统一身份认证服务 统一身份认证（IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全地控制云服务和资源的访问及操作权限。IAM服务申请开通后免费使用，您只需要为您账号中的云服务和资源进行付费。 云审计服务 云审计服务（CTS），为用户提供云服务资源操作记录的收集、存储和查询功能，用于支撑安全分析、合规审计、资源跟踪和问题定位，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。云审计服务申请开通后免费使用，事件文件转储功能会使用对象存储服务，会产生对象存储服务费用。

本文带您快速熟悉如何获取访问密钥(AK/SK)。 访问密钥即AK/SK（Access Key ID/Secret Access Key），是您通过开发工具（API、SDK）访问部分云服务平台时的身份凭证，不能登录控制台。系统通过AK识别访问用户的身份，通过SK进行签名验证，通过加密签名验证可以确保请求的机密性、完整性和请求者身份的正确性。 获取AKSK操作说明 1. 通过实名认证的账号登录天翼云。 2. 进入天翼云账号中心。 3. 点击【安全设置】进入安全设置中心 4. 在用户AccessKey模块，可创建AKSK，或直接查看已生成的AKSK。

场景 场景描述 在线加密 适用于保护小型敏感数据（小于6KB）的加解密，如密钥、证书、配置文件等。 用户的数据会通过安全信道传递到KMS服务端，服务端通过指定CMK完成加密和解密后，操作结果通过安全信道返回给用户。 信封加密 适用于海量数据的高性能加解密，如规模较大的对性能敏感的本地文件。 通过KMS生成数据密钥DEK，并返回DEK明文及经指定CMK加密的DEK密文。用户使用数据密钥DEK明文在本地进行高效的加解密处理，然后将内存中的DEK明文销毁，将DEK密文及密文文件落盘存储。

安全组，可以根据实际需要在安全组添加安全规则 resource "ctyunsecuritygroup" "securitygroupopenclawtest" { vpcid ctyunvpc.vpctest.id name "sgopenclawtest" description "openclaw测试使用" } 定义输出 output "ecsinfo" { description "创建的云主机名称和EIP列表" value [ for ecs in ctyunecs.ecstest : { instancename ecs.instancename eipaddress ecs.eipaddress } ] } 6. 在资源栈管理中，参考创建资源栈，选择刚才创建的模板，并填写参数触发资源栈的创建。 注意：OpenClaw的部署需要选择相关的资源池、镜像和规格，具体信息请参考 使用云主机部署OpenClaw 7. 参考部署资源栈，完成资源栈部署。 8. 部署完成后，您可前往对应资源栈控制台查看资源的创建结果。 可以在资源Tab查看创建的资源 可以在输出Tab查看自定义的输出信息。 9. OpenClaw云主机使用完毕，可以点击删除按钮一键删除。

安全组，可以根据实际需要在安全组添加安全规则 resource "ctyunsecuritygroup" "securitygroupopenclawtest" { vpcid ctyunvpc.vpctest.id name "sgopenclawtest" description "openclaw测试使用" } 定义输出 output "ecsinfo" { description "创建的云主机名称和EIP列表" value [ for ecs in ctyunecs.ecstest : { instancename ecs.instancename eipaddress ecs.eipaddress } ] } 6. 在资源栈管理中，参考创建资源栈，选择刚才创建的模板，并填写参数触发资源栈的创建。 注意：OpenClaw的部署需要选择相关的资源池、镜像和规格，具体信息请参考 使用云主机部署OpenClaw 7. 参考部署资源栈，完成资源栈部署。 8. 部署完成后，您可前往对应资源栈控制台查看资源的创建结果。 可以在资源Tab查看创建的资源 可以在输出Tab查看自定义的输出信息。 9. OpenClaw云主机使用完毕，可以点击删除按钮一键删除。

本文主要介绍远程连接Windows云主机报错:您的凭据无法工作怎么处理。 问题描述 Windows操作系统的本地PC，通过RDP协议（如MSTSC方式）远程桌面连接Windows弹性云主机报错，报错显示：您的凭据无法工作，之前用于连接到云主机的凭据无法工作，请输入新凭据。 处理方法 请按照以下步骤依次排查，并在每一个步骤执行完后重新连接Windows云主机验证问题是否解决，如未生效请继续执行下一步骤。 步骤一：修改网络访问策略 步骤二：修改凭据分配 步骤三：设置本地主机的凭据 步骤四：关闭云主机密码保护共享 步骤一：修改网络访问策略 1.使用管理控制台VNC方式登录云主机。 2.打开“开始 > 运行”，输入“gpedit.msc”，打开“本地组策略编辑器”。 图 gpedit.msc 3.选择“计算机配置 < Windows设置 < 安全设置 < 本地策略 < 安全选项”，打开“网络访问：本地帐户的共享和安全模型”。 图 打开网络访问策略 4.选择“经典 对本地用户进行身份验证，不改变其本来身份”，单击“确定”。 图 修改网络访问策略

产品优势 一句话命令，跨终端远程智控 CoSpace是云智助手新增的AI云电脑桌面智能体功能，作为办公场景下的全天候AI工作伙伴，主打"一句话命令、跨终端远程智控云电脑"核心能力。用户无需额外下载，通过简单对话即可完成文件查找、办公软件操作、任务执行等复杂办公需求。 多端无缝接入 支持移动端、桌面端、H5端等多端访问，实现真正的跨终端协同办公。无论您身在何处，都能随时随地智控云电脑。 企业级安全保障 依托天翼云强大算力底座，采用企业级沙箱防护方案，构建多层次安全体系，通过严格权限隔离防范各类安全风险，保障企业核心业务数据安全合规。 零门槛快速体验 云电脑已内置CoSpace专属镜像选择，用户一键开通或者切换到CoSpace后，只需在云智助手侧边栏点击「CoSpace智协空间」入口即可直接使用，技术小白也能轻松上手。 开通指引 开通步骤 方式一：新用户订购开通CoSpace专属镜像 1. 扫描以下二维码，或复制链接至浏览器打开++产品详情页++，点击“立即订购”； 2. 登录成功后，选择对应“Windows Server 2022 OpenClaw 64位”镜像，其他配置按需选择，点击“立即购买”完成下单，可参照++快速订购流程++； 3. 下载云电脑客户端，登录即可使用。 注意CoSpace智协空间镜像会在按照资源池陆续上架，如所选择资源池未出现，请耐心等待。

云搜索服务已接入云审计服务。通过云审计服务，您可以查询云搜索服务相关的操作事件，便于日后的查询、审计和回溯。 云搜索服务默认接入云审计服务，云审计服务是云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 前提条件 开通云搜索服务实例对应资源池的云审计服务。 开通云审计服务建议您从官网对应资源池“控制中心”>“管理与部署”>“云审计”进入开通。 操作步骤 您可通过云审计控制台查看云搜索服务近7天的相关操作。具体查看方法参见查看审计事件。 当前已纳入云审计的关键操作列表 操作名称 资源类型 创建实例 instance 查询实例详情 instance 修改实例密码 instance 扩容实例 instance 扩容存储容量 instance 扩容专属节点 instance 实例规格升配 instance 安全模式修改 instance 下载安全证书 instance 重启实例 instance 开启日志服务 instance 关闭日志服务 instance 开启审计日志 instance 关闭审计日志 instance 开启实例公网访问 instance 修改实例公网访问 instance 关闭实例公网访问 instance 开启Kibana&Cerebro公网访问 instance 修改Kibana&Cerebro公网访问 instance 关闭Kibana&Cerebro公网访问 instance 开启快照能力 snapshot 关闭快照能力 snapshot 开启自动快照 snapshot 关闭自动快照 snapshot 手动创建快照 snapshot 恢复快照 snapshot 删除指定快照 snapshot 修改参数配置 instance 安装插件 instance 卸载插件 instance 获取参数配置列表 instance 修改参数配置 instance 绑定ELB instance 解绑ELB instance

本节介绍如何接入安全产品的日志、告警。 开通云安全中心实例后，系统默认会接入部分日志数据并对用户进行初始化配置。您可以根据自己的业务特性修改初始化配置。 在云安全中心的集成配置页面，选择需要接入的日志类型。部分日志支持直接转告警，可以直接打开转告警开关，云安全中心会根据内置转告警规则进行转告警配置。 前提条件 已购买云安全中心实例，具体操作请参见购买云安全中心实例。 已购买天翼云上的安全服务“Web应用防火墙（原生版）、服务器安全卫士（原生版）、云等保专区、数据库审计、云堡垒机（原生版）企业版、云防火墙（原生版）”并部署在天翼云上。 操作步骤 1. 登录云安全中心控制台。 2. 在左侧导航栏，选择“设置 > 数据源监控”，打开数据源监控页面。 3. 在操作列点击“启用”，确保数据源监控处于启用状态。 4. 在左侧导航栏，选择“设置 > 集成配置”，打开数据集成配置页面。 5. 选择需要接入的日志，并打开日志接入开关。 6. 选择需要转告警的日志，并打开自动转告警的开关。 说明 系统默认会接入部分日志，用户如有需要，可以自行关闭。 需要先在数据源监控页面启用开关后，才可以在集成配置页面中开启日志和告警配置。 选择需要接入的日志时，只能针对您已经购买的云产品。 选择需要转告警的日志，只能针对已经选择接入的日志进行。

通过添加审计范围，设置需要审计的数据库范围 数据库安全审计默认提供一条“全审计规则”的审计范围，可以对成功连接数据库安全审计的所有数据库进行安全审计。您也可以通过添加审计范围，设置需要审计的数据库范围。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 已成功添加数据库并开启审计功能。 操作步骤 1. 登录管理控制台。 2. 单击右上角的 ，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全审计“总览”界面。 4. 在左侧导航树中，选择“审计规则”，进入审计规则界面。 5. 在“选择实例”下拉列表框中，选择需要添加审计范围的实例。 6. 在审计范围列表框左上方，单击“添加审计范围”。 说明 数据库安全审计默认提供一条“全审计规则”的审计范围，可以审计所有连接数据库安全审计实例的数据库。该审计规则默认开启，您只能禁用或启用该审计规则。 7. 在弹出的对话框中，设置审计范围，如下图所示，相关参数说明如下表所示。 参数名称 说明 取值样例 名称 您可以自定义审计范围的名称。 audit00 数据库名称 选择待添加审计范围的数据库。 dbss 数据库账户 可选参数。输入数据库的用户名。 源IP 可选参数。输入访问待审计数据库的IP地址或IP地址段。IP地址支持IPv4（例如，192.168.1.1）和IPv6（例如，1050:0:0:0:5:600:300c:326b）格式。 源端口 可选参数。输入访问待审计数据库的端口。 8. 单击“确定”。 添加成功，审计范围列表新增一条状态为“已启用”的审计范围。

本节为您介绍数据安全相关内容。 了解数据 在准备云迁移之前，需要确保全面了解自己的数据及其需求。这意味着迁移团队必须深入了解当前和未来的数据使用情况，并理解公司数据治理框架所制定的存储和保留策略。为了处理数据理解和优化任务，可以借助各种云管理工具，例如重复数据删除软件。这些工具可以帮助识别和处理冗余数据，提高存储效率。同时，保护云数据也是非常重要的，这需要准确了解云数据的内容以及最终的使用和处理方式。这包括确认哪些数据属于敏感信息，需要采取额外的安全措施来保护，以及确保符合数据隐私和合规性要求。 了解数据合规要求 除了了解数据本身外，企业在云迁移期间还需要了解适用于其数据集的任何合规要求。例如，GDPR、PCIDSS和HIPAA等监管框架对许多企业施加严格的要求，其中包括在数据迁移前剥离个人身份信息。因此，企业必须确保选择的云基础设施提供商满足合规要求，同时加强API安全性控制，并采取措施对个人身份信息进行去标识化或剥离，以保护用户隐私。此外，还需要实施适当的用户访问特权管理，限制数据的访问权限。这些措施有助于确保在云迁移过程中的数据合规性和安全性。 传输过程中加密数据 云迁移中传输数据可能带来额外的安全漏洞。保护敏感信息的一种有效方法是使用源端到目标端加密。这个过程通常使用像传输层安全(TLS)之类的加密协议来完成，该协议在所有数据离开开源系统之前对其进行加密，并在数据到达目标系统后对其进行解解密，从而增添额外的安全层。根据需要的保护程度，有多种加密算法可供选择，不过大多数使用AES或RSA等现代行业标准。公司还应确保安全地存储访问所需的加密密钥和凭据，并定期备份，以防数据丢失。利用提供内置加密服务的云提供商可以简化这个过程。在开始迁移之前，公司仍然应该进行尽职调查，以确保自己拥有适当的工具和安全措施。

操作步骤 在样本列表可以复制模型输入、模型输出、安全评估依据、失败原因到剪贴板中。

操作步骤 在样本列表可以复制模型输入、模型输出、安全评估依据、失败原因到剪贴板中。

事件记录 OOS可以记录用户的管理事件以及数据操作事件，可用于支撑安全分析、合规审计和问题定位等常见应用场景。 产品能力 功能说明 操作跟踪 操作跟踪用于记录OOS账户的管理事件，并将产生的跟踪日志保存到指定的OOS存储桶中。 日志 日志功能可以帮助记录所有Bucket和Object级别的操作记录， 您可以通过点击右边的单选框来开启/不开启用户日志功能，同时还可以通过设置目标存储桶（Bucket）和路径来指定日志的存储位置。 数据保护 OOS提供HTTPS访问、数据冗余存储、合规保留、确保数据安全可靠。 产品能力 简要说明 HTTPS访问 OOS支持HTTP和HTTPS两种传输协议，为保证数据传输的安全性，推荐您使用更加安全的HTTPS协议。 数据冗余存储 OOS支持多种冗余存储，包括Erasure Code（EC，纠删码）和多副本。在保证数据安全性的情况下，OOS会选择最优冗余存储方案进行数据存储。 数据一致性校验（MD5） OOS支持数据一致性校验，可以通过计算MD5值的方式对上传下载的数据进行一致性校验，确保数据安全。 合规保留 OOS支持WORM特性，允许用户以“不可删除、不可篡改”方式保存和使用数据。

场景描述 在某些情况下，您可能需要将Kafka开启公网访问。以下是一些可能的场景描述： 跨地域数据传输：如果您有多个位于不同地理位置的数据中心或云服务提供商，您可能希望在它们之间传输数据。通过将Kafka开启公网访问，您可以轻松地在不同地区之间进行数据传输。 跨组织数据共享：如果您需要与其他组织或合作伙伴共享数据，而且这些组织不在同一个网络环境中，您可以将Kafka开启公网访问，以便安全地共享数据。 远程访问和监控：有时候，您可能需要从外部网络访问和监控Kafka集群。通过配置Kafka开启公网访问，您可以远程连接到Kafka集群，监控其运行状态，并执行必要的管理操作。 请注意，在设置Kafka开启公网访问时，确保采取适当的安全措施，比如使用安全组或者用户权限来限制访问权限，以保护Kafka集群的安全性。 约束与限制 开启公网访问功能只支持绑定IPv4弹性IP地址，不支持绑定IPv6弹性IP地址。 操作步骤 （1）登录管理控制台。 （2）进入Kafka管理控制台。 （3）在实例列表页在操作列，目标实例行点击“管理”。 （4）点击“实例详情”后找到如下接入点信息模块。 （5）点击右上角“添加路由策略”按钮，选择“公网接入”方式。 （6）需要为每个节点设置对应的弹性IP地址，点击其右侧的“绑定”按钮，在弹窗中选择某个弹性IP绑定。如果没有足够数量的弹性IP地址，可参考申请弹性IP购买弹性IP地址。 （7）点击刷新按钮查看弹性IP绑定状态，待所有节点都绑定弹性IP后点击“确定”按钮下发开启公网后台任务。 （8）当实例状态重新变为“运行中”后，表示开启公网访问成功。 （9）开启公网访问后，需要设置好对应的安全组规则 才能成功连接Kafka，设置规则参考如下: 安全组参考规则（先判断安全组的出/入方向是否放通了对弹性ip地址的访问，如果没有，可以参考如下规则配置）： 方向 协议 类型 端口 远端(源地址) 说明 入方向 TCP IPv4 Kafka公网接入端口(8094)，或更大范围 Kafka客户端所在的IP地址或地址组 通过公网访问Kafka （10）如果创建了 网络ACL规则 ，则ACL规则也需要正确配置才能成功连接Kafka，设置规则参考如下: 网络ACL参考规则（先判断网络ACL的出/入方向是否放通了客户端地址的访问，如果没有，可以参考如下规则配置）： 方向 协议 IP版本 策略 源地址 源端口范围 目的地址 目的端口范围 描述 入方向 TCP IPv4 允许 Kafka客户端所在的IP地址或地址组 165535 VPC IP地址组 Kafka公网接入端口(8094)，或更大范围 控制入方向ACL规则 出方向 TCP IPv4 允许 VPC IP地址组 Kafka公网接入端口(8094)，或更大范围 Kafka客户端所在的IP地址或地址组 165535 控制出方向ACL规则 （11）连接Kafka可以根据开启公网访问时选择的SASLPLAINTEXT或SASLSSL协议接入。

本节介绍如何创建管道。 操作场景 数据传输消息主题和存储索引组合为数据管道。 当您需要使用态势感知（专业版）提供的 安全分析 、 数据分析 、智能建模功能时，需要创建管道。 前提条件 已新建工作空间，具体操作请参见新增工作空间。 已新增数据空间，具体操作请参见新增数据空间。 约束与限制 一个数据空间中最多可创建20个数据管道。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计 > 安全数据”，进入安全分析页面。 5. 在左侧数据空间导航栏中，单击数据空间名称右侧的，并在下拉选项中选择的“创建管道”，系统从右侧弹出创建管道页面。 6. 在创建管道页面中，配置管道参数，参数说明如下表所示。 参数名称 参数说明 数据空间 该管道所属的数据空间，系统默认生成。 管道名称 自定义管道的名称。命名规则如下： 名称长度取值范围为564个字符。 名称须为工作空间内唯一，不能与工作空间内的其他管道名称相同。 必须以小写英文字母开头，且只能包含小写英文字母、数字和''，且''不能在结尾，也不能连续出现。 不能以系统预留的前缀isap、csb、secmaster、sec、ssec、isec、lsec、security开头。 Shard数 该管道的Shard数量。取值范围为：164。 索引可以存储数据量超过1个节点硬件限制的数据。为满足这样的需求，Elasticsearch提供了一个能力，将一个索引拆分为多个，称为Shard。当您创建一个索引时，您可以根据实际情况指定Shard的数量。每个Shard托管在集群中的任意一个节点中，且每个Shard本身是一个独立的、全功能的“索引”。 生命周期 该管道内数据的生命周期。取值范围为：7180。 描述 可选参数，设置该管道的备注信息。 7. 单击“确定”。 创建成功后，可单击数据空间名称或数据空间栏后的，展开查看已创建的管道。

本节主要介绍控制台的使用限制。 浏览器 版本 :: Internet Explorer Internet Explorer 9 (IE9) Internet Explorer Internet Explorer 10 (IE10) Internet Explorer Internet Explorer 11 (IE11) Firefox Firefox 55及以后 Chrome Chrome 60及以后 说明 TLS1.0 /TLS1.1协议版本存在安全漏洞，建议使用更高级的安全版本。

创建新模板 1. 如没有可用的模板或版本，请选择获取模板方式为 创建新模板 2. 平台将自动为您生成模板名称，支持修改 3. 在模板内容部分，请先新增一个.tf文件，建议将文件命名为“main.tf”。您可继续添加多个文件、文件夹对您的模板进行结构化定义 4. 在文件中按照 terraform语法 定义各类云资源（例如弹性云主机、虚拟私有云、弹性IP等）的增删改查语句 5. 您在此编辑的模板内容，提交后将被保存为一个新模板 1. 模板中请勿包含敏感字段(sensitive true)，否则可能导入失败 2. Provider 版本需 ≥ 2.1.0，未声明则默认使用最新版本 3. 导入的资源模板需要放到根目录 步骤2 配置参数 请在步骤2完成模板和资源栈的参数配置，具体见表格。 参数 是否必填 参数说明 参考样例 加密敏感参数 否 1. 如果您在模板中设置参数的“sensitive”值为“true”，平台将支持为您加密敏感参数。 2. 资源编排将使用天翼云云产品 密钥管理服务 对您的敏感参数（参数的“sensitive”值为“true”）进行加密，密钥管理服务会创建默认密钥“ros”。 如果您确认授权，请单击确认授权，继续操作，ROS将使用密钥管理服务为您设置了“sensitive”值为“true”的参数进行加密保存。 如果您不希望授权，请单击取消加密，继续操作，ROS将不再为您加密保存“sensitive”值为“true”的参数。 该默认密钥免费，请放心使用。 配置模板参数 否 如果模板中定义了自定义变量，您还需要完成变量配置，变量的配置需要符合模板中定义的校验规则。 企业项目 是 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 指定的企业项目会传递给资源栈内所有资源，该设置会在下次部署时生效。 注意：资源栈暂不支持设置企业项目，企业项目仅会传递给资源栈内所有资源 default 资源并发量 否 指单次部署可同时变更的资源数量上限 如需提升配额，请提交工单处理 10 失败时回滚 否 默认不开启。开启失败时回滚，将在资源创建失败时，删除已成功创建的资源，资源栈回滚至上一次部署成功的状态。 不开启 删除保护 否 默认不开启。删除保护打开时，将无法手动删除资源栈，需手动关闭该配置后才可继续删除。 不开启 跳过资源预检 否 默认不开启。开启跳过资源预检，将在部署/创建执行计划/删除/回滚时跳过资源最新配置检查(refresh)，直接按模板执行，可提升操作速度 若资源曾被控制台等非 ROS 渠道修改过，开启该功能可能导致部署结果偏离预期，需谨慎操作。建议仅在资源完全由 ROS 托管、不脱离ROS控制台操作时开启。 不开启

OS类型 OS版本 位数 是否支持UEFI Redhat Red Hat Enterprise Linux 6.0（仅支持KVM平台） 64 NO Red Hat Enterprise Linux 6.1/6.2/6.3/6.4/6.5/6.7/6.8/6.9/6.10 64 NO Red Hat Enterprise Linux 7.0 64 NO Red Hat Enterprise Linux 7.1/7.2/7.3/7.4/7.5/7.6/7.7/7.8/7.9 64 Yes Red Hat Enterprise Linux 8.0/8.1/8.2/8.3/8.4/8.5/8.6 64 Yes Red Hat Enterprise Linux 9.0 64 Yes CentOS CentOS 6.0（仅支持KVM平台） 64 NO CentOS 6.1/6.2/6.3/6.4/6.5/6.6/6.7/6.8/6.9/6.10 64 NO CentOS 7.0 64 NO CentOS 7.1/7.2/7.3/7.4/7.5/7.6/7.7/7.8/7.9 64 Yes CentOS 8.0/8.1/8.2/8.3/8.4/8.5 64 Yes CentOS Stream 8 64 Yes 源端会被识别为CentOS 8.0，不会影响迁移 CentOS Stream 9 64 Yes 源端会被识别为CentOS 9.0，不会影响迁移 Oracle Oracle Linux 6.0/6.1/6.2/6.3/6.4/6.5/6.6/6.7/6.8/6.9/6.10 64 NO Oracle Linux 7.0 64 NO Oracle Linux 7.1/7.2/7.3/7.4/7.5/7.6/7.7/7.8/7.9 64 Yes Oracle Linux 8.0/8.1/8.2/8.3/8.4/8.5 64 Yes SUSE SUSE Linux Enterprise Server 11 SP3 64 NO SUSE Linux Enterprise Server 11 SP4 64 Yes SUSE Linux Enterprise Server 12 SP0 64 Yes 该版本不支持btrfs SUSE Linux Enterprise Server 12 SP1/SP2/SP3/SP4/SP5 64 Yes SUSE Linux Enterprise Server 15 SP0/SP1/SP2/SP3 64 Yes SUSE Linux Enterprise Server 15 SP4 64 NO Ubuntu Ubuntu Server 12.04 64 NO Ubuntu Server 14.04 64 Yes Ubuntu Server 16.04 64 Yes Ubuntu Server 18.04 64 Yes Ubuntu Server 19.04 64 Yes Ubuntu Server 20.04 64 Yes Ubuntu Server 22.04 64 Yes Debian Debian GNU/Linux 6.0.10 64 NO Debian GNU/Linux 7.11.0 64 NO Debian GNU/Linux 8.0/8.1/8.2/8.3/8.4/8.5/8.6/8.7/8.8/8.9/8.10/8.11 64 NO Debian GNU/Linux 9.0/9.1/9.2/9.3/9.4/9.5/9.6/9.7/9.8/9.9/9.10/9.11/9.12/9.13 64 NO Debian GNU/Linux 10.0/10.1/10.2/10.3/10.4/10.5/10.6/10.7/10.8/10.9/10.10/10.11/10.12/10.13 64 Yes Debian GNU/Linux 11.0/11.1/11.2 64 Yes Debian GNU/Linux 11.3/11.4/11.5/11.7 64 NO Fedora Fedora 23/24/25/26/27/28/29/33/34/35/36/37 64 NO EulerOS EulerOS 2.2.0 64 NO EulerOS 2.3.0 64 NO EulerOS 2.5.0 64 NO Amazon Linux Amazon Linux 2.0 64 NO Amazon Linux 2018.3 64 NO Alibaba Cloud Linux Alibaba Cloud Linux 3.2104 64 NO Alibaba Cloud Linux 3.2104快速启动版 64 NO Alibaba Cloud Linux 2.1903 LTS 64 NO Alibaba Cloud Linux 2.1903 LTS快速启动版 64 NO Alibaba Cloud Linux 2.1903 LTS等保2.0三级版 64 NO TencentOS TencentOS Server 2.4 64 NO TencentOS Server 2.4 (TK4) 64 NO TencentOS Server 3.1 (TK4) 64 NO Kylin Kylin Linux Advanced Server V10 (Sword) 64 NO OpenEuler OpenEuler 20.03 64 NO OpenEuler 21.09 64 NO OpenSUSE OpenSUSE 15.1/15.2/51.3/15.4 64 NO Rocky Linux Rocky Linux 8.5/8.6/8.7/9.0/9.1 64 NO

本文为您介绍通过KMS非对称密钥实现签名验签的最佳实践。 数字签名技术是非对称加密算法的另一种典型应用。数字签名分为签名和验证两个过程，消息发送者使用私钥对数据签名，消息接收者使用公钥进行签名验证。 通过密钥管理服务（KMS）创建的非对称密钥可以实现签名验签功能，签名者通过调用密码运算API使用私钥计算消息签名，同时获取公钥并分发至消息接收者，接收者使用公钥对消息进行签名验证。 场景特点 用于信任程度不对等的系统之间，实现敏感信息的安全传递。 优势 应用广泛：通过非对称密钥实现签名验签，广泛用于数据防篡改、身份认证等相关技术领域。 安全保障：支持主流的非对称密钥算法并且提供足够的安全强度，保证数字签名的安全性。 场景示意图 操作流程 1. 信息发送者通过KMS控制台或者调用CreateKey接口，创建一个非对称的用户主密钥（CMK）。 2. 信息发送者通过调用KMS的getPublicKey接口获取到公钥，并将公钥分发给消息接收者。 3. 信息发送者通过调用KMS的asymmetricSign接口，使用创建的CMK私钥对需要传输的数据生成签名。 4. 信息发送者将签名和数据传递给信息接收者。 5. 信息接收者拿到签名和数据之后，在本地通过gmssl、openssl、密码库、KMS 的国密 Encryption SDK 等验签方法，使用信息发送者分发的公钥进行验证。特殊需求场景下，也可调用KMS的asymmetricVerify接口，使用CMK进行签名校验。

广泛重复的使用加密密钥，会对加密密钥的安全造成风险。建议您定期轮换密钥，更改原密钥的密钥材料。 为什么需要轮换密钥 广泛重复的使用加密密钥，会对加密密钥的安全造成风险。为了确保加密密钥的安全性，建议您定期轮换密钥，更改原密钥的密钥材料。 定期轮换密钥有如下优点： 减少每个密钥加密的数据量：一个密钥的安全性与被它加密的数据量呈反比。数据量通常是指同一个密钥加密的数据总字节数或总消息数。 增强应对安全事件的能力：在系统安全设计的初期，设计密钥轮换功能并将其作为日常运维手段。这样可以使系统在特定安全事件发生时具备实际执行能力。 加强对数据的隔离能力：轮换密钥使得轮换前后产生的密文数据形成隔离效果。特定密钥的安全事件可以被快速定义影响范围，从而采取进一步措施。 密钥轮换的两种方法 云服务提供了两种密钥轮换方法： 手动轮换密钥 使用一个新的密钥替换使用中的密钥。即创建一个新的密钥B，并使用密钥B替代当前使用的密钥A，当密钥B使用的加密材料与密钥A使用的加密材料不相同时，使用密钥B与更改密钥A的密钥材料具有相同效果。 示例： 以OBS服务为例：需要手动轮换密钥时，用户先在KMS界面创建一个新的自定义密钥，后在OBS界面将原自定义密钥替换为新的自定义密钥。 手动轮换密钥工作原理

本节介绍天翼云手机的产品定义,以便您了解云手机。 天翼云手机是通过虚拟化技术在云端运行的安卓手机实例，手机上的应用可以在云上虚拟手机中运行。作为一款新型应用，云手机对传统手机起到了延伸和拓展作用，畅享移动办公、手机游戏和娱乐，企业客户也可以通过配备的全方位管控能力，实现对云端办公环境的安全管控。云手机目前提供产品版本： 天翼云手机（政企版） 向政府、金融、警务等各行业企业客户，提供安全、可管控、低成本的手机办公解决方案。 产品架构

本文介绍如何处理Linux云主机卡顿问题。 问题原因 当您发现云主机的运行速度变慢或云主机突然出现网络断开的现象，则可能是由以下原因导致的。 1. 云主机使用共享型实例：共享型实例在云计算中是指多个虚拟机共享同一台物理服务器的资源，这会导致资源争用，可能导致服务器卡顿问题。 2. 云主机受到恶意软件或病毒感染：恶意软件可能执行各种恶意任务，占用大量计算资源，增加云主机网络带宽和资源消耗，影响正常的服务运行等，可能导致服务器卡顿问题。 3. 云主机系统资源利用率异常：资源包括CPU、内存、磁盘和网络等，当其中一个或多个资源受到过度使用或不合理分配时，可能导致服务器卡顿问题。 问题处理 云主机使用资源共享型实例 步骤一：问题定位 检查当前云主机的规格类型，共享资源型和独享资源型实例的说明请参见规格类型。 步骤二：问题处理 独享资源型实例在云计算中独享物理服务器的资源，可以提供更稳定和可预测的性能。如果您对业务稳定性有较高要求，建议您将共享型实例变更为独享资源型实例，请参见变更规格。 云主机受到恶意软件或病毒的感染 步骤一：问题定位 定位云主机是否受到恶意软件感染，您可以运行受信任的杀毒软件或安全扫描工具，对服务器进行全面扫描。此外，您还可以检查操作系统、应用程序和安全软件是否为最新版本，并已应用最新的安全更新和补丁。 步骤二：问题处理 如果服务器受到恶意软件感染，及时采取行动非常重要。隔离服务器、运行安全扫描工具、清除恶意软件、更新系统等都是确保服务器安全的关键步骤。

本节介绍专属加密服务的功能特性。 专属加密（Dedicated Hardware Security Module，Dedicated HSM）是一种云上数据加密的服务，可处理加解密、签名、验签、产生密钥和密钥安全存储等操作。 Dedicated HSM为您提供的加密硬件，帮助您保护弹性云服务器上数据的安全性与完整性，满足FIPS 1402安全要求。同时，您能够对专属加密实例生成的密钥进行安全可靠的管理，也能使用多种加密算法来对数据进行可靠的加解密运算。 功能介绍 Dedicated HSM提供以下功能： 生成、存储、导入、导出和管理加密密钥（包括对称密钥和非对称密钥） 使用对称和非对称算法加密和解密数据 使用加密哈希函数计算消息摘要和基于哈希的消息身份验证代码 对数据进行加密签名（包括代码签名）并验证签名 以加密方式生成安全随机数据 Dedicated HSM支持的密码算法 支持国际通用密码算法，满足用户各种加密算法需求。 Dedicated HSM支持的密码算法 加密算法分类 通用密码算法 国密算法 对称密码算法 AES SM1、SM4、SM7 非对称密码算法 RSA（10244096） SM2 摘要算法 SHA1、SHA256、SHA384 SM3 Dedicated HSM支持的密码机类型 密码机类型 功能 适用场景 服务器加密机 数据加密/解密、数据签名/验签、数据摘要、支持MAC的生成和验证 满足各种行业应用中的基础密码运算需求，比如身份认证、数据保护、SSL密钥和运算卸载等。 金融加密机 支持PIN码的生成/加密/转换/验证 支持MAC生成及验证 支持CVV生成及验证 支持TAC生成及验证 支持常用Racal指令集 支持PBOC3.0常用指令集 满足金融领域密码运算需求，比如发卡系统、POS系统等。 签名服务器 签名/验签、编码/解码数字信封、编码/解码带签名的数字信封、证书验证 满足签名业务相关需求，比如CA系统、证书验证、大量数据的加密传输和身份认证。

权限 定义 拥有的菜单 超级管理员 维护系统稳定运行 所有菜单 审计管理员 负责监督和检查系统的操作和活动，确保合规性和正确性 首页、资产管理、日志审计、风险分析事件策略、报表管理、操作日志 安全管理员 制定和实施信息安全策略和政策，确保组织的信息安全 首页、资产管理、日志审计、风险分析、风险处置

接口功能介绍 将安全组复制到账号的其它资源池下。 接口约束 无 URI POST /v3/securityGroup/copySecurityGroup 路径参数 无 Query参数 参数 是否必填 参数类型 说明 示例 下级对象 regionId 是 String 资源池ID。 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 securityGroupOidList 是 Array of Strings 要复制的安全组ID列表 targetRegionIdList 否 Array of Strings 复制的目标资源池ID列表, 非必传, 不传默认复制到账号下所有资源池 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 状态码。可能值： 800：请求成功。 900：请求失败。 800 error String 错误码。 ECPC1000 message String 提示信息。 OK. returnObj Object 返回数据结构体。 returnObj 枚举参数 无 请求示例 请求url 请求头header 无 请求体body { "securityGroupOidList":["sgxxxa","sgxxxb"], "targetRegionIdList":["region1","region2"] } 响应示例 { "statusCode":800, "message":"OK.", "returnObj":{ } }

访问控制 访问控制策略是API网关提供的API安全防护组件之一，主要用来控制访问API的IP地址和帐户，您可以通过设置IP地址或帐户的黑白名单来允许/拒绝某个IP地址或帐户访问API。 VPC通道 在API网关中创建VPC通道来访问VPC环境中的资源，并将部署在VPC中的后端服务开放API。同时VPC通道具有负载均衡功能，从而实现后端服务的负载均衡。 签名密钥 签名密钥是由一对Key和Secret组成，签名密钥需要绑定到API才能生效。签名密钥用于后端服务验证API网关的身份，在API网关请求后端服务时，保障后端服务的安全。

云主机备份(CTCSBS,Cloud Server Backup Service)提供对弹性云主机的备份保护服务,支持基于多云硬盘一致性快照技术的备份服务,并支持利用备份数据恢复弹性云主机数据,最大限度保障用户数据的安全性和正确性,确保业务安全。

安装VNC Server实现本地远程图形化访问 1. 执行如下命令，安装vncserver。 plaintext yum install y tigervncserver 2. 配置vncserver执行vncsever命令配置vnc密码（初次启动的时候需要输入两次密码）。 plaintext vncserver You will require a password to access your desktop. Password:（输入并记住该密码） Verify:（重复输入并记住该密码） 执行以下命令，生成并编辑配置文件。 plaintext cp p /lib/systemd/system/vncserver@.service /lib/systemd/system/vncserver@:1.service 执行如下命令修改配置： plaintext vim /lib/systemd/system/vncserver@:1.service 按Esc键退出编辑模式，再输入:wq保存并退出。 3. 运行以下命令重启systemd。 plaintext systemctl daemonreload 4. 配置为开机自启动。 plaintext systemctl enable vncserver@:1.service 5. 运行以下命令启动VNC Server。 plaintext systemctl start vncserver@:1.service 6. 运行命令 ps ef grep vnc 确认服务是否已经启动。如果返回以下类似结果，说明服务已经启动。 更改安全组规则 1. 登录弹性云主机管理控制台。 2. 单击弹性云主机名称，进入详情页面。 3. 在“安全组”页签，单击“更改安全组规则”，放行5901端口。

威胁情报是描述对系统和用户的现有或潜在威胁的信息，使用威胁情报为异常活动提供必要的上下文，以便安全负责人可以快速采取措施来保护其人员、信息和资产。 威胁情报的形式是情报指标，情报指标是将URL或IP地址等观察项目与网络钓鱼或恶意软件等已知威胁活动关联起来的数据。它会大规模地应用于安全产品和自动化服务，以检测组织面临的潜在威胁并进行防范。通过情报指标的创建和管理，加快威胁检测和修正。态势感知（专业版）仅支持人工新增情报指标或导入情报指标，创建情报指标后可以通过自定义剧本实现威胁管理分析处理等操作。 情报指标支持如下管理操作： 新增情报指标：当发现对系统和用户潜在的威胁信息时，可通过新增情报指标记录威胁信息，以便安全负责人可以快速采取措施来保护其人员、信息和资产，加快威胁检测和修正。 编辑情报指标：当情报指标的威胁度、状态、责任人等参数信息发生变化时，支持编辑情报指标，修改情报指标信息。 关闭或删除情报指标：当确认情报指标对应的威胁已消除，可关闭情报指标。当确认情报指标信息有误或情报指标所描述的威胁场景不存在，可删除情报指标，情报指标删除后不可找回，请谨慎操作。 [导入指标](

海量文件服务OceanFS产品为您提供优质的服务体验,本文带您了解产品优势。 共享访问 支持多台客户端挂载访问同一文件系统，可支持连接上千个客户端实例。 支持NFSv3/v4.1、CIFS(SMB2.1/SMB3.0)。 支持IPv4和IPv6网络协议。 海量可扩展 用户可以根据业务需要配置文件系统的初始存储容量，后续可以随着数据量的变化而扩容。 支持PB级存储空间。 安全可信 支持使用VPC用户隔离、权限组等安全管理功能进行访问权限控制，保障数据安全可靠。 文件服务支持HA高可用，出现任何硬件故障时，业务自动切换到其他节点，服务可用性在99.95%及以上。 友好易用 操作界面友好、简单易用，用户可通过控制台界面快速轻松地创建、配置和管理文件系统，省去复杂的文件系统部署工作。 提供全托管服务，不必考虑复杂的安装、配置及性能调优工作，用户可轻松创建使用文件系统，只需几分钟便可使用高性能的文件系统。

参数 描述 源库类型 选择“自建库”。 VPC 源数据库实例所在的虚拟专用网络，可以对不同业务进行网络隔离。您需要创建或选择所需的虚拟私有云。如何创建虚拟私有云，请参见《虚拟私有云用户指南》。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。子网在可用分区内才会有效，创建源数据库实例的子网需要开启DHCP功能，在创建过程中也不能关闭已选子网的DHCP功能。如何创建子网，请参见《虚拟私有云用户指南》。 IP地址或域名 配置源MongoDB数据库实例的访问地址或域名。 端口 配置源MongoDB数据库实例的服务端口，可输入范围为1~65535间的整数。 数据库用户名 访问源MongoDB数据库的用户名。 数据库密码 访问源MongoDB数据库的用户名所对应的密码。 SSL安全连接 您可以选择开启SSL安全连接，对迁移链路进行加密，开启之后，需要您上传加密证书。