本节指导用户如何免费试用安全体检产品。 安全体检支持免费试用，用户首次使用时无需订购即可试用1次体检服务，可对5个IP进行体检授权。试用结束后仍然可以通过产品控制台预览、下载体检报告。如希望继续使用本产品，需完成订购。 前提条件 已注册天翼云账号并完成实名认证。 操作步骤 1. 登录天翼云官网。 2. 选择“产品 > 安全及管理 > 安全管理> 安全体检”产品详情页，选择“管理控制台”。 3. 单击“免费试用”。 4. 进入试用页，在弹窗中单击“开始试用”。 5. 后续体检流程请参考首次执行。

本小节介绍渗透测试主要的三大应用场景。 应用系统安全隐患场景 从攻击者的角度检验客户应用系统，检查初次安装、未经测试上线以及版本更新后的业务系统安全防护措施是否有效，各项安全管理措施是否得到贯彻落实。 安全风险认知场景 将客户应用系统潜在的安全风险以真实事件的方式凸现出来，提高相关人员对安全问题的认识。使对应用系统安全风险不了解的系统管理员、开发人员、维护人员以及应用人员，整体了解应用系统面临的安全风险。 事前主动防范场景 网络信息系统承担重要任务前应该多采取主动防止出现事故的安全措施，从技术上和管理上加强对网络安全和信息安全的重视，形成立体防护，由被动修补变成主动的防范，最终把出现事故的概率降到最低。

安全体检订购流程说明，请您按照流程指引完成订购。 购买须知 安全体检产品是针对您天翼云上弹性IP（EIP）提供服务，购买安全体检前，请确认您已有或计划购买天翼云弹性IP产品，并绑定业务使用，否则可能导致安全体检产品无法正常提供服务。 服务内容 高危端口、弱口令、漏洞开放检测。 提供安全体检报告，报告含处置加固建议。 自动发送邮件通知，您需要提前配置通知信息。 单个互联网安全体检规格包含5个IP授权，您可根据业务规模增减订购规格数量。 操作步骤 1. 登录产品控制台。 2. 点击“立即购买”按钮，跳转到安全体检订购页面。 3. 在订购页面根据实际情况配置购买数量、购买时长。 参数说明如下： 参数 说明 购买数量 根据实际需要体检的互联网IP数量，选择订购数量。 注意 请注意单个规格包含5个互联网IP授权，如果您有3个互联网IP，仅购买1个互联网安全体检即可。 购买时长 支持包月、包年订购，享受包年实付10个月折扣价。 自动续订 开启自动续订后，服务到期将为您自动续订，续订时长为订购时选择的购买时长（例如，订购时选择开通5个月，并勾选了自动续订，则开通5个月后到期时为您自动续期5个月）。 4. 阅读并勾选服务协议，单击右下角“立即购买”跳转到支付页面。 5. 在“支付”页面，请选择付款方式进行付款。 6. 付款成功后，返回安全体检产品控制台，查看订购状态。 7. 订购并开通完成后，即可开始录入体检IP及通知信息。

云硬盘广泛应用于多种场景,如企业应用上云、云上虚拟化和核心数据库。 场景一：企业应用上云 场景说明 企业应用上云是企业数字化转型的重要举措，是指将企业的应用程序迁移到云平台上的过程，在此过程中，企业的内部办公系统以及企业外部业务系统都将进行上云搬迁部署。那么企业应用以及企业核心数据库所承载的业务及数据都会应用到云硬盘。 场景架构 产品优势 按需弹性扩展，性能线性增长，满足企业规模增长带来的容量和性能诉求。 提供规格丰富的多种云硬盘，满足不同企业应用对性能的不同诉求。 云硬盘可以挂载至弹性云主机，也可以应用于物理机中，可以匹配不同企业在算力资源不同情况下的存储诉求。 提供云硬盘备份与快照功能，满足企业对数据安全性与可靠性的诉求。 场景二：云上虚拟化 场景说明 采用弹性云主机或物理机构建虚拟化的公有云/私有云平台，结合天翼云自研虚拟化技术，提高IT基础架构业务支撑灵活度，降低系统管理复杂性。高IOPS、低延迟的SSD资源池顺利解决业务高峰期性能瓶颈问题。云硬盘在线扩容实现容量和性能的线性扩展，满足业务增长诉求。

本文介绍了边缘安全加速平台API防护模块下API资产列表的使用方法。 功能介绍 API资产管理列表展示了客户粒度，即所有接入域名下的API资产。用户可在API资产列表中进行查询、新增、删除、编辑等操作。 API资产定义 边缘安全加速平台对于API资产的定义由三部分组成：域名、URI、Method。 以API资产 Post ddoscloudglobal.ctapi.ctyun.cn/ctapi/v1/cert/create 为例： 域名为：ddoscloudglobal.ctapi.ctyun.cn URI为：/ctapi/v1/cert/create Method为：Post 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【API安全】菜单。 3. 进入任意域名，点击右侧【资产管理】按钮，进入【API资产列表】页面。 新增API 新增API资产当前支持两种方式： 手动新增API：手动配置域名、URI、Method定义一条API资产。 API自发现：基于访问日志进行特征识别，自动发现业务中的API请求。配置详情参见API自发现。

本文介绍如何修复镜像漏洞。 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“镜像安全 > 镜像管理”，进入镜像管理页面。 3. 选择“仓库镜像”或“节点镜像”页签，进入对应镜像列表页面。 4. 单击镜像列表中的“镜像名称”，进入镜像详情页面。 5. 在镜像详情页面的“摘要”页签底部，可以查看漏洞“安全建议”，为用户提供了漏洞的修复建议和异常文件处理建议，包括具体的做法和代码。 6. 单击安全建议右侧的“导出”图标，可将安全建议下载到本地，方便用户修改使用。

本节介绍如何开启集群审计。 集群审计可以帮助集群管理人员记录或追溯用户的日常操作，通过查看、分析审计日志，可以了解集群状态的变更和集群运行状况，排查异常，进而发现集群潜在的安全、性能风险等，及时采取安全防范措施，更好地为集群安全保驾护航。 操作步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“集群安全 > 集群策略”，进入集群策略页面。 3. 单击“开启集群审计”，查看具体的配置方法。 4. 选择配置方式，单击对应方式的“查看配置说明”，根据配置说明开启集群审计功能。

参数 是否必填 参数类型 说明 示例 下级对象 desktopOid 是 String 桌面id securityGroupOid 是 String 安全组id portOid 否 String 网卡id，参数为空表示桌面移除安全组，参数非空表示桌面网卡移除安全组

参数 是否必填 参数类型 说明 示例 下级对象 desktopOid 是 String 桌面id securityGroupOid 是 String 安全组id portOid 否 String 网卡id，参数为空表示桌面绑定安全组，参数非空表示桌面网卡绑定安全组

本文为您介绍VPN连接服务的权限管理。 如果您需要对云服务平台上创建的VPN资源，为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制资源的访问。 通过IAM，您可以在帐号中给员工创建IAM用户，并授权控制员工对云服务资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有VPN的使用权限，但是不希望他们拥有删除VPN等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用VPN，但是不允许删除VPN的权限，控制他们对VPN资源的使用范围。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用VPN服务的其它功能。 IAM是云服务平台提供权限管理的基础服务，无需付费即可使用，您只需要为您帐号中的资源进行付费。关于IAM的详细介绍，请参见统一身份认证服务用户指南。 VPN权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 VPN部署时通过物理区域划分，为项目级服务。授权时，“授权范围”需要选择“指定区域项目资源”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果“授权范围”选择“所有资源”，则该权限在所有区域项目中都生效。访问VPN时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云服务平台各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对VPN服务，管理员能够控制IAM用户仅能对某一类VPN资源进行指定的管理操作。

本节介绍Hermes云电脑的使用方式。 产品核心优势 Hermes云电脑内置Hermes环境，开箱即用。Hermes具备模块化架构和丰富的工具生态，让开发者能够快速构建复杂的AI应用。同时也是拥有内置学习循环的智能体，它从经验中创建技能，在使用过程中持续改进，形成持久化知识。支持微信、飞书、QQ等IM工具接入使用。 体验指引 1. 支持天翼AI云电脑移动端、PC客户端进行切换Hermes镜像； 2. 切换方式：登录云电脑>工具栏>设置>系统重装>更换系统，选择Hermes镜像。 注意 不支持跨系统切换，如Windows不支持切换至Ubuntu。 使用指引（以Ubuntu云电脑为例） 1. 开机后系统会自动启动Hermes后台服务，在云智助手中生成ApiKey并自动将模型信息注入到Hermes中，用户无需再配置模型即可直接使用。 2. 双击【Hermes】图标，首次打开会有安全提示弹窗，系统自动打开默认浏览器并跳转到聊天页面，可以发送指令和查看对话历史。 3. 双击【Hermes助手】图标，可以进入大模型配置界面，这里可以检测模型的连通性，有自行购买的第三方模型（例如息壤）可以配置以切换当前使用的大模型（填写API Key，Base URL和模型等信息）。 4. 在IM设置界面，可以配置微信，飞书和QQ三种IM通道，需要扫描界面上的二维码或者填写所需的信息，保存后静待片刻即可生效。

本节介绍Hermes云电脑的使用方式。 产品核心优势 Hermes云电脑内置Hermes环境，开箱即用。Hermes具备模块化架构和丰富的工具生态，让开发者能够快速构建复杂的AI应用。同时也是拥有内置学习循环的智能体，它从经验中创建技能，在使用过程中持续改进，形成持久化知识。支持微信、飞书、QQ等IM工具接入使用。 体验指引 1. 支持天翼AI云电脑移动端、PC客户端进行切换Hermes镜像； 2. 切换方式：登录云电脑>工具栏>设置>系统重装>更换系统，选择Hermes镜像。 注意 不支持跨系统切换，如Windows不支持切换至Ubuntu。 使用指引（以Ubuntu云电脑为例） 1. 开机后系统会自动启动Hermes后台服务，在云智助手中生成ApiKey并自动将模型信息注入到Hermes中，用户无需再配置模型即可直接使用。 2. 双击【Hermes】图标，首次打开会有安全提示弹窗，系统自动打开默认浏览器并跳转到聊天页面，可以发送指令和查看对话历史。 3. 双击【Hermes助手】图标，可以进入大模型配置界面，这里可以检测模型的连通性，有自行购买的第三方模型（例如息壤）可以配置以切换当前使用的大模型（填写API Key，Base URL和模型等信息）。 4. 在IM设置界面，可以配置微信，飞书和QQ三种IM通道，需要扫描界面上的二维码或者填写所需的信息，保存后静待片刻即可生效。

拓展业务功能 介绍 配置方式 、 示例 手机号和手机验证码登录服务 使用手机号加上手机验证码的方式来登录 默认关闭，开启和关闭方式为：登录边缘安全加速平台零信任服务控制台，选择账户安全后开启/关闭短信验证码登录 邮箱和邮箱验证码登录服务 使用邮箱加上邮箱验证码的方式来登录 默认关闭，开启和关闭方式为：登录边缘安全加速平台零信任服务控制台，选择账户安全后开启/关闭邮箱验证码登录

本小节介绍服务器安全卫士的产品定义。 服务器安全卫士专注于服务端主机的安全防护，通过对主机信息和行为进行持续监控和分析，快速精准地发现安全威胁和入侵事件，并提供灵活高效的问题解决能力，将自适应安全理念真正落地，为用户提供下一代安全检测和响应能力。 服务器安全卫士采用模块化的组织形式，通过资产清点、风险发现、入侵检测、合规基线、病毒查杀五大功能的智能集成和协同联动，实现安全的统一策略管理和快速的入侵响应能力。

此小节介绍企业主机安全资产概览。 展示您所使用全量资产的状态和清点情况。包括Agent状态、防护状态、配额情况以及帐号、端口、进程、软件、自启动项的清点情况。 约束限制 未开启防护不支持查看资产概览。 操作步骤 1. 登录管理控制台。 2. 在页面左上角选择“区域”，选择“安全>企业主机安全”，进入“企业主机安全”页面。 3. 选择“资产管理>资产概览”，进入资产概览总览页，查看资产状态和资产清点情况。

本章节进行网格安全能力概述 概述 单体应用发展成微服务架构带来了诸多便利，业务迭代更加敏捷，扩展性更好，同时为服务架构也带了新的安全考虑，如： 微服务之间通信安全问题，如何防止中间人攻击。 微服务之间的访问控制问题，对于敏感服务和信息，如何限制微服务之间的访问。 微服务之间访问频繁且关系复杂，如何追溯服务之间的调用情况，需要具备审计能力。 服务网格的安全机制提供了零信任的安全机制，很好地解决了以上问题。 服务网格安全架构 服务身份及证书管理 身份是安全的基础，只有给每个服务赋予一个身份才能在服务相互访问时对各方的身份进行认证以及对操作进行鉴权。服务网格使用证书作为网格内工作负载的身份标识，服务网格负载网格内工作负载的身份证书颁发、轮换等，为网格安全提供基础能力。 身份认证 服务网格提供两种认证机制： 对等身份认证：用于sidecar代理之间通信时的身份认证，解决sidecar之间身份认证和通信加密问题，支持基于工作负载证书的mTLS双向认证。 请求身份认证：用于外部请求进入网格内的身份认证，支持JWT及OIDC的认证方式。 授权 在微服务通信中，确定了双方的身份之后，我们还需要对客户端是否有权限访问服务端的资源进行权限检查。当前服务网格支持全局、命名空间和工作负载级别的授权策略控制，同时支持集成外部授权服务能力。

本文向您介绍在录入或者登录实例时失败的解决方案。 问题描述 连接实例失败，是在登录实例或者添加实例时常遇到的问题，如下。 登录失败：在查询窗口或者其他有实例登录功能的地方登录实例，提示“无法连接到数据库、请检查信息是否填写正确”。 添加失败：添加实例时，输入完所有实例信息后，点击测试连接提示连接失败 问题分析 连接实例失败有多种可能，涉及到用户输入、网络、账号密码等多个因素，针对不同因素所造成的实例连接失败问题，相应地有不同的解决方案。 解决方案 实例信息录入错误：这种情况是因为实例的连接地址包括IP和端口填写错误，请您检查IP和端口并填写正确地址。 账号密码输入错误：填写正确的有登录权限的数据库账号和密码。 实例白名单没有配置：对于云实例，一般会使用白名单访问的方式，只有在白名单内的IP，才允许访问该实例，因此需要在实例所在安全组中添加DMS服务的白名单。DMS服务的白名单地址如下： 117.89.250.178

定期的网络安全自我检测、评估 配备漏洞扫描系统，网络管理人员可以定期进行网络安全检测服务，安全检测可帮助客户最大可能地消除安全隐患，尽可能早地发现安全漏洞并进行修补，有效地利用已有系统，优化资源，提高网络运行效率。 网络建设和网络改造前后的安全规划评估和成效检验 网络建设者必须建立整体安全规划，以统领全局，高屋建瓴。在可以容忍的风险级别和可以接受的成本之间，取得恰当的平衡，在多种多样的安全产品和技术之间做出取舍。配备网络漏洞扫描/网络评估系统可以让您很方便地进行安全规划评估和成效检验。 网络承担重要任务前的安全性测试 网络承担重要任务前应该多采取主动防止出现事故的安全措施，从技术上和管理上加强对网络安全和信息安全的重视，形成立体防护，由被动修补变成主动的防范，最终把出现事故的概率降到最低。配备网络漏洞扫描/网络评估系统可以让您很方便地进行安全性测试。 满足合规性需求（网络安全法、等保） 定期开展漏洞扫描发现主机风险，主动防御风险也是公安局主推的等保要求以及网络安全法要求中的合规要求，其主要目的是：消除与降低安全隐患、周期性地评估和加固工作相结合，尽可能避免安全风险的发生。

本文将为您介绍资源编排ROS与其他产品的关系。 在资源编排ROS中，资源栈是云服务资源的集合。因此ROS可以通过模板编排的方式，对其他云服务资源，整体地进行创建、删除、更新、查询操作。 同时ROS依托天翼云IAM服务完成用户的统一权限和管理，依托密钥管理，对用户模板中的加密参数进行加密存储，保证资源管理的安全性。 与其他服务关系 服务名称 交互功能 相关内容 IAM 在资源编排ROS中，资源栈是云服务资源的集合。因此ROS可以通过模板编排的方式，对其他云服务资源，整体地进行创建、删除、更新、查询操作。 统一身份认证 密钥管理 ROS中用户模板中加密参数，需要依托密钥管理服务进行加密存储，从而保证用户模板参数的安全性。 密钥管理服务 各类云服务 资源编排本身不直接提供云资源能力，而是通过调用各云服务的 OpenAPI 来完成资源的创建、更新、查询和删除等操作，将分散的服务能力以模板化、自动化方式组合起来，实现跨云产品的一致管理与统一交付。 各类云服务文档

%^&+l)。 弱口令检查。 确认密码 再次输入安全管理员密码。 审计管理员 用户命名要求如下： 只能由小写字母、数字或下划线组成。 必须以小写字母或下划线开头。 长度为6～64个字符。 用户名不能为DWS数据库的关键字。 DWS数据库的关键字，具体请参见《数据仓库服务数据库开发指南》中“SQL参考>关键字”章节。 auditadmin 密码 密码复杂度要求如下： 密码长度为8～32个字符。 不能与用户名或倒序的用户名相同。 密码至少包含大写字母、小写字母、数字和特殊字符四类中的三类，其中可输入的特殊字符为：~!@ %^&()+l[{}];:, /?。 弱口令检查。 确认密码 再次输入审计管理员密码。 5.单击“应用”。 6.在弹出的“保存配置”窗口中，选择是否勾选“立即重启集群”，然后单击“是”。 如果勾选“立即重启集群”，系统将保存“安全设置”页面的配置并立即重启集群，集群重启成功后安全设置将立即生效。 如果不勾选“立即重启集群”，系统将只保存“安全设置”页面的配置。稍后，用户需要手动重启集群才能使安全设置生效。 安全设置完成后，在“安全设置”页面，“配置状态”有如下3种状态： “应用中”：表示系统正在保存配置。 “已同步”：表示配置已保存生效。 “需重启生效”：表示配置已保存但还未生效。如需生效，需重启集群。

简述IPv6功能和配置规则。 功能介绍 天翼云边缘安全加速平台安全与加速服务已经支持接收IPv6协议的请求，开启IPv6后，当您的用户处于IPv6环境时，客户端可以通过IPv6协议访问天翼云边缘节点。 配置说明 新增域名时，开启IPv6，操作步骤如下： 1.登录边缘安全加速平台控制台。 2.进入安全与加速工作台域名域名管理页面，点击“新增域名”。 3.在域名的基本信息中找到IPv6解析开关，按需开启IPv6。 域名添加完成后，如果需要变更IPv6开关的状态，操作步骤如下： 1.登录边缘安全加速平台控制台。 2.进入安全与加速工作台域名域名管理页面，在列表中找到目标域名。 3.变更列表中IPv6解析开关，从“停用”改为“启用”，或者从“启用”改为“停用”。 注意 当DDoS防护开关(非中国内地区域)为开启时，暂不支持开启IPv6。 配置界面 新增域名，开启IPv6： 变更IPv6状态：

本文将为您介绍云硬盘备份的入门操作流程。 天翼云云硬盘备份可以为用户提供备份服务，并在磁盘故障、用户误删数据、遭到黑客攻击等情况下，使用云硬盘备份恢复数据或创建新盘，最大限度保证用户数据的安全性，云硬盘备份的使用流程如下图： 1. 首先进行准备工作，注册天翼云，确保账户余额充足，具体流程参见准备工作。 2. 在备份前，用户需要购买存储库，便于后续创建备份，存储库创建步骤请参见创建存储库。 3. 用户在创建存储库时可以选择云硬盘资源，并对其进行立即备份或设置自动备份，不选择云硬盘资源则代表仅创建存储库。存储库创建好，即可对云硬盘资源进行备份，后续产生的备份会放置于存储库中，创建备份的操作步骤请参见创建云硬盘备份。 4. 备份创建成功之后，用户可以根据业务实际需要，使用备份恢复云硬盘的数据，恢复数据的步骤请参见使用备份恢复源云硬盘以及使用备份创建新的云硬盘。

本文主要介绍权限管理 通过企业项目对用户和用户组进行授权 APM使用企业项目管理控制用户对APM资源的访问范围。您在云帐号中给员工创建IAM用户组后，可以在企业管理服务控制台创建企业项目，并在企业项目中为用户组授予相应的权限，实现人员授权及权限控制。企业项目可将企业分布在不同区域的资源按照企业项目进行统一管理，同时可以为每个企业项目设置拥有不同权限的用户组。 通过IAM为企业中的用户和用户组进行授权 如果您需要对您所拥有的APM进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用APM资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将APM资源委托给更专业、高效的其他帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用APM服务的其它功能。 本章节为您介绍对用户授权的方法，操作流程如图所示。 前提条件 给用户组授权之前，请您了解用户组可以添加的APM权限，并结合实际需求进行选择，APM支持的系统权限。 示例流程 使用IAM授权的云服务 图 给用户授权APM权限流程 1. 创建用户组并授权 在IAM控制台创建用户组，并授予APM只读权限“APM ReadOnlyAccess”。 2. 创建IAM用户 在IAM控制台创建用户，并将其加入[1](

接口描述 查询安全组列表 接口约束 无 URI GET /v1/eop/securitygroups 请求参数 参数 是否必填 参数类型 说明 示例 下级对象 vpcId 否 String VPC ID cfcbed30ca9e432daa8b87ef0eb6a9aa 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 状态码 800 message String 消息提示 SUCCESS returnObj Array 安全组列表 List SecurityGroup 参数 参数类型 说明 示例 下级对象 regionId String 资源池ID 100054c0416811e9a6690242ac110002 resSecurityGroupId String 安全组ID d626b4cccefd4cb1b28a0e13bc77928d vpcId String 安全组对应的vpc ID cfcbed30ca9e432daa8b87ef0eb6a9aa name String 安全组名称 default 请求示例 /v1/eop/securitygroups?vpcIdcfcbed30ca9e432daa8b87ef0eb6a9aa 响应示例 { "message": "SUCCESS", "returnObj": [ { "name": "default", "regionId": "100054c0416811e9a6690242ac110002", "resSecurityGroupId": "d626b4cccefd4cb1b28a0e13bc77928d", "vpcId": "cfcbed30ca9e432daa8b87ef0eb6a9aa", } ], "statusCode": 800 }

云主机备份产品广泛应用于多种场景,本文带您更快了解云主机备份的经典应用场景。 云主机备份是一种非常重要的数据保护和恢复措施，适用于政府、金融等对数据安全性要求较高的客户，可以在各种场景下快速恢复数据，防止因意外、事故、黑客攻击或病毒入侵等导致的数据丢失。 场景说明 受黑客攻击或病毒入侵场景：在面临黑客攻击或病毒入侵的情况下，通过备份，可以立即恢复到最近一次没有受到黑客攻击或病毒入侵的备份时间点。这将消除黑客或病毒对数据和系统造成的损害，让系统恢复到正常运行状态，同时避免进一步扩散和数据丢失。 数据误删场景：数据误删是一个常见但严重的问题，通过云主机备份，可以迅速找回被删除的数据。备份允许立即恢复到删除前的备份时间点，确保数据的完整性和可用性，从而避免因误操作而导致的数据丢失或业务中断。 云主机宕机场景：当云主机遭遇宕机时，业务可能会受到严重影响。通过备份，可以迅速恢复到宕机之前的备份时间点，使云主机能够再次正常启动。这将减少业务中断时间，恢复服务，并降低损失的可能性。

注意 本清单适用于天翼云AOne APP（Android 及 iOS版本）等全部终端客户端（以下单称或统称“平台”）向您提供的各项产品和服务。若某个产品与/或服务设置了单独清单，则该单独清单优先适用。 业务场景 收集目的 处理方式 信息类型 账号注册 登录认证、双因子认证、重置密码、验证码校验、应用访问权限申请和审批、员工账号管理 用户输入 手机号、电子邮箱、用户名 账号登录 登录认证 用户输入 注册用户登录账号、注册用户登录密码、验证码 设备管理 进行移动设备管理 APP收集 账号、设备ID、设备名称、设备系统 信息统计故障诊断 使用故障诊断、信息统计、服务稳定性改进、响应使用异常帮助请求 APP收集 设备名称、品牌、型号、操作系统、设备设置、IDFV（仅iOS）、IP地址、个人信息（头像） 企业/组织控制台数据配置 企业组织管理、应用范围管理、日常办公安全管理 企业管理员配置 隶属部门、办公邮箱账号、办公电话、企业账号信息、访问企业应用/资产名称、访问企业应用/资产的时长、访问过程中流量的大小 VPN服务 访问企业内部应用、产品功能正常运行 APP收集 设备名称、设备版本、软件版本号、虚拟网卡IP地址 应用资源访问 网络日志保存、安全审计 APP收集 访问的应用名、访问的目的地址、目的端口、设备网络类型、客户端IP地址、客户端端口、访问日期和时间 AI应用中心智能对话 意图识别、关键词拆分、信息检索、提供精准搜索结果和总结性回答 用户输入 与AI应用中心交互过程中输入的内容（语音、文本、图片、文件）、对话记录（输入信息、App生成内容、对话主题） AI应用中心文件上传 智能搜索、交互服务、精准理解用户需求、提供准确搜索结果和智能推荐 用户上传 用户上传的文件内容 日程服务 日程提醒、日程安排管理 用户输入 日程安排、事件通知 消息服务 信息传输与交互、设备同步 用户输入 聊天信息（文本消息、图片消息、文件、通信录信息） 空间服务在线文档 文档管理、协作记录 用户输入 文档及文档信息（文档类型、大小、文档权限、存放位置）、参与编辑的记录、分享/创建副本/下载/浏览/变更权限设置的操作记录 空间服务搜索 搜索结果展示 用户输入 搜索关键字信息 企业微信账户授权登录 关联账号登录 APP收集 个人账号信息、联系方式、组织架构 飞书账户授权登录 关联账号登录 APP收集 个人账号信息、联系方式、组织架构、设备信息与日志信息（操作系统版本号、服务日志）、个人常用设备信息 钉钉账户授权登录 关联账号登录 APP收集 个人账号信息、联系方式、组织架构 音视频会议发言 音视频流传输 APP收集 音频信息、视频信息 音视频会议粘贴会议号 会议号鉴别、提升入会效率 APP收集 剪贴板中的会议号 音视频会议蓝牙连接 蓝牙设备会议交流 APP收集 蓝牙设备信息 共享屏幕 在其他应用上层显示 APP收集 悬浮窗权限、共享屏幕信息 会议记录 会议信息管理、后期查看 APP收集 会议主题、会议号、会议密码、会议创建人、参会人、会议开始和结束时间、最近入会时间及参会时长 云录制 会议内容保存、回放观看 APP收集 音频信息、视频信息、会议纪要文本数据 会议纪要生成 生成会议纪要（按主题、按章节、按发言人总结） APP收集 会议音频信息、会议主题、参会人昵称信息 全球加速 加速访问公网应用 APP收集 设备名称、设备版本、软件版本号、虚拟网卡IP地址 生物识别登录 账号登录验证 本地验证 指纹信息/人脸信息（不采集原始图像，仅保存在用户设备上） 待办工单 工单管理 用户输入 待办工单信息 邮件服务 邮件收发 用户输入 电子邮箱地址、图片、文字、文件

操作步骤 1. 登录智算安全专区控制台。 2. 单击左侧的“大模型安全测评”，系统跳转到“大模型安全测评”页面。

配额限制 限制项 限制 是否支持调整 单用户单资源池的前缀列表数量上限 100 否 一个前缀列表中设置的条目数量上限 200 否 一个前缀列表的关联资源数量上限 500 否 功能简介 前缀列表将若干CIDR地址块组成一个逻辑操作对象，由多个列表条目组成。每个列表条目由CIDR地址块和描述组成。您可以将一些常用的IP地址组合创建成前缀列表，并将其作为安全组的目标地址配置安全组规则，不需要为每个IP地址单独配置安全组规则。如果您的访问范围发生变更或者需要限制其他cidr地址块，您可以直接更新相关安全组规则中的前缀列表，引用该前缀列表的所有安全组都会自动更新，或者您可以替换成其他前缀列表。前缀列表支持查看、修改和删除等操作。 功能计费 前缀列表功能不收取任何费用。 使用场景 安全组引用前缀列表的操作方法，可参考“添加安全组规则”。 支持资源池 目前仅部分可用区资源池支持，实际情况以控制台展示为准。不同资源池列表见产品简介资源池区别页面。

后续管理 访问控制策略创建完成后，可在策略列表页面，管理已创建策略，包括管理关联用户或资源、删除策略、启停策略、策略排序等。 若需补充关联用户或资源，可单击“关联”，快速关联用户、用户组、资源账户、帐户组。 若需删除策略，可选择目标策略，单击“删除”，立即删除策略。 若需禁用策略授权，可勾选一个或多个“已启用”状态的策略，单击“禁用”，策略状态变更为“已禁用”，策略授权立即失效。 若需排序策略优先等级，可选中策略行上下拖动策略，改变策略排序。 若需线下管理策略，可单击“导出”，以CSV格式导出全量访问控制策略详情。 设置双人授权 双人授权即金库授权模式。配置双人授权后，运维人员若需访问核心资源，要求管理员现场授权认证，通过认证后才能访问核心资源。即使运维人员帐号丢失，也不会泄露核心资源信息，降低运维风险，保障核心资产安全。 约束限制 授权候选人仅可选择本部门及上级部门的部门管理员，包括系统管理员 admin 。 前提条件 已获取“访问控制策略”模块操作权限。 已创建访问控制策略，并已关联用户和资源账户。 操作步骤 1. 登录云堡垒机系统。 2. 选择“策略 > 访问控制策略”，进入访问控制策略列表页面。 3. 选择目标策略，在“操作”列单击“更多 > 双人授权候选人”，弹出授权候选人名单窗口。 4. 选择一个或多个部门管理员，设为双人授权候选人。 5. 单击“确认”，双人授权候选人设置完成。

本节为您介绍如何通过云主机创建整机镜像,包括Linux和Windows操作系统。 操作场景 您可以使用弹性云主机将其挂载的数据盘一起创建整机镜像，云主机整机镜像包含系统盘与数据盘，使用挂载有数据盘的云主机创建的整机镜像包含操作系统、应用软件，以及用户的业务数据。可用于快速发放相同配置的弹性云主机，实现数据迁移。 前提条件 系统盘或数据盘加密的云主机不可创建整机镜像。 整机镜像只能通过云主机创建，不能通过镜像文件创建。 如果只有系统盘的云主机，不支持创建整机镜像，请选择系统盘镜像。 当删除整机镜像时，对应的整机备份同时删除。 使用整机镜像购买云主机时，在磁盘选项里面，系统盘与数据盘的类型与整机镜像的系统盘数据盘类型相同，不可更改。数据盘大小不可更改，系统盘大小必须大于等于整机镜像中的系统盘大小。如整机镜像有多块数据盘，则购买页面亦有多块数据盘，且不能删除数据盘。计费标准与正常挂载数据盘一致。 整机镜像不支持导入、导出功能。 节省关机状态下的云主机不支持创建镜像。 注意 请确保已删除实例中的敏感数据，避免数据安全隐患。 弹性云主机与其创建的私有镜像属于同一个地域，不能跨地域使用。 创建私有镜像的过程中，请勿对所选云主机及其相关联资源进行任何操作。 创建整机镜像所需时间取决于云主机系统盘的大小，私有镜像创建完成才可以使用，请您耐心等待。

本节将介绍如何批量添加资产，如果您需要批量添加OBS、数据库、大数据或者MRS资产，可参考本章节。 前提条件 需要完成数据库资产委托授权，参考云资源委托授权/停止授权进行操作。 需要获取自建数据库的引擎、版本、主机等相关信息，且自建数据库子网下含有可用的IP配额。 约束条件 只能添加DSC支持的数据库类型及版本，DSC支持的数据库类型及版本如下表所示。 数据库类型 版本 MySQL 5.6、5.7、5.8、8.0 SQL Server 2017SE、2017EE、2017WEB 2016SE、2016EE、2016WEB 2014SE、2014EE 2012SE、2012EE、2012WEB 2008R2EE、2008R2WEB PostGreSQL 11、10、9.6、9.5、9.4、9.1 Oracle 10、12 操作步骤 1. 登录管理控制台。 2. 点击左上角的，选择区域或项目。 3. 点击左侧导航树中的，选择“安全与合规 >数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中选择“资产列表”，进入OBS资产列表页面。 5. 在OBS资产列表右上角，单击“批量添加”。 6. 在弹出的“批量添加”对话框中，单击“添加文件”，将已整理好的资产文件导入到系统中。 点击“下载模板”，将资产信息按模板整理好。 7. 单击“确定”，批量添加数据库完成。 数据库添加完成后，该数据库的“连通性”为“检查中”，此时，DSC会测试数据库的连通性。 DSC能正常访问已添加的数据库，该数据库的“连通性”状态为“成功”。 若DSC不能正常访问已添加的数据库，该数据库的“连通性”状态为“失败”。单击“原因”查看失败的原因或者参照如何排查添加数据库连通性失败？解决。

本章节内容主要介绍通过ECS内网连接DDS实例 场景描述 文档数据库实例创建成功后，可通过内网访问数据库实例。本章节以Linux系统为例，介绍从购买到内网连接集群实例的操作步骤。 步骤1：创建ECS 步骤2：创建集群实例 步骤3：连接集群实例 方案正文 本章节以Linux系统为例，介绍从购买到内网连接集群实例的操作步骤。具体操作步骤如下： 步骤1：创建ECS 1.登录管理控制台。 2.选择“计算 > 弹性云主机”，单击“购买弹性云主机”。 3.配置基础信息后，单击“下一步：网络配置”。ECS与待连接的集群实例的区域及可用区一致。 图1 基础配置 图2 选择镜像 4.配置网络信息后，单击“下一步：高级配置”。ECS与待连接的集群实例的VPC和安全组一致。 图3 网络配置 5.配置密码等信息后，单击“下一步：确认配置”。 图4 高级配置 6.确认配置信息后，单击“立即购买”。 图5 确认配置 7.查看购买成功的ECS。 图6 购买成功 步骤2 创建集群实例 1.登录管理控制台。 2.选择“数据库 > 文档数据库服务 DDS”，单击“购买数据库实例”。 3.填选实例信息后，单击“立即购买”。ECS与待连接的集群实例的区域、可用区、VPC和安全组一致。 图7 基础配置 图8 设置密码 图9 网络设置 查看购买成功的DDS实例。 图10 购买成功 步骤3 连接DDS实例 1.本地使用Linux远程连接工具登录ECS。“Remote host”为ECS绑定的弹性公网IP。 图11 新建会话 2.输入创建ECS时设置的密码。 图12 输入密码 图13 登录成功 3.打开 图14 下载客户端 4.上传客户端安装包到ECS。 图15 上传客户端 图16 上传成功 5.在弹性云服务器上，解压安装包。 tar zxvf mongodblinuxx8664rhel704.0.27.tgz 6.进入安装包的“bin”文件夹下，获取客户端工具。 cd mongodblinuxx8664rhel704.0.27/bin 其中，常用工具包含如下： MongoDB客户端mongo。 数据导出工具mongoexport。 数据导入工具mongoimport。 7.使用客户端工具前，需要对工具赋予执行权限。 执行chmod +x mongo，赋予连接实例的权限。 执行chmod +x mongoexport，赋予导出数据的权限。 执行chmod +x mongoimport，赋予导入数据的权限。 8.连接DDS实例。 ./mongo mongodb://rwuser:@ : , : /test?authSourceadmin，实例地址可在控制台直接复制。 图17 连接成功 常用创建数据库和集合的操作。 图18 创建数据库 图19 创建集合