解绑标签 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 数据库审计”，进入数据库审计实例管理页面。 4. 选择需要解绑标签的数据库审计实例，单击“标签”旁的编辑按钮。 5. 在弹出的编辑标签窗口中，单击目标标签操作列的“删除”。 6. 单击“确定”，解绑标签完成。

HDFS HDFS（Hadoop Distributed File System）是Hadoop生态系统的一个重要组成部分，是Hadoop中的的存储组件。它是一个分布式文件系统，提供对应用程序数据的高吞吐量访问。 Hive Hive数据仓库软件通过SQL实现对分布式存储中的大型数据集的读写和管理。Hive提供命令行工具和JDBC驱动程序连接用户。Hive对SQL语句编译和解析，生成相应的MapReduce任务对数据进行操作。 Kafka Apache Kafka是一个优秀的分布式事件流平台，被广泛用于高性能数据管道、流分析、数据集成和任务关键型应用程序中。 Kerberos Hadoop使用Kerberos作为用户和服务的强身份验证和身份传播的基础。Kerberos是一种计算机网络认证协议，它允许某实体在非安全网络环境下通信，向另一个实体以一种安全的方式证明自己的身份。 Kerberos是第三方认证机制，其中用户和服务依赖于第三方（Kerberos服务器）来对彼此进行身份验证。 Kibana Kibana是一个开源的数据分析和可视化平台，它被设计用于与Elasticsearch协同工作。您可以使用Kibana对Elasticsearch索引中的数据进行搜索、查看和交互操作。 Kyuubi Kyuubi是一个提供JDBC/ODBC SQL查询能力的分布式SQL引擎管理者，主要是为Spark Thrift Server提供多租户以及HA能力，同时为其他引擎（例如Flink或Trino等）提供SQL等查询服务。 OpenLDAP OpenLDAP是轻型目录访问协议（Lightweight Directory Access Protocol，LDAP），通过IP协议提供访问控制和维护分布式信息的目录信息。

本文帮助您快速熟悉如何修改弹性网卡的基本信息、分配IPv6、辅助私网IP。 操作场景 您可以根据业务需求修改弹性网卡的名称、安全组，管理辅助私网IP。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经创建虚拟私有云VPC、子网、弹性云主机。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 单击“弹性网卡”，进入弹性网卡列表页面。 5. 在弹性网卡列表页找到对应的弹性网卡，点击“修改”，填写名称、安全组、描述，点击“确定”即可完成修改。 6. 在目标弹性网卡的“操作”列，点击“管理弹性网卡IP地址”。 7. 在弹窗页面可以取消分配IPv6地址，取消分配后IPv6地址回收。再次分配可以重新获得IPv6地址。您也可以分配新的辅助私网IP（IPv4）或者取消分配。 注意 分配辅助私网IPv4后，您需要登录服务器实例，在实例内部配置已分配的辅助私网IPv4地址。 变更IPv6地址后，不能立即生效，需要等云主机下次dhcp续约时才能生效。 8. 当您不需要此弹性网卡时，点击弹性网卡列表“删除”，即可删除该弹性网卡。

本节介绍如何开启IPv6防护。 如果您的网站需要IPv6的防护，可以参考本章节开启IPv6防护，开启后，WAF将为域名分配IPv6的接入地址，WAF默认在CNAME中增加IPv6地址解析，IPv6的所有访问请求将先流转到WAF，WAF检测并过滤恶意攻击流量后，将正常流量返回给源站，从而确保源站安全、稳定、可用。 当防护网站的源站地址配置为IPv6地址时，默认开启IPv6防护。WAF使用IPv6回源地址和源站发起连接。 源站地址只有IPv6时： 当防护网站的源站地址配置为IPv4地址时，手动开启IPv6防护后，WAF将通过NAT64机制（NAT64是一种通过网络地址转换（NAT）形式促成IPv6与IPv4主机间通信的IPv6转换机制）将外部IPv6访问流量转化成对内的IPv4流量。WAF使用IPv4回源地址和源站发起连接。 源站地址只有IPv4时： 前提条件 网站已接入WAF。 开启IPv6防护 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 单击页面左上角的“服务列表”，选择“安全 > Web应用防火墙（独享版）”。 4. 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。 5. 在“IPv6防护”所在行，单击编辑图标，在弹出的对话框中，选择“开启”并单击“确定”。

本章节主要介绍使用GDS从远端服务器导入数据的最佳实践。 教程指引 本教程旨在演示使用GDS（General Data Service）工具将远端服务器上的数据导入DWS中的办法，帮助您学习如何通过GDS进行数据导入的方法。 在本教程中，您将： 生成本教程需要使用的CSV格式的数据源文件。 将数据源文件上传到数据服务器。 创建外表，用于对接GDS和DWS，及将数据服务器上的数据引流到DWS集群中。 启动DWS并创建数据库表后，将数据导入到表中。 根据错误表中的提示诊断加载错误并更正这些错误。 准备ECS作为GDS服务器 创建Linux弹性云主机的操作步骤，请参见《弹性云主机用户指南》中的“创建弹性云主机”。创建后，请参见《弹性云主机用户指南》中的“登录Linux弹性云主机”章节进行登录。 说明 l ECS操作系统必须是GDS工具包所支持的操作系统。 l ECS与DWS处于同一区域、同一虚拟私有云和子网。 l ECS安全组规则需放通DWS集群的访问，即安全组入规则： l 协议：TCP l 端口范围：5000 l 源地址：选择“IP地址”，输入DWS 集群地址，例如“192.168.0.10/32”。 l ECS内部如果启用了防火墙，需要保证防火墙打开了GDS服务的监听端口： iptables I INPUT p tcp m tcp dport j ACCEPT

规则白名单设置方法 1. 登录Web应用防火墙（原生版）控制台。 2. 在左侧导航栏，选择“防护配置 > 对象防护配置”进入防护配置页面，在“安全防护”页签定位到“防护白名单”模块，单击“前去配置”。 3. 单击“新建白名单”。 4. 进行白名单配置。 5. 单击“确定”，完成配置。

介绍云SSO的使用场景 使用场景 通过云SSO（SingleSignOn）可以创建用户和用户组，创建的用户通过指定的云SSO门户地址登录后，可集中管理和访问天翼云下多个帐号的资源。 云SSO可与满足条件的企业身份管理系统进行单点登录（SSO）配置，可以直接使用企业原有的身份管理系统，以云SSO用户身份访问天翼云账号，提升企业用户管理效率，降低安全风险。

漏洞描述 FastJSON是阿里巴巴的开源JSON解析库，它可以解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean。由于具有执行效率高的特点，应用范围广泛。 FastJSON 存在反序列化远程代码执行漏洞，漏洞成因是Fastjson autoType开关的限制可被绕过，然后反序列化有安全风险的类。攻击者利用该漏洞可实现在目标机器上的远程代码执行。 基本信息 · CVE编号：CVE202225845 · 漏洞类型：不安全的反序列 · 危险等级：高危 · 受影响应用版本：FastJSON ＜ 1.2.80（非noneautotype版本） · 检测方式：版本对比 · 是否加入全局：是 · 公布时间： 20220523 · 风险特征：远程利用 · CVSS评分： 7 · CVSS详情： AV:N/AC:M/Au:N/C:P/I:P/A:P 修复建议 1.将 FastJSON 升级到 1.2.83 及以上版本，或noneautotype版本，下载地址： 2.临时修复建议：开启了autoType功能的受影响用户可通过关闭autoType来规避风险，另建议将JDK升级到最新版本。 由于autotype开关的限制可被绕过，请受影响用户升级到FastJSON 1.2.68及以上版本，通过开启safeMode配置完全禁用autoType。三种配置SafeMode的方式如下: 1）在代码中配置： ParserConfig.getGlobalInstance().setSafeMode(true); 2）加上JVM启动参数： Dfastjson.parser.safeModetrue （如果有多个包名前缀，可用逗号隔开） 3）通过类路径的fastjson.properties文件来配置： fastjson.parser.safeModetrue

本节主要介绍如何通过Nginx反向代理访问OBS。 背景 一般情况下，用户会通过OBS提供的桶访问域名（例如 但在某些场景下，用户需要通过固定的IP地址访问OBS，例如：某些企业出于安全考虑，对于可访问的外部地址需要设置黑白名单，而这个时候对于OBS的访问则需要一个固定的IP地址。同样出于安全考虑，天翼云OBS桶访问域名通过DNS解析的IP地址是会发生变化的，所以用户无法获取某个桶长期有效的固定IP地址。 此时，可以通过在ECS上搭建Nginx反向代理服务器，来实现通过固定IP地址访问OBS。 原理介绍 本实践将Nginx部署在ECS上，搭建Nginx反向代理服务器。用户对代理无感知，只需要将请求发送到反向代理服务器，然后由反向代理服务器向OBS获取数据，再返回给用户。反向代理服务器和OBS对外看做一个整体，仅暴露代理服务器的IP地址，隐藏了OBS真实的域名或IP地址。 图通过Nginx反向代理访问OBS原理 前置条件 已明确OBS桶所在区域和桶的访问域名，如苏州区域的桶：nginxobs.obs.cnjssz1.ctyun.cn。查看桶的信息 已在同区域购买Linux操作系统的ECS，本文以CentOS系统为例。 ECS已绑定EIP，EIP用于从公网下载必要的Nginx安装包。

本节介绍了Windows弹性云主机中的cloudbaseinit帐户是什么的相关内容。 cloudbaseinit帐户是什么？ Windows弹性云主机中的cloudbaseinit帐户为CloudbaseInit代理程序的内置帐户，用于弹性云主机启动的时候获取元数据并执行相关配置。如果删除此帐户，会影响云管理平台的相关功能，建议您不要修改、删除此帐户。 说明 Linux弹性云主机中不存在该帐户。 如果自行修改、删除此帐户或者卸载CloudbaseInit代理程序，会导致由此弹性云主机创建的Windows私有镜像所生成的新云主机初始化的自定义信息注入失败。 cloudbaseinit帐户密码随机化安全加固说明 在cloudbaseinit 0.9.10版本中，对cloudbaseinit内置账户密码进行随机化安全加固，确保cloudbaseinit内置账户密码的HASH值（LMHASH和NTLMHASH值）不一致。 Windows系统下的HASH密码格式为：用户名称:RID:LMHASH值:NTHASH值， 例如：Administrator:500:C8825DB10F2590EAAAD3B435B51404EE:683020925C5D8569C23AA724774CE9CC:::表示 用户名称为：Administrator RID为：500 LMHASH值为：C8825DB10F2590EAAAD3B435B51404EE NTHASH值为：683020925C5D8569C23AA724774CE9CC 验证：使用同一个镜像创建两个云主机（ecs01,ecs02），cloudbaseinit内置账户HASH值不同。 ecs01的cloudbaseinit内置账户LMHASH和NTLMHASH值如下所示。 图 ecs01 ecs02的cloudbaseinit内置账户LMHASH和NTLMHASH值如下所示。 图 ecs02

本文罗列了使用数据管理服务时可能遇到的一些问题。 数据管理服务如何计费？ 数据管理服务目前仍处于限时免费阶段，暂不收费，用户可以免费使用。 目前提供免费使用是为了广泛收集用户反馈，不断优化和完善服务，以提供更加优质的数据管理体验。随着数据管理服务的发展和成熟，未来可能会根据市场需求和用户需求进行收费。 数据管理服务支持哪些数据库？ 目前已支持MySQL、PostgreSQL、SQL Server、DRDS、MongoDB、DDS等，更多数据库类型支持正在上线中。 您可以在添加新实例页面查看数据管理服务目前已支持的数据库类型，目前在DMS控制台添加新实例的路径有以下几种： 点击菜单数据资产>实例管理，点击页面左上方添加实例按钮。 点击菜单实例列表，在实例列表点击右上角添加实例按钮。 点击菜单安全协作>团队管理，点击团队实例管理标签页，点击页面左上方添加实例至团队按钮。 数据管理服务支持哪些数据库来源？ 目前已支持天翼云数据库、公网/直连数据库、AOne环境数据库等数据库来源，更多来源支持正在上线中。 您可以在添加新实例页面查看数据管理服务目前已支持的数据库来源，目前在DMS控制台添加新实例的路径有以下几种： 点击菜单数据资产>实例管理，点击页面左上方添加实例按钮。 点击菜单实例列表，在实例列表点击右上角添加实例按钮。 点击菜单安全协作>团队管理，点击团队实例管理标签页，点击页面左上方添加实例至团队按钮。

约束限制 VPC边界防火墙最多支持10000条访问控制规则。 防护规则统计 对防护规则数量进行统计，包括：黑名单规则数、白名单规则数、内网互访规则数、已占用规格数/总规格。 其中，已占用规格数量黑名单规则数+白名单规则数+内网互访规则数。 规则类型 VPC边界防火墙支持如下防护规则，可以根据您的需要分别进行配置。 黑名单规则 白名单规则 内网互访规则 防护规则优先级 优先级：黑名单规则 > 白名单规则 > 内网互访规则 防护策略优先级判定顺序的设定为：优先过滤黑名单流量，其次为白名单流量，然后为访问控制策略，最后为入侵防御策略。 1. 为当用户设置黑名单后，此时系统认为黑名单流量即为垃圾流量，系统可根据用户设置的黑名单过滤掉恶意流量，以便系统后续处理非垃圾流量，保证系统处理的数据为用户的有效数据。 2. 当流量经过黑名单过滤后，剩余流量为用户可能关注的流量，在此基础上，通过用户设置的白名单规则，系统可以过滤出用户确定关注的白名单流量，以便对有效流量进行处理，过滤出白名单流量后，系统会直接放行白名单流量至入侵防御策略处进行安全检测，不再进行访问控制。 3. 对于非黑非白的流量，系统将对其进行访问控制检测，对于策略允许的流量进行放行，对于策略禁止的流量进行丢弃。放行后的流量依然需要进行安全检测。

说明：本章节会介绍关系型数据库的定义以及包含哪些数据库引擎 关系型数据库（Relational Database Service，简称RDS）是一种基于云计算平台的即开即用、稳定可靠、弹性伸缩、便捷管理的在线关系型数据库服务。专属云关系型数据库目前支持以下引擎： MySQL PostgreSQL 关系型数据库服务具有完善的性能监控体系和多重安全防护措施，并提供了专业的数据库管理平台， 让用户能够在云中轻松的进行设置和扩展关系型数据库。通过关系型数据库服务的管理控制台，用户几乎可以执行所有必需任务而无需编程，简化运营流程，减少日常运维工作量，从而专注于开发应用和业务发展。 专属云数据库MySQL 专属云（RDSMySQL）是在物理上隔离的专属虚拟化资源池上搭建的RDS服务，专属云内，用户独享专用的服务器/集群，可选择独享存储/网络资源，并可在管理控制台统一管理。 MySQL是目前最受欢迎的开源数据库之一，其性能卓越，搭配LAMP（Linux + Apache + MySQL + Perl/PHP/Python），成为WEB开发的高效解决方案。 云数据库拥有即开即用、稳定可靠、安全运行、弹性伸缩、轻松管理、经济实用等特点。 架构成熟稳定，支持流行应用程序，适用于多领域多行业支持各种WEB应用，成本低，中小企业首选。 管理控制台提供全面的监控信息，简单易用，灵活管理，可视又可控。 随时根据业务情况弹性伸缩所需资源，按需开支，量身订做。

支持多种数据存储选择 多种存储类型随意选择，满足不同I/O性能要求 提供普通IO、高IO、超高IO、通用SSD、极速型SSD五种类型的云硬盘，满足不同业务对IO性能的不同需求。购买方式分为两种，在购买云主机同时购买云硬盘或后期根据需要单独购买云硬盘挂载至云主机上。 提供云主机备份、云硬盘备份 支持对云主机的系统盘或数据盘进行备份。基于备份数据，用户可创建新的云主机或恢复磁盘数据。 支持网络灵活规划 通过虚拟私有云（ VPC）实现网络的灵活规划 VPC可提供一个逻辑隔离的网络， 通过VPC可实现云中的网络规划，包括创建子网、配置安全组、连接公网，或者使用VPN将VPC与企业数据中心互联。其中子网可提供IP 地址管理等。 支持多网卡 通过为云主机配置多块网卡，将不同的内网 IP 地址与不同网卡进行绑定，实现同一云主机划分至不同的虚拟云子网以及配置不同的安全组策略。 支持多维度监控与告警 全面监控及告警机制，保障云主机正常运行 云主机提供监控服务，实现性能指标监控、自动告警、历史信息查询等功能。可借助云监控服务，了解包括CPU、内存、磁盘和网络使用情况等几十项云主机性能监控指标，并支持查看一个月内的云主机监控信息，帮助用户了解云主机实例的历史运行情况，还可根据用户预设规则提供及时的告警通知。

任务名称 说明 创建实例 创建社区版集群实例、副本集实例。 扩容存储 扩容社区版集群实例shard节点的存储容量、副本集实例的存储容量。 变更规格 变更社区版集群实例的规格、副本集实例的规格。 添加节点 添加社区版集群实例的节点。 重启操作 重启集群实例、集群节点组、集群节点、副本集实例。 恢复到新实例 社区版集群实例、副本集实例恢复到新实例。 恢复到当前实例 社区版集群实例、副本集实例恢复到新实例。 恢复到指定时间点 副本集实例恢复到指定时间点。 库表级时间点恢复 副本集实例库表级数据恢复到指定时间点。 主备切换 副本集实例主备切换。 绑定和解绑弹性公网IP 社区版集群实例、副本集实例绑定和解绑弹性公网IP。 切换SSL 社区版集群实例、副本集实例切换SSL。 修改数据库端口 社区版集群实例、副本集实例修改数据库端口。 修改安全组 社区版集群实例、副本集实例修改安全组。 修改内网地址 社区版集群实例、副本集实例修改内网地址。 迁移可用区 社区版集群实例、副本集实例迁移可用区。 显示shard/config IP 社区版集群实例开启shard/config地址。 修改oplog大小 社区版集群实例、副本集实例修改oplog大小。 物理备份 社区版集群实例、副本集实例自动和手动备份。 升级数据库补丁 社区版集群和副本集实例进行补丁升级。

解绑标签 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云密评专区”，进入云密评专区密码服务实例管理页面。 4. 选择需要添加标签的实例，单击“更多 > 编辑标签”。 5. 在弹出的编辑标签窗口中，单击目标标签操作列的“删除”。 6. 单击“确定”，解绑标签完成。

本文提供天翼云AOne SDK儿童个人信息保护政策及监护人须知 天翼云AOne SDK 儿童个人信息保护政策及监护人须知 儿童个人信息保护政策及监护人须知发布日期：【2025年5月13日】 本须知仅适用于由天翼云科技有限公司提供的天翼云边缘安全加速平台零信任服务天翼云AOne SDK服务。 版本生效日期：【2025年5月13日】 如果您有任何疑问、意见或建议，请通过以下联系方式与我们联系： 电子邮件：service@chinatelecom.cn；ctpip.ctyun@chinatelecom.cn 电话：4008109889 天翼云门户：管理中心新建工单；智能客服 为了更好地在您使用我们服务的过程中保障您的个人信息，我们对《 天翼云AOne SDK儿童个人信息保护政策及监护人须知 》进行了更新，此版本主要更新内容包括： 1、更新天翼云AOne SDK儿童个人信息保护政策及监护人须知 天翼云AOne SDK儿童个人信息保护政策及监护人须知 天翼云AOne SDK产品由天翼云科技有限公司（“天翼云”）运营，是一款为移动应用开发者（以下简称“开发者”）提供调用零信任内网连接等能力服务的软件开发工具包（SDK）。我们致力于保护儿童个人信息，本须知中的“儿童”，是指满14周岁的未成年人。为此，我们专门制定了《天翼云AOne SDK儿童个人信息保护政策及监护人须知》（简称“本须知”），向您说明我们处理儿童个人信息的规则。您作为儿童的父母或其他监护人（统称“监护人”），请在您或您所监护的儿童（简称“被监护人”）使用本应用前务必仔细阅读并充分理解本须知，特别是以粗体标识的条款应重点阅读，在确认充分理解并同意全部条款后再开始使用或允许您的孩子使用。 本须知为在《天翼云AOne SDK隐私和信息处理规则》基础上制定的特别规则，除另有约定外，本须知所用术语和缩略词与《天翼云AOne SDK隐私和信息处理规则》中的术语和缩略词具有相同的涵义；与《天翼云AOne SDK隐私和信息处理规则》如有不一致之处，以本须知为准；本须知未载明之处，适用《天翼云AOne SDK隐私和信息处理规则》。为了维护儿童的合法权益，儿童应当在其监护人的指导下使用我们的服务。 《天翼云AOne SDK隐私和信息处理规则》详见天翼云AOne SDK隐私和信息处理规则 监护人特别说明： 您的理解和配合对我们保护被监护人的个人信息和隐私安全非常必要，为了维护被监护人的合法权益，我们希望您可以协助我们，确保被监护人在您的同意和指导下使用本应用和向我们提交个人信息。我们将根据本须知采取特殊措施保护我们获得的被监护人的个人信息。请您仔细阅读和选择是否同意本声明。如果您不同意本须知的内容，请您要求被监护人立即停止访问/使用我们的产品及服务。 儿童特别说明： 任何儿童参加网上活动都应事先取得监护人的同意。如果您是儿童，请务必通知您的监护人共同阅读本须知，并在您使用我们的产品及服务、提交个人信息之前，寻求您的监护人的同意和指导。 我们严格按照《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》 《 电信和互联网用户个人信息保护规定》（工业和信息化部令第 24 号）《儿童个人信息网络保护规定》等法律法规的相关要求，在业务活动中处理儿童的个人信息。 本部分向您告知以下内容： 一、我们如何收集和使用儿童的个人信息 二、我们如何共享、转让和公开披露儿童的个人信息 三、我们如何存储儿童的个人信息 四、我们如何保护儿童的个人信息 五、我们如何管理儿童的个人信息 六、本须知的适用 七、本须知的修订 八、如何联系我们 一、我们如何收集和使用儿童的个人信息 1.1 在儿童使用我们的产品及服务过程中，我们会严格履行法律法规规定的儿童个人信息保护义务与责任，遵循正当必要、知情同意、目的明确、安全保障、依法利用的原则，在征得监护人的同意后收集和使用儿童个人信息。具体请查阅《天翼云AOne SDK隐私和信息处理规则》“各业务功能中的用户信息收集使用规则”章节，详细了解我们收集和使用的儿童个人信息。 1.2 此外，我们也会通过Cookie等同类技术自动收集您或被监护人的个人信息，具体请您查阅《天翼云AOne SDK隐私和信息处理规则》“我们如何使用 Cookie和同类技术”章节进行详细了解。 1.3 我们提供的与儿童有关的服务是不断发展的。如我们需要超出上述收集范围收集您或被监护人的个人信息，我们将再次告知您，并征得您的同意。 1.4 根据相关法律法规规定，以下情形中收集儿童的信息无需征得儿童监护人的授权同意： （1）与我们履行法律法规规定的义务相关的； （2）与国家安全、国防安全、公共安全、公共卫生、重大公共利益有关的； （3）与犯罪侦查、起诉、审判和判决执行等有关的； （4）出于维护儿童的生命、财产等重大合法权益但又很难得到监护人同意的； （5）所收集的信息是儿童或监护人自行向社会公众公开的； （6）从合法公开披露的信息中收集信息的，如合法的新闻报道、政府信息公开等渠道； （7）根据与您或被监护人签订和履行相关协议或其他书面文件所必需的； （8）法律法规规定的其他情形。 请您理解，您可以选择是否填写或向我们提供特定的信息，但您如果不填写或提供某些特定的信息，将可能导致我们的产品及服务无法正常运行，或者无法达到我们拟达到的服务效果，您和被监护人可能无法正常使用我们的产品、服务或相关的具体业务功能。 二、我们如何共享、转让和公开披露儿童的个人信息 我们承诺对儿童个人信息进行严格保密，我们遵照法律法规的规定，严格限制共享、转让、披露儿童个人信息的情形，仅在《天翼云AOne SDK隐私和信息处理规则》约定和您明确授权同意的情况下对外提供儿童信息。 除了《天翼云AOne SDK隐私和信息处理规则》“我们如何共享、转让、公开披露您的个人信息”章节部分所述的内容外，对于儿童个人信息，我们还将会采取如下措施来保护儿童个人信息在共享、转让和公开披露过程中的安全： 2.1 如果为了本须知所述目的而需要将儿童信息共享至第三方，我们将评估该第三方收集儿童个人信息的合法性、正当性、必要性，并采用加密、匿名化、去标识化处理等手段保障您和被监护人的信息安全。 2.2 我们将要求第三方对儿童个人信息采取保护措施，并且严格遵守相关法律法规与监管要求。我们会要求接收儿童个人信息的第三方遵守严格的保密义务及采取有效的保密措施，禁止其将这些儿童个人信息用于未经儿童及其监护人授权的用途，并要求受托公司依法履行以下义务： （1）按照法律、行政法规的规定和我们的要求处理儿童个人信息； （2）协助我们回应儿童监护人提出的申请； （3）采取措施保障信息安全，并在发生儿童个人信息泄露安全事件时，及时向我们反馈； （4）委托关系解除时及时删除儿童个人信息； （5）不得转委托； （6）其他依法应当履行的儿童个人信息保护义务。 2.3 另外，我们会按照法律法规的要求征得您的同意，或确认第三方已经征得您同意。 三、我们如何储存儿童的个人信息 3.1 我们在中华人民共和国境内运营中收集和产生的儿童个人信息，将存储在中国境内（为本须知之目的，不含香港、澳门、台湾地区）。 3.2 我们会采取合理可行的措施，尽力避免收集和处理无关的儿童的个人信息。我们只会在达成本须知所述目的所需的期限内保留儿童的个人信息，除非法律有强制的留存要求。关于我们如何确定儿童个人信息存储期限请参见《天翼云AOne SDK隐私和信息处理规则》“我们如何保存您的个人信息或关联组织信息”章节。如我们终止服务或运营，我们将及时停止继续收集儿童个人信息的活动，同时会遵守相关法律法规要求提前向您通知，并在终止服务或运营后对儿童的个人信息进行删除或匿名化处理，但法律法规或监管部门另有规定的除外。 四、我们如何保护儿童的个人信息 我们非常重视儿童的隐私安全，并采取一切合理可行的措施保护儿童个人信息： 4.1 我们会严格控制儿童个人信息的访问权限，对可能接触到儿童个人信息的工作人员采取最小够用授权原则，并采取技术措施对处理儿童个人信息的行为进行记录和管控，避免违法复制、下载儿童个人信息。 4.2 我们会定期组织内部相关人员进行培训，使其掌握岗位职责和应急处置策略和规程。在不幸发生儿童个人信息安全事件后，我们将按照法律法规的要求，及时向您告知：安全事件的基本情况和可能的影响、我们已采取或将要采取的处置措施、您及被监护人可自主防范和降低风险的建议、对您及被监护人的补救措施等。我们将及时将事件相关情况以APP推送通知、发送邮件/短消息等方式告知您。难以逐一告知时，我们会采取合理、有效的方式发布相关警示信息。同时，我们还将按照监管部门要求，主动上报儿童个人信息安全事件的处置情况。若被监护人的合法权益受损，我们将承担相应的法律责任。 4.3 如您希望了解更多，请查阅《天翼云AOne SDK隐私和信息处理规则》“我们如何保护您的个人信息或关联组织信息”章节，详细了解上述措施外，我们还采取了哪些措施保护儿童个人信息。 五、我们如何管理儿童的个人信息 5.1 为了您或被监护人在使用我们的产品及服务期间可以更加便捷地访问和管理被监护人的个人信息，同时保障注销账户的权利，我们在产品及服务中为您和被监护人提供了相应的操作设置，您和被监护人可以按照《天翼云AOne SDK隐私和信息处理规则》中的“您的权利及如何管理您的个人信息”章节指引进行操作。 5.2 如存在以下情况，您和被监护人可以请求我们删除收集、使用和处理的儿童个人信息。我们会在完成身份验证后，及时采取措施予以删除。 （1）若我们违反法律、行政法规的规定或者本须知的约定收集、存储、使用、转让、披露儿童个人信息； （2）若我们超出本须知目的范围或者必要期限收集、存储、使用、转让、披露儿童个人信息； （3）您撤回同意； （4）您或被监护人通过注销等方式终止使用产品或者服务的。 但请注意，若您和被监护人要求我们删除特定儿童个人信息，可能导致被监护人无法继续使用我们的产品和服务或产品和服务中的某些具体业务功能。 如您发现在未事先征得您同意的情况下收集了被监护人的个人信息，请及时联系我们，我们会设法尽快删除相关数据。 六、本须知的适用 绝大多数情形下我们无法识别且不会判断收集和处理的个人信息是否属于儿童个人信息，我们将按照《天翼云AOne SDK隐私和信息处理规则》收集和处理用户的个人信息。 七、本须知的修订 我们可能会根据我们的产品及服务的更新情况及法律法规的相关要求适时修改本须知的条款，该等修改构成本须知的一部分，我们会在专门页面上展示最新修改版本。当本须知的条款发生变更时，我们会以APP弹窗方式进行提示并再次取得您的同意，详见《天翼云AOne SDK隐私和信息处理规则》“本隐私和信息处理规则如何更新”章节的规定。 八、如何联系我们 8.1 如您对本隐私和信息处理规则或您信息的相关事宜有任何问题、意见、建议或申诉，您可以通过天翼云提交工单、联系智能客服、或拨打我们的客服电话4008109889与我们取得联系，您还可通过发送邮件至service@chinatelecom.cn或ctpip.ctyun@chinatelecom.cn，与天翼云边缘安全加速平台零信任服务的个人信息保护负责人进一步沟通。 8.2 一般情况下，我们将会在3个工作日内回复，特殊情形下，最长将在不超过15个工作日做出答复。 8.3 如果您对我们的回复不满意，特别是我们的信息处理行为损害了您的合法权益，您还可以通过以下外部途径寻求解决方案：向被告所在地有管辖权的人民法院提起诉讼。

企业网络上云及指定IP接入 大企业等机构上云，希望迁移上云保持组网不变，使用私网NAT网关无需对网络做任何更改即可保持原有方式互通。同时，行业监管部门要求指定地址接入，使用私网NAT网关将各部门的IP地址映射为指定地址接入行业监管部门，满足企业安全规范。 如下图所示，企业部门间存在网段重叠，使用私网NAT网关，实现企业各部门迁移上云后组网不变，部门间保持原有方式互通，简化了IDC上云的网络规划；使用私网NAT网关，配置SNAT规则，将各部门的IP地址映射为符合要求的10.0.0.33地址接入行业监管部门，提升企业的安全性。 图 企业网络上云及指定IP接入

本章节介绍云硬盘备份的应用场景:数据备份恢复和业务快速迁移部署。 云硬盘备份可为多种资源提供备份保护服务，有效保障用户数据的安全性和正确性，确保业务安全。云硬盘备份适用于数据备份和恢复以及业务快速迁移和部署的场景。 数据备份和恢复 云硬盘备份在以下场景中，均可快速恢复数据，保障业务安全可靠。 受黑客攻击或病毒入侵 通过云硬盘备份，可立即恢复到最近一次没有受黑客攻击或病毒入侵的备份时间点。 数据被误删 通过云硬盘备份，可立即恢复到删除前的备份时间点，找回被删除的数据。 应用程序更新出错 通过云硬盘备份，可立即恢复到应用程序更新前的备份时间点，使系统正常运行。 云主机宕机 通过云硬盘备份，可立即恢复到宕机之前的备份时间点，使服务器能再次正常启动。 业务快速迁移&部署 为云服务器的系统盘创建镜像、数据盘创建备份，利用镜像和备份，可快速复制一个或多个与现有云服务器相同配置的云服务器。

配置步骤 以先配置DDoS高防（边缘云版），再配置Web应用防火墙（边缘云版）为例。 1. 进入DDoS高防（边缘云版）控制台，在左侧导航中，点击【业务接入】【域名接入】。按照网站域名接入完成DDoS高防（边缘云版）的域名配置。 2. 进入Web应用防火墙（边缘云版）控制台，在左侧导航中，点击【域名管理】【域名列表】，点击右上角新增域名。 3. 填写需要接入的域名后，会弹窗提示"您的域名已经在DDoS高防(边缘云版)产品控制台新增，产品关联后才能同步网站通用配置，请确认是否关联"。 4. 点击确认后，系统会自动获取并完成网站配置，您可以点击【下一步】，进行网站安全配置。 5. 完成网站安全配置后，点击【提交】即可。 注意 DDoS高防（边缘云版）叠加Web应用防火墙（边缘云版）产品后，域名CNAME地址直接使用CDN加速提供的CNAME地址即可，无需调整。 您可以在DDoS高防（边缘云版）和Web应用防火墙（边缘云版）任一控制台进行网络配置的变更，配置修改将进行同步。

本文主要介绍账号注销相关的常见问题。 注销账号有哪些流程？ 天翼云官网已上线了账号注销能力。 用户可在“账号中心>安全设置”页面进行账号注销，注销账号流程主要包括关闭账号和注销账号两个步骤。 用户申请关闭账号后，需要进行账号检查，检查通过后确认关闭，账号将进入48小时关闭期，此时无法自助终止注销进程、恢复账号功能。关闭期满后，账号进入90天保留期。保留期内，用户可以通过点击“恢复账号”按钮自助终止注销进、恢复账号功能。保留期结束之后，账号将被自动注销，无法再重新打开已关闭的账号。详情请参考账号注销。 账号注销时，提示有未开票的消费，一定要开完票才能注销吗？ 针对未开票的消费，是否开票都不影响账号注销，但注销后无法对这部分消费开票。 账号注销时，提示账户内有余额，为什么提现后财务检查仍然不通过？ 可能由于部分余额提现失败导致，请在提现页面点击提现列表 “详情“查看是否有提现失败的金额。以在线充值方式（支付宝、微信、翼支付）充入的现金提现，默认按原路返回，如果不能原路返回的，需进行银行卡提现。当余额全部提现成功后，再尝试注销。 为什么“账号中心>安全设置”页面的“关闭账号”按键是灰色？ 部分天翼云账号为云网账号，此类账号不支持在线注销，需要联系客户经理申请注销。

产品名称 规格/版本 计费模式 标准版价格（元/月） 一年付价格（元/年） 二年付价格（元/2年） 三年付价格（元/3年） 综合安全网关 标准版 包周期 6000 61200 122400 183600 数字证书认证系统 标准版 包周期 5000 51000 102000 153000 密钥管理服务 企业版 包周期 9699 98929.8 197859.6 296789.4 数据加密网关 标准版 包周期 6000 61200 122400 183600 协同签名服务 标准版 包周期 4000 40800 81600 122400

云主机备份产品为您提供优质的服务体验,本文带您了解云主机备份的产品优势。 可靠 云主机备份提供申请即用的备份服务，使您的数据更加安全可靠，也支持云主机的批量选择，快速实现主机数据备份，保障您数据安全，预防数据丢失、损坏。 高效 云主机备份针对首次备份会执行全量备份，而后续备份则默认执行增量备份。无论是全量备份还是增量备份，都能够快速、方便地将云主机数据恢复到备份所在时刻的状态。增量备份技术可以缩短备份时间，同时节省存储空间。 简单 友好的可视化界面，健全的操作功能，用户仅需三步即可完成备份创建，相比本地自行备份方式，流程操作更加简单。 支持基于自定义策略的自动备份，提供全天24小时备份时段选择，支持按天、周等的周期策略设置，一次定义，全托管备份流程。 安全 云主机基于云硬盘快照技术，同一时间备份云硬盘。针对加密云硬盘的备份，备份数据自动加密保存到对象存储中，数据持久性高达99.9999999999%（12个9）。

DSC可重复执行识别任务，如果您需要对数据进行再一次的扫描，可参考本章节启动识别任务。 前提条件 已添加OBS、数据库、大数据源资产或MRS，具体操作请参见资产列表。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择选择“安全 > 数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中，选择“敏感数据识别（新） > 识别任务”，进入识别任务界面。 5. 在待启动任务行的“操作”列单击“立即识别”，右上角弹框提示扫描任务开始扫描，即执行成功。 说明 如果您需要停止正在执行的任务，请在目标任务“操作”列，单击“停止”。 后续处理 查看识别结果：敏感数据识别任务扫描完成后，可在识别任务列表目标任务操作列单击“识别结果”，查看数据资产的敏感信息总数、风险等级以及敏感信息分类分级结果。

DSC内置有L1L4四种敏感数据级别，如果内置级别无法满足您的需要，可以根据此章节进行自定义级别 约束条件 级别创建后不支持删除。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击左上角的，选择区域或项目。 步骤 3 在左侧导航树中，单击，选择选择“安全 > 数据安全中心”，进入数据安全中心总览界面。 步骤 4 在左侧导航树中选择“敏感数据识别 > 识别配置”，进入识别模板页签。 步骤 5 选择“级别配置”页签，在级别配置列表左上角单击“新增分级”。 步骤 6 在“新增分级”弹框中配置相关信息，参数说明如下表。 新增级别参数说明 参数 说明 级别名称 输入自定义的级别名称。 级别颜色 可根据敏感等级选择级别颜色，级别颜色数值越高敏感度越高。 如姓名、性别等为低敏感数据；身份证号、加密密钥等为高敏感数据。 步骤 7 单击“确定”完成新增规则。

本节主要介绍操作系统更新 DDS实例需要适时进行操作系统更新，以提高数据库性能和数据库的整体安全状况。 实例内核版本升级时，DDS会根据操作系统的实际情况，决定是否更新以及更新适合的操作系统冷补丁版本。 操作系统更新不会更改数据库实例的版本或数据库实例信息。 此外，DDS会在用户设置的运维时间段内，通过热补丁方式及时修复影响重大的操作系统漏洞。

新增基线检查任务 1. 登录实例。 2. 在菜单栏选择“主机安全 > 基线检查”。 3. 单击“新增任务”。 4. 在弹出的新增任务窗口中，配置任务参数。 添加任务名称，选择对应终端，选择基线策略及执行时间。 5. 配置完成后，单击“确定”。 执行基线检查任务 在任务操作列，单击“执行”待扫描完成后查看扫描结果。 查看扫描结果 点击“查看”具体扫描结果展示。 如下图所示，根据终端名称风险项可查看具体风险建议及方法。

故障恢复 弹性云主机通过云服务备份实现故障恢复，当云主机或磁盘出现故障或者人为错误导致数据误删时，可以自助快速恢复数据。 什么是云服务备份 云服务备份（CTCloud Backup and Recovery，CBR）可以为云主机、云硬盘提供简单易用的备份服务，当发生病毒入侵、人为误删除、软硬件故障等事件时，可将数据恢复到任意备份点。 云服务备份保障用户数据的安全性和正确性，确保业务安全。 云主机备份与云硬盘备份 目前弹性云主机备份可以通过“云主机备份”和“云硬盘备份”功能实现： 云主机备份（推荐）：如果是对弹性云主机中的所有云硬盘（系统盘和数据盘）进行备份，推荐使用云主机备份功能，同时对所有云硬盘进行备份，避免因备份创建时间差带来的数据不一致问题。 云硬盘备份：如果对指定的单个或多个云硬盘（系统盘或数据盘）进行备份，推荐使用云硬盘备份功能，在保证数据安全的同时降低备份成本。 表 云主机备份与云硬盘备份 对比维度 云主机备份 云硬盘备份 备份/恢复对象 服务器中的所有云硬盘（系统盘和数据盘）。 指定的单个或多个磁盘（系统盘或数据盘）。 推荐场景 需要对整个云主机进行保护。 系统盘没有个人数据，因而只需要对部分的数据盘进行备份。 优势 备份的同一个服务器下的所有磁盘数据具有一致性，即同时对所有云硬盘进行备份，不存在因备份创建时间差带来的数据不一致问题。 保证数据安全的同时降低备份成本。

解绑标签 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云堡垒机（原生版）”，进入云堡垒机实例管理页面。 4. 选择需要解绑标签的堡垒机实例，单击“更多 > 编辑标签”。 5. 在弹出的编辑标签窗口中，单击目标标签操作列的“删除”。 6. 单击“确定”，解绑标签完成。

设置应用控制策略后，业务云主机访问互联网需要对防火墙分配弹性IP地址。本小节介绍安全专区源地址转换方法。 配置方法： 点击【策略】→【地址转换】→【IPV4地址转换】→【新增】→【源地址转换】，进行相关策略配置。 原始数据包 源区域：选择“L3untrustA”； 网络对象：勾选区域，填写需要访问互联网的业务云主机对象； 目的区域/接口：选择“L3untrustA”； 网络对象：全部互联网对象。 转换后数据包 源地址转换为：指定IP； IP地址：eth0地址（与绑定弹性公网IP对应的私有地址）。

本节将为您介绍如何进行企业项目创建管理与授权。 创建企业项目 企业项目管理服务提供统一的云资源企业项目管理，以及企业项目内的资源管理，成员管理。 操作步骤 1. 在天翼云首页右上角单击“我的 > 安全设置”进入账号中心。 2. 在左侧导航栏单击“统一身份认证”，进入IAM管理页面。 3. 单击左侧导航栏中的“企业项目”进入企业管理页面，单击右上角“创建企业项目”。 4. 在“创建企业项目”弹窗对“企业项目名称”及“描述”进行编辑，确认无误后单击“确定”，完成创建。示例如下： 授权 通过为企业项目添加用户组，并设置策略，实现企业项目和用户组的权限关联。将用户加入到用户组，使用户具有用户组中的权限，从而精确地控制用户所能访问的项目，以及所能操作的资源。 操作步骤 1. 在天翼云首页右上角单击“我的 > 安全设置”进入账号中心。 2. 在左侧导航栏单击“统一身份认证”，进入IAM管理页面。 3. 单击左侧导航栏中的“用户组”进入用户组管理页面，单击右上角“创建用户组”。 4. 在“创建用户组”弹窗对“用户组名称”及“描述”进行编辑，确认无误后单击“确定”，完成创建。示例如下： 5. 回到“企业项目”，找到创建好的企业项目，单击“查看用户组”。 6. 在“用户组”页签单击“设置用户组”。 7. 选择在步骤4创建好的用户组进行设置后，单击“确认”完成添加。 8. 您可在该用户组“设置策略”完成具体策略设置。

本文介绍回源超时时间功能及其配置说明。 功能介绍 回源超时时间包括回源连接超时时间跟回源请求超时时间： 回源连接超时时间指回源节点与源站服务器建立连接的超时时间。 回源请求超时时间指回源节点与源站服务器建连成功后，向源站服务器发送请求的超时时间。 回源HTTP超时时间设置的长短要综合考虑网络链路情况、源站处理能力、连接问题等诸多因素。如您将回源响应超时时间设置的过长，可能会出现在源站处理能力达到上限，无法正常响应的情况下，失败的请求仍然长时间占用连接数，导致正常请求无法访问。建议您合理配置回源请求超时时间，以保证请求均能正常回源。 配置说明 1.登录边缘安全加速平台控制台。 2.进入安全与加速工作台域名基础配置页面，点击目标域名。 3.进入基础配置页面，单击“编辑配置”。 4.点击开启“回源超时时间设置”即可进行回源相关超时时间配置。 参数 说明 回源连接超时时间 指回源节点与源站服务器建立连接的超时时间。如果回源节点在指定的超时时间内未能与源站服务器建立连接，则会触发节点重试，重试失败后将与源站终止连接并返回502。默认回源连接超时时间为5s，最大值为300s。 回源请求超时时间 指回源节点与源站服务器建连成功后，向源站服务器发送请求的超时时间。如果在指定的超时时间内未接收到源站服务器响应的首包，则会触发节点重试，重试失败后将与源站终止连接并返回502。默认回源请求超时时间为15s。