本文介绍Windows系统云主机如何自查病毒及中病毒后处理建议 一，排查思路 1. 排查系统运行情况 结合用户反映的故障现象，排查相关进程（例如，故障现象为资源占用率高，则排查占用资源较多的进程；故障现象为网络带宽占用较多，则排查网络连接较多的进程）。重点排查进程所关联的文件、启动进程的账户等信息。 2. 排查系统运行环境 通过排查系统启动项、计划任务、系统服务启动等情况，排查可疑程序自动拉起的信息，为阻止恶意程序自运行提供依据。 3. 排查攻击来源 查看登录记录，排查是否存在远程暴力破解行为、是否有不明IP登录系统，系统内是否出现不明账户 二，常见安全入侵排查 (一)挖矿病毒 1. 故障现象 CPU占用率接近100%。 2. 排查思路 确认占用CPU资源的进程，分析该进程对应的程序，查找可疑文件，并根据文件内容确认是否为挖矿程序。 3. 排查过程 在任务管理器中查看进程列表，确认占用CPU资源的主要进程。 查找该进程关联的程序。 xmrig是典型的门罗币挖矿程序，可通过其同目录下的“start.cmd”文件查看挖矿参数。其参数说明如下：o矿池地址和端口号；u账户地址；p密码。 4. 解决方法 停用恶意进程、删除恶意程序、检查自启动项目和计划任务、检查系统内可疑账户、为远程登录账户设置强口令、通过安全组对远程访问的IP地址进行限制。

应用场景 使用CherryStudio加载DeepSeek大模型的应用场景如下： 1. 学习研究 ：学生用其整理复习资料、辅助学术研究、助力论文写作；研究人员用于文献综述、分析问题等。 2. 工作办公 ：项目管理中生成报告、分析风险；内容创作时构思创意、撰写文案；代码开发里获取代码示例、解决问题。 3. 生活娱乐 ：作为智能聊天伙伴解闷陪伴，为创意活动如绘画等提供灵感启发。 4. 知识管理 ：个人可构建知识体系，团队能实现知识共享。 注意 建议使用天翼云提供的DeepSeek镜像创建云主机，减少安装过程中可能遇到的问题。镜像选择请参考在天翼云使用Ollama运行DeepSeek的最佳实践7B等版本弹性云主机最佳实践AIGC实践 天翼云。 操作步骤 一、 云主机端口配置更新 首先，您需要登录天翼云控制中心，对部署DeepSeek大模型的云主机添加新的端口开放操作。通过天翼云控制台进入部署了DeepSeek大模型的云主机详情页，选择安全组，添加新的开放端口，建议选择新加114343端口，该端口是 Ollama 服务默认监听的端口。添加完成后，可在安全组规则列表中查看新添加的11434 端口规则，确认其状态为正常生效。 随后进入控制台，远程登陆即将安装AnythingLLM的云主机。

购买弹性云主机 1. 登录天翼云“控制中心(控制台)”，在页面上方选择用户对应购买弹性云主机的地域，例如“福州3”。选择“计算”大类下的“弹性云主机”产品。或是在天翼云官网首页点击“立即订购”。 2. 单击“创建弹性云主机”。 配置弹性云主机实例规格 1. 选择计费模式“包年/包月”或是“按量付费”。 2. 完成页面必填项的选择，例如地域、主机名称、规格、镜像类型、存储等。 说明 创建弹性云主机过程，请您根据规格特性，选择符合业务需求的弹性云主机规格。请参考： 使用弹性云主机需要您支付相应费用，详细请见： 创建弹性云主机需要配置系统盘与数据盘，如果您对存储性能有要求，请参考： 您需要为存储支付相应的费用，详细请见： 网络配置 1. 选择弹性云主机对应的网络配置选项含网卡、扩展网卡、安全组、弹性IP等，根据页面提示完成操作。 2. 点击“下一步：高级配置”按钮。 说明 安全组是控制弹性云主机访问策略的组件，相关概念与操作，请参考： 如果您有访问公网的需求，请您使用弹性IP，相关概念与应用场景，请参考： 您需要为弹性IP支付相应的费用，详细请见：

应用场景 使用CherryStudio加载DeepSeek大模型的应用场景如下： 1. 学习研究 ：学生用其整理复习资料、辅助学术研究、助力论文写作；研究人员用于文献综述、分析问题等。 2. 工作办公 ：项目管理中生成报告、分析风险；内容创作时构思创意、撰写文案；代码开发里获取代码示例、解决问题。 3. 生活娱乐 ：作为智能聊天伙伴解闷陪伴，为创意活动如绘画等提供灵感启发。 4. 知识管理 ：个人可构建知识体系，团队能实现知识共享。 注意 建议使用天翼云提供的DeepSeek镜像创建云主机，减少安装过程中可能遇到的问题。镜像选择请参考在天翼云使用Ollama运行DeepSeek的最佳实践7B等版本弹性云主机最佳实践AIGC实践 天翼云。 操作步骤 一、 云主机端口配置更新 首先，您需要登录天翼云控制中心，对部署DeepSeek大模型的云主机添加新的端口开放操作。通过天翼云控制台进入部署了DeepSeek大模型的云主机详情页，选择安全组，添加新的开放端口，建议选择新加114343端口，该端口是 Ollama 服务默认监听的端口。添加完成后，可在安全组规则列表中查看新添加的11434 端口规则，确认其状态为正常生效。 随后进入控制台，远程登陆即将安装AnythingLLM的云主机。

使用在线工具加解密小数据的操作步骤如下所示： 加密数据 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角，选择区域或项目。 步骤 3 单击“服务列表”，选择“安全> 数据加密服务”，默认进入“密钥管理”界面。 步骤 4 单击目标自定义密钥的别名，进入密钥详细信息在线工具加密数据页面。 步骤 5 在“加密”文本框中输入待加密的数据。 步骤 6 单击“执行”，右侧文本框显示加密后的密文数据。 说明 加密数据时，使用当前指定的密钥加密数据。 用户可单击“清除”，清除已输入的数据。 用户可单击“复制到剪切板”拷贝加密后的密文数据，并保存到本地文件中。 解密数据 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角，选择区域或项目。 步骤 3 单击“服务列表”，选择“安全> 数据加密服务”，默认进入“密钥管理”界面。 步骤 4 解密数据时，可单击任意“启用”状态的非默认密钥别名，进入该密钥的在线工具页面。 步骤 5 单击“解密”，在左侧文本框中数据待解密的密文数据。 说明 在线工具自动识别并使用数据被加密时使用的密钥解密数据。 若该密钥已被删除，会导致解密失败。 步骤 6 单击“执行”，右侧文本框中显示解密后的明文数据。 用户可直接单击“复制到剪切板”拷贝解密后的明文数据，并保存到本地文件中。

本节主要介绍绑定弹性公网IP。 操作场景 弹性公网IP提供独立的公网IP资源，包括公网IP地址和公网出口带宽服务。GeminiDB Influx实例创建成功后，支持用户绑定弹性公网IP，通过公共网络访问数据库实例，绑定后也可根据需要解绑。 使用须知 您需要设置安全组，开通需访问数据库的IP地址和端口，才可以访问数据库实例。在访问数据库前，您需要在虚拟私有云申请一个弹性公网IP，并将访问数据库的IP地址，或者IP段加安全组入方向的访问规则。 GeminiDB Influx使用您在VPC控制台购买的公网IP绑定到实例上。 对于已绑定弹性公网IP的节点，需解绑后，才可重新绑定其他弹性公网IP。 绑定弹性公网IP 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB”。 3. 在“实例管理”页面，选择指定的实例，单击实例名称。 4. 在“基本信息”页面“节点信息”区域的节点上，单击“绑定弹性IP”。 图1 绑定弹性公网IP 5. 在弹出框的弹性公网IP列表中，显示“未绑定”状态的弹性公网IP，选择所需绑定的弹性公网IP，单击“是”，提交绑定任务。如果没有可用的弹性公网IP，单击“查看弹性IP”，创建新的弹性公网IP。 图2 选择弹性公网IP 6. 在节点的“弹性IP”列，查看绑定成功的弹性公网IP。 如需关闭，请参见下文解绑弹性公网IP。

添加事件源 创建API API分组、自定义认证函数、后端函数均创建成功以后，可以创建API，设置安全认证为自定义认证，并定义后端服务类型为FunctionGraph，步骤如下。 1. 登录APIG控制台，选择已创建的APIG专享版实例，并在导航栏选择“API管理 > API列表”，单击右上方的“创建API”。 2. 配置API基本信息。 1. API名称：输入您自定义的名称，例如APItest。 2. 所属分组：请选择上述操作中创建的API分组“APIGrouptest”。 3. URL：请求方法选择“ANY”，请求协议选择“HTTPS”，请求路径填写“/testAPI”。 4. 网关响应：选择“default”。 5. 安全认证：选择“自定义认证”。 6. 自定义认证：选择上述操作中创建的自定义认证“Authorizertest”。 3. 单击“下一步”，进行后端配置。 1. 后端服务类型：选择“FunctionGraph” 2. 函数URN：添加创建的业务函数 3. 版本或别名：选择“latest”版本 4. 调用类型：选择“Synchronous” 4. 单击下一步，完成API创建。 5. 继续在当前页面，单击“发布”，将已创建的API发布至RELEASE环境。 调试并调用API API网关提供了在线调试的功能，因此一般建议在API网关上完成API配置之后，可以先通过此功能确认API是否配置成功。 1. 登录APIG控制台，选择已创建的APIG专享版实例，并左导航栏选择“API管理 > API列表”，单击进入已创建的API“APItest”，右上角单击“调试”。 2. 在本案例中，需要添加Headers参数，完成后单击“调试”。 1. 参数名：输入“auth” 2. 参数值：输入“abc” 3. API返回内容即为前面步骤中创建的业务函数返回内容。

STS即Secure Token Service 是一种安全凭证服务，可以使用STS来完成对于临时用户的访问授权。对于跨用户短期访问对象存储资源时，可以使用STS服务。这样就不需要透露主账号AK/SK，只需要生成一个短期访问凭证给需要的用户使用即可，避免主账号AK/SK泄露带来的安全风险。 初始化STS服务 python accesskey ' ' secretkey ' ' endpoint ' ' region 'cn' ​ self.stsclient boto3.client( 'sts', awsaccesskeyidaccesskey, awssecretaccesskeysecretkey, endpointurlendpoint, regionnameregion) 获取临时token python def assumerole(self): print('assumerole') bucket ' ' policy r'{"Version":"20121017","Statement":{"Effect":"Allow","Action":["s3:"]' r',"Resource":["arn:aws:s3:::%s","arn:aws:s3:::%s/"]}}' % (bucket, bucket) rolearn "arn:aws:iam:::role/ " rolesessionname " " ​ print('policy: %s' % policy) response self.stsclient.assumerole( Policypolicy, RoleArnrolearn, RoleSessionNamerolesessionname, ) print('ak %s' % response['Credentials']['AccessKeyId']) print('sk %s' % response['Credentials']['SecretAccessKey']) print('token %s' % response['Credentials']['SessionToken']) 请求参数 参数 类型 描述 是否必要 RoleArn String 角色的ARN，在控制台创建角色后可以查看 是 Policy String 角色的policy，需要是json格式，限制长度1~2048 是 RoleSessionName String 角色会话名称，此字段为用户自定义，限制长度2~64 是 DurationSeconds Integer 会话有效期时间，默认为3600s，范围15分钟至12小时 否

本节介绍如何为数据库审计实例绑定/解绑标签。 标签是对实例的标识。基于标签，您可以实现对实例的便捷搜索和整理。 标签由键值对（KeyValue）组成，您可以为实例绑定和解绑标签，在控制台中通过标签快速查找实例。 约束限制 每个实例最多可绑定10个标签。 每个实例下的标签键是唯一的，不可绑定相同标签键。 不支持修改标签，可以解绑标签后，绑定新的标签。 绑定标签 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 数据库审计”，进入数据库审计实例管理页面。 4. 选择需要添加标签的数据库审计实例，单击“标签”旁的编辑按钮。 5. 在弹出的编辑标签窗口中，填写标签键和值。 方式一：在输入框中输入新的标签键和值，新增标签。 方式二：下拉选择已有标签。 6. 配置完成后，单击“确定”，绑定标签完成。 7. 标签绑定成功后，鼠标点击实例信息的“标签”数量，可查询标签绑定情况。 使用标签筛选实例 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 数据库审计”，进入数据库审计实例管理页面。 4. 单击“筛选标签”。 5. 在“标签筛选”弹窗中，下拉选择已有标签。 6. 单击“确定”，执行筛选标签操作，列表将展示标签筛选结果。筛选结果返回包含所选择的多项键值的实例。

本节主要介绍查看IAM操作记录 开通云审计服务 云审计服务（Cloud Trace Service，以下简称CTS），是安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 为了方便查看IAM的关键操作事件，例如创建用户、删除用户等，管理员需开启云审计服务。 操作步骤 步骤 1 管理员登录控制台。 步骤 2 选择“服务列表 > 管理与监管 > 云审计服务2.0”，如之前账号未开通过云审计服务，会进入云审计服务授权页面，单击“同意授权并开通”，进入云审计服务页面。 步骤 3 在贵州区域创建1个管理追踪器，用于记录IAM服务的管理操作事件。 在IAM进行操作，例如创建用户、用户组等，CTS将会记录这些操作。CTS支持记录的IAM相关的操作事件，如下表所示。 表 CTS支持的IAM操作列表 操作名称 资源类型 事件名称 用户登录 user login 用户登出 user logout 创建用户 user createUser 修改用户信息 user updateUser 删除用户 user deleteUser 创建AK/SK user createCredential、addCredential 删除AK/SK user deleteCredential 停用、启用AK/SK user changeCredentialStatus 修改AK/SK user updateCredential 创建用户组 userGroup createUserGroup 更新用户组 userGroup updateGroup、updateUserGroup 删除用户组 userGroup deleteUserGroup 添加用户到用户组 userGroup addUserToGroup、updateUser/updateUserGroup 从用户组删除用户 userGroup removeUserFromGroup、updateUser/updateUserGroup 创建委托 agency createAgency 修改委托 agency updateAgency 删除委托 agency deleteAgency 切换角色 agency switchRole Token createToken 创建自定义策略 role createRole 修改自定义策略 role updateRole 删除自定义策略 role deleteRole

本节主要介绍权限基本概念 权限 默认情况下，管理员创建的IAM子用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 权限的分类 权限根据授权精细程度分为角色和策略。 角色： IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于天翼云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色不能完全满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略： IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对ECS服务，管理员能够控制IAM用户仅能对云主机资源进行某一类指定的管理操作。 策略根据创建的对象，分为系统策略和自定义策略。 策略系统策略 云服务在IAM预置了常用授权项，称为系统策略。管理员给用户组授权时，可以直接使用这些系统策略，系统策略只能使用，不能修改。 如果管理员在IAM控制台给用户组或者委托授权时，无法找到特定服务的系统策略，原因是该服务暂时不支持IAM。

本章节主要介绍DDS数据迁移到DWS。 操作场景 CDM支持迁移文档数据库服务（Document Database Service，简称DDS）的数据到其他数据源，这里以数据仓库服务（Data Warehouse Service，简称DWS）为例，介绍如何使用CDM将DDS数据迁移到DWS，流程如下： 1.创建CDM集群并绑定EIP 2.创建DDS连接 3.创建DWS连接 4.创建迁移作业 前提条件 已DWS/DDS。 已获取DWS/DDS数据库的IP地址、端口、数据库名称、用户名、密码，且该用户拥有DWS/DDS数据库的读、写和删除权限。 创建CDM集群并绑定EIP 1.参考创建CDM集群，创建CDM集群。 关键配置如下： CDM集群的规格，按待迁移的数据量选择，一般选择cdm.medium即可，满足大部分迁移场景。 如果DDS和DWS属于相同的VPC，则创建CDM集群时选择同一个VPC，不用绑定EIP。子网、安全组可以选择与其中一个（DDS或DWS）集群的保持一致，再配置安全组规则允许CDM集群访问另一个服务（DWS或DDS）的集群。 如果DDS和DWS不在同一个VPC，则创建CDM集群时选择与DDS相同的VPC，再将CDM集群 解绑/绑定集群的EIP，CDM通过EIP访问DWS集群。 2.CDM集群创建完成后，选择集群操作列的“绑定弹性IP”，CDM通过EIP访问DWS。如果DDS与DWS在同一个VPC，则不用为CDM集群绑定EIP。 说明 如果用户对本地数据源的访问通道做了SSL加密，则CDM无法通过弹性IP连接数据源。

本章节向您介绍利用VPN连接打造云间互联通道的搭建方案。 步骤1进入VPN连接产品控制台 在任意二类节点的控制中心，进入“VPN”产品控制台。 步骤2创建VPN网关实例 在需要云间互联的节点中，分别创建VPN网关。 VPN网关可根据自身网络业务特征，选择不同的VPN网关计费类型。 若需要长期不间断地传输大量数据，可选择按带宽计费方式 若仅需要短期或偶尔传输少量数据，可选择按流量计费方式 此最佳实践操作中，均选择按流量计费方式。VPN网关创建成功后，如下图所示。 步骤3创建VPN连接实例 在需要云间互联的节点中，分别创建VPN连接。 VPN连接需要填入远端网关以及远端子网信息，以及IPSec VPN加密隧道密钥。 VPN连接创建成功后，如下图所示。 步骤4互通性验证 在创建VPN网关的VPC子网中，创建2台弹性云主机实例。 云主机实例的安全组将VPN连接的远端子网进行放通。 放通后，以ping方式进行验证，具体如下图所示。 经过以上验证，可以证明以上的VPN连接已完成互通能力搭建，可进行点对点安全加密通信。

数据库实例绑定公网IP与网络安全策略的配置流程 申请公网IP并绑定到源数据库实例。 具体可参考天翼云数据库绑定公网IP相关文档绑定和解绑弹性公网IP。 源数据库实例与目标数据库实例的网络ACL和安全组配置。 具体可参考同VPC通过VPC网络接入天翼云文档，区别的点是放通源数据库实例的公网IP和DTS实例的公网IP。 数据库添加白名单。 数据库需要添加【DTS实例的配置流程】中配置的公网IP远程访问数据库的权限。不同类型的数据库添加白名单的方法可能不一样，具体可参考各数据库官方文档进行操作。

本文为您介绍如何快速接入Web应用防火墙（原生版）实例，并配置防护策略。 为快速实现Web应用防护，您需要购买WAF实例、完成网站接入并配置防护策略。防护开启后，可通过安全总览、防护事件报表查看访问统计信息和攻击防护记录，掌握业务的安全状况。 使用流程 步骤一 购买云WAF实例 1. 登录天翼云控制中心，在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 2. 首次使用Web应用防火墙（原生版），需点击“立即购买”，选择服务版本、扩展包以及购买时长。 3. 确认支付费用，点击“立即购买”，进入支付页面完成支付即可开通。 说明 Web应用防火墙（原生版）提供的规格详情请参见产品规格。 勾选“自动续订”后，当服务期满时，系统将会按照默认续费周期续费。按月购买，自动续费周期默认为3个月；按年购买，自动续费周期默认为1年。如需要修改自动续费周期，可进入天翼云“费用中心 > 订单管理 > 续订管理”页面，找到对应的资源进行修改。 步骤二 网站接入 网站接入WAF后，WAF才能对访问网站的请求进行检测。 产品版本 接入方式 接入步骤 WAF SAAS版 域名接入 1. 进入云WAF产品控制台，在左侧导航栏选择“接入管理”，在接入管理页面选择“域名接入”页签。 2. 添加防护对象：在列表上方点击“添加防护对象”，根据页面提示配置域名、服务器协议、源站地址、代理情况、负载均衡策略等相关信息。 3. 放行WAF回源IP段：WAF使用特定的回源IP段将经过防护引擎检测后的正常流量转发回网站域名的源站服务器。网站接入WAF进行防护时，您需要设置源站服务器的安全软件或访问控制策略，放行WAF回源IP段的入方向流量。 4. 本地验证：添加域名后，在本地电脑上搭建简易的模拟环境，验证网站流量转发设置已经生效，避免转发设置未生效时修改域名的DNS解析设置，导致业务访问异常。 5. 修改域名DNS：若域名在接入WAF前未使用代理，则需要到该域名的DNS服务商处，修改域名的DNS解析配置，将网站的流量解析到WAF；若域名在接入WAF前使用了代理（DDoS高防、CDN等），则需要将使用的代理类服务（DDoS高防、CDN等）的回源地址修改为的目标域名的“CNAME”值。 WAF独享版 独享型接入 1. 进入云WAF产品控制台，在左侧导航栏选择“接入管理”，在接入管理页面选择“独享型接入”页签。 2. 添加防护对象：在列表上方点击“添加防护对象”，根据页面提示配置域名或IP、服务器协议、源站地址、代理情况、负载均衡策略等相关信息。 说明 系统默认防护80和443端口，如需配置80和443以外的端口，请额外选择。 服务器配置若勾选了HTTPS协议，需要导入HTTPS证书。

此小节介绍企业主机安全的个人数据保护。 为了确保您的个人数据（例如用户名、密码、手机号码等）不被未经过认证、授权的实体或者个人获取，HSS通过加密存储个人数据、控制个人数据访问权限等方法防止个人数据泄露，保证您的个人数据安全。 收集范围 HSS收集及产生的个人数据如表所示。 类型 收集方式 是否可以修改 是否必须 邮箱 服务器开启双因子认证后，HSS定时获取对应消息通知服务主题订阅的邮箱 否 是 手机号 服务器开启双因子认证后，HSS定时获取对应消息通知服务主题订阅的手机号 否 是 登录位置信息 服务器开启防护后，登录云服务器时，HSS记录的用户登录位置信息。 否 是 存储方式 HSS通过加密算法对用户个人敏感数据加密后进行存储。 邮箱、手机号：加密存储 登录位置信息：不属于敏感数据，明文存储 访问权限控制 用户个人数据通过加密后存储在HSS数据库中，数据库的访问需要通过白名单的认证与授权。

本小节介绍等保咨询都有哪些优势。 一站式服务 提供从定级、备案、自评到整改、测评等一站式等保测评指导服务。 经验丰富 联合专业等保咨询机构，提供专业快捷的等保咨询方案，已在政府、金融、医疗等多个行业有成熟案例。 管理服务 专属的安全专家，提供全程服务，协助您提供测评。 专业快速 提供专业快速的等保定级、备案、差距分析及整改的指导服务。

本节介绍了使用FTP上传文件时客户端连接服务端超时的问题描述、约束与限制、可能原因、处理方法。 问题描述 客户端连接服务端超时，无法连接到服务端。 约束与限制 该文档适用于本地主机Windows系统上的FTP服务。 可能原因 服务端防火墙或安全组拦截。 处理方法 检查服务端防火墙设置。 关闭防火墙或者添加相应规则。

统一身份认证(Identity and Access Management,简称IAM)服务,是提供用户进行权限管理的基础服务,可以帮助您安全的控制云服务和资源的访问及操作权限。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，缩小不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素“Action”“Effect”等，更多信息，请参见“通过IAM用户控制资源访问创建自定义策略”。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略: 系统策略 预置的系统策略，您只能使用不能修改。云服务器ECS相关的系统策略包含如下： Ecs Admin：弹性云主机服务的管理者权限，包含弹性云主机所有控制权限（不含订单类权限）； Ecs Viewer:弹性云主机服务的观察者权限，包含弹性云主机服务的列表页与详情页面权限； 自定义策略 您按需自行创建和维护的权限策略，关于自定义策略的操作和示例，请参见“创建自定义策略”。

本章节主要介绍安装客户端。 操作场景 该操作指导安装工程师安装MRS集群所有服务（不包含Flume）的客户端。MRS针对不同服务提供了Shell脚本，供开发维护人员在不同场景下登录其对应的服务维护客户端完成对应的维护任务。 说明 通过Manager界面修改服务端配置或系统升级后，建议重新安装客户端，否则客户端与服务端版本将不一致。 前提条件 安装目录可以不存在，会自动创建。但如果存在，则必须为空。目录路径不能包含空格。 客户端节点为集群外部服务器时，必须能够与集群业务平面网络互通，否则安装会失败。 客户端必须启用NTP服务，并保持与服务端时间一致，否则安装会失败。 对于下载所有组件客户端的情况，HDFS与Mapreduce是合一目录（“ 客户端目录 /HDFS/”）。 安装和使用客户端可以使用任意用户进行操作，用户名和密码请从管理员处获取，本章节以“userclient”进行举例。要求“userclient”用户为服务器文件目录（如“/opt/Bigdata/client”）和客户端安装目录（如“/opt/Bigdata/hadoopclient”）的“owner”，两个目录的权限为“755”。 使用客户端需要已从管理员处获取“组件业务用户”（默认用户或新增用户）和“密码”。 使用omm 和root以外的用户安装客户端时，若“/var/tmp/patch”目录已存在，需将此目录权限修改为“777”，将此目录内的日志权限修改为“666”。 操作步骤 1. 获取软件包。 登录FusionInsight Manager，具体请参考访问FusionInsight Manager（MRS 3.x及之后版本），在“集群”下拉列表中单击需要操作的集群名称。 选择“更多 > 下载客户端”，弹出“下载集群客户端”信息提示框。 详见下图：下载客户端 说明 在只安装单个服务的客户端的场景中，选择“集群 > 待操作集群的名称 > 服务 > 服务名称 > 更多 > 下载客户端”，弹出“下载客户端”信息提示框。 2. 选择客户端类型”中选择“完整客户端”。 “仅配置文件”下载的客户端配置文件，适用于应用开发任务中，完整客户端已下载并安装后，管理员通过Manager界面修改了服务端配置，开发人员需要更新客户端配置文件的场景。 平台类型包括x8664和aarch64两种： x8664：可以部署在x86平台的客户端软件包。 aarch64：可以部署在TaiShan服务器的客户端软件包。 说明 集群支持下载x8664和aarch64两种类型客户端，但是客户端类型必须和待安装节点的架构匹配，否则客户端会安装失败。 3. 是否在集群的节点中生成客户端文件？ 是，勾选“仅保存到如下路径”，单击“确定”开始生成客户端文件，文件生成后默认保存在主管理节点“/tmp/FusionInsightClient”。支持自定义其他目录且omm用户拥有目录的读、写与执行权限。单击“确定”，等待下载完成后，使用omm用户或root用户将获取的软件包复制到将要安装客户端的服务器文件目录，例如“/opt/Bigdata/client”。然后执行步骤5。 说明 当用户无法获取root用户权限，需要用omm用户操作。 否，单击“确定”指定本地的保存位置，开始下载完整客户端，等待下载完成，执行步骤4。 4. 上传软件包。 使用WinSCP工具，以准备安装客户端的用户（如“userclient”），将获取的软件包上传到将要安装客户端的服务器文件目录，例如“/opt/Bigdata/client”。 客户端软件包名称格式为：“FusionInsightCluster ServicesClient.tar”。 后续步骤及章节以FusionInsightCluster1ServicesClient.tar进行举例。 说明 客户端所在主机可以是集群内节点，也可以是集群外节点。当该节点为集群外部服务器时，必须能够与集群网络互通，并启用NTP服务以保持与服务端时间一致。 例如可以为外部服务器配置与集群一样的NTP时钟源，配置之后可以执行ntpq np命令检查时间是否同步。 如果显示结果的NTP时钟源IP地址前有“”号，表示同步正常，如下： remote refid st t when poll reach delay offset jitter 10.10.10.162 .LOCL. 1 u 1 16 377 0.270 1.562 0.014 如果显示结果的NTP时钟源IP前无“”号，且“refid”项内容为“.INIT.”，或者回显异常，表示同步不正常，请联系技术支持。 remote refid st t when poll reach delay offset jitter 10.10.10.162 .INIT. 1 u 1 16 377 0.270 1.562 0.014 也可以为外部服务器配置与集群一样的chrony时钟源，配置之后可以执行chronyc sources命令检查时间是否同步。 如果显示结果的主OMS节点chrony服务IP地址前有“”号，表示同步正常，如下： MS Name/IP address Stratum Poll Reach LastRx Last sample ^10.10.10.162 10 10 377 626 +16us[ +15us] +/ 308us 如果显示结果的主OMS节点NTP服务IP前无“”号，且“ Reach ”项内容为“0”，表示同步不正常。 MS Name/IP address Stratum Poll Reach LastRx Last sample ^? 10.1.1.1 0 10 0 +0ns[ +0ns] +/ 0ns 5. 以userclient用户登录将要安装客户端的服务器。 6. 解压软件包。 进入安装包所在目录，例如“/opt/Bigdata/client”。执行如下命令解压安装包到本地目录。 tar xvf FusionInsightCluster1ServicesClient.tar 7. 校验软件包。 执行sha256sum命令校验解压得到的文件，检查回显信息与sha256文件里面的内容是否一致，例如： sha256sum c FusionInsightCluster1ServicesClientConfig.tar.sha256 FusionInsightCluster1ServicesClientConfig.tar: OK 8. 解压获取的安装文件。 tar xvf FusionInsightCluster1ServicesClientConfig.tar 9. 配置客户端网络连接。 a.确保客户端所在主机能与解压目录下“hosts”文件（例如“/opt/Bigdata/client/FusionInsightCluster ServicesClientConfig/hosts”）中所列出的各主机在网络上互通。 b.当客户端所在主机不是集群中的节点时，需要在客户端所在节点的“/etc/hosts”文件（更改此文件需要root用户权限）中设置集群所有节点主机名和业务平面IP地址映射，主机名和IP地址请保持一一对应，可执行以下步骤在hosts文件中导入集群的域名映射关系。 切换至root用户或者其他具有修改hosts文件权限的用户。 su root 进入客户端解压目录。 cd /opt/Bigdata/client/FusionInsightCluster1ServicesClientConfig 执行 cat realm.ini >>/etc/hosts ，将域名映射关系导入到hosts文件中。 说明 当客户端所在主机不是集群中的节点时，配置客户端网络连接，可避免执行客户端命令时出现错误。 如果采用yarnclient模式运行Spark任务，请在“ 客户端安装目录 /Spark/spark/conf/sparkdefaults.conf”文件中添加参数“spark.driver.host”，并将参数值设置为客户端的IP地址。 当采用yarnclient模式时，为了Spark WebUI能够正常显示，需要在Yarn的主备节点（即集群中的ResourceManager节点）的hosts文件中，配置客户端的IP地址及主机名对应关系。 10. 进入安装包所在目录，执行如下命令安装客户端到指定目录（绝对路径），例如安装到“/opt/hadoopclient”目录。 cd /opt/Bigdata/client/FusionInsightCluster1ServicesClientConfig 执行./install.sh /opt/hadoopclient命令，等待客户端安装完成（以下只显示部分屏显结果）。 The component client is installed successfully 说明 如果已经安装的全部服务或某个服务的客户端使用了“/opt/hadoopclient”目录，再安装其他服务的客户端时，需要使用不同的目录。 卸载客户端请删除客户端安装目录。 如果要求安装后的客户端仅能被该安装用户（如“userclient”）使用，请在安装时加“o”参数，即执行./install.sh /opt/hadoopclient o命令安装客户端。 如果安装NTP服务器为chrony模式，请在安装时加“chrony”参数，即执行./install.sh /opt/hadoopclient ochrony命令安装客户端。 由于HBase使用的Ruby语法限制，如果安装的客户端中包含了HBase客户端，建议客户端安装目录路径只包含大写字母、小写字母、数字以及?.@+字符。 客户端节点为集群外部服务器且此节点无法与主oms节点的业务平面IP互通时或者无法访问主节点的20029端口时，客户端可以正常安装成功，但无法注册到集群中，无法在界面上进行展示。 a.执行cd /opt/hadoopclient命令进入客户端安装目录。 b.执行source bigdataenv命令配置客户端环境变量。 c.如果集群为安全模式，执行以下命令，设置kinit认证，输入客户端用户登录密码；普通模式集群无需执行用户认证。 kinit admin Password for admin@HADOOP.COM:

本节介绍了数据库安全设置的相关内容。 账户密码复杂度设置 RDS for MySQL Console端数据库密码复杂度，请参见购买中的数据库配置表格。 RDS for MySQL对在客户端新创建的数据库用户，设置了密码安全策略： 口令长度至少8个字符。 口令至少包含大写字母、小写字母、数字和特殊字符各一个。 创建实例时，为用户提供了密码复杂度校验，由于root用户可以修改密码复杂度，安全起见，建议修改后的密码复杂度不低于RDS for MySQL的初始化设置。 账户说明 您在创建RDS for MySQL数据库实例时，系统会自动为实例创建如下系统账户（用户不可使用），用于给数据库实例提供完善的后台运维管理服务。 注意 删除、重命名、修改这些账户的密码和权限信息，会导致实例运行异常，请谨慎操作。 rdsAdmin：管理账户，拥有最高的superuser权限，用于查询和修改实例信息、故障排查、迁移、恢复等操作。 rdsRepl：复制账户，用于备实例或只读实例在主实例上同步数据。 rdsBackup：备份账户，用于后台的备份。 rdsMetric：指标监控账户，用于watchdog采集数据库状态数据。 rdsProxy：数据库代理账户，该账户在开通读写分离时才会自动创建，用于通过读写分离地址连接数据库时鉴权使用。

本章节为您介绍如何新购及开通WAF日志服务。 订购WAF日志服务 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护事件 > 日志服务”，根据页面提示订购日志服务。 说明 您也可在扩容SaaS实例页面订购日志服务。 日志服务订购后不可单独退订，并且扩展包不支持缩容，请确认完后再订购。 开启WAF日志投递 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护事件 > 日志服务”，进入日志服务页面，选择需要管理的实例。 5. 单击右上方的“投递管理”，跳转至“日志分析投递管理”页面，选择需要开启日志投递的防护对象，打开日志投递服务开关。 6. （可选）开启投递后，可进行字段配置，单击“操作”列的“字段配置”按钮，在弹出的对话框中配置存储的日志类型及采样比例。 7. 开启投递后，WAF会在云日志服务中自动生成日志项目及日志单元，名称分别为wafltsprojectSaaS 和waflogunit。

背景信息 数据库迁移服务（CMSDMS，Database Migration Service）在开始数据库迁移之前需要一台服务器部署数据转发节点并完成节点安装。 目前仅支持使用Linux系统的服务器。 操作场景 本节为您介绍数据库迁移服务数据转发节点安装的相关操作。 支持的操作系统 目前数据转发节点仅支持以下操作系统： centos：7 ubuntu：21、22 ctyunos：2 安装步骤 下载与准备 1. 下载安装包：使用wget命令下载最新的数据转发节点安装包 sudo wget 安装步骤 1. 解压文件：下载完成后，使用tar命令解压下载的压缩包 sudo tar xzvf cmpcompose2.0.1x8664.tar.gz 2. 授权脚本：为了确保安装过程顺利进行，请赋予所有.sh脚本执行权限 sudo chmod a+x .sh 3. 开始安装：执行安装脚本以完成数据转发节点的安装 sudo ./install.sh 示例如下： 后续配置 添加节点 安装完成后，请前往“节点管理”模块添加新节点。 端口设置 默认情况下，节点服务监听端口为18080。建议您采取以下措施保障主机安全： 安装后立即配置防火墙规则，仅允许外部访问18080端口。 当节点未被使用时，及时关闭对外暴露的端口，减少潜在的安全风险。

本节主要介绍云存储网关的产品优势。 易用即装即用 高度优化的压缩安装包，只需3个命令即可安装在Linux操作系统上，从安装包解压到集群初始化不超过3分钟。云存储网关与通用64位x86服务器和ARM服务器上的主流Linux操作系统兼容。 成本利用率高 兼容主流Linux操作系统，支持和其他应用混合部署，支持异构硬件部署，支持自动精简配置，显著提高了资源利用率，降低使用成本。 安全稳定可靠 支持多副本和纠删码数据冗余保护机制，多种异常情况下确保数据不丢，并且保持数据一致性，可以承载企业核心业务数据；通过传输加密、监控告警、配置备份等最大程度实现安全保障。 高可用业务永续 可达秒级故障切换速度，实现不中断会话的故障转移，媲美传统高端存储，单节点故障不影响可用性，确保企业核心应用724永续。 快速读写延迟低 采用分布式双控架构，提升读写性能，延迟极低。同时优化了数据重建流程，避免性能瓶颈，快速响应企业的核心应用。 上云弹性扩展 可作为本地与云端存储之间的桥梁，利用天翼云对象存储（经典版）I型（ObjectOriented Storage，OOS）提供的PB级弹性存储空间能力，实现大规模横向扩展，将全量数据自动同步到OOS中，本地仅保留热数据以节省本地存储空间，或者保留全量数据以保障本地I/O性能，实现混合云存储。

创建密钥对操作指引 您可以使用已有密钥对或新建一个密钥对，用于远程登录身份验证。 1.新建密钥对.如果没有可用的密钥对，需新建一个密钥对，生成公钥和私钥，并在登录弹性云主机时提供私钥进行鉴权。创建密钥对的方法如下： （推荐）通过管理控制台创建密钥对：公钥自动保存在系统中，私钥由用户保存在本地。 通过puttygen.exe工具创建密钥对：公钥和私钥均保存在用户本地。 创建成功的密钥对，还需要执行导入密钥对，导入系统才能正常使用密钥对。 2.使用已有密钥对 如果本地已有密钥对（例如，使用PuTTYgen工具生成的密钥对），可以在管理控制台导入密钥对公钥，由系统维护您的公钥文件。具体操作请参见导入密钥对。 说明 如果已有密钥对的公钥文件是通过puttygen.exe工具的“Save public key”按钮保存的，该公钥文件不能直接导入管理控制台。 约束与限制 仅支持远程登录Linux云主机。 通过管理控制台创建的SSH2密钥对仅支持“RSA2048”加解密算法。 通过外部导入的密钥对支持的加解密算法为： RSA1024 RSA2048 RSA4096 私钥是保证您的弹性云主机安全的重要手段之一，用于远程登录身份认证，为保证弹性云主机安全，只能下载一次，请妥善保管。

本节介绍了云数据库TaurusDB如何绑定弹性公网IP。 操作场景 TaurusDB实例创建成功后，支持用户绑定弹性IP，通过公共网络来访问数据库实例，绑定后也可根据需要解绑。 绑定弹性公网IP 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择Region。 步骤 3 在页面左上角单击，选择“数据库 > 云数据库TaurusDB”。 步骤 4 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页面。 步骤 5 在“网络信息”模块，单击“读写公网地址”后面的“绑定”。 图 设置安全组 步骤 6 在弹出框的弹性IP地址列表中，选择目标弹性IP，单击“确定”，提交绑定任务。 如果没有可用的弹性IP，您可单击“查看弹性IP”，跳转到网络控制台创建弹性IP，创建完成后请返回实例的基本信息页面绑定弹性IP。 注意 您需要设置安全组，开通需访问数据库的IP地址和端口，才可以访问数据库实例。请参见 图 选择弹性IP 步骤 7 在“网络信息”模块“读写公网地址”处查看绑定成功的弹性IP。

本章节主要介绍ALM16046 Hive数据仓库权限被修改的告警。 告警解释 系统每60秒周期性检测Hive数据仓库的权限是否被修改，如果修改发出告警。 告警属性 告警ID 告警级别 是否自动清除 16046 紧急 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 对系统的影响 Hive默认数据仓库的权限被修改，会影响当前用户，用户组，其他用户在默认数据仓库中创建库、创建表等操作的操作权限范围。会扩大或缩小权限。 可能原因 Hive定时查看默认数据仓库的状态，发现Hive默认数据仓库权限发生更改。 处理步骤 检查Hive默认数据仓库权限情况 1. 以root用户登录客户端所在节点。 2. 请使用具有supergroup组权限的用户，根据当前集群情况恢复目录权限： 安全环境：执行命令hdfs dfs chmod 770 hdfs://hacluster/user/hive/warehouse修复默认数据仓库权限。 非安全环境：执行命令hdfs dfs chmod 777 hdfs://hacluster/user/hive/warehouse修复默认数据仓库权限。 3. 查看本告警是否恢复。 是，操作结束。 否，执行步骤4。 收集故障信息 4. 收集客户端后台“hdfs://hacluster/user/hive/warehouse”目录下内容的相关信息。 5. 请联系运维人员，并发送已收集的故障信息。 告警清除 此告警修复后，系统会自动清除此告警，无需手工清除。 参考信息 无。

此小节介绍数据库安全服务的产品定义。 产品介绍 数据库安全服务，即DBSS（Database Security Service），提供旁路模式数据库安全审计服务功能，通过实时记录用户访问数据库行为，形成细粒度的审计报告，对风险行为和攻击行为进行实时告警。同时，数据库安全审计可以生成满足数据安全标准（例如SarbanesOxley）的合规报告，对数据库的内部违规和不正当操作进行定位追责，保障数据资产安全。 数据库类型 数据库安全审计可以为管理控制台上的以下数据库提供旁路模式的数据库审计功能： 关系型数据库（Relational Database Service，RDS） 弹性云主机（Elastic Cloud Server ，ECS）的自建数据库 裸金属服务器（Bare Metal Server，BMS）的自建数据库 云主机（Elastic Cloud Server ，ECS）的自建数据库 物理机（Bare Metal Server，BMS）的自建数据库 数据库安全审计支持的数据库类型和版本 数据库类型 版本 MySQL 5.0、5.1、5.5、5.6、5.7 8.0（8.0.11及以前的子版本） 8.0.23 Oracel (因Orace为闭源协议，适配版本复杂，如您需审计Orace数据库，请先联系客服人员) 11g 11.1.0.6.0、11.2.0.1.0、11.2.0.2.0、11.2.0.3.0、11.2.0.4.0 12c 12.1.0.2.0、12.2.0.1.0 19c PostgreSQL 7.4 8.0 8.0、8.1、8.2、8.3、8.4 9.0 9.0、9.1、9.2、9.3、9.4、9.5、9.6 10.0 10.0、10.1、10.2、10.3、10.4、10.5 11.0 12.0 13.0 SQL Server 2008、2008R2 2012 2014 2016 2017 DWS 1.5 SHENTONG V7.0 GBase 8a V8.5 GBase 8s V8.8 Gbase XDM Custer V8.0 Greenplum V6.0 HighGo V6.0 TAURUS MySQ 8.0 DAMENG DM8 KINGBASE V8 MongoDB V5.0

当进行授权数据安全中心DSC服务访问对象存储OBS资产后，可将OBS资产添加到DSC服务里进行防护。 前提条件 需要完成OBS资产委托授权，具体可以参考云资源委托授权/停止授权操作。 如果需要添加自有对象存储OBS桶，则需要已开通且已使用过OBS服务。 如果需要添加其他桶，则需设置该桶的权限为“公共”。 操作步骤 1. 登录管理控制台。 2. 点击左上角的，选择区域或项目。 3. 点击左侧导航树中的，选择“安全与合规 >数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中选择“资产列表”，进入OBS资产列表页面。 5. 添加OBS资产。 添加自有桶 1. 在OBS资产列表左上角，单击“添加自有桶”。 2. 在弹出添加自有桶对话框中，勾选需要添加的OBS桶。 3. 单击“确定”。 添加其他桶 1. 在OBS资产列表左上角，单击“添加其他桶”。 2. 在弹出的添加其他桶对话框中，输入待添加桶的名称。 如需添加多个桶，则可单击，继续进行添加。 3. 单击“确定”。

本小节介绍数据库安全数据库脏表检测最佳实践。 操作场景 数据库安全审计规则可增加一条“数据库脏表检测”的高风险操作。用户预设无用的库、表或列作为“脏表”，无风险程序不会访问用户自建的“脏表”，用于检测访问“脏表”的可能的恶意程序。 通过数据库脏表检测，可以帮助您监控识别访问“脏表”的SQL语句，及时发现数据安全风险。 前提条件 用户需要在待审计的实例中添加无用的数据库、表或字段，作为脏表检测的对象。 配置数据库脏表检测 1. 登录管理控制台。 2. 在页面上方选择“区域”后，单击，选择“安全与合规 > 数据库安全服务”。 3. 在左侧导航树中，选择“审计规则”，进入“审计规则”界面。 4. 在“选择实例”下拉列表框中，选择需要配置数据库脏表检测的实例。 5. 选择“风险操作”页签。单击“添加风险操作”增加脏表检测规则。 6. 基本信息中将“风险等级”配置为“高”。 7. （可选）配置“客户端IP/IP段”，不配置系统默认检测全部。 8. 配置操作类型，选择“操作”和“全部操作”。配置操作对象填写实例中添加无用的数据库、表或字段，如图所示。

本节为您介绍如何在本机使用远程登录工具MSTSC登录Windows弹性云主机。 操作场景 本节为您介绍如何在本机使用远程登录工具MSTSC登录Windows弹性云主机。 前提条件 弹性云主机状态为“运行中”。 如果弹性云主机采用密钥方式鉴权，已获取Windows弹性云主机的密码，获取方式请参见获取Windows弹性云主机的密码。 弹性云主机已经绑定弹性IP，绑定方式请参见绑定弹性公网IP。 所在安全组入方向已开放3389端口，配置方式请参见配置安全组规则。 使用的登录工具与待登录的弹性云主机之间网络连通。例如，默认的3389端口没有被防火墙屏蔽。 弹性云主机开启远程桌面协议RDP（Remote Desktop Protocol）。使用公共镜像创建的弹性云主机默认已打开RDP。打开RDP方法请参考开启远程桌面协议RDP。 使用MSTSC方式登录Windows弹性云主机 本地主机为Windows操作系统，那么可以使用Windows自带的远程桌面连接工具MSTSC登录Windows云主机。 1. 在本地主机单击“开始”菜单。 2. 在“搜索程序和文件”中，输入“mstsc”，单击mstsc打开远程桌面连接工具。 3. 在“远程桌面连接”的对话框中，单击“选项”。 图 显示选项 4. 输入待登录的云主机的弹性IP和用户名，默认为Administrator。 说明 如需再次登录时不再重复输入用户名和密码，可勾选“允许我保存凭据”。 图 远程桌面连接 5. （可选）如需在远程会话中使用本地主机的资源，请单击“本地资源”选项卡完成如下配置。 如需从本地主机复制到云主机中，请勾选“剪贴板”。 图 勾选剪贴板 如需从本地主机复制文件到云主机中，单击“详细信息”，勾选相应的磁盘。 图 勾选驱动器 6. （可选）如需调整远程桌面窗口的大小，可以选择“显示”选项卡，再调整窗口大小。 图 调整窗口大小 7. 单击“确定”，根据提示输入密码，登录云主机。 为安全起见，首次登录云主机，需更改密码。 8. （可选）通过远程桌面连接（Remote Desktop Protocol, RDP）方式登录云主机后，如果需要使用RDP提供的“剪切板”功能，将本地的大文件（文件大小超过2GB）复制粘贴至远端的Windows云主机中，由于Windows系统的限制，会导致操作失败。 具体的解决方法，请参考使用远程桌面链接方式复制文件。

本章节主要介绍设置数据库审计日志 。 前提条件 数据库审计日志在集群的“安全配置”页面中进行设置，仅“可用”和“非均衡”状态的集群才支持修改安全配置，同时集群的任务信息不能处于“创建快照中”、“调整大小”、“配置中”和“重启中”。 确保当前审计总开关auditenabled参数已开启（auditenabled默认值为ON，若关闭请参考修改数据库参数设置为ON）。 操作步骤 1. 登录DWS 管理控制台。 2. 单击“集群管理”。 3. 在集群列表中，单击指定集群的名称，然后在左侧导航栏单击“安全设置”。 默认显示“配置状态”为“已同步”，表示页面显示的是数据库当前最新结果。 4. 在“审计配置”区域中，设置审计日志保留策略。 “空间优先”：表示当单个节点的审计日志超过1G后，将自动淘汰审计日志。 注意 版本号为1.0.0和1.1.0的集群不支持设置审计日志保留策略。 如果数据库规划存储空间有限，建议设置为“空间优先”策略，避免因审计日志占用磁盘空间高导致节点故障或性能低。 5. 根据需要设置以下操作的审计开关。 各审计项的详细信息如下表所示。 参数名 说明 审计用户越权访问操作 表示是否记录用户的越权访问操作，默认关闭。 审计DML操作 表示是否对数据表的INSERT 、UPDATE 和DELETE操作进行记录，默认关闭。 审计SELECT操作 表示是否对SELECT操作进行记录，默认关闭。 审计存储过程执行 表示是否在执行存储过程和自定义函数的时候记录操作信息，默认关闭。 审计COPY操作 表示是否对COPY操作进行记录，默认关闭。 审计DDL操作 表示是否对指定数据库对象的CREATE 、DROP 和ALTER操作进行记录。除“DATABASE”、“SCHEMA”和“USER”默认启用记录，其他默认关闭。 DWS 除了支持下表的审计功能，默认还开启了如下表所示的关键审计项。 参数名 说明 :: 关键审计项 记录用户登录成功、登录失败和注销的信息。 关键审计项 记录数据库启动、停止、恢复和切换审计信息。 关键审计项 记录用户锁定和解锁功能信息。 关键审计项 记录用户权限授予和权限回收信息。 关键审计项 记录SET操作的审计功能。 6. 设置是否开启审计日志转储功能。 关于审计日志转储功能的更多信息，请参见开启审计日志转储。 7. 单击“应用”。 单击，“配置状态”显示为“应用中”，表示系统正在保存配置。 等待一段时间后再次刷新“配置状态”，当显示为“已同步”，表示已保存配置并生效。