注意事项 当开通边缘安全加速平台加速全球或者全球(不含中国内地)服务时，都支持开通高性能网络增值服务。 具体开通流程，详情请见：高性能网络开通。 该功能为增值服务，配置开启后将产生相应费用。 具体计费规则，详情请见：高性能网络计费。 配置说明 如您需要配置使用高性能网络，请提交工单给天翼云客服，由其帮您配置。

本文向您介绍在录入或者登录实例时失败的解决方案。 问题描述 连接实例失败，是在登录实例或者添加实例时常遇到的问题，如下。 登录失败：在查询窗口或者其他有实例登录功能的地方登录实例，提示“无法连接到数据库、请检查信息是否填写正确”。 添加失败：添加实例时，输入完所有实例信息后，点击测试连接提示连接失败 问题分析 连接实例失败有多种可能，涉及到用户输入、网络、账号密码等多个因素，针对不同因素所造成的实例连接失败问题，相应地有不同的解决方案。 解决方案 实例信息录入错误：这种情况是因为实例的连接地址包括IP和端口填写错误，请您检查IP和端口并填写正确地址。 账号密码输入错误：填写正确的有登录权限的数据库账号和密码。 实例白名单没有配置：对于云实例，一般会使用白名单访问的方式，只有在白名单内的IP，才允许访问该实例，因此需要在实例所在安全组中添加DMS服务的白名单。DMS服务的白名单地址如下： 117.89.250.178

后续管理 访问控制策略创建完成后，可在策略列表页面，管理已创建策略，包括管理关联用户或资源、删除策略、启停策略、策略排序等。 若需补充关联用户或资源，可单击“关联”，快速关联用户、用户组、资源账户、帐户组。 若需删除策略，可选择目标策略，单击“删除”，立即删除策略。 若需禁用策略授权，可勾选一个或多个“已启用”状态的策略，单击“禁用”，策略状态变更为“已禁用”，策略授权立即失效。 若需排序策略优先等级，可选中策略行上下拖动策略，改变策略排序。 若需线下管理策略，可单击“导出”，以CSV格式导出全量访问控制策略详情。 设置双人授权 双人授权即金库授权模式。配置双人授权后，运维人员若需访问核心资源，要求管理员现场授权认证，通过认证后才能访问核心资源。即使运维人员帐号丢失，也不会泄露核心资源信息，降低运维风险，保障核心资产安全。 约束限制 授权候选人仅可选择本部门及上级部门的部门管理员，包括系统管理员 admin 。 前提条件 已获取“访问控制策略”模块操作权限。 已创建访问控制策略，并已关联用户和资源账户。 操作步骤 1. 登录云堡垒机系统。 2. 选择“策略 > 访问控制策略”，进入访问控制策略列表页面。 3. 选择目标策略，在“操作”列单击“更多 > 双人授权候选人”，弹出授权候选人名单窗口。 4. 选择一个或多个部门管理员，设为双人授权候选人。 5. 单击“确认”，双人授权候选人设置完成。

本节为您介绍公共镜像相关概念及特点。 公共镜像是标准的操作系统镜像，向所有用户开放，包括操作系统以及预装的公共应用。公共镜像的维护由天翼云提供，公共镜像具有高度稳定性，请放心使用。 公共镜像类型 天翼云提供的公共镜像覆盖电信自研操作系统CTyunOS，国产化操作系统KylinOS、openEuler等、第三方开源及商业镜像等公共镜像，您可以根据实际需要选择。 公共镜像类型 描述 技术支持 CTyunOS镜像 天翼云针对ECS实例提供的定制化原生操作系统镜像。CTyunOS镜像均经过严格测试，确保镜像安全、稳定，保证您能够正常启动和使用镜像。 天翼云将为您在使用CTyunOS操作系统过程中遇到的问题提供技术支持。 第三方及开源公共镜像 由天翼云严格测试并制作发布，确保镜像安全、稳定，保证您能正常启动和使用镜像。第三方公共镜像包括： Windows系统：Windows Server。 Linux系统：龙蜥（Anolis）OS、Ubuntu、CentOS、CentOS Stream、Debian、Rocky Linux和AlmaLinux等。 对于开源操作系统镜像，请联系开源社区获得技术支持。同时，天翼云将对问题的调查提供相应的技术协助。 CTyunOS CTyunOS 2操作系统基于openEuler 20.03 LTS版本、CTyunOS 3基于openEuler 22.03SP1版本自主研发，包含天翼云完全自研的虚拟化增强组件和云平台组件，完善的编译工具链及开发环境等特性，具有高性能、高可靠、强安全和易扩展的特点。 CTyunOS操作系统 CTyunOS 2.0.1 64 位 CTyunOS 2.0.1 64 位 ARM 版 CTyunOS 22.06 64 位 CTyunOS 22.06 64 位 ARM 版 CTyunOS 23.01 64 位 CTyunOS 23.01 64 位 ARM 版

此小节介绍数据库安全审计的使用限制 使用限制 在使用数据库安全审计前，您需要了解数据库安全审计的使用限制。 支持的数据库类型 数据库安全审计可以为管理控制台上的以下数据库提供旁路模式的数据库审计功能： 关系型数据库（Relational Database Service，RDS） 弹性云主机（Elastic Cloud Server ，ECS）的自建数据库 裸金属服务器（Bare Metal Server，BMS）的自建数据库 云主机（Elastic Cloud Server ，ECS）的自建数据库 物理机（Bare Metal Server，BMS）的自建数据库 数据库安全审计支持数据库类型及版本如所示。 数据库安全审计支持的数据库类型和版本 数据库类型 版本 MySQL 5.0、5.1、5.5、5.6、5.7 8.0（8.0.11及以前的子版本） 8.0.23 8.0.25 Oracel (因Orace为闭源协议，适配版本复杂，如您需审计Orace数据库，请先联系客服人员) 11g 11.1.0.6.0、11.2.0.1.0、11.2.0.2.0、11.2.0.3.0、11.2.0.4.0 12c 12.1.0.2.0、12.2.0.1.0 19c PostgreSQL 7.4 8.0 8.0、8.1、8.2、8.3、8.4 9.0 9.0、9.1、9.2、9.3、9.4、9.5、9.6 10.0 10.0、10.1、10.2、10.3、10.4、10.5 11.0 12.0 13.0 SQL Server 2008、2008R2 2012 2014 2016 2017 DWS 1.5 8.1 SHENTONG V7.0 GBase 8a V8.5 GBase 8s V8.8 Gbase XDM Cluster V8.0 Greenplum V6.0 HighGo V6.0 TAURUS MySQ 8.0 GaussDB 1.4企业版 DAMENG DM8 KINGBASE V8 MongoDB V5.0

本文介绍Web客户端如何接入验证码。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通套餐为高级版及以上版本，支持验证码功能。 需先完成验证码配置。暂时未开放控制台，请通过提交工单给天翼云客服，由其人工操作开启。 代码示例 以下代码示例，单击打开验证码，激活验证码，并弹窗展示验证结果。点击携带 ticket 发请求，能够验证拦截情况 html 滑块验证接入demo .container { maxwidth: 400px; margin: 0 auto; padding: 20px; backgroundcolor: fff; borderradius: 5px; boxshadow: 0 0 10px rgba(0, 0, 0, 0.1); margintop: 100px; } h1 { textalign: center; } input[type"text"], input[type"password"] { width: 95%; padding: 10px; marginbottom: 10px; border: 1px solid ccc; borderradius: 5px; } .btclick { width: 100%; padding: 10px; marginbottom: 10px; border: none; borderradius: 5px; cursor: pointer; } .btclickcaptcha { position: relative; background:

挂起投递任务 数据投递新增并授权成功后，投递任务状态自动更新为投递中，如需停止投递，可挂起目标投递任务。 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计 > 安全数据”，进入安全分析页面后，选择“数据投递管理”页签，进入数据投递管理页面。 5. 在数据投递管理页面，单击目标投递任务所在行“操作”列的“挂起”。 挂起后，投递任务状态更新为“挂起”，则表示挂起投递任务成功。 启动投递任务 数据投递任务停止投递后，如需重启投递，可启动目标投递任务。 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计 > 安全数据”，进入安全分析页面后，选择“数据投递管理”页签，进入数据投递管理页面。 5. 在数据投递管理页面，单击目标投递任务所在行“操作”列的“启动”。 启动后，投递任务状态更新为“投递中”，则表示启动投递任务成功。

本节将介绍如何批量添加资产，如果您需要批量添加OBS、数据库、大数据或者MRS资产，可参考本章节。 前提条件 需要完成数据库资产委托授权，参考云资源委托授权/停止授权进行操作。 需要获取自建数据库的引擎、版本、主机等相关信息，且自建数据库子网下含有可用的IP配额。 约束条件 只能添加DSC支持的数据库类型及版本，DSC支持的数据库类型及版本如下表所示。 数据库类型 版本 MySQL 5.6、5.7、5.8、8.0 SQL Server 2017SE、2017EE、2017WEB 2016SE、2016EE、2016WEB 2014SE、2014EE 2012SE、2012EE、2012WEB 2008R2EE、2008R2WEB PostGreSQL 11、10、9.6、9.5、9.4、9.1 Oracle 10、12 操作步骤 1. 登录管理控制台。 2. 点击左上角的，选择区域或项目。 3. 点击左侧导航树中的，选择“安全与合规 >数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中选择“资产列表”，进入OBS资产列表页面。 5. 在OBS资产列表右上角，单击“批量添加”。 6. 在弹出的“批量添加”对话框中，单击“添加文件”，将已整理好的资产文件导入到系统中。 点击“下载模板”，将资产信息按模板整理好。 7. 单击“确定”，批量添加数据库完成。 数据库添加完成后，该数据库的“连通性”为“检查中”，此时，DSC会测试数据库的连通性。 DSC能正常访问已添加的数据库，该数据库的“连通性”状态为“成功”。 若DSC不能正常访问已添加的数据库，该数据库的“连通性”状态为“失败”。单击“原因”查看失败的原因或者参照如何排查添加数据库连通性失败？解决。

云主机备份产品广泛应用于多种场景,本文带您更快了解云主机备份的经典应用场景。 云主机备份是一种非常重要的数据保护和恢复措施，适用于政府、金融等对数据安全性要求较高的客户，可以在各种场景下快速恢复数据，防止因意外、事故、黑客攻击或病毒入侵等导致的数据丢失。 场景说明 受黑客攻击或病毒入侵场景：在面临黑客攻击或病毒入侵的情况下，通过备份，可以立即恢复到最近一次没有受到黑客攻击或病毒入侵的备份时间点。这将消除黑客或病毒对数据和系统造成的损害，让系统恢复到正常运行状态，同时避免进一步扩散和数据丢失。 数据误删场景：数据误删是一个常见但严重的问题，通过云主机备份，可以迅速找回被删除的数据。备份允许立即恢复到删除前的备份时间点，确保数据的完整性和可用性，从而避免因误操作而导致的数据丢失或业务中断。 云主机宕机场景：当云主机遭遇宕机时，业务可能会受到严重影响。通过备份，可以迅速恢复到宕机之前的备份时间点，使云主机能够再次正常启动。这将减少业务中断时间，恢复服务，并降低损失的可能性。

本文介绍如何进行镜像扫描，包括扫描仓库镜像、扫描节点镜像。 镜像扫描支持手动扫描、自动扫描、周期扫描三种方式。 手动扫描 扫描仓库镜像 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“镜像安全”，进入镜像安全页面。 3. 查看仓库镜像列表，单击镜像列表中的“扫描”、“重新扫描”或者镜像列表右上角的“扫描镜像”，为未扫描的镜像或已经扫描完成的镜像建立扫描任务。 4. 在弹出的扫描仓库镜像对话框中，选择扫描范围。 5. 单击“确定”，即可开始扫描。 扫描节点镜像 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“镜像安全”，进入镜像安全页面。 3. 查看节点镜像列表，单击镜像列表中的“扫描”、“重新扫描”或者镜像列表右上角的“扫描镜像”，为未扫描的镜像或已经扫描完成的镜像建立扫描任务。 4. 在弹出的扫描节点镜像对话框中，选择扫描范围。 5. 单击“确定”，即可开始扫描。

模型适配是确保AI模型能够高效、稳定地运行于各种硬件平台（包括但不限于华为昇腾NPU、英伟达GPU等）和多种软件框架（如MegatronLM、DeepSpeed、ColossalAI、LLaMAFactory、msswift等）上的关键技术体系。 模型适配专家服务为客户解决模型在国产化算力上训练、推理的适配难题，帮助客户的大模型应用高效、快速地迁移到国产化算力上，加速大模型基于国产化算力的应用落地。

云硬盘广泛应用于多种场景,如企业应用上云、云上虚拟化和核心数据库。 场景一：企业应用上云 场景说明 企业应用上云是企业数字化转型的重要举措，是指将企业的应用程序迁移到云平台上的过程，在此过程中，企业的内部办公系统以及企业外部业务系统都将进行上云搬迁部署。那么企业应用以及企业核心数据库所承载的业务及数据都会应用到云硬盘。 场景架构 产品优势 按需弹性扩展，性能线性增长，满足企业规模增长带来的容量和性能诉求。 提供规格丰富的多种云硬盘，满足不同企业应用对性能的不同诉求。 云硬盘可以挂载至弹性云主机，也可以应用于物理机中，可以匹配不同企业在算力资源不同情况下的存储诉求。 提供云硬盘备份与快照功能，满足企业对数据安全性与可靠性的诉求。 场景二：云上虚拟化 场景说明 采用弹性云主机或物理机构建虚拟化的公有云/私有云平台，结合天翼云自研虚拟化技术，提高IT基础架构业务支撑灵活度，降低系统管理复杂性。高IOPS、低延迟的SSD资源池顺利解决业务高峰期性能瓶颈问题。云硬盘在线扩容实现容量和性能的线性扩展，满足业务增长诉求。

本章介绍函数工作流如何使用RabbitMQ触发器。 前提条件 已经创建函数。 创建RabbitMQ触发器，必须开启函数工作流VPC访问。 已经创建RabbitMQ实例。 确认实例安全组规则是否配置正确。 在RabbitMQ实例详情页面的“基本信息 > 网络”，单击安全组名称，跳转到安全组页面。 选择“入方向规则”，查看安全组入方向规则。 实例未开启SSL开关 如果是VPC内访问，实例安全组入方向规则，需要允许端口5672的访问。 如果是公网访问，需要允许端口15672的访问。 实例已开启SSL开关 如果是VPC内访问，实例安全组入方向规则，需要允许端口5671的访问。 如果是公网访问，需要运行端口15671的访问。 创建RabbitMQ触发器 1. 登录函数工作流控制台，在左侧的导航栏选择“函数 > 函数列表”。 2. 选择待配置的函数，单击进入函数详情页。 3. 选择“设置 > 触发器”，单击“创建触发器”，弹出“创建触发器”对话框。 4. 设置以下信息。 触发器类型：选择“分布式消息服务RabbitMQ版 (RABBITMQ)”。 实例：选择已创建RabbitMQ实例。 交换机名称：填写用户需要使用的交换机名称。 密码：填写创建RabbitMQ实例的密码。 虚拟机名称：填写用户自定义的vhost。 批处理大小：每次从Topic消费的消息数量。 5. 单击“确定”，完成RabbitMQ触发器的创建。 说明 开启函数流VPC访问后，需要在RabbitMQ服务安全组配置对应子网的权限。

该任务指导用户通过漏洞扫描服务删除已创建的监测任务。 前提条件 已获取管理控制台的登录帐号与密码。 已创建监测任务。 操作步骤 1. 登录管理控制台。 2. 在左侧导航树中，单击，选择“安全 > 漏洞扫描（专业版）”。 3. 在左侧导航树中，选择“安全监测”，进入“安全监测”界面。 4. 在目标监测任务所在行的“操作”列中，单击“删除任务”，在弹出的对话框中，单击“确认”。

安全体检产品当前支持按年订购，如开通自动续费，服务到期前，将为您自动续费1年。 到期说明 安全体检产品到期后，如您未开通自动续订，产品将自动冻结，届时您将无法操作体检IP、通知信息、启动体检、下载或预览报告等操作，产品将持续冻结15天，15天后，如您仍未完成续订操作，产品将销毁，您的所有数据将被清除并无法恢复。 续订说明 安全体检产品当前支持包月或包年订购，您可在产品服务到期前，选择续费，或者开通自动续费，服务到期前，将为您自动续费订购时选择的周期时长（例如订购时选择开通5个月，并勾选了自动续订，则开通5个月后到期时为您自动续期5个月）。 续订步骤 1. 登录产品控制台。 2. 点击“续订体检”按钮，跳转到安全体检续订界面。 3. 在续订页面，点击“立即续订“按钮，跳转到支付页面。 4. 在“支付”页面，请选择付款方式进行付款。 5. 付款成功后，返回产品控制台，查看续订结果。

本文介绍如何通过配置访问控制规则，进行零信任服务的访问控制限制。 企业使用远程零信任办公服务，部分场景下，需要对访问的来源进行控制，远程零信任办公服务支持对客户端访问来源、访问IP、用户粒度、访问时间等进行访问控制，实现更灵活和安全的企业远程办公访问体验。 操作步骤 1. 登录边缘安全加速控制台。 2. 在左侧导航栏，选择AOne零信任安全访问控制。 3. 在访问控制页面，单击新增。 4. 在新增面板，按照如下表格说明，填写对应字段信息。 字段 字段说明 规则名称 规则的名称，建议使用便于记忆的名称。例如根据使用场景进行命名。 防护状态 支持按钮开启防护状态或者关闭防护。 规则描述 规则的说明。 匹配条件 配置对应的匹配字段、逻辑符、匹配内容。 匹配字段包含：客户端IP、客户端IPS、客户端IPR、客户端端口、目的IPS、目的IPR、目的IP、目的端口、协议、域名、用户、生效时间段(周期性)、地区、设备ID等。 逻辑符为：包含、不包含。 匹配内容为：根据对应匹配字段渲染出来的填写框，支持下拉勾选，填写精确内容等方式。 处置动作 支持对访问进行拦截、监控、丢弃、加白操作。 监控：请求命中访问控制策略后，不对其拦截，仅记录攻击日志。 加白：请求命中访问控制策略后，将对其进行加白，请求不经过任意安全防护策略。 拦截：提示由于您企业配置了访问控制策略，您此次的访问不符合访问条件，请确认是否存在非法IP地址、不合规时间或者非法地区访问等情况。 丢弃：拦截后不会响应页面，会减少带宽。

平安校园 通过iBox接入高清摄像机，结合深度学习技术，提供人员识别、周界入侵、 离岗检测、车牌识别、烟火识别、吸烟识别、人群聚集、区域入侵等智能化算法，有效防范人员安全隐患、预防校园欺凌，提升事件处置效率，切实解决学校安全难题，提升安全保卫工作效能，构建和谐平安校园，实现校园安全管理智能化、流程化、科学化。 智慧城管 重点面向智慧城管建设中的智能视频分析需求，内置街面秩序、市容环境、沿街广告、突发事件、施工管理等场景AI算法，可切实提高城市治理智能化水平。 加油站作业合规 iBox边缘盒子在加油站场景中提供了关键的边缘AI能力，专注于卸油区、桶装加油和罐装加油的合规检测。它能够实时监控并分析操作流程，确保所有活动符合安全和操作规范，从而有效提升加油站的安全性和管理效率。

本节介绍翼打印的功能和优势介绍。 功能介绍 随着天翼AI云电脑业务的与日俱增，作为办公场景的刚性需求——打印在AI云电脑上的易用性、可管控性、可靠性也亟需提高。目前AI云电脑办公场景打印有驱动安装繁琐、权限难管控、驱动更新重复工作量大等问题。基于上述背景，我们提出了“翼打印”解决方案：通过使用翼打印服务，用户无需安装打印机驱动，也无需配置打印机网络信息，即可随时发起打印任务。支持统一打印权限分配与管控，及驱动一次性更新即可全局同步，大大降低打印行为成本。当前版本翼打印核心功能包括： 免装驱动 所有打印机驱动安装在翼打印服务器上，用户无需安装驱动即可打印，同时避免与用户本地终端/软件冲突。 安全可控 支持打印审计，保证打印数据安全；支持打印水印，降低纸质材料外泄风险。 权限配置 支持按部门/个人维度分配翼打印或打印机使用权限。 竞争优势 驱动库丰富，基本能满足各类主流打印机的使用。 配置成本低，后台一键配置，用户侧免驱动无感知使用翼打印。

此小节介绍企业主机安全编辑策略内容。 当您创建策略组后，需要修改策略内容时，可按照本文档的指导完成策略内容的修改。 策略内容的修改，只在当前所修改的策略组生效。 默认策略组有默认配置，不建议修改。 Windows的HIPS策略目前不支持修改。 约束限制 需开启高级版、企业版、旗舰版、网页防篡改版、容器版中任一版本。 进入策略管理 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在左侧导航栏，选择“安全运营 > 策略管理”，进入“策略管理”界面，查看显示的策略组，字段说明如下所示： 说明 tenantlinuxcontainerdefaultpolicygroup：容器版linux系统预置策略，仅可被查看，不可复制和删除。 tenantlinuxenterprisedefaultpolicygroup：企业版linux系统预置策略，仅可被查看，不可被复制和删除。 tenantwindowsenterprisedefaultpolicygroup：企业版windows系统预置策略，仅可被查看，不可被复制和删除。 tenantlinuxpremiumdefaultpolicygroup：旗舰版linux系统预置策略，可通过复制该策略组来创建新的策略组。 tenantwindowspremiumdefaultpolicygroup：旗舰版windows系统预置策略，可通过复制该策略组来创建新的策略组。 可在列表右上角单击 ，手动刷新当前列表。 可单击关联服务器数的数量，查看策略组关联的服务器。 策略组列表字段说明 字段 说明 策略组名称 策略组的名称。 ID 策略组的ID号，对策略组的唯一标识。 描述 对策略组的描述。 支持的版本 策略组支持的主机安全的版本。 5、单击目标策略组名称，进入策略详情列表，单击策略名称对不同策略进行修改。 Linux策略组详情

本小节介绍等保咨询简化版与标准版各自的功能。 等保咨询简化版 按照等级保护相关标准要求，提供测评内容、测评对象、测评流程、测评指标、测评方法等测评细项内容，以及系统定级、备案指导服务，输出《等保测评技术指导》。提供系统差距的安全风险分析，包括网络、防护、应用、制度等测评相关服务，并输出《差距分析评估》。 等保测评技术指导：按照等级保护相关标准要求，提供测评内容、测评对象、测评流程、测评指标、测评方法等测评细项内容，以及系统定级、备案指导服务，输出《等保测评技术指导》。 差距分析评估：提供系统差距的安全风险分析，包括网络、防护、应用、制度等测评相关服务，并输出《差距分析评估》。 等保咨询标准版 包含所有简化版服务内容，提供针对性的等保合规要求的整改安全方案。、 等保测评技术指导：按照等级保护相关标准要求，提供测评内容、测评对象、测评流程、测评指标、测评方法等测评细项内容，以及系统定级、备案指导服务，输出《等保测评技术指导》。 差距分析评估：提供系统差距的安全风险分析，并输出《差距分析评估》。 差距整改方案：提供针对性的等保合规要求的整改安全方案，指导整改。

资源 说明 操作指导 安全组 添加安全组规则的时候，源地址和目的地址可以选择IP地址组。 添加安全组规则： 添加入方向规则：“源地址”选择IP地址组。 添加出方向规则：“目的地址”选择IP地址组。 网络ACL 添加网络ACL规则的时候，源地址和目的地址可以选择IP地址组。 添加网络ACL规则： 添加入方向规则：“源地址”或者“目的地址”选择IP地址组，源地址和目的地址只能有一方使用IP地址组。 添加出方向规则：“源地址”或者“目的地址”选择IP地址组，源地址和目的地址只能有一方使用IP地址组。

本文介绍如何查看安全分析报表。 在天翼云SCDN客户控制台的【安全分析】页面，客户可以查看waf、CC攻击日志和waf报表分析、CC报表分析情况； 界面中展示的是您所选域名、时间的攻击日志情况； 图 安全分析CC攻击日志 图 WAF报表分析 图 CC报表分析 图 抗D报表分析 图 网络层攻击事件

天翼云为您提安全体检产品服务协议说明，请您点击查看。 请参见安全体检产品服务协议。

简述客户业务接入AOne边缘安全加速各个服务的基本条件。 安全与加速 限制项 具体要求 说明 ::: 加速域名 中国内地： 1.已在天翼云进行实名认证。 2.域名已在工信部备案且备案信息正常有效。 3.域名接入时需要经过内容审核。 加速范围为中国内地、全球的域名必须在工信部备案才能接入AOne安全与加速，否则天翼云无法提供加速服务。 域名额定用量 1.URL刷新：10000条/日。 2.目录刷新：1000条/日。 3.URL预取：2000条/日。 为防止资源滥用，AOne安全与加速限定了各服务资源的额定用量，如果当前用量无法满足使用需要，请提交工单申请扩大额度。 回源 1.请求行&请求头：请求行的最大长度为64k，每个请求头的最大长度为64k，请求行加请求头的大小不能超过256k。 2.超时时间：客户端和网关保持TCP连接的超时时间，默认值 60s。 3.源站端口：http回源端口默认80，支持自定义。https端口默认443，不支持自定义，如需配置非443端口请提交工单申请。 详情请参考[]( 突发带宽限流 若您对AOne安全与加速有突发带宽控制需求，请提前提交工单申请配置全网带宽控制功能。全网带宽控制功能可通过设置单个域名或多个域名的总带宽值来控制带宽总用量，避免因带宽突发带来更多的带宽费用。 带宽控制功能支持全网边缘总带宽限制，支持分时段控制，您可以根据自身带宽需求选择对应的限制策略。带宽超出设置值后，可选择对请求进行限速、拒绝或者重定向操作。 文件 通过AOne安全与加速传输的文件大小默认限制为单个文件最大不超过300MB。支持自定义。 请求方式 支持GET、PUT、POST和HEAD等请求方式。 可以通过回源HTTP请求头功能，改写用户回源请求中的HTTP Header信息，携带特定的参数信息给源站，实现特定业务需求。

本章节主要介绍 鉴权策略。 安全模式 大数据平台用户完成身份认证后，系统还需要根据实际权限管理配置，选择是否对用户进行鉴权，确保系统用户拥有资源的有限或全部权限。如果系统用户权限不足，需要由系统管理员为用户授予各个组件对应的权限后，才能访问资源。安全模式或者普通模式集群均提供鉴权能力，组件的具体权限项在两种模式中相同。 新安装的安全模式集群默认即安装了Ranger服务并启用了Ranger鉴权，用户可以通过组件的权限插件对组件资源的访问设置细粒度的安全访问策略。若不需使用Ranger进行鉴权，管理员可在服务页面手动停用Ranger鉴权，停用Ranger鉴权后，访问组件资源的时系统将继续基于FusionInsight Manager的角色模型进行权限控制。 安全模式集群中，支持使用Ranger鉴权的组件包括：HDFS、Yarn、Kafka、Hive、HBase、Storm、Spark2x、Impala。 从历史版本升级的集群，用户访问组件资源时默认不使用Ranger鉴权，管理员可在安装了Ranger服务后手动启用Ranger鉴权。 安全版本的集群所有组件默认统一对及访问进行鉴权，不支持关闭鉴权功能。 普通模式 普通模式的集群不同组件使用各自原生开源的鉴权行为，详细鉴权机制下表所示。 在安装了Ranger服务的普通模式集群中，Ranger可以支持基于OS用户进行组件资源的权限控制，支持启用Ranger鉴权的组件包括：HBase、HDFS、Hive、Spark2x、Yarn。 普通模式组件鉴权一览表 服务 是否鉴权 是否支持开关鉴权 ClickHouse 鉴权 不支持修改 Flume 无鉴权 不支持修改 HBase 无鉴权 支持修改 HDFS 鉴权 支持修改 Hive 无鉴权 不支持修改 Hue 无鉴权 不支持修改 Kafka 无鉴权 不支持修改 Loader 无鉴权 不支持修改 Mapreduce 无鉴权 不支持修改 Oozie 鉴权 不支持修改 Spark2x 无鉴权 不支持修改 Storm 无鉴权 不支持修改 Yarn 无鉴权 支持修改 ZooKeeper 鉴权 支持修改

注意 本清单适用于天翼云AOne APP（Android 及 iOS版本）等全部终端客户端（以下单称或统称“平台”）向您提供的各项产品和服务。若某个产品与/或服务设置了单独清单，则该单独清单优先适用。 业务场景 收集目的 处理方式 信息类型 账号注册 登录认证、双因子认证、重置密码、验证码校验、应用访问权限申请和审批、员工账号管理 用户输入 手机号、电子邮箱、用户名 账号登录 登录认证 用户输入 注册用户登录账号、注册用户登录密码、验证码 设备管理 进行移动设备管理 APP收集 账号、设备ID、设备名称、设备系统 信息统计故障诊断 使用故障诊断、信息统计、服务稳定性改进、响应使用异常帮助请求 APP收集 设备名称、品牌、型号、操作系统、设备设置、IDFV（仅iOS）、IP地址、个人信息（头像） 企业/组织控制台数据配置 企业组织管理、应用范围管理、日常办公安全管理 企业管理员配置 隶属部门、办公邮箱账号、办公电话、企业账号信息、访问企业应用/资产名称、访问企业应用/资产的时长、访问过程中流量的大小 VPN服务 访问企业内部应用、产品功能正常运行 APP收集 设备名称、设备版本、软件版本号、虚拟网卡IP地址 应用资源访问 网络日志保存、安全审计 APP收集 访问的应用名、访问的目的地址、目的端口、设备网络类型、客户端IP地址、客户端端口、访问日期和时间 AI应用中心智能对话 意图识别、关键词拆分、信息检索、提供精准搜索结果和总结性回答 用户输入 与AI应用中心交互过程中输入的内容（语音、文本、图片、文件）、对话记录（输入信息、App生成内容、对话主题） AI应用中心文件上传 智能搜索、交互服务、精准理解用户需求、提供准确搜索结果和智能推荐 用户上传 用户上传的文件内容 日程服务 日程提醒、日程安排管理 用户输入 日程安排、事件通知 消息服务 信息传输与交互、设备同步 用户输入 聊天信息（文本消息、图片消息、文件、通信录信息） 空间服务在线文档 文档管理、协作记录 用户输入 文档及文档信息（文档类型、大小、文档权限、存放位置）、参与编辑的记录、分享/创建副本/下载/浏览/变更权限设置的操作记录 空间服务搜索 搜索结果展示 用户输入 搜索关键字信息 企业微信账户授权登录 关联账号登录 APP收集 个人账号信息、联系方式、组织架构 飞书账户授权登录 关联账号登录 APP收集 个人账号信息、联系方式、组织架构、设备信息与日志信息（操作系统版本号、服务日志）、个人常用设备信息 钉钉账户授权登录 关联账号登录 APP收集 个人账号信息、联系方式、组织架构 音视频会议发言 音视频流传输 APP收集 音频信息、视频信息 音视频会议粘贴会议号 会议号鉴别、提升入会效率 APP收集 剪贴板中的会议号 音视频会议蓝牙连接 蓝牙设备会议交流 APP收集 蓝牙设备信息 共享屏幕 在其他应用上层显示 APP收集 悬浮窗权限、共享屏幕信息 会议记录 会议信息管理、后期查看 APP收集 会议主题、会议号、会议密码、会议创建人、参会人、会议开始和结束时间、最近入会时间及参会时长 云录制 会议内容保存、回放观看 APP收集 音频信息、视频信息、会议纪要文本数据 会议纪要生成 生成会议纪要（按主题、按章节、按发言人总结） APP收集 会议音频信息、会议主题、参会人昵称信息 全球加速 加速访问公网应用 APP收集 设备名称、设备版本、软件版本号、虚拟网卡IP地址 生物识别登录 账号登录验证 本地验证 指纹信息/人脸信息（不采集原始图像，仅保存在用户设备上） 待办工单 工单管理 用户输入 待办工单信息 邮件服务 邮件收发 用户输入 电子邮箱地址、图片、文字、文件

本文主要介绍权限管理 通过企业项目对用户和用户组进行授权 APM使用企业项目管理控制用户对APM资源的访问范围。您在云帐号中给员工创建IAM用户组后，可以在企业管理服务控制台创建企业项目，并在企业项目中为用户组授予相应的权限，实现人员授权及权限控制。企业项目可将企业分布在不同区域的资源按照企业项目进行统一管理，同时可以为每个企业项目设置拥有不同权限的用户组。 通过IAM为企业中的用户和用户组进行授权 如果您需要对您所拥有的APM进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用APM资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将APM资源委托给更专业、高效的其他帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用APM服务的其它功能。 本章节为您介绍对用户授权的方法，操作流程如图所示。 前提条件 给用户组授权之前，请您了解用户组可以添加的APM权限，并结合实际需求进行选择，APM支持的系统权限。 示例流程 使用IAM授权的云服务 图 给用户授权APM权限流程 1. 创建用户组并授权 在IAM控制台创建用户组，并授予APM只读权限“APM ReadOnlyAccess”。 2. 创建IAM用户 在IAM控制台创建用户，并将其加入[1](

本文向您介绍Windows云主机如何配置多用户登录(Windows 2012)。 操作场景 本文档指导您配置Windows云主机实现多用户登录，以Windows Server 2012标准版R2中文版操作系统的云主机为例。 说明 远程桌面授权仅支持120天，过期后将因缺失远程桌面授权服务器许可证而导致多用户登录无法使用，需激活远程桌面授权。 配置多用户登录后，如果出现多用户登录Windows主机时无法打开浏览器的问题，请参考 操作须知 请确保云主机带宽资源充足，避免由于多用户同时操作负载过高导致云主机卡顿或登录异常。 所在安全组入方向已开放云主机登录使用的端口，默认使用3389端口。 云主机已经绑定弹性公网IP。 配置多用户登录后，不同的用户登录云服务器操作互相之间无影响。 配置多用户登录后，如果出现多用户登录Windows主机时无法打开浏览器的问题，请参考多用户登录Windows主机时无法打开浏览器。 操作步骤 步骤一：安装桌面会话主机和远程桌面授权。 1. 登录弹性云主机。 2. 在操作系统界面， 打开“服务器管理器”，单击“添加角色和功能”。 3. 保持默认参数，单击“下一步”。 4. 左侧导航栏选择“安装类型”，选择“基于角色或基于功能的安装”，单击“下一步”。 5. 左侧导航栏选择“服务器选择”，选择“从服务器池中选择服务器”，单击“下一步”。 6. 左侧导航栏选择“服务器角色”，选择“远程桌面服务”，单击“下一步”。 7. 左侧导航栏选择“功能”，在此页面保持默认参数，单击两次“下一步”。 8. 左侧导航栏选择“角色服务”，在此界面依次选择“远程桌面会话主机”和“远程桌面授权”，在弹出的窗口单击“添加功能”，单击“下一步”。 9. 确认在云主机上安装的角色，单击“安装(I)”。 10. 安装完成后，重启云主机。 第二步：允许多用户远程连接云主机。 1. 在运行里输入 gpedit.msc，打开计算机本地组策略 2. 选择“计算机配置>管理模板>windows组件>远程桌面服务>远程桌面会话主机>连接”，并依次设置“允许用户通过使用远程桌面服务进行远程连接”、“限制连接数量”和“将远程桌面服务用户限制到单独的远程桌面” 3. 右键单击“编辑”，设置“允许用户通过使用远程桌面服务进行远程连接”设置为“已启用”。 4. 右键单击“编辑”，设置“限制连接数量”选择为已启用，可根据具体数量设置，这里示例将允许的RD最大连接数设置为999。 5. 右键单击“编辑”，“将远程桌面服务用户限制到单独的远程桌面”选择已启用，或者已禁用，请注意此处已启用和已禁用的区别。本示例勾选“已启用”。 说明 l 已启用：多个用户同时登录的多用户登录，不能单个用户多登录 例如：配置为已启用，用户A、用户B、用户C可以分别使用账号A、账号B、账号C同时登录云主机，但是不支持用户A、用户B、用户C使用同一个账号同时登录云主机 l 已禁用：单个用户同时多个登录的多用户登录 例如：配置为已禁用，用户A、用户B、用户C可以使用同一个账号同时登录云主机 6. 运行cmd，输入 gpupdate /force，强制执行本地组策略，重启服务器，整个配置过程完成。 第三步：配置新用户并加入远程桌面用户组。 1. 在运行中输入 lusrmgr.msc，打开本地用户和组，进行新用户创建。 2. 单击“用户”，在空白处右键选择新用户。 3. 填写新用户信息，单击“创建”。 4. 单击“组”，双击打开Remote Desktop Users组，单击“添加”。 5. 进入选择用户界面，单击“高级”。 6. 在新的选择用户界面，单击“立即查找”，在下方搜索结果中选中需要远程登录的用户，并单击“确定”，完成添加，即可远程登录。 7. 单击“确定”，添加用户到Remote Dsektop Users组。

本文将为您介绍云硬盘备份的入门操作流程。 天翼云云硬盘备份可以为用户提供备份服务，并在磁盘故障、用户误删数据、遭到黑客攻击等情况下，使用云硬盘备份恢复数据或创建新盘，最大限度保证用户数据的安全性，云硬盘备份的使用流程如下图： 1. 首先进行准备工作，注册天翼云，确保账户余额充足，具体流程参见准备工作。 2. 在备份前，用户需要购买存储库，便于后续创建备份，存储库创建步骤请参见创建存储库。 3. 用户在创建存储库时可以选择云硬盘资源，并对其进行立即备份或设置自动备份，不选择云硬盘资源则代表仅创建存储库。存储库创建好，即可对云硬盘资源进行备份，后续产生的备份会放置于存储库中，创建备份的操作步骤请参见创建云硬盘备份。 4. 备份创建成功之后，用户可以根据业务实际需要，使用备份恢复云硬盘的数据，恢复数据的步骤请参见使用备份恢复源云硬盘以及使用备份创建新的云硬盘。

本文提供了边缘安全加速服务平台服务协议查看地址。 边缘安全加速服务平台服务协议，详情请参见这里。

本文为您介绍IAM授权与企业项目授权的区别。 IAM授权是指授权范围在具体资源池或全局的授权关系。可以在授权管理、用户组或用户中查看IAM授权关系。 企业项目授权是指在企业项目上，设置用户组和设置策略后形成的授权关系。只能在企业项目下，通过查看用户组的关联策略，查看企业项目授权关系。 IAM授权与企业项目授权的区别 支持的服务 IAM授权支持的服务，可以参考使用IAM授权的云服务。 企业项目授权支持的云服务及对应资源类型请以控制台界面显示为准。 进入“企业项目管理”页面，在企业项目列表中单击任一企业项目操作列的“查看资源”，系统进入企业项目详情页面，在“资源”页签下可查看企业项目支持的服务及其对应资源类型等信息。此处展示的服务代表支持进行企业项目授权。 资源隔离 IAM授权时，支持通过资源池隔离授权（对于作用范围时资源池级别的策略）和资源路径实现资源隔离（对于支持策略中使用资源路径“Resource”字段进行资源隔离的云服务） 企业项目授权时，支持通过创建企业项目，隔离企业不同项目之间的资源，企业项目的资源隔离效果不受物理资源池的限制，可以实现子用户仅能看到不同资源池上部分资源的效果。 授权覆盖 相同Action时，IAM授权的优先级高于企业项目授权，会表现出授权覆盖的鉴权结果。例如，用户组1在IAM中授权了允许创建云主机，在企业项目A上授权了拒绝创建云主机，那么对于一台华东1的云主机，如果这台云主机位于企业项目A下，此时用户组1的用户进行创建云主机的操作时，鉴权结果为Allow，因为IAM授权在相同Action下优先级高于企业项目授权。 用户组1在华东1资源池上的IAM授权策略中包含以下Action： plaintext 用户组1在华东1资源池上的IAM授权策略中包含以下Action： { "Action": [ "ecs:cloudServers:create" ], "Effect": "Allow" } 用户组1在企业项目A的授权策略中包含以下Action： { "Action": [ "ecs:cloudServers:create" ], "Effect": "Deny" } 同理，将IAM和企业项目中的策略更换为以下的形式，在相同情境下，鉴权结果为Deny。 plaintext 用户组1在华东1资源池上的IAM授权策略中包含以下Action： { "Action": [ "ecs:cloudServers:create" ], "Effect": "Deny" } 用户组1在企业项目A的授权策略中包含以下Action： { "Action": [ "ecs:cloudServers:create" ], "Effect": "Allow" } 此外，对于相同Action，IAM授权的范围也会覆盖企业项目的授权范围。例如，华东1资源池上有云主机a和云主机b，云主机资源a属于企业项目A，云主机资源b属于企业项目B。此时，如果用户组仅存在下列授权，没有在企业项目B上进行授权，用户组1下的子用户仍然可以看见企业项目B下的云主机b，这是因为华东1资源池上存在相同Action的读取权限，鉴权时优先判断该用户能够查看华东1上的所有资源（云主机a和云主机b），覆盖了企业项目的资源隔离效果。 plaintext 用户组1在华东1资源池上的IAM授权策略中包含以下Action： { "Action": [ " ecs:cloudServers:list" ], "Effect": "Allow" } 用户组1在企业项目A的授权策略中包含以下Action： { "Action": [ " ecs:cloudServers:list" ], "Effect": "Allow" } 而如果策略中包含不同的Action，则IAM和企业项目的授权都生效，以下示例表示用户可以在企业项目A上创建云主机，也可以在华东1资源池上查看云主机安全组列表。 plaintext 用户组1在华东1资源池上的IAM授权策略中包含以下Action： { "Action": [ " ecs:ServersGroups:list" ], "Effect": "Allow" } 用户组1在企业项目A的授权策略中包含以下Action： { "Action": [ "ecs:cloudServers:create" ], "Effect": "Allow" }

ping 172.17.0.21 PING 172.17.0.21 (172.17.0.21) 56(84) bytes of data. 64 bytes from 172.17.0.21: icmpseq1 ttl64 time0.849 ms 64 bytes from 172.17.0.21: icmpseq2 ttl64 time0.455 ms 64 bytes from 172.17.0.21: icmpseq3 ttl64 time0.385 ms 64 bytes from 172.17.0.21: icmpseq4 ttl64 time0.372 ms ... 172.17.0.21 ping statistics 注意 本示例中ECSA01和RDSB01位于同一个安全组内，因此只要VPCA和VPCB之间的对等连接创建成功后，就可以实现网络互通。如果您需要连通的实例位于不同的安全组内，那么您需要在安全组的入方向规则中，添加放通对端安全组的规则。 对于更多对等连接网络不通的问题，处理方法请参见为什么对等连接创建完成后不能互通？。