本节介绍IPSec VPN开通使用步骤。 IPSec VPN开通使用步骤： （1）创建IPSec VPN实例； （2）配置客户防火墙，与IPSec VPN实例对接； （3）设置IPSec VPN实例带宽； （4）设置桌面安全组与关闭Windows防火墙； （5）VPN接入云电脑。 注：可点击步骤链接，查看详细的操作说明。

AntiDDoS流量清洗计费类问题 天翼云所有节点都支持AntiDDoS流量清洗服务么？ 目前仅适用于广州4、苏州、华北、西安2、贵州、 成都3、 芜湖、 上海4、 杭州、 长沙2、 福州、 武汉2、 兰州、 南昌、北京2、深圳、西宁、重庆、乌鲁木齐（新疆）、青岛、 石家庄、 郑州、南宁、昆明、海口、中卫（银川）、太原、哈尔滨、天津、沈阳3、长春、内蒙3节点。 AntiDDoS服务是付费的吗? AntiDDoS服务作为安全服务的基础服务，目前属于免费服务。

本文介绍如何进行容器设置。 在容器设置页面，支持设置“容器调查审计信息保留时间”和“容器调查审计信息保留容量”。 操作步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“容器安全 > 容器设置”，进入容器设置页面。也可以在容器实时检测页面，单击右上角的“设置”按钮，进入容器设置页面。 3. 设置“容器调查审计信息保留时间”和“容器调查审计信息保留容量”。 参数 说明 历史容器保留时间 默认为7，不支持修改。 存在报警的历史容器保留时间 默认为7，不支持修改。 容器调查审计信息保留时间 最大值为“1095天”。 容器审计信息会记录大量事件，占用较大的磁盘空间，请根据磁盘剩余空间大小酌情配置保存天数。 容器调查审计信息保留容量 最大值为“65535G”。 容器审计信息会记录大量事件，占用较大的磁盘空间，请根据磁盘剩余空间大小酌情配置保存容量。 说明 “容器调查审计信息保留时间”和“容器调查审计信息保留容量”两个参数值均为0时，代表关闭审计功能。

本节介绍数据安全中心与周边服务的依赖关系。 与弹性云主机的关系 弹性云主机是一种可随时自助获取、可弹性伸缩的云服务器。经用户授权后，数据安全中心可以为弹性云服务器上的自建数据库提供敏感数据自动识别分类和数据保护服务。 与物理机的关系 物理机是一款兼具虚拟机弹性和物理机性能的计算类服务。经用户授权后，数据安全中心可以为物理机上的自建数据库提供敏感数据自动识别分类和数据保护服务。 与对象存储服务的关系 对象存储服务是一款稳定、安全、高效、易用的云存储服务，具备标准Restful API接口，可存储任意数量和形式的非结构化数据。经用户授权后，数据安全中心可以为对象存储提供敏感数据自动识别分类、用户异常行为分析、数据保护三大服务。 与关系型数据库的关系 关系型数据库是一种基于云计算平台的即开即用、稳定可靠、弹性伸缩、便捷管理的在线关系型数据库服务。经用户授权后，数据安全中心可以为关系型数据库服务中的实例提供敏感数据自动识别分类和数据保护服务。 与数据仓库服务的关系 数据仓库服务是一种基于公有云基础架构和平台的在线数据处理数据库，提供即开即用、可扩展且完全托管的分析型数据库服务。经用户授权后，数据安全中心可以为数据仓库服务提供敏感数据自动识别分类和数据保护服务。

非对称密钥应用场景 场景 场景描述 签名验签 数字签名技术是非对称加密算法的另一种典型应用。数字签名分为签名和验证两个过程，消息发送者使用私钥对数据签名，消息接收者使用公钥进行签名验证。 由于签名是使用私钥加密产生，而私钥不公开，这使得签名具有唯一的特征，广泛用于数据防篡改、身份认证等相关技术领域。 数据加解密 非对称密钥加密通信的过程类似于对称加密，区别在于需要使用公钥进行数据加密，使用私钥进行数据解密。 由于密文只有通过私钥才可以解密，而私钥是不公开的，所以即使由于传输介质的安全性比较低而导致信息泄露，拿到密文的人也无法将其破译，从而保证了敏感信息的安全。这种敏感信息传递的方式，被广泛用于各类密钥交换场景。

本文介绍如何使用媒体存储服务的服务端加密功能对重要数据进行加密保护。 背景概述 媒体存储服务的服务端加密功能可以帮助客户实现数据的安全保护，为客户提供更加可靠和安全的数据存储服务。 SSEXOS（Server Side Encryption XOS）是完全由媒体存储托管加密的服务端加密特性，客户无需管理密钥，服务端会为每个对象使用不同的密钥进行加密，并且会有一个定期轮换的密钥来加密密钥本身，该方式适用于批量数据加解密。 适用区域 本功能目前仅部分资源池支持，具体可参考：资源池与区域节点。 如需使用，可联系客户经理或提交工单申请。 应用效果 服务端加密功能是一种数据安全保障措施，它可以在数据上传至对象存储服务时就对其进行加密，以防止数据被未经授权的访问，降低数据泄露的风险。 通过使用服务端加密，您可以将数据传输至媒体存储服务，服务端会在接收到数据后立即对其进行加密处理，然后再将加密后的数据存储在云端。 未经授权的人访问了存储在云端的数据，他们也无法读取被加密的数据内容。 批量数据加密 当企业需要对大量的数据统一进行加密，您可以使用媒体存储的SSEXOS设置桶级别的加密配置，使得上传到该桶的对象数据自动被加密从而达到批量数据加密，实现批量数据加密的效果。 操作步骤如下： 调用设置存储桶加密配置接口，为存储桶指定一种加密算法： PUT/{bucket}?encryption HTTP/1.1 Host:cname.domain.com ContentMD5:ContentMD5 AES256 设置了桶的默认加密属性之后，用户往该桶上传对象成功后会在响应中返回以下header表示对象数据经过加密： header 值 xamzserversideencryption AES256

约束与限制 Linux云主机状态处于“运行中”。 Linux操作系统一般情况首次登录使用用户名可以设置为root或ecsuser，出于安全考虑，推荐您使用ecsuser，CoreOS的默认用户名为“core”。 Linux云主机所在安全组的入方向已开放22端口。 Linux云主机防火墙未开启或开启后放通22端口。 您所使用的登录工具与Linux云主机具有网络连通性。如果使用处于公网中的终端登录，需要您的Linux云主机已绑定弹性IP。如果通过内网使用此方式登录，则不需要绑定弹性IP，例如VPN、云专线等内网网络连通场景。 说明 出于安全考虑，通常会修改Linux远程登录端口。如果您需要修改默认登录端口，请参考 登录方式概述 请根据需要选择登录方式，登录云主机。 云主机操作系统 本地主机操作系统 连接方法 条件 :::: Linux Windows 使用控制中心远程登录方式： 可参见：Linux弹性云主机远程登录（VNC方式）、Linux弹性云主机远程登录（TeleCloudShell方式） 不依赖弹性IP Linux Windows 安使用PuTTY、Xshell等远程登录工具： 密码方式鉴权可参见：SSH密码方式登录（本地使用Windows操作系统）。 密钥方式鉴权可参见：SSH密钥方式登录（本地使用Windows操作系统）。 云主机绑定弹性IP （如果通过内网环境登录云主机，可以不绑定弹性IP，例如VPN、云专线等内网网络连通场景。） Linux Linux 使用命令连接： 密码方式鉴权可参见：SSH密码方式登录（本地使用Linux操作系统）。 密钥方式鉴权可参见：SSH密钥方式登录（本地使用Linux操作系统）。 云主机绑定弹性IP （如果通过内网环境登录云主机，可以不绑定弹性IP，例如VPN、云专线等内网网络连通场景。） Linux 移动设备 使用Termius、JuiceSSH等SSH客户端工具登录云主机。 可参见：在移动设备上登录Linux云主机。 云主机绑定弹性IP （如果通过内网环境登录云主机，可以不绑定弹性IP，例如VPN、云专线等内网网络连通场景。） Linux Mac OS系统 使用系统自带的终端（Terminal）： 可参见：Mac OS系统登录Linux弹性云主机。 云主机绑定弹性IP （如果通过内网环境登录云主机，可以不绑定弹性IP，例如VPN、云专线等内网网络连通场景。）

本文介绍DRDS的功能总览。 DRDS支持功能如下所示： 功能分类 功能名称 功能描述 实例管理 实例管理 包括一键检测、退订、续订、规格变更等功能。具体使用方法，请参考实例管理。 实例管理 绑定/解绑弹性IP 通过绑定弹性IP，实现通过公共网络访问数据库实例。具体方法，请参考绑定/解绑弹性IP。 实例管理 修改安全组 通过修改安全组，对DRDS实例的出入流量进行访问控制。具体方法，请参考修改安全组。 实例管理 分组管理 包括属性设置、关联MySQL管理、DML审计、IP黑白名单等功能。具体使用方法，请参考分组管理。 实例管理 节点管理 包括启动、停止节点、属性设置、命令行等功能。具体使用方法，请参考节点管理。 实例管理 schema管理 包括创建、导出、删除schema等功能。具体使用方法，请参考schema管理。 实例管理 用户管理 支持用户创建、删除、设置权限等功能。具体使用方法，请参考用户管理。 实例管理 角色管理 支持角色创建、删除、设置权限等功能。具体使用方法，请参考角色管理。 实例管理 关联MySQL管理 进行关联、删除MySQL，支持直接添加天翼云购买的MySQL实例，请参考关联MySQL管理。 实例管理 DDL审计 介绍了支持的DDL审计规则及默认值。具体使用方法，请参考DDL审计。 实例监控 实例监控 介绍了实例监控页面的监控指标。具体使用方法，请参考实例监控。 统计分析 统计分析 包括SQL执行分析、慢SQL分析、事务统计等功能。具体使用方法，请参考统计分析。 运维工具 运维工具 包括数据库连接查询、数据库锁表查询等功能。具体使用方法，请参考运维工具。 全局索引 全局索引 包括全局索引的核心特性，以及设置实例属性、管理关联DBProxy、管理节点日志和状态等功能。具体使用方法，请参考全局索引。 操作日志 操作日志 支持查看目标实例的操作日志，具体使用方法，请参考操作日志。 登录数据库 通过DMS登录DRDS实例 支持使用数据管理服务DMS登录DRDS实例，具体使用方法，请参考通过DMS登录DRDS实例。

本节介绍如何设置资产更新范围，及如何手动更新资产。 设置更新范围 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“资产中心”，进入资产中心页面。 3. 单击资产中心页面右上角的“设置”图标。 4. 进入资产设置页面，对更新范围进行选择。 更新范围支持全部资产和集群资产： 全部资产：更新慢，更新所有资产。 集群资产：更新快，更新除仓库镜像外的资产。仓库镜像可通过在“镜像安全 > 镜像设置 > 扫描设置”设置“仓库镜像更新周期”定期自动更新。具体操作请参见镜像设置。 5. 点击页面标题左侧的返回按钮即返回到资产页面。 手动更新资产 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“资产中心”，进入资产中心页面。 3. 单击资产中心页面左上角的“更新资产”，系统将按照已设置的更新范围更新资产。

本文介绍边缘接入服务IP应用加速回源配置。 功能介绍 回源配置信息，主要包括添加源站、选择合适的回源策略、配置端口信息。 回源配置涉及的相关功能如下： 源站： 配置源站IP/域名、角色（主/备）、层级（主源支持1层，备源支持5层）、权重。 回源策略： 选择【择优回源】时，优先回最快的源站，忽略权重；选择【按权重回源】时，按照配置的权重回源；选择【保持登录】时，则基于客户端IP哈希回源。 端口信息： 配置TCP请求端口和回源端口、UDP请求端口和回源端口、http复用端口和http回源端口、https复用端口和https回源端口、ftp控制端口和ftp数据端口。请求端口和回源端口均支持配置多个，不连续的端口使用逗号分隔，连续的端口间使用''号分隔，如100,10002000,2050；ftp控制端口、ftp数据端口均只能配置一个。 端口转发：可添加多组端口转发策略，实现不同请求端口转发至不同源站的效果。 配置说明 新增接入，配置域名回源配置步骤： 1. 登录边缘安全加速控制台，选择【边缘接入】控制台。 2. 进入【域名】【IP应用加速接入】页面。 3. 在首页列表页面，点击左上角【新增接入】。 4. 填写回源配置，包括填写源站IP/域名、选择回源策略、填写端口信息等，支持添加多组端口转发规则。 编辑配置，修改回源配置步骤： 1. 登录边缘安全加速控制台，选择【边缘接入】控制台。 2. 进入【域名】【IP应用加速接入】页面。 3. 在首页列表页面，点击【详情】，点击右下角【编辑配置】，编辑目标域名/实例。 4. 修改对应的回源配置，包括修改源站IP/域名、修改回源策略、修改端口信息等，支持添加多组端口转发规则。

本节主要介绍如何查看实例监控信息。 操作场景 当剧本执行完成后，剧本实例管理列表中会生成剧本实例，即剧本实例监控。实例监控列表每条记录是一个实例，可呈现实例的历史实例任务列表，以及历史实例任务的运行情况。 约束与限制 流程实例最大手动重试次数为3次，且重试之后，须等剧本执行完毕之后才允许再次重试。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 剧本编排”，进入剧本管理页面后，选择“实例管理”页签，进入实例管理页面。 5. 在实例管理列表中，可查看实例名称、剧本名称、数据类等，参数说明如下表所示。 参数名称 参数说明 实例名称 实例的名称。 剧本名称 实例对应的剧本名称。 数据类 剧本的运营对象，即数据类。 触发方式 实例的触发方式。 定时触发 事件触发 状态 实例的状态。 成功：剧本实例成功执行。 失败：剧本实例执行失败，单击操作列的重试可重新执行剧本。 运行中：剧本实例处于运行状态，单击操作列的终止可终止剧本。 重试中：剧本实例正在重试中。 终止中：剧本实例正在终止。 已终止：剧本实例已经成功终止。 上下文 实例的上下文信息。 实例创建时间 实例创建的具体时间。 实例结束时间 实例结束的具体时间。 操作 用户可执行终止、重试等操作。 6. 如需查看某个实例的详细信息，可以单击任一实例名称，进入剧本实例图页面，可查看实例流程图和流程节点信息。

购买弹性云主机 1. 登录天翼云“控制中心(控制台)”，在页面上方选择用户对应购买弹性云主机的地域，例如“福州3”。选择“计算”大类下的“弹性云主机”产品。或是在天翼云官网首页点击“立即订购”。 2. 单击“创建云主机”。 配置弹性云主机实例规格 1. 选择计费模式“包年/包月”或是“按量付费”。 2. 完成页面必填项的选择，例如地域、主机名称、规格、镜像类型、存储等。 说明 创建云主机过程，请您根据规格特性，选择符合业务需求的云主机规格。请参考： 使用云主机需要您支付相应费用，详细请见： 创建云主机需要配置系统盘与数据盘，如果您对存储性能有要求，请参考： 您需要为存储支付相应的费用，详细请见： 网络配置 1. 选择弹性云主机对应的网络配置选项含网卡、扩展网卡、安全组、弹性IP等，根据页面提示完成操作。 2. 点击“下一步：高级配置”按钮。 说明 安全组是控制云主机访问策略的组件，相关概念与操作，请参考： 如果您有访问公网的需求，请您使用弹性IP，相关概念与应用场景，请参考： 您需要为弹性IP支付相应的费用，请参考：

本文介绍了如何管理前缀列表的条目信息。 操作场景 您可以管理前缀列表，根据需求新增、修改或删除前缀列表条目。 前缀列表被资源引用后，如安全组规则，那么当源地址/目的地址为前缀列表时，前缀列表所占用的安全组规则数等于前缀列表的最大条目数。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 已创建好前缀列表。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“访问控制前缀列表”选项。 5. 在右侧前缀列表页面，选择目标前缀列表，点击名称进入前缀列表详情。 6. 根据您的需求新增、修改、删除前缀列表条目。 新建前缀列表条目 前缀列表条目页签下，单击【新增】按钮。 在新增弹窗中添加CIDR地址块和描述信息，然后单击 保存 。 如果需要添加多个条目，可点击弹窗中的【新增条目】批量添加。 修改前缀列表条目 在前缀列表详情页，找到目标条目，单击【修改】。 修改条目的CIDR地址块和描述信息，然后单击 保存 。 删除前缀列表条目 删除单个条目：在目标条目的操作列，单击操作列【删除】。 批量删除条目：选中多个目标条目，单击顶部的【批量删除】。

EHPC Portal是面向超算业务需求研发的集群管理平台,集群开通后自动内置该平台,通过EHPC Portal您可进行日常作业管理、文件管理、集群监控等操作。本文介绍了如何登录Portal平台。 前提条件 集群已绑定弹性IP（公网访问方式），或具备可访问管理节点内网的跳板机（内网访问方式）。 集群登录节点处于运行中。 操作步骤 方式一：公网访问方式 打开浏览器，直接输入地址访问EHPC Portal的登录页面。 EHPC Portal登录页面的地址为 Portal 端口号]/index.html，例如 Web Portal端口号默认为16002。 注：需添加安全组规则方可访问，可参考添加安全组规则。 方式二：内网访问方式 登录跳板机，打开浏览器，直接输入内网地址访问EHPC Portal的登录页面。 将上述的公网访问方式的公网IP更换内网IP即可： 方式三：登录Portal平台 在Portal登录页面中，输入用户名和密码，默认管理员账户是galaxy（区分大小写），默认密码请见弹性高性能控制台的集群概览页。输入用户名和密码后点击登录。 如果登录成功，将进入EHPC Portal主页。登录后如果超过30分钟没有任何操作，会提示登录超时，需要重新登录。 集群内Portal用户使用指南请您点击下载查看。弹性高性能计算集群内HPC PORTAL用户手册V1.7.4.pdf.zip

本文为您介绍创建单台云主机、批量创建云主机、大批量创建千台云主机场景下的最佳实践。 操作场景一 通过控制台开通单台云主机。 操作步骤 本文以南昌5资源池为例，创建单台Linux/Windows云主机。 计算控制台点击“弹性云主机”，点击右上角“创建云主机”。 “基础配置” 页 1. 计费模式选择按量付费； 2. 地域选择江西南昌5； 3. 可用区选择可用区1； 4. 企业项目选择default； 5. 虚拟私有云（VPC）选择默认defaultvpc； 6. 实例名称和主机名称按照要求填写即可； 7. 选择所需开通规格，本次以s7.xlarge.2为例； 8. 选择所需镜像类型。 “网络配置” 页 1. 网卡会关联上述选择的虚拟私有云（VPC）下的子网，选择相应的子网即可； 2. 安全组可以选择default安全组； 3. 弹性IP选择“不使用”。 “高级配置” 页 1. 登录方式默认为密码，创建密码为稍后创建； 2. 用户数据选择“暂不配置”； 3. 左下角购买量选择1台。 “确认配置” 页 确认上述选择和填写的配置项符合预期，勾选“已阅读并同意相关协议”，点击右下角的“立即购买”完成订购。 对于单台Linux/Windows云主机，通常情况下可在一分钟内完成开通。本次单台Linux云主机开通耗时17秒，单台Windows云主机开通耗时16秒。 操作场景二 通过控制台开通多台云主机。

本章节为您介绍云审计IAM权限的相关内容 本文为您介绍云审计的权限管理能力，支持通过IAM实现对云审计的访问控制、权限分配。 云审计通过IAM（统一身份认证服务，Identity and Access Management）对用户权限进行管理，IAM可以帮助用户安全地控制云审计服务的访问及操作权限。 默认情况下，天翼云主账号拥有管理员权限，而主账号创建的IAM用户没有任何权限。IAM用户需要加入用户组，并给用户组授权相应策略后，IAM用户才能获得策略对应的权限，才可以基于被授予的权限对云服务进行操作。 IAM应用场景 IAM策略主要面向同一主账号下，对不同IAM用户授权的场景： 您可以为不同操作人员或应用程序创建不同IAM用户，并授予IAM用户刚好能完成工作所需的权限，比如查看权限，进行最小粒度授权管理。 新创建的IAM用户可以使用自己的登录名和密码登录控制台，实现多用户协同操作时无需分享账号密码的安全要求。 云审计IAM策略说明 天翼云为云审计提供如下系统策略 。如果系统策略不满足授权要求，可以创建自定义策略 ，自定义策略是对系统策略的扩展和补充，详情请参见创建自定义策略。 策略名称 策略描述 类别 授权范围 cloudauditadmin 云审计管理员策略。 系统策略 全局 cloudauditviewer 云审计查看策略。 系统策略 全局 cloudauditauditor 云审计审计员策略。 系统策略 全局

本文为您介绍云堡垒机(原生版)的权限管理能力,支持通过IAM实现对云堡垒机(原生版)的访问控制、权限分配。 云堡垒机（原生版）通过IAM（统一身份认证服务，Identity and Access Management）对用户权限进行管理，IAM可以帮助用户安全地控制云堡垒机（原生版）服务的访问及操作权限。 默认情况下，天翼云主账号拥有管理员权限，而主账号创建的IAM用户没有任何权限。IAM用户需要加入用户组，并给用户组授权相应策略后，IAM用户才能获得策略对应的权限，才可以基于被授予的权限对云服务进行操作。 IAM应用场景 IAM策略主要面向同一主账号下，对不同IAM用户授权的场景： 您可以为不同操作人员或应用程序创建不同IAM用户，并授予IAM用户刚好能完成工作所需的权限，比如查看权限，进行最小粒度授权管理。 新创建的IAM用户可以使用自己的登录名和密码登录控制台，实现多用户协同操作时无需分享账号密码的安全要求。 云堡垒机（原生版）IAM策略说明 天翼云为云堡垒机（原生版）提供如下系统策略 。如果系统策略不满足授权要求，可以创建自定义策略 ，自定义策略是对系统策略的扩展和补充，详情请参见创建自定义策略。 策略名称 策略描述 类别 授权范围 ctcbh admin 云堡垒机（CBH）的全读写访问权限。 系统策略 全局级 ctcbh viewer 云堡垒机（CBH）的只读访问权限。 系统策略 全局级

section81bdac15d5303c5e)。 时间计划 设置的规则生效时间。 启用状态 当前规则的启用状态，支持启用和禁用。 标签 当前规则设置的标签信息。 5. （可选）根据您的需要在方向或协议类型下拉框选择需要查看的方向或协议类型。 编辑防护规则 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“访问控制> 访问策略管理”，进入“访问策略管理”页面。 5. 在需要编辑的防护规则所在行的“操作”列，单击“编辑”。 6. 在系统弹出编辑防护规则中，修改您需修改的参数信息。 7. 修改完成后，单击“确认”保存。 复制防护规则 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“访问控制> 访问策略管理”，进入“访问策略管理”页面。 5. 在需要复制的防护规则所在行的“操作”列，单击“更多> 复制”。 6. 修改参数后，单击“确认”，新生成的防护规则“优先级”默认为“1”（优先级最高）。

本文为您介绍云防火墙（原生版）的权限管理能力，支持通过IAM实现对云防火墙（原生版）的访问控制、权限分配。 云防火墙（原生版）通过IAM（统一身份认证服务，Identity and Access Management）对用户权限进行管理，IAM可以帮助用户安全地控制云防火墙（原生版）服务的访问及操作权限。 默认情况下，天翼云主账号拥有管理员权限，而主账号创建的IAM用户没有任何权限。IAM用户需要加入用户组，并给用户组授权相应策略后，IAM用户才能获得策略对应的权限，才可以基于被授予的权限对云服务进行操作。 IAM应用场景 IAM策略主要面向同一主账号下，对不同IAM用户授权的场景： 您可以为不同操作人员或应用程序创建不同IAM用户，并授予IAM用户刚好能完成工作所需的权限，比如查看权限，进行最小粒度授权管理。 新创建的IAM用户可以使用自己的登录名和密码登录控制台，实现多用户协同操作时无需分享账号密码的安全要求。 IAM策略说明 天翼云为云防火墙（原生版）提供如下系统策略 。如果系统策略不满足授权要求，可以创建自定义策略 ，自定义策略是对系统策略的扩展和补充，详情请参见创建自定义策略。 策略名称 策略描述 类别 授权范围 CFW admin 管理员，拥有云防火墙（原生版）全部操作权限。 系统策略 全局级 CFW viewer 仅拥有云防火墙（原生版）查看权限。 系统策略 全局级

本文绍了如何查看RDSPostgreSQL实例连接信息。 操作场景 客户从内外网连接实例时需要从控制台获取实例连接信息，当前连接方式不可修改。 约束限制 当前实例创建后，内网连接IP不可修改。 操作步骤 Ⅰ类资源池的连接信息获取方式 1. 登录天翼云门户。 2. 点击【控制中心】，选择对应资源池，例如“上海7”。 3. 选择【关系数据库PostgreSQL版】，点击进入组件控制台管理页面。 4. 在“实例管理”列表中点击对应的实例进入实例信息页，其中“连接地址”即为实例的内网IP，“数据库端口”为实例的连接端口，“虚拟私有云”为对应的VPC，“安全组”为对应的安全组。 Ⅱ类资源池的连接信息获取方式 1. 登录天翼云门户。 2. 点击控制中心，进入控制中心后，选择目标资源池。 3. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 4. 在左侧菜单中点击【PostgreSQL】→【实例管理】，点击进入产品实例管理页。 5. 在【实例管理】的实例列表中选择目标实例，点击实例名称进入实例管理详情页。 6. 在单个实例的管理详情页中，“ipv4地址”为天翼云内的ipv4连接地址，“ipv6地址”为天翼云内的ipv6连接地址，“弹性IP”为当前实例绑定的可公网访问的IP信息，“数据库端口”为当前实例的连接端口。 注意 不同资源池因iaas资源能力等原因，加载版本有所差异，详见

备份方案 使用场景 自动备份 自动备份通常应用于以下场景： 数据备份和恢复：在生产系统中使用MySQL自动备份功能可以轻松备份所有数据（或者某些数据），并在数据丢失或出现故障时快速恢复数据。 数据复制和迁移：MySQL自动备份功能可以将备份文件复制到其他数据库服务器上，从而实现数据复制和迁移。这对于开发团队测试或生产系统的新部署非常重要。 性能和安全：在系统中使用MySQL自动备份功能可以帮助数据库管理员决定何时进行备份，并且可以按时调度任务。这样可以避免在系统高峰期间执行备份操作，造成性能问题。此外，备份还可以加密， 并保存在安全的地方以保护数据。 手动备份 手动备份通常应用于以下场景： 应急备份：MySQL手动备份可以在需要时立即备份所有数据，并在紧急情况下恢复。这对于快速回滚到过往版本的数据库非常有用，从而修复由数据损坏、恶意活动导致的问题。 数据库迁移：在数据库迁移期间，手动备份允许您复制数据库并在另一个服务器或云服务环境中恢复数据。在迁移过程中，确保数据不会丢失，以及在迁移结束时，确保应用程序的正常运行。 需要进行定时备份的服务器：在一些服务器中，如果由于备份文件大小、太大或者检测到性能问题导致自动备份不可行的情况下，手动备份可以作为一种替代方法。通过管理员手动设置时间表，公司可以安排定期手动备份以保护其数据。

STS即Secure Token Service 是一种安全凭证服务，可以使用STS来完成对于临时用户的访问授权。对于跨用户短期访问对象存储资源时，可以使用STS服务。这样就不需要透露主账号AK/SK，只需要生成一个短期访问凭证给需要的用户使用即可，避免主账号AK/SK泄露带来的安全风险。 初始化STS服务 cpp Aws::String ak " "; Aws::String sk " "; Aws::String endPoint " "; ​ Aws::Auth::AWSCredentials cred(ak, sk); Aws::Client::ClientConfiguration cfg; cfg.endpointOverride endPoint; cfg.scheme Aws::Http::Scheme::HTTP; cfg.verifySSL false; stsclient new Aws::STS::STSClient(cred, cfg); 获取临时token cpp const Aws::String roleArn "arn:aws:iam:::role/xxxxxx"; const Aws::String roleSessionName " "; const Aws::String bucketname " "; const Aws::String policy "{"Version":"20121017"," ""Statement":" "{"Effect":"Allow"," ""Action":["s3:"]," // 允许进行 S3 的所有操作。如果仅需要上传，这里可以设置为 PutObject ""Resource":["arn:aws:s3:::" + bucketname + "","arn:aws:s3:::" + bucketname + "/"]"// 允许操作默认桶中的所有文件，可以修改此处来保证操作的文件 "}}"; Aws::STS::Model::AssumeRoleRequest request; request.SetPolicy(policy); request.SetRoleArn(roleArn); request.SetRoleSessionName(roleSessionName); std::cout AssumeRole(request); if (outcome.IsSuccess()) { auto& cred outcome.GetResult().GetCredentials(); std::cout << "ak:" << cred.GetAccessKeyId() << std::endl; std::cout << "sk:" << cred.GetSecretAccessKey() << std::endl; std::cout << "token:" << cred.GetSessionToken() << std::endl; return true; } else { auto err outcome.GetError(); std::cout << "Error: AssumeRole: " << err.GetExceptionName() << ", " << err.GetMessage() << std::endl; return false; }

STS即Secure Token Service 是一种安全凭证服务，可以使用STS来完成对于临时用户的访问授权。对于跨用户短期访问对象存储资源时，可以使用STS服务。这样就不需要透露主账号AK/SK，只需要生成一个短期访问凭证给需要的用户使用即可，避免主账号AK/SK泄露带来的安全风险。 初始化STS服务 php require '/path/to/autoload.php'; use AwsStsStsClient; use AwsExceptionAwsException; use AwsCredentialsCredentials; ​ const endpoint ' '; // e.g. or const accesskey ' '; const secretkey ' '; ​ $credentials new Credentials(accesskey, secretkey); ​ $this>stsClient new StsClient([ 'region' > 'ctyun', // region固定填ctyun 'version' > '20110615', // sts接口版本号，固定填20110615 'credentials' > $credentials, 'endpoint' > endpoint, ]); 获取临时token php public function AssumeRole() { $bucket ' '; $arn ' '; ​ $roleSessionName ' '; $roleArn "arn:aws:iam:::role/$arn"; $policy "{"Version":"20121017","Statement":{"Effect":"Allow","Action":["s3:"],"Resource":["arn:aws:s3:::$bucket","arn:aws:s3:::$bucket/"]}}"; ​ try { $res $this>stsClient>assumeRole([ 'Policy' > $policy, 'RoleArn' > $roleArn, 'RoleSessionName' > $roleSessionName, ]); vardump($res>get('Credentials')); } catch (AwsStsExceptionStsException $e) { echo "Exception: $e"; } } 参数说明： 参数 类型 描述 是否必要 RoleArn String 角色的ARN，在控制台创建角色后可以查看 是 Policy String 角色的policy，需要是json格式，限制长度1~2048 是 RoleSessionName String 角色会话名称，此字段为用户自定义，限制长度2~64 是 DurationSeconds Integer 会话有效期时间，默认为3600s 否

客户域名可能会因为恶意攻击、网站恶意盗刷等各种恶意访问行为产生突发流量或带宽，进而在DDoS 高防（边缘云版）产生超出日常正常加速的服务费用。本文侧重介绍如何避免因恶意攻击带来的高额账单风险。 方法一：设置可用额度预警 通过对客户在天翼云官网账户的可用额度预警进行设置，当用户的余额低于阈值，系统会发送短信提醒。 操作步骤： 1. 登录天翼云账户。 2. 单击右上角。 3. 单击【费用中心】。 4. 打开【可用额度预警】开关，修改预警阈值，当用户的余额低于阈值，系统会发送短信提醒。 方法二：开通安全防护功能 DDoS 高防（边缘云版）是针对游戏、互联网及金融等业务遭受大流量 DDoS 攻击导致用户服务不可用的情况而推出的付费防护服务，如果客户的业务存在潜在的被恶意访问风险，需要抗DDoS和抗CC攻击的安全防护功能，建议开通DDoS高防（边缘云版），详情请见：DDoS高防（边缘云版）；如果客户的网站既需要进行流量型DDoS攻击的防护，同时也需要对精巧的Web应用层攻击时进行防御，建议叠加Web应用防火墙（边缘云版）进行联合防御。详情请见：叠加Web应用防火墙（边缘云版）。

本章节内容主要介绍相关术语解释 VPC网络 基于虚拟私有云（Virtual Private Cloud，简称VPC）网络的数据迁移是指实时迁移场景下，源数据库与目标数据库属于同一个虚拟网络内或者跨可通信虚拟网络内，不需要您额外搭建其他网络服务。 VPN网络 基于虚拟专用网络（Virtual Private Network，简称VPN）的数据迁移是指实时迁移场景下，源数据库与目标数据库属于同一个可通信的虚拟网络内，并且通过VPN在用户的其他数据中心和云平台之间建立的一条符合行业标准的安全加密通信隧道，可将已有数据中心无缝扩展到云上。 目前天翼云VPN只支持IPSec VPN。 专线网络 专线网络是通过云专线服务将用户侧的数据中心连接至云计算平台Region的虚拟私有云专线连接。您可以利用专线网络建立云与数据中心的专线连接，享受高性能、低延迟、安全专用的数据网络。 迁移实例 迁移实例是帮助实现数据迁移的辅助型资源，存在于迁移任务的整个生命周期。数据库复制服务可以通过迁移实例连接源数据库，读取源数据，然后将数据库复制到目标数据库中。 迁移日志 迁移日志是指数据库迁移过程中，数据库复制服务为您提供的包含警告、错误和提示等类型的信息。 同步实例 同步实例是帮助实现实时同步的辅助型资源，存在于同步任务的整个生命周期。数据库复制服务可以通过同步实例连接源数据库，读取源数据，然后将实时同步到目标数据库中。

状态 说明 正常 数据库实例运行正常。 异常 数据库实例不可用。 创建中 正在创建数据库实例。 创建失败 数据库实例创建失败。 备份中 正在创建数据库实例备份。 重启中 按照用户请求，或修改需要重启才能生效的数据库参数后，重启实例中。 主备切换中 正在切换副本集实例及集群实例的shard、config的主备节点。 节点扩容中 正在扩容集群实例的shard或mongos节点个数。 删除节点中 正在删除添加失败的节点。 存储扩容中 正在扩容实例的磁盘大小。 规格变更中 正在变更实例的CPU和内存规格。 转包周期中 实例的计费方式正在由“按需计费”转为“包年/包月”。 恢复检查中 该实例下的备份正在恢复到新实例。 恢复中 该实例下的备份正在恢复到已有实例。 恢复失败 通过备份恢复到已有实例失败。 切换SSL中 正在开启或关闭SSL通道。 慢日志配置修改中 正在切换慢日志明文显示开关。 修改内网地址中 正在修改节点的内网IP地址。 修改端口号中 正在修改数据库实例的端口。 修改安全组中 正在修改数据库实例的安全组。 冻结 账户余额小于或等于0元，系统对该用户下的实例进行冻结。您需前往费用中心充值成功，欠款核销后，冻结的实例才会解冻。 补丁升级中 正在进行补丁升级。 包周期变更资源检查中 包周期实例在进行变更过程中所持续的状态。

编辑角色 步骤 1 登录ServiceStage控制台，选择“微服务引擎 CSE”。 步骤 2 进入微服务引擎页面，选择待编辑角色的微服务引擎，单击“查看控制台”。 步骤 3 在弹出的“安全认证”对话框输入该微服务引擎下关联了admin角色权限的帐号名及其密码，单击“确定”。 说明： 首次连接微服务引擎，请输入root帐号名及创建微服务引擎专享版时输入的密码。 创建帐号请参考新增帐号。 步骤 4 选择“系统管理 > 角色管理 ”，单击待编辑角色“操作”列的“编辑”。 步骤 5 根据实际业务需求，修改“服务组”和“权限动作”。 步骤 6 单击“保存”，完成角色编辑。 删除角色 说明： 角色删除后无法恢复，请谨慎操作。 删除角色前要先确认该角色没有被帐号关联。取消角色同帐号之间的关联，请参考编辑帐号。 步骤 1 登录ServiceStage控制台，选择“微服务引擎 CSE”。 步骤 2 进入微服务引擎页面，选择待删除角色的微服务引擎，单击“查看控制台”。 步骤 3 在弹出的“安全认证”对话框输入该微服务引擎下关联了admin角色权限的帐号名及其密码，单击“确定”。 说明： 首次连接微服务引擎，请输入root帐号名及创建微服务引擎专享版时输入的密码。 创建帐号请参考新增帐号。 步骤 4 选择“系统管理 > 角色管理 ”，单击待删除角色“操作”列的“删除”。 步骤 5 在输入框输入“DELETE”，单击“确定”。

HTTP鉴权有什么作用。 HTTP鉴权有什么作用？ HTTP鉴权是在回调过程增加特殊HTTP头，供回调地址提供方进行校验（防止非云点播服务调用该接口，造成安全问题）。具体是否校验可由用户自行判断。请注意接收回调的鉴权需要遵循云点播的鉴权规则，详情可查看【点播模式】【回调通知】。

此小节介绍数据库安全如何配置隐私数据保护规则。 当需要对输入的SQL语句的敏感信息进行脱敏时，您可以通过开启隐私数据脱敏功能，以及配置隐私数据脱敏规则，防止数据库用户敏感信息泄露。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 已成功添加数据库并开启审计功能。 已成功添加并安装Agent。 操作步骤 1. 登录管理控制台。 2. 单击右上角的 ，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全审计“总览”界面。 4. 在左侧导航树中，选择“审计规则”，进入审计规则界面。 5. 在“选择实例”下拉列表框中，选择需要配置隐私数据保护规则的实例。 6. 选择“隐私数据保护”页签。 7. 开启或关闭“存储结果集”和“隐私数据脱敏”。 存储结果集 建议关闭 。关闭后，数据库安全审计分析平台将不会存储用户SQL语句的结果集。 说明 如果用于PCI DSS/PCI 3DS CSS认证，禁止开启。 隐私数据脱敏 建议开启 。开启后，您可以通过配置隐私数据脱敏规则，防止数据库敏感信息泄露。 8. 单击“添加自定义规则”，在弹出“添加自定义规则”对话框中设置数据脱敏规则，如下图所示，相关参数说明如下表所示。 参数名称 说明 取值样例 规则名称 自定义规则的名称。 test 正则表达式 输入需要配置的正则表达式。 替换值 输入正则表达式脱敏后的替换值。

本章节为您介绍如何将已添加到数据安全中心DSC防护的对象存储OBS桶删除。 将对象存储OBS桶删除后，该资产在DSC服务里建立的相关任务模板以及扫描任务结果报告都将被删除，且无法恢复。 前提要求 需要完成对象存储OBS资产委托授权，参考云资源委托授权/停止授权步骤进行操作。 需要删除的对象存储OBS资产未被应用在敏感数据识别任务中。 注意 如果需要删除的OBS资产已被应用在敏感数据检测任务中，请先解绑资产或者删除任务，再参照本章节删除资产。 OBS资产删除后无法恢复，资产相关的任务模板，任务结果，报表都将删除，请谨慎操作。 操作步骤 1.登录管理控制台。 2.点击左上角的，选择区域或项目。 3.点击左侧导航树的，选择“安全与合规 >数据安全中心”，进入数据安全中心总览界面。 4.在左侧导航树中选择“资产列表”，进入OBS资产列表页面。 5.在OBS资产列表中，在需要删除的OBS资产所在行的“操作”列，单击“删除”。 6.在弹出窗口中，单击“确定”。

本节主要介绍环境准备 创建微服务引擎前，您需要创建虚拟私有云（Virtual Private Cloud，以下简称VPC），并且已配置好安全组与子网。VPC为专享版的微服务引擎提供一个隔离的、用户自主配置和管理的虚拟网络环境，提升公有云中资源的安全性，简化云上网络部署。 背景介绍 如果用户已有VPC，可重复使用，不需要多次创建。 只有在相同VPC下的客户端才可以访问专享版微服务引擎。 操作步骤 1、登录管理控制台，进入控制中心，选择“网络 > 虚拟私有云”。 2、单击页面右上方的“创建虚拟私有云”，创建虚拟私有云。 3、根据界面提示创建虚拟私有云和子网。 如无特殊需求，界面参数均可保持默认。 创建虚拟私有云时，会同时创建子网，也可额外创建新的子网。

参数 描述 IP地址或域名 源数据库的IP地址或域名。 端口 源数据库服务端口，可输入范围为1~65535间的整数。 数据库用户名 源数据库的用户名。 数据库密码 源数据库用户名所对应的密码。支持在任务创建后修改密码。 任务为启动中、全量同步、增量同步、增量同步失败状态时，可在“基本信息”页面的“同步信息”区域，单击“源库密码”后的“替换密码”，在弹出的对话框中修改密码。 SSL安全连接 通过该功能，用户可以选择是否开启对同步链路的加密。如果开启该功能，需要用户上传SSL CA根证书。 说明 最大支持上传500KB的证书文件。 如果不使用SSL证书，请自行承担数据安全风险。