此小节介绍云审计服务支持的关键操作。 如何查看云审计日志 开启了云审计服务后，系统开始记录DBSS资源的操作。云审计服务管理控制台保存最近7天的操作记录。 查看DBSS的云审计日志 1. 登录管理控制台。 2. 在左侧导航树中，单击，选择“管理与监管 > 云审计服务”，进入云审计服务信息页面。 3. 单击左侧导航树的“事件列表”，进入事件列表信息页面。 4. 单击事件列表上方的“Region”，设置对应的操作事件条件。当前事件列表支持四个维度的组合查询. “操作用户”：在下拉框中选择某一具体的操作用户，此操作用户指用户级别，而非租户级别。 “事件级别”：可选项为“所有事件级别”、“normal”、“warning”、“incident”，只可选择其中一项。 可在页面右上角选择查询最近1小时、最近1天、最近1周及自定义时间段的操作事件。 5. 单击“查询”，查看对应的操作事件。 6. 在需要查看的记录左侧，单击展开该记录的详细信息，展开记录如图所示。 7. 在需要查看的记录右侧，单击“查看事件”，弹出一个窗口，如图所示，显示了该操作事件结构的详细信息。 云审计服务支持的DBSS操作列表 数据库安全服务通过云审计服务（Cloud Trace Service，CTS）为用户提供云服务资源的操作记录，记录内容包括用户从管理控制台或者开放API发起的云服务资源操作请求以及每次请求的结果，供用户查询、审计和回溯使用。 云审计服务支持的DBSS操作列表如表所示。 操作名称 资源类型 事件名称 创建实例 dbss createInstance 删除实例 dbss deleteInstance 开启实例 dbss startInstance 关闭实例 dbss stopInstance 重启实例 dbss rebootInstance 实例状态变化 dbss cloudServiceInstanceStatus 创建包周期实例 dbss cloudServiceInstanceCreate 实例元数据变化 dbss updateMetaData

本章节为您介绍UKEY的相关功能。 UKEY模块提供UKEY管理的相关功能，如：UKEY初始化、UKEY信息查询和备份历史查询等。 说明 首次使用UKEY需要在综合安全网关登录页面下载UKEY插件。 UKEY初始化 1. 登录综合安全网关实例。 2. 在左侧导航栏选择“系统管理 > UKEY管理”，进入UKEY管理页面。 3. 单击“UKEY初始化”，进入UKEY初始化步骤。 4. 将UKEY设备连接，单击“刷新”按钮获取UKEY序列号。 5. 获取UKEY序列号后，输入PIN码并且二次输入进行确认完成初始化。 6. 重复第4步和第5步操作，完成后续步骤。 查看UKEY信息 1. 登录综合安全网关实例。 2. 在左侧导航栏选择“系统管理 > UKEY管理”，进入UKEY管理页面。 3. 选择“UKEY信息”即可查看已经对接的信息。

参数 说明 是否支持修改 IKE策略 版本 IKE密钥交换协议版本，支持的版本：v2。 × IKE策略 认证算法 认证哈希算法，支持的算法： SHA2256 SHA2384 SHA2512 默认配置为：SHA2256。 √ IKE策略 加密算法 加密算法，支持的算法： AES256GCM16 AES128（此算法安全性较低，请慎用） AES192（此算法安全性较低，请慎用） AES256（此算法安全性较低，请慎用） 默认配置为：AES128 √ IKE策略 DH算法 支持的算法： Group 14（此算法安全性较低，请慎用） Group 15 Group 16 Group 19 Group 20 Group 21 默认配置为：Group 15。 √ IKE策略 生命周期（秒） 安全联盟（Security Association，SA）的生存时间。 在超过生存时间后，安全联盟将被重新协商。 单位：秒。 取值范围：60~604800 默认配置为：86400。 √ IKE策略 本端标识 IPsec连接协商时，VPN网关的鉴权标识。在对端网关配置的VPN网关标识需要和此处配置的本端标识保持一致，否则协商失败。 默认配置为：VPN网关的EIP。 × IPsec策略 认证算法 认证哈希算法，支持的算法： SHA2256 SHA2384 SHA2512 默认配置为：SHA2256。 √ IPsec策略 加密算法 加密算法，支持的算法： AES256GCM16 AES128（此算法安全性较低，请慎用） AES192（此算法安全性较低，请慎用） AES256（此算法安全性较低，请慎用） 默认配置为：AES128 √ IPsec策略 PFS PFS（Perfect Forward Secrecy）即完美前向安全功能，配置IPsec隧道协商时使用。 PFS组支持的算法： DH group 14（此算法安全性较低，请慎用） DH group 15 DH group 16 DH group 19 DH group 20 DH group 21 Disable 默认配置为：DH group 15。 √ IPsec策略 传输协议 IPsec传输和封装用户数据时使用的安全协议。 目前支持的协议：ESP。 × IPsec策略 生命周期（秒） 安全联盟（Security Association，SA）的生存时间。 在超过生存时间后，安全联盟将被重新协商。 单位：秒。 取值范围：30~604800 默认配置：3600。 √

参数 取值 说明 fs.obs.serversideencryptiontype SSEKMS SSEKMS：表示使用KMS秘钥的加解密方式。 NONE：表示关闭加密功能。 fs.obs.serversideencryptionkey 表示用来加密的KMS密钥ID。该参数可不配置。 当参数“fs.obs.serversideencryptiontype”配置为“SSEKMS”且该参数未配置时，OBS会使用OBS服务的默认KMS密钥完成加密。 fs.obs.connection.ssl.enabled true 标识是否与OBS建立安全连接。 true：开启安全连接，当需要使用OBS加解密功能时该参数必须配置为“true”。 false：关闭安全连接。

介绍安装HSS Agent影响。 安装HSS Agent不影响在线业务，也不会影响服务器的运行状态。 企业主机安全服务（HSS）提供的Agent，用于执行检测任务，全量扫描主机；实时监测主机的安全状态，并将收集的主机信息上报给云端防护中心。 更多有关HSS Agent的信息，请参见：什么是HSS的Agent？。

本页为您介绍从天翼云数据库迁移/同步数据到天翼云数据库，同资源池不同VPC情况下，通过对等连接接入的方法。 在同资源池，不同VPC之间，网络默认不通，需要通过VPC打通的方式来实现网络互通。目前支持通过VPC对等连接的方式实现VPC间子网级的互通，注意需要保证源数据实例所在子网与目标数据库实例所在子网的网段不冲突。 以下分别介绍网络通信方式，DTS实例的配置流程和不同VPC间通过对等连接进行互通的配置流程。 网络通信方式 网络通信方式，见下图： DTS实例的配置流程 DTS实例订购成功后，选择对应实例ID的操作“实例配置”，进入【配置源库及目标库信息】页面，“打通网络配置”将会自动识别，源端将显示“当前数据库不在同一个虚拟私有云(VPC)，需要配置对等连接打通⽹络”，点击“创建虚拟私有云(VPC)对等连接”将跳转到VPC控制台，可按VPC相关流程处理“创建对等连接”，具体页面如下： 不同VPC间通过对等连接互通的配置流程 创建VPC对等连接。 具体可参考天翼云对等连接相关文档进行配置。 源数据库实例与目标数据库实例的网络ACL和安全组配置。 具体可参考同VPC通过VPC网络接入天翼云文档进行配置。 数据库添加白名单。 源数据库需要添加DTS实例的私网IP访问数据库的权限。不同类型的数据库添加白名单的方法可能不一样，具体可参考各数据库官方文档进行操作。

本节介绍了关系数据库MySQL产品生命周期的相关内容。 关系数据库MySQL版在MySQL社区版本生命周期的基础上，延长了支持时间。在延长期内，关系数据库MySQL会持续发布新的版本，新版本仅限于对严重影响实例安全和稳定的问题进行修复。由于MySQL社区对安全类问题进行了保密处理，天翼云关系数据库MySQL并不能承诺修复所有严重的安全和稳定性问题。 关系数据库MySQL基于MySQL开源社区提供数据库云服务，本文将为您介绍关系数据库MySQL的版本策略，您可以根据此信息进行规划，在创建实例、数据迁移等操作时选择更合适的目标版本。 天翼云延长支持停止服务时间，是为用户迁移业务提供更充裕的时间。数据迁移的具体操作，请参见版本升级。 天翼云对关系数据库MySQ各个版本的停售和停止服务时间参见下表。 说明 下表中时间为预计时间，请以实际停售、停止支持的公告时间为准。 当关系数据库MySQL某个版本停售后，您将无法新购该停售版本实例。 当关系数据库MySQL某个版本产品停止服务（即生命周期结束）后，将不再售卖，并且对已EOS的存量实例将不提供内核漏洞修复支持服务，建议将已EOS的存量实例尽快升级到最新的内核版本，避免严重影响实例安全和稳定。 请您提前制定版本升级或者数据迁移等操作的计划。 表 关系数据库MySQL各个版本生命周期 MySQL版本号 社区发布时间 社区生命周期结束时间 天翼云EOM（停售）时间 天翼云EOS（停止服务）时间 5.6 2013年2月5日 2021年2月5日 2025年10月10日（关于天翼云二类节点关系数据库 MySQL 5.6版本于2025年10月10日00:00（北京时间）停售的公告） 2026年4月10日 5.7 2015年10月21日 2023年10月21日 8.0 2018年4月19日 2026年4月

本文主要介绍 手动配置Agent（Linux，可选） 操作场景 用户成功安装Agent插件后，推荐您采用“修复插件配置”方式配置Agent。如果修复插件配置不成功或其他原因，你可以采用本章节提供的手工方式配置Agent。 本章节以ECS为例介绍如何修改DNS和添加安全组，BMS操作步骤类似。 前提条件 已成功安装Agent插件。 操作步骤 1. 使用root帐号，登录ECS。 2. 执行以下命令，切换至Agent安装路径的bin下。 plaintext cd /usr/local/uniagent/extension/install/telescope/bin 3. 修改配置文件conf.json。 a. 执行以下命令，打开配置文件conf.json。 plaintext vi conf.json b. 修改文件中的参数，具体参数请参见下表。 ECS配置参数 plaintext { "InstanceId":" XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX ", "ProjectId": " XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX ", "AccessKey": " XXXXXXXXXXXXXXXXXXXX ", "SecretKey": " XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX ", "RegionId": "cnhz1" } BMS配置参数 plaintext { "InstanceId":" XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX ", "ProjectId": " XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX ", "AccessKey": " XXXXXXXXXXXXXXXXXXXX ", "SecretKey": " XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX ", "RegionId": "cnhz1" } 表 公共配置参数 参数 说明 InstanceId ECS ID，可通过登录管理控制台，在弹性云主机ECS列表中查看。 说明InstanceId可不用配置，保持"InstanceId":"",即可，若需要配置，需要遵循如下两条原则： 该资源ID需保证全局唯一性，即同一个RegionID下Agent使用的InstanceId不能相同，否则系统可能会出现异常。 InstanceId必须与实际的ECS或BMS资源ID一致，否则云监控服务界面将看不到对应ECS或BMS资源操作系统监控的数据。 ProjectId ProjectId可不用配置，保持"ProjectId": "",即可。若需要配置，请参考已下获取方式。 项目ID，获取方式如下： 1. 登录管理控制台，单击右上角“用户名”，选择“我的凭证”； 2. 在项目列表中，查看ECS或BMS资源对应的所属区域的项目ID。 AccessKey/SecretKey 访问密钥，获取方式如下：登录管理控制台，单击右上角“用户名”，选择“我的凭证 > 管理访问密钥”； 如已有访问密钥，查看创建时下载保存的credentials.csv文件中，获取文件中记录的Key值即可； 如未创建，则通过“新增访问密钥”可创建新的访问密钥，妥善保存credentials.csv文件，并获取文件中记录的Key值。 须知 为了安全考虑，建议该用户为IAM用户，并且权限仅为CES Administrator和LTS Administrator。 配置的AccessKey必须在“我的凭证 > 管理访问密钥”列表中，否则将鉴权失败，云监控服务界面看不到操作系统监控数据。 RegionId 区域ID，例如：ECS或BMS资源所属区域为“杭州”，则RegionID为“cnhz1”。 ClientPort Agent占用的起始端口号。说明默认为0，表示随机占用。11023为系统保留端口，建议不要配置。 PortNum Agent占用的范围的个数。说明默认为200，若ClientPort配置5000，则表示在50005199端口中随机占用。 BmsFlag BMS需配置此参数为true，ECS配置项中无需配置。Windows操作系统中无需要配置。 4. 修改云监控服务指标采集模块的配置文件confces.json。 a. 执行以下命令，打开公共配置文件confces.json。 vi confces.json b. 修改文件中的参数，修改完成后保存confces.json文件。具体参数请参见表下表。 plaintext { "Endpoint": " xxxxxx.xxx .com" } 表 指标采集模块参数配置 参数 说明 Endpoint ECS或BMS资源所属区域的云监控服务Endpoint URL，例如：ECS或BMS资源所属区域为“杭州”，则URL中使用“ces.cnhz1.ctyun.cn”。 说明 Agent插件配置完成后，因监控数据暂未上报，插件状态仍显示“未安装”，等待35分钟，刷新即可。 当插件状态为“运行中”并且监控状态开启时，说明Agent已安装成功并开始采集细粒度监控指标。

使用NVIDIA NGC 1. 生成NGC的API key 。 a. 在NGC账号注册网站成功注册完NGC账号之后，需要生成账户的API key。 登录NGC页面，单击“账户名”，选择“Setup”，会进入Setup页面，然后单击“Get API Key”，进入生成API Key的页面。 b. 在API Key的页面，单击“Generate API Key”，进入确认对话框。 c. 在确认对话框，单击“Confirm”，页面会变为类似于下图所示的页面。 d. 在Password处会显示一连串密码，用户返回GPU实例的shell界面按照图中的操作即可。 $ docker login nvcr.io Username: $oauthtoken Password: 【输入生成的秘钥】 2. 使用NGC中的镜像（以PyTorch为例）。 a. 进入NGC的CATALOG的目录部分，选择CONTAINERS分支，在Query查询中输入PyTorch，并单击“PyTorch”。 b. 单击“Get Container”，关于容器的拉取镜像的方法则会展示出来。 c. 按照上图中红色方框中的命令，可以获得最新版本的容器镜像，继续在GPU实例的命令行中输入以下命令。 $ docker pull nvcr.io/nvidia/pytorch:23.07py3 这样，我们就可以用docker容器的方式去使用框架或软件产品了。

表IPsec策略说明 参数 说明 取值样例 认证算法 认证哈希算法，支持的算法： SHA1（此算法安全性较低，请慎用） MD5（此算法安全性较低，请慎用） SHA2256 SHA2384 SHA2512 SM3。 仅国密型VPN连接选择该认证算法。 国密型VPN连接默认配置为：SM3。 非国密型VPN连接默认配置为：SHA2256。 SHA2256 加密算法 加密算法，支持的算法： 3DES（此算法安全性较低，请慎用） AES128（此算法安全性较低，请慎用） AES192（此算法安全性较低，请慎用） AES256（此算法安全性较低，请慎用） AES128GCM16 AES256GCM16。SM4。 仅国密型VPN连接选择该加密算法。 国密型VPN连接默认配置为：SM4。 非国密型VPN连接默认配置为：AES128。 AES128 PFS PFS（Perfect Forward Secrecy）即完美前向安全功能，配置IPsec隧道协商时使用。 PFS组支持的算法： Disable（此算法安全性较低，请慎用） DH group 1（此算法安全性较低，请慎用） DH group 2（此算法安全性较低，请慎用） DH group 5（此算法安全性较低，请慎用） DH group 14（此算法安全性较低，请慎用） DH group 15 DH group 16 DH group 19 DH group 20 DH group 21 默认配置为：DH group 15。 说明 国密型VPN连接无此参数。 国密型VPN网关和国密型对端网关创建VPN连接时，需要保证国密型对端网关关闭PFS功能，否则会导致VPN连接无法建立。 DH group 15 传输协议 IPsec传输和封装用户数据时使用的安全协议。目前支持的协议： ESP 默认配置为：ESP。 ESP 生命周期（秒） 安全联盟（Security Association，SA）的生存时间。 在超过生存时间后，安全联盟将被重新协商。 单位：秒。 取值范围：30~604800。 默认配置：3600。 3600 报文封装模式 默认设置为隧道（TUNNEL）模式。 TUNNEL 说明 IKE策略指定了IPsec隧道在协商阶段的加密和认证算法，IPsec策略指定了IPsec隧道在数据传输阶段所使用的协议、加密以及认证算法。VPC和数据中心的VPN连接在策略配置上需要保持一致，否则会导致VPN协商失败，进而导致VPN连接建立失败。 以下算法安全性较低，请慎用： 认证算法：SHA1、MD5。 加密算法：3DES、AES128、AES192、AES256。 出于部分对端设备不支持安全加密算法的考虑，VPN连接的默认加密算法仍为AES128。在对端设备功能支持的情况下，建议使用更安全的加密算法。 DH算法：Group 1、Group 2、Group 5、Group 14。 5. 确认VPN连接规格，单击“提交”。 6. 参见上述步骤，创建第二条VPN连接。 VPN连接的IP对应关系，请参见本指南“企业版VPN网关管理 > 创建VPN网关 > 背景信息”。

天翼云支持云硬盘快照功能,用以快速恢复数据,确保业务稳定运行。 什么是云硬盘快照 云硬盘快照是云硬盘数据在特定时间点的完整副本或镜像。作为一种主要的灾难恢复方法，用户可以使用快照将数据完全恢复到创建快照时的时间点。用户可以通过管理控制台或者API接口创建云硬盘快照。 说明 当前支持云硬盘快照的资源池为华东1和华北2。 云硬盘快照原理 快照分为全量快照和增量快照。 云硬盘的第一个快照为不包含空数据块的全量快照。后续快照是增量快照，仅存储自前一个快照以来发生更改的数据块。 具体原理如下图所示： 云硬盘快照计费说明 天翼云云硬盘快照采用按需付费的方式计费，先使用，后付费，按照您实际使用容量收取快照存储费用。具体收费标准请参见云硬盘快照计费说明。 云硬盘快照使用场景 数据保护和恢复：快照可以用作数据的备份和恢复手段。当云硬盘的数据发生意外删除、损坏或错误修改时，可以使用快照来恢复到之前的状态。 数据恢复测试：可以使用快照来进行数据恢复测试。在进行关键操作之前，先创建一个快照，然后在测试过程中可以随时回滚到快照状态，以确保操作的安全性和可靠性。 数据备份和归档：通过创建快照，可以定期备份云硬盘的数据，并将快照存档用于长期数据保留、合规要求或法律需求。 批量部署多个业务：通过同一个快照可以快速创建出多个具有相同数据的云硬盘，从而可以同时为多种业务提供数据资源。例如数据挖掘、报表查询和开发测试等业务。

操作步骤及说明 步骤 1 登录云容器引擎控制台。 步骤 2 单击集群名称进入集群，在左侧选择“工作负载”，选择“有状态”，在右上角单击“创建StatefulSet”。 步骤 3 配置工作负载的信息。 基本信息 负载类型：选择有状态工作负载StatefulSet。工作负载类型的介绍请参见工作负载概述。 负载名称：填写工作负载的名称。 命名空间：选择工作负载的命名空间，默认为当前进入的命名空间。您可以单击后面的“创建命名空间”，命名空间的详细介绍请参见创建命名空间。 实例数量：填写实例的数量，也就是Pod的数量。 时区同步：选择是否开启时区同步。开启后容器与节点使用相同时区（时区同步功能依赖容器中挂载的本地磁盘，请勿修改删除），时区同步详细介绍请参见时区同步。 容器配置 容器信息Pod中可以配置多个容器，您可以单击右侧“添加容器”为Pod配置多个容器。 容器名称：为容器命名。 镜像更新策略：选择是否总是拉取镜像。 镜像名称：选择容器使用的镜像，支持多种镜像来源。 镜像版本：选择需要部署的镜像版本。 资源配额：配置 CPU 和内存的申请值和限制值。 初始化容器：选择是否作为初始化容器。 生命周期：配置容器生命周期的特定操作。 健康检查：设置存活探针、就绪探针及启动探针。 环境变量：设置容器运行环境的变量。 数据存储：挂载本地存储或云存储。 安全设置：对容器权限进行设置，保护系统和其他容器不受其影响。请输入用户ID，容器将以当前用户权限运行。 特权容器：选择是否启用特权容器。 镜像访问凭证：选择访问镜像仓库的凭证。 说明 有状态负载支持“动态挂载”云硬盘。动态挂载通过[[volumeClaimTemplates]](

本文介绍AOneMail邮箱登录教程。 安装AOneMail 目前AOneMail已集成至AOne2.15.4及以上版本客户端，访问AOne客户端点击下载AOne 零信任客户端，点击“云邮箱”即可打开。 新建邮箱账户 如您想添加您的邮箱账号，您可以参考以下步骤来来进行新建。 1、配置邮件账户信息 您的姓名：你可以在此为账户起名字，该名字会显示在你发出邮件的发件人栏。 电子邮件地址：典型的电子邮件地址格式为username@example.com，用于发送和接收电子邮件。 密码：用于邮箱客户端登录的密码，若您的邮箱已开启安全登录需前往【网页端登录邮箱>设置】中获取邮箱客户端专用授权码。 填写姓名、电子邮箱地址、密码，并勾选隐私协议后，点击“继续”与邮箱服务器进行账密验证。 2、通用服务器设置 除了点击“继续”进行自动校验外，您也可以选择手动配置自定义进行服务器设置，以下为通用服务器设置： 1、POP3/SMTP协议： 接收邮件服务器：pop.example.com ，使用SSL，端口号995。 发送邮件服务器：smtp.example.com ，使用SSL，端口号465。 2、IMAP/SMTP协议： 接收邮件服务器：imap.example.com ，使用SSL，端口号993。 发送邮件服务器：smtp.example.com ，使用SSL，端口号465。 备注：可根据您的邮箱服务器实际情况进行填写。

本文主要介绍了如何在科研助手上使用OWL智能助手。 概述 OWL CAMELAI‌的 OWL 是开源多智能体协作系统，通过逆向工程复刻并超越 Manus 的通用 Agent 功能，其核心采用六步工作流（Ubuntu 容器部署、数据挂载、动态生成 todo.md 等）实现任务自动化，并集成CRAB 技术‌支持跨平台多设备操作‌。项目以 ‌57.7% 的 GAIA 基准测试成绩‌超越主流开源框架，提供 ‌Ubuntu Toolkit‌ 和 ‌Memory Toolkit‌ 工具链，支持开发者快速定制智能体行为与集成第三方服务‌。目前完全开源，适用于企业自动化、科研辅助等场景，鼓励社区共同构建全能型 Agent 生态‌。 科研助手新增 OWL 能力概述 科研助手平台在 OWL 开源的基础上，为方便您的使用，增加了如下能力： 支持使用本地 QWQ32B 大模型，无需 API Key 外连其他大模型 支持 bing search toolkit，无需代理，在国内就可以进行问题搜索 修复了 OWL Web UI 回答框，只支持展示单行结果的问题 前置说明 1. 该文档为在科研助手上使用OWL快速代码生成的说明。OWL目前为开源测试版本，仍处于开发与优化阶段，可能存在功能不稳定或未完善的情况。用户在使用过程中需自行甄别潜在问题，并承担可能产生的风险。我们建议用户在关键任务中谨慎使用。感谢您的理解与支持！ 2. OWL目前支持的Search API只有Google和duckduckgo，因网络等原因限制，暂不可用；科研助手已内置了 bing search toolkit，可以访问国内必应网站进行内容搜索。 3. 本产品中的模型由第三方主体提供，尽管天翼云已尽最大努力进行识别和维护，但仍无法保证模型的可用性。请客户按照该产品的服务协议使用该产品，做好甄别并对自行选择的服务负责。 4. 如您在使用过程中遇到了问题或需要反馈的内容，可通过客服工单的方式，向我们进行咨询和反馈，我们将及时进行回复和处理。

本文介绍Referer防盗链的配置方法。 功能介绍 Referer防盗链，是基于HTTP请求头中Referer字段（例如，Referer黑白名单）来设置访问控制规则，实现对访客的身份识别和过滤，防止网站资源被非法盗用。配置Referer黑白名单后，CDN会根据名单识别请求身份，允许或拒绝访问请求。允许访问请求，CDN会返回资源链接；拒绝访问请求，CDN会返回403响应码。 配置说明 1. 登录CDN控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，单击编辑目标域名。 4. 单击右侧【访问控制】。 5. 在【Referer防盗链】模块，开启功能。 6. 按需启用【是否允许空referer访问】和【是否允许空协议】。 7. 设置类型，选择【白名单】或【黑名单】，每种类型最多添加400个，使用换行符分隔，支持通配，支持IP，支持端口，如：.ctyun.cn、ctyun.cn:80、127.0.0.1:80、localhost、匹配所有端口：ctyun.cn(:[09]+)?。 8. 单击【保存】，完成配置。 参数名 说明 Referer防盗链 默认关闭，开启后可配置Referer防盗链。 是否允许空Referer访问 默认开启，即允许空Referer访问。关闭此功能，则禁止空Referer访问。 是否允许空协议 默认关闭，即请求头中 Referer 必须携带 HTTP 或 HTTPS 协议头。开启此功能，则请求头中 Referer 可不携带 HTTP 或 HTTPS 协议头。 匹配所有端口 默认关闭，即根据实际配置的Referer进行匹配。开启此功能，则根据配置的Referer及所有端口进行匹配。 忽略大小写 默认关闭，即根据实际配置的Referer大小写字符进行匹配。开启此功能，则忽略大小写匹配。 是否追加 默认关闭，即根据实际配置的Referer全量下发。开启此功能，则可追加下发。 类型 可选择配置白名单或者黑名单，二选一。 黑名单：黑名单内的域名无法访问资源。 白名单：只有白名单内的域名可以访问资源。如果有同时开启允许空Referer访问，则空Referer也可访问资源。

方案概览 您将部署一组微服务应用，实现服务的注册与发现、服务之间的方法调用，并且通过公网来访问应用。示例应用的架构如下： 为实现本方案，您将： 1. 部署应用：使用示例镜像部署 provider 应用与 consumer 应用，并通过 CAE 内置的 Nacos 实现服务注册与发现，使得 consumer 应用可以调用 provider 应用提供的服务。 2. 通过公网访问应用： 为 consumer 应用配置公网访问地址并访问应用。 操作指引 部署应用 部署 provider 应用 1. 登录云应用引擎控制台 2. 左侧导航栏选择应用管理 > 应用列表 3. 点击创建应用，配置以下参数，点击下一步进入高级设置 1. 自定义应用名称，例如 provider 2. 选择命名空间类型为系统创建，表示应用将会使用系统默认创建的命名空间，并关联 VPC、子网、安全组等网络资源 3. 设置应用部署方式为镜像部署。点击选择镜像，选择 Java 技术栈语言，在示例镜像标签页，找到javaprovider镜像仓库，选择版本为v1.0，点击确定 4. 在容量设置区域，自定义单实例规格和实例数，这决定了应用初始运行的实例数量、系统为每个实例分配多少计算资源 4. 在高级设置页面中，展开服务注册发现区域，启用内置 Nacos 注册中心服务发现 5. 点击创建应用

准备工作 购买智算安全专区大模型安全卫士实例 准备好被代理的大模型服务 准备好基础大模型 操作流程 编号 操作 相关文档 1 （可选）根据用户需求检查并配置分类和规则 新增规则 分类管理 2 （建议）配置用于模型推理引擎的基础模型 基础模型设置 3 配置或新建策略，按需选择违规分类、检测引擎、及其他检测配置 内容安全策略管理 检测引擎配置说明 4 按需配置模型代理 网关代理

本节主要介绍使用限制。 集群和节点 云容器引擎对单个用户的资源数量和容量限定了配额，默认情况下，您最多可以创建5个集群（每个Region下），每个集群中可以选择50节点、200节点、1000节点、2000节点几种规格。 非高可用模式的集群在控制节点故障后将不可用，影响业务功能，不适用于商用场景，建议您选择“高可用”模式。 集群创建时将默认创建名称带有“cce”标识的安全组规则，删除或修改后可能导致集群无法正常使用。 集群名称、集群规模、高可用开关、网络模型、网段配置、服务转发模式在集群创建后将无法修改，请谨慎选择。 CCE集群默认安装采集探针，方便您在Web界面查看集群资源的日志和监控信息。 集群一旦创建以后，不支持变更以下项： 变更集群的控制节点数量，例如非高可用集群（控制节点数量为1）变更为高可用集群（控制节点数量为3）。 变更控制节点可用区。 变更集群的网络配置，如所在的虚拟私有云VPC、子网、容器网段、服务网段、IPv6、kubeproxy代理（转发）模式。 变更网络模型，例如“容器隧道网络”更换为“VPC网络”。 CCE创建的ECS实例（节点）目前支持“按需计费”和“包年/包月”，其他资源（例如负载均衡）为按需计费。如果资源所属的服务支持将按需计费实例转换成包年/包月实例，您可以通过对应的控制台进行操作。 集群中纳管计费模式为“包年包月”的节点时，无法在CCE控制台为其续费，用户需前往ECS控制台单独续费。 由于ECS（节点）等CCE依赖的底层资源存在产品配额及库存限制，创建集群、扩容集群或者自动弹性扩容时，可能只有部分节点创建成功。 ECS（节点）规格要求：CPU ≥ 2核且内存 ≥ 4GB。 通过搭建VPN方式访问CCE集群，需要注意VPN网络和集群所在的VPC网段、容器使用网段不能冲突

对比项 OBS 自建存储服务器 数据存储量 提供海量的存储服务，所有业务、存储节点采用分布式集群方式部署，各节点、集群都可以独立扩容，用户永远不必担心存储容量不够。 数据存储量受限于搭建存储服务器时使用的硬件设备，存储量不够时需要重新购买存储硬盘，进行人工扩容。 安全性 支持HTTPS/SSL安全协议。同时OBS通过访问密钥（AK/SK）对访问用户的身份进行鉴权，结合IAM策略、桶策略、ACL、防盗链等多种方式和技术确保数据传输与访问的安全。 需自行承担网络信息安全、技术漏洞、误操作等各方面的数据安全风险。 成本 即开即用，免去了自建存储服务器前期的资金、时间以及人力成本的投入，后期设备的维护交由OBS处理。 前期安装难、设备成本高、初始投资大、自建周期长、后期运维成本高，无法匹配快速变更的企业业务，安全保障的费用还需额外考虑。

本文为您介绍云密评专区的权限管理能力，支持通过IAM实现对云密评专区的访问控制、权限分配。 天翼云提供统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。通过IAM服务定义企业项目、创建子用户，轻松实现IAM子用户对云密评专区资源的访问控制、权限分配等。 默认情况下，天翼云主账号拥有管理员权限，而主账号创建的IAM用户没有任何权限。IAM用户需要加入用户组，并给用户组授权相应策略后，IAM用户才能获得策略对应的权限，才可以基于被授予的权限对云服务进行操作。 云密评专区支持企业项目管理，若您需要对云密评专区资源进行分组和管理，形成逻辑隔离，您可以创建企业项目，并将资源划分至不同的企业项目中，不同的企业项目可以绑定不同的用户组，并给用户组授予云密评专区产品的权限策略（包括系统策略和自定义策略），从而实现对特定资源的授权。 说明 仅“一类节点”区域的实例支持企业项目管理。 IAM应用场景 IAM策略主要面向同一主账号下，对不同IAM用户授权的场景： 您可以为不同操作人员或应用程序创建不同IAM用户，并授予IAM用户刚好能完成工作所需的权限，比如查看权限，进行最小粒度授权管理。 新创建的IAM用户可以使用自己的登录名和密码登录控制台，实现多用户协同操作时无需分享账号密码的安全要求。

本章主要介绍通过弹性公网IP访问 。 为了方便用户访问开源组件的Web站点，MRS集群支持通过为集群绑定弹性公网IP的方式，访问MRS集群上托管的开源组件。该方式更加简便易操作，推荐使用该方式访问开源组件的Web站点。 为集群绑定弹性公网IP并添加安全组规则 1.在集群详情页的“概览”页签，单击“IAM用户同步”右侧的“同步”进行IAM用户同步，待IAM用户同步成功后，在集群详情页会出现“组件管理”页签。 2.单击“集群管理页面”右侧的“前往 Manager”。 3.弹出访问MRS Manager页面，绑定弹性公网IP并添加安全组规则。仅首次访问该集群的组件开源站点时，需要如下配置。 a. 绑定弹性公网IP，在弹性公网IP下拉框中选择可用的弹性公网IP。若没有可用的弹性公网IP，请单击“管理弹性公网IP”创建弹性公网IP后在该页面引用。若创建集群时已绑定弹性公网IP，请跳过该步骤。 b. 选择待添加的安全组规则所在安全组，该安全组在创建群时配置。 c. 添加安全组规则，默认填充的是用户访问公网IP地址9022端口的规则。如需对安全组规则进行查看，修改和删除操作，请单击“管理安全组规则”。 说明 自动获取的访问公网IP与用户本机IP不一致，属于正常现象，无需处理。 9022端口为knox的端口，需要开启访问knox的9022端口权限，才能访问MRS组件。 d. 勾选“我确认xx.xx.xx.xx为可信任的公网访问IP，并允许从该IP访问MRS Manager页面。” e. 单击“确定”，进入登录页面，用户名使用“admin”，密码为创建集群时设置的admin密码。 4.登录Manager页面，选择“集群 > 服务 > HDFS > NameNode WebUI> NameNode( 主机名称 ，主)”，访问开源组件Web站点。此处仅以HDFS NameNode为例介绍，其他组件访问地址请参考开源组件Web站点页面提供的站点地址。

本章节内容主要介绍通过ECS内网连接DDS实例 场景描述 文档数据库实例创建成功后，可通过内网访问数据库实例。本章节以Linux系统为例，介绍从购买到内网连接集群实例的操作步骤。 步骤1：创建ECS 步骤2：创建集群实例 步骤3：连接集群实例 方案正文 本章节以Linux系统为例，介绍从购买到内网连接集群实例的操作步骤。具体操作步骤如下： 步骤1：创建ECS 1.登录管理控制台。 2.选择“计算 > 弹性云主机”，单击“购买弹性云主机”。 3.配置基础信息后，单击“下一步：网络配置”。ECS与待连接的集群实例的区域及可用区一致。 图1 基础配置 图2 选择镜像 4.配置网络信息后，单击“下一步：高级配置”。ECS与待连接的集群实例的VPC和安全组一致。 图3 网络配置 5.配置密码等信息后，单击“下一步：确认配置”。 图4 高级配置 6.确认配置信息后，单击“立即购买”。 图5 确认配置 7.查看购买成功的ECS。 图6 购买成功 步骤2 创建集群实例 1.登录管理控制台。 2.选择“数据库 > 文档数据库服务 DDS”，单击“购买数据库实例”。 3.填选实例信息后，单击“立即购买”。ECS与待连接的集群实例的区域、可用区、VPC和安全组一致。 图7 基础配置 图8 设置密码 图9 网络设置 查看购买成功的DDS实例。 图10 购买成功 步骤3 连接DDS实例 1.本地使用Linux远程连接工具登录ECS。“Remote host”为ECS绑定的弹性公网IP。 图11 新建会话 2.输入创建ECS时设置的密码。 图12 输入密码 图13 登录成功 3.打开 图14 下载客户端 4.上传客户端安装包到ECS。 图15 上传客户端 图16 上传成功 5.在弹性云服务器上，解压安装包。 tar zxvf mongodblinuxx8664rhel704.0.27.tgz 6.进入安装包的“bin”文件夹下，获取客户端工具。 cd mongodblinuxx8664rhel704.0.27/bin 其中，常用工具包含如下： MongoDB客户端mongo。 数据导出工具mongoexport。 数据导入工具mongoimport。 7.使用客户端工具前，需要对工具赋予执行权限。 执行chmod +x mongo，赋予连接实例的权限。 执行chmod +x mongoexport，赋予导出数据的权限。 执行chmod +x mongoimport，赋予导入数据的权限。 8.连接DDS实例。 ./mongo mongodb://rwuser:@ : , : /test?authSourceadmin，实例地址可在控制台直接复制。 图17 连接成功 常用创建数据库和集合的操作。 图18 创建数据库 图19 创建集合

本小节介绍镜像基线检查。 基线检查功能自动检测您私有镜像仓库中存在的配置风险，针对所发现的问题为您提供加固建议，帮助您正确地处理镜像内的各种风险配置信息，降低入侵风险并满足安全合规要求。 检测周期 企业主机安全每天凌晨自动进行一次全面的检查。 前提条件 已开启容器节点防护。 约束限制 仅支持检测Linux镜像存在的配置风险。 检测项 确保系统中不存在账号名或UID相同的账号 UID为0的非root账号检查 代码中的口令检查 确保系统中不存在相同密码哈希值的账号 禁止使用弱密码哈希算法 确保帐户密码不为空 确保系统中不存在相同组名或GID 确保没有非特权账号加入特权组 确保/etc/passwd中不存在旧的"+"条目 确保/etc/shadow中不存在旧的"+"条目 确保/etc/group中不存在旧的"+"条目 确保/etc/passwd中的所有组都存在于/etc/group中 确保配置了密码有效期 确保所有用户的密码更改日期都是过去日期 禁用建立host信任 禁止建立预置的root级别的信任关系 确保root帐户的默认组为GID 0 确保shadow组为空 操作步骤 1、登录管理控制台。 2、在弹窗界面单击“体验新版”，切换至企业主机安全页面。 说明 切换至新版后，在总览页左上角单击“返回旧版”，可切换至企业主机安全（旧版） 3、 在左侧导航树中，选择“风险预防 > 容器镜像安全”。 4、 选择“镜像基线检查”页签，查看镜像中存在的配置风险。 5、单击检测项前的，查看该检测项的详情、存在的问题及加固建议，并根据加固建议修复有风险的配置信息。

本文简述天翼云边缘安全加速平台—安全与加速服务支持的压缩算法及配置方式。 基本概念介绍 针对文本类文件、图片等内容采用压缩的方式进行传输，一方面可节省边缘节点内部传输流量和最后一公里的用户流量，另一方面可节省传输时间，提升性能。当前行业内常用的两种压缩算法如下： Gzip 压缩算法：Gzip基于DEFLATE算法，它是LZ77和霍夫曼编码的组合，最早用于UNIX系统的文件压缩。HTTP协议上的Gzip编码是一种用来增进 Web应用程序性能的技术，Web服务器和客户（浏览器）必须共同支持Gzip。当下主流的浏览器都是支持Gzip压缩，包括IE6、IE7、IE8、IE9、FireFox、Google Chrome、Opera等。 Brotli压缩算法：Brotli通过变种的LZ77算法、Huffman编码以及二阶文本建模等方式进行数据压缩，特别侧重于HTTP压缩。与其他压缩算法相比，通常可以获得更高的压缩效率。 功能介绍 天翼云边缘安全加速平台—安全与加速服务提供压缩功能，开启压缩功能后，可以减少网络中传输的内容，能够带来两个明显的好处，一是减少存储空间，二是通过网络传输文件时，可以减少传输的时间。 支持Gzip压缩和Brotli压缩两种压缩算法。 注意事项 Gzip压缩兼容所有浏览器，Brotli压缩不兼容较老版本的浏览器，您可以根据业务需要选择适合的压缩算法。 安全与加速服务对文件压缩时，会改变文件的MD5值，若源站配置了MD5校验机制，需要关闭压缩功能。 页面优化功能和文件压缩功能不允许同时开启，同时开启时，压缩功能会失效。 如果域名同时配置Brotli压缩和Gzip压缩，若客户端两种压缩算法都支持，则仅Brotli压缩生效。 常见的视频文件（MP4、WMV、AVI等）以及图片文件（JPEG、JPG、PNG等）通常已经做了压缩处理，开启压缩后一般没有效果，建议您关闭压缩功能。

本小节介绍安全专区资产管理服务器主机资产风险分析。 功能说明 资产风险分析页面把所筛选的资产相关的未处理的告警、漏洞、基线、补丁、病毒五类安全数据整合在一个页面展示，方便安全管理员分析。 配置方法 1.进入【资产管理】→【服务器】，点击【资产风险分析】，可查询分析指定服务器的各类安全漏洞、威胁、报警。 在左侧分组选定需要分析的指定服务器分组及服务器，进行资产信息筛选。页面右边栏实时同步更新所选择资产的展示，其中根据告警分析、安全告警、系统漏洞、基线合规、系统补丁及病毒感染等几大模块。 安全告警模块，实时更新服务器所出现问题，展示服务器IP地址、出现告警的问题、出现问题的服务设施以及告警的风险等级。 2.点击右上角【详情】，即进入【告警中心】，可查询更详细的告警信息。 3.系统漏洞展示具体IP地址所发生的具体漏洞信息，分类漏洞等级情况。点击【详情】，即进入【威胁分析】→【待办告警】进行详细处理。 4.基线合规、系统补丁及病毒感染等模块都展示了系统风险状态、漏洞所属类型、漏洞所属风险等级。 5.点击【基线合规】→【详情】，即页面跳转进入【风险分析】→【基线合规】进行分析、处理。 6.点击【系统补丁】→【详情】，即页面跳转进入【风险分析】→【补丁漏洞】进行分析、处理。 7.点击【系统补丁】→【详情】，即页面跳转进入【风险分析】→【主机漏洞】进行分析、处理。

本节主要介绍智能视图服务的术语解释。 GB/T 28181 GB/T 28181《公共安全视频监控联网系统信息传输、交换、控制技术要求》是由公安部科技信息化局提出，由全国安全防范报警系统标准化技术委员会、公安部一所等多家单位共同起草的一部国家标准。标准规定了城市监控报警联网系统中信息传输、交换、控制的互联结构、通信协议结构，传输、交换、控制的基本要求和安全性要求，以及控制、传输流程和协议接口等技术要求。该标准适用于安全防范监控报警联网系统的方案设计、系统检测、验收以及与之相关的设备研发、生产，其他信息系统可参考采用。联网系统应对前端设备、监控中心设备、用户终端ID进行统一编码，该编码具有全局唯一性。 GB 35114 国标GB351142017《公共安全视频监控联网信息安全技术要求》，是由公安部提出，全国安全防范报警系统标准化技术委员会(SAC TC100)归口，并经国家质量监督检验检疫总局、国家标准化管理委员会批准发布的国家标准。该标准规定了公共安全领域视频监控联网视频信息以及控制信令信息安全保护的技术要求，适用于公共安全领域视频监控系统的信息安全方案设计、系统检测及与之相关的设备研发与检测。GB351142017标准是国际国内第一个关于视频监控联网信息安全方面的技术标准，对于保障视频监控联网信息的安全具有重要作用。

本节介绍了ECX主要具备的网络能力。 支持VPC子网实例生命周期管理、扩展VPC网段、新增子网，支持子网启用或取消IPv6网段。 支持查看VPC、子网内运行的实例。 支持EIP实例生命周期管理，支持EIP绑定、解绑，支持网络IO监控，支持带宽大小修改。 支持共享带宽实例生命周期管理、网络IO监控、带宽大小修改。 支持NAT网关实例生命周期管理、设置DNAT条目和SNAT条目规则。 支持路由表实例生命周期管理、分布式路由、设置路由转发条目规则。 支持负载均衡实例生命周期管理、配置监听器和后端服务器组，支持L4/L7协议监听转发、网络IO监控。 支持查看、删除边缘入云专线，设置专线网关的路由转发。 支持内网VIP实例生命周期管理、内网VIP绑定至虚拟机和EIP，以及从以上实例中解绑。 支持查看公网VIP，支持公网VIP绑定虚拟机和解绑。 支持网络ACL实例生命周期管理、关联子网管理、设置出入规则。 支持安全组实例生命周期管理、关联子网管理、设置出入规则。 支持SSL证书上传和管理。 支持NAT64服务实例生命周期管理、配置黑白名单。 支持对等连接实例生命周期管理，支持接受或拒绝对等连接请求。 支持在VPC内部署零信任连接器，通过零信任访问VPC内的实例。 支持查看、删除边边网络实例，管理网络实例和路由表。

本节介绍如何将相关云服务的操作权限委托给态势感知（专业版）。 操作场景 云服务委托可将相关云服务的操作权限委托给态势感知（专业版），让态势感知（专业版）以您的身份使用这些云服务，代替您进行一些任务调度、资源运维等工作。 当您首次使用态势感知（专业版）时，需要先进行委托授权，才能正常访问。 前提条件 已购买态势感知（专业版）。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间> 空间管理”，进入态势感知（专业版）工作空间页面。 4. 在空间管理页面上方单击“服务委托授权当前租户”，右侧弹出授权页面。 5. 在授权页面中，默认已勾选所需全部权限，请勾选权限下方的“同意授权”，并单击“确认”。

区别项 云专线 云间高速 概念 云专线是一种通过私有连接，将用户本地数据中心与云端的数据中心直接连接起来的服务。 云间高速是云厂商为用户提供的一种高速互联网连接服务，使用户可以通过公共互联网连接到云端的数据中心。 连接方式 天翼云云专线服务是由物理专线实现连接的，具有较高的带宽、低延迟和更可靠的连接。 通常是通过虚拟专线或优化的网络路由实现的，以提供较快的数据传输速度和相对较低的延迟。 路由配置 专线网关作为客户站点和天翼云VPC之间的虚拟路由转发设备，实现端到端的路由配置，一端绑定物理专线，一端与客户站点需要访问的VPC直连。 在云间高速中，云网关通过配置在其上的路由表进行多点互联流量转发，每个云网关包含一张默认路由表，支持创建自定义路由表，并支持通过路由表关联转发和路由学习功能定义互通、隔离，满足网络多样化的需求。 带宽配置 在配置物理专线时，可以指定带宽，实现点到点购买。 购买云间高速时，同时需要购买各个跨域网络实例的互通网络带宽，所有的跨域互通网络实例使用的带宽总和即为带宽包。 适用场景 云专线可以提供更好的隐私和安全性，适用于需要大量数据传输和对网络连接稳定性要求较高的企业。 云间高速适用于需要与云服务提供商快速连接的任务，如数据备份、应用程序部署等。

此小节介绍如何进行安全配置。 通过添加常用登录地、常用IP、白名单IP以及开启恶意程序隔离查杀进一步保障服务器的安全运行。 操作详情请参见安装与配置。

创建委托 1. 登录IAM服务控制台。 2. 选择“委托 > 创建委托”。 3. 设置“委托名称”。例如：DataArts Studioagency。 4. “委托类型”选择“云服务”，在“云服务”中选择数据治理中心DataArts Studio，将操作权限委托给DataArts Studio，让DataArts Studio以您的身份使用其他云服务，代替您进行一些资源运维工作。 5. “持续时间”选择“永久”。 6. 在“权限选择”区域中，单击“配置权限”。 7. 在弹出页面中搜索“Tenant Administrator”策略，勾选“Tenant Administrator”策略并单击“确定”，如下图所示。 − 因Tenant Administrator策略具有除统一身份认证服务IAM外，其他所有服务的所有执行权限。所以给委托服务DataArts Studio配置Tenant Administrator，可访问周边所有服务。 − 若您想达到对权限较小化的安全管控要求，Tenant Administrator可不配置，仅配置OBS OperateAccess权限（因作业执行过程中，需要往obs写执行日志信息，因此需要添加 OBS OperateAccess权限。）。然后再根据作业中的节点类型，配置不同的委托权限。例如某作业仅包含Import GES节点，可配置GES Administrator权限和OBS OperateAccess权限即可。详细方案请参考配置权限。 8. 单击“确定”完成委托创建。 配置权限 将帐号的操作权限委托给DataArts Studio服务后，需要配置委托身份的权限，才可与其他服务进行交互。 为实现对权限较小化的安全管控要求，可根据作业中的节点类型，以服务为粒度，参见下表配置相应的服务Admin权限。 也可精确到具体服务的操作、资源以及请求条件等。根据作业中的节点类型，以对应服务API接口为粒度进行权限拆分，满足企业对权限最小化的安全管控要求。参见下表进行配置。例如包含Import GES节点的作业，您只需要创建自定义策略，并勾选ges:graph:getDetail（查看图详情），ges:jobs:getDetail（查询任务状态），ges:graph:access（使用图）这三个授权项即可。 须知 MRS相关的节点（MRS Presto SQL、MRS Spark、MRS Spark Python、MRS Flink Job、 MRS MapReduce），以及通过直连方式的（MRS Spark SQL、MRS Hive SQL）节点，由于部分MRS集群不支持委托方式提交作业，所以这类作业不能配置委托。 支持委托方式提交作业的MRS集群如下： 非安全集群 安全集群，集群版本大于2.1.0，并且安装了MRS 2.1.0.1及以上版本的补丁。 配置服务级Admin权限 因作业执行过程中，需要往obs写执行日志信息，因此粗粒度授权时，所有作业都需要添加 OBS OperateAccess权限。 配置相关节点的admin权限 节点名称 系统权限 权限描述 CDM Job DAYU Administrator 数据治理中心服务的所有执行权限。 Import GES GES Administrator 图引擎服务的所有执行权限。该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest、Server Administrator。 MRS Presto SQL、MRS Spark、MRS Spark Python、MRS Flink Job、 MRS MapReduce MRS Spark SQL、MRS Hive SQL（通过MRS API方式连接MRS集群的） MRS Administrator KMS Administrator MRS Administrator：MapReduce服务的所有执行权限。该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest、Server Administrator。 KMS Administrator：数据加密服务加密密钥的管理员权限。 MRS Spark SQL、MRS Hive SQL、MRS Kafka、Kafka Client（通过代理方式连接集群） DAYU Administrator KMS Administrator DAYU Administrator：数据治理中心服务的所有执行权限。 KMS Administrator：数据加密服务加密密钥的管理员权限。 DLI Flink Job、DLI SQL、DLI Spark DLI Service Admin 数据湖探索的所有执行权限。 DWS SQL、Shell、RDS SQL（通过代理方式连接数据源） DAYU Administrator KMS Administrator DAYU Administrator：数据治理中心服务的所有执行权限。 KMS Administrator：数据加密服务加密密钥的管理员权限。 CSS DAYU Administrator Elasticsearch Administrator DAYU Administrator：数据治理中心服务的所有执行权限。 Elasticsearch Administrator：云搜索服务的所有执行权限。该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest、Server Administrator。 Create OBS、Delete OBS、OBS Manager OBS OperateAccess 查看桶、上传对象、获取对象、删除对象、获取对象ACL等对象基本操作权限 SMN SMN Administrator 消息通知服务的所有执行权限。 配置细粒度权限（根据各服务支持的授权项，创建自定义策略。） 创建自定义策略的详细操作请参见统一身份认证用户指南中的有关“创建自定义策略”的章节。 说明 作业执行过程中，需要向OBS中写入执行日志。当采取精细化授权方式时，任何类型的作业均需要添加OBS的如下授权项： obs:bucket:GetBucketLocation obs:object:GetObject obs:bucket:CreateBucket obs:object:PutObject obs:bucket:ListAllMyBuckets obs:bucket:ListBucket CDM Job节点隶属于DataArts Studio模块，DataArts Studio不支持细粒度授权。因此包含这几类节点的作业，给服务配置权限仅支持DataArts Studio Administarator。 CSS不支持细粒度授权，且需要通过代理执行。因此包含这类节点的作业，需要配置DataArts Studio Administarator和Elasticsearch Administrator权限。 SMN不支持细粒度授权，因此包含这类节点的作业，需要配置SMN Administarator权限。 自定义策略 节点名称 授权项 Import GES ges:graph:access ges:graph:getDetai ges:jobs:getDetail MRS Presto SQL、MRS Spark、MRS Spark Python、MRS Flink Job、 MRS MapReduce MRS Spark SQL、MRS Hive SQL（通过MRS API方式连接MRS集群的） mrs:job:delete mrs:job:stop mrs:job:submit mrs:cluster:get mrs:cluster:list mrs:job:get mrs:job:list kms:dek:crypto kms:cmk:get MRS Spark SQL、MRS Hive SQL、MRS Kafka、Kafka Client（通过代理方式连接集群） kms:dek:crypto kms:cmk:get DataArts Studio Administarator(角色) DLI Flink Job、DLI SQL、DLI Spark dli:jobs:get dli:jobs:update dli:jobs:create dli:queue:submitjob dli:jobs:list dli:jobs:listall DWS SQL、Shell、RDS SQL（通过代理方式连接数据源） kms:dek:crypto kms:cmk:get DataArts Studio Administarator(角色) Create OBS、Delete OBS、OBS Manager obs:bucket:GetBucketLocation obs:bucket:ListBucketVersions obs:object:GetObject obs:bucket:CreateBucket obs:bucket:DeleteBucket obs:object:DeleteObject obs:object:PutObject obs:bucket:ListAllMyBuckets obs:bucket:ListBucket

本文向您介绍私有数据是否支持物理邮寄 出于安全性考虑，云上的服务与数据基于物理存储介质的传递与交互。因此私有数据只能通过网络上传下载，不支持物理邮寄。 您可以通过以下两种方式，实现私有数据的上传或下载： 1、自建FTP服务，通过公网实现云主机实例与您本地服务器的数据传输。 Linux云主机搭建FTP方式请见：快速构建FTP站点（Linux）。 Windows云主机搭建FTP方式请见：快速构建FTP站点（Windows）。 2、通过私有镜像导入与导出的功能，将数据随私有镜像导入到云平台，或者从云平台下载。 私有镜像导入到云平台的操作步骤请见：通过镜像文件创建系统盘镜像。 私有镜像从云平台导出的操作步骤请见：导出镜像。