天翼云为您提供多活容灾服务平台服务协议说明，请您点击查看。 天翼云多活容灾服务平台服务协议

本节介绍数据加密的权限管理说明。 如果您需要对云服务平台上购买的数据加密（以下简称DEW）资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全地控制云服务资源的访问。 通过IAM，您可以在帐号中给员工创建IAM用户，并使用策略来控制员工对云服务资源的访问范围。例如您的员工中有负责软件开发的人员，您希望这些开发人员拥有DEW的使用权限，但是不希望开发人员拥有删除DEW等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用DEW，但是不允许删除DEW的权限策略，控制员工对云资源的使用范围。 如果系统帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用DEW的其它功能。 数据加密权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 DEW部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问KMS时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云服务平台各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对KMS服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分，权限的最小粒度为API授权项（action）。 DEW系统权限 系统角色/策略名称 描述 类别 KMS Administrator 加密密钥的管理员权限。 系统角色 KMS CMKFullAccess 加密密钥所有权限。 系统策略 下表列出了DEW常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 常用操作与系统权限的关系 操作 KMS Administrator KMS CMKFullAccess 创建密钥 √ √ 启用密钥 √ √ 禁用密钥 √ √ 计划删除密钥 √ √ 取消计划删除密钥 √ √ 修改密钥别名 √ √ 修改密钥描述 √ √ 创建随机数 √ √ 创建数据密钥 √ √ 创建不含明文数据密钥 √ √ 加密数据密钥 √ √ 解密数据密钥 √ √ 获取密钥导入参数 √ √ 导入密钥材料 √ √ 删除密钥材料 √ √ 创建授权 √ √ 撤销授权 √ √ 退役授权 √ √ 查询授权列表 √ √ 查询可退役授权列表 √ √ 加密数据 √ √ 解密数据 √ √ 查询密钥实例 √ √ 查询密钥标签 √ √ 查询项目标签 √ √ 批量添加删除密钥标签 √ √ 添加密钥标签 √ √ 删除密钥标签 √ √ 查询密钥列表 √ √ 查询密钥信息 √ √ 查询实例数 √ √ 查询配额 √ √ 系统默认提供两种权限策略：系统策略和自定义策略。系统策略是IAM预置的策略，用户只能使用不能修改。若系统策略不满足授权要求，用户可以创建自定义策略，自由搭配需要授予的权限集。 用户组配置权限策略后，将用户加入用户组中，可以使该用户获得权限策略中定义的操作权限。

参考《一站式智算服务平台用户使用手册》，点击下方链接下载查看。 一站式智算服务平台用户使用手册.pdf

到期、续订说明 游戏云电脑到期后自动冻结，15天后销毁数据，请及时导出重要文件。如主动退订，则立即销毁数据，不可恢复。详情请参考 计费说明 销毁前，支持在天翼云官网订单处进行续费，恢复游戏云电脑服务。详细操作请参考 手动续订。注意：续订仅延长购买时长，不延长当月可使用时长 说明 续订仅延长云电脑使用周期，新的可用时长从下一计费周期开始生效，不改变当前包月周期内的剩余可用时长。 订购选项 1.产品价格： 详情请参考 ++计费说明++； 2.常用地区： 系统将根据所选省份，智能匹配地理位置邻近且低网络时延的游戏云电脑。 3.选择镜像： 可选择预装游戏镜像。该镜像已预先安装了指定游戏，无需自行下载和安装，开机后即可游玩。附加说明： 游戏云电脑仅预装游戏软件，不提供游戏账号及授权，用户需登录个人账号并获取授权后方可游玩。 由于游戏版本更新较快，预装镜像可能存在延迟，您可能需要手动更新游戏至最新版本。 如遇到游戏问题，请联系对应平台/游戏客服处理。 4.使用时段，可根据使用需求选择晚间套餐更优惠： 全天：全天可用，不限时段。 晚间：每日可使用时段为19:00至次日7:00，其余时间无法开机。专为晚间使用需求设计，享受更优惠价格。 5.计费套餐，用于选择： 每个包月周期累计可使用总时长，下个周期重置。 使用时长从开机时间开始计算，按秒累计，时长用完后游戏云电脑自动关机。 每次使用完毕后，建议及时关闭游戏云电脑，关机后不计算时长（云电脑工具栏关机）。 如直接退出或断开云电脑客户端，游戏云电脑将保持离线运行状态，10分钟后自动关机。离线运行期间仍记入使用时长。 6.购买时长，用于连续购买包月计费套餐： 包月为订购月，自购买成功之日起，有效期为1个月，至下个月同一日期同一时刻结束，多月顺延。 在连续包月有效期内，用户独享500GB系统盘及选购的数据盘，可用于安装游戏和储存个人数据。 7.自动续费。 开启自动续费后，每月自动续订原套餐，详情请参考 ++自动续订++。

maxparallelworkerspergather (integer) 设置单个Gather或Gather Merge节点能够开始的工作者的最大数量。 并行工作者会从maxworkerprocesses建立的进程池中取得， 受限于maxparallelworkers。 注意所要求的工作者数量在运行时可能实际无法被满足。如果这种事情发生， 该计划将会以比预期更少的工作者运行，这可能会不太高效。默认值是2。 把这个值设置为 0将会禁用并行查询执行。注意并行查询可能消耗比非并行查询更多的资源，因为每一个工作者进程时一个完全独立的进程，它对系统产生的影响大致和一个额外的用户会话相同。在为这个设置选择值时， 以及配置其他控制资源利用的设置（例如workmem）时，应该把这个因素考虑在内。workmem 之类的资源限制会被独立地应用于每一个工作者，这意味着所有进程的总资源利用可能会比单个进程时高得多。例如，一个使用 4 个工作者的并行查询使用的 CPU 时间、内存、I/O 带宽可能是不使用工作者时的 5 倍之多。 maxparallelworkers (integer) 设置系统支持并行查询的最大工作数。默认值为8。在增加或减少此值时，还应考虑调整maxparallelworkerspergather。此外，请注意，此值高于maxworkerprocesses 的设置将不起作用，因为并行工作进程将从该设置建立的工作进程池中获取。 backendflushafter (integer) 只要一个后端写入了超过backendflushafter字节，就会尝试强制 OS 把这些写发送到底层存储。 这样做将会限制内核页高速缓存中的脏数据数量，降低在检查点末尾发出fsync时或者 OS 在后台大批写回数据时卡住的可能性。这常常会导致极大降低的事务延迟，但是也有一些情况中（特别是负载超过sharedbuffers但低于 OS 的页面高速缓存时），性能可能会下降。这个设置可能在某些平台上没有效果。合法的范围位于0 （禁用强制写回）和2MB之间。默认是0，即没有强制写回。（如果BLCKSZ不是8kB，最大值将按比例缩放。）

什么是云监控服务？ 云监控服务为用户提供一个针对弹性云主机、带宽等资源的立体化监控平台。使您全面了解云上的资源使用情况、业务的运行状况，并及时收到异常告警做出反应，保证业务顺畅运行。云监控服务架构图如图1所示。 图 1 云监控服务架构图 云监控服务主要具有以下功能： 自动监控： 云监控服务不需要开通，在创建弹性云主机等资源后监控服务会自动启动，您可以直接到云监控服务查看该资源运行状态并设置告警规则。 主机监控： 通过在弹性云主机或物理机中安装云监控服务Agent插件，用户可以实时采集ECS或BMS 1分钟级粒度的监控数据。已上线CPU、内存和磁盘等40余种监控指标。有关主机监控的更多信息，请参阅主机监控简介。 灵活配置告警规则： 对监控指标设置告警规则时，支持对多个云服务资源同时添加告警规则。告警规则创建完成后，可随时修改告警规则，支持对告警规则进行启用、停止、删除等灵活操作。有关告警规则的更多信息，请参阅告警规则管理。 实时通知： 通过在告警规则中配置告警通知，当云服务的状态变化触发告警规则设置的阈值时，系统通过短信、邮件通知等多种方式实时通知用户，让用户能够实时掌握云资源运行状态变化。 监控面板： 为用户提供在一个监控面板跨服务、跨维度查看监控数据，将用户关注的重点服务监控指标集中呈现，既能满足您总览云服务的运行概况，又能满足排查故障时查看监控详情的需求。有关监控面板的更多信息，请参阅监控看板简介。 资源分组： 资源分组支持用户从业务角度集中管理其业务涉及到的弹性云服务器、云硬盘、弹性IP、带宽、数据库等资源。从而按业务来管理不同类型的资源、告警规则、告警记录，可以迅速提升运维效率。 事件监控： 事件监控提供了事件类型数据上报、查询和告警的功能。方便您将业务中的各类重要事件或对云资源的操作事件收集到云监控服务，并在事件发生时进行告警。

查看并处理Access Key泄露检测事件的方式方法 数据安全中心DSC可以检测git代码库中包含访问密钥ID（AK）和秘密访问密钥（SK）的访问密钥泄露，并将检测结果在列表中展示。您可根据需要对异常事件进行查看和处理。 前提条件 已获取管理控制台的登录帐号与密码。 操作步骤 1. 单击左上角的，选择区域或项目。 2. 在左侧导航树中，单击，选择“安全 > 数据安全中心”，进入数据安全中心总览界面。 3. 在左侧导航树中选择“数据风险检测 > Access Key泄漏检测”，进入“Access Key泄露检测”页面。 Access Key泄露检测参数列表： 参数名称 参数说明 Access Key ID 访问密钥ID。 可单击“去Access Key管理”，管理（创建、编辑、启用/停用、删除）访问密钥。 情报来源 该Access Key泄露检测事件的来源。如github。 受影响账户 该Access Key泄露检测事件可能会影响到的帐户。 泄露类型 Accesskey 首次发现时间 首次爬取到该泄露事件的时间。 处理状态 根据事件详情对事件进行判断和处理后，有以下状态： 待处理：还未处理。 已处理（已手动删除）：已登录GitHub手动删除/隐藏已泄露的Access Key及相关内容。 已处理（已手动禁用）：已进入Access Key控制台，禁用并重置Access Key（或直接删除）。 已处理（加入白名单）：该事件加入白名单后，该Access Key在相同源链接中再次出现时，将不再进行告警，请慎重选择。 4. 在目标事件的“操作”列，单击“查看”，可查看“Access Key泄露详情”、“代码片段”、“相关推荐”。 5. 可根据事件的推荐策略，对事件进行处理。并在目标事件的“操作”列，单击“处理”。 6. 在弹出的对话框，选择“处理方式”，并单击“确定”。 处理方式为： 手动删除：已登录GitHub手动删除或隐藏已泄露的Access Key及相关内容。 禁用Access Key：已进入Access Key控制台，禁用并重置Access Key（或直接删除）。 加入白名单：该事件不存在风险，不进行处理，加入白名单后，该Access Key在相同源链接中再次出现时，将不再进行告警。

本文为您介绍如何设置SSL数据加密，提升实例连接的安全性。 注意 仅V5.1.9.6020.2531及以后版本的实例，支持该功能。 前提条件 实例状态为运行中。 背景信息 SSL（Secure Socket Layer，安全套接层），位于可靠的面向连接的网络层协议和应用层协议之间的一种协议层。SSL通过互相认证、使用数字签名确保完整性、使用加密确保私密性，以实现客户端和服务器之间的安全通讯。 认证用户和服务器，确保数据发送到正确的客户端和服务器。 加密数据以防止数据中途被窃取。 维护数据的完整性，确保数据在传输过程中不被改变。 开启SSL加密 在使用SSL加密功能前，您需要开启SSL加密，操作步骤如下： 注意 开启SSL后，您需要手动重启全部节点，才能生效。 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 分布式关系型数据库 ，进入分布式关系型数据库产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择DRDS > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，找到目标实例，单击操作 列的管理 ，进入实例基本信息页面。 4. 在左侧目录单击数据库安全 ，然后单击连接加密页签，进入SSL加密管理页面。 5. 单击SSL设置。 6. 在SSL设置 对话框中，打开SSL链路加密 开关，并配置验证模式。 标准模式：仅开启SSL加密但不使用SSL自带的二次验证，主要兼容历史应用系统配置。 CA模式：需要下载CA证书并上传客户端进行验证，CA证书存在有效期（默认为10年）需定期更换。 7. 单击提交。 如果您不再需要使用SSL加密，只需在SSL设置 对话框中，关闭SSL链路加密开关即可。 8. 如果您的SSL加密验证模式 为CA模式，则您还需要在控制台下载自动生成的SSL自签名证书包。 在SSL加密管理页面，单击CA证书 参数右侧的下载证书，系统自动下载证书包（包含ca、server和client证书），请妥善保存。 注意 证书默认有效期为10年，您可以根据实际情况，单击证书到期时间 参数右侧的重新生成证书，重新生成证书并下载到本地。

本小节介绍终端杀毒管理类常见问题。 为什么管理中心实时监控中一直没有数据？ 主机安全组件会把流量日志和安全事件发送回管理中心，由管理中心进行处理后最终在实时监控中显示。由于实时监控的数据具有实时性要求，如果收到的日志时间和当前时间误差大于2小时，管理中心将丢弃这些日志。这样就会导致实时监控中没有数据。通常是由于主机和管理中心的系统时间没有同步造成的，解决办法是同时在主机和管理中心上打开NTP时间同步机制。 注意 如果管理中心与主机时间不同步，管理中心会产生对应的警报。 管理中心重新配置网卡或者克隆之后，IP地址无法获取或配置失败怎么办？ 新增的网卡的信息与旧网卡的配置不匹配，导致网络服务启动失败，接口无法获取IP地址。只要在管理中心运行“configure network reset”命令和“reboot”命令，在重启之后，重新配置IP地址即可生效。 浏览器不能正常显示怎么办？ 防护系统支持近两年内发布的大部分浏览器。然而由于一些虚拟化特性，部分虚拟机不支持WebGL。故这些浏览器查看具有3D效果的组件时，不能正常显示。建议使用物理机，高阶一些的浏览器。 浏览器/类型 物理机 虚拟机 备注 IE IE9、IE10、IE11兼容 IE9、IE10、IE11兼容 IE10 2013年2月发布，IE 11 2014年1月发布 firefox Firefox31.0兼容 Firefox31.0兼容 31.0 2014年8月发布 chrome Chrome35.0兼容 Chrome35.0兼容 35.0 2014年6月发布

本文通过完全开源的RAGFlow服务与云搜索服务的OpenSearch向量数据库与搜索大模型快速构建智能知识问答(RAG)服务。 RAGFlow 是一款基于深度文档理解的开源RAG（检索增强生成）引擎。它为企业级用户提供了一套端到端的 RAG 解决方案，通过结合大语言模型（LLM） 的能力，实现对多样化复杂格式数据的精准解析与知识检索，为用户提供依据充分、真实可靠的问答服务，并确保所有回答均附带可追溯的引用来源。 RAG（Retrieveraugmented Generation）是一种结合了信息检索和生成的自然语言处理（NLP）技术，特别适用于需要从大量数据中检索信息并生成自然语言文本的场景。它在处理复杂任务时能够提升生成模型的性能，尤其是在模型缺乏足够上下文或知识的情况下。 RAG的优势 RAG通过检索外部知识库或数据库中的相关信息，能够在生成过程中动态地补充实时或特定领域的知识，弥补了生成模型的“知识盲区”。这使得模型能够在没有训练时直接获得的信息基础上进行更加准确的回答或内容生成。针对企业内部包含的敏感数据（如薪资标准、客户资料等）以及大量专有信息（包括产品文档、客户案例、流程手册等），RAG提供了安全的解决方案。由于这些非公开信息无法直接预置到大模型中，RAG通过外部知识调用的方式，既满足了信息需求，又确保了数据安全性。

本文进行了云防火墙（原生版）产品的术语说明。 VPC 虚拟私有云（Virtual Private Cloud，VPC），为云服务器、云容器、云数据库等云上资源构建隔离、私密的虚拟网络环境。您可以完全掌控自己的专有网络，VPC丰富的功能帮助您灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。 互联网边界防火墙 互联网边界防火墙主要用于检测互联网和云上资产间的通信流量，也称为南北向流量。 访问控制 是流量过滤规则的集合，通过防火墙的访问控制功能可以对内网的计算机进行访问限制，比如限制访问的Internet网站、限制使用的端口号，这样可以保证局域网的安全性。 黑名单规则 访问控制规则的一种。配置成功后，可对配置地址的入或出通信流量进行阻断。 白名单规则 访问控制规则的一种。配置成功后，可对配置地址的入或出通信流量进行放行。 五元组 包括源IP地址、目的IP地址、协议号、源端口、目的端口。 入侵防御 主动发现外部入侵与恶意外联等未知风险，在检测到可疑事件时，提供实时的防护与告警。如果检测到攻击，入侵防御会在攻击扩散到网络的其他地方之前阻止该恶意通信。 主动外联访问 主动外联访问是指云主机主动访问外部IP的行为，通过对主动外联访问防护，可以帮助您有效管理和控制主机外联行为。

本页介绍了如何通过合理分片用户权限，保障数据库安全。 用户在控制台上创建文档数据库服务实例成功之后，默认会分配 root 用户进行数据库操作。root 用户具备超级权限，可以对整个实例的库表进行读写，以及创建删除等管理操作。 如果文档数据库服务实例被多个业务使用，建议按照数据库和读写操作类型再创建独立的用户。通过对不同类型的业务分配最小最合适的操作权限，避免出现用户权限过大带来的安全风险。 文档数据库服务实例支持的所有操作都是基于 role 进行权限校验的，role 定义了操作行为，比如是否读写，是否能进行管理或者监控类的操作等。一个 用户可以包含1 个或者多个 role。 可以执行下面的命令，创建一个只对 db1 数据库有读权限的用户 user1： db.createUser({user:"user1", pwd: , roles:[{role:"read", db:"db1"}]}) 创建成功后通过 user1 登录，则只能看到 db1 数据库下面的表，并只能执行读数据操作。 如果希望创建一个能读 db1, 能读写 db2 的用户 user2, 可以在使用 root 登录后执行下面的命令： db.createUser({user:"user2", pwd: , roles:[{role:"read", db:"db1"}, {role:"readWrite", db:"db2"}]}) 创建成功后通过 user2 登录，则可以看到 db1 和 db2 数据库下面的表，对 db1 的表只能执行读操作，对 db2 可以执行建表和删表操作以及表的读写操作。

本章介绍Windows内核特权提升漏洞。 Windows内核处理内存中对象的方式中存在特权提升漏洞，成功利用此漏洞的攻击者可能会利用提升的特权执行代码。 为了利用此漏洞，在本地经过身份验证的攻击者可能会运行经特殊设计应用程序。 漏洞编号 CVE20201027 漏洞名称 Windows内核特权提升漏洞 漏洞描述 Windows内核处理内存中对象的方式中存在特权提升漏洞，成功利用此漏洞的攻击者可能会利用提升的特权执行代码。 影响范围 所有Windows系统 官方解决方案 官方建议受影响的用户尽快安装最新的漏洞补丁。 详情请参见< 检测与修复建议 天翼云企业主机安全服务支持对该漏洞的便捷检测与修复。 1. 检测并查看漏洞详情，详细的操作步骤请参见漏洞管理。 手动检测漏洞 2. 漏洞修复与验证，详细的操作步骤请参见漏洞管理。

本章节为您介绍升级日志存储容量。 Web应用防火墙（原生版）开通日志服务后，请实时关注日志存储容量，如果您的日志存储容量已接近或达到饱和状态，为了避免新的日志数据无法写入日志库，请及时升级日志存储容量。 升级容量 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护事件 > 日志服务”，进入日志服务页面。 5. 单击“升级容量”按钮，跳转至升配页面。 6. 填写需要扩容的存储大小，确认参数配置无误后，阅读《天翼云Web应用防火墙（原生版）服务协议》，并勾选“我已阅读，理解并接受《天翼云Web应用防火墙（原生版）服务协议》“，单击“立即购买”。 7. 进入“付款”页面，完成付款。

工具调用示例 移动鼠标： plaintext { "name": "movemouse", "arguments": { "desktopCode": "xxx", "x": 500, "y": 300 } } 输入文本： plaintext { "name": "typetext", "arguments": { "desktopCode": "xxx", "text": "Hello from AIuse MCP" } } 创建目录： plaintext { "name": "createdirectory", "arguments": { "desktopCode": "xxx", "path": "C:/aiusertest" } } 常见问题 如果 Qoder 中没有加载出工具列表，请优先检查： 本地是否已安装 Node.js，且 npx v 可正常输出版本号。 MCP 配置中的 command、args 和 env 是否填写正确。 CTGAPIKEY 和 CTGAPISECRET 是否正确。 AccessKey 是否已关联目标云电脑。 目标云电脑是否在线。 调用工具时是否明确传入或说明了 desktopCode。 安全建议 不要将包含 AccessKey Secret 的 MCP 配置提交到公开仓库。 多人共享开发环境时，建议使用个人或项目级 AccessKey。 如 Qoder 或 MCP Client 支持密钥管理，建议优先使用密钥管理能力。 AccessKey 泄露后，应立即在控制台禁用并更换。

工具调用示例 移动鼠标： plaintext { "name": "movemouse", "arguments": { "desktopCode": "xxx", "x": 500, "y": 300 } } 输入文本： plaintext { "name": "typetext", "arguments": { "desktopCode": "xxx", "text": "Hello from AIuse MCP" } } 创建目录： plaintext { "name": "createdirectory", "arguments": { "desktopCode": "xxx", "path": "C:/aiusertest" } } 常见问题 如果 Qoder 中没有加载出工具列表，请优先检查： 本地是否已安装 Node.js，且 npx v 可正常输出版本号。 MCP 配置中的 command、args 和 env 是否填写正确。 CTGAPIKEY 和 CTGAPISECRET 是否正确。 AccessKey 是否已关联目标云电脑。 目标云电脑是否在线。 调用工具时是否明确传入或说明了 desktopCode。 安全建议 不要将包含 AccessKey Secret 的 MCP 配置提交到公开仓库。 多人共享开发环境时，建议使用个人或项目级 AccessKey。 如 Qoder 或 MCP Client 支持密钥管理，建议优先使用密钥管理能力。 AccessKey 泄露后，应立即在控制台禁用并更换。

云产品 应用场景 描述 相关操作 虚拟专用网络VPN 连接云上VPC与本地IDC VPN连接（Virtual Private Network）用于搭建用户本地数据中心与天翼云VPC之间便捷、灵活，即开即用的IPsec加密连接通道，实现灵活一体，可伸缩的混合云计算环境。 云专线CDA 依托高性能网络布局和丰富链路资源，连接VPC与本地IDC 天翼云云专线（CTCDA，Cloud Dedicated Access），依托中国电信高性能网络布局和丰富链路资源，为用户本地数据中心与天翼云VPC之间提供高速、低时延、稳定安全的连接服务，灵活搭建云上云下专属通道，实现可伸缩的混合云部署。

共享前缀列表权限说明 共享前缀列表后， 使用者权限： 查看前缀列表及其条目，可以通过所有者列的标识判断来自共享的前缀列表。 不能操作前缀列表，包括不能修改前缀列表、增删改前缀列表条目、删除前缀列表。 在自身资源中可以引用该前缀列表，例如在自己账号下的安全组中引用共享前缀列表。 所有者权限： 查看引用了前缀列表的使用者的资源，但无法操作。 所有者不能删除已被使用者资源引用的前缀列表。 所有者更新了前缀列表后，引用该前缀列表的资源都会更新。 取消共享前缀列表后： 如果前缀列表已被使用者的资源引用：这些引用将继续正常运行，但取消引用关系后无法再次引用。 未被引用：使用者无法再查看原来共享给自己的前缀列表及前缀列表条目，也无法在其资源中引用。

本章节为您介绍如何升级云堡垒机的实例版本。 新版本的云堡垒机对系统进行了功能优化或添加了新功能，请及时升级版本。 注意 在堡垒机升级至1.3.0版本后，需要卸载旧的访问插件，在“运维设置 > 访问插件”中下载最新版本插件进行安装。 堡垒机在升级失败后会自动回退版本。 前提条件 已获取管理控制台的登录账号与密码。 已绑定EIP，且EIP可用。 操作步骤 1. 登录管理控制台。 2. 选择“安全 > 云堡垒机（原生版）”，进入云堡垒机实例管理页面。 3. 选择需变更升级的实例，单击实例名称旁的“升级”。 4. 在弹出的对话框中单击“确认”，堡垒机开始进行自动升级并且堡垒机的状态会变为“升级中”。 5. 待堡垒机状态变为“运行中”即表示升级已经结束，可正常使用堡垒机。

本节介绍威胁分析能力。 当告警列表中积累了较多威胁告警信息时，您可以使用“威胁分析”功能，从“攻击源”或“被攻击资产”的维度分析网络攻击情况。 操作步骤 1. 登录管理控制台。 2. 在页面左上角单击，选择“安全 > 态势感知（专业版） ”，进入态势感知管理页面。 3. 在左侧导航栏选择“威胁告警”，进入威胁告警页面后，选择“威胁分析”页签，进入威胁分析管理页面。 4. 在下拉框中选择条件“攻击源”或“被攻击资产”、“发生时间”，并输入待查询的IP地址，单击“开始分析”。 说明 发生时间可选择“今天”、“昨天”、“近3天”、“近7天”、“近30天”、“近半年”。 5. 在列表栏查看符合过滤条件的威胁信息，可以直观看到该攻击源对哪些资产发起了何种类型的攻击，或被攻击资产遭到了哪些攻击。

本节主要介绍如何进行托管授权。 操作场景 托管创建完成后，需要到目标工作空间所属账号中进行授权。授权后，被托管空间将挂载到托管账号下的空间中，进行统一管理。 前提条件 已创建托管，详细操作请参见创建托管。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间托管”，进入空间托管管理页面。 4. 在托管页面中，选择“我纳管的”页签，并在目标托管任务所在行“操作”列，单击“接收”。 5. 在弹出的确认框中，单击“确认”。 后续处理 授权后，可以在“工作空间 > 空间管理”页面中查看已创建的托管视图，单击视图名称，进入后，可以查看被托管空间的详细信息。

此小节介绍数据库审计的功能特性。 记录数据库活动 记录一切对数据库的访问行为，记录维度包括客户端信息、服务端信息、操作信息、操作状态、返回结果集、SQL模板等。 存储数据库行为记录 存储记录行为时产生的日志，包括审计日志、会话日志、告警日志，还包括系统的相关配置，如人员权限配置、系统引擎配置等。 查询数据库审计日志 在已有的日志中查询某些关键信息，完成事件溯源，一般支持时间、类型、数据库实例名、操作结果、客户端、服务端等查询维度。 风险和威胁告警 将数据库访问的行为与安全规则库进行匹配，根据匹配的结果进行告警，一般包含页面告警、外送告警（短信、邮件）。 数据库性能分析 通过SQL执行时间统计数据库性能情况，分析潜在性能问题的根因，定位关键资产，可作为用户数据库性能调优的决策辅助。

类别 默认用户 初始密码 描述 组件运行用户 hdfs Hdfs@123 HDFS系统管理员，用户权限： 1. 文件系统操作权限： 查看、修改、创建文件 查看、创建目录 查看、修改文件属组 查看、设置用户磁盘配额 2. HDFS管理操作权限： 查看webUI页面状态 查看、设置HDFS主备状态 进入、退出HDFS安全模式 检查HDFS文件系统。 hbase Hbase@123 HBase系统管理员，用户权限： 集群管理权限:表的Enable、Disable操作，触发MajorCompact，ACL操作 授权或回收权限，集群关闭等操作相关的权限 表管理权限:建表、修改表、删除表等操作权限 数据管理权限：表级别、列族级别以及列级别的数据读写权限 访问HBase WebUI的权限。 mapred Mapred@123 MapReduce系统管理员，用户权限： 提交、停止和查看MapReduce任务的权限 修改Yarn配置参数的权限 访问Yarn、MapReduce WebUI的权限。 spark Spark@123 Spark系统管理员，用户权限： 访问Spark WebUI的权限 提交Spark任务的权限。

本章节主要介绍使用客户端。 操作场景 客户端安装后，用户可以通过客户端在运维场景或业务场景中使用shell命令，也可以在应用程序开发场景中使用客户端中的样例工程。 该任务指导用户在运维场景或业务场景中使用客户端。 前提条件 已安装客户端。 例如安装目录为“/opt/Bigdata/client”。 各组件业务用户由系统管理员根据业务需要创建。 “机机”用户需要下载keytab文件，“人机”用户第一次登录时需修改密码。 操作步骤 1.以客户端安装用户登录安装客户端的节点。 2.执行以下命令，切换到客户端安装目录。 cd /opt/Bigdata/client 3.执行以下命令配置环境变量。 source bigdataenv 4.如果集群为安全模式，执行以下命令进行用户认证。普通模式集群无需执行用户认证。 kinit 组件业务用户 5.根据实际业务需要，执行shell命令。

本章节主要介绍翼MapReduce的锁定用户操作。 操作场景 由于业务变化，用户可能长期暂停使用，为了保证安全，管理员可以锁定用户。 锁定用户的方法包含以下两种方式： 自动锁定：通过设置密码策略中的“密码连续错误次数”，将超过登录失败次数的用户自动锁定。具体操作请参见配置密码策略。 手动锁定：由管理员通过手动的方式将用户锁定。 以下将具体介绍手动锁定。不支持锁定“机机”用户。 对系统的影响 用户被锁定后，不能在FusionInsight Manager重新登录或在集群中重新进行身份认证。锁定后的用户需要管理员手动解锁或者等待锁定时间结束才能恢复使用。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“系统 > 权限 > 用户”。 3. 在要锁定用户所在行，单击“锁定”。 4. 在弹出的窗口勾选“我已阅读此信息并了解其影响。”，单击“确定”完成锁定操作。

常见事件列表 常见事件列表 事件ID 事件名称 12019 停止服务 12020 删除服务 12021 停止实例 12022 删除实例 12023 删除节点 12024 重启服务 12025 重启实例 12026 Manager主备倒换 12065 进程重新启动 12070 作业执行成功 12071 作业执行失败 12072 作业被终止 12086 Agent进程重启 14005 NameNode主备倒换 14028 HDFS磁盘均衡任务 14029 主NameNode进入安全模式并生产新的Fsimage 17001 Oozie工作流执行失败 17002 Oozie定时任务执行失败 18001 ResourceManager主备倒换 18004 JobHistoryServer主备倒换 19001 HMaster主备倒换 20003 Hue发生主备切换 24002 Flume Channel溢出 25001 LdapServer主备倒换 27000 DBServer主备倒换 38003 Topic数据保存周期配置调整 43014 Spark2x数据倾斜 43015 Spark2x SQL超大查询结果 43016 Spark2x SQL执行超时 43024 启动JDBCServer 43025 停止JDBCServer 43026 ZooKeeper连接成功 43027 ZooKeeper连接异常

本文主要介绍如何安装客户端。 启用应用一致性备份前，需先在弹性云服务器上更改安全组和成功安装Agent。 如果服务器未安装Agent而执行了云主机备份，则会导致应用一致性备份失败；如果同时勾选了数据库服务器备份失败后继续云主机备份，则会执行奔溃一致性备份。为了确保应用一致性备份正常进行，请先按照本章节下载并安装Agent。 操作说明 安装客户端时，系统会以“rdadmin”用户运行安装程序。请定期修改Agent的操作系统“rdadmin”用户的登录密码，并禁止“rdadmin”用户远程登录，以提升系统运维安全性。详情请参见修改rdadmin帐号密码。 支持安装客户端的操作系统如下表所示。 数据库名称 操作系统类型 版本范围 ::: SQLServer 2008/2012 Windows Windows Server 2008, 2008 R2, 2012, 2012 R2 for x8664 SQLServer 2014/2016/EE Windows Windows Server 2014, 2014 R2, 2016 Datacenter for x8664 MySQL 5.5/5.6/5.7 Red Hat Red Hat Enterprise Linux 6, 7 for x8664 MySQL 5.5/5.6/5.7 SUSE MySQL 5.5/5.6/5.7 CentOS CentOS 6, 7 for x8664 MySQL 5.5/5.6/5.7 Euler Euler OS 2.2, 2.3 for x8664 HANA 1.0/2.0 SUSE SUSE Linux Enterprise Server 12 for x8664 须知： 客户端安装时，系统会打开弹性云服务器的5952659528端口的防火墙其中之一。当59526端口被占用时，则会打开59527端口的防火墙，以此类推。

本节介绍了创建数据库账号的相关内容。 操作场景 创建关系型数据库实例时，系统默认同步创建rdsuser用户，您可根据业务需要，添加其他用户。 限制条件 恢复中的实例，不可进行该操作。 通过RDS创建账号 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页。 步骤 5 在左侧导航栏，单击“账号管理”，单击“创建账号”。 步骤 6 在弹出框中，输入账号名称、并输入密码和确认密码，单击“确定”。 如果需要创建的账号具备所有库的只读权限，请联系客服申请开通，在创建账号弹框中勾选“实例级只读账号”即可。 数据库账号名称在1到128个字符之间，由字母、数字、中划线或下划线组成，不能包含其他特殊字符，不能和系统用户名称相同。系统用户包括：rdsadmin, rdsuser, rdsbackup, rdsmirror。 密码长度为8~32个字符，至少包含大写字母、小写字母、数字、特殊字符三种字符的组合，其中允许输入~!@ $%^+?,特殊字符。 密码不能与账号名或倒序的账号名相同。 建议您输入高强度密码，以提高安全性，防止出现密码被暴力破解等安全风险。 步骤 7 数据库账号添加成功后，您可在当前实例的数据库账号列表中，对其进行管理。 结束

本文介绍登录数据管理服务DMS的账号。 本文介绍登录数据管理服务账号的方法。 登录方式 目前数据管理服务仅支持使用天翼云账号登录控制台。 前提条件 具备天翼云账号（主账号/子账号）。 注意 天翼云子账号进入DMS前，需确保该子账号对应的天翼云主账号已登录过DMS。 功能介绍 您可以使用天翼云账号登录、跳转，使用数据管理服务。 在开始使用数据管理服务之前，您需要先注册一个天翼云账号。请访问我们的官方网址并点击右上角“免费注册”按钮。在注册页面中，您需要填写您的个人信息，包括电子邮箱、密码、手机号码等。请确保您填写的信息真实有效，以便我们能够及时向您提供服务。注册成功后，您可以使用注册时填写的电子邮箱或其他可用的登录方式登录天翼云。在登录过程中，系统将验证您的账号信息。如果验证通过，您将成功登录到天翼云官网。 在天翼云官网页面，您可以通过产品 > 数据库 > 数据库生态工具 > 数据管理服务的层次树进入数据管理服务产品详情页。 您在数据管理服务产品详情页上首次点击“立即开通”或“管理控制台”按钮均可进入产品订购页。根据指引完成订购后，再次点击“管理控制台”即可跳转至数据管理服务控制台执行操作。 注意事项 输入正确的信息：仔细核对输入的邮箱和密码，确保无误。如果输入错误的信息导致登录失败，可以重新填写正确的信息进行尝试。 保持登录状态：成功登录数据管理服务后，您将保持登录状态，直到主动退出或关闭服务。请注意保护个人隐私和数据安全，避免在公共场合使用时泄露敏感信息。 定期更新密码：为了确保账户安全，建议定期更新您的账号密码。避免使用容易猜到的密码，如生日、姓名等。同时，也建议定期更换密码复杂的随机密码以提高安全性。 注意账户活动：如果发现有异常的账户活动或操作，请立即联系我们的客服支持团队以获取帮助和解决方案。我们会对您的账户活动进行监控和管理以确保您的数据安全。

本文为您介绍分布式消息服务MQTT的操作指南资源报表。 分布式消息服务MQTT提供连接数、生产关系数、Topic数、收发tps等历史指标数据的查询。 每分钟生产消息数查询 每分钟消费消息数查询 MQTT连接数查询 MQTT Topic数查询 MQTT订阅数查询 MQTT消息丢弃数查询 统计MQTT连接数、订阅数、生产消费消息数可以帮助： 性能监控： MQTT连接数、订阅数、生产消费消息数统计可以帮助您监控MQTT代理服务器的性能。通过实时查看MQTT连接数、订阅数、生产消费消息数，您可以确定代理服务器是否正常运行，以及是否需要进行性能调整或升级硬件资源。 故障检测： MQTT连接数、订阅数、生产消费消息数统计可以帮助您及早发现可能的故障。如果MQTT连接数、订阅数、生产消费消息数突然增加或减少，可能表明存在连接问题、设备故障或网络问题。这有助于快速识别和解决问题，减少系统停机时间。 资源规划： 了解MQTT连接数、订阅数、生产消费消息数的历史趋势和峰值可以帮助您进行资源规划。如果MQTT连接数、订阅数、生产消费消息数经常超过MQTT代理服务器的容量，您可能需要增加服务器资源或考虑负载均衡来确保系统的可伸缩性。 安全监控： MQTT连接数、订阅数、生产消费消息数统计可以用于安全监控。异常的MQTT连接数、订阅数、生产消费消息数可能表示潜在的安全风险，例如恶意攻击或未经授权的设备连接。通过MQTT连接数、订阅数、生产消费消息数统计，您可以及时发现这些问题并采取适当的安全措施。 优化性能： MQTT连接数、订阅数、生产消费消息数统计还可以用于优化性能。通过分析MQTT连接数、订阅数、生产消费消息数的模式和行为，您可以识别出哪些设备或主题产生了高连接负载，从而可以采取措施来优化系统的设计和配置。 合规性要求： 对于某些行业，例如物联网和金融领域，合规性要求可能需要跟踪和报告MQTT连接数、订阅数、生产消费消息数。MQTT连接数、订阅数、生产消费消息数统计可以帮助您满足这些合规性要求，并生成必要的报告。 综上所述，连接数、订阅关系数、主题数统计在监控、故障检测、资源规划、安全监控、性能优化和合规性要求方面都具有重要作用。它们提供了对MQTT系统运行状况的关键洞察，帮助您保持系统的稳定性、可用性和安全性。

云点播产品割接IAM情况说明 综述 云点播自2024年11月13日起，从原先CDN+IAM切换至天翼云统一身份认证服务（以下简称“CTIAM”）。 通过CTIAM用户可以在统一的主子账号体系下对云点播产品的资源、权限进行管理，降低管理员维护的成本，保持天翼云账号权限管理的一致性。由于两者在使用习惯上存在一定的差异，无法做到无感知平移切换，特对两者的差异和割接后的注意事项说明。 割接升级公告 关于2024年11月13日媒体存储、云点播产品功能变更的公告 相关术语说明 增量子用户：自2024年11月13日后从CTIAM统一认证管理平台新增的子用户。 存量子用户：自2024年11月13日前主账号通过原CDN+IAM创建的子用户。 CDN+IAM和CTIAM的使用差异 CDN+IAM CTIAM 登陆入口 主、子账号登陆入口不同。主账号通过天翼云CTIAM登陆，子账号通过CDN+IAM入口登陆。 主子账号均通过CTIAM入口登陆。 登录凭证 CDN+IAM配置的虚拟邮箱，或手机号码登陆。手机号码在平行工作区内保持唯一性。 使用在天翼云CTIAM配置的认证邮箱、手机号码登陆。手机、邮箱在当前组织（企业）内保持唯一性。 存量子用户在迁移完成后，默认填入虚拟手机号码，该号码需修改为真实号码方可使用。 创建子用户 在CDN+IAM控制台创建。CDN+IAM控制台支持多个平行的组织（工作区），在不同组织创建的子用户权限不互通。 在CTIAM控制台创建。同一个主账号仅支持一个组织。 删除子用户 子用户在云点播的权限配置会被全量清理，且无法恢复。 子用户在云点播的权限配置会被全量清理，且无法恢复。 撤销子用户权限 无对应逻辑。 子用户在云点播的权限配置会被全量清理，且无法恢复。 冻结子用户 无对应逻辑。 子用户在云点播的权限配置会被冻结，相关权限信息保留，暂不清理。 主账号AK/SK 不接受CDN+IAM产生的AK/SK，用户使用云点播原生AK/SK调用接口。最多允许5组原生AK/SK。 仅接受CTIAM产生的AK/SK，云点播不再自行产生原生AK/SK密钥对。存量AK/SK仍然可用。CTIAM最多支持创建2组AK/SK。 子账号AK/SK 无子用户AK/SK。子用户使用主账号AK/SK操作API接口。 由CTIAM产生子用户的AK/SK，子用户在CTIAM控制台查看各自的密钥对。 子用户授权 无实体权限与CDN+IAM对接。 与CTIAM权限体系对接，后续会持续新增权限策略。

本文带您了解内网DNS的产品架构。 内网DNS，可用于创建仅能在您的VPC（支持多个VPC）内访问的域名或子域名。使用内网DNS的一般步骤如下： 1. 新建一个内网域名，例如：example.com。 2. 添加需要管理的记录集，比如：www.example.com。 3. 将域名与需要访问的VPC关联。 完成相应配置后，只有与之关联的VPC内才能使用您设置的内网DNS解析记录访问www.example.com。其他环境无法访问该域名（或仅能通过公网解析）。内网DNS提供了内部域名解析机制，确保只有经过授权的VPC能够正确解析这些域名或子域名，从而实现更加安全和可控的访问。 实现原理 内网DNS利用天翼云虚拟私有云VPC的隔离特性（详细信息请参考虚拟私有云），对您的内网域名执行隧道隔离。天翼云的内网DNS采用严格的验证机制，确保您的内网域名在天翼云网络内具有唯一性，只有您本人能够对其进行管理，保障了内网域名的安全性和独特性。 逻辑架构 内网域名（例如example.com）的逻辑架构允许其关联一个或多个VPC。一旦与VPC建立关联，内网域名中的解析记录将在相应的VPC内可被访问和解析，使得特定VPC内的资源能够有效地访问与之关联的内网域名记录。