本章节主要介绍ALM16046 Hive数据仓库权限被修改的告警。 告警解释 系统每60秒周期性检测Hive数据仓库的权限是否被修改，如果修改发出告警。 告警属性 告警ID 告警级别 是否自动清除 16046 紧急 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 对系统的影响 Hive默认数据仓库的权限被修改，会影响当前用户，用户组，其他用户在默认数据仓库中创建库、创建表等操作的操作权限范围。会扩大或缩小权限。 可能原因 Hive定时查看默认数据仓库的状态，发现Hive默认数据仓库权限发生更改。 处理步骤 检查Hive默认数据仓库权限情况 1. 以root用户登录客户端所在节点。 2. 请使用具有supergroup组权限的用户，根据当前集群情况恢复目录权限： 安全环境：执行命令hdfs dfs chmod 770 hdfs://hacluster/user/hive/warehouse修复默认数据仓库权限。 非安全环境：执行命令hdfs dfs chmod 777 hdfs://hacluster/user/hive/warehouse修复默认数据仓库权限。 3. 查看本告警是否恢复。 是，操作结束。 否，执行步骤4。 收集故障信息 4. 收集客户端后台“hdfs://hacluster/user/hive/warehouse”目录下内容的相关信息。 5. 请联系运维人员，并发送已收集的故障信息。 告警清除 此告警修复后，系统会自动清除此告警，无需手工清除。 参考信息 无。

本文介绍云容器引擎的产品优势。 云容器引擎是基于业界主流的Docker和Kubernetes开源技术构建的容器服务，提供众多契合企业大规模容器集群场景的功能，在系统可靠性、高性能、开源社区兼容性等多个方面具有独特的优势，满足企业在构建容器云方面的各种需求。云容器引擎的优点有：大幅提高线上业务的运维、弹性伸缩能力；大幅提高资源、设备及人力的利用率，降低成本；大幅提升产品、业务应用的研发效率。 管理简单 帮助用户屏蔽了底层技术架构，云容器引擎具有强大的集群管理功能，简单的操作流程。用户可自定义集群应用，只需进行简单的单击操作，即可完成业务部署，无需参与底层网络、存储等的技术设计，无需手动搭建docker及kubernetes集群，并进行证书、密钥等配置，减少技术人员的投入，节约人力成本。 云容器引擎平台为集群、应用、容器、网络、配置项、命名空间等丰富的集群资源提供了直观的界面化管理，简化了用户操作。用户可随时随地登陆，进行应用容器的生命周期管理，灵活的安排运行的应用业务，浏览当前具备的资源及业务运行状态，大幅降低了用户的管理成本、运维成本。 安全稳定 云容器引擎服务提供3个master主节点的高可用集群，去中心化式的集群架构，确保当单个主控节点出现问题时，集群也能够无中断的继续运行。相比用户自建的单主控节集群，业务稳定性与连续性大大提高。 云容器服务基于天翼云优秀的IAAS层基础架构搭建，成熟的虚拟化技术、优质的网络架构，以及多层次的安全防护能力，从底层确保了上层容器服务的稳定可靠性。用户可自定义安全组规则，进一步提高隔离水平。 伴随业务版本的快速迭代，云容器引擎服务提供了渐进式的滚动升级策略，搭配容器镜像服务，通过web界面一键完成应用版本升级，无忧实现业务平滑替换，提高业务连续性，保障优质的用户体验感。 云容器引擎提供集群、节点、容器多层面的状态监控，支持全时段的事件监控，应用日志查看，容器健康检查等功能，用户只需登陆容器引擎平台总览页面，即可将集群、网络、CPU、内存资源等信息尽收眼底，时刻把握集群情况，并快速定位故障发生原因，减少运维人力，提高运维效率。 轻松应对 云容器引擎提供了应用层级别的水平伸缩能力，即Horizontal Pod Autoscaling（HPA），支持用户自定义Pod伸缩策略，根据容器资源使用情况，自动快速调整Pod数量，及时应对用户业务流量变化，保障业务对外能力可用。 云容器引擎支持应用与节点、应用间的亲和、反亲和性质的调度策略配置，帮助用户实现节点负载的合理安排和组织，提高系统的稳定性、扩展性。提高各节点的资源利用效率。支持Pod级别迁移策略配置，当节点出现故障时可快速迁移应用。 开放兼容 云容器引擎服务深度整合了天翼云平台成熟的计算、存储、网络、安全等云产品功能，提高了系统的可扩展性。用户可集合平台提供的其它云产品能力，如云主机监控、存储管理等，进一步构建完善云上业务系统。 云容器引擎在Docker技术的基础上，为容器化的应用提供部署运行、资源调度、服务发现和动态伸缩等一系列完整功能，提高了大规模容器集群管理的便捷性。云容器引擎基于业界主流Kubernetes实现，完全兼容Kubernetes/Docker社区原生版本，与社区最新版本保持紧密同步，完全兼容Kubernetes API和Kubectl。 特色功能 镜像仓库：容器引擎为用户提供了配套的镜像仓库管理服务，支持创建仓库及镜像管理等基础功能，并为用户提供了丰富的官方镜像资源，覆盖面广，满足用户不同的业务需求，保障了镜像的可靠性与安全性。用户无需自行搭建和运维仓库，即可一键快速完成业务容器化部署，提高业务容器化效率。 天翼云平台为用户提供了专业的售后运营团队，全天候724小时服务。用户可通过工单、电话等渠道，对产品故障进行反应。团队将及时响应，并快速定位问题，解决客户的疑难杂症。

本节介绍数据安全中心与周边服务的依赖关系。 与弹性云主机的关系 弹性云主机是一种可随时自助获取、可弹性伸缩的云服务器。经用户授权后，数据安全中心可以为弹性云服务器上的自建数据库提供敏感数据自动识别分类和数据保护服务。 与物理机的关系 物理机是一款兼具虚拟机弹性和物理机性能的计算类服务。经用户授权后，数据安全中心可以为物理机上的自建数据库提供敏感数据自动识别分类和数据保护服务。 与对象存储服务的关系 对象存储服务是一款稳定、安全、高效、易用的云存储服务，具备标准Restful API接口，可存储任意数量和形式的非结构化数据。经用户授权后，数据安全中心可以为对象存储提供敏感数据自动识别分类、用户异常行为分析、数据保护三大服务。 与关系型数据库的关系 关系型数据库是一种基于云计算平台的即开即用、稳定可靠、弹性伸缩、便捷管理的在线关系型数据库服务。经用户授权后，数据安全中心可以为关系型数据库服务中的实例提供敏感数据自动识别分类和数据保护服务。 与数据仓库服务的关系 数据仓库服务是一种基于公有云基础架构和平台的在线数据处理数据库，提供即开即用、可扩展且完全托管的分析型数据库服务。经用户授权后，数据安全中心可以为数据仓库服务提供敏感数据自动识别分类和数据保护服务。

本页介绍天翼云TeleDB数据库中通信加密。 通信加密是指基于传输层SSL（Secure Sockets Layer）协议加密的加密方式。SSL加密是一种安全协议，用于在互联网上建立一个加密的链接，来确保数据传输的安全性。采用SSL加密有如下优点： 数据加密 ：SSL使用强大的加密算法来保护数据不被未授权访问。 身份验证 ：通过证书验证，确保用户连接到的是正确的服务器，而不是一个假冒的服务器。 数据完整性 ：SSL提供了消息完整性检查，确保数据在传输过程中未被篡改。 安全性 ：SSL广泛被用于电子商务、网上银行和其他需要保护用户数据安全的场合。 兼容性 ：几乎所有现代浏览器和Web服务器都支持SSL。 易于部署 ：SSL证书可以从多个证书颁发机构获得，安装和配置过程相对简单。 增强信任 ：使用SSL的网站通常会在浏览器地址栏显示一个锁形图标，增强用户对网站的信任。 通信加密的方案 通信加密方案实现原理是通过采用SSL加密，在Web浏览器和服务器之间建立通信加密连接，保护数据在传输过程中不被窃听或篡改。再通过证书验证，确保用户连接到的是正确的服务器，而不是一个假冒的服务器。 开启通信加密 您可参考如下操作开启通信加密。 1. 以用户名和密码登录TeleDBDCP管理控制台。 2. 进入TeleDBDCP控制台管理页面，开通实例。 您可参考《安装部署》中实例服务初始化及实例开通章节开通实例。 3. 在实例开通页面，填写基本信息页面，打开SSL开关，打开内部通信加密开关。

本文介绍了如何使用弹性云主机的Windows实例搭建FTP站点 本文介绍了如何使用弹性云主机的Windows实例搭建FTP站点。该指导具体操作以Windows Server 2012 R2为例。 Windows实例搭建FTP站点具体操作步骤如下： 1、添加IIS以及FTP服务角色。 2、创建FTP用户名及密码。 3、设置共享文件的权限。 4、添加及设置FTP站点。 5、（可选）配置FTP防火墙支持。 6、设置安全组及防火墙。 7、客户端测试。

本节介绍了操作系统更新的相关内容。 云数据库 TaurusDB实例需要适时进行操作系统更新，以提高数据库性能和数据库的整体安全状况。 实例内核版本升级时，云数据库 TaurusDB会根据操作系统的实际情况，决定是否更新以及更新适合的操作系统冷补丁版本。 操作系统更新不会更改数据库实例的版本或数据库实例信息。 此外，云数据库 TaurusDB会在用户设置的运维时间段内，通过热补丁方式及时修复影响重大的操作系统漏洞。

功能 基础版 专业版 高级版 企业版 常见Web漏洞检测 √ √ √ √ 端口扫描 √ √ √ √ 自定义登录方式 √ √ √ √ Web 2.0高级爬虫 √ √ √ √ 网站指纹识别 √ √ √ √ 扫描任务管理 √ √ √ √ 漏洞查看及管理 √ √ √ √ CVE漏洞扫描 × √ √ √ 弱密码检测 × √ √ √ 网页内容合规检测（文字） × √ √ √ 操作系统漏洞扫描 × √ √ √ 操作系统基线检查 × √ √ √ 中间件基线检查 × √ √ √ 查看漏洞修复建议 × √ √ √ 下载扫描报告 × √ √ √ 安全监测（定时扫描） × √ √ √ 网页内容合规检测（图片） × × × √ 网站挂马检测 × × × √ 链接健康检测（死链、暗链、恶意外链） × × × √ 操作系统等保合规检查 × × × √

本文介绍了RDSPostgreSQL如何避免恶意访问数据库。 用户开通RDSPostgreSQL时，建议根据密码规则设置强密码并定期修改，以防密码泄露。 通过EIP访问实例时，建议用户妥善保存EIP、数据库端口、数据账号密码等数据库信息。 建议用户通过安全组限定源IP，确保访问IP可信。 您也可为您的实例设置访问白名单，杜绝非法IP访问您的数据库实例，具体设置方法可参照创建白名单。

本节介绍如何设置资产更新范围，及如何手动更新资产。 设置更新范围 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“资产中心”，进入资产中心页面。 3. 单击资产中心页面右上角的“设置”图标。 4. 进入资产设置页面，对更新范围进行选择。 更新范围支持全部资产和集群资产： 全部资产：更新慢，更新所有资产。 集群资产：更新快，更新除仓库镜像外的资产。仓库镜像可通过在“镜像安全 > 镜像设置 > 扫描设置”设置“仓库镜像更新周期”定期自动更新。具体操作请参见镜像设置。 5. 点击页面标题左侧的返回按钮即返回到资产页面。 手动更新资产 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“资产中心”，进入资产中心页面。 3. 单击资产中心页面左上角的“更新资产”，系统将按照已设置的更新范围更新资产。

HTTP鉴权有什么作用。 HTTP鉴权有什么作用？ HTTP鉴权是在回调过程增加特殊HTTP头，供回调地址提供方进行校验（防止非云点播服务调用该接口，造成安全问题）。具体是否校验可由用户自行判断。请注意接收回调的鉴权需要遵循云点播的鉴权规则，详情可查看【点播模式】【回调通知】。

当进行授权数据安全中心DSC服务访问对象存储OBS资产后，可将OBS资产添加到DSC服务里进行防护。 前提条件 需要完成OBS资产委托授权，具体可以参考云资源委托授权/停止授权操作。 如果需要添加自有对象存储OBS桶，则需要已开通且已使用过OBS服务。 如果需要添加其他桶，则需设置该桶的权限为“公共”。 操作步骤 1. 登录管理控制台。 2. 点击左上角的，选择区域或项目。 3. 点击左侧导航树中的，选择“安全与合规 >数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中选择“资产列表”，进入OBS资产列表页面。 5. 添加OBS资产。 添加自有桶 1. 在OBS资产列表左上角，单击“添加自有桶”。 2. 在弹出添加自有桶对话框中，勾选需要添加的OBS桶。 3. 单击“确定”。 添加其他桶 1. 在OBS资产列表左上角，单击“添加其他桶”。 2. 在弹出的添加其他桶对话框中，输入待添加桶的名称。 如需添加多个桶，则可单击，继续进行添加。 3. 单击“确定”。

本节主要介绍环境准备 创建微服务引擎前，您需要创建虚拟私有云（Virtual Private Cloud，以下简称VPC），并且已配置好安全组与子网。VPC为专享版的微服务引擎提供一个隔离的、用户自主配置和管理的虚拟网络环境，提升公有云中资源的安全性，简化云上网络部署。 背景介绍 如果用户已有VPC，可重复使用，不需要多次创建。 只有在相同VPC下的客户端才可以访问专享版微服务引擎。 操作步骤 1、登录管理控制台，进入控制中心，选择“网络 > 虚拟私有云”。 2、单击页面右上方的“创建虚拟私有云”，创建虚拟私有云。 3、根据界面提示创建虚拟私有云和子网。 如无特殊需求，界面参数均可保持默认。 创建虚拟私有云时，会同时创建子网，也可额外创建新的子网。

参数 描述 IP地址或域名 源数据库的IP地址或域名。 端口 源数据库服务端口，可输入范围为1~65535间的整数。 数据库用户名 源数据库的用户名。 数据库密码 源数据库用户名所对应的密码。支持在任务创建后修改密码。 任务为启动中、全量同步、增量同步、增量同步失败状态时，可在“基本信息”页面的“同步信息”区域，单击“源库密码”后的“替换密码”，在弹出的对话框中修改密码。 SSL安全连接 通过该功能，用户可以选择是否开启对同步链路的加密。如果开启该功能，需要用户上传SSL CA根证书。 说明 最大支持上传500KB的证书文件。 如果不使用SSL证书，请自行承担数据安全风险。

本节介绍IPSec VPN的产品介绍。 功能介绍 IPsec VPN产品用于客户防火墙或其他VPN设备与云侧IPsec VPN实例建立加密隧道实现数据入云安全传输，完成客户侧办公区与云侧VPC的快速安全互联。有别于iVPN实例，iVPN实例在逻辑上属于客户侧资源，IPsec VPN实例在逻辑上属于云侧资源。同时IPsec VPN与翼甲防火墙产品相比，不需要绑定弹性IP即可建立加密隧道。 使用限制 （1）IPsec VPN支持关联的客户侧网段与各VPC子网网段重叠，但是需要用户确保客户侧与云侧不存在IP冲突设备，因此建议用户在使用过程中避免客户侧与云侧网段重叠。 （2）IPsec VPN只能加载IPsec VPN实例所在资源池VPC，加载跨资源池VPC需要结合跨域互联使用。 （3）IPSec VPN暂时只支持IKEv2协议。

客户边界设备 位于客户站点边缘（Customer Edge），简称为CE，用于连接PE设备，一般为路由器。 站点 对于特定的MPLS VPN网络，一个不需要通过MPLS VPN承载网就能完成互联的IP网络系统，称之为一个站点。 云内网络 由天翼云资源池内的虚拟化网络设备（如vRouter、vSwitch）、物理网络设备（交换机或路由器）及其连接线路构成的资源池内的网络。 虚拟私有云 虚拟私有云（VPC）为用户在云端构建一个安全可靠、可配置和管理的虚拟网络环境。虚拟私有云可以申请配置弹性带宽/IP、创建子网、设置安全组、配置DHCP等服务。 云网关 云网关（Cloud Gateway），简称为CGW，是第三方公有云与CN2DCI网络PE互联的网关设备。 边界路由器 边界路由器（Virtual Border Router），简称为VBR，是CN2 PE设备和阿里云VPC之间的一个路由器，作为数据从阿里云VPC到公共传输通道的转发桥梁。

参数 描述 源库类型 选择“ECS自建库”。 VPC 源数据库实例所在的虚拟专用网络，可以对不同业务进行网络隔离。您需要创建或选择所需的虚拟私有云。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。子网在可用分区内才会有效，创建源数据库实例的子网需要开启DHCP功能，在创建过程中也不能关闭已选子网的DHCP功能。 IP地址或域名 源数据库的IP地址或域名。 端口 源数据库服务端口，可输入范围为1~65535间的整数。 指定数据库名称 选择是否指定数据库，开启后需手动输入数据库名称。 数据库用户名 源数据库的用户名。 数据库密码 源数据库的用户名所对应的密码。 SSL安全连接 通过该功能，用户可以选择是否开启对同步链路的加密。

本章介绍处理HSS暴力破解告警的方法。 说明 收到告警事件通知说明您的云服务器被攻击过，不代表已经被破解入侵。 您可在收到告警后，及时对告警进行分析、排查，采取相应的防护措施即可。 可能原因：由于您服务器的远程连接端口没做访问控制，导致网络上的病毒频繁攻击您服务器端口。 解决方案：您可通过以下方式来改善被频繁暴破攻击的情况，降低风险： 1、配置白名单 2、修改端口 3、设置安全组规则 4、开启双因子认证 5、设置高强度口令 操作详情请参见如何预防账户暴力破解攻击？

应用场景 使用CherryStudio加载DeepSeek大模型的应用场景如下： 1. 学习研究 ：学生用其整理复习资料、辅助学术研究、助力论文写作；研究人员用于文献综述、分析问题等。 2. 工作办公 ：项目管理中生成报告、分析风险；内容创作时构思创意、撰写文案；代码开发里获取代码示例、解决问题。 3. 生活娱乐 ：作为智能聊天伙伴解闷陪伴，为创意活动如绘画等提供灵感启发。 4. 知识管理 ：个人可构建知识体系，团队能实现知识共享。 注意 建议使用天翼云提供的DeepSeek镜像创建云主机，减少安装过程中可能遇到的问题。镜像选择请参考在天翼云使用Ollama运行DeepSeek的最佳实践7B等版本弹性云主机最佳实践AIGC实践 天翼云。 操作步骤 一、 云主机端口配置更新 首先，您需要登录天翼云控制中心，对部署DeepSeek大模型的云主机添加新的端口开放操作。通过天翼云控制台进入部署了DeepSeek大模型的云主机详情页，选择安全组，添加新的开放端口，建议选择新加114343端口，该端口是 Ollama 服务默认监听的端口。添加完成后，可在安全组规则列表中查看新添加的11434 端口规则，确认其状态为正常生效。 随后进入控制台，远程登陆即将安装AnythingLLM的云主机。

本节主要介绍边边网络的组成、产品优势、应用场景和使用限制。 针对处于相同或者不同边缘云地域下的多VPC之间内网互通场景，边边网络EEN(Edge to Edge Network)提供多VPC内网互通服务，其可以快速构建安全、稳定、灵活的边边互通网络。 边边网络提供路由控制功能，当VPC加入边边网络实例时，系统会自动将VPC下所有子网的路由自动添加到边边网络实例的路由表，添加后路由默认不开启，需手动开启；当VPC和边边网络实例解除关联后，对应的路由会自动删除。若关联的多个VPC下的子网CIDR有重叠冲突或者包含冲突时，当两个子网路由均需开启时，后开启的路由将因冲突不能开启。 应用场景 同地域多VPC内网互通组网 针对ECX同一地域下的两个以上的VPC之间内网互通组网需求，建议使用EEN关联多个VPC的方式实现内网互通，该方式可以代替传统的VPC对等连接功能，简化多VPC之间内网互通的网络结构和配置，同时还保留后续跨边缘云地域的内网组网能力。 跨地域多VPC内网互通组网 针对ECX边缘云不同地域下的多个VPC之间的内网互通组网需求，建议使用EEN关联多个VPC的方式实现内网互通，该方式代替传统的VPN和专线方案快速实现跨边缘云地域多VPC内网组网，可以简化配置和成本，同时提供安全、优质、稳定的网络质量。 同一边边网络实例可以同时支持ECX边缘云同地域多VPC内网互通和跨地域多VPC内网互通需求。

本章节介绍CNI插件的使用 背景 sidecar模式下，服务网格默认通过给业务pod注入一个istioinit容器配置iptabels规则，实现业务无感的流量拦截，但是这种配置方式需要较高的权限（NETADMIN 和 NETRAW），在对安全较为敏感的场景，这种配置方式可能带来安全风险。通过CNI插件方式，不需要用户提权的情况完成和istioinit相同的能力，实现容器流量拦截配置功能。CNI插件以DaemonSet方式部署在集群中，创建pod时完成容器网络配置。 操作 进入服务网格控制台 > sidecar管理 > 网格CNI插件 菜单，您可以选择对应的istio版本和相关配置，开启或关闭CNI插件，配置说明如下 配置 说明 版本 升级过程中可能同时存在多个版本，您可以选择一个版本开启CNI插件 排除的命名空间 排除的命名空间下的pod不会被CNI插件处理，一般配置为一些不希望注入网格sidecar的命名空间。请勿将需要注入sidecar的命名空间添加到CNI排除的命名空间列表中，可能导致pod启动失败。 使用CNI插件实现sidecar流量拦截配置 1. 进入服务网格控制台 > sidecar管理 > 网格CNI插件 菜单，开启网格CNI插件，完成后可以看到云容器引擎中已经部署了网格CNI 2. 部署应用服务，确保pod所在的命名空间及pod的标签满足sidecar注入规则，且pod所在的命名空间不在网格CNI插件的排除命名空间里；部署完成后可以看到pod注入了sidecar plaintext

本节主要介绍绑定弹性公网IP。 操作场景 弹性公网IP提供独立的公网IP资源，包括公网IP地址和公网出口带宽服务。GeminiDB Influx实例创建成功后，支持用户绑定弹性公网IP，通过公共网络访问数据库实例，绑定后也可根据需要解绑。 使用须知 您需要设置安全组，开通需访问数据库的IP地址和端口，才可以访问数据库实例。在访问数据库前，您需要在虚拟私有云申请一个弹性公网IP，并将访问数据库的IP地址，或者IP段加安全组入方向的访问规则。 GeminiDB Influx使用您在VPC控制台购买的公网IP绑定到实例上。 对于已绑定弹性公网IP的节点，需解绑后，才可重新绑定其他弹性公网IP。 绑定弹性公网IP 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB”。 3. 在“实例管理”页面，选择指定的实例，单击实例名称。 4. 在“基本信息”页面“节点信息”区域的节点上，单击“绑定弹性IP”。 图1 绑定弹性公网IP 5. 在弹出框的弹性公网IP列表中，显示“未绑定”状态的弹性公网IP，选择所需绑定的弹性公网IP，单击“是”，提交绑定任务。如果没有可用的弹性公网IP，单击“查看弹性IP”，创建新的弹性公网IP。 图2 选择弹性公网IP 6. 在节点的“弹性IP”列，查看绑定成功的弹性公网IP。 如需关闭，请参见下文解绑弹性公网IP。

添加事件源 创建API API分组、自定义认证函数、后端函数均创建成功以后，可以创建API，设置安全认证为自定义认证，并定义后端服务类型为FunctionGraph，步骤如下。 1. 登录APIG控制台，选择已创建的APIG专享版实例，并在导航栏选择“API管理 > API列表”，单击右上方的“创建API”。 2. 配置API基本信息。 1. API名称：输入您自定义的名称，例如APItest。 2. 所属分组：请选择上述操作中创建的API分组“APIGrouptest”。 3. URL：请求方法选择“ANY”，请求协议选择“HTTPS”，请求路径填写“/testAPI”。 4. 网关响应：选择“default”。 5. 安全认证：选择“自定义认证”。 6. 自定义认证：选择上述操作中创建的自定义认证“Authorizertest”。 3. 单击“下一步”，进行后端配置。 1. 后端服务类型：选择“FunctionGraph” 2. 函数URN：添加创建的业务函数 3. 版本或别名：选择“latest”版本 4. 调用类型：选择“Synchronous” 4. 单击下一步，完成API创建。 5. 继续在当前页面，单击“发布”，将已创建的API发布至RELEASE环境。 调试并调用API API网关提供了在线调试的功能，因此一般建议在API网关上完成API配置之后，可以先通过此功能确认API是否配置成功。 1. 登录APIG控制台，选择已创建的APIG专享版实例，并左导航栏选择“API管理 > API列表”，单击进入已创建的API“APItest”，右上角单击“调试”。 2. 在本案例中，需要添加Headers参数，完成后单击“调试”。 1. 参数名：输入“auth” 2. 参数值：输入“abc” 3. API返回内容即为前面步骤中创建的业务函数返回内容。

本节介绍如何为云密评专区密码服务实例绑定/解绑标签。 标签是对实例的标识。基于标签，您可以实现对实例的便捷搜索和整理。 标签由键值对（KeyValue）组成，您可以为实例绑定和解绑标签，在控制台中通过标签快速查找实例。 约束限制 每个实例最多可绑定10个标签。 每个实例下的标签键是唯一的，不可绑定相同标签键。 不支持修改标签，可以解绑标签后，绑定新的标签。 绑定标签 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云密评专区”，进入云密评专区密码服务实例管理页面。 4. 选择需要添加标签的实例，单击“更多 > 编辑标签”。 5. 在弹出的编辑标签窗口中，填写标签键和值。 方式一：在输入框中输入新的标签键和值，新增标签。 方式二：下拉选择已有标签。 6. 配置完成后，单击“确定”，绑定标签完成。 7. 标签绑定成功后，鼠标点击实例信息的“标签”数量，可查询标签绑定情况。 使用标签筛选实例 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云密评专区”，进入云密评专区密码服务实例管理页面。 4. 单击“筛选标签”。 5. 在“标签筛选”弹窗中，下拉选择已有标签。 6. 单击确定，执行筛选标签操作，列表将展示标签筛选结果。筛选结果返回包含所选择的多项键值的实例。

本文为您介绍云密评专区的权限管理能力，支持通过IAM实现对云密评专区的访问控制、权限分配。 天翼云提供统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。通过IAM服务定义企业项目、创建子用户，轻松实现IAM子用户对云密评专区资源的访问控制、权限分配等。 默认情况下，天翼云主账号拥有管理员权限，而主账号创建的IAM用户没有任何权限。IAM用户需要加入用户组，并给用户组授权相应策略后，IAM用户才能获得策略对应的权限，才可以基于被授予的权限对云服务进行操作。 云密评专区支持企业项目管理，若您需要对云密评专区资源进行分组和管理，形成逻辑隔离，您可以创建企业项目，并将资源划分至不同的企业项目中，不同的企业项目可以绑定不同的用户组，并给用户组授予云密评专区产品的权限策略（包括系统策略和自定义策略），从而实现对特定资源的授权。 说明 仅“一类节点”区域的实例支持企业项目管理。 IAM应用场景 IAM策略主要面向同一主账号下，对不同IAM用户授权的场景： 您可以为不同操作人员或应用程序创建不同IAM用户，并授予IAM用户刚好能完成工作所需的权限，比如查看权限，进行最小粒度授权管理。 新创建的IAM用户可以使用自己的登录名和密码登录控制台，实现多用户协同操作时无需分享账号密码的安全要求。

STS即Secure Token Service 是一种安全凭证服务，可以使用STS来完成对于临时用户的访问授权。对于跨用户短期访问对象存储资源时，可以使用STS服务。这样就不需要透露主账号AK/SK，只需要生成一个短期访问凭证给需要的用户使用即可，避免主账号AK/SK泄露带来的安全风险。 初始化STS服务 python accesskey ' ' secretkey ' ' endpoint ' ' region 'cn' ​ self.stsclient boto3.client( 'sts', awsaccesskeyidaccesskey, awssecretaccesskeysecretkey, endpointurlendpoint, regionnameregion) 获取临时token python def assumerole(self): print('assumerole') bucket ' ' policy r'{"Version":"20121017","Statement":{"Effect":"Allow","Action":["s3:"]' r',"Resource":["arn:aws:s3:::%s","arn:aws:s3:::%s/"]}}' % (bucket, bucket) rolearn "arn:aws:iam:::role/ " rolesessionname " " ​ print('policy: %s' % policy) response self.stsclient.assumerole( Policypolicy, RoleArnrolearn, RoleSessionNamerolesessionname, ) print('ak %s' % response['Credentials']['AccessKeyId']) print('sk %s' % response['Credentials']['SecretAccessKey']) print('token %s' % response['Credentials']['SessionToken']) 请求参数 参数 类型 描述 是否必要 RoleArn String 角色的ARN，在控制台创建角色后可以查看 是 Policy String 角色的policy，需要是json格式，限制长度1~2048 是 RoleSessionName String 角色会话名称，此字段为用户自定义，限制长度2~64 是 DurationSeconds Integer 会话有效期时间，默认为3600s，范围15分钟至12小时 否

本节主要介绍查看IAM操作记录 开通云审计服务 云审计服务（Cloud Trace Service，以下简称CTS），是安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 为了方便查看IAM的关键操作事件，例如创建用户、删除用户等，管理员需开启云审计服务。 操作步骤 步骤 1 管理员登录控制台。 步骤 2 选择“服务列表 > 管理与监管 > 云审计服务2.0”，如之前账号未开通过云审计服务，会进入云审计服务授权页面，单击“同意授权并开通”，进入云审计服务页面。 步骤 3 在贵州区域创建1个管理追踪器，用于记录IAM服务的管理操作事件。 在IAM进行操作，例如创建用户、用户组等，CTS将会记录这些操作。CTS支持记录的IAM相关的操作事件，如下表所示。 表 CTS支持的IAM操作列表 操作名称 资源类型 事件名称 用户登录 user login 用户登出 user logout 创建用户 user createUser 修改用户信息 user updateUser 删除用户 user deleteUser 创建AK/SK user createCredential、addCredential 删除AK/SK user deleteCredential 停用、启用AK/SK user changeCredentialStatus 修改AK/SK user updateCredential 创建用户组 userGroup createUserGroup 更新用户组 userGroup updateGroup、updateUserGroup 删除用户组 userGroup deleteUserGroup 添加用户到用户组 userGroup addUserToGroup、updateUser/updateUserGroup 从用户组删除用户 userGroup removeUserFromGroup、updateUser/updateUserGroup 创建委托 agency createAgency 修改委托 agency updateAgency 删除委托 agency deleteAgency 切换角色 agency switchRole Token createToken 创建自定义策略 role createRole 修改自定义策略 role updateRole 删除自定义策略 role deleteRole

本节主要介绍权限基本概念 权限 默认情况下，管理员创建的IAM子用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 权限的分类 权限根据授权精细程度分为角色和策略。 角色： IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于天翼云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色不能完全满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略： IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对ECS服务，管理员能够控制IAM用户仅能对云主机资源进行某一类指定的管理操作。 策略根据创建的对象，分为系统策略和自定义策略。 策略系统策略 云服务在IAM预置了常用授权项，称为系统策略。管理员给用户组授权时，可以直接使用这些系统策略，系统策略只能使用，不能修改。 如果管理员在IAM控制台给用户组或者委托授权时，无法找到特定服务的系统策略，原因是该服务暂时不支持IAM。

本章节主要介绍DDS数据迁移到DWS。 操作场景 CDM支持迁移文档数据库服务（Document Database Service，简称DDS）的数据到其他数据源，这里以数据仓库服务（Data Warehouse Service，简称DWS）为例，介绍如何使用CDM将DDS数据迁移到DWS，流程如下： 1.创建CDM集群并绑定EIP 2.创建DDS连接 3.创建DWS连接 4.创建迁移作业 前提条件 已DWS/DDS。 已获取DWS/DDS数据库的IP地址、端口、数据库名称、用户名、密码，且该用户拥有DWS/DDS数据库的读、写和删除权限。 创建CDM集群并绑定EIP 1.参考创建CDM集群，创建CDM集群。 关键配置如下： CDM集群的规格，按待迁移的数据量选择，一般选择cdm.medium即可，满足大部分迁移场景。 如果DDS和DWS属于相同的VPC，则创建CDM集群时选择同一个VPC，不用绑定EIP。子网、安全组可以选择与其中一个（DDS或DWS）集群的保持一致，再配置安全组规则允许CDM集群访问另一个服务（DWS或DDS）的集群。 如果DDS和DWS不在同一个VPC，则创建CDM集群时选择与DDS相同的VPC，再将CDM集群 解绑/绑定集群的EIP，CDM通过EIP访问DWS集群。 2.CDM集群创建完成后，选择集群操作列的“绑定弹性IP”，CDM通过EIP访问DWS。如果DDS与DWS在同一个VPC，则不用为CDM集群绑定EIP。 说明 如果用户对本地数据源的访问通道做了SSL加密，则CDM无法通过弹性IP连接数据源。

本小节介绍如何修改默认密码。 确认防火墙的版本 确认是R7及之前的版本还是R8及之后的版本。 1.R7及之前版本的登录页面。 2.R8及以后版本的登录页面。 R7及之前版本修改密码 当前版本较老，修改完成密码后建议确认好一个窗口时间（需要升级两次15分钟），然后在天翼云平台上提交升级需求单会有工程师联系进行升级。 1.登录防火墙进入系统→设备管理→管理员页面； 2.勾选需要修改密码的账号，再点击编辑； 3.在密码框里输入新的密码，点击确认。留存好新的密码。 R8及以后版本修改密码 1.登录防火墙后点击右上角的账号。 2.点击修改密码。 3.输入原始密码及修改后的密码点击确认，留存好更新后的密码。 密码安全提醒 为了您的业务安全，请不要使用默认密码，并定期对您的密码进行修改。建议密码长度不小于8个字符，包含大写字母、小写字母、数字和特殊符号中的至少3种，并且每3个月更换一次密码。如您需要技术人员协助修改密码，请通过官网工单系统或拨打4008109889热线电话与我们联系。

本章节向您介绍利用VPN连接打造云间互联通道的搭建方案。 步骤1进入VPN连接产品控制台 在任意二类节点的控制中心，进入“VPN”产品控制台。 步骤2创建VPN网关实例 在需要云间互联的节点中，分别创建VPN网关。 VPN网关可根据自身网络业务特征，选择不同的VPN网关计费类型。 若需要长期不间断地传输大量数据，可选择按带宽计费方式 若仅需要短期或偶尔传输少量数据，可选择按流量计费方式 此最佳实践操作中，均选择按流量计费方式。VPN网关创建成功后，如下图所示。 步骤3创建VPN连接实例 在需要云间互联的节点中，分别创建VPN连接。 VPN连接需要填入远端网关以及远端子网信息，以及IPSec VPN加密隧道密钥。 VPN连接创建成功后，如下图所示。 步骤4互通性验证 在创建VPN网关的VPC子网中，创建2台弹性云主机实例。 云主机实例的安全组将VPN连接的远端子网进行放通。 放通后，以ping方式进行验证，具体如下图所示。 经过以上验证，可以证明以上的VPN连接已完成互通能力搭建，可进行点对点安全加密通信。

操作场景 当需要使用SDRS服务时，需要在生产站点单独部署云容灾网关，不能与代理客户端部署在相同服务器。 云容灾网关将接收到的生产站点服务器的IO数据，进行汇聚压缩后，传输到容灾站点。 前提条件 云容灾网关建议起始规格为8U16G，操作系统只支持Linux，建议参考支持的操作系统版本。 云容灾网关服务器所在的区域、可用区、VPC 需要和生产站点服务器保持一致。 云容灾网关和代理客户端建议放在同一安全组内，安全组配置为仅允许安全组内弹性云主机互通。 为保障服务正常运行，需要确保端口未被占用，请参见附录中的“异步复制客户端的端口说明”。 操作步骤 以下操作以安装“24.6.0”版本的容灾网关“sdrsxxxx24.6.0.xxxx.tar.gz”为例。 1. 获取云容灾网关软件包到待部署服务器的任意目录。复制服务控制台页面提供的命令，登录待部署的云容灾网关服务器，进入任意目录，粘贴并执行命令获取软件包。 2. 在软件包所在目录下，以“root”用户，执行以下命令，解压缩软件包。 tar zxvf sdrsxxxx24.6.0.xxxx.tar.gz 3. 执行以下命令，进入安装脚本所在目录。 cd sdrsxxxx24.6.0.xxxx 4. 执行以下命令，安装云容灾网关软件。 sh install.sh drmip drmip draip draip rolegateway 其中，“drmip”和“draip”均为当前容灾网关服务器IP地址，可在弹性云服务器控制台界面获取。 回显中包含如下信息，说明云容灾网关安装成功： ... Installed DRM successfully. Installed SDRS successfully. ... 5. 执行以下命令，查看云容灾网关进程是否已启动。 ps ef grep java grep drm 回显如下类似信息： service 2089 1 5 10:25 ? 00:01:12 /opt/cloud/sdrs/drm/tools/jre/bin/java Djava.security.egdfile:/dev/random jar /opt/cloud/sdrs/drm/drm24.6.0.jar service.kernel.security.scc.configpathfile:/opt/cloud/sdrs/drm/classes/scc spring.config.location/opt/cloud/sdrs/drm/classes/application.properties 如果回显信息中“drm”进程存在，说明进程已启动。 6. 执行以下命令，查看云容灾网关监听端口是否建立。 netstat ano grep 7443 7. 安装完成后，将在软件包同级目录生成携带自签证书的安装包sdrsxxxx24.6.0.xxxxwithcerts.tar.gz 和用于完整性校验的sha256文件sdrsxxxx24.6.0.xxxx.tar.gzwithcertssha256。请使用该安装包用于代理客户端的安装部署。

本文将介绍如何导出CC攻击事件。 使用场景 业务接入DDoS高防（边缘云版）后，您可以在控制台查询已产生的CC攻击事件并将事件导出为.xls文件。 前提条件 已开通DDoS高防（边缘云版）。 开启CC防护配置，并触发产生CC攻击事件。 使用说明 1.登录DDoS高防（边缘云版）控制台。 2.进入【安全分析】【攻击事件】【CC攻击事件】页面。 3.指定要导出的CC攻击事件的域名及时间范围，点击【查询】按钮。 4.点击【导出】按钮，会将查询结果导出为.xls文件。