配置 说明 API名称 支持中文、英文、数字、下划线，且只能以英文或中文开头，364个字符。 API目录 一个特定功能或场景的API集合，类似文件夹，是数据服务中API的最小组织单元，也是API网关中的最小管理单元。 您可单击“新建”进行新建，也可选择新建API目录已创建的API分组。 请求Path API访问路径，例如：/v2/{projectid}/streams。 请求Path即完整的url中，域名之后、查询参数之前的部分，如下图中的“/blogs/188138”。 统一资源定位符url说明 在请求路径中，可以使用大括号{}标识路径中的参数作为通配符。如“/blogs/{blogid}”表示/blogs后可以携带任何参数，例如“/blogs/188138”和“/blogs/0”均会匹配至/blogs/{blogid}，由此API统一处理。 此外，相同域名下，不允许重复的请求路径出现。路径参数作为通配符时，名称不具备唯一性，例如“/blogs/{blogid}”和“/blogs/{xxxx}”，会被视作相同路径。 参数协议 用于传输请求的协议，支持HTTP和HTTPS协议。 HTTP属于基础的网络传输协议，无状态、无连接、简单、快速、灵活、使用明文传输，在使用上较为便捷，但是安全性欠佳。 HTTPS是在HTTP协议上进行了SSL或TLS加密校验的协议，能够有效验证身份以及保护数据完整性。相对的，访问HTTPS的API，需要配置相关的SSL证书或跳过SSL校验，否则将无法访问。 请求方式 HTTP请求方式，表示请求什么类型的操作，包含GET、POST等，遵循resultful风格。 GET：请求服务器返回指定资源，推荐使用GET请求。 POST：请求服务器新增资源或执行特殊操作，仅在注册API时使用。POST请求当前不支持body体，而是直接透传。 描述 对API进行简要描述。 标签 对API设置标签。用于标记当前API的属性，创建后可以通过标签快速检索定位API。单个API最多可设置20个标签。 审核人 拥有API的审核权限。 单击“新建”，进入“审核中心>审核人管理”页面，新建审核人。 安全认证 API认证方式： APP认证：表示由API网关服务负责接口请求的安全认证，安全级别最高。 IAM认证：表示借助IAM服务进行安全认证，安全级别中等。 无认证：属于无防护的模式，无需认证即可访问，安全级别低，不推荐使用。 服务目录可见性 发布后，所选范围内的用户均可以在服务目录中看到此API。 当前工作空间可见 当前项目可见 当前租户可见 访问日志 勾选，则此API的查询结果将会产生记录并被保留7天，可以在“运营管理>访问日志”处通过选择“请求日期”的方式查看对应日期的日志。 最低保留期限 API解绑前预留的最低期限。0表示不设限制。 API进行停用/下线/取消授权时，会通知已授权用户，并为用户预留至少X小时，直到所有授权用户均完成解除或处理，或者到达截止时间，API才会停用/下线/取消授权。 入参定义 配置API请求中的参数，包含资源路径中的动态参数，请求URI中的查询参数和Header参数。 添加入参定义时，如果参数设定为必填，则API在访问时，必须传入指定参数；如果非必填，则在API访问时，未传入的参数，会使用默认值进行代替。 参数大小限制如下： query+path，url最大32KB header，最大128KB body， 最大128KB 以配置资源路径中的动态参数为例进行说明，例如资源路径（请求Path）设置为： /v2/{projectid}/streams，资源路径中的{projectid}为动态参数，需要在此进行配置。 1. 单击“添加”，参数名配置为projectid。 2. 参数位置选择PATH。 3. 类型设置为STRING。 4. 选择性配置示例值和描述。

本小节介绍安全告警事件概述。 企业主机安全支持账户暴力破解、进程异常行为、网站后门、异常登录、恶意进程等13大类入侵检测能力，用户可通过事件管理全面了解告警事件类型，帮助用户及时发现资产中的安全威胁、实时掌握资产的安全状态。 约束限制 未开启防护不支持告警事件相关操作。 主机告警事件支持情况说明 事件类型 告警名称 告警说明 企业版 旗舰版 网页防篡改版 加入告警白名单 隔离查杀 恶意软件 恶意程序 恶意程序可能是黑客入侵成功之后植入的木马、后门等，用于窃取数据或攫取不当利益。 例如：黑客入侵之后植入木马，将受害主机作为挖矿、DDoS肉鸡使用，这类程序会大量占用主机的CPU资源或者网络资源，破坏用户业务的稳定性。 通过程序特征、行为检测，结合AI图像指纹算法以及云查杀，有效识别后门、木马、挖矿软件、蠕虫和病毒等恶意程序，也可检测出主机中未知的恶意程序和病毒变种，并提供一键隔离查杀能力。 √ √ √ √ √ 恶意软件 勒索软件 检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。 勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产，并以此作为向您勒索钱财的筹码。 × √ √ √ ×（部分支持） 恶意软件 Webshell 检测云服务器上web目录中的文件，判断是否为Webshell木马文件，支持检测常见的PHP、JSP等后门文件类型。 您可以在“策略管理”的“Webshell检测”中配置Webshell检测，HSS会实时检测执行的可疑指令，主机被远程控制执行任意命令等。 × √ √ √ × 恶意软件 反弹Shell 实时监控用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。 支持对TCP、UDP、ICMP等协议的检测。 您可以在“策略管理”的“恶意文件检测”中配置反弹Shell检测，HSS会实时检测执行的可疑指令，主机被远程控制执行任意命令等。 × √ √ √ × 漏洞利用 一般漏洞利用 实时检测利用漏洞入侵主机的行为，对发现的入侵行为进行告警上报。 √ √ √ √ × 系统异常行为 文件提权 当黑客成功入侵主机后，会尝试利用漏洞进行root提权或者文件提权，从而达到非法创建和修改系统帐号的权限或者篡改文件的目的。 HSS检测当前系统的“进程提权”和“文件提权”操作。 检测以下异常提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 对文件的提权。 √ √ √ √ × 系统异常行为 进程提权 检测以下进程提权操作并进行告警： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 √ √ √ √ × 系统异常行为 关键文件变更 篡改系统关键文件，通常是黑客入侵成功后进行身份隐藏或者发起下一步攻击的准备工作。 对系统关键文件（例如：ls、ps、login、top等）及目录进行监控，一旦文件被修改就进行告警，提醒用户关键文件存在被篡改的可能。监控的关键文件的路径请参见关键文件变更监控路径。 关键文件变更信息包括“被更改的关键文件路径”、“文件最后修改时间”以及配置文件所在的“服务器名称”。 文件/目录变更信息包括“文件别名”、“被更改的关键文件路径”以及配置文件所在的“服务器名称”。 添加关键文件指纹库，收集关键文件信息，便于清点合法文件信息，检测异常文件。 对于关键文件变更，HSS只检测目录或文件是否被修改，不关注是人为或者某个进程修改的。 √ √ √ √ × 系统异常行为 文件/目录变更 实时监控系统文件/目录，对创建、删除、移动、修改属性或修改内容的操作进行告警，提醒用户文件/目录可能被篡改。 √ √ √ √ × 系统异常行为 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 √ √ √ √（部分支持） × 系统异常行为 高危命令执行 您可以在“策略管理”的“高危命令检测”中预置高危命令。 HSS实时检测当前系统中执行的高危命令，当发生高危命令执行时，及时触发告警。 √ √ √ √ × 系统异常行为 异常Shell 检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。 您可以在“策略管理”的“恶意文件检测”中配置异常Shell检测，HSS会实时检测执行的可疑指令，主机被远程控制执行任意命令等。 √ √ √ √ × 系统异常行为 Crontab可疑任务 检测并列出当前所有主机系统中自启动服务、定时任务、预加载动态库、Run注册表键或者开机启动文件夹的汇总信息。 帮助用户通过自启动变更情况，及时发现异常自启动项，快速定位木马程序的问题。 × × √ √ × 用户异常行为 暴力破解 黑客通过帐户暴力破解成功登录主机后，便可获得主机的控制权限，进而窃取用户数据、植入挖矿程序，DDoS木马攻击等恶意操作，严重危害主机的安全。 检测SSH、RDP、FTP、SQL Server、MySQL等帐户遭受的口令破解攻击。 如果30秒内，帐户暴力破解次数（连续输入错误密码）达到5次及以上，HSS就会拦截该源IP，禁止其再次登录，防止主机因帐户破解被入侵。 SSH类型攻击默认拦截12小时，其他类型攻击默认拦截24小时。 根据帐户暴力破解告警详情，如“攻击源IP”、“攻击类型”和“拦截次数”，您能够快速识别出该源IP是否为可信IP，如果为可信IP，您可以通过手动解除拦截的方式，解除拦截的可信IP。 √ √ √ √ × 用户异常行为 异常登录 检测“异地登录”和“帐户暴力破解成功”等异常登录。若发生异常登录，则说明您的主机可能被黑客入侵成功。 检测主机异地登录行为并进行告警，用户可根据实际情况采取相应措施（例如：忽略、修改密码等）。 异地登录检测信息包括被拦截的“登录源IP”、“登录时间”，攻击者尝试登录主机时使用的“用户名”和“云服务器名称”。 若在非常用登录地登录，则触发安全事件告警。 若帐户暴力破解成功，登录到云主机，则触发安全事件告警。 √ √ √ √ × 用户异常行为 非法系统帐号 黑客可能通过风险帐号入侵主机，以达到控制主机的目的，需要您及时排查系统中的帐户。 HSS检查系统中存在的可疑隐藏帐号、克隆帐号；若存在可疑帐号、克隆帐号等，则触发告警。 √ √ √ √ ×

本页介绍天翼云TeleDB数据库中通信加密。 通信加密是指基于传输层SSL（Secure Sockets Layer）协议加密的加密方式。SSL加密是一种安全协议，用于在互联网上建立一个加密的链接，来确保数据传输的安全性。采用SSL加密有如下优点： 数据加密 ：SSL使用强大的加密算法来保护数据不被未授权访问。 身份验证 ：通过证书验证，确保用户连接到的是正确的服务器，而不是一个假冒的服务器。 数据完整性 ：SSL提供了消息完整性检查，确保数据在传输过程中未被篡改。 安全性 ：SSL广泛被用于电子商务、网上银行和其他需要保护用户数据安全的场合。 兼容性 ：几乎所有现代浏览器和Web服务器都支持SSL。 易于部署 ：SSL证书可以从多个证书颁发机构获得，安装和配置过程相对简单。 增强信任 ：使用SSL的网站通常会在浏览器地址栏显示一个锁形图标，增强用户对网站的信任。 通信加密的方案 通信加密方案实现原理是通过采用SSL加密，在Web浏览器和服务器之间建立通信加密连接，保护数据在传输过程中不被窃听或篡改。再通过证书验证，确保用户连接到的是正确的服务器，而不是一个假冒的服务器。 开启通信加密 您可参考如下操作开启通信加密。 1. 以用户名和密码登录TeleDBDCP管理控制台。 2. 进入TeleDBDCP控制台管理页面，开通实例。 您可参考《安装部署》中实例服务初始化及实例开通章节开通实例。 3. 在实例开通页面，填写基本信息页面，打开SSL开关，打开内部通信加密开关。

中国电信天翼云服务协议 特别提示： 《中国电信天翼云服务协议》（“本协议”）系客户与天翼云科技有限公司（“天翼云”，客户与天翼云合称为“双方”）签订的，关于客户通过中国电信天翼云网门户（包括天翼云官网：www.ctyun.cn，天翼云Wap站m.ctyun.cn，“天翼云APP”，合称“天翼云网门户”）向天翼云购买、由天翼云向客户提供的云计算服务（“天翼云服务”）的约定。 客户在订购和使用天翼云服务前，敬请认真阅读、充分理解本协议全部内容，包括但不限于免除或者限制天翼云责任的条款、对客户权利进行限制的条款等，该等条款将以加粗字体或其他醒目形式提示。 如果客户对本协议有疑问，请通过本协议载明的方式询问，天翼云将向客户进行解释和说明。如果客户不同意本协议的任何内容或者无法准确理解天翼云的解释，请不要订购或使用天翼云服务。 当客户通过网络页面点击确认、订购或以其他任何方式实际使用天翼云服务，均表示客户已阅读并充分理解本协议之全部内容，同意接受本协议的全部内容，受其约束。如果客户不同意接受本协议，请勿订购和使用天翼云服务。 I．说明 1.客户与天翼云之间的天翼云服务受到本协议以及客户已接受的《中国电信天翼云网门户用户协议》、《中国电信天翼云网门户隐私政策》、天翼云网门户《法律声明》及天翼云网门户不时发布的规则和政策（合称“天翼云服务合同及规则”）的约束。客户接受天翼云服务合同及规则的形式包括但不限于客户在天翼云网门户注册、订购服务时线上点击同意。 2.本协议未约定的事项，以天翼云服务合同及规则为准；本协议与天翼云服务合同及规则就同一事项的约定存在冲突的，以本协议约定为准。 3.本协议由如下各项文件组成： （1）I.本说明； （2）II.《通用服务条款》； （3）III.《专用服务条款》及其附件； （4）天翼云网门户中（包括但不限于天翼云网门户帮助文档页面中）展示的具体产品/服务的相关服务规则，包括但不限于服务说明、技术规范、使用流程、续订规则、退订规则，以及明确双方关于使用和提供天翼云服务权利义务的其它法律文件； （5）订单（仅适用于包年/包月服务）。 上述各文件彼此相互解释、相互补充，如上述文件之间就同一事项的约定、解释出现冲突，应以本条上述排列次序在后的文件所表述的意思为准；当同一顺序的多份文件之间发生内容冲突时，应以文件形成时间较后的为准。当不同产品或服务的《专用服务条款》就同一事项约定、解释不一致时，各产品或服务应分别以其各自的《专用服务条款》为准。 4.本协议签订后，如客户就购买的本协议项下服务需要天翼云另行出具书面确认文件的，天翼云向客户提供的订购确认文件仅应客户要求出具，不是订立合同的确认书，不影响本协议、天翼云服务合同及规则的效力，不对双方已确认的订单、本协议、天翼云服务合同及规则构成任何修订与补充，也不对其效力产生任何影响。 II． 通用服务条款 1. 服务类型 1.天翼云向客户提供、客户使用天翼云提供的天翼云服务的具体内容和费用由客户通过天翼云网门户提交、并经天翼云确定的订单或天翼云根据客户实际使用服务情况发出的账单确定。 1.1客户可以根据自身需求选择订购天翼云网门户提供的天翼云服务，其中： （1）包年/包月服务：具体服务项目、服务期限由客户通过天翼云网门户向天翼云提交并经天翼云确认的订单确定。 （2）按需计费服务：具体服务项目根据客户实际使用情况确定。 1.2 天翼云将按照相应的《专用服务条款》约定的服务等级向客户提供服务。 2.服务开通、变更和终止；服务流程 2.1服务开通 2.1.1 根据客户选择的服务类型，天翼云分别按照以下方式为客户开通服务： （1）包年/包月服务的开通：客户在天翼网门户向天翼云提交相应的订单，经天翼云确认并在客户按照订单约定付费后，服务开通。 （2）按需计费服务的开通： 客户向天翼云账户充值支付相应费用后，服务开通。如客户账户余额不足，服务暂停。客户向天翼云账户充值支付服务所需的足额费用后，服务恢复。 2.1.2 服务开通后，天翼云按照本协议约定向客户提供天翼云服务，客户可以登录天翼云网门户，在管理控制台完成相关服务相关配置和操作。 2.1.3 客户理解并认可，服务开通后，为技术升级、服务体系升级、或因经营策略调整或配合国家重大技术、法规政策等变化，天翼云不保证永久的提供某种服务，并有权更新所提供服务的形式、规格或其他方面（如服务的价格和计费模式），在终止该种服务或进行此种变更前，天翼云将尽最大努力且提前以网站公告、站内信、邮件或短信等一种或多种方式事先通知客户。 2.2天翼云为客户提供7天×24小时客服服务，包括客服的售后热线（4008109889）咨询服务和在线工单服务，解答、处理客户在使用天翼云服务过程中遇到的问题，《专用服务条款》另有约定的，适用《专用服务条款》的约定。 2.3天翼云收到客户遇到的问题后，根据具体情况和客户需求，为客户提供技术支持，但相关故障或问题系因客户人为原因和/或不可抗力、以及其他非天翼云控制范围内的事项造成的除外。 2.4 天翼云在本协议约定范围内提供可用性保障。如客户对可用性的要求高于本协议的约定，则需要客户主动对自身系统进行高可用性部署，天翼云可提供必要的协助。如果需要天翼云配合做方案规划设计，由双方另行协商确认。 2.5 为了提供更优化的服务，天翼云有权定期或不定期地对服务平台或相关设备、系统、软件等进行检修、维护、升级及优化等（统称“常规维护”），如因常规维护造成天翼云服务在合理时间内中断或暂停的，天翼云无需为此承担责任。但就该等常规维护事宜，天翼云承诺至少提前24小时以公告形式通知客户。如因不可抗力、第三方原因等导致的非常规维护，天翼云承诺在可能的情况下尽快通知客户。 2.6 天翼云有权根据自身运营安排不时调整服务的系统默认配置，相关调整不构成天翼云违约。但是，天翼云承诺提前至少三十（30）日通知客户。收到天翼云通知后，客户应当予以协助（包括但不限于客户及时做好相关数据的转移备份、进行业务调整，以及应天翼云的需求，对天翼云的调整作出授权等）。如客户在收到通知后未及时协助，或者天翼云无法与客户取得联系，由此产生的后果由客户自行承担。因不可抗力、第三方原因等导致的服务调整或终止，天翼云将及时通知客户。 2.7 服务终止 2.7.1 在下述情形下，天翼云有权在服务期限届满前终止向客户提供服务，且不承担违约责任： （1）依据法律法规或政府主管部门的要求； （2）天翼云认为继续向客户提供服务将会对天翼云造成巨大的经济或技术负担或重大安全风险的； （3）由于任何法律或政策变动原因造成天翼云继续向客户提供服务不实际可行的； （4）客户未按时足额支付相关费用的； （5）客户如出现经营亏损，或者因重大债务无法正常经营，或者因违法经营被有关部门责令停业整顿或吊销营业执照或经营所需的其他证照； （6）天翼云提前三十（30）日在天翼云网门户上以发布公告、向客户发送站内通知或书面通知的方式终止相关服务； （7）本协议其他条款或天翼云服务合同及规则约定天翼云有权提前终止服务的情形。 2.7.2 天翼云依据本协议终止服务的，对客户已支付但未使用的服务费用的退费规则，按照《专用服务条款》或天翼云网门户公示的相关退费规则执行。 2.8本协议《专用服务条款》对天翼云服务的服务开通、变更和终止规则及服务流程等事项另有约定的，适用《专用服务条款》的约定。 3. 服务费用及支付 3.1计费规则 3.1.1客户使用天翼云服务应当按照约定向天翼云按时、足额支付服务费用。 （1）包年/包月服务：客户应当向天翼云支付的服务费用以经天翼云确定的订单载明的金额为准。 （2）按需计费服务：客户应当向天翼云支付的服务费用以天翼云向客户发送的账单载明的金额为准。服务期限内，服务价格将根据天翼云价格调整相应变化，服务费用的结算应当以客户实际使用相应服务时天翼云公布的有效的价格为准。 3.1.2天翼云有权根据技术演进、技术架构调整、市场营销等客观因素调整天翼云服务的价格。天翼云调整天翼云服务价格时，至少提前十五（15）日在天翼云网门户发布通知，客户有权决定是否继续使用相应的服务。如客户不接受天翼云调整后的价格，客户应当立即停用天翼云服务，如客户继续使用服务，视为客户接受调整后的价格。 3.2 结算方式：天翼云提供的天翼云服务为预付费服务。 3.2.1天翼云在客户支付服务费用后开始为客户提供服务。客户可以使用账户余额或代金券或微信、支付宝、翼支付或其他方式向天翼云支付费用。其中，代金券的使用应当遵守客户获得代金券时天翼云通过天翼云网门户公示的代金券规则。 3.2.2如客户在服务期限届满后继续使用服务的，客户应当在服务期限届满前支付续订款项，或在保证账户内的余额充足的情况下开启自动续订功能（续订流程详见天翼云网门户公示的服务续订规则）。客户续订服务时，如天翼云对相关服务的服务体系、名称和价格进行调整的，客户同意按照届时有效的新的服务体系、名称和价格续订和计费。 3.2.3如客户需要天翼云就其订购的天翼云服务开具发票的，客户应当在服务订购完成并支付服务费用后，在天翼云网门户的服务订购界面上申请开具发票，并按格式和要求填写付款单位、款项、发票类型及邮寄地址。对于客户使用代金券支付部分对应的金额，天翼云不提供发票。 3.3 天翼云保留在客户未按照约定支付全部费用前不向客户提供服务和/或技术支持，或者终止服务和/或技术支持的权利。如客户欠费，在欠费期间天翼云有权不提供相应服务，且客户不得申请业务的新装、续用、变更等。 3.4 客户理解并同意所有的赠送服务项目、营销活动等优惠措施均为天翼云在标准服务价格之外的一次性、限制优惠，优惠内容不包括赠送服务项目的修改、更新及维护费用，并且赠送服务项目不可折价冲抵服务价格。 3.5 客户对其应当支付的服务费用有异议的，应当以书面方式向天翼云提出核对申请。经双方确认核对确有错误的，天翼云应对相应费用予以调整。 4. 服务使用规范 4.1 客户资质 4.1.1 客户承诺以其经天翼云网门户实名认证的本人身份开通和使用天翼云服务，自本协议签订时至履行中，客户应当持续具有合法有效的主体资格和业务资质，并向天翼云提供真实、合法、有效、完整的各类主体资格、业务资质文件，包括但不限于： （1）开办网站的，客户应当保证所开办的全部网站均获得国家有关部门的许可或批准； （2）提供非经营性互联网信息服务的，客户应当办理非经营性网站备案，并保证所提交的所有备案信息真实有效，在备案信息发生变化时及时在备案系统中提交更新信息；如因未及时更新而导致备案信息不准确，天翼云有权依法采取暂停或终止提供天翼云服务、断开网络接入等关闭处理措施； （3）网站提供经营性互联网信息服务的，客户应当自行在当地通信管理部门取得经营性网站许可证； （4）提供BBS等电子公告服务的，客户应当根据相关法规政策要求备案或获得相应批准； （5）经营互联网游戏网站的，客户应当依法获得网络文化经营许可证； （6）经营互联网视频网站的，客户应当依法获得信息网络传播视听节目许可证； （7）从事新闻、出版、教育、医疗保健、药品和医疗器械等互联网信息服务，客户应当依照法律、行政法规以及国家规定经有关主管部门审核同意，在申请经营许可或者履行备案手续前，应当依法经有关主管部门审核同意。 除上述许可、批准外，如客户从事相关法律法规和监管要求应当具备的其他资质、许可和批准的，客户应当获得相应的资质、许可或批准。 4.1.2 自本协议签订时至履行中，如客户不具备本协议约定的资质条件，天翼云有权暂停提供天翼云服务、要求客户在限期内改正或直接解除本协议，并追究客户相应责任。如主体资格、资质证明文件所记载内容出现变更，客户应当在完成变更后尽快向天翼云提供最新的文件。 4.1.3 客户使用天翼云服务开展互联网信息服务等相关业务的，应当根据天翼云要求签订《网络及信息安全承诺书》（见《中国电信天翼云网门户用户协议》），并严格遵守该文件中的承诺。 4.2 账户安全 4.2.1 天翼云向客户提供天翼云服务时，将向客户提供在天翼云网门户中具有唯一识别性的账户，供客户通过该账户登陆天翼云网门户、使用天翼云服务。客户账号和密码是客户办理、使用天翼云服务的重要凭证，除非另有约定或说明，凡该账户所发出的指令及相关行为均视为客户或客户授权的行为，客户应承担由此造成的一切后果和责任。 4.2.2 客户负责其在天翼云网门户中的账号和密码的保密和使用安全，对于天翼云在天翼云服务中向客户提供相关账户的初始密码，客户应当第一时间重新设置密码，并妥善保管。 4.2.3 客户发现其账号或密码被他人非法使用或有使用异常情况的，应当及时根据天翼云公布的处理方式通知天翼云采取措施暂停该账号的登录和使用。天翼云在收到客户要求采取措施暂停其账号登录和使用的通知后，将要求客户提供客户的有效身份证明文件；经核实客户所提供身份证明文件信息与其注册的身份信息相一致的，天翼云应当及时采取措施暂停客户账号的登录和使用。客户没有提供其有效身份证明文件或者所提供身份证明文件所载信息与所注册的身份信息不一致的，天翼云有权拒绝客户前述请求，由此造成的损失由客户自行承担。因客户原因导致账号或密码泄露或为他人获取的，由客户自行承担损失和责任，但天翼云有义务协助客户或公安机关调查相关情况。 4.2.4 客户应当向天翼云提交执行本协议的联系人和管理客户在天翼云网门户中的账号和密码的人员名单和联系方式。如以上人员发生变动，客户应当自行将变动后的信息进行在线更新并及时通知天翼云，因客户提供的信息不真实、不准确、不完整，以及以上人员的行为或不作为而产生的结果，均由客户承担。 4.3 客户使用天翼云服务，应当满足本协议、天翼云服务合同及规则的要求。客户应当按照本协议约定（包括但不限于《专用服务条款》）向天翼云提供必要技术参数，包括但不限于IP地址段及对应的应用类型、服务器相关参数、组网结构和网络资源等情况，积极配合天翼云完成相关服务工程的实施、调测，以确保服务的正常运行。 4.4 客户对由天翼云分配的IP地址具有使用权，且不可以任何方式转由他人使用。客户不得私自使用天翼云未分配给客户的IP地址。客户不再使用天翼云服务时，相关IP地址使用权由天翼云收回。 4.5 未经天翼云事先书面同意，客户不得将本协议项下的服务以任何方式提供给其他第三方（双方对允许客户下属机构使用本协议项下服务事宜另有约定的除外）使用。否则，天翼云有权终止本协议，并追究客户相应责任。 4.6 如客户违反在本协议及附件中任一项保证的，包括但不限于在本协议签订时不具备开展业务所需的全部资质许可、未履行相关手续，或在服务期限内丧失全部或部分资质许可的，天翼云有权暂停提供天翼云服务，并要求客户在限期内改正；如客户在限期内未改正的，天翼云有权解除本协议，并不承担任何责任。客户应当承担违约责任，并赔偿天翼云的相应损失。 5.网络及数据安全 5.1 客户使用天翼云服务必须遵守《中华人民共和国网络安全法》（“《网络安全法》”）《中华人民共和国电信条例》《中华人民共和国计算机信息网络国际联网暂行规定》和其他有关法律、法规或相关规定，不得存在任何违法违规行为，不得侵犯天翼云以及任何第三方的合法权益。 5.2 客户使用天翼云服务以及通过天翼云服务所发布、传输或存储的信息内容应当符合《中国电信天翼云网门户用户协议》等相关规则以及《网络及信息安全承诺书》的要求，不得有任何危害或可能危害天翼云网门户、天翼云服务相关业务平台、以及天翼云网络安全和信息安全的行为。 5.3客户应当对其存放在天翼云网门户上的数据以及进入和管理天翼云网门户上各类产品与服务的口令、密码的完整性和保密性负责，并应采取必要、有效的保密和安全保护措施，包括但不限于规范数据访问和账号使用的权限管理、设置高强度密码并定期更换等。因客户维护不当或保密不当致使上述数据、口令、密码等丢失或泄漏所引起的损失和后果均由客户承担。 5.4 客户使用相关服务时，应当自行对云主机上的数据进行定期备份（包括不限于应用程序、数据库、系统配置文件等）并承担由其自身原因造成的数据丢失、遗漏、毁损的风险，天翼云对此无需承担责任。 5.5 对于客户使用天翼云服务所涉自身信息和资料、数据（包括但不限于商业秘密等）、最终用户及其他相关主体的信息和资料、数据等，客户负责保密并依法承担网络及信息安全责任，并自行承担由此产生的一切后果和责任。 5.6客户须依照《网络安全法》、《互联网信息服务管理办法》等法律法规的规定保留其网站的访问日志记录，包括发布的信息内容及其发布时间、互联网地址（IP）、域名等，国家有关机关依法查询时应当配合提供。未按规定保留相关记录而引起的相应法律责任由客户承担。 5.7对于客户通过天翼云提供的天翼云服务，加工、存储、上传、下载、分发以及通过其他方式处理的数据，天翼云承诺采取保密措施，不向第三方披露，不用于本协议之外的目的，但以下情况除外： （1）依据本协议或者用户与天翼云之间其他协议、合同等可以提供的； （2）依据法律法规的规定或行政、司法等职权部门要求应当提供的； （3）在不违反本协议约定的前提下，该保密信息已经公开或能从公开领域获得； （4）为提供客户所要求的软件或服务之需向第三方披露。 5.8客户可自行对其业务数据进行删除、更改等操作，但应谨慎操作。如客户释放服务或删除数据的，天翼云将按照客户的指令不再保留该数据。 5.9当服务期届满或服务因任何原因提前终止或客户发生欠费时，除法律法规明确规定、主管部门要求或双方另有约定外，天翼云仅在本协议约定的一定期限内继续存储客户的业务数据（如有），期限届满天翼云将删除客户的所有业务数据，包括所有缓存或者备份的副本。 5.10客户的业务数据一经删除，即不可恢复；客户应承担数据因此被删除所引发的后果和责任，客户理解并同意，天翼云没有继续保留、导出或者返还客户业务数据的义务。 5.11客户理解并同意，出于客户数据及系统安全的考虑，客户需要天翼云工程师直接对其相关服务进行操作时，客户应当以邮件、工单、电话等方式进行授权。客户应当指定唯一的联系人作为授权人（维护人）并由其在需要时指示天翼云进行相关操作，且仅有该授权人有权要求天翼云对相关服务进行操作。且天翼云仅负责操作系统以下的底层部分的运营维护，操作系统及之上部分（如客户在系统上安装的应用程序）由客户自行负责。此外，在授权期间客户未与天翼云沟通，自行进行操作而造成服务不可用等风险，由客户承担。 6. 知识产权 6.1客户使用天翼云服务时，对于客户自行提供并使用的软件、传输或存储的行为或内容，客户应保证该等软件、行为或内容的合法性和不侵权。如任何第三方主张客户的上述软件、行为或内容侵犯其所有权或者知识产权等合法权益，客户应当负责解决，并赔偿天翼云因此而承担的一切费用和损失；同时，天翼云有权视情况终止天翼云服务的全部或部分内容。 6.2 客户确认，天翼云向客户提供天翼云服务所涉相关软件、资料、数据等的知识产权属于天翼云或天翼云具有许可/使用权；未经天翼云同意，客户无权复制、传播、转让、许可或提供他人使用这些资源，否则应当承担相应的责任。对于天翼云提供的操作系统等软件，客户不得采取修改、翻译、改编、出租、转许可、在信息网络上传播或转让等方式，也不得逆向工程、反编译或试图以其他方式发现天翼云提供的软件的源代码。 7. 保密条款 7.1天翼云承诺对客户使用天翼云服务时提交或知悉的信息采取保密措施，不向第三方披露，除非： （1）依据本协议或者客户与天翼云之间其他协议、合同等可以提供的； （2）依据法律法规的规定或行政、司法等职权部门要求应当提供的； （3）在不违反本协议或者客户与天翼云之间其他协议、合同约定的前提下，该保密信息已经公开或能从公开领域获得。 但是，天翼云向其关联公司提供或披露与客户业务有关的资料和信息的，不受此限。天翼云的关联公司是指天翼云现在或将来控制、受控制或与其处于共同控制下的任何公司、机构以及上述公司或机构的合法继承人。其中“控制”是指直接或间接地拥有影响所提及公司管理的能力，无论是通过所有权、有投票权的股份、合同或其他被人民法院认定的方式。 7.2 未经天翼云书面许可，客户不得向第三方提供或者披露因本协议的签订和履行而得知的与天翼云业务有关的资料和信息，法律法规另有规定或本协议另有约定的除外。 7.3 本保密条款在本协议有效期内及终止后持续有效。 8.违约责任 8.1任何一方未履行本协议项下的义务均被视为违约。违约方应承担因违约给对方造成的损失。 8.2 如客户发生以下任一情形的，天翼云有权视情节严重程度采取中止或终止履行本协议、解除本协议等措施并不承担违约责任。如该情形导致第三方向天翼云提出法律或行政程序，客户应负责解决。如该情形给天翼云损失的，客户应全额赔偿： （1）被行政机关纳入“严重违法失信”名单； （2）被人民法院纳入“失信被执行人”名单； （3）被天翼云（含天翼云上级单位）纳入违规失信合作商名单； （4）如存在网络和信息安全违法、违规行为的，包括但不限于因网络和信息安全问题承担刑事责任或受到行政处罚，被列入各级公安机关的涉通讯信息诈骗违法犯罪高危自然人或法人名单、电信业务经营不良名单、失信名单等; （5）其他相关法律法规规定或有权机关认定的违法失信情形，以及可能导致合同履行风险或侵害天翼云合法权益或声誉的违规失信情形。 9.责任限制 9.1客户理解并充分认可，天翼云系按照“现状”和“可得到”的状态向客户提供天翼云服务。天翼云对天翼云服务不作任何明示或暗示的保证，包括但不限于服务的适用性、没有错误或疏漏、持续性、准确性、可靠性、适用于某一特定用途。同时，天翼云不对天翼云服务所涉及的技术及信息的有效性、准确性、正确性、可靠性、质量、稳定、完整和及时性做出任何承诺和保证。但天翼云承诺尽职尽责、诚实信用完成天翼云服务。 9.2 客户知悉并理解天翼云无法保证其所提供的服务毫无瑕疵，但天翼云承诺不断提升服务质量及服务水平。客户确认并同意：若天翼云提供的服务瑕疵是当时行业技术水平所无法避免的，将不视为天翼云违约，客户将配合天翼云共同合作解决上述瑕疵问题。 9.3 天翼云将依照法律法规要求对其系统、设备等采取基础的安全保护措施。若客户对安全保护措施的要求高于前述基础的安全保护措施标准的，应当根据自身需求购买配置更高的安全保护服务或另行配置其他安全防护软件、系统等。因客户未自行对使用的计算机信息系统、设备等采取必要的、有效的安全保护措施导致权益受损的，由客户自行承担责任。 9.4 客户理解并充分认可，虽然天翼云已经建立（并将根据技术的发展不断完善）必要的技术措施来防御包括计算机病毒、网络入侵和攻击破坏（包括但不限于DDOS）等危害网络安全事项或行为（以下统称该等行为），但鉴于网络安全技术的局限性、相对性以及该等行为的不可预见性，以及用户操作不当、或用户通过非天翼云网门户授权的方式使用服务，以及可能发生的不可抗力事件，对服务的持续性、准确性、可靠性、适用性等造成影响的，天翼云不对该等情形导致的任何损害赔偿承担责任，包括但不限于利润、商誉、数据财产等损失的损害赔偿。如因客户账户遭遇该等行为而给天翼云或者天翼云网络或服务器（包括但不限于本地及外地和国际的网络、服务器等）带来危害，或影响天翼云与国际互联网或者天翼云与特定网络、服务器及天翼云内部的通畅联系，天翼云有权决定暂停或终止服务，如因客户原因给天翼云带来重大网络事故，天翼云将保留向客户主张赔偿的权利，涉及犯罪的，客户应当依法承担刑事责任。 9.5 如政府管理部门提出要求的，天翼云将暂停或终止提供相应服务，且不承担任何责任。 9.6本协议（包括但不限于在《专用服务条款》、天翼云服务等级协议、天翼云网门户展示的具体产品/服务的相关服务规则中）约定了在特定的“服务不可用”情况下，天翼云的补偿责任（如有）。尽管有该等约定，客户同意并认可，以下原因导致天翼云提供的天翼云服务不可用的情况不计在不可用时间内： （1）天翼云事先通知客户后进行系统维护所引起的，包括割接、维修、升级和模拟故障演练等； （2）任何天翼云所属设备以外的网络、设备故障或配置调整引起的； （3）客户的应用程序或安装活动所引起的； （4）客户的应用程序或数据信息受到黑客攻击而引起的； （5）客户的疏忽或由客户授权的操作所引起的； （6）客户维护不当或保密不当致使数据、口令、密码等丢失或泄漏所引起的； （7）客户自行升级操作系统所引起的； （8）由于操作系统漏洞导致的； （9）其他非天翼云原因所造成的不可用。 9.7《专用服务条款》可能会对天翼云的责任限制有进一步约定，客户使用天翼云提供的服务同样受到该等责任限制的约束，敬请客户关注。 10.不可抗力 如由于战争、骚乱、恐怖主义、自然灾害、突发公共卫生事件、国家法律法规或规章变动、停电、通信线路被人为破坏，导致天翼云和客户双方或一方不能履行或不能完全履行本协议项下有关义务时，受影响方不承担违约责任，但应当于该等情形发生后十五（15）日内将情况书面告知对方，并提供有关部门的证明。在影响消除后的合理时间内，一方或双方应当继续履行合同。如因此导致本协议不能或者没有必要继续履行的，任何一方有权解除本协议。 11. 法律适用及争议解决 11.1本协议适用中华人民共和国法律。 11.2所有因本协议引起的或与本协议有关的任何争议，将通过双方友好协商解决。如果双方不能通过友好协商解决争议，则任何一方可以向被告所在地有管辖权的人民法院提起诉讼。诉讼进行中，双方将继续履行本协议未涉诉讼的其它部分。 12.附则 12.1 本协议的章节标题仅为行文方便而设，不具有法律或合同效力。 12.2 本协议任一条款被视为废止、无效或不可执行，该条款应视为可分的且不影响本协议及其他条款的有效性及可执行性。 12.3 天翼云有权通过在天翼云网门户上发布公告、发站内通知或邮件通知等本协议约定的方式将本协议的权利义务全部或者部分转移给天翼云的关联公司。 12.4 本协议项下之保密条款、法律适用与管辖条款以及性质上理应存续的其他条款（如客户对其向天翼云提交信息的真实性保证等），不因本协议的终止而失效。 12.5 附件为本协议不可分割的部分。如附件与本协议正文有任何冲突，以本协议正文为准。

section4824eff196981636)。 云电脑操作系统锁屏，怎么解锁？ 可以通过输入操作系统密码进行解锁，如忘记密码，安全中心点击"系统密码"进行重置系统密码，详见安全中心重置系统密码。 天翼AI云电脑到期后，资源将会如何处理？ 天翼AI云电脑（公众版）： 1. 预付费用户到期资源冻结15天，超期后第16天销毁。 2.后付费用户到期资源冻结15天，超期后第16天销毁。 3.主动退订立即销毁。 天翼AI云电脑（政企版）： 1.预付费用户到期资源冻结15天，超期后第16天销毁 。 2.后付费用户到期资源冻结45天，超期后第46天销毁 。 3.主动退订资源冻结15天，超期后第16天销毁（资源包开通的实例立即销毁）。 天翼AI云电脑无法连接怎么办？ 请依次按照以下步骤检查： 1. 请检查您的网络连接是否正常。 2. 重启天翼AI云电脑：请在“选择桌面”页面，点击“重启”按钮，重启完成后，再尝试连接天翼AI云电脑。 3. 重启天翼云电脑APP：关闭天翼云电脑APP，再重新打开APP，查看是否可以成功连接。 4. 尝试上述操作仍无法连接，请在登录页面找到“报障”入口，进行报障。我们会有专人协助您解决。

本文介绍如何创建只读实例。 使用限制 目前仅2022企业版、2019企业版、2017企业版的主备版实例支持创建只读实例。 1个主实例最多支持创建5个只读实例。 只读实例仅支持按需计费。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 关系数据库SQL Server版】，进入关系数据库SQL Server产品页面。然后单击【管理控制台】，进入TeleDB数据库【概览】页面。 2. 在左侧导航栏，选择【SQL Server > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，找到目标实例，然后在【操作】列选择【更多 > 创建只读实例】，进入只读实例订购页。 4. 在订购页，填写或选择可用区、性能类型、性能规格、存储类型、存储空间、安全组、参数模板、购买数量等信息。 5. 单击【下一步】进入配置确认页，点击【立即创建】，完成支付，等待一段时间查看实例列表即可看到主实例下的只读实例。 注意 只读实例需要与主实例在同一区域，但是可以选择不同可用区。 只读实例的规格不限制，可以与主实例不同，但存储空间必须不小于主实例存储空间。 只读实例的版本、字符集、所属企业项目必须与主实例保持一致。 只读实例的VPC、子网必须与主实例保持一致，安全组不限制。 只读实例使用的参数模板不限制，可以与主实例不同。

本节介绍如何变更云防火墙扩展包数量。 购买了云防火墙后，您可以增加或减少EIP/VPC的防护数量以及互联网边界流量峰值。 变更扩展包 1. 登录天翼云控制中心。 2. 在产品服务列表页，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在“防火墙详情”中，单击“已使用/可防护EIP数”、“总防护VPC数量/购买VPC数量”、“可防护互联网流量峰值”右侧的“变更”，进入“变更云防火墙规格”页面。 5. 变更扩展包数量。 默认不支持将扩展包数量降到0，如果您需要将扩展包数量降到0，请参见退订扩展包。 退订扩展包 1. 登录天翼云控制中心。 2. 在产品服务列表页，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 鼠标悬停在页面左上角上角版本处，单击“退订”。 5. 选择退订的扩展包，单击“确认”。 6. 确认信息无误后，勾选“我已确认本次退订金额和相关费用。” 7. 单击“下一步”，完成退订操作。

个性化数据访问 细粒度权限管控允许为不同用户或角色定制数据访问视图。例如，在一个销售系统中，销售人员可能只需要访问客户的基本信息，而经理则可以查看更详细的销售记录和分析数据。这种个性化的权限配置提高了工作效率。 多租户环境 在多租户环境中，细粒度权限管控能够有效隔离不同租户的数据，确保每个租户只能访问自己的数据。即使多个租户共享同一个搜索引擎集群，他们的数据依然能够得到严格的保护。 最小权限原则 细粒度权限控制支持最小权限原则（Principle of Least Privilege），确保用户仅能访问其工作所需的最小数据范围，从而减少潜在的安全风险。 技术实现与应用 管理员可以通过 OpenSearch 的安全模块，使用文档级别安全（DocumentLevel Security, DLS）和字段级别安全（FieldLevel Security, FLS）配置细粒度权限。DLS 允许基于查询条件限制用户对特定文档的访问，而 FLS 则允许管理员指定哪些字段对特定用户可见或不可见。 这些权限配置可以通过 OpenSearch 的 REST API 或管理工具来实现和管理。管理员还可以结合角色和用户组的概念，为不同用户群体配置统一的权限策略，从而简化权限管理流程。 操作示例 我们创建一个role publicrole，创建一个user publicuser1，目标是让这个user只能查看pub开头的索引里public字段为true的文档。 创建角色： PUT plugins/security/api/roles/publicrole { "clusterpermissions": [ "" ], "indexpermissions": [{ "indexpatterns": [ "pub" ], "dls": "{"term": { "public": "true"}}", "allowedactions": [ "read" ] }] } 创建用户： PUT plugins/security/api/internalusers/publicuser1 { "password": "" } 创建Mapping： PUT plugins/security/api/rolesmapping/publicrole { "users" : [ "publicuser1" ] } 创建索引： pub索引，插入两条数据 POST pubindex/doc/ { "name": "robert", "age": "30", "public": "true" } POST pubindex/doc/ { "name": "mike", "age": "55", "public": "false" } 非pub索引 POST secindex/doc/ { "name": "jane", "age": "18", "public": "true" } 我们开始搜索，预期是publicuser1搜索pubindex可以返回一条结果，搜索secindex无结果。而admin用户搜索pubindex可以返回两条结果，搜索secindex可以返回一条结果。 GET pubindex/search {"size": 10,"query": {"matchall": {}}} { "took" : 4, "timedout" : false, "shards" : { "total" : 1, "successful" : 1, "skipped" : 0, "failed" : 0 }, "hits" : { "total" : { "value" : 1, "relation" : "eq" }, "maxscore" : 2.0, "hits" : [ { "index" : "pubindex", "id" : "xBnh0okBxCORqeQrGobf", "score" : 2.0, "source" : { "name" : "robert", "age" : "30", "public" : "true" } } ] } } GET pubindex/search {"size": 10,"query": {"matchall": {}}} { "took" : 1, "timedout" : false, "shards" : { "total" : 1, "successful" : 1, "skipped" : 0, "failed" : 0 }, "hits" : { "total" : { "value" : 2, "relation" : "eq" }, "maxscore" : 1.0, "hits" : [ { "index" : "pubindex", "id" : "xBnh0okBxCORqeQrGobf", "score" : 1.0, "source" : { "name" : "robert", "age" : "30", "public" : "true" } }, { "index" : "pubindex", "id" : "xRnh0okBxCORqeQrMobq", "score" : 1.0, "source" : { "name" : "mike", "age" : "55", "public" : "false" } } ] } } GET secindex/search {"size": 10,"query": {"matchall": {}}} { "error" : { "rootcause" : [ { "type" : "securityexception", "reason" : "no permissions for [indices:data/read/search] and User [namepublicuser1, backendroles[], requestedTenantnull]" } ], "type" : "securityexception", "reason" : "no permissions for [indices:data/read/search] and User [namepublicuser1, backendroles[], requestedTenantnull]" }, "status" : 403 } GET secindex/search {"size": 10,"query": {"matchall": {}}} { "took" : 1, "timedout" : false, "shards" : { "total" : 1, "successful" : 1, "skipped" : 0, "failed" : 0 }, "hits" : { "total" : { "value" : 1, "relation" : "eq" }, "maxscore" : 1.0, "hits" : [ { "index" : "secindex", "id" : "xhnh0okBxCORqeQrTYbM", "score" : 1.0, "source" : { "name" : "jane", "age" : "18", "public" : "true" } } ] } } 搜索引擎的细粒度权限管控功能通过支持文档级别和字段级别的权限控制，为企业提供了强大的数据安全和管理能力。 这种精确的权限配置不仅帮助企业保护敏感信息，还能够在多租户环境和个性化数据访问需求下提供高效的解决方案。通过细粒度的权限管控，企业可以确保数据的安全性、隐私性和合规性，同时实现灵活的业务支持。

本节介绍VSS的主机扫描IP有哪些。 如果设置了访问限制，请添加策略允许VSS的IP地址可以访问您的主机。如果您使用了主机安全防护软件，请将VSS访问主机的IP地址添加到该软件的白名单中，以免该软件拦截了VSS访问用户主机的IP地址。 114.217.39.79，222.93.127.109

授权并激活远程桌面服务 前提条件 已提前申购企业许可号码，并获取相关信息。 已获取服务器管理员帐号与密码。 操作步骤 1 使用管理员帐号登录服务器。 2 选择“开始 > 管理工具 > 远程桌面服务 >RD授权管理器”，打开RD授权管理器界面。 3 选择未激活的目标服务器，鼠标右键选择“激活服务器”。 激活服务器 4 打开服务器激活向导界面，根据界面引导操作。 打开服务器激活向导 5 选择自动连接方式。 选择自动连接 6 输入公司名称和用户姓名。 输入相关信息 7 （可选）输入公司详细通讯信息。 输入公司详细信息 8 确认安装启动许可证安装向导。 确认许可证安装向导 启用许可证安装向导 9 许可证计划选择“企业协议”。 选择许可证计划 10 输入企业协议号码。 企业协议号码需提前向第三方平台申购获取官方远程桌面授权许可。 输入协议号码 11 选择服务器版本为“Windows server 2019”，选择许可证类型为“RDS每用户CAL”，选择许可证数为100。 选择服务器版本 12 完成许可证安装，激活服务器，返回RD授权管理页面，查看服务器已激活。 成功安装许可证

授权并激活远程桌面服务 前提条件 已提前申购企业许可号码，并获取相关信息。 已获取服务器管理员帐号与密码。 操作步骤 1 使用管理员帐号登录服务器。 2 选择“开始 > 管理工具 > 远程桌面服务 >RD授权管理器”，打开RD授权管理器界面。 3 选择未激活的目标服务器，鼠标右键选择“激活服务器”。 激活服务器 4 打开服务器激活向导界面，根据界面引导操作。 打开服务器激活向导 5 选择自动连接方式。 选择自动连接 6 输入公司名称和用户姓名。 输入相关信息 7 （可选）输入公司详细通讯信息。 输入公司详细信息 8 确认安装启动许可证安装向导。 确认许可证安装向导 启用许可证安装向导 9 许可证计划选择“企业协议”。 选择许可证计划 10 输入企业协议号码。 企业协议号码需提前向第三方平台申购获取官方远程桌面授权许可。 输入协议号码 11 选择服务器版本为“Windows server 2016”，选择许可证类型为“RDS每用户CAL”，选择许可证数为100。 12 完成许可证安装，激活服务器，返回RD授权管理页面，查看服务器已激活。 成功安装许可证

本文主要介绍如何查看云防火墙的概览页面，以及概览页信息说明。 您可以在总览页面查看防火墙实例的基本信息、整体防护能力、统计信息，随时了解云资产的安全状况以及流量数据。 约束条件 VPC边界防护详情需配置“开启VPC边界流量防护”后才能查看。 查看概览 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）切换或查看防火墙实例： 切换防火墙实例：在页面左上角的下拉框中切换防火墙。 查看防火墙实例信息：单击右上角“防火墙列表”，参数说明请参见下表。 参数名称 参数说明 防火墙名称/ID 防火墙的名称/ID。 状态 防火墙的运行状态。 版本规格 防火墙的版本规格。 可防护EIP数 当前防火墙最大可防护的EIP数量。 可防护互联网流量峰值 当前防火墙最大可防护流量的峰值。 计费模式 当前防火墙的计费模式。 企业项目 防火墙所属的企业项目。 操作 支持查看详情等操作。 4. 在“资源概况”中，查看当前账号的当前区域下所有云资源（EIP、VPC）的防护状态。 5. 在“安全事件”中，查看入侵防御功能的防护总详情，快速定位需要防护的云资产。 在右上角切换查询时间，支持查询5分钟~7天的数据。 为异常外联的IP地址/域名添加防护策略： 1. 单击“异常外联IP数”或“异常外联域名数”的数字。 2. 在弹框中选择需要防护的IP地址/域名。 3. 生成地址组/域名组： 创建为地址组/域名组：生成新的地址组/域名组。 添加到地址组/域名组：添加到已有的地址组/域名组。 4. 将地址组/域名组添加到防护规则或黑/白名单，请参见“访问控制策略概述”。 6. 在“防护规则”中，查看防护策略的未命中数量和总数。 详细的未命中防护策略，可单击“一个月以上未命中策略数”的数字，跳转在“策略助手”页面，底部列表中查看。

解绑弹性公网IP 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 在网络 区域，单击解绑。 5. 在对话框中，单击是，解绑弹性IP。 您也可以在MySQL > 任务列表页面，查看解绑弹性公网IP任务的执行进度及结果。 注意 您需要设置安全组，开通需访问数据库的IP地址和端口，才可以访问数据库实例。在访问数据库前，您需要将访问数据库的IP地址，或者IP段加安全组入方向的访问规则。为了获得更快的传输速率和更高的安全级别，建议您将应用迁移到与您的关系数据库MySQL版在同一区域的弹性云主机上。 如想要使用公网IP连接数据库，需要将客户端的IP添加至白名单，否则将无法访问。 为数据库代理绑定或解绑弹性公网IP 如果实例开启了数据库代理功能，您可以为数据库代理绑定弹性公网IP，以通过公共网络来使用数据库代理服务，绑定或解绑弹性公网IP的操作步骤如下： 绑定弹性公网IP 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 单击数据库代理 ，进入数据库代理页面。 5. 在代理地址 区域，单击绑定弹性IP。 6. 在弹性公网IP列表，选择您的弹性公网IP，单击绑定。 您也可以在MySQL > 任务列表页面，查看绑定弹性公网IP任务的执行进度及结果。

本文介绍了关系数据库PostgreSQL版在主子账号和IAM管理实现的相关功能说明。 关系数据库PostgreSQL版已对接天翼云统一身份认证服务（IAM），可实现控制台按钮、菜单功能、OpenAPI等维度对用户访问、操作资源的权限控制等， 以达到用户权限的精细管理，保证访问的安全性。 IAM简介 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。目前天翼云提供对应专有的CTIAM服务，用户可申请开通后免费使用，您只需要为您帐号中的云服务和资源进行付费。具体IAM使用说明详情见：统一身份认证。 IAM涉及的主要概念 主用户 ：用户在天翼云注册后自动创建，该用户对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，为了确保账号安全，建议创建子用户来进行日常管理工作。 子用户 ：由拥有IAM权限的用户，在用户中心创建的子用户。子用户的用户名、密码由拥有IAM权限的用户控制。子用户同样可以登录访问天翼云控制台，登录入口与主用户相同，受赋予的权限限制。 用户组 ：用户组是用户的集合，IAM通过用户组功能实现用户的授权。您创建的IAM用户，需要加入特定用户组后，才具备对应的权限，否则IAM用户无法访问您帐号中的任何资源或者云服务。 系统策略 ：由天翼云产品团队维护，系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对 ECS 的只读权限、对 ECS 的管理员权限等；系统策略在IAM控制台中只能用于授权，不能编辑和修改。 自定义策略 ：由用户自己在IAM控制台创建和管理的权限集，是用户可以自由定义的权限，是对系统策略的扩展和补充。 企业项目 ：企业项目权限实现细粒度控制的基础。将云资源、企业成员按企业项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用企业项目内云资源的权限受用户组的授权限制。

本节介绍如何提升登录口令的安全性以及常见系统登录口令的修改方法。 随着互联网信息化进程的不断加深，用户服务器上运行的应用服务不断增加，而大多数服务都使用账户+口令的方式进行鉴权。黑客常以暴力破解的方式去尝试登录暴露在公网上的服务，如果您设置为弱口令登录，黑客可能会非法登录您的服务器，窃取服务器数据或破坏服务器。因此，定时检查服务器中存在的弱口令问题，并及时修改为强口令对服务器安全至关重要。 弱口令带来的危害 在服务器系统中使用弱口令可能会造成以下危害： 普通账户使用的弱口令可能会被猜解或被破解工具破解，从而泄露个人隐私信息，甚至造成财产损失。 系统管理员账户弱口令可能会导致整个系统被攻击、数据库信息被窃取、业务系统瘫痪，造成所有用户信息的泄露和巨大的经济损失，甚至可能引发群体性的网络安全危害事件。 如何避免设置弱口令 服务器安全卫士提供系统弱口令和应用弱口令两类弱口令检测，可帮您快速发现主机中存在的弱口令风险，详细操作参见弱口令检测。 若检测出弱口令，可按以下规则设置复杂口令： 密码长度不少于8位 包含大小写字母、数字及特殊字符 密码不包含用户名 密码中不含连续的字母或数字 并且建议您每隔3个月更改一次口令。

本节为您介绍如何在Mac OS系统主机上登录Linux云主机。 操作场景 本节为您介绍如何在Mac OS系统主机上登录Linux云主机。 前提条件 云主机状态为“运行中”。 已获取Linux云主机用户名和密码。忘记密码请参考在控制台重置弹性云主机密码重置密码。 弹性云主机已经绑定弹性公网IP，绑定方式请参见绑定弹性公网IP。 所在安全组入方向已开放3389端口，配置方式请参见配置安全组规则。 操作步骤 您可以通过Mac OS系统自带的终端（Terminal）登录Linux云主机。 SSH密码方式 1、打开系统自带的终端（Terminal），执行以下命令，登录云主机。 ssh 用户名@弹性公网IP 说明： 如果是公共镜像，用户名为“root”。 SSH密钥方式 1、打开系统自带的终端（Terminal），执行以下命令，变更权限。下面步骤以私钥文件是kp123.pem为例进行介绍。 chmod 400 /path/kp123.pem 说明： 上述命令的path为密钥文件的存放路径。 2、执行以下命令，登录云主机。 ssh i /path/kp123.pem 用户名@弹性公网IP 说明： 如果是公共镜像，用户名为“root”。 后续处理 以SSH密钥方式登录弹性云主机后，可以通过设置密码（执行passwd命令），后续使用VNC方式登录Linux弹性云主机。

本节主要介绍Kafka业务迁移。 Kafka迁移指将生产与消费消息的客户端切换成连接新Kafka，部分还涉及将持久化的消息文件迁移到新的Kafka。主要涉及到以下2类场景： 业务上云且不希望业务有中断。 在上云过程中，连续性要求高的业务，需要平滑迁移，不能有长时间的中断。 在云上变更业务部署 单AZ部署的Kafka实例，不具备AZ之间的容灾能力。用户对可靠性要求提升后，需要迁移到多AZ部署的实例上。 迁移准备 1、配置网络环境 Kafka实例分VPC内以及公网地址两种网络连接方式。如果使用公网地址，则消息生成与消费客户端需要有公网访问权限，并配置如下安全组。 表 安全组规则 方向 协议 端口 源地址 说明 ::::: 入方向 TCP 9094 0.0.0.0/0 通过公网访问Kafka（关闭SSL加密）。 入方向 TCP 9095 0.0.0.0/0 通过公网访问Kafka（开启SSL加密）。 2、创建Kafka实例 Kafka的规格不能低于原业务使用的Kafka规格。具体请参考购买Kafka实例。 3、创建Topic 在新的Kafka实例上创建与原Kafka实例相同配置的Topic，包括Topic名称、副本数、分区数、消息老化时间，以及是否同步复制和落盘等。具体请参考创建Topic。

云产品 应用场景 描述 相关操作 虚拟专用网络VPN 使用公网低成本连接VPC与本地IDC 基于Internet使用加密隧道将VPC与本地数据中心连接起来。 具备成本低、配置简单、即开即用等优点。但它的网络质量依赖Internet。 通过VPN连接VPC，（路径文档VPN最佳实践通过VPN连接云下数据中心与云上VPC） 云专线 铺设物理专线高质量连接VPC与本地IDC 使用物理专线将VPC与本地数据中心连接起来。具备低时延、 高安全、专用等优点。适用对网络传输质量和安全等级要求较高的场景 。 通过用户专线访问多个VPC，（路径：文档云专线最佳实践通过用户专线访问多个VPC）

本章节介绍工作负载身份 概述 应用服务网格中的工作负载都有一个身份信息，这个信息主要用于网格内服务之间通信时实现身份认证和基于身份的访问授权。工作负载身份信息由服务网格自动生成和维护，基于Service Account实现；CSM服务网格中的工作负载身份信息符合SPIFFE标准，格式如下： spiffe://{trustdomain}/ns/{namespace}/sa/{serviceaccount} 在服务网格控制台 网格安全中心> 工作负载身份菜单下，选择namespace可以看到该命名空间下的工作负载身份信息，如下图：

新增基线检查任务 1. 登录实例。 2. 在菜单栏选择“主机安全 > 基线检查”。 3. 单击“新增任务”。 4. 在弹出的新增任务窗口中，配置任务参数。 添加任务名称，选择对应终端，选择基线策略及执行时间。 5. 配置完成后，单击“确定”。 执行基线检查任务 在任务操作列，单击“执行”待扫描完成后查看扫描结果。 查看扫描结果 点击“查看”具体扫描结果展示。 如下图所示，根据终端名称风险项可查看具体风险建议及方法。

本章节为您介绍如何将已添加到数据安全中心DSC防护的对象存储OBS桶删除。 将对象存储OBS桶删除后，该资产在DSC服务里建立的相关任务模板以及扫描任务结果报告都将被删除，且无法恢复。 前提要求 需要完成对象存储OBS资产委托授权，参考云资源委托授权/停止授权步骤进行操作。 需要删除的对象存储OBS资产未被应用在敏感数据识别任务中。 注意 如果需要删除的OBS资产已被应用在敏感数据检测任务中，请先解绑资产或者删除任务，再参照本章节删除资产。 OBS资产删除后无法恢复，资产相关的任务模板，任务结果，报表都将删除，请谨慎操作。 操作步骤 1.登录管理控制台。 2.点击左上角的，选择区域或项目。 3.点击左侧导航树的，选择“安全与合规 >数据安全中心”，进入数据安全中心总览界面。 4.在左侧导航树中选择“资产列表”，进入OBS资产列表页面。 5.在OBS资产列表中，在需要删除的OBS资产所在行的“操作”列，单击“删除”。 6.在弹出窗口中，单击“确定”。

本章节主要介绍安装客户端。 操作场景 该操作指导安装工程师安装MRS集群所有服务（不包含Flume）的客户端。MRS针对不同服务提供了Shell脚本，供开发维护人员在不同场景下登录其对应的服务维护客户端完成对应的维护任务。 说明 通过Manager界面修改服务端配置或系统升级后，建议重新安装客户端，否则客户端与服务端版本将不一致。 前提条件 安装目录可以不存在，会自动创建。但如果存在，则必须为空。目录路径不能包含空格。 客户端节点为集群外部服务器时，必须能够与集群业务平面网络互通，否则安装会失败。 客户端必须启用NTP服务，并保持与服务端时间一致，否则安装会失败。 对于下载所有组件客户端的情况，HDFS与Mapreduce是合一目录（“ 客户端目录 /HDFS/”）。 安装和使用客户端可以使用任意用户进行操作，用户名和密码请从管理员处获取，本章节以“userclient”进行举例。要求“userclient”用户为服务器文件目录（如“/opt/Bigdata/client”）和客户端安装目录（如“/opt/Bigdata/hadoopclient”）的“owner”，两个目录的权限为“755”。 使用客户端需要已从管理员处获取“组件业务用户”（默认用户或新增用户）和“密码”。 使用omm 和root以外的用户安装客户端时，若“/var/tmp/patch”目录已存在，需将此目录权限修改为“777”，将此目录内的日志权限修改为“666”。 操作步骤 1. 获取软件包。 登录FusionInsight Manager，具体请参考访问FusionInsight Manager（MRS 3.x及之后版本），在“集群”下拉列表中单击需要操作的集群名称。 选择“更多 > 下载客户端”，弹出“下载集群客户端”信息提示框。 详见下图：下载客户端 说明 在只安装单个服务的客户端的场景中，选择“集群 > 待操作集群的名称 > 服务 > 服务名称 > 更多 > 下载客户端”，弹出“下载客户端”信息提示框。 2. 选择客户端类型”中选择“完整客户端”。 “仅配置文件”下载的客户端配置文件，适用于应用开发任务中，完整客户端已下载并安装后，管理员通过Manager界面修改了服务端配置，开发人员需要更新客户端配置文件的场景。 平台类型包括x8664和aarch64两种： x8664：可以部署在x86平台的客户端软件包。 aarch64：可以部署在TaiShan服务器的客户端软件包。 说明 集群支持下载x8664和aarch64两种类型客户端，但是客户端类型必须和待安装节点的架构匹配，否则客户端会安装失败。 3. 是否在集群的节点中生成客户端文件？ 是，勾选“仅保存到如下路径”，单击“确定”开始生成客户端文件，文件生成后默认保存在主管理节点“/tmp/FusionInsightClient”。支持自定义其他目录且omm用户拥有目录的读、写与执行权限。单击“确定”，等待下载完成后，使用omm用户或root用户将获取的软件包复制到将要安装客户端的服务器文件目录，例如“/opt/Bigdata/client”。然后执行步骤5。 说明 当用户无法获取root用户权限，需要用omm用户操作。 否，单击“确定”指定本地的保存位置，开始下载完整客户端，等待下载完成，执行步骤4。 4. 上传软件包。 使用WinSCP工具，以准备安装客户端的用户（如“userclient”），将获取的软件包上传到将要安装客户端的服务器文件目录，例如“/opt/Bigdata/client”。 客户端软件包名称格式为：“FusionInsightCluster ServicesClient.tar”。 后续步骤及章节以FusionInsightCluster1ServicesClient.tar进行举例。 说明 客户端所在主机可以是集群内节点，也可以是集群外节点。当该节点为集群外部服务器时，必须能够与集群网络互通，并启用NTP服务以保持与服务端时间一致。 例如可以为外部服务器配置与集群一样的NTP时钟源，配置之后可以执行ntpq np命令检查时间是否同步。 如果显示结果的NTP时钟源IP地址前有“”号，表示同步正常，如下： remote refid st t when poll reach delay offset jitter 10.10.10.162 .LOCL. 1 u 1 16 377 0.270 1.562 0.014 如果显示结果的NTP时钟源IP前无“”号，且“refid”项内容为“.INIT.”，或者回显异常，表示同步不正常，请联系技术支持。 remote refid st t when poll reach delay offset jitter 10.10.10.162 .INIT. 1 u 1 16 377 0.270 1.562 0.014 也可以为外部服务器配置与集群一样的chrony时钟源，配置之后可以执行chronyc sources命令检查时间是否同步。 如果显示结果的主OMS节点chrony服务IP地址前有“”号，表示同步正常，如下： MS Name/IP address Stratum Poll Reach LastRx Last sample ^10.10.10.162 10 10 377 626 +16us[ +15us] +/ 308us 如果显示结果的主OMS节点NTP服务IP前无“”号，且“ Reach ”项内容为“0”，表示同步不正常。 MS Name/IP address Stratum Poll Reach LastRx Last sample ^? 10.1.1.1 0 10 0 +0ns[ +0ns] +/ 0ns 5. 以userclient用户登录将要安装客户端的服务器。 6. 解压软件包。 进入安装包所在目录，例如“/opt/Bigdata/client”。执行如下命令解压安装包到本地目录。 tar xvf FusionInsightCluster1ServicesClient.tar 7. 校验软件包。 执行sha256sum命令校验解压得到的文件，检查回显信息与sha256文件里面的内容是否一致，例如： sha256sum c FusionInsightCluster1ServicesClientConfig.tar.sha256 FusionInsightCluster1ServicesClientConfig.tar: OK 8. 解压获取的安装文件。 tar xvf FusionInsightCluster1ServicesClientConfig.tar 9. 配置客户端网络连接。 a.确保客户端所在主机能与解压目录下“hosts”文件（例如“/opt/Bigdata/client/FusionInsightCluster ServicesClientConfig/hosts”）中所列出的各主机在网络上互通。 b.当客户端所在主机不是集群中的节点时，需要在客户端所在节点的“/etc/hosts”文件（更改此文件需要root用户权限）中设置集群所有节点主机名和业务平面IP地址映射，主机名和IP地址请保持一一对应，可执行以下步骤在hosts文件中导入集群的域名映射关系。 切换至root用户或者其他具有修改hosts文件权限的用户。 su root 进入客户端解压目录。 cd /opt/Bigdata/client/FusionInsightCluster1ServicesClientConfig 执行 cat realm.ini >>/etc/hosts ，将域名映射关系导入到hosts文件中。 说明 当客户端所在主机不是集群中的节点时，配置客户端网络连接，可避免执行客户端命令时出现错误。 如果采用yarnclient模式运行Spark任务，请在“ 客户端安装目录 /Spark/spark/conf/sparkdefaults.conf”文件中添加参数“spark.driver.host”，并将参数值设置为客户端的IP地址。 当采用yarnclient模式时，为了Spark WebUI能够正常显示，需要在Yarn的主备节点（即集群中的ResourceManager节点）的hosts文件中，配置客户端的IP地址及主机名对应关系。 10. 进入安装包所在目录，执行如下命令安装客户端到指定目录（绝对路径），例如安装到“/opt/hadoopclient”目录。 cd /opt/Bigdata/client/FusionInsightCluster1ServicesClientConfig 执行./install.sh /opt/hadoopclient命令，等待客户端安装完成（以下只显示部分屏显结果）。 The component client is installed successfully 说明 如果已经安装的全部服务或某个服务的客户端使用了“/opt/hadoopclient”目录，再安装其他服务的客户端时，需要使用不同的目录。 卸载客户端请删除客户端安装目录。 如果要求安装后的客户端仅能被该安装用户（如“userclient”）使用，请在安装时加“o”参数，即执行./install.sh /opt/hadoopclient o命令安装客户端。 如果安装NTP服务器为chrony模式，请在安装时加“chrony”参数，即执行./install.sh /opt/hadoopclient ochrony命令安装客户端。 由于HBase使用的Ruby语法限制，如果安装的客户端中包含了HBase客户端，建议客户端安装目录路径只包含大写字母、小写字母、数字以及?.@+字符。 客户端节点为集群外部服务器且此节点无法与主oms节点的业务平面IP互通时或者无法访问主节点的20029端口时，客户端可以正常安装成功，但无法注册到集群中，无法在界面上进行展示。 a.执行cd /opt/hadoopclient命令进入客户端安装目录。 b.执行source bigdataenv命令配置客户端环境变量。 c.如果集群为安全模式，执行以下命令，设置kinit认证，输入客户端用户登录密码；普通模式集群无需执行用户认证。 kinit admin Password for admin@HADOOP.COM:

本章节介绍密码服务产品功能。 数据加解密 提供重要数据的加密和解密服务，满足密评中对重要数据传输和存储的机密性要求，基于数据加密技术，能够在数据进入数据库之前对其进行加密处理，从而确保数据的机密性和完整性。 签名验签 提供重要数据的签名和验签服务，满足密评中对重要数据传输和存储的完整性要求以及操作的不可否认性要求。 密钥管理 提供集中的密钥全生命周期管理服务，满足密评中对密钥管理的安全性要求。 安全传输 提供网络通信通道的加密服务，满足密评中对网络和通信安全层面的数据传输机密性和完整性要求。 协同签名 配合移动端密码模块为应用系统移动端提供协同密码服务，满足应用终端身份认证、数据加密合规性要求。 密评服务 为租户侧提供密码方案设计、应用系统密改指导、应用系统密评支撑等服务。

本文为您介绍数据库审计的权限管理能力,支持通过IAM实现对数据库审计的访问控制、权限分配。 天翼云提供统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。通过IAM服务定义企业项目、创建子用户，轻松实现IAM子用户对数据库审计资源的访问控制、权限分配等。 默认情况下，天翼云主账号拥有管理员权限，而主账号创建的IAM用户没有任何权限。IAM用户需要加入用户组，并给用户组授权相应策略后，IAM用户才能获得策略对应的权限，才可以基于被授予的权限对云服务进行操作。 数据库审计支持企业项目管理，若您需要对数据库审计资源进行分组和管理，形成逻辑隔离，您可以创建企业项目，并将资源划分至不同的企业项目中，不同的企业项目可以绑定不同的用户组，并给用户组授予数据库审计产品的权限策略（包括系统策略和自定义策略），从而实现对特定资源的授权。 说明 仅“一类节点”区域的实例支持企业项目管理。 IAM应用场景 IAM策略主要面向同一主账号下，对不同IAM用户授权的场景： 您可以为不同操作人员或应用程序创建不同IAM用户，并授予IAM用户刚好能完成工作所需的权限，比如查看权限，进行最小粒度授权管理。 新创建的IAM用户可以使用自己的登录名和密码登录控制台，实现多用户协同操作时无需分享账号密码的安全要求。 数据库审计IAM策略说明 天翼云为数据库审计提供如下系统策略 。如果系统策略不满足授权要求，可以创建自定义策略 ，自定义策略是对系统策略的扩展和补充，详情请参见创建自定义策略。 策略名称 策略描述 类别 授权范围 数据库审计admin策略 数据库审计admin策略，拥有产品所有操作权限。 系统策略 全局级 数据库审计系统管理员策略 数据库审计系统管理员策略。 系统策略 全局级 数据库审计审计员策略 数据库审计审计员策略，只具备查看权限。 系统策略 全局级 数据库审计安全员策略 数据库审计安全员策略。 系统策略 全局级 数据库审计业务管理员策略 数据库审计业务员管理员策略，仅支持使用数据库审计实例，不支持订购相关操作。 系统策略 全局级

非对称密钥应用场景 场景 场景描述 签名验签 数字签名技术是非对称加密算法的另一种典型应用。数字签名分为签名和验证两个过程，消息发送者使用私钥对数据签名，消息接收者使用公钥进行签名验证。 由于签名是使用私钥加密产生，而私钥不公开，这使得签名具有唯一的特征，广泛用于数据防篡改、身份认证等相关技术领域。 数据加解密 非对称密钥加密通信的过程类似于对称加密，区别在于需要使用公钥进行数据加密，使用私钥进行数据解密。 由于密文只有通过私钥才可以解密，而私钥是不公开的，所以即使由于传输介质的安全性比较低而导致信息泄露，拿到密文的人也无法将其破译，从而保证了敏感信息的安全。这种敏感信息传递的方式，被广泛用于各类密钥交换场景。

本节介绍如何为云等保实例绑定/解绑标签。 标签是对实例的标识。基于标签，您可以实现对实例的便捷搜索和整理。 标签由键值对（KeyValue）组成，您可以为实例绑定和解绑标签，在控制台中通过标签快速查找实例。 约束限制 每个实例最多可绑定50个标签。 每个实例下的标签键是唯一的，不可绑定相同标签键。 不支持修改标签，可以解绑标签后，绑定新的标签。 绑定标签 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云等保专区”，进入云等保专区资源概览页面。 4. 选择需要添加标签的资源，单击“编辑标签”。 5. 在弹出的编辑标签窗口中，填写标签键和值。 方式一：在输入框中输入新的标签键和值，新增标签。 方式二：下拉选择已有标签。 6. 配置完成后，单击“确定”，绑定标签完成。 7. 标签绑定成功后，鼠标点击实例信息的“标签”数量，可查询标签绑定情况。 使用标签筛选实例 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云等保专区”，进入云等保专区资源概览页面。 4. 单击“筛选标签”。 5. 在“标签筛选”弹窗中，下拉选择已有标签。 6. 单击确定，执行筛选标签操作，列表将展示标签筛选结果。筛选结果返回包含所选择的多项键值的实例。

本节介绍如何为云等保实例绑定/解绑标签。 标签是对实例的标识。基于标签，您可以实现对实例的便捷搜索和整理。 标签由键值对（KeyValue）组成，您可以为实例绑定和解绑标签，在控制台中通过标签快速查找实例。 约束限制 每个实例最多可绑定50个标签。 每个实例下的标签键是唯一的，不可绑定相同标签键。 不支持修改标签，可以解绑标签后，绑定新的标签。 绑定标签 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云等保专区”，进入云等保专区资源概览页面。 4. 选择需要添加标签的资源，单击“编辑标签”。 5. 在弹出的编辑标签窗口中，填写标签键和值。 方式一：在输入框中输入新的标签键和值，新增标签。 方式二：下拉选择已有标签。 6. 配置完成后，单击“确定”，绑定标签完成。 7. 标签绑定成功后，鼠标点击实例信息的“标签”数量，可查询标签绑定情况。 使用标签筛选实例 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云等保专区”，进入云等保专区资源概览页面。 4. 单击“筛选标签”。 5. 在“标签筛选”弹窗中，下拉选择已有标签。 6. 单击确定，执行筛选标签操作，列表将展示标签筛选结果。筛选结果返回包含所选择的多项键值的实例。

本节介绍如何在云审计服务事件列表查看云防火墙(原生版)审计事件。 操作场景 本服务现已对接天翼云云审计服务，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 使用限制 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。 用户通过云审计能查询到多久前的操作事件：7天。 用户操作后多久可以通过云审计查询到数据：5分钟。 其它限制请参考使用限制云审计。 支持审计的关键操作列表 事件名称 读写类型 绑定网卡 写类型 解绑网卡 写类型 绑定虚拟 IP 写类型 解绑虚拟 IP 写类型 绑定弹性 IP 写类型 解绑弹性 IP 写类型 路由表配置 新增路由表规则 写类型 路由表配置 修改路由表规则 写类型 路由表配置 删除路由表规则 写类型 更改安全组 写类型 获取 VNC 读类型 单点登录 读类型 云墙主机 开机 写类型 云墙主机 关机 写类型 云墙主机 重启 写类型

本文介绍Windows系统云主机如何自查病毒及中病毒后处理建议 一，排查思路 1. 排查系统运行情况 结合用户反映的故障现象，排查相关进程（例如，故障现象为资源占用率高，则排查占用资源较多的进程；故障现象为网络带宽占用较多，则排查网络连接较多的进程）。重点排查进程所关联的文件、启动进程的账户等信息。 2. 排查系统运行环境 通过排查系统启动项、计划任务、系统服务启动等情况，排查可疑程序自动拉起的信息，为阻止恶意程序自运行提供依据。 3. 排查攻击来源 查看登录记录，排查是否存在远程暴力破解行为、是否有不明IP登录系统，系统内是否出现不明账户 二，常见安全入侵排查 (一)挖矿病毒 1. 故障现象 CPU占用率接近100%。 2. 排查思路 确认占用CPU资源的进程，分析该进程对应的程序，查找可疑文件，并根据文件内容确认是否为挖矿程序。 3. 排查过程 在任务管理器中查看进程列表，确认占用CPU资源的主要进程。 查找该进程关联的程序。 xmrig是典型的门罗币挖矿程序，可通过其同目录下的“start.cmd”文件查看挖矿参数。其参数说明如下：o矿池地址和端口号；u账户地址；p密码。 4. 解决方法 停用恶意进程、删除恶意程序、检查自启动项目和计划任务、检查系统内可疑账户、为远程登录账户设置强口令、通过安全组对远程访问的IP地址进行限制。

应用场景 使用CherryStudio加载DeepSeek大模型的应用场景如下： 1. 学习研究 ：学生用其整理复习资料、辅助学术研究、助力论文写作；研究人员用于文献综述、分析问题等。 2. 工作办公 ：项目管理中生成报告、分析风险；内容创作时构思创意、撰写文案；代码开发里获取代码示例、解决问题。 3. 生活娱乐 ：作为智能聊天伙伴解闷陪伴，为创意活动如绘画等提供灵感启发。 4. 知识管理 ：个人可构建知识体系，团队能实现知识共享。 注意 建议使用天翼云提供的DeepSeek镜像创建云主机，减少安装过程中可能遇到的问题。镜像选择请参考在天翼云使用Ollama运行DeepSeek的最佳实践7B等版本弹性云主机最佳实践AIGC实践 天翼云。 操作步骤 一、 云主机端口配置更新 首先，您需要登录天翼云控制中心，对部署DeepSeek大模型的云主机添加新的端口开放操作。通过天翼云控制台进入部署了DeepSeek大模型的云主机详情页，选择安全组，添加新的开放端口，建议选择新加114343端口，该端口是 Ollama 服务默认监听的端口。添加完成后，可在安全组规则列表中查看新添加的11434 端口规则，确认其状态为正常生效。 随后进入控制台，远程登陆即将安装AnythingLLM的云主机。

购买弹性云主机 1. 登录天翼云“控制中心(控制台)”，在页面上方选择用户对应购买弹性云主机的地域，例如“福州3”。选择“计算”大类下的“弹性云主机”产品。或是在天翼云官网首页点击“立即订购”。 2. 单击“创建弹性云主机”。 配置弹性云主机实例规格 1. 选择计费模式“包年/包月”或是“按量付费”。 2. 完成页面必填项的选择，例如地域、主机名称、规格、镜像类型、存储等。 说明 创建弹性云主机过程，请您根据规格特性，选择符合业务需求的弹性云主机规格。请参考： 使用弹性云主机需要您支付相应费用，详细请见： 创建弹性云主机需要配置系统盘与数据盘，如果您对存储性能有要求，请参考： 您需要为存储支付相应的费用，详细请见： 网络配置 1. 选择弹性云主机对应的网络配置选项含网卡、扩展网卡、安全组、弹性IP等，根据页面提示完成操作。 2. 点击“下一步：高级配置”按钮。 说明 安全组是控制弹性云主机访问策略的组件，相关概念与操作，请参考： 如果您有访问公网的需求，请您使用弹性IP，相关概念与应用场景，请参考： 您需要为弹性IP支付相应的费用，详细请见：

应用场景 使用CherryStudio加载DeepSeek大模型的应用场景如下： 1. 学习研究 ：学生用其整理复习资料、辅助学术研究、助力论文写作；研究人员用于文献综述、分析问题等。 2. 工作办公 ：项目管理中生成报告、分析风险；内容创作时构思创意、撰写文案；代码开发里获取代码示例、解决问题。 3. 生活娱乐 ：作为智能聊天伙伴解闷陪伴，为创意活动如绘画等提供灵感启发。 4. 知识管理 ：个人可构建知识体系，团队能实现知识共享。 注意 建议使用天翼云提供的DeepSeek镜像创建云主机，减少安装过程中可能遇到的问题。镜像选择请参考在天翼云使用Ollama运行DeepSeek的最佳实践7B等版本弹性云主机最佳实践AIGC实践 天翼云。 操作步骤 一、 云主机端口配置更新 首先，您需要登录天翼云控制中心，对部署DeepSeek大模型的云主机添加新的端口开放操作。通过天翼云控制台进入部署了DeepSeek大模型的云主机详情页，选择安全组，添加新的开放端口，建议选择新加114343端口，该端口是 Ollama 服务默认监听的端口。添加完成后，可在安全组规则列表中查看新添加的11434 端口规则，确认其状态为正常生效。 随后进入控制台，远程登陆即将安装AnythingLLM的云主机。