此小节介绍数据库安全如何配置隐私数据保护规则。 当需要对输入的SQL语句的敏感信息进行脱敏时，您可以通过开启隐私数据脱敏功能，以及配置隐私数据脱敏规则，防止数据库用户敏感信息泄露。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 已成功添加数据库并开启审计功能。 已成功添加并安装Agent。 操作步骤 1. 登录管理控制台。 2. 单击右上角的 ，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全审计“总览”界面。 4. 在左侧导航树中，选择“审计规则”，进入审计规则界面。 5. 在“选择实例”下拉列表框中，选择需要配置隐私数据保护规则的实例。 6. 选择“隐私数据保护”页签。 7. 开启或关闭“存储结果集”和“隐私数据脱敏”。 存储结果集 建议关闭 。关闭后，数据库安全审计分析平台将不会存储用户SQL语句的结果集。 说明 如果用于PCI DSS/PCI 3DS CSS认证，禁止开启。 隐私数据脱敏 建议开启 。开启后，您可以通过配置隐私数据脱敏规则，防止数据库敏感信息泄露。 8. 单击“添加自定义规则”，在弹出“添加自定义规则”对话框中设置数据脱敏规则，如下图所示，相关参数说明如下表所示。 参数名称 说明 取值样例 规则名称 自定义规则的名称。 test 正则表达式 输入需要配置的正则表达式。 替换值 输入正则表达式脱敏后的替换值。

本章节为您介绍如何将已添加到数据安全中心DSC防护的对象存储OBS桶删除。 将对象存储OBS桶删除后，该资产在DSC服务里建立的相关任务模板以及扫描任务结果报告都将被删除，且无法恢复。 前提要求 需要完成对象存储OBS资产委托授权，参考云资源委托授权/停止授权步骤进行操作。 需要删除的对象存储OBS资产未被应用在敏感数据识别任务中。 注意 如果需要删除的OBS资产已被应用在敏感数据检测任务中，请先解绑资产或者删除任务，再参照本章节删除资产。 OBS资产删除后无法恢复，资产相关的任务模板，任务结果，报表都将删除，请谨慎操作。 操作步骤 1.登录管理控制台。 2.点击左上角的，选择区域或项目。 3.点击左侧导航树的，选择“安全与合规 >数据安全中心”，进入数据安全中心总览界面。 4.在左侧导航树中选择“资产列表”，进入OBS资产列表页面。 5.在OBS资产列表中，在需要删除的OBS资产所在行的“操作”列，单击“删除”。 6.在弹出窗口中，单击“确定”。

资金解冻 资金冻结规则 为保障您的账户资金安全，若银行转账后款项 超过6个月未被认领 ，系统将自动对该笔资金进行冻结。冻结后，需要申请解冻，解冻完成后才可以继续认领。 资金解冻申请 1. 需要准备加盖公章的资金使用说明函模板。 2. 提交工单上传说明函模板附件，或联系客户经理，申请资金解冻。

本文为您介绍如何修改天翼云云搜索服务OpenSearch的实例密码。 如果您在使用集群过程中需要重置集群管理员密码，可通过以下步骤进行重置。 1. 登录云搜索服务控制台，进入实例管理列表页，选择需要设置的实例点击名称进入详情页。 2. 在详情页面里选择“安全设置”，并点击下方的密码重置按钮，在显示的填写框处进行密码重置。请按照密码设置规范，填写新密码。 注意 密码为数字、大写字母、小写字母、特殊符号（@$!%~?&）的组合。 长度限制为1226位。 不能包含账号信息、连续3个一样字符（大小写字母视为同一字符）、字典序及键盘序。

约束与限制 密钥对仅支持远程登录Linux云主机。 密钥对只能在本区域的云主机使用。 通过管理控制台创建的基于SSH2协议的密钥对，仅支持“RSA2048”加解密算法。 通过外部导入的密钥对支持的加解密算法为： RSA1024 RSA2048 RSA4096 ECDSA256 ECDSA384 ECDSA512 ED25519256 为保证云主机安全，私钥只能下载一次，私钥丢失后将无法登录云主机，请您妥善保管。

本章节介绍什么是云密评专区。 云密评专区是针对云上租户密评需求提供的端到端密评产品解决方案，产品基于具有商密资质的云密码机、密码服务在云上构建高性能密码资源池，为应用提供密钥管理、综合安全网关、协同签名等云原生密码服务，解决云上应用密评方案复杂、改造时间长问题，帮助租户快速通过密评。

本文为您介绍如何快速创建SSL VPN连接。 前提条件 客户端可以访问互联网。 客户端的私网网段和VPC的私网网段没有重合，否则无法访问VPC内的网络资源。 您已了解VPC中所应用的安全组规则，并确保安全组规则允许客户端访问云上资源。 使用流程 1. 创建VPN网关。 创建VPN网关并开启SSL VPN功能。 2. 创建SSL服务端。 创建相应的SSL服务端，用于接入用户侧连接SSL VPN服务。 3. 创建SSL客户端。 在控制台创建SSL客户端，用于生成客户端连接SSL VPN服务端的配置。 4. 下载客户端证书。 在控制台下载客户端证书，一共三个证书。 5. 配置客户端。 下载客户端软件，安装并配置客户端。 6. 测试连通性。 登录客户端，访问VPC，测试网络连通性。

本页介绍天翼云TeleDB数据库中通信加密。 通信加密是指基于传输层SSL（Secure Sockets Layer）协议加密的加密方式。SSL加密是一种安全协议，用于在互联网上建立一个加密的链接，来确保数据传输的安全性。采用SSL加密有如下优点： 数据加密 ：SSL使用强大的加密算法来保护数据不被未授权访问。 身份验证 ：通过证书验证，确保用户连接到的是正确的服务器，而不是一个假冒的服务器。 数据完整性 ：SSL提供了消息完整性检查，确保数据在传输过程中未被篡改。 安全性 ：SSL广泛被用于电子商务、网上银行和其他需要保护用户数据安全的场合。 兼容性 ：几乎所有现代浏览器和Web服务器都支持SSL。 易于部署 ：SSL证书可以从多个证书颁发机构获得，安装和配置过程相对简单。 增强信任 ：使用SSL的网站通常会在浏览器地址栏显示一个锁形图标，增强用户对网站的信任。 通信加密的方案 通信加密方案实现原理是通过采用SSL加密，在Web浏览器和服务器之间建立通信加密连接，保护数据在传输过程中不被窃听或篡改。再通过证书验证，确保用户连接到的是正确的服务器，而不是一个假冒的服务器。 开启通信加密 您可参考如下操作开启通信加密。 1. 以用户名和密码登录TeleDBDCP管理控制台。 2. 进入TeleDBDCP控制台管理页面，开通实例。 您可参考《安装部署》中实例服务初始化及实例开通章节开通实例。 3. 在实例开通页面，填写基本信息页面，打开SSL开关，打开内部通信加密开关。

本文介绍了如何使用弹性云主机的Windows实例搭建FTP站点 本文介绍了如何使用弹性云主机的Windows实例搭建FTP站点。该指导具体操作以Windows Server 2012 R2为例。 Windows实例搭建FTP站点具体操作步骤如下： 1、添加IIS以及FTP服务角色。 2、创建FTP用户名及密码。 3、设置共享文件的权限。 4、添加及设置FTP站点。 5、（可选）配置FTP防火墙支持。 6、设置安全组及防火墙。 7、客户端测试。

本节介绍了操作系统更新的相关内容。 云数据库 TaurusDB实例需要适时进行操作系统更新，以提高数据库性能和数据库的整体安全状况。 实例内核版本升级时，云数据库 TaurusDB会根据操作系统的实际情况，决定是否更新以及更新适合的操作系统冷补丁版本。 操作系统更新不会更改数据库实例的版本或数据库实例信息。 此外，云数据库 TaurusDB会在用户设置的运维时间段内，通过热补丁方式及时修复影响重大的操作系统漏洞。

功能 基础版 专业版 高级版 企业版 常见Web漏洞检测 √ √ √ √ 端口扫描 √ √ √ √ 自定义登录方式 √ √ √ √ Web 2.0高级爬虫 √ √ √ √ 网站指纹识别 √ √ √ √ 扫描任务管理 √ √ √ √ 漏洞查看及管理 √ √ √ √ CVE漏洞扫描 × √ √ √ 弱密码检测 × √ √ √ 网页内容合规检测（文字） × √ √ √ 操作系统漏洞扫描 × √ √ √ 操作系统基线检查 × √ √ √ 中间件基线检查 × √ √ √ 查看漏洞修复建议 × √ √ √ 下载扫描报告 × √ √ √ 安全监测（定时扫描） × √ √ √ 网页内容合规检测（图片） × × × √ 网站挂马检测 × × × √ 链接健康检测（死链、暗链、恶意外链） × × × √ 操作系统等保合规检查 × × × √

本文介绍了RDSPostgreSQL如何避免恶意访问数据库。 用户开通RDSPostgreSQL时，建议根据密码规则设置强密码并定期修改，以防密码泄露。 通过EIP访问实例时，建议用户妥善保存EIP、数据库端口、数据账号密码等数据库信息。 建议用户通过安全组限定源IP，确保访问IP可信。 您也可为您的实例设置访问白名单，杜绝非法IP访问您的数据库实例，具体设置方法可参照创建白名单。

本节介绍了在RabbitMQ实例中如何创建、修改和删除用户。 背景信息 客户端访问分布式消息服务RabbitMQ 版服务端时，需要传入用户名和密码进行权限认证，认证通过才允许访问服务端。 操作步骤 创建用户 1.登录管理控制台。 2.进入RabbitMQ管理控制台。 3.在实例列表页在操作列，目标实例行点击“管理”。 4.点击“集群管理”后点击“用户”到达用户管理页面，点击“新建”按钮。 5.点击“新建”后出现以下画面，输入用户密码后点击“确定”即可创建。 修改用户 1.在用户管理页面，在目标用户行点击“修改”，即可重置用户密码。 删除用户 1.在用户管理页面，在目标用户行点击“删除”，即可删除用户。 获取用户token 仅云原生引擎支持 （1）登录管理控制台。 （2）进入RabbitMQ管理控制台。 （3）在实例列表页在操作列，目标实例行点击“管理”。 （4）点击“集群管理”后点击“用户”到达用户管理页面，点击“Token”按钮。 在RabbitMQ中，获取用户令牌（token）的作用如下： 认证和授权：用户令牌用于认证和授权用户对RabbitMQ的访问权限。通过获取有效的用户令牌，可以验证用户的身份，并根据其权限配置来限制或授予其对虚拟主机、队列、交换机等资源的访问权限。 安全性：通过使用用户令牌进行认证，可以增加RabbitMQ系统的安全性。只有具有有效令牌的用户才能访问和执行相应的操作，从而减少了未经授权的访问和潜在的安全风险。 资源管理：用户令牌可以用于管理和限制用户对RabbitMQ资源的使用。通过为每个用户分配独立的令牌，可以控制其对虚拟主机、队列、交换机等资源的使用情况，避免资源滥用或过度消耗。 追踪和审计：通过用户令牌，可以追踪和记录用户对RabbitMQ的操作和访问历史。这对于安全审计、故障排查和性能优化等方面非常有用，可以帮助管理员了解系统的使用情况和问题定位。 总之，获取用户令牌是为了实现认证、授权和安全性，以及对RabbitMQ资源的管理和追踪。通过令牌，可以确保只有经过授权的用户才能访问和操作RabbitMQ，提高系统的安全性和可管理性。

本小节介绍DDoS基础防护最佳实践。 DDoS基础防护产品最佳实践 为保障公网业务持续稳定运行，避免因 DDoS 攻击导致 IP 封堵、业务中断，建议您按照以下最佳实践流程，使用天翼云 DDoS 基础防护并做好安全防护规划。 1.业务平稳运行阶段 在业务上线初期，若未遭受 DDoS 攻击，或攻击流量规模低于 DDoS 基础防护阈值，IP 不会触发封堵机制，业务网络可正常对外提供服务。 2.攻击触发封堵场景 随着业务规模扩大、行业竞争加剧，若业务遭遇针对性 DDoS 攻击，且攻击流量峰值超出基础防护阈值、挤占资源池带宽并影响网络稳定时，系统将自动对该 IP 执行 DDoS 封堵，暂时阻断公网流量以保障平台整体稳定。 3.接收封堵通知 IP 被封堵后，您将通过账号联系人及安全消息配置联系人的短信、邮箱、站内信同步收到封堵通知，通知中包含受影响 IP、攻击流量峰值、封堵时长等关键信息，便于您快速掌握异常情况。 4.方案查阅 参考官方产品文档与常见问题说明，了解封堵原因及对应的防护解决方案。针对开放DDoS基础防护控制台的资源池EIP，您可登录天翼云控制台，进入 DDoS 基础防护页面，复核流量封堵情况。 5.部署高防防护与 IP 优化 根据官方防护建议，选购并配置天翼云 DDoS 高防 IP、DDoS 高防（边缘云版）或第三方合规 DDoS 高防产品；同时同步更换业务 IP，并限制仅高防 IP 可访问业务 IP，实现业务 IP 隐藏与专业 DDoS 清洗防护，从根源避免再次触发DDoS封堵，保障业务长期稳定运行。

应用场景 使用CherryStudio加载DeepSeek大模型的应用场景如下： 1. 学习研究 ：学生用其整理复习资料、辅助学术研究、助力论文写作；研究人员用于文献综述、分析问题等。 2. 工作办公 ：项目管理中生成报告、分析风险；内容创作时构思创意、撰写文案；代码开发里获取代码示例、解决问题。 3. 生活娱乐 ：作为智能聊天伙伴解闷陪伴，为创意活动如绘画等提供灵感启发。 4. 知识管理 ：个人可构建知识体系，团队能实现知识共享。 注意 建议使用天翼云提供的DeepSeek镜像创建云主机，减少安装过程中可能遇到的问题。镜像选择请参考在天翼云使用Ollama运行DeepSeek的最佳实践7B等版本弹性云主机最佳实践AIGC实践 天翼云。 操作步骤 一、 云主机端口配置更新 首先，您需要登录天翼云控制中心，对部署DeepSeek大模型的云主机添加新的端口开放操作。通过天翼云控制台进入部署了DeepSeek大模型的云主机详情页，选择安全组，添加新的开放端口，建议选择新加114343端口，该端口是 Ollama 服务默认监听的端口。添加完成后，可在安全组规则列表中查看新添加的11434 端口规则，确认其状态为正常生效。 随后进入控制台，远程登陆即将安装AnythingLLM的云主机。

本文介绍Windows系统云主机如何自查病毒及中病毒后处理建议 一，排查思路 1. 排查系统运行情况 结合用户反映的故障现象，排查相关进程（例如，故障现象为资源占用率高，则排查占用资源较多的进程；故障现象为网络带宽占用较多，则排查网络连接较多的进程）。重点排查进程所关联的文件、启动进程的账户等信息。 2. 排查系统运行环境 通过排查系统启动项、计划任务、系统服务启动等情况，排查可疑程序自动拉起的信息，为阻止恶意程序自运行提供依据。 3. 排查攻击来源 查看登录记录，排查是否存在远程暴力破解行为、是否有不明IP登录系统，系统内是否出现不明账户 二，常见安全入侵排查 (一)挖矿病毒 1. 故障现象 CPU占用率接近100%。 2. 排查思路 确认占用CPU资源的进程，分析该进程对应的程序，查找可疑文件，并根据文件内容确认是否为挖矿程序。 3. 排查过程 在任务管理器中查看进程列表，确认占用CPU资源的主要进程。 查找该进程关联的程序。 xmrig是典型的门罗币挖矿程序，可通过其同目录下的“start.cmd”文件查看挖矿参数。其参数说明如下：o矿池地址和端口号；u账户地址；p密码。 4. 解决方法 停用恶意进程、删除恶意程序、检查自启动项目和计划任务、检查系统内可疑账户、为远程登录账户设置强口令、通过安全组对远程访问的IP地址进行限制。

本节主要介绍边边网络的组成、产品优势、应用场景和使用限制。 针对处于相同或者不同边缘云地域下的多VPC之间内网互通场景，边边网络EEN(Edge to Edge Network)提供多VPC内网互通服务，其可以快速构建安全、稳定、灵活的边边互通网络。 边边网络提供路由控制功能，当VPC加入边边网络实例时，系统会自动将VPC下所有子网的路由自动添加到边边网络实例的路由表，添加后路由默认不开启，需手动开启；当VPC和边边网络实例解除关联后，对应的路由会自动删除。若关联的多个VPC下的子网CIDR有重叠冲突或者包含冲突时，当两个子网路由均需开启时，后开启的路由将因冲突不能开启。 应用场景 同地域多VPC内网互通组网 针对ECX同一地域下的两个以上的VPC之间内网互通组网需求，建议使用EEN关联多个VPC的方式实现内网互通，该方式可以代替传统的VPC对等连接功能，简化多VPC之间内网互通的网络结构和配置，同时还保留后续跨边缘云地域的内网组网能力。 跨地域多VPC内网互通组网 针对ECX边缘云不同地域下的多个VPC之间的内网互通组网需求，建议使用EEN关联多个VPC的方式实现内网互通，该方式代替传统的VPN和专线方案快速实现跨边缘云地域多VPC内网组网，可以简化配置和成本，同时提供安全、优质、稳定的网络质量。 同一边边网络实例可以同时支持ECX边缘云同地域多VPC内网互通和跨地域多VPC内网互通需求。

本章节介绍CNI插件的使用 背景 sidecar模式下，服务网格默认通过给业务pod注入一个istioinit容器配置iptabels规则，实现业务无感的流量拦截，但是这种配置方式需要较高的权限（NETADMIN 和 NETRAW），在对安全较为敏感的场景，这种配置方式可能带来安全风险。通过CNI插件方式，不需要用户提权的情况完成和istioinit相同的能力，实现容器流量拦截配置功能。CNI插件以DaemonSet方式部署在集群中，创建pod时完成容器网络配置。 操作 进入服务网格控制台 > sidecar管理 > 网格CNI插件 菜单，您可以选择对应的istio版本和相关配置，开启或关闭CNI插件，配置说明如下 配置 说明 版本 升级过程中可能同时存在多个版本，您可以选择一个版本开启CNI插件 排除的命名空间 排除的命名空间下的pod不会被CNI插件处理，一般配置为一些不希望注入网格sidecar的命名空间。请勿将需要注入sidecar的命名空间添加到CNI排除的命名空间列表中，可能导致pod启动失败。 使用CNI插件实现sidecar流量拦截配置 1. 进入服务网格控制台 > sidecar管理 > 网格CNI插件 菜单，开启网格CNI插件，完成后可以看到云容器引擎中已经部署了网格CNI 2. 部署应用服务，确保pod所在的命名空间及pod的标签满足sidecar注入规则，且pod所在的命名空间不在网格CNI插件的排除命名空间里；部署完成后可以看到pod注入了sidecar plaintext

本节主要介绍绑定弹性公网IP。 操作场景 弹性公网IP提供独立的公网IP资源，包括公网IP地址和公网出口带宽服务。GeminiDB Influx实例创建成功后，支持用户绑定弹性公网IP，通过公共网络访问数据库实例，绑定后也可根据需要解绑。 使用须知 您需要设置安全组，开通需访问数据库的IP地址和端口，才可以访问数据库实例。在访问数据库前，您需要在虚拟私有云申请一个弹性公网IP，并将访问数据库的IP地址，或者IP段加安全组入方向的访问规则。 GeminiDB Influx使用您在VPC控制台购买的公网IP绑定到实例上。 对于已绑定弹性公网IP的节点，需解绑后，才可重新绑定其他弹性公网IP。 绑定弹性公网IP 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB”。 3. 在“实例管理”页面，选择指定的实例，单击实例名称。 4. 在“基本信息”页面“节点信息”区域的节点上，单击“绑定弹性IP”。 图1 绑定弹性公网IP 5. 在弹出框的弹性公网IP列表中，显示“未绑定”状态的弹性公网IP，选择所需绑定的弹性公网IP，单击“是”，提交绑定任务。如果没有可用的弹性公网IP，单击“查看弹性IP”，创建新的弹性公网IP。 图2 选择弹性公网IP 6. 在节点的“弹性IP”列，查看绑定成功的弹性公网IP。 如需关闭，请参见下文解绑弹性公网IP。

添加事件源 创建API API分组、自定义认证函数、后端函数均创建成功以后，可以创建API，设置安全认证为自定义认证，并定义后端服务类型为FunctionGraph，步骤如下。 1. 登录APIG控制台，选择已创建的APIG专享版实例，并在导航栏选择“API管理 > API列表”，单击右上方的“创建API”。 2. 配置API基本信息。 1. API名称：输入您自定义的名称，例如APItest。 2. 所属分组：请选择上述操作中创建的API分组“APIGrouptest”。 3. URL：请求方法选择“ANY”，请求协议选择“HTTPS”，请求路径填写“/testAPI”。 4. 网关响应：选择“default”。 5. 安全认证：选择“自定义认证”。 6. 自定义认证：选择上述操作中创建的自定义认证“Authorizertest”。 3. 单击“下一步”，进行后端配置。 1. 后端服务类型：选择“FunctionGraph” 2. 函数URN：添加创建的业务函数 3. 版本或别名：选择“latest”版本 4. 调用类型：选择“Synchronous” 4. 单击下一步，完成API创建。 5. 继续在当前页面，单击“发布”，将已创建的API发布至RELEASE环境。 调试并调用API API网关提供了在线调试的功能，因此一般建议在API网关上完成API配置之后，可以先通过此功能确认API是否配置成功。 1. 登录APIG控制台，选择已创建的APIG专享版实例，并左导航栏选择“API管理 > API列表”，单击进入已创建的API“APItest”，右上角单击“调试”。 2. 在本案例中，需要添加Headers参数，完成后单击“调试”。 1. 参数名：输入“auth” 2. 参数值：输入“abc” 3. API返回内容即为前面步骤中创建的业务函数返回内容。

本文为您介绍云密评专区的权限管理能力，支持通过IAM实现对云密评专区的访问控制、权限分配。 天翼云提供统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。通过IAM服务定义企业项目、创建子用户，轻松实现IAM子用户对云密评专区资源的访问控制、权限分配等。 默认情况下，天翼云主账号拥有管理员权限，而主账号创建的IAM用户没有任何权限。IAM用户需要加入用户组，并给用户组授权相应策略后，IAM用户才能获得策略对应的权限，才可以基于被授予的权限对云服务进行操作。 云密评专区支持企业项目管理，若您需要对云密评专区资源进行分组和管理，形成逻辑隔离，您可以创建企业项目，并将资源划分至不同的企业项目中，不同的企业项目可以绑定不同的用户组，并给用户组授予云密评专区产品的权限策略（包括系统策略和自定义策略），从而实现对特定资源的授权。 说明 仅“一类节点”区域的实例支持企业项目管理。 IAM应用场景 IAM策略主要面向同一主账号下，对不同IAM用户授权的场景： 您可以为不同操作人员或应用程序创建不同IAM用户，并授予IAM用户刚好能完成工作所需的权限，比如查看权限，进行最小粒度授权管理。 新创建的IAM用户可以使用自己的登录名和密码登录控制台，实现多用户协同操作时无需分享账号密码的安全要求。

STS即Secure Token Service 是一种安全凭证服务，可以使用STS来完成对于临时用户的访问授权。对于跨用户短期访问对象存储资源时，可以使用STS服务。这样就不需要透露主账号AK/SK，只需要生成一个短期访问凭证给需要的用户使用即可，避免主账号AK/SK泄露带来的安全风险。 初始化STS服务 python accesskey ' ' secretkey ' ' endpoint ' ' region 'cn' ​ self.stsclient boto3.client( 'sts', awsaccesskeyidaccesskey, awssecretaccesskeysecretkey, endpointurlendpoint, regionnameregion) 获取临时token python def assumerole(self): print('assumerole') bucket ' ' policy r'{"Version":"20121017","Statement":{"Effect":"Allow","Action":["s3:"]' r',"Resource":["arn:aws:s3:::%s","arn:aws:s3:::%s/"]}}' % (bucket, bucket) rolearn "arn:aws:iam:::role/ " rolesessionname " " ​ print('policy: %s' % policy) response self.stsclient.assumerole( Policypolicy, RoleArnrolearn, RoleSessionNamerolesessionname, ) print('ak %s' % response['Credentials']['AccessKeyId']) print('sk %s' % response['Credentials']['SecretAccessKey']) print('token %s' % response['Credentials']['SessionToken']) 请求参数 参数 类型 描述 是否必要 RoleArn String 角色的ARN，在控制台创建角色后可以查看 是 Policy String 角色的policy，需要是json格式，限制长度1~2048 是 RoleSessionName String 角色会话名称，此字段为用户自定义，限制长度2~64 是 DurationSeconds Integer 会话有效期时间，默认为3600s，范围15分钟至12小时 否

本节主要介绍查看IAM操作记录 开通云审计服务 云审计服务（Cloud Trace Service，以下简称CTS），是安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 为了方便查看IAM的关键操作事件，例如创建用户、删除用户等，管理员需开启云审计服务。 操作步骤 步骤 1 管理员登录控制台。 步骤 2 选择“服务列表 > 管理与监管 > 云审计服务2.0”，如之前账号未开通过云审计服务，会进入云审计服务授权页面，单击“同意授权并开通”，进入云审计服务页面。 步骤 3 在贵州区域创建1个管理追踪器，用于记录IAM服务的管理操作事件。 在IAM进行操作，例如创建用户、用户组等，CTS将会记录这些操作。CTS支持记录的IAM相关的操作事件，如下表所示。 表 CTS支持的IAM操作列表 操作名称 资源类型 事件名称 用户登录 user login 用户登出 user logout 创建用户 user createUser 修改用户信息 user updateUser 删除用户 user deleteUser 创建AK/SK user createCredential、addCredential 删除AK/SK user deleteCredential 停用、启用AK/SK user changeCredentialStatus 修改AK/SK user updateCredential 创建用户组 userGroup createUserGroup 更新用户组 userGroup updateGroup、updateUserGroup 删除用户组 userGroup deleteUserGroup 添加用户到用户组 userGroup addUserToGroup、updateUser/updateUserGroup 从用户组删除用户 userGroup removeUserFromGroup、updateUser/updateUserGroup 创建委托 agency createAgency 修改委托 agency updateAgency 删除委托 agency deleteAgency 切换角色 agency switchRole Token createToken 创建自定义策略 role createRole 修改自定义策略 role updateRole 删除自定义策略 role deleteRole

本节主要介绍权限基本概念 权限 默认情况下，管理员创建的IAM子用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 权限的分类 权限根据授权精细程度分为角色和策略。 角色： IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于天翼云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色不能完全满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略： IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对ECS服务，管理员能够控制IAM用户仅能对云主机资源进行某一类指定的管理操作。 策略根据创建的对象，分为系统策略和自定义策略。 策略系统策略 云服务在IAM预置了常用授权项，称为系统策略。管理员给用户组授权时，可以直接使用这些系统策略，系统策略只能使用，不能修改。 如果管理员在IAM控制台给用户组或者委托授权时，无法找到特定服务的系统策略，原因是该服务暂时不支持IAM。

本章节主要介绍DDS数据迁移到DWS。 操作场景 CDM支持迁移文档数据库服务（Document Database Service，简称DDS）的数据到其他数据源，这里以数据仓库服务（Data Warehouse Service，简称DWS）为例，介绍如何使用CDM将DDS数据迁移到DWS，流程如下： 1.创建CDM集群并绑定EIP 2.创建DDS连接 3.创建DWS连接 4.创建迁移作业 前提条件 已DWS/DDS。 已获取DWS/DDS数据库的IP地址、端口、数据库名称、用户名、密码，且该用户拥有DWS/DDS数据库的读、写和删除权限。 创建CDM集群并绑定EIP 1.参考创建CDM集群，创建CDM集群。 关键配置如下： CDM集群的规格，按待迁移的数据量选择，一般选择cdm.medium即可，满足大部分迁移场景。 如果DDS和DWS属于相同的VPC，则创建CDM集群时选择同一个VPC，不用绑定EIP。子网、安全组可以选择与其中一个（DDS或DWS）集群的保持一致，再配置安全组规则允许CDM集群访问另一个服务（DWS或DDS）的集群。 如果DDS和DWS不在同一个VPC，则创建CDM集群时选择与DDS相同的VPC，再将CDM集群 解绑/绑定集群的EIP，CDM通过EIP访问DWS集群。 2.CDM集群创建完成后，选择集群操作列的“绑定弹性IP”，CDM通过EIP访问DWS。如果DDS与DWS在同一个VPC，则不用为CDM集群绑定EIP。 说明 如果用户对本地数据源的访问通道做了SSL加密，则CDM无法通过弹性IP连接数据源。

本小节介绍如何修改默认密码。 确认防火墙的版本 确认是R7及之前的版本还是R8及之后的版本。 1.R7及之前版本的登录页面。 2.R8及以后版本的登录页面。 R7及之前版本修改密码 当前版本较老，修改完成密码后建议确认好一个窗口时间（需要升级两次15分钟），然后在天翼云平台上提交升级需求单会有工程师联系进行升级。 1.登录防火墙进入系统→设备管理→管理员页面； 2.勾选需要修改密码的账号，再点击编辑； 3.在密码框里输入新的密码，点击确认。留存好新的密码。 R8及以后版本修改密码 1.登录防火墙后点击右上角的账号。 2.点击修改密码。 3.输入原始密码及修改后的密码点击确认，留存好更新后的密码。 密码安全提醒 为了您的业务安全，请不要使用默认密码，并定期对您的密码进行修改。建议密码长度不小于8个字符，包含大写字母、小写字母、数字和特殊符号中的至少3种，并且每3个月更换一次密码。如您需要技术人员协助修改密码，请通过官网工单系统或拨打4008109889热线电话与我们联系。

本章节向您介绍利用VPN连接打造云间互联通道的搭建方案。 步骤1进入VPN连接产品控制台 在任意二类节点的控制中心，进入“VPN”产品控制台。 步骤2创建VPN网关实例 在需要云间互联的节点中，分别创建VPN网关。 VPN网关可根据自身网络业务特征，选择不同的VPN网关计费类型。 若需要长期不间断地传输大量数据，可选择按带宽计费方式 若仅需要短期或偶尔传输少量数据，可选择按流量计费方式 此最佳实践操作中，均选择按流量计费方式。VPN网关创建成功后，如下图所示。 步骤3创建VPN连接实例 在需要云间互联的节点中，分别创建VPN连接。 VPN连接需要填入远端网关以及远端子网信息，以及IPSec VPN加密隧道密钥。 VPN连接创建成功后，如下图所示。 步骤4互通性验证 在创建VPN网关的VPC子网中，创建2台弹性云主机实例。 云主机实例的安全组将VPN连接的远端子网进行放通。 放通后，以ping方式进行验证，具体如下图所示。 经过以上验证，可以证明以上的VPN连接已完成互通能力搭建，可进行点对点安全加密通信。

本章介绍处理HSS暴力破解告警的方法。 说明 收到告警事件通知说明您的云服务器被攻击过，不代表已经被破解入侵。 您可在收到告警后，及时对告警进行分析、排查，采取相应的防护措施即可。 可能原因：由于您服务器的远程连接端口没做访问控制，导致网络上的病毒频繁攻击您服务器端口。 解决方案：您可通过以下方式来改善被频繁暴破攻击的情况，降低风险： 1、配置白名单 2、修改端口 3、设置安全组规则 4、开启双因子认证 5、设置高强度口令 操作详情请参见如何预防账户暴力破解攻击？

配置集群 在云容器引擎智算版页面，完成智算集群选项配置。 配置项 描述 实例名称 填写集群的名称。说明最长40字符，只能包含大小写字母、数字及分隔符()，且必须以大小写字母开头 计费模式 云容器引擎智算版支持包年包月付费类型。选择包年包月时，API Server的私网ELB实例、控制节点及工作节点等资源的计费方式将保持一致 购买时长 目前支持选择1、2、3、4、5、6个月和1年 自动续订 设置是否自动续费 Kubernetes 版本 显示当前智算集群支持的Kubernetes版本 容器运行时 智算集群目前仅支持docker容器运行时 企业项目 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理 虚拟私有云 设置集群的虚拟私有网络，如果没有您需要的虚拟私有云，可以通过单击创建虚拟私有云进行创建 网络插件 设置启用的网络插件和插件配置，支持cubecni网络插件。cubecni 是云容器引擎自研的网络插件，支持基于 Kubernetes 标准的网络策略来定义容器间的访问策略 所在子网 设置所在子网。您可以在子网列表中，选择可用的子网 安全组 支持选择已有安全组。指定已有安全组时，系统默认不会为安全组配置额外的访问规则，可能会导致访问异常，请自行管理安全组规则 Pod子网 选择Pod子网。子网大小决定Pod创建数量，建议选择网段掩码不大于19的子网 Service CIDR 设置Service CIDR。您需要指定Service CIDR，Service地址段不能和Pod地址段重复。可选范围：10.0255.0.0/1624，172.1631.0.0/1624，192.168.0.0/1624 API server 访问 API Server的访问需要依赖ELB实例，您可根据需要选择合适的ELB规格，系统将根据该规格创建一个私网ELB实例。默认使用EIP暴露API Server，开启后，将为内网ELB实例绑定一个EIP，获得从公网访问集群API Server的能力 EIP 选择已有EIP，如果没有可用EIP，可以通过单击创建EIP进行创建 时区 选择所在时区 kubeproxy模式 kubeproxy支持iptables和ipvs模式。iptables：传统的kubeproxy模式，配置和维护较为简单，适用于集群中service较少的场景；ipvs：高效的kubeproxy模式，具有更好的可扩展性和性能，支持更高的并发连接数和吞吐量，适用于集群中service较多、集群规模较大的场景 集群标签 添加标签。标签键不可以重复，标签键、标签值最长32个字符，且标签键和标签值都不以“ctyun”、“ 集群本地域名 域名由小数点(.)分隔的一个或多个部分构成，每个部分最长为63个字符，可以使用小写字母、数字和中划线()，且首尾必须为小写字母或数字 自定义证书SAN 设置自定义证书SAN。多个 IP 或域名以英文逗号(,)分隔 服务账号令牌卷投影 设置serviceaccountissuer和apiaudiences。apiaudiences 支持配置多个 audience 以英文逗号分隔 集群删除保护 设置是否启用集群删除保护。防止通过控制台或者API误删除集群 部署模式 目前支持选择单可用区部署。单可用区部署请选中任意一个AZ，多可用区部署系统会自动将控制节点以及工作节点平均分配至各可用区，当可选择的可用区少于三个时，仅支持单可用区部署

本节为您介绍如何购买开通数据安全中心服务。 数据安全中心提供两个服务版本：标准版和专业版，两种扩展包：数据库扩展包和OBS扩展包。您可以根据业务需求购买数据安全中心服务。 购买约束 降配：数据安全中心DSC不支持降低购买版本的规格。如果您需要降低购买的DSC规格，可以先退订当前的DSC，再重新购买较低版本的DSC。 绑定关系：数据库扩展包和OBS扩展包与DSC版本绑定，不能单独续费或退订。 规格限制 1个数据库扩展包含1个可添加数据库（支持RDS、DWS、ECS自建数据库、DLI、Elasticsearch、ECS自建大数据等）资产。 1个OBS扩展包含1T体量，即1024G。 操作步骤 1. 登录管理控制台。 2. 点击左上角的，选择区域或项目。 3. 点击左侧导航树中的，选择“安全与合规 >数据安全中心”。 4. 首次购买DSC，在界面左侧，单击“立即购买”。 5. 选择“区域”和“版本规格”，并选择“数据库扩展包”和“OBS扩展包”的数量。 扩展包： 1个数据库扩展包含1个可添加数据库（支持RDS、DWS、ECS自建数据库、DLI、Elasticsearch、ECS自建大数据等）资产。 1个OBS扩展包含1T体量，即1024G。 6. 数据安全中心可以选择1个月～3年的时长。 说明 勾选“自动续费”后，当服务期满时，系统会自动按照购买周期进行续费。 7. 在页面的右下角，单击“立即购买”。 8. 确认订单无误后，阅读并勾选“我已阅读并同意《数据安全中心免责声明》”，单击“去支付”。 9. 进入“付款”页面，请选择付款方式进行付款。

本节介绍了RabbitMQ接入的代码示例。 安全接入点(PLAIN、AMQPLAIN授权机制) java import com.rabbitmq.client.; import java.io.IOException; public class RabbitmqAmqpDemo { public static void main(String[] args) throws Exception { String host "192.168.0.0"; //安全接入点ip Integer port 5672; //安全接入点port String username "xxx"; //集群管理用户列表的用户名 String password "xxx"; //集群管理用户列表的密码 String vhost "/"; String exchangeName "extest"; String queueName "qutest"; ConnectionFactory connectionFactory new ConnectionFactory(); connectionFactory.setHost(host); connectionFactory.setPort(port); connectionFactory.setUsername(username); connectionFactory.setPassword(password); connectionFactory.setVirtualHost(vhost); Connection connection connectionFactory.newConnection(); Channel channel connection.createChannel(); channel.exchangeDeclare(exchangeName, BuiltinExchangeType.DIRECT, true); channel.queueDeclare(queueName, true, false, false, null); channel.queueBind(queueName, exchangeName, "test"); String message "Hello Aop"; for (int i 0; i < 10; i++) { channel.basicPublish(exchangeName, "test", null, message.getBytes()); System.out.println("消息发送成功"); } Channel consumeChannel connection.createChannel(); Consumer consumer new DefaultConsumer(consumeChannel) { @Override public void handleDelivery(String consumerTag, Envelope envelope, AMQP.BasicProperties properties, byte[] body) throws IOException { String messageGet new String(body, "UTF8"); if (messageGet.equals(message)) { System.out.println("消息消费成功"); } } }; consumeChannel.setDefaultConsumer(consumer); consumeChannel.basicConsume(queueName, false, consumer); Thread.sleep(10000); } } SSL接入点(EXTERNAL授权机制) java import com.rabbitmq.client.; import javax.net.ssl.KeyManagerFactory; import javax.net.ssl.SSLContext; import javax.net.ssl.TrustManagerFactory; import java.io.FileInputStream; import java.io.IOException; import java.security.KeyStore; public class RabbitmqExternalDemo { public static void main(String[] args) throws Exception { String host "192.168.0.0"; //SSL接入点ip int port 5671; //SSL接入点port //以下2个ssl文件可通过控制台获取安装包, 具体的获取方式可以查看2.2.1接入步骤的第二小节 String ksFile "D:tmpsslclientrabbitmqkey.p12"; String tksFile "D:tmpssltruststore"; String vhost "/"; String exchangeName "extest"; String queueName "qutest"; char[] keyPassphrase "W3zT98Zz9Io".toCharArray(); KeyStore ks KeyStore.getInstance("PKCS12"); ks.load(new FileInputStream(ksFile), keyPassphrase); KeyManagerFactory kmf KeyManagerFactory.getInstance("SunX509"); kmf.init(ks, keyPassphrase); char[] trustPassphrase null; trustPassphrase "W3zT98Zz9Io".toCharArray(); KeyStore tks KeyStore.getInstance("JKS"); tks.load(new FileInputStream(tksFile), trustPassphrase); TrustManagerFactory tmf TrustManagerFactory.getInstance("SunX509"); tmf.init(tks); SSLContext c SSLContext.getInstance("tlsv1.2"); c.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null); ConnectionFactory connectionFactory new ConnectionFactory(); connectionFactory.setHost(host); connectionFactory.setPort(port); connectionFactory.setVirtualHost(vhost); connectionFactory.setSaslConfig(DefaultSaslConfig.EXTERNAL); connectionFactory.useSslProtocol(c); Connection connection connectionFactory.newConnection(); Channel channel connection.createChannel(); channel.exchangeDeclare(exchangeName, BuiltinExchangeType.DIRECT, true); channel.queueDeclare(queueName, true, false, false, null); channel.queueBind(queueName, exchangeName, "test"); String message "Hello Aop"; for (int i 0; i < 10; i++) { channel.basicPublish(exchangeName, "test", null, message.getBytes()); System.out.println("消息发送成功"); } Channel consumeChannel connection.createChannel(); Consumer consumer new DefaultConsumer(consumeChannel) { @Override public void handleDelivery(String consumerTag, Envelope envelope, AMQP.BasicProperties properties, byte[] body) throws IOException { String messageGet new String(body, "UTF8"); if (messageGet.equals(message)) { System.out.println("消息消费成功"); } } }; consumeChannel.setDefaultConsumer(consumer); consumeChannel.basicConsume(queueName, false, consumer); Thread.sleep(10000); } }

当进行授权数据安全中心DSC服务访问对象存储OBS资产后，可将OBS资产添加到DSC服务里进行防护。 前提条件 需要完成OBS资产委托授权，具体可以参考云资源委托授权/停止授权操作。 如果需要添加自有对象存储OBS桶，则需要已开通且已使用过OBS服务。 如果需要添加其他桶，则需设置该桶的权限为“公共”。 操作步骤 1. 登录管理控制台。 2. 点击左上角的，选择区域或项目。 3. 点击左侧导航树中的，选择“安全与合规 >数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中选择“资产列表”，进入OBS资产列表页面。 5. 添加OBS资产。 添加自有桶 1. 在OBS资产列表左上角，单击“添加自有桶”。 2. 在弹出添加自有桶对话框中，勾选需要添加的OBS桶。 3. 单击“确定”。 添加其他桶 1. 在OBS资产列表左上角，单击“添加其他桶”。 2. 在弹出的添加其他桶对话框中，输入待添加桶的名称。 如需添加多个桶，则可单击，继续进行添加。 3. 单击“确定”。