配置暴力破解规则 说明 Agent 版本低于 5.1.0，不支持配置自定义规则功能，使用此功能需升级 Agent 版本。 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“设置中心 > 安全配置”，进入安全配置。 3. 在暴力破解模块，单击“规则配置”按钮，开始暴力破解规则设置。 4. 配置暴力破解规则参数。 参数说明如下： 参数 说明 检查阈值 配置服务器在一段时间内连续登录失败超过的次数。 时间配置限制：11440分钟。 登录失败次数限制：1100次。 封禁时长 选择封禁时长，支持选择：不封禁、5分钟、15分钟、30分钟、1小时、2小时、6小时、12小时、24小时。 防护场景 选择需要配置的防护场景，默认选择RDP暴力破解 、SSH暴力破解 ，支持选择FTP暴力破解 、MySQL暴力破解 、SQLServer暴力破解。 5. 当所有字段都设置完成后，单击“确认”。 配置勒索诱饵防护 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“设置中心 > 安全配置”，进入安全配置。 3. 在勒索诱饵防护模块，单击“配置规则”，开始配置勒索诱饵防护。 4. 在页面右侧弹出的防护设置页面，配置防护参数。 参数 说明 启用诱饵防护 自动在系统关键位置投放诱饵文件，实时捕捉勒索行为并进行阻断。 病毒处置方式 支持手动处理和自动隔离。 手动处理：人工手动对勒索病毒文件进行处理。 自动隔离：检测出勒索病毒文件自动隔离。 说明 自动隔离后，若出现误报，可在告警列表中对文件进行恢复。 指定防护目录 根据用户的特定防护场景，可自定义创建勒索诱饵文件。 设置生效范围 自定义选择需要开启诱饵防护的服务器。 5. 配置完成后，单击“确认”。 绑定存储库：选择一个可用状态的存储库，备份数据大小应小于存储库剩余容量。

本节主要介绍OBS安全性相关问题。 我的数据存在OBS中，如何保证安全性？ OBS本身是非常安全的。OBS本身也提供端到端的安全服务。访问桶或对象时，如果桶或对象未公开，只有桶或对象的拥有者才能够访问，访问时需要提供访问密钥（AK/SK）。您还可以使用各种访问控制机制，例如桶策略和访问控制列表（ACL），选择性地向您的用户和用户组授予权限。传输数据时，OBS支持HTTPS/SSL协议；如果您需要更高安全性，可以开启服务端加密功能。 OBS会不会扫描我的数据用于其他用途？ 系统对数据做的扫描仅限于判断数据块是否存在和被损坏（如有损坏，会启动修复），不会读取具体的内容。 后台工程师能否导出我存在OBS中的数据？ 后台工程师无法导出用户数据。访问桶或对象时，如果桶或对象未公开，只有桶或对象的拥有者才能够访问，访问时需要提供访问密钥（AK/SK）。 OBS如何保证我的数据不会被盗用？ 只有桶或对象的拥有者才能访问，访问时需要提供访问密钥（AK/SK），并且还有ACL、桶策略、防盗链等多种访问控制机制保证数据的访问安全。 在使用AK和SK访问OBS过程中，密钥AK和SK是否可以更换？ 可以。在使用过程中，密钥AK和SK可以随时更换。 多个用户是否可以共享一对AK和SK来访问OBS？ 可以。不同的用户使用相同的一对AK和SK可以同时访问OBS中的资源，且访问到的资源相同。

本章节为您介绍服务版本差异。 数据分类分级实例 数据安全专区的数据分类分级实例仅有标准版可选择。 版本 支持纳管的数据库数量 支持的数据库字段数 产品能力 标准版 4/8/16/32 3万/7万/15万/30万字段以内 提供流程化的数据分类分级能力 数据脱敏与水印实例 数据安全专区的数据脱敏与水印实例支持标准版、高级版、企业版三种规格供您选择。 版本 支持纳管的数据库数量 数据脱敏能力 水印溯源能力 基本数据库 国产数据库 大数据组件 标准版 4/8/16/32 √ √ √ × × 高级版 4/8/16/32 √ √ √ √ × 企业版 4/8/16/32 √ √ √ √ √ 数据库安全网关 数据安全专区的数据库安全网关实例仅有标准版可选择。 版本 支持纳管的资产数量 产品能力 标准版 4/8/16/32 提供数据库准入、访问控制、攻击防护、动态脱敏、 运维审批等多种能力 API安全网关 API安全网关支持标准版 、高级版 、企业版 、旗舰版。 版本 TPS指标 API全生命周期管理 API攻击防护 API访问控制 API动态脱敏 API数据水印 标准版 2000 √ √ √ √ √ 高级版 4000 √ √ √ √ √ 企业版 6000 √ √ √ √ √ 旗舰版 20000 √ √ √ √ √

本节介绍如何查看集群审计日志。 查看事件统计 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“集群安全 > 集群审计”，进入集群审计页面。 3. 查看事件统计信息：统计信息分为审计事件总数、操作用户总数、添加事件总数、删除事件总数、更新事件总数、查看事件总数、操作类型分布、资源操作分布、返回状态码、操作用户分布，帮助客户更直观的查看集群内的异常事件分布。 查看日志列表 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“集群安全 > 集群审计”，进入集群审计页面。 3. 查看页面下方的审计日志列表，方便用户溯源事件。 日志列表内，支持按照“安全状态”、“日志级别”、“日志所属阶段”、“操作对象”、“操作类型”、“对应客户端”、“客户端节点IP”、“API响应状态”进行筛选查询。 日志信息参数说明： 参数 说明 日志级别 审计日志根据日志策略可以选择事件保存的等级，根据等级不同，APIServer记录日志的详细程度也不同。 目前支持的日志等级有： None：不记录日志。 Metadata：只记录Request的一些metadata（例如user, timestamp, resource, verb等），但不记录Request或Response的body。 Request：记录Request的metadata和body。 RequestResponse：最全记录方式，会记录所有的metadata、Request和Response的Body。 日志所属阶段 审计日志根据日志策略可以选择在事件执行的某个阶段记录。 目前支持的事件阶段有： RequestReceived：接收到事件且在分配给对应handler前记录。 ResponseStarted：开始响应数据的Header但在响应数据Body发送前记录，这种一般应用在持续很长的操作事件，例如watch操作。 ResponseComplete：事件响应完毕后记录。 Panic：内部出现panic时记录。 操作对象 操作的资源类型。 所在集群 操作对象所属集群。 操作类型 操作类型分为get获取、watch监控、list获取、update更新、create创建、patch修改、delete删除这些类型。 update和patch的区别：update请求需要将整个修改后的对象提交给 k8s；而patch请求只需要将对象中某些字段的修改提交给k8s。 对应客户端 事件服务的客户端名称（在userAgent中定义）。 访问源IPv6/IPv4 事件服务的客户端所在节点的IP地址。 API响应状态 API响应状态码分为以下几类： “1XX”为信息性状态码（informational）。 “2XX”为成功状态码（Success）。 “3XX”为重定向状态码（Redirection）。 “4XX”为客户端错误状态码（Client Error）。 “5XX”为服务端错误状态码。 常用的状态码解释说明如下： 200：OK，请求成功，具体意义根据请求所使用的方法不同而不同。 201：Created，请求成功并创建了资源； 403：Forbidden，表示身份认证通过了，但是对服务器请求资源的访问被拒绝了； 404：Not Found，表示服务器找不到你请求的资源； 409：Conflict，表示请求与服务器当前状态冲突。通常发生在更新资源时，主要是处理并发问题的状态码。 500：Internal Server Error，表示服务器执行请求的时候出错了。 API请求URL API请求URL的地址。 安全状态 安全状态分为正常和异常这两种，异常是指触发了内置策略的事件。 请求时间 事件的请求时间。 4. 单击日志列表内的下拉按钮，可展开查看事件的json格式详情。

本节介绍如何处理检测结果。 当接收到检测结果后，您可标记结果处理状态。 忽略：如果确认该检测结果不会造成危害，在“忽略风险项”窗口记录“处理人”、“忽略理由”，可标记为“已忽略”状态。 标记为线下处理：如果该检测结果已在线下处理，在“标记为线下处理”窗口记录“处理人”、“处理时间”和“处理结果”，可标记为“已线下处理”状态。 说明 由于SA中的检测结果汇聚了企业主机安全（Host Security Service，HSS）、Web应用防火墙（Web Application Firewall，WAF）等安全防护服务上报的告警数据，因此，处理检测结果时须注意以下顺序： 1. 需先在SA检测结果详情页面查看来源。 2. 前往来源服务进行优先处理。 3. 处理后再到SA中来标记结果处理状态。 例如，告警显示来源产品名称为HSS，则需在HSS控制台上进行处理后，再在SA中进行标记处理。 前提条件 已接收到安全产品的检测结果。 操作步骤 1. 登录管理控制台。 2. 在页面左上角单击，选择“安全 > 态势感知（专业版）”，进入态势感知管理页面。 3. 在左侧导航栏选择“检测结果”，进入全部结果管理页面。 4. 筛选检测结果。 5. 批量标记检测结果。 选择一个或多个“未处理”状态的结果，单击“忽略”或“标记为线下处理”，对不同检测结果批量执行相应的处理操作。 6. 单个标记检测结果。 在结果列表对应“操作”列，单击“忽略”或“标记为线下处理”，对单个检测结果执行相应处理操作。 在结果详情窗口，右下角单击“忽略”或“标记为线下处理”，对单个检测结果执行相应处理操作。

天翼云智能体引擎（Agent Engine）是一款面向企业级Agent的基础设施服务，为开发者和企业提供安全、弹性、可扩展的云端沙箱运行环境，助力 AI Agent 在多场景下稳定运行与规模化部署。 产品架构 产品功能 功能模块 说明 Agent运行时 负责管理智能体运行、会话和资源调度等核心能力的运行引擎/框架 Agent沙箱 提供安全隔离的云端沙箱运行环境，支持多种类型Agent执行和调用 Agent工具库 集中管理Agent执行需要的工具、模型及存量系统MCP服务，提升智能体的系统交互能力，支持快速集成与便捷调用 认证与权限 统一管理凭证机权限控制，保障调用链交互过程的安全性与合规性

场景说明 RocketMQ的修改实例的场景描述如下： 在使用RocketMQ时，可能会遇到需要修改实例的场景，例如： 业务变更：当业务需求发生变化，需要修改RocketMQ实例的名称以反映新的业务逻辑时，可以进行实例名称的修改。例如，当新增或调整了某个业务模块，需要将其对应的实例名称修改为更准确的名称，以便于管理和监控。 消息处理速度优化：当消息的处理速度较慢或不稳定时，可以通过调整消息保存时长参数来优化消息的处理效率。例如，可以缩短消息的保存时长，减少消息在系统中的停留时间，以提高消息的实时性和处理速度。 安全配置修改：当需要修改RocketMQ实例的安全配置时，可以进行相应的修改。 需要注意的是，在进行实例的修改时，应该谨慎操作，并根据实际需求和系统情况进行调整。同时，修改实例时应该遵循RocketMQ的最佳实践和建议，以确保系统的稳定性和性能。 操作步骤 1、 天翼云官网点击控制中心，选择产品分布式消息服务RocketMQ。 2、 登录分布式消息服务RocketMQ控制台，点击右上角地域选择对应资源池。 3、进入实例列表，在实例名称点击修改按钮，直接修改实例名称字段。 4、 点击【管理】按钮进入管理菜单。点击修改配置，在弹出窗口修改实例描述和消息保存时长等信息。 注意 实例描述长度限制为0~256个字符。 您可以调整消息保存时长参数，实现消息容量消耗的控制。安全生产和稳定性保障限制，消息需要至少保留24小时。 要完整支持延时消息的功能，消息需要至少保留48小时。 4、 点击修改安全组，选择变更用户安全组。

本章介绍如何在控制台创建副本集实例、以及创建后如何设置安全组、并通过内网连接副本集实例。 操作场景 本章介绍如何在控制台创建副本集实例、以及创建后如何设置安全组、并通过内网连接副本集实例。 使用流程 初次创建实例到可以开始使用实例，您需要完成如下操作： 内网访问数据库实例

本文介绍上传加速的应用场景及配置说明等。 什么是上传加速？ 随着自媒体时代的到来，用户上传图片、大文件、短视频的需求日益增长，传统CDN主要针对的是源站向客户端分发内容的加速，而用户上传的内容，往往都是纯动态内容，无法通过缓存的方式进行加速。 天翼云边缘安全加速平台提供了一种上传加速服务，针对用户上行传输数据全程加速。使用本方案后，用户请求自动被调度到最近的节点，节点接收到用户上传的数据后，通过如下技术将用户上传的内容快速上传到源站： 根据您的用户分布，天翼云全站加速产品可在全球各地选择最优的边缘节点供用户接入。 用户上传内容到边缘节点后，全站加速平台通过智能选路选出最优回源路径，快速地将用户上传的内容传输到源站或者云端。 应用场景 上传加速主要应用场景包括：图片上传、音视频上传、新闻素材和稿件上传等场景。 配置说明 1.登录边缘安全加速控制台，进入【安全与加速工作台】【CDN加速配置】，在域名列表中选中需要配置的域名。 2.单击【编辑配置】，找到【上传加速】配置模块。 配置参数说明： 参数名 配置值 说明 上传加速 开启/关闭 开启后将提供上传加速能力 注意 开放试用，开启后上传大小默认限制为: 300M ，建议叠加动态加速配置可使上传加速效果更佳。 配置界面：

新增白名单规则 白名单是在请求阶段将符合规则条件的请求跳过策略，当请求符合白名单配置的条件时，将不执行指定的策略。 1.登录API安全网关。 2.在左侧导航栏选择“策略管理 > 白名单”，进入白名单管理页面。 3.单击页面上方的“新增”按钮，即可开始新增白名单规则。 选项 说明 名称 自定义规则名称，不允许重复。 启用 默认启用，禁用后规则不生效。 规则描述 输入规则描述信息。 服务 默认选择全部，可指定一个服务。 API 默认选择全部，可指定多个API。 规则条件 内置条件 至少配置一项条件，每个条件至多添加一次。运算符支持：等于、不等于、正则匹配、正则匹配（不区分大小写） 客户端IP：匹配/不匹配客户端IP，支持IP和子网掩码格式； 请求URL：设置请求URL规则条件，如/get； 请求方法：设置请求方法条件，如GET、POST、PUT……； 请求体：设置请求体条件 HOST：设置HOST条件； UA：设置UA条件； Referer：设置Referer条件； 请求头 配置自定义请求头表达式，如：”ContentType”, ””, ”application/json”。 生效范围 安全规则：满足规则条件的请求不触发安全规则策略； 访问控制：满足规则条件的请求不触发访问控制策略； 动态脱敏：满足规则条件的请求不进行脱敏； 数据识别：满足规则条件的请求不触发敏感数据识别。 生效时间 可选择任意时间，以及每天、每周、每月指定时间，超出生效时间规则无效。 有效期 可选择永久有效、自定义时间。过期后规则不生效。 4.填写完成后，单击“提交”即可完成白名单规则新增。

参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 kafkalink Manager IP MRS Manager的浮动IP地址，可以单击输入框后的“选择”来选定已创建的MRS集群，CDM会自动填充下面的鉴权参数。 用户名 需要配置MRS Manager的用户名和密码。 如果要创建MRS安全集群的数据连接，不能使用admin用户。因为admin用户是默认的管理页面用户，这个用户无法作为安全集群的认证用户来使用。您可以创建一个新的MRS用户，然后在创建MRS数据连接时，“用户名”和“密码”填写为新建的MRS用户及其密码。 说明 如果CDM集群为2.9.0版本及之后版本，且MRS集群为3.1.0及之后版本，则所创建的用户至少需具备Managerviewer的角色权限才能在CDM创建连接；如果需要对MRS组件的库、表、列进行操作，还需要参考MRS文档添加对应组件的库、表、列操作权限。 如果CDM集群为2.9.0之前的版本，或MRS集群为3.1.0之前的版本，则所创建的用户需要具备Manageradministrator或Systemadministrator权限，才能在CDM创建连接。 仅具备Managertenant或Managerauditor权限，无法创建连接。 密码 访问MRS Manager的用户密码。 认证类型 访问MRS的认证类型： SIMPLE：非安全模式选择Simple鉴权。 KERBEROS：安全模式选择Kerberos鉴权。 是

本章节介绍了如何修改分布式消息服务RocketMQ实例的信息。 操作场景 购买RocketMQ实例成功后，您可以根据自己的业务情况对RocketMQ实例的部分参数进行调整，包括实例名称、企业项目、描述和安全组。 操作步骤 1. 登录分布式消息服务RocketMQ控制台。 2. 单击RocketMQ实例的名称，进入实例详情页面。 图1 实例详情 3. 以下参数支持修改。 o 实例名称 企业项目 o 描述 o 公网访问（公网访问的修改方法，请参考设置实例公网访问。） o 安全组 o ACL访问控制（2021年8月21号后购买的实例，才支持修改） 参数修改完成后，通过以下方式查看修改结果。 o 修改“公网访问”，系统跳转到“后台任务管理”页签，并显示当前任务的操作进度和结果。 o 修改“实例名称”、“描述”、“ACL访问控制”、“企业项目”和“安全组”后，右上角直接提示修改结果。

本文主要介绍 容器如何访问VPC内部网络。 前面章节介绍了使用Service和Ingress访问容器，本节将介绍如何从容器访问内部网络（ VPC内集群外 ），包括VPC内访问和跨VPC访问。 VPC内访问 根据集群容器网络模型不同，从容器访问内部网络有不同表现。 容器隧道网络 容器隧道网络在节点网络基础上通过隧道封装网络数据包，容器访问同VPC下其他资源时，只要节点能访问通，容器就能访问通。如果访问不通，需要确认对端资源的安全组配置是否能够允许容器所在节点访问。 VPC网络 VPC网络使用了VPC路由功能来转发容器的流量，容器网段与节点VPC不在同一个网段，容器访问同VPC下其他资源时， 需要对端资源的安全组能够允许容器网段访问 。 例如集群节点所在网段为192.168.10.0/24，容器网段为172.16.0.0/16。 VPC下（集群外）有一个地址为192.168.10.52的ECS，其安全组规则仅允许集群节点的IP网段访问。 此时如果从容器中ping 192.168.10.52，会发现无法ping通。 kubectl exec test016cbbf97b78krj6h it /bin/sh / ping 192.168.10.25 PING 192.168.10.25 (192.168.10.25): 56 data bytes ^C 192.168.10.25 ping statistics 104 packets transmitted, 0 packets received, 100% packet loss 在安全组放通容器网段172.16.0.0/16访问。 此时再从容器中ping 192.168.10.52，会发现可以ping通。 $ kubectl exec test016cbbf97b78krj6h it /bin/sh /

查看需紧急修复的漏洞 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“风险管理 > 漏洞扫描”，进入漏洞扫描页面。 3. 单击“需紧急修复的漏洞”下方的数字，页面下方漏洞列表将筛选出修复优先级为“高”，待处理的漏洞。 修复漏洞 注意 主机系统在进行漏洞修复过程中，无论修复成功或者失败，都有一定风险将导致应用业务中断，因此建议您在修复漏洞前为云主机手动创建快照并进行测试，快照支持系统回滚，可进行恢复。 执行漏洞修复前，请确认对应操作系统发行版的软件源已配置好（如 yum、zypper、aptget 或 emerge 等包管理工具对应的软件源）。 内核漏洞修复成功后，需要重启服务器使新内核生效。针对Linux软件漏洞、Windows系统漏洞，可根据漏洞公告前的标签进行判断，若有“需要重启”标签，表示漏洞修复成功后，还需要重启云服务器。 一键自动修复 注意 购买企业版或旗舰版后，才支持一键自动修复漏洞。 WebCMS漏洞、应用漏洞暂不支持一键修复，请手动修复相关漏洞。 当漏洞处理状态为“未修复”、“修复失败”时，可执行“修复”操作。 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“风险管理 > 漏洞扫描”，进入漏洞扫描页面。 3. 勾选漏洞列表中所有需要修复的漏洞，单击漏洞列表左上角的“批量修复”，一键批量修复漏洞。 4. 在修复对话框中，选择修复所需软件源、确认待修复的漏洞数量和影响资产数量。 软件源支持清华软件源、华为云软件源、阿里云软件源，也可以自配置软件源。若选择自配置软件源，请务必确认已在服务器上配置好对应操作系统发行版的软件源（如 yum、zypper、aptget 或 emerge 等包管理工具对应的软件源）。 您可以在修复对话框中查看漏洞公告、查看影响服务器数量。 5. 单击“确定”，开始自动修复漏洞。

云主机其它类问题 天翼云主机的默认grub密码是多少？ 默认grub没有密码。 服务器上安装Web服务，外网可以直接访问吗？ 如搭建的web服务使用的端口为80端口，需要在天翼云进行备案才可以访问。 any端口入方向是否需要开放？ 出方向any默认全部允许，这个必须要放通，不然主机无法上网，入方向只需要您放通您所需访问主机的端口即可，不建议放通any，放通any主机可能会有安全隐患。 香港节点主机能否访问外网，如谷歌，推特？ 可以访问外网。谷歌、推特可以访问。 使用云资源如何优化成本？ 相比自建数据中心，使用云资源时无须投入硬件、物理环境人力等成本，单位资源成本相对线性，所有资源按需取用，交付便利。除此之外，云资源支持多种付费模式，方便进一步优化成本。 针对使用云资源如何优化成本，我们给出以下建议： 追踪成本 从费用账单了解消费情况，追踪成本并确定如何优化；使用标签等功能分类资源，以便统计相应成本。 优化资源 首先，监控资源使用情况 ，监控资源利用率，评估当前配置是否过高。例如CPU、内存、云盘、带宽等资源的利用率。监控闲置的资源，避免浪费。例如升配但未挂载的云盘、未关联的弹性IP等。监控资源使用周期。如果长期使用按量付费实例、云盘等资源，考虑以更实惠的方式购买，例如包年包月、资源包等。监控资源生命周期，了解包年包月资源的到期日，及时续费。例如包年包月实例、存储容量单位包等。 其次，选择合适规格， 根据业务场景选择最佳性价比的实例规格，并调整合适的数量，在满足业务需求的同时追求高资源利用率，可参考选型最佳实践。 第三，组合付费模式 ，不同类型的业务对资源使用周期有不同要求。为每一类业务确定合适的付费模式，灵活组合达到最优效果。如业务负载稳定使用包年包月方式，业务负载动态变化使用按量付费方式。 树立节约意识 按需取用是云计算最大的一个特点，您可以将成本优化融入到日常工作中，如：定期盘点资源使用情况，明确闲置资源的通知和处置流程；定期和成本相关方（例如财务、研发等团队）评审预算执行情况，改进优化策略；按时续费，提前申请包周期预算，避免到期释放后重新购买部署增加额外成本。

接口功能介绍 创建单独付费云电脑或扣减资源包创建云电脑。 计算增强型云电脑功能请联系客户经理开通。 接口约束 无 URI POST /v3/ecs/create 路径参数 无 Query参数 参数 是否必填 参数类型 说明 示例 下级对象 regionId 是 String 资源池ID。 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 billMode 否 String 订购类型（仅创建单独付费计算增强型云电脑有效）。取值范围： Cycle：包周期。 cycleType 否 String 周期类型（仅创建单独付费云电脑有效）。取值范围： Month：按月。（仅订购类型为包周期类型有效） cycleCnt 否 Integer 周期数（仅创建单独付费云电脑有效）。取值范围： 136。（仅订购类型为包周期类型有效） resourcePackOid 否 String （仅创建资源包计算增强型云电脑有效）资源包ID osType 是 String 操作系统类型（Windows;Linux），XC型规格暂只支持Linux templateOid 是 String 规格模板ID imageOid 是 String 镜像ID subnetOid 是 String VPC子网ID useIpv6 否 Boolean 是否开启ipv6，true表示开启，false表示不开启，默认false，仅当子网开启ipv6后，此字段才有意义 securityGroupOid 是 String 安全组ID sysDiskType 是 String 系统盘类型（uhio超高IO） sysDiskSize 是 Integer 系统盘大小（单位：GB） 镜像系统盘大小（创建单独付费计算增强型云电脑，不支持自定义大小） [max{镜像系统盘大小,120},200]（创建资源包计算增强型云电脑，支持自定义大小） password 否 String 密码，字符数限制：[8,26]。（如需使用Windows不设置密码功能，请联系客户经理开通） 必须至少包含大小写英文字母、数字和特殊符号三类字符，特殊字符集合：~!@

本节主要介绍设置SSL数据加密 SSL（Secure Socket Layer，安全套接层），位于可靠的面向连接的网络层协议和应用层协议之间的一种协议层。SSL通过互相认证、使用数字签名确保完整性、使用加密确保私密性，以实现客户端和服务器之间的安全通讯。 认证用户和服务器，确保数据发送到正确的客户端和服务器。 加密数据以防止数据中途被窃取。 维护数据的完整性，确保数据在传输过程中不被改变。 SSL连接开启后，可以通过SSL方式连接实例，提高数据安全性。 使用须知 开启或关闭SSL会导致实例重启，请谨慎操作。 开启SSL，可以通过SSL方式连接数据库，具有更高的安全性。 目前已禁用不安全的加密算法，支持的安全加密算法对应的加密套件参考如下。 版本 支持的TLS版本 支持的加密算法套件 3.4 TLS 1.2 AES256GCMSHA384 AES128GCMSHA256 4.0 TLS 1.2 DHERSAAES256GCMSHA384 DHERSAAES128GCMSHA256 用户的客户端所在服务器需要支持对应的TLS版本以及对应的加密算法套件，否则会连接失败。 关闭SSL，可以采用非SSL方式连接数据库。 开启SSL连接 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上方的，选择区域和项目。 步骤 3 在页面左上角单击，选择“数据库 > 文档数据库服务 DDS”，进入文档数据库服务信息页面。 步骤 4 在“实例管理”页面，选择指定的数据库实例，单击实例名称。 步骤 5 在“基本信息”页面的“数据库信息”区域，单击SSL处的。 开启SSL 您也可以在左侧导航树，单击“连接管理”。在“基本信息”区域的“SSL”处，单击。 开启SSL安全连接 步骤 6 在弹出框中，单击“是”，开启SSL连接。 步骤 7 稍后可在“基本信息”区域，查看到SSL已开启。 SSL开启成功 步骤 8 SSL连接开启后，可以单击SSL处的，下载SSL证书，用于连接实例时使用。

本节介绍如何申请私有证书。 成功购买证书后，您需要申请证书，即为证书绑定域名或IP、填写证书申请人的详细信息并提交审核。所有信息通过审核后，证书颁发机构才签发证书。 前提条件 已成功购买私有（内网）证书并且在控制台的“证书状态”为“待申请”。如何购买私有（内网）证书请参考：购买私有（内网）证书。 准备工作 申请私有（内网）证书时，需要在人工验证阶段上传证书申请表，您可以提前下载私有（内网）证书申请表模版，申请表需经办人签字并加盖公章。 服务类型 证书版本 证书种类 加密标准 下载审核材料模板 私有（内网）证书 标准版 OV 国际标准、国密标准 私有（内网）证书申请表模版.xlsx 操作步骤 1. 登录“证书管理服务”控制台。 2. 在左侧导航栏选择“私有证书管理 > 私有证书列表”。 3. 选择待申请的证书，单击“操作”列的“证书申请”按钮，进行私有（内网）证书申请。 4. 在右侧弹出的窗口中填写证书申请的相关信息。 填写参数 参数说明 证书绑定域名 第一个域名将作为证书通用域名名称（不可修改）。 注意 在申请单域名规格证书时： 所填域名不含www时，填写主域名，系统赠送域名：www.主域名。 例如，填写ctyun.cn（主域名），系统赠送域名：www.ctyun.cn；填写二级及以上子域名，系统不赠送域名。 所填域名含www时，填写www域名，系统赠送上一级域名。 例如，填写www.a.ctyun.cn，系统赠送域名：a.ctyun.cn。 联系人 选择联系人，如何新建联系人请参考联系人管理章节。 公司 选择公司，如何新建公司请参考公司管理章节。 所在地 选择公司实际所在地区。（目前仅支持选择中国地区） 密钥算法 可选择“RSA”、“ECC”或“SM2”。（根据购买证书页面所选的加密标准选择） CSR生成方式 CSR是一个包含网站、服务、国家、组织、域名、公钥和签名的编码文件，用于从可信的证书颁发机构（CA）获取SSL证书。 支持“系统生成”或“手动生成”两种方式： 系统生成：根据用户所配置的信息，系统自动生成一个CSR。为保障您的证书顺利申请，建议您使用系统生成CSR的方式，避免因内容不正确而导致的审核失败。 手动生成：在下拉框中选择已手动创建的CSR，使用已创建的CSR申请证书。 注意 请不要在证书签发完成前删除CSR。 手动生成将无法署到天翼云产品。 5. 填写完后，单击“提交审核”，进入验证环节，根据页面提示填写证书申请表并上传。 6. 上传完成后，等待CA签发机构完成验证，若验证通过则可以在控制台下载私有（内网）证书。

本节主要介绍如何配置跨域资源共享。 OBS提供HTML5协议中的CORS设置，帮助用户实现跨域访问。 前提条件 已经配置了静态网站托管。 操作步骤 步骤 1 在桶列表单击待操作的桶，进入“对象”页面。 步骤 2 在左侧导航栏，单击“概览”，进入“概览”页面。 步骤 3 在桶概览信息展示区域“基础配置”下，单击“CORS规则”卡片，系统跳转至“CORS规则”界面。或您可以直接在左侧导航栏单击“访问权限控制>CORS规则”，进入“CORS规则”界面。 步骤 4 单击“创建”，系统弹出“创建CORS规则”对话框，如下图所示。 说明 一个桶最多可设置100条CORS规则。 步骤 5 在“CORS规则”中配置“允许的来源”、“允许的方法”、“允许的头域”、“补充头域”和“缓存时间”。 参数 说明 允许的来源 必选参数，指定允许的跨域请求的来源，即允许来自该域名下的请求访问该桶。允许多条匹配规则，以回车换行为间隔。每个匹配规则允许使用最多一个“”通配符。 例如： 允许的方法 必选参数，指定允许的跨域请求方法，即桶和对象的几种操作类型。包括：Get、Post、Put、Delete、Head。 允许的头域 可选参数，指定允许的跨域请求的头域。只有匹配上允许的头域中的配置，才被视为是合法的CORS请求。允许的头域可设置多个，多个头域之间换行隔开，每行最多可填写一个符号，不支持&、:、<、空格以及中文字符。 补充头域 可选参数，指CORS响应中带的补充头域，给客户端提供额外的信息。默认情况下浏览器只能访问以下头域：ContentLength、ContentType，如果需要访问其他头域，需要在补充头域中配置。补充头域可设置多个，多个头域之间换行隔开，不支持、&、:、<、空格以及中文字符。 缓存时间 必选参数，请求来源的客户端可以缓存的CORS响应时间，以秒为单位，默认为100秒。 步骤 6 单击“确定”。 “CORS规则”页签显示“创建CORS规则成功”提示创建桶的CORS配置成功。CORS配置会在两分钟内生效。 CORS配置成功后，便仅允许跨域请求来源的地址通过允许的方法访问OBS的桶。例如：为桶“testbucket”允许的来源配置为“

查询分析结果可以通过饼图形式进行展示。 饼图用于表示不同分类的占比情况，通过弧度大小来对比各种分类。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计 > 安全数据”，进入安全分析页面。 5. 在左侧数据空间导航栏中，单击数据空间名称，展开数据管道列后，再单击管道名称，右侧将显示管道数据的检索页面。 6. 输入查询分析语句，设置时间范围，并单击“查询分析”。 7. 选择“图表统计”页签，并在图表统计页面右侧的“图表类型”中单击。 8. 配置饼图参数。 参数类别 参数名称 参数说明 基本配置 标题 自定义线图标题名称。 图表配置 分类 数据分类。 图表配置 数列值 分类数据对应的数值。 图例配置 显示图例 确认是否显示图例。 图例配置 图例位置 开启显示图例时须配置。 图例在图表中的位置，可以配置为上、下、左和右。 图表设置完成后，左侧可预览配置后的数据分析情况。

本文主要介绍了用户设置默认资源池或取消设置的方法。 用户可通过“账号中心安全设置”页面设置首次进入控制台所选中的资源池。 默认资源池设置 操作步骤 1、登录天翼云官网，在首页点击“我的账号中心”，进入“安全设置”页面，点击“默认资源池”右侧的“马上设置”按键。 2、可通过首字母分类快速找到资源池，点击对应的“资源池”，并在弹窗提醒界面点击“确定”，即可设置成功。在设置成功的资源池名称左侧，将显示“默认资源池”字样。 说明 用户若想修改默认资源池，可通过选择其他资源池，并点击资源池名称右侧的“设为默认”，即可完成默认资源池的修改。 3、默认资源池设置成功后，用户进入控制台时优先跳转至所设置的资源池，方便用户快捷管理资源。 修改默认资源池设置 操作步骤 1、登录天翼云官网，在首页点击“我的账号中心”，进入“安全设置”页面，点击“默认资源池”右侧的“立即修改”按键。 2、通过首字母分类快速找到新资源池，点击对应的“资源池”，并在弹窗提醒界面点击“确定”，即可设置成功。

autovacuumworkmem (integer) 指定每个自动清理工作者进程能使用的最大内存量。其默认值为1，表示转而使用 maintenanceworkmem的值。当运行在其他上下文环境中时，这个设置对VACUUM的行为没有影响。 maxstackdepth (integer) 指定服务器的执行堆栈的最大安全深度。这个参数的理想设置是由内核强制的实际栈尺寸限制（ulimit s所设置的或者本地等价物），减去大约一兆字节的安全边缘。需要这个安全边缘是因为在服务器中并非所有例程都检查栈深度，只是在关键的可能递规的例程（例如表达式计算）中才进行检查。默认设置是两兆字节（2MB），这个值相对比较小并且不可能导致崩溃。但是，这个值可能太小了，以至于无法执行复杂的函数。只有超级用户可以修改这个设置。把maxstackdepth参数设置得高于实际的内核限制将意味着一个失控的递归函数可能会导致一个独立的后端进程崩溃。 在TeleDB能够检测内核限制的平台上，服务器将不允许把这个参数设置为一个不安全的值。不过，并非所有平台都能提供该信息，所以我们还是建议你在选择值时要小心。 dynamicsharedmemorytype (enum) 指定服务器应该使用的动态共享内存实现。可能的值是posix（用于使用 shmopen分配的 POSIX 共享内存）、sysv （用于通过shmget分配的 System V 共享内存）、 windows（用于 Windows 共享内存）、mmap （使用存储在数据目录中的内存映射文件模拟共享内存）以及none（禁用 这个特性）。并非所有平台上都支持所有值，平台上第一个支持的选项就是其默认值。 在任何平台上mmap选项都不是默认值，通常不鼓励使用它，因为操作系统会 反复地把修改过的页面写回到磁盘上，从而增加了系统的I/O负载。不过当 pgdynshmem目录被存储在一个 RAM 盘时或者没有其他共享内存功能可用时， 它还是有用的。

本小节介绍数据库安全购买类常见问题。 购买实例时如何选择“子网”？ 需要选择与数据库同一VPC的子网。 购买实例时为何要选择VPC？ 对于非云上的数据库，Agent和DBSS实例之间的网络需要通过VPC互通。DBSS实例的VPC和安装Agent的节点如果在不同VPC，将导致无法审计。 同一区域可以多少个数据库安全审计实例？ 基础版：最多支持3个数据库实例。 专业版：最多支持6个数据库实例。 高级版：最多支持30个数据库实例。 在专属云上购买数据库安全服务会消耗专属云上的资源吗？ 当您在专属云上购买数据库安全服务时，DBSS将消耗您在专属云上的计算资源，消耗的资源说明如表所示。 如果您不希望DBSS消耗专属云资源，请在公有云上购买DBSS。 版本 消耗资源 基础版 vCPU：4核 内存：16GB 硬盘：560GB 专业版 vCPU：8核 内存：32GB 硬盘：1084GB 高级版 vCPU：16核 内存：64GB 硬盘：2108GB 哪些区域可以使用数据库安全服务？ 目前数据库安全服务主要集中在天翼云二类节点，主要区域包含如下： 购买实例时提示资源售罄时如何处理？ 当您在购买数据库安全服务时，界面提示资源售罄，请您单击管理控制台左上角的区域按钮选择其他区域后购买或提交工单。

本小节介绍服务器安全卫士报表系统。 报表系统帮助用户进行各类数据的报表导出，对报表文件进行管理。 目前有： 安全巡检报表word 版 安全巡检报表Html 合规基线报表 各类报表操作类似，下面以安全巡检报表word 为例进行介绍。 1.创建报表 单击“创建报表”按钮，进入创建报表页面。 1）选择报表模板 鼠标悬停在模板上，出现“查看”按钮，点击查看可以查看该模板的简介和预览图。 2）选择报表范围 不同报表模板对应的报表范围的条件不一样，根据具体的模板选定报表范围。 3）填写报表信息 填写报表的名称，描述，以及设定定时执行表达式。其中由于报表文件名在本地的限制，故报表名称不支持特殊字符。 4）创建成功 报表创建成功后，可返回首页的报表列表，也可以执行刚刚创建的报表作业。 2.执行报表 在报表列表页面，选择某一个报表作业，点击后边的“执行”按钮后，开始执行该报表作业。 3.下载报表 执行报表作业后，点击操作的“下载报表”按钮，可以下载最近一次生成的报表。

本页面主要介绍MySQL社区版本及关系数据库MySQL版本的生命周期。 说明 内核版本到期后，仅影响内核小版本的更新，不影响实例的新购和使用，版本新购等问题请关注并以对应公告为准。 天翼云关系数据库MySQL版在MySQL社区版本生命周期的基础上，延长了支持时间。在延长期内，天翼云会持续发布新的版本，新版本仅限于对严重影响实例安全和稳定性的问题进行修复。由于MySQL社区对安全类问题采取了保密处理，天翼云无法承诺修复所有严重的安全和稳定性问题。 延长支持时间的主要目的是为用户升级MySQL大版本提供更充裕的时间。在延长支持期间，我们仍建议用户升级大版本，以确保获得更全面的功能和安全保障。有关升级大版本的操作方法，请参见“升级数据库版本”。 MySQL社区主要大版本的生命周期时间以及MySQL的生命周期时间如下表所示。 说明 下表中的部分时间为预计时间，将会在生命周期结束或MySQL停止支持前进行修正，具体请以实际时间为准。 数据库大版本 社区发布时间 社区生命周期结束时间 停止支持时间 MySQL 5.7 2015年10月21日 2023年10月21日 预计2028年12月31日 MySQL 8.0 2018年04月19日 预计2026年04月 未定

安全分析中的索引是一种存储结构，用于对日志数据中的一列或多列进行排序。不同的索引配置，将会产生不同的查询和分析结果，请根据您的需求合理配置索引。 如果您需要使用分析功能，必须配置字段索引。配置字段索引后，您可以指定字段名称和字段值（Key:Value）进行查询，缩小查询范围。例如查询语句level:error，表示查询level字段值包含error的日志。 前提条件 已完成数据接入，详细操作请参见数据集成。 配置字段索引 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计 > 安全数据”，进入安全分析页面。 5. 在左侧数据空间导航栏中，单击数据空间名称，展开数据管道列后，再单击管道名称，右侧将显示管道数据的检索页面。 6. 在数据管道检索页面，单击右上角“索引配置”，页面右侧展示索引配置页面。 7. 在索引配置页面中，配置索引参数。 1. 开启索引状态。 索引状态默认开启，索引状态关闭时，将无法索引和查询采集到的日志。 2. 配置索引参数，参数配置说明如下表所示。 参数名称 参数说明 字段名称 日志字段名称（key）。 字段类型 日志字段值（value）的数据类型，可选值为text、keyword、long、integer、double、float、date和json。 包含中文 查询时是否区分中英文。当字段类型选择“text”时，需要设置该参数。 开启开关后，如果日志中包含中文，则按照中文语法拆分中文内容，按照分词符配置拆分英文内容。 关闭开关后，按照分词符配置拆分所有内容。 示例：日志内容为：user:WAF日志用户张三。 关闭“包含中文”开关后，按照分词符半角冒号（:）进行拆分，日志会被拆分为user、WAF日志用户张三，您可以通过user或WAF日志用户张先生查找该日志。 开启“包含中文”开关后，日志服务后台分词器将日志拆分为user、WAF、日志、用户和张三，您通过日志或张先生等词都可以查找到该日志。 8. 单击“确定”。

本章节主要介绍翼MR Manager的租户与资源特性。 翼MR Manager提供的租户与资源主要包含：LDAP租户管理、Kerberos安全凭证、YARN队列管理、HBase数据库管理。 前置操作 使用租户与管理功能，需要进入Manager页面，操作步骤如下： 1. 登录翼MR管理控制台。 2. 单击“我的集群”，单击指定的集群名称，进入集群信息页面。 3. 单击“翼MR Manager”tab，单击“前往翼MR Manager”。 租户与资源功能介绍 LDAP租户管理 进入到翼MR Manager以后，点击菜单“租户与资源 > LDAP租户管理”，进入LDAP租户管理页面。如图所示： 支持查看LDAP中的租户和租户组。 支持新增租户、租户组。 支持为租户关联租户组、租户组关联租户以及取消关联关系。 支持以租户为维度的Principal管理以及Keytab的分发。 Kerberos安全凭证 进入到翼MR Manager以后，点击菜单“租户与资源 > Kerberos安全凭证”，进入Kerberos安全凭证页面。如图所示： 支持新建Principal、删除Principal。 支持Keytab分发与下载，并支持查看Keytab的分发记录。 YARN队列管理 进入到翼MR Manager以后，点击菜单“租户与资源 > YARN队列管理”，进入YARN队列管理页面。如图所示: 支持YARN队列新建、编辑与删除。 支持YARN队列启动与停止。 支持YARN队列容量设置和YARN队列授权。 支持YARN队列capacityscheduler.xml的全局属性配置。 支持YARN队列的同步生效并支持查看同步生效记录。

本文主要介绍了密码修改的常规方式。 用户可通过“账号中心安全设置”页面修改登录密码。 操作步骤 1、登录天翼云官网，在首页点击“我的个人中心”进入账号中心的“安全设置”页面，在基本设置 登录密码右侧点击“立即修改“。 2、选择修改方式。可选择“通过短信验证码修改”或“通过邮箱验证码修改”。 注意 若邮箱未验证，选择“通过邮箱验证码修改”后需要先进行邮箱验证。 3、填写验证码后，设置新密码。填写验证码后，根据提示填写新密码，确认密码后点击“提交”即可完成密码修改。 说明 若以上方式均不可用，可拨打客服热线获取帮助。客服热线 4008109889

本文介绍插件管理相关概念。 态势感知（专业版）支持将安全编排流程中使用的插件进行统一管理。 名词解释 插件 ：是包含函数、连接器、公共库的聚合。插件有自定义插件和商业插件两种类型，其中，自定义的插件可以在集市中显示，也可以在剧本中使用。 插件集 ：是具有相同业务场景的插件集合。 函数 ：是可以在剧本中选用的执行函数，在剧本中执行特定的行为。 连接器 ：是用于连接数据源，将告警、事件等安全数据接入态势感知（专业版），包括事件触发和定时触发两种连接器类型。 公共库 ：是一个公共模块，包含在其他组件中会使用到的API调用和公共函数。

本节将介绍如何创建快速查询。 操作场景 快速查询为态势感知（专业版）提供的用于保存查询分析操作的功能。您可以将某个常用的查询分析语句另存为快速查询，以便后续直接使用，快速执行查询分析操作。 前提条件 已配置索引，详细操作请参见配置索引。 创建快速查询 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“威胁管理> 安全分析”，进入安全分析页面。 5. 在左侧数据空间导航栏中，单击数据空间名称，展开数据管道列后，再单击管道名称，右侧将显示管道数据的检索页面。 6. 输入查询分析语句，设置时间范围，并单击“查询分析”。 更多查询分析详细操作请参见查询与分析。 7. 单击页面右上角“保存为快速查询”，在右侧页面中配置查询参数。 参数名称 参数说明 查询名称 设置快速查询的名称。 查询语句 系统自动生成上一步骤中输入的查询语句。 8. 单击“确定”。 创建快速查询后，您可以在管道数据的查询分析页面中，单击快速查询搜索框中的，并选择目标快速查询名称，即可使用快速查询。

本章主要介绍翼MapReduce的安全声明功能。 JDK使用声明 MRS是一个大数据集群，为用户提供分布式的数据分析计算能力。本产品自带的JDK为OpenJDK，主要使用场景如下： 平台服务运行及维护使用。 Linux客户端运行时使用（主要为业务提交、应用运维等）。 JDK风险说明 系统对自带的JDK进行了权限控制，只有属于FusionInsight平台相关群组的用户才有权限访问，且平台部署在客户内网，安全风险较低。 JDK加固 JDK加固相关操作请参考加固策略的“加固JDK”部分。 Hue组件包含公网IP的说明 Hue组件使用的ipadrress，requests，Django等第三方包的测试用例及其注释包含的公网IP，组件在提供服务时不涉及这些IP，Hue组件的配置文件中不涉及公网IP。

本小节介绍漏洞扫描购买方法。 前提条件 已经注册天翼云账号并完成实名认证。 操作步骤 1. 登录天翼云官网。 2. 选择“产品 > 安全及管理 > 安全服务 > 漏洞扫描”。 3. 进入漏洞扫描产品详情页面，点击“立即订购”进入购买页面。 4. 进入漏洞扫描订购页面，根据需求选择规格 及订购数量，点击“立即购买”即可。