2. 权限管理 进入权限管理界面，在个人权限中申请“个人手机号信息”与“通讯录个人信息读权限”两个权限和申请通讯录管理中的所有权限。 3. 安全设置 进入安全设置界面，配置重定向URL（回调域名）参数，填写AOneId控制台域名。 4. 应用发布 配置完成后需要进行应用发布，如不发布应用版本，配置修改无效。 进入版本管理与发布界面，点击“创建新版本”按钮，填写版本详情资料后点击“保存”后发布应用。

获取天翼云知识库租户ID（tenantId） 1. 在知识库问答控制台页面，点击【开始使用】按钮。  2. 在知识库问答对话框，点击同步基座模型，为您自动同步模型推理服务模型。  3. 在打开的对话页面，可看到租户id(tenantId)。复制知识库问答租户id信息，用于后续配置OpneClaw。  获取天翼云AK SK 说明：天翼云AK SK用于OpenClaw调用天翼云知识库问答服务。 1.点击天翼云门户首页右上角的“登录”，输入登录的用户名和密码。 2.点击右上角的用户名， 点击进入【账号中心】。在账号左侧菜单栏中单击“安全设置”。 3.在安全设置页面点击【登录保护】Tab，在“用户AccessKey”行，点击“新建”按钮，获取访问密钥（AK/SK）。  4. 在创建AccessKey弹窗中复制AK/SK，用于后续配置OpneClaw。 

查看网络流量 开启弹性公网IP防护后，可以查看网络流量。 1.登录天翼云控制中心。 2.在左侧导航树中，单击左上方的“服务列表”，选择“安全 > 云防火墙”，进入云防火墙的概览页面。 3.在左侧导航树中，选择“流量分析”，进入“流量分析”页面，可查看不同时间段互联网出入口流量、攻击趋势和TOP访问IP。 4.选择“主动外联访问”页签，查看不同时间段主动外联的出入口流量，以及攻击趋势。 查看日志审计 开启弹性公网IP防护和入侵检测基础防御后，可以查看日志审计。 1.登录天翼云控制中心。 2.在左侧导航树中，单击左上方的“服务列表”，选择“安全 > 云防火墙”，进入云防火墙的概览页面。 3.在左侧导航树中，选择“日志审计”，进入“攻击事件日志”页面，可查看近一周的攻击事件详情。 4.选择“访问控制日志”页签，可查看近一周的访问控制情况。若需要修改指定IP的访问控制的响应动作，可配置访问控制策略或添加黑白名单。 5.选择“流量日志”页签，可查看近一周的流量字节数和报文数。

参数 描述 IP地址或域名 目标数据库的IP地址或域名。 端口 目标数据库服务端口，可输入范围为1~65535间的整数。 数据库用户名 目标数据库的用户名。 数据库密码 目标数据库用户名所对应的密码。 SSL安全连接 通过该功能，用户可以选择是否开启对同步链路的加密。如果开启该功能，需要用户上传SSL CA根证书。 说明 最大支持上传500KB的证书文件。 如果不使用SSL证书，请自行承担数据安全风险。

数据安全 权限点 管理员 开发者 运维者 访客 新建数据溯源任务 Y Y N N 删除数据溯源任务 Y Y N N 操作数据溯源任务 Y Y N N 查询数据溯源任务 Y Y Y Y 编辑数据溯源任务 Y Y N N 新建数据分类权限 Y Y Y N 删除数据分类权限 Y Y Y N 查询数据分类权限 Y Y Y Y 编辑数据分类权限 Y Y Y N 新建访问权限管理 Y Y N N 删除访问权限管理 Y Y N N 查询访问权限管理 Y Y Y Y 编辑访问权限管理 Y Y N N 新建动态策略 Y N N N 删除动态策略 Y N N N 查询动态策略 Y Y Y Y 编辑动态策略 Y N N N 新建密级 Y Y N N 删除密级 Y Y N N 查询密级 Y Y Y Y 编辑密级 Y Y N N 新建动态脱敏策略 Y N N N 删除动态脱敏策略 Y N N N 查询动态脱敏策略 Y Y Y Y 编辑动态脱敏策略 Y N N N 新建动态脱敏订阅策略 Y N N N 删除动态脱敏订阅策略 Y N N N 查询动态脱敏订阅策略 Y Y Y Y 新建资源权限策略 Y N N N 删除资源权限策略 Y N N N 查询资源权限策略 Y Y Y Y 编辑资源权限策略 Y N N N 操作安全任务调度 Y Y Y N 新建权限申请审批 Y Y Y N 查询权限申请审批 Y Y Y Y 编辑权限申请审批 Y Y Y N 新建用户同步任务 Y Y Y N 删除用户同步任务 Y Y Y N 查询用户同步任务 Y Y Y Y 编辑用户同步任务 Y Y Y N 新建数据脱敏任务 Y Y N N 删除数据脱敏任务 Y Y N N 操作数据脱敏任务 Y Y N N 查询数据脱敏任务 Y Y Y Y 编辑数据脱敏任务 Y Y N N 操作数据安全细粒度权限控制 Y N N N 查询数据安全细粒度权限控制 Y Y Y Y 编辑数据安全细粒度权限控制 Y N N N 新建权限集权限 Y Y Y N 删除权限集权限 Y Y Y N 查询权限集权限 Y Y Y Y 编辑权限集权限 Y Y Y N 查询总览 Y Y Y Y 新建权限跨源同步策略 Y N N N 删除权限跨源同步策略 Y N N N 查询权限跨源同步策略 Y Y Y Y 编辑权限跨源同步策略 Y N N N 查询成员管理 Y Y Y Y 编辑成员管理 Y Y Y N 新建权限集成员 Y Y Y N 删除权限集成员 Y Y Y N 查询权限集成员 Y Y Y Y 查询获取委托 Y Y Y Y 新建脱敏策略 Y Y N N 删除脱敏策略 Y Y N N 操作脱敏策略 Y Y Y Y 查询脱敏策略 Y Y Y Y 编辑脱敏策略 Y Y N N 查询数据访问审计 Y N N N 新建规则分组 Y Y Y N 删除规则分组 Y Y N N 操作规则分组 Y Y Y N 查询规则分组 Y Y Y Y 编辑规则分组 Y Y Y N 查询权限同步失败日志 Y Y Y Y 新建敏感发现任务 Y Y Y N 删除敏感发现任务 Y Y N N 操作敏感发现任务 Y Y Y N 查询敏感发现任务 Y Y Y Y 编辑敏感发现任务 Y Y N N 新建权限集 Y Y Y N 删除权限集 Y Y Y N 查询权限集 Y Y Y Y 编辑权限集 Y Y Y N 查询数据源 Y Y Y Y 查询目录权限策略 Y Y Y Y 新建行级访问策略 Y N N N 删除行级访问策略 Y N N N 查询行级访问策略 Y Y Y Y 编辑行级访问策略 Y N N N 新建队列策略 Y N N N 删除队列策略 Y N N N 查询队列策略 Y Y Y Y 编辑队列策略 Y N N N 新建安全诊断 Y N N N 查询安全诊断 Y Y Y Y 查询资源权限配置 Y Y N N 新建数据水印嵌入 Y Y N N 删除数据水印嵌入 Y Y N N 操作数据水印嵌入 Y Y N N 查询数据水印嵌入 Y Y Y Y 编辑数据水印嵌入 Y Y N N

参数 说明 计费模式 支持“包年/包月”和“按需付费”两种模式，购买后同时支持计费模式互转。 包年/包月：用户选购完服务配置后，可以根据需要设置购买时长，系统会一次性按照购买价格对账户余额进行扣费。 按需计费：用户选购完服务配置后，无需设置购买时长，系统会根据消费时长对账户余额进行扣费。 区域 DRDS实例所在区域，可根据需要直接切换区域。 项目 DRDS实例所在的项目。 实例名称 DRDS实例的名称。 名称不能为空。 只能以英文字母开头。 长度为4到64位的字符串。 可包含英文字母、数字、下划线（）和中划线（）。 时区 由于世界各国家与地区经度不同，地方时也有所不同，因此会划分为不同的时区。 节点个数 实例所含有节点个数，最多支持32个节点数。 说明 单节点存在高可用风险，建议至少创建2节点。 DRDS实例单个节点的磁盘使用情况：系统盘40G + 数据盘1G。 可用区 可选择的可用区。 为了避免单个物理机故障影响多台云主机的情况发生，相同可用区内，DRDS支持不同虚拟机反亲和性部署，即集群里不同虚拟机部署在不同物理主机上。 DRDS支持跨可用区部署，以增强DRDS实例高可用性，达到跨可用区的容灾。 如果您的实例需要跨可用区部署，可以选择多个可用区，DRDS实例的节点将部署在不同的可用区中。 说明 跨可用区部署会产生一定的网络时延，建议将应用程序和数据库服务（DRDS、RDS）配置在相同可用区，减少网络时延。 节点规格 DRDS实例的规格，支持“通用增强型”。 说明 为了使所购买的DRDS实例能更好地满足应用需求，您需要先评估应用所需的计算能力和存储能力，结合业务类型及服务规模，选择合适的实例规格，主要包括：CPU、内存。 设置密码 可以选择“现在设置”、“创建后设置” 说明 设置的是管理员账号信息。选择“创建后设置”，可以在需要的时候，根据新增管理员账号操作步骤进行设置。 管理员账号 设置密码选择“现在设置”时，必填。管理员账号，不能与账号管理中的账号重复，创建后不能删除。 密码 设置密码选择“现在设置”时，必填。管理员账号的密码。 说明 可以在需要的时候，根据重新设置密码操作步骤进行重置。 确认密码 设置密码选择“现在设置”时，必填。管理员账号的密码。 虚拟私有云 DRDS实例所在的虚拟专用网络，可对不同业务进行网络隔离，方便地管理、配置内部网络，进行安全、快捷的网络变更。 单击“查看虚拟私有云”，系统跳转到虚拟私有云界面，可以查看相应的虚拟私有云，以及安全组的出方向规则和入方向规则。 说明 创建DRDS实例选择的虚拟私有云要与RDS for MySQL实例保持一致。 DRDS实例必须与应用程序、RDS for MySQL实例处于相同的VPC，以保证网络连通。 目前DRDS实例创建后不支持切换虚拟私有云，请谨慎选择。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，来提高网络安全性。创建DRDS实例时会自动为您配置内网地址，实例创建成功后该内网地址可修改。 IPv6 启用IPv6前，请确保数据库实例所在的VPC和子网已开启IPv6配置，在VPC和子网开启IPv6配置的应用场景和操作步骤，请参见《虚拟私有云操作指导》中的“IPv4/IPv6双栈管理”章节。 启用IPv6后，数据库实例可在双堆栈模式下运行，即可以拥有两个不同版本的IP地址：IPv4地址和IPv6地址。此时实例通过IPv4和IPv6进行通信，且IPv4和IPv6通信彼此独立。 内网安全组 已创建的内网安全组。 建议DRDS实例与应用程序、RDS for MySQL实例选择相同的安全组，三者网络访问不受限制。如果选择了不同的安全组，请注意添加安全组访问规则，开通网络访问。 企业项目 企业项目管理提供了一种按企业项目管理云资源的方式，帮助您实现以企业项目为基本单元的资源及人员的统一管理。 参数模板 您可以选择已有参数；同时支持单击查看参数模板，在参数模板页面，进行设置参数信息。 标签 可选配置。使用标签可以方便识别和管理您拥有的分布式数据库中间件服务资源。 您可以为DRDS实例添加标签，每个DRDS实例最多支持添加20个标签。 新建标签 您可以在DRDS控制台新建标签。新建标签时，需要设置相应的标签“键”和“值”。 键：该项为必选参数，不能为空。 − 对于每个实例，每个标签的键唯一。 − 长度为1~36个字符。 − 不能为空字符串，不能以“ sys ”开头和以空格开头、结尾。 − 不能包含下列字符： 非打印字符ASCII(031)，“”，“<”，“>”，“”，“,”，“”，“/”。 值：该项为必选参数。 − 可以不填值，此时默认为空字符串。 − 长度为0~43个字符。 − 不能包含下列字符： 非打印字符ASCII(031)，“”，“<”，“>”，“”，“,”，“”。 实例创建成功后，您可以单击实例名称，在“标签”页签下查看对应标签，也可以修改或删除标签。同时，您还可以通过标签快速筛选指定实例。 如果您在申请实例时未添加标签，可以待实例创建成功后，再为实例添加标签。 购买时长 购买DRDS实例的时长，该参数仅当“计费模式”为“包年/包月”时才显示。 您可选择1个月、2个月、3个月、4个月、5个月、6个月、7个月、8个月、9个月和1年。

本节介绍翼共享的产品简介。 产品简介 翼共享（Eshare）是专门为天翼AI云电脑定制的企业级文件共享解决方案。它打破数据壁垒，让企业员工能在天翼AI云电脑环境中高效共享文件，支持多人实时协作，提升团队协同效率，保障数据安全，助力企业数字化办公。 翼共享提供了NAS共享盘和网络共享盘两种类型： 网络共享盘 网络共享盘支持公网访问，具备强大的权限管控、访问审计和系统集成功能，适合企业在不同网络环境下进行数据管理与共享。支持公网访问，权限管控和访问审计功能强大，可与企业其他系统集成，提升信息化管理水平。适合对合规性管理要求和文件分享需求混合场景的企业，方便员工在不同网络环境下随时随地访问共享文件，满足复杂业务流程下的数据共享和管理需求，助力企业实现数据无缝流通与统一管理。 NAS共享盘 NAS共享盘专注于在AI云电脑环境内进行安全的文件共享存储，且在AI云电脑局域网环境下能实现高速大文件传输的共享盘。数据仅在AI云电脑内流转，安全私密，专注基本文件共享，局域网内传输速度快且稳定。适用于对数据保密性要求极高的金融、科研等企业，用于存储和共享核心数据。也适合设计、视频制作团队在局域网内共享大型设计文件、高清视频素材等，满足日常简单高效的文件协作需求。 产品优势

远程零信任办公服务提供应用管理功能,本文将介绍如何将您的应用或资源添加平台进行管理。 在您要使用远程零信任办公服务访问您的应用或者系统资源之前，您需要将其添加到边缘安全加速平台进行管理。 背景说明 企业内部应用系统，例如内部WEB应用服务、服务器或数据库等IT资源，一般未暴露在公网，需要通过专有网络访问。在您添加这部分应用系统到平台后，您的员工登录远程零信任办公服务客户端完成身份认证后，便可以访问这部分局域网内的应用或系统资源。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在首页产品能力栏目，选择零信任进入工作台。 3. 左侧导航栏AOne零信任应用应用配置，查看应用列表。 4. 可根据业务需求进行相关配置。 应用列表 您可以查看应用的相关数据，包括应用总数，健康情况，无流量应用数，无生效策略应用数。并且可对应用进行相关配置操作，如权限自助申请、单点登录、配置无端访问及查看应用接入最佳实践和应用单点登录配置说明。 您可点击应用列表分页进行应用的管理，包括应用的添加、编辑、删除操作。

本节主要介绍如何审核剧本版本。 前提条件 已提交剧本，具体操作请参见提交剧本版本。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 剧本编排”，默认进入剧本管理页面。 5. 在目标剧本“操作”列，单击“版本管理”，弹出剧本版本管理页面。 6. 在版本管理页面中，单击“审核”，弹出审核剧本版本页面。 7. 在审核剧本版本页面，填写审核信息，审核剧本版本参数说明如下表所示。 参数 说明 审核意见 勾选审核结论。 通过，通过后剧本版本状态更新为已激活。 驳回，驳回后剧本版本状态更新为审核驳回，可再次编辑后提交。 驳回原因 当“审核意见”为“驳回”时，需要填写该参数。 输入审核意见（当审核意见勾选驳回时必填）。 说明 当前剧本仅有一个剧本版本时，审核通过后的剧本“版本状态”默认为“已激活”。 8. 单击“确定”，完成审核剧本版本。 后续处理 剧本版本审核后，需要启用剧本，详细操作请参见启用剧本。

态势感知（Situation Awareness，SA）是可视化威胁检测和分析的平台。利用大数据分析技术，态势感知可以对攻击事件、威胁告警和攻击源头进行分类统计和综合分析，为用户呈现出全局安全攻击态势。

适用场景 高并发查询（如电商大促、实时监控）。 复杂聚合请求（如多维度分析、嵌套查询）。 部署策略​​ 独立部署：与数据节点分离，避免请求分发占用数据节点的CPU/内存资源。 负载均衡：如果开通了ELB服务，可将ELB服务配置到专属协调节点，从而将流量均匀分配至多个协调节点。 协调节点规格建议购买较高规格的机型，比如esearch8c32g。 冷数据节点 冷数据节点是面向历史数据存储的专用节点类型，用于存储访问频率低、响应时效要求较宽松的冷数据（如超过30天的日志、归档业务数据等）。通过将冷热数据分离，可实现存储成本优化与查询效率的平衡。 适用场景 历史数据归档（如超过半年的交易记录、审计日志）。 低频访问数据（如季度/年度报表、备份索引）。 存储成本敏感型业务（需降低高性能节点资源占比）。 存储介质选择 建议选择大容量较低规格的存储类型，适合冷数据长期保存。 容量规划 冷节点存储容量建议为热节点的35倍，例如： 热节点配置500GB SSD存储，冷节点配置2TB HDD存储。 可通过生命周期管理策略自动迁移超期索引。 标签管理 冷节点默认携带node.attr.tag: stale标签，支持指定新创建索引到冷数据节点或者对已创建索引动态迁移： xml PUT /historicallogs/settings { "index.routing.allocation.require.tag": "stale" } 规划实例安全模式 实例的安全模式主要分为http模式和https模式。 http模式：适合通过内网访问实例的场景，通过http协议明文传输数据。 https模式：适合需要公网访问实例的场景。 实例订购时默认开通https模式。如果需要使用http模式，可在实例开通完成后，在安全设置页面修改为http访问。 不管http模式还是https模式，都必须通过用户名密码才能访问Elasticsearch/OpenSearch集群。 管理员账户名默认为admin，密码为创建集群时设置的管理员密码。 规划索引分片数

在云应用引擎中，应用配置可以通过 ConfigMap 和 Secret 管理，实现配置与容器镜像的分离。ConfigMap 适用于存储普通配置，如配置文件内容或命令行参数，更新配置无需重建镜像。 Secret 用于存储敏感信息，如密码、证书或密钥，数据在内存中安全处理并加密存储。两者都可通过文件挂载或环境变量注入容器。 资源类型 数据类型 注入方式 安全性 适用场景 ConfigMap 非敏感配置 文件挂载 / 环境变量 / 命令行参数 普通 配置频繁变动或公开数据 Secret 敏感信息 文件挂载 / 环境变量 高（加密存储） 密码、证书、密钥等机密数据 通过合理使用 ConfigMap 与 Secret，您可以实现 配置与应用解耦，提升应用管理的灵活性和安全性。

本文简述如何查询指定IP是否为天翼云IP。 功能介绍 天翼云边缘安全加速平台—边缘接入服务提供一种IP地址检测工具，您可以使用该工具检测某IP地址是否为天翼云节点IP，同时获取IP所属城市、运营商、机房地址、节点层级等信息。 应用场景 场景一：配置边缘接入服务后，可通过该工具验证客户端的请求是否成功到达天翼云节点IP。如果不是天翼云节点IP，则代表配置未生效；如果是，则可以继续验证请求是否正常。 场景二：当您的网站访问异常时，可通过该工具查询用户访问的IP是否为天翼云节点IP，来排查网站访问异常的原因。如果IP地址是天翼云IP，您可以继续排查问题原因或者反馈给我们处理。如果IP地址不是天翼云IP，则要查看CNAME是否配置正确，DNS解析是否正常等。 使用方法 您可以通过控制台自助输入IP地址，点击【验证】按钮进行查询。 控制台自助查询IP归属 1. 登录边缘安全加速平台控制台，选择【边缘接入】控制台。 2. 进入【工具管理】【IP归属查询】页面，输入查询的地址，支持一次查询多个ip。 3. 输入查询后将显示该地址是否为天翼云节点以及对应归属地。

本文介绍如何通过日志分析分析域名访问日志和Web攻击日志。 功能简介 日志分析模块主要是介绍和指导客户如何分析域名访问日志和Web攻击日志。为您提供一个月内的访问日志和Web攻击日志。 创建日志任务 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【数据分析】，进入【日志分析】菜单。 3. 单击页面左上角【新建日志任务】按钮。 4. 配置完成后，单击【确定】，保存日志任务。 注意 本产品相关数据从您成功配置任务后才开始生成和记录。若您尚未进行任务配置，将无法获取到任何数据。 请您在使用相关功能前，先完成任务配置，以确保正常使用。 配置项说明 配置项 说明 任务名称 配置任务的名称，支持中英文、数字、最长30个字符。 日志类型 配置需要创建的日志类型，支持配置业务访问日志和Web应用攻击日志。一个任务只能配置一种日志类型。 关联域名 配置日志任务的域名，默认为全部域名。 实时分析日志 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【运营管理】—【数据分析】，进入【日志分析】菜单。 3. 单击【日志任务列表】—【操作】中的【实时分析日志】按钮，进入实时分析日志页面。

本文简述回源端口的配置方法。 功能介绍 源站端口，是指源站接收天翼云AOne安全与加速请求时所用的端口，一般http协议和https协议使用不同的源站端口。 配置说明 1.登录边缘安全加速平台控制台。 2.在域名基础配置页面，点击目标域名。 3.进入源站设置页面，单击“编辑配置”。 4.在源站端口模块，配置合适的回源端口。http端口默认80，支持自定义；https端口默认443，支持自定义。 配置界面 未开启“跟随请求端口回源”时，可以自定义配置HTTP回源端口和HTTPS回源端口，如下图： 开启“跟随请求端口回源”时，HTTP回源端口和HTTPS回源端口置灰不能配置，将使用请求端口回源，如下图： 参数名 说明 http 使用http协议回源时使用的源站端口，默认80，支持自定义，自定义回源端口范围为1~65535。 https 使用https协议回源时使用的源站端口，默认443，支持自定义，自定义回源端口范围为1~65535。 跟随请求端口回源 跟随请求端口回源开关开启后，使用请求端口回源。

本节介绍如何查看自定义类型。 约束与限制 系统内置的类型和子类型不支持关联布局、编辑、删除、启用和禁用。 自定义类型新增成功后，不支持修改“数据类”、“类型名称”、“类型标识”。 子类型新增成功后，不支持修改“数据类”、“类型名称”、“类型标识”、“子类型标识”。 查看已有的自定义类型/子类型 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 运营对象”，进入运营对象的数据类页面后，选择“类型管理”页签，进入类型管理页面。 5. 在类型管理页面，选择“自定义类型”页签，进入自定义类型管理页面后，查看已有自定义类型/子类型的详细信息。 左侧显示类型列表，展示已有的类型。 如需查看某个类型的详细信息，请单击左侧类型列表中类型的名称，右侧将展示类型的详细信息。具体信息如下： 目标类型的基本信息：名称、创建人、创建时间、关联布局。 子类型列表：已有子类型、子类型名称、子类型关联的布局等信息。

本小节介绍关闭节点防护。 操作须知 关闭防护对业务不会产生影响，但关闭后服务器被入侵的风险会急剧上升，建议保持开启防护的状态。 操作步骤 1、 登录管理控制台。 2、在弹窗界面单击“体验新版”，切换至企业主机安全页面。 切换至新版后，在总览页左上角单击“返回旧版”，可切换至企业主机安全（旧版） 3、在左侧导航树中，选择“资产管理 > 容器管理”，进入“容器节点管理”页面。 4、 根据需求可选择批量关闭防护和单服务器关闭防护。 单服务器关闭防护 a.在“节点列表”中目标服务器的“操作”列单击“关闭防护”。 b.在弹窗中确认关闭服务器的信息，确认无误，单击“确认”，防护关闭。 c.关闭后在“资产管理 > 容器管理 > 节点列表”页面查看目标服务器的“容器防护状态”为“未防护”，关闭成功。 批量关闭防护 a.在“节点列表”中勾选多个目标服务器前的选框，单击上方“关闭防护”。 b.在弹窗中确认关闭服务器的信息，确认无误，单击“确认”，防护关闭。 c.关闭后在“资产管理 > 容器管理 > 节点列表”页面查看目标服务器的“容器防护状态”为“未防护”，关闭成功。 说明 关闭防护对业务不会产生影响，但关闭后服务器被入侵的风险会急剧上升，建议保持开启防护的状态。

天翼云网页防篡改（原生版）产品（CTWT，WebpageTampering）具有广泛的应用场景，以下是三种常见的应用场景。 场景一：网站实时监管 政府、金融、交通等行业需要对网站进行实时监测，防止网站被植入涉恐、涉政、暗链、后门等，否则一旦网站出现被篡改问题，会严重影响政府、交通等单位形象，造成企业巨大损失。 场景二：重大活动保障 在重大活动保障期间，各行业的官网、业务系统等网站出现非法关键词，导致被监管单位通报，其声誉将受到影响，评分会受到严重影响。 场景三：等保合规 信息安全等级保护是我国信息安全保障的一项基本制度，要求网络经营者应符合网络安全等级保护制度的要求。天翼云网页防篡改（原生版）帮助有等保需求的用户，进行安全测评，满足等保合规的要求。

本章节会介绍通过常用工具Navicat连接PostgreSQL时需要哪些前提条件。 在进行本文操作之前，您需要完成以下准备工作： 1. Navicat客户端与PostgreSQL数据库网络可达 2. 安全组放开对应登录端口

参数 参数说明 集群名称 集群的名称，创建集群时设置。 集群状态 集群状态信息。 集群版本 集群的版本信息。 集群类型 创建集群时的集群类型。 集群ID 集群的唯一标识，创建集群时系统自动赋值，不需要用户设置。 创建时间 显示集群创建的时间。 可用区 集群工作区域下的可用区，创建集群时设置。 默认生效子网 子网信息，创建集群时所选。 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。 虚拟私有云 VPC信息，创建集群时所选。 VPC即虚拟私有云，是通过逻辑方式进行网络隔离，提供安全、隔离的网络环境。 OBS权限控制 单击“单击管理”，修改MRS用户与OBS权限的映射关系，具体请参考 数据连接 单击“单击管理”，查看集群关联的数据连接类型，具体请参考 委托 单击“管理委托”，为集群绑定或修改委托。 通过绑定委托，您可以将部分资源共享给ECS或BMS云服务来管理，例如通过配置ECS委托可自动获取AK/SK访问OBS，具体请参见 密钥对 密钥对名称，创建集群时设置。 如果创建集群时设置的登录方式为密码，则不显示。 Keberos认证 登录Manager管理页面时是否启用Kerberos认证。 说明 Kerberos认证模式不支持手动修改，集群创建成功后将无法开启和关闭此功能，需要在创建MRS服务集群的时候选择开启或者关闭Kerberos服务，建议重新创建集群。 安全组 集群的安全组名称。 数据盘密钥名称 用于加密数据盘的密钥名称。如需对已使用的密钥进行管理，请登录密钥管理控制台进行操作。 数据盘密钥ID 用于加密数据盘的密钥ID。 组件版本 集群安装各组件的版本信息。 委托 通过绑定委托，ECS或BMS云服务将有权限来管理您的部分资源。

本文带您了解云硬盘备份的功能特性。 云硬盘备份具有丰富的功能特性，例如备份、备份恢复以及备份安全，具体说明如下： 云硬盘备份 支持用户批量备份不同类型云硬盘，用户可按需选择需要备份的云硬盘进行数据备份，备份对在线业务运行无影响，无需预先关机或卸载云硬盘。 备份方式：支持手动备份（一次性备份）及自动策略备份（周期性备份），用户可根据业务实际情况选择合适的备份方式。 备份策略：支持全天24小时多备份时间点，支持按天、周、用户自定义天数的备份周期。支持按时间、按数量、永久保留三种备份保留方式。 备份管理：用户可通过备份列表查看备份信息，对已备份数据进行批量管理。 备份恢复 无论是全量还是增量备份都可以快速、方便地将云硬盘的数据恢复至备份副本所在时刻的状态。用户可采用恢复数据、创建新云硬盘两种方式进行备份恢复操作。 选择恢复数据，备份数据将恢复到原云硬盘，覆盖当前云硬盘数据。 选择创建新云硬盘，用户可实现云硬盘数据的迁移。 备份安全 云硬盘备份通过云硬盘与对象存储服务的结合，将云硬盘的数据备份到对象存储中，高度保障用户的备份数据安全。 针对加密云硬盘的备份，备份数据自动继承源云硬盘的加密属性，加密算法与源加密云硬盘保持一致。

本章节主要介绍准备工作 为集群开通Istio之前，您需要完成如下的准备工作。 创建虚拟私有云 虚拟私有云（Virtual Private Cloud，简称VPC）提供一个隔离的、用户自主配置和管理的虚拟网络环境，可以提升资源的安全性，简化用户的网络部署。 步骤 1 登录虚拟私有云VPC控制台。 步骤 2 单击右上角“创建虚拟私有云”。 步骤 3 根据界面提示完成参数填写，单击“立即创建”。 创建密钥对 新建一个密钥对，用于远程登录节点时的身份认证。 步骤 1 登录弹性云主机ECS控制台。 步骤 2 选择左侧导航中的“密钥对”，单击右上角“创建密钥对”。 步骤 3 输入密钥对名称后，单击“确定”。 步骤 4 您的浏览器会提示您下载或自动下载私钥文件。文件名是您为密钥对指定的名称，文件扩展名为“.pem”。请将私钥文件保存在安全位置。然后在系统弹出的提示框中单击“确定”。 说明 为保证安全，私钥只能下载一次，请妥善保管，否则将无法登录节点。 创建负载均衡 弹性负载均衡将作为服务网格对外访问入口，被服务网格管理的应用流量，均从此实例进入并分发到后端服务。 步骤 1 登录弹性负载均衡ELB控制台。 步骤 2 单击右上角的“创建弹性负载均衡”。 步骤 3 所属VPC、子网请选择创建虚拟私有云中创建的虚拟私有云和子网，其他参数根据界面提示填写，单击“立即创建”。

本节主要介绍分布式缓存服务Redis版监控安全风险 分布式缓存提供资源和操作监控能力，可以对每个缓存实例镜像实时监控、告警和通知操作。用户可以实时掌握实例的QPS、资源使用率、连接数等关键信息。 分布式缓存支持的监控指标以及告警管理等内容，参考产品监控。

本文介绍了云防火墙（原生版）的系统类常见问题。 云防火墙（原生版）在天翼云网络中的位置是什么？ 如下图所示，云防火墙一般和DDoS防护系统、Web应用防火墙、数据中心网络、日志服务、SOC等一起组合使用，但也可以独立部署。DDoS防护系统、Web应用防火墙和云防火墙组成从外到内的三道屏障，云防火墙重点防护用户VPC的网络边界。云防火墙产生的日志通过日志服务来收集和对外展示，通过SOC整合汇聚（包括云防火墙在内的）各安全设备的日志和安全告警等，并结合外部威胁情报，可以提高安全数据利用率并挖掘潜在威胁，对抗愈发复杂的攻击手段与高级可持续威胁。 云防火墙（原生版）是否可以防护非天翼云上的资产？ 防火墙仅能防护天翼云账号下的 IP 资产，不支持非天翼云的资产。 云防火墙（原生版）支持防护哪些资产类型？ 目前只支持VPC内云主机资产所绑定公网IP的防护。 云防火墙互联网边界带宽会限制流量吗？ 云防火墙不会限制流量。 业务带宽超峰值带宽限制，会对我有业务影响么？ 如果公网流量大于购买的云防火墙边界带宽，则云防火墙不承诺对超出带宽的流量进行防护。对超出部分的流量，我们会做放行处理。

本节介绍天翼云电脑（公众版）产品支持多终端适配、支持投屏、数据安全等功能的内容介绍。 多终端适配 与传统PC一致的使用体验，多种外设无缝衔接，实现多终端适配。 多终端适配： 适配PC、Mac、 iOS、安卓等多终端。 多外设支持： 打印机、扫描仪等外设无缝衔接（备注：手机、pad等移动终端不支持USB外设）。 支持投屏 支持手机有线/无线投屏模式，大屏电视秒变电脑使用，娱乐、办公两不误。 无线投屏： 在手机投屏模式下，支持把手机设置为触控版模式，操控更便捷。 有线投屏： 支持搭配扩展坞、蓝牙键鼠使用，操控更流畅。 数据安全 系统数据云端集中存储，不但能释放本地空间，还能避免宕机与数据丢失，使用多重安全传输协议保障数据安全。 数据不落地： 所有桌面、应用和数据统一管理，集中存储在云端。 数据多副本： 采用三副本技术分布式存储，灵活应对各种突发情况。 数据加密： 使用多重加密算法，对数据传输、数据存储进行加密，保障用户信息安全。

本节主要介绍访问控制的功能特性、应用场景、涉及的基本概念（根用户、IAM用户、用户组、MFA、授权、策略）及服务限制。 用户身份管理和访问控制（Identity and Access Management，简称IAM）是OOS为用户提供的用户身份与权限管理服务，您可以使用IAM创建、管理用户账号，并对这些账号进行权限分配，方便资源管理。 您只需为您在天翼云账户中的资源付费，无需为IAM单独付费。 注意 OOS的IAM能力和天翼云官网的IAM能力不互通。 功能特性 只要您拥有一个天翼云账号，即可拥有IAM功能，天翼云账号管理员可以： 创建、管理子用户账号。 控制子用户账号内资源具有的操作权限。 按需为用户分配不同权限，从而避免与其他用户共享资源使用、访问密钥的使用等，降低账号的信息安全风险。 多重身份认证：通过多因子操作认证（MFA）,在进行IAM相关操作时，可以使用MFA，为操作增加一份安全保障。 应用场景 用户管理与分权 企业中有不同的员工，各自职责不同，权限不同。有的员工需要进行上传下载文件的操作，有的员工只需要查看统计信息，有的员工只需要查看日志信息。通过IAM，可以为不同的员工分配不同的操作权限。 基本概念 根用户 ：用户首次创建CTYUN账户时，最初使用的是一个对账户中所有服务和资源有完全访问权限的登录身份，此身份称为根用户。 IAM用户： IAM用户是OOS中的一个实体，该实体代表使用它与OOS进行交互的人员或应用程序，由CTYUN账户在OOS中创建的用户，也称为子用户。默认情况下，全新的IAM用户没有执行任何操作的权限，新用户无权执行任何OOS操作或访问任何OOS资源。 用户组 ：用户组是用户的集合，IAM可以将IAM用户添加到对应的用户组，通过对用户组进行授权管理IAM用户，用户组的权限会影响用户组内的IAM用户。建议具备相同权限的IAM用户添加到同一用户组，方便管理。同一个IAM用户可以同时加入多个用户组。 访问密钥（AK/SK） OOS通过访问密钥（AK/SK）认证方式进行认证鉴权，即使用AccessKeyID（AK）/SecretAccessKey（SK）加密的方法来验证某个请求发送者身份。 访问密钥包含两部分：访问密钥 ID（AccessKeyID）和秘密访问密钥（Secret Access Key）。必须同时使用访问密钥 ID 和秘密访问密钥对请求执行身份验证。 OOS支持使用永久AK/SK鉴权，也支持通过临时AK/SK和securitytoken进行认证鉴权，通过使用临时AK，SK和securitytoken，可以为第三方应用或IAM用户颁发一个自定义时效和权限的访问凭证，降低了帐号泄露带来的安全风险。 MFA ：多因子认证（MultiFactor Authentication，简称MFA）是一种简单安全的二次认证方式，为用户增加了一层安全保护。仅子用户支持MFA。 授权 ：通过给用户组和用户添加策略，用户就能获得策略中定义的权限，这一过程称为授权。 策略 ：策略是以JSON格式描述权限信息的集合，可以精确地描述被授权的资源集、操作集以及授权条件。支持系统策略和自定义策略： 系统策略：OOS预先创建好的策略，用户可以根据自身需求，直接引用。对于系统策略，用户只能使用，不能修改。 自定义策略：用户自己创建的策略，用户可以对该类型策略进行修改和删除。

本文介绍了TCP、UDP数据包超过MTU值时会产生分片的情况及如何设置安全策略。 数据包过MTU时分片说明 网络最大传输单元MTU（Maximum Transmission Unit）决定了网络上单次可传输数据包的最大尺寸，包含IP数据包头和载荷，不包含以太网头部。以太网缺省MTU1500字节，这是以太网接口对IP层的约束，如果IP层有 1500字节数据需要发送，需要分片才能完成发送。所有分片报文在发送至目的主机后，在目的主机进行分片重组，恢复为原报文。 TCP和UDP数据包大小限制说明 1、如果您定义的TCP和UDP包没有超过范围（默认MTU为1500字节），那么您的数据包在IP层就不用分包，这样传输过程中就避免了在IP层组包发生的错误； 2、如果超过范围，因为多个分片包只有第一个是有包头的，它可以根据包头里的端口号通知相应的应用取走，但是后面的分片包由于没有包头，传输层无法把分片包交给正确的应用程序，导致后面的分片包内容丢失，在目的端无法重组报文。 安全规则配置策略 如果您有大包分片报文需求，在配置安全组规则时： 1、对于可用区资源池来说，目前不支持IPv4协议和IPv6协议类型的TCP、UDP分片大包进行指定端口过滤。您配置规则时需要将端口范围指定为165535，不进行指定端口过滤。 2、对于地域资源池来说，目前仅支持IPv4协议类型的TCP、UDP大包分片报文进行指定端口过滤，不支持IPv6协议类型。具体情况以控制台展示为准。

本页介绍天翼云TeleDB数据库产品介绍。 产品概述 TeleDB 是天翼云自主研发的分布式数据库系统，集高扩展性、高SQL兼容度、完整的分布式事务支持、多级容灾能力等能力于一身，采用无共享的集群架构，提供容灾、备份、恢复、监控、安全、审计等全套解决方案，适用于GB级 PB级的海量数据场景。 数据库资源与生命周期管理平台TeleDB资源全生命周期管理则致力于为客户提供极致体验的数据库资源管理一体化平台，支持用户对云数据库TeleDB进行全生命周期管理。 该平台提供租户用户管理、资源管理、实例管理、监控告警中心、安全中心等核心功能，使用者可以在TeleDB控制台上执行实例开通、维护管理、参数组管理、备份恢复管理、监控告警管理、数据库空间管理、任务管理、日志管理、资源管理、用户管理等操作，实现数据库资源集中管理和高效率使用，数据库运维自动化和智能化，帮助客户快速便捷使用数据库以满足业务高速增长的IT支撑需求，是客户私有化部署的最佳实践。 产品功能 实例管理 提供各类数据库实例的查看、停止、恢复、注销、扩容、缩容等操作，可查看实例详情，实例名称、引擎版本、产品规格、创建时间等，以及实例部署的主机类型及配置信息。 安装部署 多种数据库引擎自动安装部署，包含实例开通和工单管理模块，可选择数据库引擎、规格、主机及配置参数，开通对应实例，并可通过工单管理模块，查看实例开通情况。 资源管理 包含主机和VIP管理模块，可添加主机并测试联通、检测主机配置，添加主机标签，并可进行修改密码、删除操作，添加主机后可对主机进行监控，查看监控总览。 监控中心 实时监控，提供不同维度的主机和数据库运⾏指标监控及变化趋势分析，可自由选择不同时间段，开启自动刷新，通过对指标的平均值、最大最小值查看，能够实时监控运维，及时发现问题。 告警中心 提供灵活的告警配置，自定义告警模板，自定义通知对象，可实时推送告警消息，帮助运维人员及时把握数据库运行状态，及时发现风险问题，并快速定位。 安全中心 提供完整的租户用户管理，可灵活支撑企业组织架构和业务分类的资源隔离需要，超级管理员可以创建不同租户，租户管理员可添加移除用户，其他用户可自定义配置角色权限，进行有限的操作。同时，安全中心提供用户访问日志管理，可用于运维监控和问题排查。 标签管理 提供自定义标签管理，包括设置标签的键值，可在主机、实例管理里打上标签，进行分类筛选。 诊断优化 提供数据库巡检，可进行一次性、周期性巡检，生成巡检报告，可查看/下载巡检报告，方便运维管理。 服务订阅 用户通过线下方式确定需要提供的数据库服务，销售人员生成所订阅的信息并导入到服务订阅模块，后续根据用户使用情况更新订阅信息，方便用户管理订阅内容。

如果您需要立即执行识别任务，可参考本章节进行操作。 前提条件 已完成识别任务的创建。 操作步骤 1.登录管理控制台。 2.单击左上角的，选择区域或项目。 3.在左侧导航树中，单击，选择“安全>数据安全中心”，进入数据安全中心总览界面。 4.在左侧导航树中，选择“敏感数据识别（旧） > 识别任务”，进入“识别任务”页面。 5.在待开启敏感数据检测任务所在行的“操作”列，单击“立即识别”。 说明 如果您想停止正在执行的扫描任务，在目标检测任务的操作列，单击“停止”。

如果您需要修改级别信息，请按照此章节进行操作，其中数据分类的级别来源为自定义 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击左上角的，选择区域或项目。 步骤 3 在左侧导航树中，单击，选择选择“安全 > 数据安全中心”，进入数据安全中心总览界面。 步骤 4 在左侧导航树中选择“敏感数据识别 > 识别配置”，进入识别模板页签。 步骤 5 选择“级别配置”页签查看级别配置列表。 步骤 6 在目标级别操作列，单击“编辑”修改级别内容。 步骤 7 单击“确定”保存修改内容。

修改模板规则分类 步骤 1 登录管理控制台。 步骤 2 单击左上角的，选择区域或项目。 步骤 3 在左侧导航树中，单击，选择选择“安全 > 数据安全中心”，进入数据安全中心总览界面。 步骤 4 在左侧导航树中选择“敏感数据识别 > 识别配置”，进入识别模板页签。 步骤 5 单击目标模板的“详情”进入模板详情界面。 步骤 6 单击列表选择规则，支持多选。 步骤 7 在规则列表左上角单击“修改分类”，在修改分类的弹框中选择目标分类。 步骤 8 单击“确定”，提示规则分类修改成功。

本章节介绍如何查看数据库安全审计的操作日志信息。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 操作步骤 1. 登录管理控制台。 2. 单击右上角的，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全防护实例列表界面。 4. 在左侧导航树中，选择“数据库安全审计 > 实例列表”，进入“实例列表”界面。 5. 单击需要查看操作日志的实例名称，进入实例概览页面。 6. 选择“操作日志”页签，进入操作日志列表页面。 7. 查看操作日志，相关参数说明如下所示。查看操作日志，相关参数说明如下所示。 说明 选择时间（“近30分钟”、“近1小时”、“近24小时”、“近7天”或“近30天”）；或者单击日历图标，选择开始时间和结束时间，列表显示指定时间段的操作日志。 操作日志参数说明 参数名称 说明 用户名 执行操作的用户。 发生时间 执行操作的时间。 功能 执行的功能操作。 动作 执行功能操作的动作。 操作对象 执行操作的对象。 描述 执行操作的描述信息。 结果 执行操作的结果。