentStateCodeCode String Agent状态 12在线 13离线 12 guardStatusCode Integer 防护状态 1防护中 4未防护 1 riskStatusCode Integer 风险状态 1无风险 2未知 3风险 1 osTypeCode String 操作系统类型 Windows bgGroupId String 业务分组id BG0001 serverStatus String 服务器状态 4已关机 5运行中 40其他 5 baselineCheckCount Integer 基线检查风险数量 0 vulnerabilityScanCount Integer 漏洞扫描风险数量 0 securityAlertCount Integer 安全告警风险数量 0 agentVersion String agent版本 5.1.1 needUpgrade Boolean 是否需要升级 true upgradeCommand String 升级命令 curl k s L ' bash macAddr Array of Strings macAddr ["11111111"] proxyAddress String 代理地址，安装agent时，用户可配置自己的代理服务，转发agent请求到安全卫士到后台 169.254.169.254

参数 参数类型 说明 示例 下级对象 agentIp String 内网IP 192.168.1.1 publicIp String 公网IP 192.168.1.1 custName String 主机名称 test hostName String 实例名称 test displayName String 实例名称 test osType String 操作系统类型 Windows bgGroupName String 所属分组全路径 事业部xx/产品线 agentStateCode String Agent状态 在线/离线 在线 agentGuid String agentGuid 11111111 hostId Integer 主机ID 1 type String 服务器类型：vm 虚机；pm 物理机 vm guardStatus String 防护状态 防护中/未防护 1 regionName String 地域 华东1 sshRisk Integer 入侵检测风险数 0 vulRisk Integer 漏洞扫描风险数 0 wpRisk Integer 网页防篡改风险数 0 scaRisk Integer 安全基线风险数 0 virusRisk Integer 病毒风险数 0 riskStatus String 风险状态 无风险/未知/风险 1 quotaVersion Integer 配额版本 1基础版 2企业版 3旗舰版 1 agentStateCodeCode String Agent状态 12在线 13离线 12 guardStatusCode Integer 防护状态 1防护中 4未防护 1 riskStatusCode Integer 风险状态 1无风险 2未知 3风险 1 osTypeCode String 操作系统类型 Windows bgGroupId String 业务分组id BG0001 serverStatus String 服务器状态 4已关机 5运行中 40其他 5 baselineCheckCount Integer 基线检查风险数量 0 vulnerabilityScanCount Integer 漏洞扫描风险数量 0 securityAlertCount Integer 安全告警风险数量 0 agentVersion String agent版本 5.1.1 needUpgrade Boolean 是否需要升级 true upgradeCommand String 升级命令 curl k s L ' bash macAddr Array of Strings macAddr ["11111111"] proxyAddress String 代理地址，安装agent时，用户可配置自己的代理服务，转发agent请求到安全卫士到后台 169.254.169.254

本文帮助您快速了解如何在可用区资源池VPC中部署多个龙虾云主机。 背景信息 OpenClaw（“龙虾”，曾用名：Clawdbot、Moltbot）是一款开源、本地优先、可自主执行任务的AI智能体（Agent）框架，用户可通过微信、QQ、飞书等即时通讯工具作为交互界面与系统对接，便捷自然的实现与智能体的人机协作。如果将龙虾用作AI个人助理等简单场景，一般单机部署龙虾即可，在遇到大量任务并行，任务间数据隔离、权限隔离，多模型多能力分工，大型任务拆解执行，多租户服务，任务高可用保障等实际业务场景时，需要在多个云主机上分别部署龙虾，同时做合理的网络配置。 注意事项 本文适用于可用区资源池配置，本文所有操作均在华东1资源池进行，实际情况以控制台展现为准。资源池类型请详见++资源池区别++。 说明 OpenClaw 作为开源项目，建议在使用前全面评估其安全性与稳定性，仔细阅读《OpenClaw 安全风险提示》并且严格按照对应的开源许可协议规范使用，确保系统和数据安全。 前提条件 注册天翼云账号并完成实名认证。 场景说明 本场景在VPC中部署三台用于运行龙虾服务的云主机，云主机创建在同一个子网中。由于龙虾云主机需要通过18789端口对公网提供服务，同时，云主机本身访问模型或获取数据需要访问公网，在VPC中创建一个NAT网关做为公网统一出入口。架构示意图：

操作场景 本节操作以使用Mac OS系统自带的“终端（Terminal）”远程连接Linux操作系统云主机。 前提条件 云主机状态为“运行中”。 Linux 操作系统首次登录的用户名一般可以设置为 root 或 ecsuser，出于安全考虑，推荐您使用ecsuser，CoreOS的默认用户名为“core”。 弹性云主机已经绑定弹性IP。 所在安全组入方向已开放3389端口。 操作步骤 您可以通过Mac OS系统自带的终端（Terminal）登录Linux云主机： SSH密码方式 1. 打开系统自带的终端（Terminal），执行以下命令 ssh 用户名@弹性IP 说明 如果是公共镜像（包括CoreOS），用户名为“root”。 2. 输入登录密码并按下回车键，以完成登录。 SSH密钥方式 1. 打开系统自带的终端（Terminal）应用程序。 2. 在终端中执行以下命令，变更密钥文件的权限。下面的步骤以私钥文件"kp101.pem"为例进行介绍。 chmod 400 /path/kp101.pem 说明 上述命令中的"path"为密钥文件的存放路径。 3. 执行以下命令登录云主机。 ssh i /path/kp101.pem 用户名@弹性IP 说明 如果是“CoreOS”的公共镜像，用户名为“core”。 如果是“非CoreOS”的公共镜像，用户名为“root”。

本小节介绍域名无忧产品定义与优势。 产品定义 域名是互联网业务的入口，域名劫持是通过拦截域名解析请求或篡改域名服务器上的数据，使用户在访问相关域名时返回虚假IP地址或使用户的请求失败。因此域名系统故障、配置错误、恶意篡改将直接造成业务中断，给政府和企业客户信誉带来恶劣影响的同时，还可能造成巨大的经济损失。 天翼云域名无忧为天翼云用户自助实现域名监测、域名告警、域名刷新，通过对电信所有省份的DNS服务器的检测及时发现域名是否被污染，并且提供按次刷新的服务，清除DNS服务器缓存还原原始DNS解析记录。 产品优势 智能监控 实时监控客户域名列表的安全状态，支持对监控指标设置报警规则，提供多种告警方式并及时预警，为客户域名的安全和稳定保驾护航。 秒级刷新 得益于中国电信骨干网络控制能力，实现中国电信全网缓存DNS服务器的秒级刷新，高速解决客户遭遇的域名劫持问题。 便捷操作 客户登录服务平台即可便捷查看各项指标，启动域名修正服务。