KMS权限策略 KMS权限策略包含系统策略和自定义策略，如果系统策略不满足授权要求，您可以创建自定义策略，并 为IAM用户授予自定义策略来进行精细的访问控制。目前IAM支持以下两种方式创建自定义策略： 可视化视图：通过可视化视图创建自定义策略，无需了解JSON语法，按可视化视图导航栏选择云 服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图：通过JSON视图创建自定义策略，可以直接在编辑框内编写JSON格式的策略内容。 详细介绍请参考IAM关于策略管理的介绍。 KMS支持的授权项 密钥管理 权限 对应API接口 授权项 读写类型 创建密钥 /v1/cmkManage/createKey kms:cmk:create 写 启用密钥 /v1/cmkManage/enableKey kms:cmk:enable 写 禁用密钥 /v1/cmkManage/disableKey kms:cmk:disable 写 计划删除密钥 /v1/cmkManage/scheduleKeyDeletion kms:cmk:delete 写 取消计划删除密钥 /v1/cmkManage/cancelKeyDeletion kms:cmk:undelete 写 更新密钥描述 /v1/keyManage/updateKeyDescription kms:cmk:update 写 查看密钥列表 /v1/keyManage/listAliasKeys kms:cmk:list 读 查看密钥详情 /v1/keyManage/describeKey kms:cmk:describe 读 开启删除保护 /v1/cmkManage/scheduleKeyDeletion kms:cmk:deleteProtect 写 取消删除保护 /v1/cmkManage/cancelKeyDeletion kms:cmk:cancelDeleteProtect 写 获取导入密钥材料参数 /v1/importKey/getParametersForImport kms:cmk:getParameters 写 导入密钥材料 /v1/importKey/importKeyMaterial kms:cmk:importMaterial 写 删除密钥材料 /v1/importKey/deleteKeyMaterial kms:cmk:deleteMaterial 写 设置/更新轮转策略 /v1/versionControl/updateRotationPolicy kms:cmk:updateRotation 写 创建密钥版本 /v1/versionControl/createKeyVersion kms:cmk:createVersion 写 列出主密钥所有密钥版本 /v1/versionControl/listKeyVersions kms:cmk:listVersions 读 查看指定密钥版本信息 /v1/versionControl/describeKeyVersion kms:cmk:describeVersion 读 创建别名 /v1/keyName/createAlias kms:cmk:createAlias 写 删除别名 /v1/keyName/deleteAlias kms:cmk:deleteAlias 写 更新别名（非控制台功能） /v1/keyName/updateAlias kms:cmk:updateAlias 写 列出与指定密钥绑定的别名 /v1/keyName/listAliasByUuid kms:cmk:listAliasByUuid 读 列出所有别名（非控制台功能） /v1/keyName/listAlias kms:cmk:listAlias 读 在线加密 /v1/keyCompute/encrypt kms:cmk:encrypt 写 产品数据密钥（信封加密） /v1/keyCompute/generateDataKey kms:cmk:generateDataKey 写 产生无明文返回值的数据密钥（信封加密） /v1/keyCompute/generateDataKeyWithoutPlaintext kms:cmk:generateDataKeyWithoutPlaintext 写 导出数据密钥 /v1/keyCompute/exportDataKey kms:cmk:exportDataKey 写 产生并导出数据密钥 /v1/keyCompute/generateAndExportDataKey kms:cmk:generateAndExportDataKey 写 解密 /v1/keyCompute/decrypt kms:cmk:decrypt 写 转加密 /v1/cmkManage/reEncrypt kms:cmk:reEncrypt 写 产生数字签名 /v1/asymmetric/asymmetricSign kms:cmk:asymmetricSign 写 验证签名 /v1/asymmetric/asymmetricVerify kms:cmk:asymmetricVerify 写 非对称密钥加密 /v1/asymmetric/asymmetricEncrypt kms:cmk:asymmetricEncrypt 写 非对称密钥解密 /v1/asymmetric/asymmetricDecrypt kms:cmk:asymmetricDecrypt 写 获取非对称密钥公钥 /v1/asymmetric/getPublicKey kms:cmk:getPublicKey 写

本文将介绍如何使用边缘安全加速平台安全与加速服务的内容安全监测功能。 功能介绍 天翼云监测系统平台依托海量数据训练的先进深度学习模型，能够精准监测网页中的文本与图片元素，快速识别并提取其中的敏感内容及其所属类别。平台支持多种主流内容格式，包括txt、html、wmlc、wml、xhtml、mht等，可全面覆盖各类网站的文本与图片内容监测需求。在合规性监测方面，平台涵盖涉黄、涉毒、涉政、赌博、暴恐、邪教等关键类别，能够对网站文本和图片内容进行全方位筛查，确保网络空间的健康与安全。 支持监测的图像格式包括但不限于JPEG、GIF、PNG、BMP、TIFF、JPEG2000；支持监测的文本格式包括但不限于Big5、UTF8、GBK、GB2312。 监测任务发现页面出现敏感信息后，将第一时间通知用户。用户可参考天翼云提供的安全建议及时删除敏感内容，避免事件影响扩散，给自身带来声誉和法律风险。用户也可以自定义所关心的敏感关键词。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 开通套餐为基础版及以上版本。 监测任务配置 若您需要监测网站文本、图片内容的合规性，请先配置监测任务。 配置项 配置项说明 任务名称 支持配置任务名称，如客户名内容安全监测 检测开关 开启或关闭 检测URI 默认输入/，即监测首页。默认去问号监测，即去除URL中问号（?）及其后的所有参数部分，仅对URL的主路径部分进行监测。 检测范围 默认检测当前页面及一级链接，支持配置检测范围至七级链接 监测周期 支持配置监测周期，可选3、6、12、24小时，默认监测周期为24小时 监测项 支持配置文本监测、图片监测 文本检测可支持AI审核或规则匹配，其中AI审核支持配置审核规格为严格、宽松或自定义，自定义审核阈值支持配置0.51的值，您可根据实际审核情况来配置，阈值越低，代表审核越严格。另外支持配置白名单词库与白名单URL，在白名单范围内的信息将不进行监测。规则匹配则支持从现有的敏感词库中匹配敏感词进行监测 图片监测支持配置审核规格为严格、宽松或自定义，自定义审核阈值支持配置0.51的值，您可根据实际审核情况来配置，阈值越低，代表审核越严格。并支持配置白名单URL，白名单内的URL将不进行监测. 支持选择是否监测外链，若现在是，可检测网站引入的外链是否有内容安全风险。 告警设置 连续检测N次异常则产生通知 通知方式 即告警通知和短信通知

一级菜单 二级菜单 功能概述 基础版 企业版 旗舰版 增值服务 安全概览 查看待处理风险、防护状态、风险趋势、实时动态 ✓ ✓ ✓ 资产管理 资产概览 查看资产概况、主机概况趋势图、服务器区域统计，和账号、端口、进程、软件应用、自启动项的统计情况 不支持资产指纹统计 ✓ ✓ 资产管理 服务器列表 查看主机资产信息、安全风险等功能，支持模糊检索、筛选、开启防护、关闭防护、切换版本，方便用户快速管理服务器 ✓ ✓ ✓ 资产管理 资产指纹 查看账号、端口、进程、软件应用、自启动项、Web服务6种指纹的详细信息 仅支持采集端口和账户2种指纹信息，不支持手动资产指纹采集和资产历史变更 ✓ ✓ 风险管理 基线检测 对服务器操作系统、数据库、关键应用软件配置等进行检测，帮助用户提前识别出可能导致安全漏洞的不安全配置项。 × ✓ ✓ 风险管理 漏洞扫描 支持扫描Linux软件漏洞、Windows系统漏洞、WebCMS漏洞、应用漏洞，并提供漏洞的修复建议和一键修复功能。 仅支持扫描Win/Linux漏洞，不支持配置扫描策略，不支持一键修复 ✓ ✓ 风险管理 弱口令检测 通过与弱口令库对比，检测系统账号和应用账号口令是否属于常用的弱口令，提示用户修改不安全的口令。 × ✓ ✓ 入侵检测 告警中心 汇总所有入侵检测模块的告警信息，帮助用户快速了解整体安全告警概况 仅支持系统暴力破解、异常登录告警 ✓ ✓ 入侵检测 白名单管理 汇总所有白名单规则，可手动新增、删除白名单规则 不支持自定义白名单规则 ✓ ✓ 网页防篡改（原生版） 防护状态 查看防护的总体情况，帮助您实时掌握所有云上网站被篡改的总体态势。 × × × ✓ 网页防篡改（原生版） 防护管理 可为您账号下的云主机和物理机添加防护目录，可采用白名单或黑名单的方式进行添加。 可展示当前已添加的服务器的防护目录和备份目录，并进行添加、编辑和删除。 × × × ✓ 网页防篡改（原生版） 防护配额 展示订购配额的总体情况，同时可进行配额订购、续订和退订。 × × × ✓ 文件安全 病毒查杀 病毒查杀功能，支持对挖矿木马、蠕虫、勒索病毒等进行有效的检测，通过简单操作即可完成对病毒的处理。 × ✓ ✓ 文件安全 文件完整性保护 可实时监控主机上的文件，对创建文件、修改文件、删除文件及文件提权操作进行监控和告警。 × × ✓ 设置中心 安全配置 安全配置用于统一管理和配置各防护模块的规则、白名单等。 仅支持异常登录非常用IP登录设置。 不支持端口蜜罐、勒索诱饵防护、文件完整性保护。 ✓ 设置中心 配额管理 展示购买配额的情况 ✓ ✓ ✓ 设置中心 告警通知 发生入侵时实时发送告警通知 ✓ ✓ ✓ 设置中心 报表管理 周期性自动生成安全报表 仅周报 ✓ ✓

本节介绍了在RabbitMQ实例中如何创建、修改和删除用户。 背景信息 客户端访问分布式消息服务RabbitMQ 版服务端时，需要传入用户名和密码进行权限认证，认证通过才允许访问服务端。 操作步骤 创建用户 1.登录管理控制台。 2.进入RabbitMQ管理控制台。 3.在实例列表页在操作列，目标实例行点击“管理”。 4.点击“集群管理”后点击“用户”到达用户管理页面，点击“新建”按钮。 5.点击“新建”后出现以下画面，输入用户密码后点击“确定”即可创建。 修改用户 1.在用户管理页面，在目标用户行点击“修改”，即可重置用户密码。 删除用户 1.在用户管理页面，在目标用户行点击“删除”，即可删除用户。 获取用户token 仅云原生引擎支持 （1）登录管理控制台。 （2）进入RabbitMQ管理控制台。 （3）在实例列表页在操作列，目标实例行点击“管理”。 （4）点击“集群管理”后点击“用户”到达用户管理页面，点击“Token”按钮。 在RabbitMQ中，获取用户令牌（token）的作用如下： 认证和授权：用户令牌用于认证和授权用户对RabbitMQ的访问权限。通过获取有效的用户令牌，可以验证用户的身份，并根据其权限配置来限制或授予其对虚拟主机、队列、交换机等资源的访问权限。 安全性：通过使用用户令牌进行认证，可以增加RabbitMQ系统的安全性。只有具有有效令牌的用户才能访问和执行相应的操作，从而减少了未经授权的访问和潜在的安全风险。 资源管理：用户令牌可以用于管理和限制用户对RabbitMQ资源的使用。通过为每个用户分配独立的令牌，可以控制其对虚拟主机、队列、交换机等资源的使用情况，避免资源滥用或过度消耗。 追踪和审计：通过用户令牌，可以追踪和记录用户对RabbitMQ的操作和访问历史。这对于安全审计、故障排查和性能优化等方面非常有用，可以帮助管理员了解系统的使用情况和问题定位。 总之，获取用户令牌是为了实现认证、授权和安全性，以及对RabbitMQ资源的管理和追踪。通过令牌，可以确保只有经过授权的用户才能访问和操作RabbitMQ，提高系统的安全性和可管理性。

本章主要介绍创建API分组。 创建API前，需要先创建API分组。API分组相当于API的集合，API提供者以API分组为单位，管理分组内的所有API。 目前支持以下创建分组方式： 直接创建 创建一个简单的分组，不包含API，用户可自行创建API。 导入API设计文件 从本地导入已有的API文件，同步创建分组。 说明 对外开放API时，您需要为API分组绑定自己的独立域名。 一个API只能属于某一个API分组。 API分组创建后，系统为分组自动分配一个内部测试用的调试域名，此调试域名每天最多可以访问1000次。 实例创建后，有一个DEFAULT分组，可直接通过虚拟私有云地址调用默认分组中的API。 前提条件 已创建API网关实例。 直接创建 步骤 1 进入API网关控制台页面。 步骤 2 根据实际业务在左侧导航栏上方选择实例。 步骤 3 在左侧导航栏选择“API管理 > API分组”。 步骤 4 单击“创建API分组 > 直接创建”，在弹框中填写分组信息。 参数 说明 :: 分组名称 API分组名称，用于将API接口进行分组管理。 描述 对分组的介绍。 步骤 5 单击“确定”，创建完成。 导入API设计文件 步骤 1 进入API网关控制台页面。 步骤 2 根据实际业务在左侧导航栏上方选择实例。 步骤 3 在左侧导航栏选择“API管理 > API分组”。 步骤 4 单击“创建API分组 > 导入API设计文件”。 步骤 5 在弹窗中选择本地路径下的API文件，然后单击“打开”导入文件。 步骤 6 填写导入信息。 参数名称 说明 :: 导入方式 导入方式包含以下2种： 生成新的分组：将API定义导入到一个新的分组，导入过程中系统会自动创建一个新的API分组，并将导入的API归属到该分组。 选择已有分组：将API定义导入到一个已有的分组，导入过程中不会删除分组中已有的API，只是将新增的API导入分组。 API分组 仅在选择“选择已有分组”时，需要选择API分组。 是否覆盖 勾选后，当导入的API名称与已有的API名称相同时，导入的API会覆盖已有的API。 仅在选择“选择已有分组”时，需要选择是否覆盖。 扩展覆盖 勾选后，当导入API扩展定义项名称（ACL，流控等）与已有的策略（ACL，流控等）名称相同时，会覆盖已有的策略（ACL，流控等）。 步骤 7 （可选）单击“全局配置(可选)”。 1. 选择安全配置。 2. 选择后端请求配置。 3. 单击“下一步”，支持通过“表单”、“JSON”、“YAML”样式查看配置详情。 4. 确认无误后，单击“提交”，完成配置。 步骤 8 单击“立即导入”，在弹窗中选择是否现在发布API到环境。 步骤 9 单击“确定”，跳转到“API运行”页面，可查看分组下的API。

操作场景 容器组（Pod）是Kubernetes中最小的可部署单元。一个Pod（容器组）包含了一个应用程序容器（某些情况下是多个容器）、存储资源、一个唯一的网络IP地址、以及一些确定容器该如何运行的选项。Pod容器组代表了Kubernetes中一个独立的应用程序运行实例，该实例可能由单个容器或者几个紧耦合在一起的容器组成。 Kubernetes集群中的Pod存在如下两种使用途径： 一个Pod中只运行一个容器。"onecontainerperpod" 是Kubernetes中最常见的使用方式。此时，您可以认为Pod容器组是该容器的 wrapper，Kubernetes通过Pod管理容器，而不是直接管理容器。 一个Pod中运行多个需要互相协作的容器。您可以将多个紧密耦合、共享资源且始终在一起运行的容器编排在同一个Pod中，可能的情况有： − Content management systems, file and data loaders, local cache managers等 − log and checkpoint backup, compression, rotation, snapshotting等 − data change watchers, log tailers, logging and monitoring adapters, event publishers等 − proxies, bridges, adapters等 − controllers, managers, configurators, and updaters 您可以在云容器引擎CCE中方便的管理容器组（Pod），如编辑YAML、监控、删除等操作。 编辑YAML 可通过在线YAML编辑窗对容器组（Pod）的YAML文件进行修改和下载。 步骤 1 登录CCE控制台，在左侧导航栏中选择“工作负载 > 容器组 Pod”。 步骤 2 单击实例列表中后的“编辑YAML”，在弹出的“编辑YAML”窗中可对当前容器组（Pod）的YAML文件进行修改。 步骤 3 单击“修改”，在弹出的提示框中单击“确定”，完成修改。 说明：如果实例由其他工作负载创建，暂不支持在容器组（Pod）中单独修改。 步骤 4 （可选）在“编辑YAML”窗中，单击“下载”，可下载该YAML文件。 实例监控 您可以通过CCE控制台查看工作负载实例的CPU、内存使用情况以及网络上行和下行速率、磁盘的读写速率，以确定需要的资源规格。 步骤 1 登录CCE控制台，在左侧导航栏中选择“工作负载 > 容器组 Pod”。 步骤 2 单击实例列表中后的“监控”，可查看相应实例的CPU使用率、内存使用率以及网络上行和下行速率、磁盘的读写速率。 说明：实例处于非运行状态时，无法查看实例的监控数据。 删除实例 若实例无需再使用，您可以将其删除。实例删除后，将无法恢复，请谨慎操作。 步骤 1 登录CCE控制台，在左侧导航栏中选择“工作负载 > 容器组 Pod”。 步骤 2 单击待删除实例后的“删除”。 请仔细阅读系统提示，删除操作无法恢复，请谨慎操作。 步骤 3 单击“是”，即可删除该实例。 说明： 若Pod所在节点不可用或者关机，负载无法删除时可以在详情页面实例列表选择强制删除。 请确保要删除的存储没有被其他负载使用，导入和存在快照的存储只做解关联操作。 相关链接 []( " ")The Distributed System Toolkit: Patterns for Composite Containers []( " ")Container Design Patterns

本文主要介绍 网络概述。. 关于集群的网络，可以从如下两个角度进行了解： 集群网络是什么样的：集群由多个节点构成，集群中又运行着Pod（容器），每个Pod都需要访问，节点与节点、节点与Pod、Pod与Pod都需要访问。那集群中包含有哪些网络，各自的用处是什么，具体请参见集群网络构成。 集群中的Pod是如何访问的：访问Pod就是访问容器，也就是访问用户的业务，Kubernetes提供Service和Ingress来解决Pod的访问问题。本章节根据用户使用场景总结了常见的网络访问场景，让您能够在不同使用场景下选择合适的使用方法。 集群网络构成 集群中节点都位于VPC中，节点使用VPC的网络，容器的网络是使用专门的网络插件来管理。 节点网络 节点网络为集群内主机（节点，图中的Node）分配IP地址，您需要选择VPC中的子网用于CCE集群的节点网络。子网的可用IP数量决定了集群中可以创建节点数量的上限（包括Master节点和Node节点），集群中可创建节点数量还受容器网络的影响，在容器网络模型中会进一步说明。 容器网络 为集群内容器分配IP地址。CCE继承Kubernetes的IPPerPodPerNetwork的容器网络模型，即每个Pod在每个网络平面下都拥有一个独立的IP地址，Pod内所有容器共享同一个网络命名空间，集群内所有Pod都在一个直接连通的扁平网络中，无需NAT可直接通过Pod的IP地址访问。Kubernetes只提供了如何为Pod提供网络的机制，并不直接负责配置Pod网络；Pod网络的具体配置操作交由具体的容器网络插件实现。容器网络插件负责为Pod配置网络并管理容器IP地址。 当前CCE支持如下容器网络模型。 容器隧道网络：容器隧道网络在节点网络基础上通过隧道封装另构建的独立于节点网络平面的容器网络平面，CCE集群容器隧道网络使用的封装协议为VXLAN，后端虚拟交换机采用的是openvswitch，VXLAN是将以太网报文封装成UDP报文进行隧道传输。 VPC网络：VPC网络采用VPC路由方式与底层网络深度整合，适用于高性能场景，节点数量受限于虚拟私有云VPC的路由配额。每个节点将会被分配固定大小的IP地址段。VPC网络由于没有隧道封装的消耗，容器网络性能相对于容器隧道网络有一定优势。VPC网络集群由于VPC路由中配置有容器网段与节点IP的路由，可以支持集群外直接访问容器实例等特殊场景。 不同容器网络模型，容器网络的性能、组网规模、适用场景各不相同，在容器网络模型对比章节，将会详细介绍不同容器网络模型的功能特性，了解这些有助于您选择容器网络模型。 服务网络 服务（Service）是Kubernetes内的概念，每个Service都有一个固定的IP地址，在CCE上创建集群时，可以指定Service的地址段（即服务网段）。服务网段不能和节点网段、容器网段重叠。服务网段只在集群内使用，不能在集群外使用。

本页为您介绍如何注册天翼云账号并完成实名认证。 在使用天翼云服务前，您需要注册天翼云账户并确保完成实名认证，具体步骤如下： 1. 注册并登录天翼云 2. 注册成功后即可登录天翼云，您需要完成“实名认证”才能正常使用服务。具体认证方式请参见实名认证说明文档。

本节为您介绍如何为物理机创建告警规则。 云监控为用户提供了自定义创建告警模板的功能，您可以选择在默认模板推荐的监控指标上进行修改，或自定义添加告警指标完成自定义告警模板的添加。 操作步骤 1. 登录控制中心。 2. 单击控制中心顶部的，选择“地域”，此处我们选择内蒙6。 3. 单击“左侧导航栏>服务列表”，选择“管理与部署>云监控”。 4. 在左侧主机监控功能列表，单击“物理机监控”。 5. 在目标物理机所在行，单击“操作”列的“创建告警规则”。 6. 在“创建告警规则”界面，根据界面提示配置参数。 7. 点击“确定”，即完成告警规则的创建。 8. 告警规则添加完成后，当监控指标触发设定的阈值时，云监控会在第一时间通过邮件实时告知您云上资源异常，以免因此造成业务损失。更多内容请参见创建告警规则。

本节介绍翼打印的功能和优势介绍。 功能介绍 随着天翼AI云电脑业务的与日俱增，作为办公场景的刚性需求——打印在AI云电脑上的易用性、可管控性、可靠性也亟需提高。目前AI云电脑办公场景打印有驱动安装繁琐、权限难管控、驱动更新重复工作量大等问题。基于上述背景，我们提出了“翼打印”解决方案：通过使用翼打印服务，用户无需安装打印机驱动，也无需配置打印机网络信息，即可随时发起打印任务。支持统一打印权限分配与管控，及驱动一次性更新即可全局同步，大大降低打印行为成本。当前版本翼打印核心功能包括： 免装驱动 所有打印机驱动安装在翼打印服务器上，用户无需安装驱动即可打印，同时避免与用户本地终端/软件冲突。 安全可控 支持打印审计，保证打印数据安全；支持打印水印，降低纸质材料外泄风险。 权限配置 支持按部门/个人维度分配翼打印或打印机使用权限。 竞争优势 驱动库丰富，基本能满足各类主流打印机的使用。 配置成本低，后台一键配置，用户侧免驱动无感知使用翼打印。

应用场景说明 通用AI工具在知识管理、数据安全、团队协作、模型精准度等方面的不足，难以满足金融、医疗、教育等行业对数据合规、智能化升级的要求。某企业的公共数据或零散存储的文档多，无法系统化整合企业知识，导致知识分散在不同部门或存储位置，难以高效检索和利用，导致信息孤岛，协作效率低下，且文件存储、共享存在数据泄露风险。 企业专属智库打造专属知识空间，赋能企业智慧升级。支持知识的灵活增删与高效管理，精准检索助力知识快速定位。通过优化大模型推理，逐步实现自我进化，成为越用越懂你的企业大脑。 前提条件 已开通天翼云电脑（政企版），详情请参见快速订购云电脑< 操作步骤 步骤一：开通企业认证，管理企业知识 通过通过天翼云电脑（政企版）控制台菜单找到“AI应用中心”——“企业 管理”，点击“申请开通”即可申请开通企业知识库。 等待5分钟后刷新页面

本机介绍天翼云电脑在移动客户端的手势与操作模式。 悬浮球 通过点击AI云电脑右下角的带有颜色的“悬浮球”，可展开手势、键盘等快捷菜单面板。 触屏式/鼠标式 模式切换的按钮在右下角的快捷菜单中。 默认是触屏式，触屏模式下，手指直接点击屏幕触发该位置的操作。 点击“鼠标式” 切换至鼠标指针式，此时AI云电脑会出现鼠标指针，鼠标模式下，手指在屏幕划动控制鼠标指针的移动。 触屏模式手势指引 在触屏模式下，可以通过手指直接点击屏幕进行操作，具体手势操作如下： 单击：单指轻触屏幕。 右键：单指长按屏幕，震动反馈调出右键，或选择文件文档，长按至震动调出右键。 拖动：单指长按屏幕，震动反馈后，滑动手指拖动文件。 滚动：双指贴着屏幕上下滑动。 唤起键盘：三指轻按屏幕。 缩放屏幕：双指在屏幕上捏合。

本节介绍部门的操作指导。 管理员可在管理控制台上创建部门，对用户进行部门管理。 创建部门 1.进入“AI云电脑（政企版）”控制台； 2.点击“组织管理”，选择“部门管理”，进入“部门管理”页面； 3.选中某一级部门，“新建部门”，弹出新增部门窗口； 4.填写“部门名称”和“描述”完成部门创建。 删除部门 1.进入“AI云电脑（政企版）”控制台； 2.点击“组织管理”，选择“部门管理”，进入“部门管理”页面； 3.选中某一级部门，点击“删除”； 4.在删除弹窗提示，点击“确定”即完成删除。 说明：当部门关联了用户账号，则不允许删除。需对用户取消关联部门后才允许删除。 设置配额 如当前租户订购了资源包，则可以对部门进行配额设置，把资源分配给部门。 1.进入“AI云电脑（政企版）”控制台； 2.点击“组织管理”，选择“部门管理”，进入“部门管理”页面； 3.选中某一级部门，点击“设置配额”，弹出“设置配额”窗口； 4.根据需求设置CPU、内存、存储的配额，点击“确定”即完成分配。

本文介绍组织管理的应用场景 根据企业业务关系构建云上组织架构 说明：子账号与IAM用户的区别： 子账号是完成实名认证的实体账号。IAM用户是某个天翼云账号下的通过IAM云服务创建出来的虚拟用户，所有IAM虚拟用户创建出的资源都归属该账号。 统一预防业务违规行为 管理部门可以根据业务规则要求，对其下组织及成员账号统一设置上云的行为边界，“组织管理”服务可以主动拦截成员账号内不符合策略要求的行为，以预防业务违规操作。 下图示例：当为“法务部子账号”以及“二级组织B”进行“拒绝操作A”的策略绑定后，法务部子账号”以及“二级组织B”下的子账号，上述子账号内的所有IAM用户将不允许执行操作A。 为其它服务提供企业级的治理框架 为企业内跨账号的上云服务提供组织成员架构，供其它云服务调取，如可信服务、财务管理、资源共享等均依赖组织管理架构。

本节介绍云安全中心支持的功能。 云安全中心系统主要包含安全态势、资产中心、风险管理、威胁运营、分析中心、编排响应、报表中心、集成配置以及数据源监控等功能。 安全态势 依托接入云安全中心的数据，提供统一可视化界面展示网页业务的整体安全状态。 资产中心 各类资产集中展示，全面汇集资产情况。 风险管理 资产风险信息清晰明确，定期更新资产漏洞、弱口令等信息。 威胁运营 对威胁全方位管理，提供告警概览、告警管理以及威胁检测等功能，可实现各类告警灵活定制。 分析中心 提供日志以及原始告警灵活查询，提供多种分析专题，为用户多角度呈现数据态势。 编排响应 是企业内部定制或者沉淀的知识经验，也是安全应急响应通用告警处理的“模板”。不论是自动化的编排，还是人工的编排，都可以通过“安全剧本”来进行表述。 报表中心 通过周期性的报表任务和可定制的报表模板承载各类个性化报表的展示和生成。 集成配置 数据集成一键配置，实现所配即所得。 数据源监控 为用户提供各类数据源的展示和基本信息统计。

目前微服务云应用平台处于公测阶段，服务协议请参见公测产品服务协议。

本文主要介绍 删除集群（按需计费）。 操作场景 本章节以计费模式为“按需计费”的CCE集群为例，介绍如何删除集群。 包周期的集群支持退订操作，详情请参见退订释放集群（包年/包月）。 注意事项 删除集群时，纳管以及包周期节点将会从集群中移除并重装系统，节点原有的登录密码将会失效，请重新设置节点密码。 删除集群不会删除集群下包周期的资源，相关资源在集群删除后将会继续计费，请妥善处理。 删除集群会删除集群下的节点（纳管节点不会被删除）、节点挂载的数据盘、工作负载与服务，相关业务将无法恢复。在执行操作前，请确保相关数据已完成备份或者迁移，删除完成后数据无法找回，请谨慎操作。 部分不是在CCE中创建的资源不会删除： 纳管的节点（仅删除在CCE中创建的节点） Service和Ingress关联的ELB实例（仅删除自动创建的ELB实例） 手动创建PV关联的云存储/导入的云存储（仅删除PVC自动创建的云存储） 处于休眠状态的集群无法直接删除，请将集群唤醒后重试。 集群不可用时删除集群，存储会残留。 集群版本为v1.13.10及之前版本时，请勿在ELB服务手动修改监听器名称和后端服务器名称，否则删除集群会有资源残留。 操作步骤 步骤 1 登录CCE控制台，在左侧导航栏中选择“集群管理”。 步骤 2 单击待删除集群后的。 图 删除集群 步骤 3 在弹出的“删除集群”窗口中，根据系统提示，勾选删除集群时需要释放的资源。 删除集群下工作负载挂载的云存储 说明 删除集群中的存储卷声明和存储卷，存在如下约束： 1. 底层存储依据指定的回收策略进行删除。 2. 对象存储桶下存在大量文件（超过1000）时，请先手动清理桶内文件后再执行集群删除操作。 删除集群下负载均衡ELB等网络资源（仅删除自动创建的ELB资源） 步骤 4 单击“是”，开始执行删除集群操作。 删除集群需要花费1~3分钟，请耐心等候。

参数 是否必填 参数类型 说明 示例 下级对象 handleType 是 String 处理类型 FIX 修复 IGNORE忽略 CANCELIGNORE取消忽略 ADDWHITE加白 CANCELWHITE取消加白 HANDLED标记为已修复 VERIFYING验证 FIX upgradeSourceAddress 否 String 升级使用的yum源地址类型self自配置，使用机器默认配置 aliyun阿里云yum源 hauwei华为云源 qinghua清华源 self announcementIds 否 Array of Strings 漏洞公告id列表 agentGuid 否 String 指定agentGuid detailIds 否 Array of Strings 漏洞详情id列表

参数 是否必填 参数类型 说明 示例 下级对象 desktopPoolOid 是 String 池化桌面池ID dpucod37vk0gca50kur44j4 resourcePackOid 是 String 资源包ID rspa94bn3qnadp0pgiv4mhxo templateOid 是 String 规格ID，当前仅支持Windows系统的政企版规格（暂不支持GPU规格） dft3h78mxfanrnf7l3004q7q sysDiskType 是 String 系统盘类型（hio高IO） hio sysDiskSize 是 Integer 系统盘大小（单位：GB），需为10的倍数，范围：[镜像系统盘大小,200] 120 desktopCount 是 Integer 云电脑数量，云电脑与用户数量比例为1:3，单次至少为1 1

本节介绍云智手机的云生活功能最佳实践内容。 前提条件 已开通云智手机。 应用场景说明 “云生活”是用户的云上生活助手，只需一句语音提问，看攻略、查地图、买东西等日常生活操作，AI智能处理 操作步骤 用户可点击头部推荐词或通过语音、文字输入导航需求，AI即可自动执行相应操作： 1. 点击头部推荐词或语音、文字输入目的地； 2. 等待AI完成操作； 3. 用户点击查看即可连接云智手机查看结果。

本文介绍直播录制的计费规则。 视频直播过程中，可通过直播录制实现对直播流进行录制并存储到云存储中。 天翼云视频直播仅支持对接收到的源直播流进行录制，暂不支持录制直播转码流。 直播录制包含录制服务费和存储空间费用。 直播录制费用以当月直播录制并发路数峰值为结算标准，详细信息请参见：直播录制。 存储计费规则请参见：媒体存储计费说明。

版本 天翼云计划EOM时间 天翼云计划EOS时间 3.1.2系列 2026年12月 2027年6月 3.1.1系列 2026年8月 2027年2月 3.1.0系列 2026年1月 2026年7月 3.0.9系列 2025年8月 2026年2月 3.0.8系列 2025年2月 2025年8月 3.0.6系列 2024年12月 2025年6月 3.0.4系列及之前版本 2024年9月 2025年3月

本章节主要介绍告警功能简介 告警功能提供对监控指标的告警功能，用户对云服务的核心监控指标设置告警规则，当监控指标触发用户设置的告警条件时，支持以邮箱、短信、HTTP(S)等方式通知用户，让用户在第一时间得知云服务发生异常，迅速处理故障，避免因资源问题造成业务损失。 告警规则支持企业项目，当选择了告警规则到某个企业项目时，只有拥有该企业项目权限的用户才可以查看和管理该告警规则。

本文介绍如何卸载ECS客户端。 操作场景 云备份服务需要搭配备份客户端一同使用，当不再需要备份客户端时，您可以卸载已安装的客户端。 前提条件 已安装客户端且该客户端不在使用中。 操作步骤 ECS客户端卸载 1. 登录控制中心。 2. 在控制中心左上角点击，选择地域，此处选择华东华东1。 3. 选择“存储>云备份”，进入云备份控制台。 4. 在云备份页面，单击左侧导航栏“ECS文件备份”页签，您可进入ECS文件备份页面。 5. 单击“ECS资源”，进入ECS资源页面，您可查看当前地域下所有ECS资源的备份客户端等信息。 6. 单击待卸载客户端的ECS所在行“操作>更多>卸载客户端”，进入“卸载客户端”弹窗。 7. 确认信息无误后，单击“确定”，系统将自动卸载该ECS中的备份客户端。 8. 在ECS资源页面，查看该ECS资源的备份客户端状态，由“已激活”变为“未安装”，表示客户端卸载成功。 注意 若您想卸载v1.0系列旧版本客户端（如v1.4、v1.5）后再安装新版本的v2.0系列客户端（如v2.0、v2.1），由卸载前的v1.0系列客户端产生的备份副本将只能恢复到安装有v1.0系列客户端的ECS，创建恢复任务时选择“恢复到原目录”将会恢复失败。针对此场景，建议您直接进行备份客户端升级操作，升级后的客户端可同时支持v1.0系列和v2.0系列客户端产生的备份副本的“恢复到原目录”能力。

本文介绍如何根据需求自定义设置告警规则。 操作场景 您可以在云监控产品控制台为VPN连接产品设置告警规则，当资源的监控指标达到告警条件，云监控将向您发送告警消息，报告异常监控数据，帮助您及时掌握异常状态并处理，保障业务顺畅运行。 前提条件 您在该区域下有正常状态的VPN资源；如果资源状态异常，可能会没有监控数据，无法触发告警。 操作步骤 1. 登录控制中心。 2. 选择“管理与部署”下的“云监控”产品。 3. 选择“告警服务 ”下的“告警规则”，进入告警规则页面。 4. 在告警规则页面，单击右上角的“创建告警规则”按钮，进入创建告警规则页面。 5. 在“选择监控对象”部分，规则类型选择“指标监控”，云服务选择“VPN”，维度可选“VPN网关、IPsec连接、SSL客户端、SSL网关”，监控对象类型选择“具体实例”，监控对象可以从弹出对话框列表中按需选择。如果您是通过点击具体监控指标操作列中的“创建告警规则”按钮跳转到创建告警规则页面的，则此部分内容会自动填充为关联监控对象，无法调整。 6. 在“选择监控指标”部分，选择类型为“自定义创建”，针对于不同的监控指标，可以配置不同的监控策略，如监控入方向流量速率的最大值、监控出方向数据包速率的最小值、监控SSL客户端连接数的原始值等，配置策略、聚合周期和出现次数之后，即可产生告警，在“告警服务”下的“告警记录”中可以查看告警记录。如果开启发送通知还需要配置告警联系组等选项，用于将告警以邮件或短信方式通知告警联系人。 7. 在“规则信息”部分，需要填入告警规则名称，选择企业项目，可选填写描述信息。 8. 最后，点击“确定”完成告警规则的创建。

本章节介绍应用列表相关功能 项目管理 概述 通过项目做权限功能隔离，分组和应用都属于某个项目，项目和环境关联 新增项目 1. 登录微服务云应用控制台，选择“应用管理 > 应用列表”。 2. 单击新增项目，设置项目基本信息。 “项目名称”：输入项目名称，名称长度不能低于3个字符，不能超过30个字符，项目名称在创建完成后可以修改。 “项目代号“：输入项目代号，必须以小写字母开头，后面可以是小写字母、数字、中划线，长度在3到30之间，项目代号创建完成后不能修改，系统默认按名称拼音规则生成，不可以修改。 “企业项目“：下拉选择企业项目。 “描述”：（可选）输入项目描述。 3. 单击“确定”，创建项目。 说明 项目名和项目代号在同一租户内是唯一的，项目代号不能是“carms“，“default”，项目名称不能是“默认项目”。 绑定标签 在创建完成项目后，可以对项目进行绑定标签操作。 1. 登录微服务云应用控制台，选择“应用管理 > 应用列表”。 2. 在项目名右侧，单击编辑标签，设置标签基本信息。 “标签键”: 输入标签名称。 “标签值”：输入标签值。 3. 单击“确定”，创建标签。 编辑项目 1. 登录微服务云应用控制台，选择“应用管理 > 应用列表”。 2. 在项目名右侧，单击编辑项目，修改项目基本信息。 “项目名称”：修改项目名称。 “企业项目“：下拉选择修改企业项目。 “描述”：（可选）输入项目描述。 3. 单击“确定”，完成编辑。 删除项目 前提条件 删除项目的前提条件在于该项目下没有分组或者子分组以及应用和子应用，否则删除项目会提示报错。 1. 登录微服务云应用控制台，选择“应用管理 > 应用列表”。 2. 在项目名右侧，单击删除项目。 3. 在弹出的删除提示框中单击“确定”，完成删除。 应用分组

使用云服务基线相关功能时，需要先参考本章节设置检查计划。 操作步骤 1. 登录管理控制台。 2. 在页面左上角单击，选择“安全 > 态势感知（专业版）”，进入态势感知页面。 3. 在左侧导航栏选择“设置 > 检测设置”，进入检测设置页面。 4. 在检测设置页面中，选择待创建计划所在的区域，并单击“创建计划”，系统右侧弹出新建检查计划页面。 5. 配置检查计划。 1. 填写基本信息，具体参数配置如下表所示。 参数名称 参数说明 计划名称 自定义检查计划的名称。 检查时间 选择检测周期和检查触发时间。 检测周期：每隔1天、3天、7天、15天、30天检查一次 检查触发时间：00:0006:00、06:0012:00、12:0018:00、18:0024:00 2. 选择检查规范。选择需要检测的基线检查项目。更多关于基线检查项目详细描述请参见云服务基线简介。 3. 单击“确定”。 6. 检查计划创建完成。 SA会在指定的时间执行云服务基线扫描，扫描结果可以在“安全 > 态势感知 > 基线检查”中查看。

本节介绍翼加密的付费开通流程。 1.登录AI云电脑控制台，点击“协同套件”菜单栏，找到“翼加密”点击开通； 2.翼加密共有两个版本，根据加密需求选择相应的版本开通使用； 版本 价格 说明 标准版 ¥3.0/台/月 提供基础的加密保护和外发管控能力 旗舰版 ¥30.0/台/月 在标准版基础上提供高强度加密保护及权限管控能力 3.配置加密AI云电脑数； 4.设置脱密审计存储空间，按照100GB步长添加。脱密审计存储适用AI云电脑数据盘资源包资费：¥40/100GB/月； 5.设置告警邮箱和手机号码。默认是账号绑定的邮箱和手机号，可以修改； 6.使用资源包抵扣支付开通。按照计算包1C2G40元/月，存储包100GB40元/月的价格换算抵扣。可自定义配置抵扣的计算包和存储包数量。 备注：开通后，用户可根据使用需求进行扩容、版本升级、续订或退订。

本节介绍天翼云电脑移动客户端的手势与操作模式。 悬浮球 通过点击AI云电脑右下角的带有颜色的“悬浮球”，可展开手势、键盘等快捷菜单面板。 触屏式/鼠标式 模式切换的按钮在右下角的快捷菜单中。 默认是触屏式，触屏模式下，手指直接点击屏幕触发该位置的操作。 点击“鼠标式” 切换至鼠标指针式，此时AI云电脑会出现鼠标指针，鼠标模式下，手指在屏幕划动控制鼠标指针的移动。 触屏模式手势指引 在触屏模式下，可以通过手指直接点击屏幕进行操作，具体手势操作如下： 单击：单指轻触屏幕。 右键：单指长按屏幕，震动反馈调出右键，或选择文件文档，长按至震动调出右键。 拖动：单指长按屏幕，震动反馈后，滑动手指拖动文件。 滚动：双指贴着屏幕上下滑动。 唤起键盘：三指轻按屏幕。 缩放屏幕：双指在屏幕上捏合。

本节介绍天翼云电脑（公众版）相关的产品规格，以便您正确理解和使用。 天翼云电脑（公众版）产品规格如下： 规格类型 功能适用 规格参数 带宽提供 系统支持 基础版 适合简单办公、文档编辑、客户服务等，性价比之选 2C4G 120系统盘 下行带宽50M上行带宽2M Windows 标准版 适合视频娱乐，在线教育，享受高质量体验 4C8G 120G系统盘 下行带宽50M上行带宽4M Windows 精英版 适合高效办公，图表处理，更高配置全面提升使用效率 8C16G 120G系统盘 下行带宽50M上行带宽4M Windows 游戏版 游戏畅玩、按需付费、即开即玩 16C32G 500G系统盘 下行带宽50M上行带宽4M Windows 基础版、标准版、精英版的120 GB 系统盘 80 GB 默认系统盘 + 40 GB 赠送存储 说明 1. 云电脑系统盘显示的空间略小于默认配置，这部分被占用的空间用于系统保留分区。 2. 天翼云电脑游戏版提供NVIDIA T4 、NVIDIA A10两种型号的显卡，具体以开通后实际配置为准。

本节主要介绍项目 每个区域默认对应一个项目，这个项目由系统预置，用来隔离物理区域间的资源（计算资源、存储资源和网络资源），以区域默认单位为项目进行授权，IAM用户可以访问您帐号中该区域的所有资源。 基于项目给用户组授权 以项目为单位进行授权，使得IAM用户仅能访问特定项目中的资源。 步骤 1 在用户组列表中，单击用户组右侧的“授权”，进入授权页面。 步骤 2 在授权页面中，勾选需要授予用户组的区域级项目权限，并单击“下一步”。 步骤 3 选择作用范围。此处选择区域项目，则还需要选择待授权的项目。 步骤 4 单击“确定”，完成授权。 说明 更多有关用户组授权的内容，请参见“创建用户组并授权”。 切换项目或区域 登录后需要先切换区域或项目，才能访问并使用授权的云服务，否则系统将提示没有权限。全局区域服务无需切换。 步骤 1 登录控制台。 步骤 2 进入具体的云服务页面，若云服务为项目级服务，则单击页面顶部区域下拉框，切换区域。

用户数据漫游（UPM）使用需要哪些流程？ 1.创建漫游盘，将漫游盘分配个用户桌面； 2.在基础策略配置重定向策略； 3.将策略分配用户； 4.客户端重连生效。 漫游盘扩容，AI云电脑需要关机吗？ 漫游盘容量扩容，需先进行AI云电脑关机。 漫游盘退订数据会保留吗？ 漫游盘退订，数据盘的数据将不再保留且无法恢复。 漫游盘分配给用户的桌面之后，支持重新分配给其他用户吗？ 不支持，漫游盘未分配给用户的桌面支持重新分配用户