本节提供智能边缘云产品服务协议查看链接。 智能边缘云产品服务协议详情请参见[]( 智能边缘云产品服务等级协议（SLA），请参见这里。

此小节介绍天翼云数据库安全服务协议 天翼云数据库安全服务协议

本小节介绍证书管理服务权限管理。 如果您需要对天翼云上购买的证书管理服务（CCMS）资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制天翼云资源的访问。 通过IAM，您可以在天翼云帐号中给员工创建IAM用户，并使用策略来控制他们对天翼云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有证书管理服务（CCMS）的使用权限，但是不希望他们拥有删除CCMS等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用CCMS，但是不允许删除CCMS的权限策略，控制他们对天翼云CCMS资源的使用范围。 如果天翼云帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用CCMS服务的其它功能。IAM是天翼云提供权限管理的基础服务，无需付费即可使用，您只需要为您帐号中的资源进行付费。关于IAM的详细介绍，请参见《IAM产品介绍》。 CCMS权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组/用户授予策略或角色，才能使得用户组/用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 CCMS部署时不区分物理区域，为全局级服务。授权时，在全局项目中设置权限，访问CCMS时，不需要切换区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于天翼云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM提供的一种细粒度授权的能力，可以具体到服务的操作。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对CCMS服务，管理员能够控制IAM用户仅能对CCMS进行指定的管理操作。 如下表所示，包括了CCMS所有系统角色。 角色名称/策略名称 描述 类别 依赖关系 ccms admin SSL证书管理服务管理员权限，拥有服务的所有权限。 系统策略 购买证书需要依赖bss admin策略、mkt admin策略。 bss admin策略：系统策略，订单费用中心（BSS）管理员，拥有该服务下的所有权限。 mkt admin策略：系统策略，营服中心管理员，拥有该服务下的所有权限。 ccms viewer SSL证书管理服务只读权限，拥有该权限的用户仅能查询证书信息，不具备对证书、csr、联系人、公司进行增删改权限。 系统策略 无 说明 如需购买SSL证书，账号除了必须拥有“ccms admin”之外，还需要拥有“bss admin”权限和“mkt admin”权限。

短信服务支持基于Restful的POST方式发送HTTP/HTTPS请求。请求参数需要包含在Body中，请求及返回结果都使用 UTF8 编码。 短信发送流程 1. 在控制台中添加签名、模板并经审核通过。 2. 调用短信服务的短信发送接口。 3. 短信服务成功收到请求后转发请求给运营商，运营商发送短信。 4. 用户收到短信后，短信服务会有最终的状态消息确认，即消息回执。 对应的协议是： 1. 支持HTTP或HTTPS协议请求通信。为了获得更高的安全性，推荐您使用HTTPS协议发送请求。 2. 发送API采用Rest协议，其中签名算法使用了天翼云的EOP协议。 3. 发送后的消息回执采用Restful的方式异步通知给客户。 服务地址 调用API的服务地址为 请注意，本系统所接口响应类的时间格式均为RFC3339标准，请按照标准进行解析。

本页为您介绍WPS云文档天翼云版的应用场景 多部门 50 人以上，使用场景复杂，数据交互性强，有强存储、强管理需求，人员流动性也会影响客户对于“企业数据安全”的重视。举例：多部门的文件分级管理需求；文档管理权限与组织架构打通；离职员工文档 交接。 单一部门 50 人以下，使用场景鲜明、单一，根据部门/团队属性挖掘使用场景，重点输出产品的企业级价值。举例：财务部门数据处理高频且大量。对效率、安全十分重视。 部门文件共享 对部门团队及部门文档编辑、上传、共享，可实现共享查看、文件夹策略授权。 多地协作、多部门协作 针对多地办公、多部门协作，可通过文档在线协同编辑，满足高响应、保持同步的需求。 上下游单位文件往来 针对上下游单位大量文件往来，可通过团队共享、权限控制，既能保障文档快速共享，又能实现文档安全可控。 高频类文档快速处理 对部门的日报、周报类、记录、汇报、会议纪要、工作汇报等高频处理文档，通过文档的协同编辑、在线汇总、云端保存、外链分享的方式，进行快速处理，及时方便领导查看及处理。 备份所有文档 针对勒索病毒、实现个人及部门文档批量上传备份同步，并通过文档增量备份,实现冗余文档梳理，有效文档存储空间 10:1 压缩。 文档安全管控 针对安全文件设置的繁琐密码难以记住的问题，通过文档账号加密和文档权限管控有效解决，不用记繁多的密码。

事件监控提供了事件类型数据上报、查询和告警的功能。方便您将业务中的各类重要事件或对云资源的操作事件收集到云监控，并在事件发生时进行告警。 事件即云监控保存并监控的云服务资源的关键操作。您可以通过“事件”了解到谁在什么时间对系统哪些资源做了什么操作，如删除虚拟机、重启虚拟机等。 事件监控默认开通，您可以在事件监控中查看系统事件和自定义事件的监控详情，目前支持的系统事件请参见事件监控支持的事件说明。 事件监控为您提供上报自定义事件的接口，方便您将业务产生的异常事件或重要变更事件采集上报到云监控服务。 查看事件监控图表 1. 登录管理控制台。 2. 单击“服务列表 > 云监控服务”。 3. 单击左侧导航栏的“事件监控”，进入“事件监控”页面。 4. 在“事件监控”页面，默认展示近24小时的所有系统事件与自定义事件。 5. 单击具体事件右侧的操作列的“查看监控图表”，可查看具体事件的监控图表。 创建告警规则 1. 登录管理控制台。 2. 单击“服务列表 > 云监控服务”。 3. 单击左侧导航栏的“事件监控”，进入“事件监控”页面。 4. 在事件列表页面，单击相应事件所在行的创建告警规则，进入创建告警规则页面。 5. 根据界面提示，配置告警规则名称、告警策略、告警通知等。 告警规则创建完成后，当事件监控指标触发设定的告警策略时，云监控服务会在第一时间通过您设置的通知方式告知您云上资源异常，以免因此造成业务损失。

操作场景 负载均衡( LoadBalancer )可以通过弹性负载均衡从公网访问到工作负载，与弹性IP方式相比提供了高可靠的保障，一般用于系统中需要暴露到公网的服务。 负载均衡访问方式由公网弹性负载均衡ELB服务地址以及设置的访问端口组成，例如“10.117.117.117:80”。 约束与限制 CCE中的负载均衡 ( LoadBalancer )访问类型使用弹性负载均衡 ELB提供网络访问，存在如下产品约束： − 自动创建的ELB实例建议不要被其他资源使用，否则会在删除时被占用，导致资源残留。 − 正在使用的ELB实例请不要修改监听器名称，否则可能导致无法正常访问。 创建service后，如果服务亲和从集群级别切换为节点级别，连接跟踪表将不会被清理，建议用户创建service后不要修改服务亲和属性，如需修改请重新创建servcie。 容器内不支持访问externalTrafficPolicy为local的service。 工作负载创建时设置 可以在创建工作负载时通过CCE控制台设置Service访问方式，本节以nginx为例进行说明。 步骤 1 参考创建无状态负载(Deployment)、创建有状态负载(StatefulSet)或创建守护进程集(DaemonSet)，在“工作负载访问设置”步骤，单击“添加服务”。 访问类型：选择“负载均衡 ( LoadBalancer )”。 Service 名称：自定义服务名称，可与工作负载名称保持一致。 服务亲和： − 集群级别：集群下所有节点的IP+访问端口均可以访问到此服务关联的负载，服务访问会因路由跳转导致一定性能损失，且无法获取到客户端源IP。 − 节点级别：只有通过负载所在节点的IP+访问端口才可以访问此服务关联的负载，服务访问没有因路由跳转导致的性能损失，且可以获取到客户端源IP。 负载均衡配置： 负载均衡：请根据业务需求选择。 根据业务需求选择“公网”或“私网”，详情请参见。 − 公网：支持自动创建和使用已有负载均衡实例两种方式。 − 私网：支持自动创建和使用已有负载均衡实例两种方式。 负载均衡实例需与当前集群处于相同VPC且为相同公网或私网类型。 − 规格配置：选择“公网 > 自动创建”时显示此配置项，单击可修改负载均衡实例的名称、规格、计费模式和带宽。 − 健康检查：默认开启。请根据界面提示进行配置，部分参数可参考设置容器健康检查。 端口配置： − 协议：请根据业务的协议类型选择。 − 容器端口：容器镜像中工作负载实际监听端口，需用户确定。nginx程序实际监听的端口为80。 − 访问端口：容器端口最终映射到负载均衡服务地址的端口，用负载均衡服务地址访问工作负载时使用，端口范围为165535，可任意指定。 步骤 2 完成配置后，直接单击“确定”。 步骤 3 单击“下一步：高级配置”进入高级设置页面，直接单击“创建”。 步骤 4 创建成功后，单击“工作负载 > 无状态负载 Deployment”或“工作负载 > 有状态负载 StatefulSet”，在工作负载列表页面，单击“工作负载名称”进入工作负载详情页，在“访问方式”页签下，即可获取方式地址。 步骤 5 单击访问地址，即可跳转到访问页面。 工作负载创建完成后设置 您可以在工作负载创建完成后对Service进行配置，此配置对工作负载状态无影响，且实时生效。具体操作如下： 步骤 1 登录CCE控制台，在左侧导航栏中选择“工作负载 > 无状态负载 Deployment”或“工作负载 > 有状态负载 StatefulSet”，在工作负载列表页单击要设置Service的工作负载名称。 步骤 2 在“Service”页签，单击“添加Service”。 步骤 3 在“添加service”页面，访问类型选择“负载均衡 ( LoadBalancer )”。 步骤 4 设置负载均衡参数。 Service 名称：自定义服务名称，可与工作负载名称保持一致。 集群名称：工作负载所在集群的名称，此处不可修改。 命名空间：工作负载所在命名空间，此处不可修改。 关联工作负载：要添加Service的工作负载，此处不可修改。 服务亲和： − 集群级别：集群下所有节点的IP+访问端口均可以访问到此服务关联的负载，服务访问会因路由跳转导致一定性能损失，且无法获取到客户端源IP。 − 节点级别：只有通过负载所在节点的IP+访问端口才可以访问此服务关联的负载，服务访问没有因路由跳转导致的性能损失，且可以获取到客户端源IP。 负载均衡配置： 负载均衡：根据业务需求选择“公网”或“私网”。 − 公网：支持自动创建和使用已有负载均衡实例两种方式。 − 私网：支持自动创建和使用已有负载均衡实例两种方式。 负载均衡实例需与当前集群处于相同VPC且为相同公网或私网类型。 − 规格配置：选择“公网 > 自动创建”时显示此配置项，可修改负载均衡实例的名称、规格、计费模式和带宽。 − 健康检查：默认开启。请根据界面提示进行配置，部分参数可参考设置容器健康检查。 端口配置： − 协议：请根据业务的协议类型选择。 − 容器端口：容器镜像中工作负载程序实际监听的端口，需用户确定。nginx程序实际监听的端口为80。 − 访问端口：容器端口最终映射到负载均衡服务地址的端口，用负载均衡服务地址访问工作负载时使用，端口范围为165535，可任意指定。 步骤 5 单击“创建”。工作负载已添加“负载均衡 ( LoadBalancer )”的服务。 更新Service 您可以在添加完Service后，更新此Service的端口配置。操作如下： 步骤 1 登录CCE控制台，在左侧导航栏中选择“资源管理 > 网络管理”，在Service页签下，选择对应的集群和命名空间，单击需要更新端口配置的Service的“更新”。 步骤 2 在“更新Service”页面，访问类型选择“负载均衡 ( LoadBalancer )”。 步骤 3 更新负载均衡参数： Service 名称：您创建的Service名称，此处不可修改。 集群名称：工作负载所在集群的名称，更新时此处不可修改。 命名空间：工作负载所在命名空间，更新时此处不可修改。 关联工作负载：要添加Service的工作负载，更新时此处不可修改。 服务亲和： − 集群级别：集群下所有节点的IP+访问端口均可以访问到此服务关联的负载，服务访问会因路由跳转导致一定性能损失，且无法获取到客户端源IP。 − 节点级别：只有通过负载所在节点的IP+访问端口才可以访问此服务关联的负载，服务访问没有因路由跳转导致的性能损失，且可以获取到客户端源IP。 负载均衡配置： 负载均衡：更新时公网/私网在此处不可修改，但可以选择集群所在VPC下的其他负载均衡实例。 负载均衡实例需与当前集群处于相同VPC且为相同公网或私网类型。 − 健康检查：默认开启。请根据界面提示进行配置，部分参数请参考设置容器健康检查。 端口配置： − 协议：请根据业务的协议类型选择。 − 容器端口：容器镜像中工作负载程序实际监听的端口，需用户确定。nginx程序实际监听的端口为80。 − 访问端口：容器端口最终映射到负载均衡服务地址的端口，用负载均衡服务地址访问工作负载时使用，端口范围为165535，可任意指定。 步骤 4 单击“更新”。工作负载已更新Service。

进阶排查 Jedis连接池报错 出现Read timed out 或Could not get a resource from the pool 排查是否使用了keys命令，keys命令会消耗大量资源，造成Redis阻塞。建议使用scan命令替代，且避免频繁执行。 使用短连接访问Redis出现“Cannot assign requested address”错误 问题描述 应用程序通过短连接访问Redis实例时，报错：Cannot assign requested address。 问题分析 出现这种错误的应用程序使用的架构基本都是phpfpm加上phpredis，这种架构在并发量较大的情况下，处于TIMEWAIT状态下的TCP连接数较多，客户端无法分配出新的端口，则会出现“Cannot assign requested address”问题。 处理方案 方案一：使用pconnect替换connect。 此方案的思路是用长连接替代短连接，减少TCP连接，同时可以避免每次请求都会重新建立连接的问题，减少延时。 之前连接Redis的代码如下： $redis>connect('${Hostname}',${Port}); $redis>auth('${InstPassword}'); 现使用pconnect替换connect，即使用persistent connection的方式连接。 $redis>pconnect('${Hostname}', ${Port}, 0, NULL, 0, 0, ['auth' > ['${InstPassword}']]); 说明 示例中的连接参数请根据业务实现情况修改，${Hostname}、${Port}和${InstPassword}为Redis实例的连接地址、端口号和密码。 PhpRedis应为5.3.0及以上版本，且建议使用这种pconnect初始化方式，避免断连时出现no auth问题。 方案二：修改客户端所在ECS实例的tcpmaxtwbuckets内核参数。 此方案的思路是直接复用处于TIMEWAIT状态的端口，但是如果ECS和后端服务之间有重传，连接可能会失败，所以建议使用pconnect的方案。 a. 连接客户端所在ECS实例。 b. 执行以下命令，查看iplocalportrange和tcpmaxtwbuckets参数。 sysctl net.ipv4.tcpmaxtwbuckets net.ipv4.iplocalportrange 系统显示类似如下： net.ipv4.tcpmaxtwbuckets 262144 net.ipv4.iplocalportrange 32768 61000 c. 执行以下命令，修改tcpmaxtwbuckets参数，确保tcpmaxtwbuckets的值比iplocalportrange范围的值小。 sysctl w net.ipv4.tcpmaxtwbuckets10000 一般情况推荐使用方案一，对于一些特定场景（业务代码牵涉过多组件不易变更等场景），需要更快的满足高并发，可以使用方案二

针对长期未得到处理的告警，可通过升级通知机制督促相关负责人尽快处置。在通知策略中配置升级策略后，系统将按照预设的通知渠道向相关处理人员推送告警信息，从而提醒其及时开展故障排查与问题解决工作。 前提条件 已创建通知对象。具体操作，请参见【通知对象】。 新建升级策略 1. 登录【应用性能监控控制台】，在左侧导航栏选择告警管理 > 升级策略。 2. 在升级策略 页面单击创建升级策略。 3. 在右侧区域顶部文本框中输入升级策略名称。 4. 在升级规则区域，设置通知条件，即当告警在一段时间内未被认领或未被解决时发送告警通知。例如：当告警10分钟未认领时发送升级通知。 参数 说明 通知对象 选择通知对象。 联系人：选择具体联系人后还需选择使用电话、短信或邮件的通知方式。 联系人组：选择具体联系人组后还需选择使用电话、短信或邮件的通知方式。 钉钉/飞书/企微：通过钉钉、飞书或企业微信发送告警通知。 Webhook：通过Webhook发送告警通知。 通知时段 满足通知条件的告警会在设置的通知时段内发送告警通知。 重复次数 重复发送告警通知的次数。当告警不满足通知条件后，告警通知将不再发送。 4. 单击+添加规则，可以新增一条升级规则。 5. 设置完成后，单击保存。

针对长期未得到处理的告警，可通过升级通知机制督促相关负责人尽快处置。在通知策略中配置升级策略后，系统将按照预设的通知渠道向相关处理人员推送告警信息，从而提醒其及时开展故障排查与问题解决工作。 前提条件 已创建通知对象。具体操作，请参见【通知对象】。 新建升级策略 1. 登录【应用性能监控控制台】，在左侧导航栏选择告警管理 > 升级策略。 2. 在升级策略 页面单击创建升级策略。 3. 在右侧区域顶部文本框中输入升级策略名称。 4. 在升级规则区域，设置通知条件，即当告警在一段时间内未被认领或未被解决时发送告警通知。例如：当告警10分钟未认领时发送升级通知。 参数 说明 通知对象 选择通知对象。 联系人：选择具体联系人后还需选择使用电话、短信或邮件的通知方式。 联系人组：选择具体联系人组后还需选择使用电话、短信或邮件的通知方式。 钉钉/飞书/企微：通过钉钉、飞书或企业微信发送告警通知。 Webhook：通过Webhook发送告警通知。 通知时段 满足通知条件的告警会在设置的通知时段内发送告警通知。 重复次数 重复发送告警通知的次数。当告警不满足通知条件后，告警通知将不再发送。 4. 单击+添加规则，可以新增一条升级规则。 5. 设置完成后，单击保存。

本文为您介绍容器安全卫士的应用场景，包括镜像安全防护和容器安全防护。 镜像安全防护 采用容器技术后，业务容器基于镜像启动。如何在业务上线前提前感知镜像安全风险，保障安全上线变得尤为重要。 方案优势 兼容性强：兼容市面主流镜像仓库，以及主流操作系统，包括国产化欧拉、麒麟等国产镜像OS。 检测全面：基于多漏洞源以及病毒库，深入检测软件成分、漏洞、恶意文件、软件许可、敏感信息等安全风险。 风险阻断：针对风险镜像，可基于特权启动、漏洞、软件、文件、环境变量等多维度阻止其上线运行。 场景示意图 容器安全防护 容器内承载的即是业务进程，一旦容器被攻陷，或基于业务逻辑攻击进入容器，都将面临不可预估的风险，所以在享受容器带来便利的同时，也要加强关注容器及业务的安全性。 方案优势 覆盖ATT&CK全阶段：提供业务命令执行、文件读写、网络活动、主机风险等多个维度的安全检测策略，且可自定义。覆盖ATT&CK各个阶段，确保风险及时发现。 资产/风险联动性强：通过任一资产，都可查看其关联的其他资产，在发现风险时，也会提供攻击链条及详尽的关联数据，辅助判断。 确认风险极速处置：确认风险后，对存在风险的业务容器，可一键进行隔离、重启，或暂停容器。再通过历史信息对风险进行溯源。

介绍媒体存储V4版本签名应用及示例。 认证流程概述 V4签名认证用于对请求进行安全验证，确保请求在传输过程中未被篡改，并且确认请求来源合法。以下是实现 V4 签名认证的详细过程。 生成签名步骤 提取基本元素 最终的请求鉴权头 Authorization 头中主要包含如下元素： algorithm Credential SignedHeaders Signature algorithm元素与生成步骤 algorithm表示签名的哈希算法，V4签名通常取值是AWS4HMACSHA256。格式如下： algorithm"AWS4HMACSHA256" Credential元素与生成步骤 Credential 格式如下: Credential{accessKey}/{credentialScope} 其中 credentialScope 格式如下： credentialScope"{dateStamp}/{regionName}/{serviceName}/aws4request" SignedHeaders元素与生成步骤 SignedHeaders主要是由参与签名的请求头headerName按自然序排列并转为小写后用 ; 连接进行拼接而成，如: signedHeaders"headerName1;headerName2;headerName3" Signature 生成 stringToSign Signature 的生成需要先生成 stringToSign，stringToSign的格式如下： stringToSign"{algorithm}n{requestDate}n{credentialScope}n{canonicalRequestHash}" 其中计算 canonicalRequestHash 需要先生成 canonicalRequest，其格式如下： canonicalRequest"{httpMethod}n{canonicalUri}n{canonicalQueryString}n{canonicalHeaders}n{signedHeaders}n{payloadHash}" httpMethod: 请求方法 canonicalUri: 标准化的 URI，如: /{bucketName}/{objectKey} canonicalQueryString: 标准化的查询字符串 canonicalHeaders: 标准化的请求头，如：headerName1:headerValue1nheaderName2:headerValue2n signedHeaders: 已签名的请求头列表 payloadHash: 请求负载的 SHA256 哈希值（未签名的负载使用 UNSIGNEDPAYLOAD） 得到canonicalRequest后，就可以计算canonicalRequestHash HMACSHA256(canonicalRequest)，并得到stringToSign

本页介绍了文档数据库服务如何开通跨可用区集群实例。 操作场景 文档数据库服务支持集群实例可以创建多个可用区，多可用区可以具备更高的容灾能力，应对机房级别的故障。 文档数据库服务目前仅支持部分区域创建多可用区，具体请以控制台显示为准。 操作步骤 1. 登录TeleDB数据库控制台。 2. 进入“DDS”>“实例管理”，点击页面左上方的“创建实例”按钮，进入实例订购页。 3. 选择“NoSQL数据库”在实例订购页的“基础配置"栏找到”可用区选项，分配实例各节点的可用区。 4. 主节点和备节点可以选择不同的可用区，可以具备跨可用区故障容灾的能力。 5. 其它配置项请参见文档数据库服务快速入门新建文档数据库服务实例的Ⅰ类型资源池。 6. 根据提示确认订单，完成订单支付。

本章节内容主要介绍文档数据库服务协议 自2021年11月11日起，新版天翼云文档数据库服务协议生效。详情请参见这里。 天翼云文档数据库服务协议 历史版本（20191111）

Effect Effect元素是必需具备的元素，用于指定声明所产生的结果是“允许”还是“显式拒绝”。Effect的有效值为Allow和Deny。在默认情况下，将拒绝访问资源。如要允许访问资源，必须将Effect元素设置为Allow。 Action Action元素描述将允许或拒绝的指定操作。每个服务有对应的任务操作，用户可以使用相应服务来执行所描述的任务。目前提供的服务有：oos（对象存储）、cloudtrail（操作跟踪）、statistics（统计）和iam（访问控制）。具体每种服务包括的操作详见操作权限与API对应关系 。 Action元素的语法结构为："Action": "服务:具体操作"。其中具体操作也可以用通配符（）表示某类操作。 示例1 ：OOS：获取文件（Object）操作。 "Action": "oos:GetObject" 示例2 ：IAM：创建IAM用户。 "Action": "iam:CreateUser" 示例3 ：使用通配符（）表示执行OOS的所有服务。 "Action": "oos:" 示例4 ：使用通配符（）表示执行IAM服务中包含AccessKey的操作。 "Action": "iam:AccessKey" NotAction NotAction元素描述与指定操作列表之外的所有内容显式匹配。使用NotAction时只列出不应匹配的一些操作。使用NotAction时： 如果使用Allow效果，则允许未列出的所有适用操作或服务。 如果使用Deny效果，则拒绝此类未列出的操作或服务。如果想允许某个已列出的操作，则必须显式允许此操作。 示例1 ：除删除存储桶操作外，允许用户执行OOS其他所有操作。 { "Version": "20121017", "Statement": [ { "Effect": "Allow", "NotAction": "oos:DeleteBucket", "Resource": "arn:ctyun:oos::10rc2arpn6306:", } ] } 示例2 ：允许用户执行除IAM服务外的所有操作。 { "Version": "20121017", "Statement": [ { "Effect": "Allow", "NotAction": "iam:", "Resource": "", } ] } 示例3 ：拒绝除oos、cloudtrail和statistics之外的服务。但并不是允许oos、cloudtrail和statistics服务的操作，如果允许oos、cloudtrail和statistics中的某个操作，需要再写新的策略进行显式允许。 { "Version": "20121017", "Statement": [ { "Effect": "Deny", "NotAction": [ "oos:", "cloudtrail:", "statistics:", ], "Resource": "", } ] }

本文介绍资源共享功能的计费说明 资源共享当前为免费服务，使用资源共享服务的相关功能不收取任何费用，共享的资源自身的使用费用请参见各服务产品文档中的计费说明章节。

本节介绍了内网访问的用户指南。 背景 为了优化用户体验，容器镜像服务现已支持内网访问功能。通过此功能，您可以在指定的虚拟私有云 (VPC) 内建立一条内网访问通道，实现从该 VPC 内网直接访问容器镜像服务。 启用内网访问后，将在您选择的 VPC 中自动完成以下配置： 创建 VPC 终端节点 (VPCE)： 用于建立 VPC 与容器镜像服务公共 VPC 服务之间的内网连接。 配置内网DNS解析：确保 VPC 内的实例能够通过容器镜像服务的内网域名正确解析到VPCE地址。 操作步骤 1. 登录容器镜像服务控制台。 2. 在左侧导航栏，点击内网访问。 首次使用授权：如果您是第一次使用内网访问功能，系统会提示您进行授权委托。这是为了允许容器镜像服务在您的 VPC 内创建必要的网络资源。请仔细阅读授权内容，确认并完成授权。授权成功后，系统将为您创建一个名为 CtyunAssumeRoleForCRS 的服务委托。 3. 选择需要接入的 VPC。 您可以根据实际需求选择以下方式接入 VPC： 单个 VPC 接入： 在 VPC 列表中，找到您需要开通内网访问的 VPC，点击该 VPC 所在行的接入按钮。默认选择该VPC的第一个子网创建VPCE，如需指定子网创建VPCE，可下拉子网列表进行选择。 批量 VPC 接入： 如果您需要为多个 VPC 同时开通内网访问，可以勾选多个 VPC，然后点击列表上方的 批量接入按钮。默认选择每个VPC的第一个子网创建VPCE，如需指定子网创建VPCE，可下拉子网列表进行选择。 4. 取消 VPC 接入 (可选)： 如果您需要取消某个已接入内网访问的 VPC，可以找到该 VPC，点击其所在行的取消接入按钮。 注意 由于创建 VPC 终端节点需要一定时间，接入过程可能需要稍作等待。如果遇到提示 “VPCE 创建中，请稍后重试发起请求，以继续创建内网 DNS 记录” 的报错信息，请稍等片刻后点击 批量重试 按钮，系统将继续为您完成接入操作。

本节介绍了该产品的服务协议。 产品服务协议，详情请参见这里

本文为您介绍如何创建评估任务。 操作场景 在“对象存储>对象存储迁移服务>迁移评估”控制台界面，按照预设的迁移需求，您可以创建对象存储迁移评估任务，通过迁移评估了解源端数据分布和执行该迁移将总共迁移多少个对象，以帮助您进行迁移决策。 注意 评估结果为源端扫描到的对象总数，不代表实际迁移时间的多少。 前提条件 您已经或将要创建天翼云对象存储ZOS的Bucket。 您的源端存在待迁移的数据。 请确保您的业务处于空闲阶段或非高峰期，避免评估任务执行时影响您的业务。 操作指导 1.登录控制中心，点击控制中心左上角的，选择地域（服务入口目前仅开放“华东1”地域，推荐选择“华东1”即可）。 说明 迁移服务的控制台入口仅部分地域开放（目前仅有“华东1”开放），但服务支持迁移到全国不同资源池的ZOS桶。 例如：您在“华东1”的迁移服务控制台使用服务，依旧能为您迁移源端为“其他云服务商”或“华北2”的数据到“成都4”的对象存储桶。 2.单击“对象存储>对象存储迁移服务>迁移评估 ”进入迁移服务的迁移评估控制台，点击“创建评估任务 ”。 注意 使用对象存储迁移服务会获取您的AK/SK等认证信息，为确保您一定知情，创建任务时会有使用提示弹窗，需要您阅读并手动勾选服务协议，进行确认。您有权不勾选服务协议，并不使用该服务，请您知悉。 3.在创建评估任务的页面，需填写如下参数。填写完成后，点击“ 下一步：确认任务 ”即可。 参数 说明 :: 任务信息 任务名称 输入自定义的任务名称。 说明 命名规则：必须为大小写字母、数字、横线或下划线，长度在432个字符之间；自定义的任务名称不能与您已存在的任务名称重复。 选择源端 源端 选择源端数据的服务提供方。 说明 目前支持的源端： 支持阿里云（OSS）、华为云（OBS）、腾讯云（COS）迁移至ZOS。 支持天翼云对象存储（ZOS）、天翼云（OOS）迁移至ZOS。 支持AWS（S3）和其他遵循标准S3协议的对象存储服务迁移至ZOS。 选择源端 EndPoint Endpoint支持输入IP地址或域名。 若使用非默认端口，请输入端口号，格式为IP:Port。 注意 腾讯云COS的Endpoint较为特殊，仅需填写region即可，例如：apbeijing、apshanghai。 选择源端 Access Key 输入您源端的Access Key。 选择源端 Secret Key 输入您源端的Secret Key。 选择源端 存储桶 输入您源端的对象存储桶名称。 选择源端 迁移方式 选择源端数据的迁移方式，支持：指定存储桶、指定文件夹、指定前缀。 说明 指定存储桶 ：选择“指定存储桶”时，将会迁移存储桶内的全部对象。 指定文件夹 ：选择“指定文件夹”时，将会迁移选中文件夹下的所有对象。仅支持单个文件夹。 指定前缀 ：选择“指定前缀”时，将会迁移桶中所有以该前缀开头的对象。仅支持单个前缀。 注意 创建评估任务的参数涉及您源端存储数据的相关信息，需要您自行在源端获取，部分信息涉及您的隐私，请注意保密。 4.在确认任务页面，您可以再次检查填写的任务参数，确定无误后，点击“ 创建任务 ”，这里需要您进行二次确认，确认后即可创建任务。 说明 创建任务时，迁移服务会对您的源端进行连通性检查，存在一定的等待时间，若创建任务失败，则会弹出“创建评估任务失败”弹窗，弹窗中会展示失败的具体信息，以帮助您检查配置是否有误。 5.创建任务成功后，回到评估列表页面，新创建的任务会在列表中展示，且新创建的任务会自动进入“ 排队中 ”状态，排队等待执行，无需您再手动执行任务。

本节介绍内容安全检测服务的常见问题。 购买内容安全检测服务后，多长时间能出报告？ “检测类型”选择“内容安全单次检测（按需）”时，下单后7个工作日内出报告；“检测类型”选择“文本安全监测（按月/按年）”时，下单后的检测周期（1个自然月）后的7个工作日内出报告。 购买内容安全检测服务后，什么时候扣费？ 购买内容安全检测服务后，系统立即执行检测并扣费，且检测过程中，不支持修改检测域名、暂停任务、退费等操作。 内容安全检测服务支持三种检测类型：内容安全单次检测（按需）、文本安全监测（按月）、文本安全监测（按年）。选择“内容安全单次检测（按需）”时，内容安全检测服务按“检测对象”的总个数进行收费。同一个对象再次进行扫描时，需要重新收费。 例如：单次配置了10个检测对象（新媒体账号或网站网址），每个检测对象检测一次，则需要进行10次收费。 详细的计费说明请参见计费说明。 内容安全检测服务对网站的检测范围是什么？ 内容安全检测服务可对网站/新媒体平台发布的内容进行合法合规检测，主要对文本、图片、视频、语音进行检测和识别是否包含色情、涉政、暴力、惊悚、不宜广告、垃圾信息、不良内容等，有效帮助您降低内容风险。 内容合法合规性检测 国家政策要求各地方机构要认真落实意识形态工作和网络内容安全工作责任制。为响应国家政策，内容安全检测服务可对网站/新媒体内容进行合法合规检测，主要对文本、图片、视频、语音进行检测和识别是否包含色情、涉政、暴力、惊悚、不宜广告、垃圾信息、不良内容等，有效帮助您降低内容风险。 内容准确性检测 对网站/主流新媒体平台的内容进行准确性检测，主要对文本、图片、视频、语音进行表述规范审核，如对错别字、生僻字、词法表述、语法表述等内容进行检测审核。 网站目录的检测范围： 检测同一个网站域名下的所有目录（检测的域名和网站名称完全一致）。例如， 不检测链接到其它域名的URL（检测的域名不一致）。例如，检测域名是“ 不检测链接到其它网站的URL（域名相同，但网站名称不一致的）。例如，检测域名是“

参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 服务目录 产生告警的目录名称。 Trigger Condition 系统当前指标取值满足自定义的告警设置条件。

SSL VPN镜像的云主机上是否可以再安装其他的业务服务或插件？ 不可以，因为SSL VPN云主机是用来作为虚拟的SSL VPN网关设备的。 Web资源、TCP资源和L3VPN资源的区别？ Web资源用来发布简单的静态网页的Web服务，本身去访问不需要在客户端上安装任何SSL控件。 TCP资源用来发布提供TCP协议的服务，比如某个业务服务器提供的是TCP协议的服务，那么就可以发布成TCP资源；去访问的时候会在客户端电脑上自动安装TCP控件，TCP控件抓取数据进入SSL VPN隧道。 L3VPN资源用来发布TCP协议、UDP协议、ICMP协议的服务，比如某个业务服务器正常提供服务既提供了TCP协议又提供了UDP协议的服务，就需要发布成L3VPN资源；去访问的时候会在客户端电脑上安装L3VPN虚拟网卡等控件，由L3VPN虚拟网卡抓取数据进入SSL VPN隧道。 配置发布资源后，为什么有些电脑上有获取到虚拟IP地址，有些电脑上获取不到一样可以正常访问到资源？ 这个与资源的区别有关，只有关联了L3VPN资源的客户端电脑上才可以看到和获取到虚拟IP地址，如果仅仅是关联的Web资源和TCP资源，客户端电脑上看不到和获取不到虚拟IP地址是正常的，因为其原理是由TCP控件抓取数据进去SSL VPN隧道，一样可以正常访问到资源服务。 配置发布资源后，客户端电脑拨入SSL VPN隧道访问不到发布的业务服务器？ 1. 首先查看客户端电脑拨入SSL VPN隧道是否有关联需访问的业务服务器的资源，检查位置：在“SSL VPN配置 > 用户管理”找到SSL客户端用户，勾选，点击查看资源，是否有关联资源的名称。 2. 如果有关联资源，则在资源管理中，找到此资源，看发布的方式是否正确，如果正确还访问不到，将类型改成other，协议改成全部，然后客户端注销SSL VPN隧道，重新拨入访问测试，如果可以，说明是还有其他的协议或端口没发布完全。 3. 如果配置没问题，还是访问不到，检查业务服务器本身在天翼云内网是否可以访问到，本身是否可以正常提供服务，检查SSL VPN服务器本身是否可以访问到此业务服务器。 4. 如果上述检查后问题依旧，请联系售后人员检查。

资源配额 VPC终端节点资源的配额限制如下表所示。 表 VPCEP资源配额 资源 限制（个） 一个用户创建终端节点服务的数量 20 一个用户创建终端节点的数量 50 其他限制 创建终端节点时，需要确保连接的终端节点服务已经存在，并位于同一区域。 一个终端节点仅支持连接一个终端节点服务。 一个终端节点支持最大连接数为3000。 一个终端节点服务可被多个终端节点连接。 一个终端节点服务仅支持对应一个后端资源实例。

本章节主要介绍翼MapReduce服务Yarn健康检查指标项说明。 服务健康状态 指标项名称： 服务状态 指标项含义 ：检查Yarn服务状态是否正常。如果当前无法获取NodeManager节点数时，则认为不健康。 恢复指导： 如果该指标项异常，建议参见告警进行处理并确认网络无异常。 检查告警 指标项名称： 告警信息 指标项含义 ：检查服务是否存在未清除的告警。如果存在，则认为不健康。 恢复指导： 如果该指标项异常，建议参见告警进行处理。

系统角色/策略名称 描述 依赖关系 VPN Administrator VPN服务的管理员权限，拥有该权限的用户拥有VPN服务所有执行权限。 拥有该权限的用户默认拥有Tenant Guest、VPC Administrator权限。 VPC Administrator：项目级策略，在同项目中勾选。 Tenant Guest：项目级策略，在同项目中勾选。 VPN FullAccess（推荐使用） VPN服务的所有执行权限。 VPN ReadOnlyAccess VPN服务只读权限，拥有该权限的用户仅能查看VPN服务下的资源信息。

本页介绍如何通过数据库管理服务DMS开启文档数据库服务DDS审计日志。 操作场景 创建文档数据库服务DDS实例后，可以通过登录数据库管理服务DMS对数据库实例进行数据库审计操作。 前置条件 快速创建文档数据库服务DDS实例。 创建数据库用户。 操作步骤 1. 进入TeleDB数据库控制台。 2. 点击“DDS”>“实例管理”，通过控制台登录DMS，详细参考通过DMS登录DDS实例。 3. 进入DMS页面，点击左侧“数据源管理”进入实例元数据。 4. 选在需要审计的数据库实例，在数据库审计一栏，点击开关按钮，开启数据库审计功能。

本文主要介绍天翼云硬盘服务等级协议 天翼云硬盘服务等级条款

本章节介绍注册配置中心常见实例问题 订购的ZooKeeper/Nacos/Eureka实例为什么没有外网地址？ 如果购买的实例没有绑定ELB，那么您的实例没有外网地址。您绑定ELB就可以用ELB的地址实现外网访问实例。 Nacos实例升级会不会影响用户正常服务？ 对于多节点集群，重启不影响用户服务，实例升级过程中，各节点服务器依次滚动重启，保证用户使用Nacos服务不间断；对于单机实例，重启可能会受到服务中断影响，所以建议生产（线上）环境使用三节点以上的集群进行服务。 生产环境下Nacos设置多少个节点比较好呢？ Nacos建议的规格书2n+1个节点，最佳值需根据实际需求和规格能力计算获得。 Nacos支持开源的Nacos控制台吗？ 默认不支持访问Nacos开源控制台。 Nacos Client支持哪些版本，推荐使用哪个版本？ Nacos Client 1.2.1版本以上均支持，推荐使用Nacos 2.x系列版本的Nacos Client。 MSE里的Nacos服务怎么下线？ 服务管理页面，选择指定的命名空间和服务名称，查看服务详情，按服务实例的维度进行下线操作。 如果 注册配置中心的某个实例被删除， 天翼云会提供恢复的解决方案吗？如果有的话需要多久能恢复？ 实例过期时间提前7天会有短信通知，实例退订后数据会保留15天，在此期间可以恢复实例。超过时间则无法恢复。

本节主要介绍针对于在云监控服务页面设置了告警功能后，如何停用和启用的操作。 停用告警规则 步骤 1 登录管理控制台。 步骤 2 选择“管理与监管 > 云监控服务”，进入云监控服务页面。。 步骤 32 在左侧导航栏选择“告警 > 告警规则”，单击告警规则“操作”列的“停用”。 停用告警规则 步骤 4 在弹出的“停用”界面，单击“是”可以停用告警规则。 或在“告警规则”界面，可勾选多个告警规则，单击“停用”，在弹出的“停用”界面，单击“是”，可以停用多个告警规则。 启用告警规则 步骤 1登录管理控制台。 步骤 2 选择“管理与监管 > 云监控服务”，进入云监控服务页面。。 步骤 3 在左侧导航栏选择“告警 > 告警规则”，单击告警规则“操作”列的“启用”。 图 启用告警规则 步骤 4 在弹出的“启用”界面，单击“是”，可以开启告警规则。 或在“告警规则”界面，可勾选多个告警规则，单击“启用”，在弹出的“启用”界面，单击“是”，可以启用多个告警规则。

本节介绍什么是漏洞扫描服务。 漏洞扫描服务（Vulnerability Scan Service，简称VSS）是针对网站、主机进行漏洞扫描的一种安全检测服务，目前提供通用漏洞检测、漏洞生命周期管理服务。 工作原理 漏洞扫描服务具有Web网站扫描和主机扫描两种扫描能力。 Web网站扫描 采用网页爬虫的方式全面深入的爬取网站url，基于多种不同能力的漏洞扫描插件，模拟用户真实浏览场景，逐个深度分析网站细节，帮助用户发现网站潜在的安全隐患。同时内置了丰富的无害化扫描规则，以及扫描速率动态调整能力，可有效避免用户网站业务受到影响。 主机扫描 经过用户授权（支持账密授权）访问用户主机，漏洞扫描服务能够自动发现并检测主机操作系统、中间件等版本漏洞信息和基线配置，实时同步官网更新的漏洞库匹配漏洞特征，帮助用户及时发现主机安全隐患。

本节为您介绍使用海量文件服务时四种常见的数据迁移场景。 文件系统需要挂载到计算服务后可被共享访问，可通过将文件系统挂载至一台可访问公网的弹性云主机后借助迁移工具实现数据迁移。常见的数据迁移场景有以下四种： 非天翼云数据迁移至海量文件服务 对象存数据迁移至海量文件服务 同账号不同资源池间的数据迁移 文件系统之间的数据迁移

文件系统可以通过以下几种方式进行访问： 云内通过内网访问文件系统，将文件系统挂载至归属相同VPC的云主机、容器或物理机上，挂载成功后，可以在云主机、容器或者物理机上访问海量文件系统，用户可以把海量文件系统当作一个普通的目录来访问和试用，执行读取或写入操作。 云外通过云专线访问文件系统，可以通过云专线接入海量文件服务，实现本地数据中心与海量文件服务的网络互通。 云外通过SDWAN访问文件系统，可以通过SDWAN接入海量文件服务，实现本地数据中心与海量文件服务的网络互通。