本节介绍N100管理类常见问题。 N100过期后无法配置？ N100授权过期后会锁定配置，需导入续订授权后重启恢复。如过期时间较长会影响业务正常访问。 建议：过期后还请尽快续订，如不续订，还请解绑弹性IP至业务主机，防止出现业务影响。 N100如何创建管理员用户？ 要创建管理员用户，请登录N100的Web管理页面，导航到系统设备管理选项，然后选择管理员管理。在此处，您可以新建管理员用户，分配唯一用户名和强密码，以及为其分配适当的角色和权限。 注意 创建管理员用户涉及系统权限，因此确保定期审计管理员用户，启用多因素身份验证，并使用最小权限原则来降低管理上的风险。 N100是否满足三权分离？ 三权分离用于确保权力不会集中在一个单一的实体或个人手中，以防止滥用权力、促进监督和平衡，从而维护公共机构的透明性和效力。在信息安全领域，三权分离原则通常应用于管理系统和数据的访问和操作，以保护网络安全和防止内部滥用权力。 N100提供内置的管理员、操作员和审计员权限，允许实现三权分离。您可以登录N100的Web管理页面，导航到系统设备管理选项，然后选择管理员管理并分配相应权限，以确保合适的角色和职责，但需要定期审计和管理用户权限，以最大程度地减少潜在的管理上风险。

本节介绍如何对服务器资产进行分组管理。 业务分组管理功能采用树状结构对企业组织架构进行管理，支持创建、编辑、删除、移动等操作。 说明 “全部服务器”为根目录，展示全网服务器数量，根目录不支持修改。 根目录下默认的“未分组”目录，展示没有被纳入分组的资产，“未分组”目录不可修改。 支持在根目录下创建二级分组。二级分组下最多支持创建5层级子分组（包含二级分组），同层级下创建分组数没有限制，每层级主机数没有限制。 创建分组 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“资产管理 > 服务器列表”，进入服务器列表页面。 3. 创建二级分组：单击业务分组检索框右侧的“+”按钮，弹出新建业务组窗口。 配置业务组名称和备注，单击“确认”，完成创建。 4. 创建子分组：鼠标悬停在任意分组时，可以看到操作按钮，单击“+”按钮，弹出新建业务组窗口。 配置业务组名称和备注，单击“确认”，完成创建。 移动分组 服务器资产默认在“未分组”目录下，用户可根据实际情况对服务器所在分组进行调整。 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“资产管理 > 服务器列表”，进入服务器列表页面。 3. 找到需要移动分组的服务器，勾选服务器前的复选框，单击列表上方的“移动分组”。 4. 在弹出的移动业务分组窗口中，选择目标分组，单击“移动到此”。

本节介绍如何添加网络策略。 添加策略 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“网络安全 > 策略管理”，进入策略管理页面。 3. 单击策略列表右上方的“添加策略”，即可进入添加访问策略页面。 添加NetworkPolicy策略 添加OVS策略 添加IPtables策略 NetworkPolicy 基本信息：策略名称（必填）、描述 策略执行对象：命名空间、Pod选择器（可新增或删除） 规则设置：出/入站规则设置里，支持允许、拒绝和自定义三种选项，自定义规则可对访问目标和端口进行设置，也可对访问目标和端口进行添加和删除。 OVS策略 基本信息：策略名称（必填）、描述。 访问设置：访问源/目标类型，访问源/目标对象。 协议&端口设置：协议类型和端口。 Iptables策略 基本信息：策略名称（必填）、描述。 访问设置：访问源/目标类型，访问源/目标对象。 协议&端口设置：协议类型、端口、处理方式、策略优先级（数字越大优先级越高，最小优先级为1）。 预发布策略 1. 相关的访问策略配置完成后，单击页面右下方的“预发布”按钮来测试发布情况。 触发预发布策略的访问请求不会直接被阻断，系统将自动发送报警，避免直接保存并发布策略可能会影响到正在运行的业务。 2. 单击“预发布”按钮完成添加后，返回至策略列表，可见新添加的策略的发布状态。

本页为您介绍数据库专家服务产品涉及的相关术语。 数据库专家服务 数据库专家服务是由天翼云数据库专家团队为客户提供的数据库安装部署、健康巡检、应急响应、性能调优、架构规划设计、数据迁移咨询、备份恢复咨询等各类数据库专业服务，解决客户的数据库各类问题，为客户的数据库系统保驾护航。 数据库安装部署 天翼云数据库专家服务团队为客户提供的数据库安装部署服务，具体包含如下内容： 合理安装数据库、中间件软件（其中安装主机、软件安装包需要您提供）。 根据应用系统创建合适的数据库。 根据应用系统的要求分配数据空间。 设置合理的数据库运行参数。 检查和设置数据库用户的安全性和访问的安全性。 设置数据库的监听程序。 提供完善的数据库、中间件安装报告。 根据实际情况提供数据库、中间件的配置调整。 数据库健康巡检 天翼云数据库专家服务团队针对客户数据库和相关组件运行健康状况提供的检查服务，对数据库和中间件系统的性能情况进行深度分析，及时发现生产数据库已经存在的或潜在的问题；根据巡检结果，提交巡检报告和改善建议，并配合完成改善工作。 数据库应急响应 天翼云数据库专家服务团队针对客户数据库紧急故障提供的服务，服务内容包括：对紧急故障进行故障原因分析，制定故障解决方案，并最终排除故障。对于故障处理，遵循记录、分析、处理、解决的闭环处理方法，以找到故障根源、避免或预防二次故障为最终解决的标准。

本章节主要介绍数据治理中心的管理Agent功能。 对于HDFS和关系型数据库类型的数据源，不方便暴露节点的场景，可选择在源端网络中部署Agent。CDM通过Agent拉取客户内部数据源的数据，但不支持写入数据。Agent的使用流程详见下图 前提条件 已具备CDM集群。 新建Agent 1.进入CDM主界面，单击左侧导航上的“集群管理”，选择集群后的“作业管理 > Agent管理 > 新建Agent”，配置Agent相关信息。 详见下图：配置Agent IP地址：配置为源端网络中部署Agent的IP地址。 端口：Agent自定义的端口。建议范围：1024~65535。 启用压缩：是否对数据使用gzip算法进行压缩传输。 −对于文本数据（基于字符编码的数据，例如MySQL的INT等数据类型，详见相关数据库的说明文档），建议开启此选项，gzip压缩可以达到较好的压缩效果。 −对于二进制数据（基于值编码的数据，例如MySQL的BINARY等数据类型，详见相关数据库的说明文档），由于其本身已经压缩过，不推荐再开启gzip压缩，压缩后可能会导致压缩效果较差，同时会增大客户端解压缩的压力，带来不必要的性能损耗。 启用SSL：是否启用SSL双向认证，保证数据的安全性。如果对安全性要求较高，则可以开启SSL。 限流：设置agent的最大下行速率，默认不限流。 2.单击“确定”，完成Agent的创建。在Agent管理页面可查看已成功创建的Agent。

本节主要介绍包年/包月。 包年/包月是一种先付费再使用的计费模式，适用于对资源需求稳定且希望降低成本的用户。通过选择包年/包月的计费模式，您可以预先购买云数据库GaussDB并获得一定程度的价格优惠。本文将介绍包年/包月云数据库GaussDB的计费规则。 适用场景 包年/包月计费模式需要用户预先支付一定时长的费用，适用于长期、稳定的业务需求。以下是一些适用于包年/包月计费模式的业务场景： 稳定业务需求：对于长期运行且资源需求相对稳定的业务，如企业官网、在线商城、博客等，包年/包月计费模式能提供较高的成本效益。 长期项目：对于周期较长的项目，如科研项目、大型活动策划等，包年/包月计费模式可以确保在整个项目周期内资源的稳定使用。 业务高峰预测：如果能预测到业务高峰期，如电商促销季、节假日等，可提前购买包年/包月资源以应对高峰期的需求，避免资源紧张。 数据安全要求高：对于对数据安全性要求较高的业务，包年/包月计费模式可确保资源的持续使用，降低因资源欠费而导致的数据安全风险。 适用计费项 包年/包月包含以下计费项。 表 适用计费项 计费项 说明 数据库实例 GaussDB实例对CN、DN节点进行收费，管理节点CMS、GTM不收费。 数据库存储 对数据库存储空间进行计费，包年/包月计费方式的存储空间如果超过当前容量，超出的部分将按需计费。 备份存储（可选） GaussDB提供了部分免费存储空间，用于存放您的备份数据，其总容量约为您购买存储容量的100%。备份存储用量超过数据库存储空间的100%，超出部分将按照备份计费标准收费，计费方式为按需计费（每小时扣费一次），不足一小时按照实际使用时长收费。 公网带宽 GaussDB实例支持公网访问，公网访问会产生带宽流量费；GaussDB数据库实例在云内部网络产生的流量不计费。 假设您计划购买规格为8 vCPUs 64GB、1分片、3副本、1个协调节点，存储空间为160GB的分布式版云数据库GaussDB，购买周期为一个月。在购买数据库实例页面底部，您将看到所需费用，如下图所示。 图 配置费用示例 说明 备份空间费用，使用后按照统一标准计费，购买时不包含在配置费用中。

本章节主要介绍翼MapReduce集群组件使用规则。 当前，翼MR产品不支持Hive元数据库使用内置MySQL类型。内置MySQL不具备生产运行所需要的高可用、高安全性，且该方式缺乏有效的技术保障能力，客户需要为此承担不必要的业务风险。 在翼MR集群开通的流程中，基于上述产品考量，不开放相关选配功能，默认推荐客户预先开通好天翼云成熟的数据库产品关系数据库MySQL版（CTRDS MySQL）作为Hive服务的元数据库。

介绍分布式消息服务Kafka修改用户的功能操作内容。 场景描述 当前主要支持重置用户密码：当用户忘记密码或需要更改密码时，可以通过修改用户密码来实现。这有助于保护用户账户的安全性，防止未经授权的访问和操作。 操作步骤 （1）登录管理控制台。 （2）进入Kafka管理控制台。 （3）在实例列表页在操作列，目标实例行点击“管理”。 （4）点击“用户管理”后进入应用用户管理页面，点击“修改”。 （5）点击“修改”后，在弹窗中可以修改密码和对应描述。

本章节主要介绍创建CDM集群。 CDM采用独立集群的方式为用户提供安全可靠的数据迁移服务，各集群之间相互隔离，不可相互访问。 CDM集群可用于如下场景： 用于创建并运行数据迁移作业。 作为管理中心组件连接数据湖时的Agent代理。 DataArts Studio实例中不包含CDM集群，如果您需要使用数据集成的功能，请参考用户指南中的“准备工作 > （可选）创建DataArts Studio增量包”章节，创建批量数据迁移集群。

本页介绍了国产万维信SSL证书产品的优势。 万维信SSL证书由上海CA自主研发，符合国际、国内标准，客户信息和审核数据不出境，全网信任，确保用户信息数据安全。 一次提交资料，即可支持国际RSA / ECC、国密SM2双算法证书颁发。 万维信SSL证书支持国内OCSP、CRL查询，后台服务均通过国内网络优化，确保网络系统运行稳定。 拥有集销售、客服、技术、研发为一体的原厂服务团队，提供7×24小时全年无休的服务，及时响应用户需求。

本节介绍了专属云（存储独享型）的产品优势。 存储专享 存储资源独享，保证高读写性能，且保证数据安全与合规性，为您提供VIP级别的存储服务。 特性丰富 支持共享云硬盘、云硬盘备份、云主机备份、快照等功能，满足不同业务场景的需求。 场景丰富 灵活对接弹性云主机、物理机服务以及专属云（计算独享型）服务等。 高性能 采用分布式存储架构，可平滑扩展，性能线性增长，为业务提供高吞吐、高并发的存储能力。

本章节介绍数据库安全费用账单 费用账单 账单上报周期 包年/包月计费模式的资源完成支付后，会实时上报一条账单到计费系统进行结算。 查看指定资源的账单 1. 登陆管理中心，进入管理中心界面。 2. 选择账单管理，点击“账单管理”，可以查看最近时间内的消费情况。 3. 选择账单管理，点击“流水账单”，输入产品名称可以查看流水账单。 4. 选择账单管理，点击“账单详情”，输入产品名称可以查看账单详情。

如何配置网络ACL出规则？ 方案一： 放通网络ACL所有出站流量，此方案能保证集群正常创建与使用，优先建议使用此方案。 方案二： 放通保证集群创建成功的最小出规则，此方案可能在后续使用中因出方向规则遗漏导致集群使用问题，不建议使用方案。若出现集群使用问题请联系运维人员支撑处理。 配置示例：参照方案一中示例，配置策略为“允许”，目的地址为通信安全授权地址、NTP、OBS、Openstack及DNS地址的出方向规则。

本章节主要介绍修改操作系统用户密码。 操作场景 该任务指导用户定期修改MRS集群节点操作系统用户“omm”、“ommdba”、"root"的登录密码，以提升系统运维安全性。 各节点“omm”、“ommdba”、"root"无需设置为统一的密码。 操作步骤 登录Master1节点，然后登录要修改操作系统用户密码的其他节点。 1. 执行以下命令切换到用户。 sudo su root 执行如下命令，修改omm/ommdba/root用户密码。 passwd omm passwd ommdba passwd root 例如omm：passwd，系统显示： Changing password for user omm. New password: 输入用户的新密码。操作系统的密码修改策略由用户实际使用的操作系统类型决定。 Retype new password: passwd: all authentication tokens updated successfully. 说明 MRS集群默认密码复杂度要求： 密码字符长度至少8位。 至少需要包含大写字母、小写字母、数字、空格、特殊字符'~!@$%^&()+[{}];:'", /?中的3种类型字符。 重置的密码不能是最近5次使用过的密码。

本章节主要介绍修改Kerberos管理员密码。 操作场景 该任务指导用户定期修改MRS集群Kerberos管理员“kadmin”的密码，以提升系统运维安全性。 修改该密码会导致已经下载的用户凭证不可用，请修改该密码后重新下载认证凭据并替换旧凭据。 前提条件 已在Master1节点准备客户端。 操作步骤 登录Master1节点。 1. （可选）若想要使用omm用户修改密码，请执行以下命令切换用户。 sudo su omm 2. 执行以下命令，切换到客户端目录，例如“/opt/client”。 cd /opt/client 3. 执行以下命令，配置环境变量。 source bigdataenv 4. 执行以下命令，修改kadmin/admin密码。此操作对所有服务器生效。 kpasswd kadmin/admin 集群中，默认的密码复杂度要求： 密码字符长度至少8位。 至少需要包含大写字母、小写字母、数字、空格、特殊字符'~!@$%^&()+[{}];:'", /?中的3种类型字符。 不能与用户名或倒序的用户名相同。

本章主要介绍翼MapReduce的修改OMS数据库管理员密码功能。 操作场景 建议管理员定期修改OMS数据库管理员的密码，以提升系统运维安全性。 操作步骤 1.以root用户登录主管理节点。 说明 ommdba用户密码不支持在备管理节点修改，否则集群无法正常工作。只需在主管理节点执行修改操作，无需在备管理节点操作。 2.执行以下命令，切换用户。 su omm 3.执行以下命令，切换目录。 cd $OMSRUNPATH/tools 4.执行以下命令，修改ommdba用户密码。 moddbpasswd ommdba 5.输入ommdba的原密码后，再输入两次新密码。 密码复杂度要求： 密码字符长度为16～32位。 至少需要包含大写字母、小写字母、数字、特殊字符~!@$%^&()+[{}];", /?中的3种类型字符。 不可和用户名相同或用户名的倒序字符相同。 不可与前20个历史密码相同。 显示如下结果，说明修改成功： Congratulations, update [ommdba] password successfully.

本文为您介绍IAM授权与企业项目授权的区别。 IAM授权是指授权范围在具体资源池或全局的授权关系。可以在授权管理、用户组或用户中查看IAM授权关系。 企业项目授权是指在企业项目上，设置用户组和设置策略后形成的授权关系。只能在企业项目下，通过查看用户组的关联策略，查看企业项目授权关系。 IAM授权与企业项目授权的区别 支持的服务 IAM授权支持的服务，可以参考使用IAM授权的云服务。 企业项目授权支持的云服务及对应资源类型请以控制台界面显示为准。 进入“企业项目管理”页面，在企业项目列表中单击任一企业项目操作列的“查看资源”，系统进入企业项目详情页面，在“资源”页签下可查看企业项目支持的服务及其对应资源类型等信息。此处展示的服务代表支持进行企业项目授权。 资源隔离 IAM授权时，支持通过资源池隔离授权（对于作用范围时资源池级别的策略）和资源路径实现资源隔离（对于支持策略中使用资源路径“Resource”字段进行资源隔离的云服务） 企业项目授权时，支持通过创建企业项目，隔离企业不同项目之间的资源，企业项目的资源隔离效果不受物理资源池的限制，可以实现子用户仅能看到不同资源池上部分资源的效果。 授权覆盖 相同Action时，IAM授权的优先级高于企业项目授权，会表现出授权覆盖的鉴权结果。例如，用户组1在IAM中授权了允许创建云主机，在企业项目A上授权了拒绝创建云主机，那么对于一台华东1的云主机，如果这台云主机位于企业项目A下，此时用户组1的用户进行创建云主机的操作时，鉴权结果为Allow，因为IAM授权在相同Action下优先级高于企业项目授权。 用户组1在华东1资源池上的IAM授权策略中包含以下Action： plaintext 用户组1在华东1资源池上的IAM授权策略中包含以下Action： { "Action": [ "ecs:cloudServers:create" ], "Effect": "Allow" } 用户组1在企业项目A的授权策略中包含以下Action： { "Action": [ "ecs:cloudServers:create" ], "Effect": "Deny" } 同理，将IAM和企业项目中的策略更换为以下的形式，在相同情境下，鉴权结果为Deny。 plaintext 用户组1在华东1资源池上的IAM授权策略中包含以下Action： { "Action": [ "ecs:cloudServers:create" ], "Effect": "Deny" } 用户组1在企业项目A的授权策略中包含以下Action： { "Action": [ "ecs:cloudServers:create" ], "Effect": "Allow" } 此外，对于相同Action，IAM授权的范围也会覆盖企业项目的授权范围。例如，华东1资源池上有云主机a和云主机b，云主机资源a属于企业项目A，云主机资源b属于企业项目B。此时，如果用户组仅存在下列授权，没有在企业项目B上进行授权，用户组1下的子用户仍然可以看见企业项目B下的云主机b，这是因为华东1资源池上存在相同Action的读取权限，鉴权时优先判断该用户能够查看华东1上的所有资源（云主机a和云主机b），覆盖了企业项目的资源隔离效果。 plaintext 用户组1在华东1资源池上的IAM授权策略中包含以下Action： { "Action": [ " ecs:cloudServers:list" ], "Effect": "Allow" } 用户组1在企业项目A的授权策略中包含以下Action： { "Action": [ " ecs:cloudServers:list" ], "Effect": "Allow" } 而如果策略中包含不同的Action，则IAM和企业项目的授权都生效，以下示例表示用户可以在企业项目A上创建云主机，也可以在华东1资源池上查看云主机安全组列表。 plaintext 用户组1在华东1资源池上的IAM授权策略中包含以下Action： { "Action": [ " ecs:ServersGroups:list" ], "Effect": "Allow" } 用户组1在企业项目A的授权策略中包含以下Action： { "Action": [ "ecs:cloudServers:create" ], "Effect": "Allow" }

本节介绍如何在云审计服务管理控制台查看或导出最近7天的操作记录。 场景描述 云审计服务能够为您提供云服务资源的操作记录，记录的信息包括发起操作的用户身份、IP地址、具体的操作内容的信息，以及操作返回的响应信息。根据这些操作记录，您可以很方便地实现安全审计、问题跟踪、资源定位，帮助您更好地规划和利用已有资源、甄别违规或高危操作。 什么是事件 事件即云审计服务追踪并保存的云服务资源的操作日志，操作包括用户对云服务资源新增、修改、删除等操作。您可以通过“事件”了解到谁在什么时间对系统哪些资源做了什么操作。 约束与限制 用户通过云审计控制台只能查询最近7天的操作记录，过期自动删除，不支持人工删除。如果需要查询超过7天的操作记录，您必须配置转储到对象存储服务（OBS）或云日志服务（LTS），才可在OBS桶或LTS日志组里面查看历史事件信息。否则，您将无法追溯7天以前的操作记录。 用户对云服务资源做出创建、修改、删除等操作后，1分钟内可以通过云审计控制台查询管理类事件操作记录，5分钟后才可通过云审计控制台查询数据类事件操作记录。 在CTS查看审计事件 1. 登录控制台，单击左上角，选择“管理与部署 > 云审计服务 CTS”，进入云审计服务页面。 2. 单击左侧导航栏的“事件列表”，进入事件列表信息页面。 3. 在页面右上方，可以通过筛选时间范围，查询最近1小时、最近1天、最近1周的操作事件，也可以自定义最近7天内任意时间段的操作事件。 4. 事件列表支持通过筛选来查询对应的操作事件。 参数名称 说明 事件类型 事件类型分为“管理事件”和“数据事件”。 管理类事件，即用户对云服务资源新建、修改、删除等操作事件。 数据类事件，即OBS服务上报的OBS桶中的数据的操作事件，例如上传数据、下载数据等。 云服务 在下拉选项中，选择触发操作事件的云服务名称。 资源类型 在下拉选项中，选择操作事件涉及的资源类型。 支持的资源类型请参见“支持云审计的CFW操作列表”。 筛选类型 筛选类型分为“资源ID”、“事件名称”和“资源名称”。 资源ID：操作事件涉及的云资源ID。 当该资源类型无资源ID，或资源创建失败时，该字段为空。 事件名称：操作事件的名称。 支持审计的操作事件的名称请参见“支持云审计的CFW操作列表”。 资源名称：操作事件涉及的云资源名称。 当事件所涉及的云资源无资源名称，或对应的API接口操作不涉及资源名称参数时，该字段为空。 操作用户 触发事件的操作用户。 下拉选项中选择一个或多个操作用户。 查看事件中的tracetype的值为“SystemAction”时，表示本次操作由服务内部触发，该条事件对应的操作用户可能为空。 事件级别 可选项包含“所有事件级别”、“Normal”、“Warning”、“Incident”，只可选择其中一项。 Normal代表操作成功。 Warning代表操作失败。 Incident代表比操作失败更严重的情况，如引起其他故障等。 5. 选择完查询条件后，单击“查询”。 6. 在事件列表页面，您还可以导出操作记录文件和刷新列表。 单击“导出”按钮，云审计服务会将查询结果以CSV格式的表格文件导出，该CSV文件包含了本次查询结果的所有事件，且最多导出5000条信息。 单击按钮，可以获取到事件操作记录的最新信息。 7. 在需要查看的事件左侧，单击展开该记录的详细信息。 8. 在需要查看的记录右侧，单击“查看事件”，会弹出一个窗口显示该操作事件结构的详细信息。

本章节主要介绍WAF权限及授权项。 如果您需要对您所拥有的WAF进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，IAM），如果登录账号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用WAF服务的其它功能。 默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略或角色，才能使用户组中的用户获得相应的权限，这一过程称为授权。授权后，用户就可以基于已有权限对云服务进行操作。 权限根据授权的精细程度，分为角色和策略。角色以服务为粒度，是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。策略授权更加精细，可以精确到某个操作、资源和条件，能够满足企业对权限最小化的安全管控要求。 支持的授权项 策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。 权限：允许或拒绝某项操作。 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。 权限 授权项 :: 查询防敏感信息泄漏规则 waf:antiLeakageRule:get 查询网页防篡改规则 waf:antiTamperRule:get 查询CC攻击防护规则 waf:ccRule:get 查询精准访问防护规则 waf:preciseProtectionRule:get 查询误报屏蔽规则 waf:falseAlarmMaskRule:get 查询隐私屏蔽规则 waf:privacyRule:get 查询黑白名单规则 waf:whiteBlackIpRule:get 查询地址位置访问控制规则 waf:geoIpRule:get 查询证书 waf:certificate:get 修改WAF证书 waf:certificate:put 查询防护事件 waf:event:get 查询防护域名 waf:instance:get 查询防护策略 waf:policy:get 查询用户套餐信息 waf:bundle:get 查询防护事件下载链接 waf:dumpEventLink:get 查询页面配置信息 waf:consoleConfig:get 查询回源IP段 waf:sourceIp:get 更新防敏感信息泄漏规则 waf:antiLeakageRule:put 更新网页防篡改规则 waf:antiTamperRule:put 更新CC攻击防护规则 waf:ccRuleRule:put 更新精准访问防护规则 waf:preciseProtectionRule:put 更新误报屏蔽规则 waf:falseAlarmMaskRule:put 更新隐私屏蔽规则 waf:privacyRule:put 更新黑白名单规则 waf:whiteBlackIpRule:put 更新地址位置访问控制规则 waf:geoIpRule:put 更新防护域名 waf:instance:put 更新防护策略 waf:policy:put 删除防敏感信息泄漏规则 waf:antiLeakageRule:delete 删除网页防篡改规则 waf:antiTamperRule:delete 删除CC攻击防护规则 waf:ccRule:delete 删除精准访问防护规则 waf:preciseProtectionRule:delete 删除误报屏蔽规则 waf:falseAlarmMaskRule:delete 删除隐私屏蔽规则 waf:privacyRule:delete 删除黑白名单规则 waf:whiteBlackIpRule:delete 删除地址位置访问控制规则 waf:geoIpRule:delete 删除防护域名 waf:instance:delete 删除防护策略 waf:policy:delete 创建防敏感信息泄漏规则 waf:antiLeakageRule:create 创建网页防篡改规则 waf:antiTamperRule:create 创建CC攻击防护规则 waf:ccRule:create 创建精准访问防护规则 waf:preciseProtectionRule:create 创建误报屏蔽规则 waf:falseAlarmMaskRule:create 创建隐私屏蔽规则 waf:privacyRule:create 创建黑白名单规则 waf:whiteBlackIpRule:create 创建地址位置访问控制规则 waf:geoIpRule:create 创建证书 waf:certificate:create 创建防护域名 waf:instance:create 创建防护策略 waf:policy:create 查询防敏感信息泄漏规则列表 waf:antiLeakageRule:list 查询网页防篡改规则列表 waf:antiTamperRule:list 查询CC攻击防护规则列表 waf:ccRuleRule:list 查询精准访问防护规则列表 waf:preciseProtectionRule:list 查询误报屏蔽规则列表 waf:falseAlarmMaskRule:list 查询隐私屏蔽规则列表 waf:privacyRule:list 查询黑白名单规则列表 waf:whiteBlackIpRule:list 查询地址位置访问控制规则列表 waf:geoIpRule:list 查询防护域名列表 waf:instance:list 查询防护策略列表 waf:policy:list 查询独享引擎实例列表 waf:premiumInstance:list 查询独享引擎 waf:premiumInstance:get 创建独享引擎实例 waf:premiumInstance:create 删除独享引擎实例 waf:premiumInstance:delete 更新独享引擎 waf:premiumInstance:put

本节介绍漏洞扫描的使用约束。 网站扫描域名/IP VSS是通过公网访问域名/IP地址进行扫描的，请确保该目标域名/IP地址能通过公网正常访问。 扫描IP加入网站扫描白名单 如果您的网站设置了防火墙或其他安全策略，将导致VSS的扫描IP被当成恶意攻击者而误拦截。因此，在使用VSS前，请您将以下VSS的扫描IP添加至网站访问的白名单中：114.217.39.79，222.93.127.109。

本页介绍了文档数据库服务自定义角色。 文档数据库服务支持用户自定义角色，可以根据需要创建和配置自己的角色，并根据这些角色为用户分配特定的权限和功能。自定义角色可以帮助管理员更好地管理文档数据库服务实例或集群，并提高安全性。 创建自定义角色需要使用 createRole 命令或 db.createRole() 方法，并指定角色的名称、权限和其他属性，具体操作请参见管理角色。

本文介绍事件总线EventBridge的产品优势。 可用性 支持高吞吐量的事件发布和消费。 支持服务Serverless化和自动弹性伸缩，轻松应对突发流量。 支持无状态实例，节点异常对服务无影响，服务可用性高。 易用性 支持无缝迁移上云，完全兼容CloudEvents 1.0。 支持多种访问方式，包括控制台与CloudEvents SDK。 支持接入多种应用程序，包括天翼云服务和自定义应用。 安全性 对接统一身份认证服务，支持通过天翼云账号向RAM用户授权。 支持HTTP/HTTPS协议。

本章节主要介绍修改OMS数据库管理员密码。 操作场景 该任务指导用户定期修改OMS数据库管理员的密码，以提升系统运维安全性。 操作步骤 登录主管理节点。 说明 ommdba用户密码不支持在备管理节点修改，否则集群无法正常工作。只需在主管理节点执行修改操作，无需在备管理节点操作。 1. 执行以下命令，切换用户。 sudo su omm 2. 执行以下命令，切换目录。 cd $OMSRUNPATH/tools 3. 执行以下命令，修改ommdba用户密码。 moddbpasswd ommdba 4. 输入ommdba的原密码后，再输入两次新密码。 密码复杂度要求： 密码字符长度为16～32位。 至少需要包含大写字母、小写字母、数字、特殊字符~!@$%^&()+[{}];:", /?中的3种类型字符。 不能与用户名或倒序用户名相同。 不可与前20个历史密码相同。 显示如下结果，说明修改成功： Congratulations, update [ommdba] password successfully.

本章主要介绍翼MapReduce的修改OMS Kerberos管理员密码功能。 操作场景 管理员应定期修改OMS Kerberos管理员“kadmin”的密码，以提升系统运维安全性。 修改此用户密码将同步修改Kerberos管理员密码。 操作步骤 1. 以omm用户登录任意管理节点。 2. 执行以下命令，切换到目录。 cd ${BIGDATAHOME}/omserver/om/meta0.0.1SNAPSHOT/kerberos/scripts 3. 执行以下命令，配置环境变量。 source componentenv 4. 执行以下命令，修改kadmin/admin密码。此操作对所有服务器生效。 kpasswd kadmin/admin 默认密码复杂度要求： 密码字符长度最小为8位。 至少需要包含大写字母、小写字母、数字、特殊字符~!?,.;'(){}[]/<>@$%^&+中的4种类型字符。 不可和用户名相同或用户名的倒序字符相同。 不可以为常见的易破解密码，例如Admin@12345。 不可与最近N次使用过的密码相同，N为密码策略配置中“重复使用规则”的值。

文件删除或覆盖后是否能恢复？ 若未开启桶的多版本管理功能，一旦已删除或覆盖后的文件不可恢复。因此，在这种情况下，建议您在删除前谨慎操作，并定期备份重要的数据以防止意外丢失。 多版本管理功能可以帮助您应对意外删除操作或其他数据问题。您可以通过在桶设置中启用多版本管理功能来实现此功能，以便在需要时能够更轻松地还原和恢复数据。若已开启桶的多版本管理功能，您可以保留多个版本的对象，并能够基于需要进行检索和恢复操作。在这种情况下，当一个文件被删除或覆盖时，它会成为历史版本而不是被彻底删除，您可以根据需要来恢复具体的文件。具体操作请参考恢复文件。 可以上传超过5GB的单个文件吗？如何操作？ 控制台上传文件限制单次最多支持100个文件上传，单个文件限制最大为5GB。若要上传超过5GB的文件，可以采用SDK进行上传。 对象存储是否支持对象加密上传？ 对象存储支持对象加密上传。当桶开启服务端加密后，上传到该桶中的对象会以加密方式存储。具体而言，上传的数据会在服务端进行加密，被加密后的数据以密文形式存储在对象存储系统中。具体操作请参考服务端加密。 当用户下载加密对象时，存储的密文会在服务端进行解密，然后以明文形式提供给用户。这样可以确保在数据传输过程中的安全性，保护数据不被未授权的访问者获取。 请注意，在使用ZOS进行对象加密时，务必妥善管理加密密钥，以确保数据的安全性和可靠性。

本文主要介绍通用类 问题 什么是容器镜像服务 容器镜像服务（SoftWare Repository for Container，简称SWR）是一种支持容器镜像全生命周期管理的服务，提供简单易用、安全可靠的镜像管理功能，帮助用户快速部署容器化服务。 什么是组织？ 组织用于隔离镜像仓库，每个组织可对应一个公司或部门，将其拥有的镜像集中在该组织下。 同一用户可属于不同的组织。容器镜像服务支持为组织中不同用户分配相应的访问权限（读取、编辑、管理）。 容器镜像服务是否收费？ 容器镜像服务暂不收费，目前可免费使用。 SWR最多能存储多少个镜像？ SWR目前对上传的镜像数量没有限制，您可以根据需要上传镜像。 容器镜像服务的带宽多大？ 容器镜像服务的带宽会根据用户使用情况动态变化。 容器镜像服务的配额是多少？ 容器镜像服务对镜像数量没有配额限制，您可以根据需要上传镜像。 容器镜像服务对单个用户的组织数量限定了配额。如您需要添加更多的组织，请提交工单申请。 表 容器镜像服务配额 资源类型 配额 组织 5 长期有效的登录指令与临时登录指令的区别是什么？ 临时的登录指令代指6个小时后会过期失效，不能再被使用的登录指令。可应用在临时使用，对外单次授权等场景中，对安全性要求较高的生产集群也可通过定时刷新的方式进行使用。 长期有效的登录指令有效期为永久。可应用在前期测试、CICD流水线及容器集群拉取镜像等场景中。 获取了长期有效的登录指令后，在有效期内的临时登录指令仍然可以使用。 长期有效的登录指令与临时登录指令均不受限制，可以多台机器多人同时登录。

本节介绍了什么是云硬盘、产品优势及云硬盘、弹性文件服务、对象存储服务的区别。 云硬盘简介 云硬盘（EVS，Elastic Volume Service）可以为云上计算资源提供高可靠、高性能、规格丰富并且可弹性扩展的块存储服务，可满足不同场景的业务需求，适用于分布式文件系统、开发测试、数据仓库以及高性能计算等场景。云上计算包括弹性云主机和物理机。 云硬盘简称为磁盘，本文档中也会用磁盘来表示云硬盘。 图1 云硬盘架构 产品优势 云硬盘为云主机提供规格丰富、安全可靠、可弹性扩展的硬盘资源，具体功能特性如下： 规格丰富 EVS提供多种规格的云硬盘，可挂载至云主机用作数据盘和系统盘，您可以根据业务需求及预算选择合适的云硬盘。 弹性扩展 您可以创建的单个云硬盘最小容量为10 GB，最大容量为 32 TB，即，10 GB ≤ 云硬盘容量 ≤ 32 TB。若您已有的云硬盘容量不足以满足业务增长对数据存储空间的需求，您可以根据需求进行扩容，最小扩容步长为1GB，单个云硬盘最大可扩容至32 TB。 扩容云硬盘时还会受容量总配额影响，系统会显示您当前的剩余容量配额，新扩容的容量不能超过剩余容量配额。您可以申请足够的配额满足业务需求。 安全可靠 云硬盘支持备份、快照等数据冗余备份功能，为存储在云硬盘中的数据提供可靠保障，防止应用异常、黑客攻击等情况造成的数据错误。 实时监控 配合云监控（Cloud Eye），帮助您随时掌握云硬盘健康状态，了解云硬盘运行状况。

如何选择数据库安全的Agent安装节点 数据库安全审计的Agent可以安装在数据库端、应用端和代理端。建议您按“数据库端 > 应用端 > 代理端”优先级顺序选择Agent的安装节点。 在各节点上安装Agent的详细说明如表所示。 Agent安装节点 使用场景 审计功能说明 注意事项 数据库端 ECS/BMS自建数据库 可以审计所有访问该数据库的应用端的所有访问记录。 添加Agent时，“安装节点类型”选择“数据库端”。 应用端 无法登录到数据库节点的部署环境（例如，RDS关系型数据库） 可以审计该应用端与其连接的所有数据库的访问记录。 l 添加Agent时，“安装节点类型”选择“应用端”，如图410所示。 l 当某个应用端连接了多个数据库时，如果该应用端的某个数据库已在应用端添加了Agent。其他数据库在添加Agent时，只需要选择“选择已有Agent”添加方式。 代理端 无法登录到数据库节点，且不能在应用端安装Agent的部署环境（例如，RDS关系型数据库且应用端在云下） 只能审计代理与后端数据库之间的访问记录，无法审计应用端与后端数据库的访问记录。 添加Agent时，需要将该代理端作为应用端，即“安装节点类型”选择“应用端”，且“安装节点IP”需要配置为该代理的IP地址。 添加Agent方式说明 在数据库端添加Agent 在应用端添加Agent

对比维度 云主机备份 云硬盘备份 备份/恢复对象 云主机中的所有云硬盘（系统盘和数据盘） 指定的单个或多个磁盘（系统盘或数据盘） 推荐场景 需要对整个云主机进行保护 系统盘没有个人数据，因而只需要对部分的数据盘进行备份 优势 备份的同一个云主机下的所有磁盘数据具有一致性，即同时对所有云硬盘进行备份，不存在因备份创建时间差带来的数据不一致问题 保证数据安全的同时降低备份成本

对比维度 云主机备份 云硬盘备份 备份/恢复对象 云主机中的所有云硬盘（系统盘和数据盘） 指定的单个或多个磁盘（系统盘或数据盘） 推荐场景 需要对整个云主机进行保护 系统盘没有个人数据，因而只需要对部分的数据盘进行备份 优势 备份的同一个云主机下的所有磁盘数据具有一致性，即同时对所有云硬盘进行备份，不存在因备份创建时间差带来的数据不一致问题 保证数据安全的同时降低备份成本

为加强HBlock的安全性，可通过配置防火墙权限，限制iSCSI端口（如iSCSI端口为3260）的访问来源 IP。请参考以下步骤操作: 1. 开启防火墙：systemctl start firewalld。 2. 配置允许 IP 对于IPv4地址：firewallcmd permanent addrichrule"rule familyipv4 source address IP port protocoltcp port3260 accept"。 对于IPv6地址：firewallcmd permanent addrichrule"rule familyipv6 source address IP port protocoltcp port3260 accept"。 3. 重启防火墙：firewallcmd reload。 4. 开机自动启动：systemctl enable firewalld.service。

操作步骤 1. 在顶部导航栏选择“库管理”，在对象列表页签下选择“视图”，在右侧操作栏单击“修改视图”。 2. 在编辑视图信息页面，您可对视图定义、安全性、算法等信息进行修改，单击页面中下部的“立即修改”。 3. 在确认视图定义脚本弹出框中单击“执行脚本”。 删除视图 说明 删除操作无法恢复，请谨慎选择。 操作步骤 1. 在顶部导航栏选择“库管理”，在对象列表页签下选择“视图”，在右侧操作栏单击“删除视图”。 2. 在确认删除视图弹出框中，单击“确定”。