后续操作 开启Smart Connect后，您可以配置Kafka间的数据复制、配置Kafka数据转储至OBS，实现分布式消息服务Kafka和其他云服务之间的数据同步。

本文介绍零信任安全策略。 配置安全策略前提条件 已经订购边缘安全加速平台零信任服务，若未订购，请参见服务开通。 先接入远程办公服务，请参见零信任服务快速入门。 不同能力版本提供能力不同，请参见零信任服务版本差异对比。 安全策略概览 下表将为您描述目前边缘安全加速平台零信任服务具备的安全策略以及应用场景。 模块 功能说明 说明 应用场景 访问控制 企业使用远程零信任办公服务，部分场景下，需要对访问的来源进行控制，远程零信任办公服务支持对客户端访问来源、访问IP、用户粒度、访问时间等进行访问控制，实现更灵活和安全的企业远程办公访问体验。 DDoS防护可有效防御畸形报文攻击、SYN Flood、ACK Flood、UDP Flood、ICMP Flood等网络层攻击以及SSL、DNS等应用层攻击 自动防御大流量网络层攻击 横向扫描防护 针对横向扫描的行为进行设定不同策略模版，如IP类横向渗透防护、域名类横向渗透防护，支持针对单用户账号，设备，相同公网IP进行不同协议、端口、地址的组合判断其频次，若高于异常则进行阻断或挑战认证。该功能是实时统计，达到阈值立即处置。 目前已维护6套防护规则集，基于正则的规则防护引擎进行 Web 漏洞和未知威胁防护，能够抵御SQL 注入、XSS 攻击、恶意扫描、命令注入攻击、Web 应用漏洞、WebShell 上传、不合规协议、木马后门等17类通用的 Web 攻击 建议基于自身业务防护需求选择对应的防护规则集 准入管控 针对企业管理要求，通过不同维度设置准入条件，仅满足准入条件的用户才可通过认证登录成功，进入内网访问，保障其企业安全性。 希望网站防止被恶意篡改页面内容时配置 动态授权 基于零信任多维度综合分析引擎，根据采集和上报的不同指标数据，对用户访问行为进行可信评估并实时联动处置。 希望网站避免泄露身份证、手机号等敏感信息时配置 内外网隔离 内外网隔离指的是将内部网络（内网）与外部网络（外网）物理或逻辑上分开，以防止未经授权的访问和数据泄露。通过内外网隔离，企业组织可以显著提高其安全性，因为即使外网遭受攻击，攻击者也难以渗透到内网，从而保护了组织的核心资产和数据。零信任模型强调的是一种持续的、动态的安全策略，它要求组织不断地评估和改进其安全措施，以应对不断变化的威胁环境。 针对不在HTTP请求合规、上传内容合规、配置符合网站处理规范内的请求进行相应处理 RBI云端浏览器 RBI云端浏览器是基于零信任网络+远程浏览器隔离技术，以“不让数据流出去、不让坏数据流进来”为宗旨，通过隔离浏览环境进行数据隔离、运行隔离，限制员工行为，保障员工终端安全，敏感数据不落地，提供全流程的行为审计，保证恶意行为证据可追溯。

参数 说明 服务 选择【自定义】 服务器 域名+发布点，例如rtmp://pushtest.ctyun.cn/live/ 串流密钥 流名

本小节介绍微隔离防火墙连接分析使用说明。 1.点击菜单栏连接分析，可进入连接分析界面。连接分析页面可帮助用户对于内部流量有针对性的进行筛选、钻取、分析。 2.按照提示，选择访问者、服务提供者，选择想要查看、分析的对应服务、端口（可添加多个服务），次数以及时间周期，如图所示。 3.添加好相应条件后，点击 ，即可根据查看如下界面。 4.如果访问者、提供者为工作组时，还可点击此工作组，进一步对信息进行钻取，如下图所示。

本文向您介绍当云主机出现端口不通的情况时请应怎样排查。 问题现象 云主机端口不通，会导致云主机之间无法通信或云主机无法对外服务，会影响应用或服务间的调用，或者用户对服务的访问。 根因分析 可能有以下几种原因导致端口不通： 1. 在控制台界面，云主机所在安全组未放行该端口； 2. 应用服务配置存在问题，对外服务端口未被正常监听； 3. 操作系统内，防火墙配置策略异常，如防火墙未放行端口访问。 问题定位步骤 本文分别对Windows和Linux操作系统的远程连接端口进行排查，以下为操作步骤。 Windows 操作系统 此部分以Windows Server 2012操作系统的云主机为示例，对云主机无法远程连接问题的定位步骤。 步骤1：排查安全组是否放通Windows远程连接端口3389。 1. 登录控制中心，选择云主机所在区域，点击“弹性云主机”进入云主机控制台。 2. 在云主机列表，点击需要远程连接的云主机实例名称。 3. 点击“安全组”页签，查看安全组规则。 4. 检查云主机所在的安全组是否已添加3389入方向的安全组规则。 步骤2 ：排查端口是否正常被监听。 在Windows操作系统中打开cmd窗口，执行如下命令。 plaintext netstat ano findstr :3389 如果回显信息如下则说明3389端口正常全网监听。否则，请开启监听。 步骤3 ：排查防火墙已经放行服务。 1. 单击“控制面板”>“Windows防火墙”。 2. 根据防火墙状态，如果防火墙处于关闭状态，且您不需要使用防火墙，则无需再做其他处理。 3. 如果防火墙处于开启状态，则单击“高级设置”。 4. 在弹出窗口的左侧导航栏中，单击“入站规则”。 5. 右键“入站规则”>新建入站规则>选择“端口”>填写“需要放开的端口”完成配置。

本文汇总了云专线服务在使用过程之中会遇到的概念类问题。 天翼云云专线与云间高速有什么区别？ 天翼云云专线和云间高速都是中国电信天翼云推出的云计算网络服务，用于连接用户的本地网络与天翼云的数据中心，提供稳定、高速的连接，以满足企业和个人在云计算环境下的网络连接需求，两者在连接方式，路由配置等都有较大区别，具体区别请您见下表： 区别项 云专线 云间高速 概念 云专线是一种通过私有连接，将用户本地数据中心与云端的数据中心直接连接起来的服务。 云间高速是云厂商为用户提供的一种高速互联网连接服务，使用户可以通过公共互联网连接到云端的数据中心。 连接方式 天翼云云专线服务是由物理专线实现连接的，具有较高的带宽、低延迟和更可靠的连接。 通常是通过虚拟专线或优化的网络路由实现的，以提供较快的数据传输速度和相对较低的延迟。 路由配置 专线网关作为客户站点和天翼云VPC之间的虚拟路由转发设备，实现端到端的路由配置，一端绑定物理专线，一端与客户站点需要访问的VPC直连。 在云间高速中，云网关通过配置在其上的路由表进行多点互联流量转发，每个云网关包含一张默认路由表，支持创建自定义路由表，并支持通过路由表关联转发和路由学习功能定义互通、隔离，满足网络多样化的需求。 带宽配置 在配置物理专线时，可以指定带宽，实现点到点购买。 购买云间高速时，同时需要购买各个跨域网络实例的互通网络带宽，所有的跨域互通网络实例使用的带宽总和即为带宽包。 适用场景 云专线可以提供更好的隐私和安全性，适用于需要大量数据传输和对网络连接稳定性要求较高的企业。 云间高速适用于需要与云服务提供商快速连接的任务，如数据备份、应用程序部署等。

该任务指导用户通过漏洞扫描服务开启主机扫描。 操作场景 开启主机扫描后，漏洞扫描服务将对主机进行漏洞扫描与基线检测。 说明 漏洞扫描服务的基础版不支持主机扫描功能，如果您是基础版用户，请通过以下方式使用主机扫描功能： 购买专业版或企业版。 按次购买主机扫描功能。 按次一次性扣费，每次最多可以扫描20台主机。 前提条件 已获取管理控制台的登录账号和密码。 已添加主机。 说明 为了确保扫描成功，在开启主机扫描前，请参照配置Linux主机授权和配置Windows主机授权完成主机授权。 开启主机扫描（专业版/企业版） 1. 登录管理控制台。 2. 选择“安全 > 漏洞扫描（专业版）”，进入漏洞扫描服务管理控制台。 3. 在左侧导航栏，选择“资产列表 > 主机”，进入主机列表入口。 4. 单击主机信息“操作”列的“扫描”，进入主机扫描入口。 说明 您可以选中需要扫描的主机，在主机列表上方单击“一键扫描”，对选中的多台主机批量进行扫描。 5. 在弹出的对话框中，单击“确认”。 开启主机扫描（基础版） 漏洞扫描服务的基础版不支持主机扫描功能，如果您是基础版用户，请通过以下方式使用主机扫描功能： 购买专业版或企业版 按次购买主机扫描功能 按次一次性扣费，每次最多可以扫描20台主机。 请参照以下操作步骤，按需购买主机扫描功能。 1. 登录管理控制台。 2. 选择“安全 > 漏洞扫描（专业版）”，进入漏洞扫描服务管理控制台。 3. 在左侧导航栏，选择“资产列表 > 主机”，进入主机列表入口。 4. 勾选需要扫描的主机，单击“一键扫描”，进入主机扫描入口。 5. 在弹出的对话框中，选中“我已了解并同意支付该笔费用”，单击“确定”。 当账户余额充足时，系统在自动扣费后，将执行主机扫描任务。 说明 当主机扫描任务成功时，请查看主机扫描详情。 当主机扫描任务失败时，请在扫描详情页面单击“重新扫描（免费）”，系统将重新执行扫描任务。

参数 说明 Version 标识策略的版本号： 1.0：RBAC策略。RBAC策略是将服务作为一个整体进行授权，授权后，用户可以拥有这个服务的所有权限。 Statement 策略授权语句，描述策略的详细信息，包含Effect（作用）和Action（授权项）。 Effect（作用） 作用包含两种：Allow（允许）和Deny（拒绝），系统预置策略仅包含允许的授权语句。 Action（授权项） 对资源的具体操作权限，支持单个或多个操作权限，支持通配符号，通配符号表示所有。 Resource（资源） 策略所作用的资源，格式为：服务名:region:domainId:资源类型:资源路径，支持通配符号，通配符号表示所有。在JSON视图中，不带Resource表示对所有资源生效。 Resource支持以下字符：09azAZ./，如果Resource中包含不支持的字符，请采用通配符号。 OBS是全局级服务，region填“”；domainId表示资源拥有者的帐号ID，建议填写“”简单地表示所填资源的帐号ID。 示例： − "obs:::bucket:": 表示所有的OBS桶。 − "obs:::object:mybucket/myobject/": 表示桶mybucket中“myobject”目录下的所有对象。 Condition（条件） 使策略生效的特定条件，可选。格式为：条件运算符: {条件名:[条件值1, 条件值2]} 条件包含全局条件名和云服务条件名，OBS支持的条件名与桶策略中的Condition一致，在IAM配置时，需要加上“obs:”。详细的Condition介绍如条件所示。 Condition的条件值仅支持以下字符：,./ azAZ09@$%&，如果条件值中包含不支持的字符，请考虑使用模糊匹配的条件运算符，如：StringLike，StringStartWith等。 示例： − "StringEndWithIfExists":{"g:UserName":["specialCharacter"]}：表示当用户输入的用户名以"specialCharacter"结尾时该条statement生效。 "StringLike":{"obs:prefix":["private/"]}：表示在列举桶内对象时，需要指定prefix为private/或者包含private/这一子字符串。

漏洞扫描是否支持IPv6？ 自身支持IPv4和IPv6两种网络协议的部署，也支持对IPv4和IPv6协议的目标进行扫描，包括域名类型。 漏扫扫描时是否会影响业务？ 主机扫描：通过发送数据包来探测目标是否存活、开放的端口、运行的服务和版本信息等，理论上不会出现任何的影响，但是不排除由于防火墙的设置导致的服务宕机、由于目标服务对发送的报文处理导致的宕机等，一般情况下基本不会产生，实际漏扫引擎已经做了很多规避策略，但不能保证100%无影响，市面上的漏扫原理基本一样。 网站扫描：原理是模拟用户的正常HTTP请求和模拟黑客的无害攻击，一般来说是不会影响被扫描对象的业务正常运行，但是如果对方服务器的并发连接数本身就较低，那么可能会导致服务中断，需要重启中间件，漏扫引擎具备动态流控的功能，该影响的概率极低基本不会发生。 基线配置核查：原理与数据库扫描类似，主要是查询相关配置，可能会产生临时文件和删除临时文件操作，但不会影响业务。 授权扫描和非授权扫描有什么区别？ 漏扫的扫描方式包括授权扫描和非授权扫描两种，也有称登录扫描和非登录扫描，实际是一个含义。 授权扫描：在对目标进行漏洞扫描的过程中，要输入帐号、密码等信息，属于“登录授权”进行的扫描。因为通过输入帐号信息登录后进行的扫描，因此扫描获得的信息更多，漏洞也将发现的更多，且误报率更低。（适用于主机扫描、数据库扫描、网站扫描、基线核查四大扫描模块） 非授权扫描：不需要目标的账户密码等授权信息即直接扫描，通过远程探测目标的信息来判断漏洞，可能会产生误报和漏洞（适用于主机扫描、网站扫描量大扫描模块）。

内存优化型（服务管理费用） 规格名称 核数 内存 按需计费（元/节点/小时） 包月计费（元/节点/月） ::::: m6.2xlarge.8 8核 64GB 0.312 149 m6.3xlarge.8 12核 96GB 0.477 229 m6.4xlarge.8 16核 128GB 0.624 299 m6.6xlarge.8 24核 192GB 0.702 337 m6.8xlarge.8 32核 256GB 0.702 337 m6.16xlarge.8 64核 512GB 0.702 337 超高I/O型（服务管理费用） 规格名称 核数 内存 按需计费（元/节点/小时） 包月计费（元/节点/月） ir3.4xlarge.4.linux.mrs 16 64 0.624 299 ir3.8xlarge.4.linux.mrs 32 128 0.702 337 LTS版集群 LTS集群服务管理费，以“核数”为单位计费，收费项与普通集群相同。 以购买10个规格为8核的节点集群为例： 按需集群：单价为0.052元/核/小时，集群服务管理费为 8x10x0.0524.16元/小时。 包周期集群：单价为25元/核/月，集群服务管理费为8x10x252000元/月。 规格名称 核数 按需计费（元/节点/小时） 包月计费（元/节点/月） mrs.unit.lts.linux.bigdata 1 0.052 25 说明 因各资源池部署规格不尽相同，且可选资源会根据用户订购情况动态变化，故实际可选规格请以开通资源时各资源池展示规格为准。

天翼云云日志服务等级协议

本文为您提供zosutil工具。 工具介绍 zosutil 是一款用于管理天翼云对象存储服务的命令行工具，支持访问天翼云 S3 接口的对象存储服务（ZOS）。相比于 ZOS SDK ，zosutil 允许用户使用命令行的方式与 ZOS 进行交互，用户使用起来更加简洁、方便。 操作系统 zosutil 应用于 Windows/CtyunOS/CentOS/Ubuntu 平台。 用户使用指南下载 zosutil用户使用指南.pdf 工具下载 zosutil.zip

本文主要介绍如何购买物理机。 1. 登录管理控制台。 2. 选择“计算 > 物理机服务”。 进入物理机服务页面。 3. 单击“申请物理机”，开始申请物理机。 4. 配置物理机的规格参数。 规格：选择物理机规格。 磁盘：设置系统盘参数，并新增一块数据盘。 5. 设置完成后，单击“立即购买”创建物理机。 等待5分钟左右，物理机即可创建完成，状态变为“运行中”。 6. 远程登录或使用密钥对登录物理机，完成数据盘初始化，并开始部署您的应用软件。

本章节主要介绍翼MR Manager的首页特性。 操作步骤如下: 1. 登录翼MR管理控制台。 2. 单击“我的集群”，单击指定的集群名称，进入集群信息页面。 3. 单击“翼MR Manager”tab。 4. 单击“前往翼MR Manager”，默认进入到首页，如图所示： 主机：展示平台主机健康状态汇总、主机初始化状态汇总。 待处理集群服务：展示故障和告警的集群服务信息。 告警：展示待处理的告警信息，支持查看不同级别的告警信息。

本章节介绍DRDS如何修改创建好的数据库账号信息。 前提条件 成功登录分布式数据库服务控制台。 操作步骤 1、在分布式数据库服务，实例管理列表页面，单击目标实例名称，进入实例基本信息页面。 2、在左侧导航栏选择“帐号管理”，进入帐号管理页面。 3、帐号管理页面选择目标帐号，在其操作栏单击“修改”。 4、在修改帐号弹窗中，您可以修改关联逻辑库、帐号权限及描述信息。 5、编辑完成帐号信息后，单击“确定”，保存修改信息。

海量文件服务OceanFS广泛应用于多种场景,本文带您更快了解经典应用场景。 场景一：高性能计算 场景说明 在仿真实验、工业设计CAD/CAE、生物科学、图像处理、科学研究、气象预报等涉及高性能计算解决大型计算问题的行业，海量文件系统为其计算能力、存储效率、网络带宽及时延提供重要保障。 场景痛点 海量数据、计算密集、实时分析、操作频繁，需要超高性能文件系统支撑。 产品优势 低成本：单文件系统容量弹性扩容，按需付费，最大可扩容至PB级。 高性能：单文件系统支持5万IOPS，访问时延低至10ms左右。 场景二：内容管理和Web应用 场景说明 高性能网站需要将服务组成集群，将代码文件、配置文件或图片等业务数据放在NAS存储上共享访问，通过多级Cache等技术，在海量小文件场景下，提供高并发、低时延的存储需求。 场景痛点 业务操作连续性高，加载缓慢将影响处理效率。 大量访问时，加载缓慢、卡顿。 产品优势 超高性能：单文件系统能最多存储40亿个文件，访问时延低至10ms。 超高并发：能处理突发的高峰流量，有效解决网站动态数据加载慢和业务卡顿问题。 场景三：媒体处理 场景说明 媒体处理业务中需要对音视频素材进行存储，并且需要多人协作处理素材，海量文件服务作为共享文件存储支持可用于视频制作与编辑时的素材存储管理及高效协作。

本文主要介绍云日志服务中的静默策略。 您设置的告警规则，如果满足静默策略则不会触发告警通知，您可以通过静默策略对告警进行收敛，避免同一时间出现大量重复告警或关联告警。 功能入口 1. 选择目标资源池，并登录云日志服务控制台。 2. 在左侧导航栏中选择「告警管理」「静默策略」。 功能说明 支持增删改查静默策略。 事件匹配规则：支持通过且或关系组合创建事件规则，使得在满足当前事件规则时，触发静默策略。支持添加多个匹配规则。 静默时段：若打开限制时间开关，可设置静默规则的生效时间段。

本节为您介绍云迁移服务CMS中数据库迁移工具使用流程。 使用数据库迁移工具，您需在迁移源数据库、目标数据库和数据库迁移工具控制台进行操作。迁移源数据库和目标数据库，需打通与节点的网络；通过数据库迁移工具控制台进行后续的任务配置等操作。 数据库迁移工具中迁移评估/数据迁移/数据同步/数据订阅服务流程总览如下图所示： 数据库传输工具中的迁移任务需要将数据库源端和目标端与子节点网络打通，具体请见组网视图：

本页介绍了分片集群主备切换。 文档数据库服务产品的分片集群规格实例，支持手动进行主备节点切换，步骤如下： 1. 进入TeleDB数据库控制台。 2. 点击“DDS”>“实例管理”进入实例列表页面。 3. 点击需要手动主备切换的分片集群实例的实例ID，进入到该实例详情页。 4. 集群实例下拉至“Shard列表”栏或者“ConfigServer列表”栏，可手动点击“Secondary”节点操作列的“主备切换”按钮，等待切换完成。 注意 仅实例状态是“运行中”的副本集规格实例支持手动进行主备节点切换。 当Shard或ConfigServer处于主备切换时，对应服务将不可用，请谨慎操作。

本节介绍Group不存在但能消费消息原因 我在分布式消息服务Kafka控制台上，未查看到对应的Group，但此Group下却有消费线程在消费消息。 可能原因 如果客户端使用assign方式消费消息，那么即使不创建Group，也可能消费消息。 如果客户端使用subscribe方式消费消息，删除Group后，消费线程未停止或者未发生Rebalance，那么消费线程还可以继续正常消费。 解决方案 如果客户端使用assign方式消费消息，请提前在分布式消息服务Kafka控制台创建Group。 请尽量复用Group，避免创建过多的Group而影响集群的稳定性。 在删除Group前，请确保已停止该Group下的所有消费线程。

本章节主要介绍数据仓库集群的删除、退订操作。 按需集群退订 按需购买的集群无需退订，直接删除即可。 请登录天翼云官网，进入“控制中心”，选择“数据仓库服务”，进入进群列表，即可对您的集群进行删除操作。 提示 删除前建议您做好数据备份。 1.登录天翼云官网，进入控制中心。 2.进入控制中心，选择资源池，选择“数据仓库服务”。 3.进入“集群管理”页面，找到需要删除的集群，选择资源信息，点击删除。

本章节主要介绍数据仓库服务的使用限制。 数据仓库服务只支持用户管理集群，不支持直接访问集群节点。用户或应用程序使用数据库对应的集群访问IP地址和端口，访问数据仓库。 若创建非ECS+EVS形态的集群，则创建好以后不支持修改规格，如果需要使用更高规格的节点，请重新创建一个新的集群。变更规格目前仅支持ECS+EVS形态的云数仓或实时数仓集群。 用户需要在与集群相同的虚拟私有云子网中使用客户端连接DWS集群。 从文档直接复制命令到执行环境中粘贴时可能自动换行，导致运行出错，请注意删除换行。

本节介绍数据加密的权限管理说明。 如果您需要对云服务平台上购买的数据加密（以下简称DEW）资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全地控制云服务资源的访问。 通过IAM，您可以在帐号中给员工创建IAM用户，并使用策略来控制员工对云服务资源的访问范围。例如您的员工中有负责软件开发的人员，您希望这些开发人员拥有DEW的使用权限，但是不希望开发人员拥有删除DEW等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用DEW，但是不允许删除DEW的权限策略，控制员工对云资源的使用范围。 如果系统帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用DEW的其它功能。 数据加密权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 DEW部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问KMS时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云服务平台各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对KMS服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分，权限的最小粒度为API授权项（action）。 DEW系统权限 系统角色/策略名称 描述 类别 KMS Administrator 加密密钥的管理员权限。 系统角色 KMS CMKFullAccess 加密密钥所有权限。 系统策略 下表列出了DEW常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 常用操作与系统权限的关系 操作 KMS Administrator KMS CMKFullAccess 创建密钥 √ √ 启用密钥 √ √ 禁用密钥 √ √ 计划删除密钥 √ √ 取消计划删除密钥 √ √ 修改密钥别名 √ √ 修改密钥描述 √ √ 创建随机数 √ √ 创建数据密钥 √ √ 创建不含明文数据密钥 √ √ 加密数据密钥 √ √ 解密数据密钥 √ √ 获取密钥导入参数 √ √ 导入密钥材料 √ √ 删除密钥材料 √ √ 创建授权 √ √ 撤销授权 √ √ 退役授权 √ √ 查询授权列表 √ √ 查询可退役授权列表 √ √ 加密数据 √ √ 解密数据 √ √ 查询密钥实例 √ √ 查询密钥标签 √ √ 查询项目标签 √ √ 批量添加删除密钥标签 √ √ 添加密钥标签 √ √ 删除密钥标签 √ √ 查询密钥列表 √ √ 查询密钥信息 √ √ 查询实例数 √ √ 查询配额 √ √ 系统默认提供两种权限策略：系统策略和自定义策略。系统策略是IAM预置的策略，用户只能使用不能修改。若系统策略不满足授权要求，用户可以创建自定义策略，自由搭配需要授予的权限集。 用户组配置权限策略后，将用户加入用户组中，可以使该用户获得权限策略中定义的操作权限。

本节主要介绍添加标签 操作步骤 1、选择“服务目录”进入后，单击“微服务列表”标签。 2、在微服务列表页，单击目标微服务所在行“操作”栏中的“标签管理”，弹出标签管理页面。 3、在标签管理页面，单击“添加标签”，输入“键”和“值”。 4、单击“确定”保存修改。

本节介绍了如何通过云日志服务管理云数据库GaussDB 的审计日志。 操作场景 配置访问日志后，云数据库GaussDB 实例新生成的审计日志记录会上传到云日志服务（Log Tank Service，简称CTLTS）进行管理。您可以查看云数据库GaussDB 实例审计日志的详细信息，包括搜索日志、日志可视化、下载日志和查看实时日志等功能。 配置单个实例访问日志：添加单个实例的LTS配置。 解除单个实例访问日志：解除单个实例的LTS配置。 使用须知 当前只提供主备版实例，并且数据库引擎需要为2.1.0及以上版本。 访问日志提供了实例所请求的所有详细日志，日志存在LTS云日志服务中。 配置完成后，日志不会立即上传，需要等待10分钟左右才可以在LTS服务上查询审计日志。 在您进行LTS审计日志配置后，会默认上传当前实例的所有审计策略到LTS服务。 配置单个实例访问日志 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上方的，选择区域和项目。 步骤 3 在页面左上角单击，选择“数据库 > 云数据库GaussDB ”，进入云数据库GaussDB 页面。 步骤 4 在左侧导航树，单击“实例管理”。 步骤 5 在右边列表点击实例名称，进入实例详情。 步骤 6 在实例详情的左侧导航树里，单击“审计日志”。 步骤 7 在右边页面中找到“开启上传审计日志到LTS”, 单击相邻右侧。 步骤 8 在弹框中，选择“日志组”和“日志流”。 配置LTS参数 步骤 9 单击“保存”。

步骤二：跨区域复制镜像 帐号A将步骤一：创建私有镜像中创建的私有镜像复制到“西安2”区域。在跨区域复制前，需要先创建IAM委托，详见以下步骤。 1.创建IAM委托。 a.登录控制台。 b.选择“统一身份认证”。 c.在左侧导航栏中，单击“委托”。 d.在“委托”页面，单击“创建委托”。 e.在“创建委托”页面，设置如下参数： 委托名称：按需填写，例如“imsadminagency”。 委托类型：选择“云服务”。 云服务：（“委托类型”选择“云服务”时出现此参数项。）在下拉列表中选择“镜像服务IMS"。 持续时间：选择“永久”。 描述：非必选，可以填写“拥有IMS Administrator权限的委托”。 f.单击“下一步”，进入选择策略页面。 g.单击下一步，进入设置最小授权范围页面。 选择“区域级项目”，并在下拉表中选择被授权区域或区域下的子项目。 “跨区域复制镜像”场景的委托必须具备“目的镜像区域”的IMS Administrator权限。例如：用户想从“华北”复制到“西安2”，则添加的委托必须具备“贵州”的IMS Administrator权限。 h.单击“确定”，完成委托的创建。 2、选择“服务列表 > 计算 > 镜像服务”，单击“私有镜像”页签。 进入私有镜像列表页。 3、在私有镜像“HCEwithARM”所在行，单击操作列的“更多 > 复制”。 弹出“复制镜像”对话框。 4、填写如下参数： 名称：保持默认值copycnnorthHCEwithARM 目的区域：西安2 目的项目：cnsnxy1 IAM委托：选择1中创建好的委托“imsadminagency”。 5、单击“确定”。 在控制台左上角切换区域为“西安2”，等待几分钟后，私有镜像复制成功。 图 查看私有镜像

本节主要介绍设置存储池内卷的默认QoS策略。 可以通过下列方式设置存储池内的默认QoS策略： 在“服务”>“QoS策略管理”页面，点击具体的QoS策略名称，进入QoS策略详细信息页面。在“关联详情”>“存储池（池内卷的默认QoS策略）”下点击“增加关联对象”，选择需要关联QoS策略的存储池即可。 图1 增加关联对象（存储池内卷的默认QoS策略） 在“服务”>“QoS策略管理”页面，选择目标存储池，点击“操作”>“设置QoS策略”，弹出“设置QoS策略”页面。在“对象类型”中选择“存储池（针对池内的默认QoS策略）”，在“策略名称”中选择对应的QoS策略即可。 在“服务”>“存储池管理”页面，点击目标存储池，进入存储池详细信息页面。点击“QoS策略”下的“设置QoS策略”，弹出“设置QoS策略”页面。在“对象类型”中选择“存储池（针对池内的默认QoS策略）”，在“策略名称”中选择对应的QoS策略即可。 图2 设置存储池内卷的默认QoS策略

本文介绍批量新增域名的方式使客户快速、便捷的接入多个配置相同的域名。 前提条件 已经订购边缘安全加速平台安全与加速服务，并且套餐支持的域名数量未超过限制。 若服务区域选择“中国内地”或者“全球”，域名需要完成ICP备案，才可以接入边缘安全加速平台安全与加速服务。 操作步骤说明 1、登录边缘安全加速控制台，选择安全与加速进入工作台域名域名管理页面。您可以在该页面查看已添加的域名信息，包括域名、CNAME、状态、开启/关闭IPv6解析。单击【批量新增】。 2、【新增域名】按钮默认置灰，第1个域名填写完成且域名归属权校验通过后，才可以点击【新增域名】按钮继续添加域名。需要填写网站基础信息、网站安全配置。 注意 限制单次最多新增20个域名，如您有多个域名需要新增，可以分多次批量操作。 同一批次批量新增的域名会下发相同的配置。

本文简述了边缘安全加速平台如何批量启用、停用、删除域名。 前提条件 已经订购边缘安全加速平台安全与加速服务，并且套餐支持的域名数量未超过限制。 若服务区域选择“中国内地”或者“全球”，域名需要完成ICP备案，才可以接入边缘安全加速平台安全与加速服务。 操作步骤说明 1.登录边缘安全加速控制台。 2.进入安全与加速工作台域名域名管理页面。 3.点击列表上方的【批量操作】。 4.单击【批量启用】，您可以选择多个域名，调整域名状态为启用。 5..单击【批量停用】，您可以选择多个域名，调整域名状态为停用。 6.单击【批量删除】，您可以选择多个域名删除。 注意 批量操作限制单次最多操作20个域名，如您有多个域名需要启用、停用或删除，可以分多次批量操作。

本节介绍了业务端口被一键式重置密码插件占用的问题描述、问题原因等。 问题描述 在弹性云主机上运行某业务时，系统提示所需端口被一键式重置密码Agent插件占用。那么，一键式重置密码插件占用的端口与业务端口发生冲突时，应当如何处理？ 问题原因 对于采用AUTO模式的弹性云主机，一键式重置密码插件启动时，会随机选取端口进行使用，可能占用了业务端口。 说明 一键式重置密码插件已经升级，默认采用PIPE模式。 对于新创建的弹性云主机，默认采用PIPE模式，不会占用端口。 对于已创建的弹性云主机，仍采用AUTO模式，随机占用31000~32999中的一个端口。占用端口的原则是：在该范围内，系统会按照自小到大的顺序，占用当前空闲的端口。 方法一（推荐）：将一键式重置密码插件wrapper修改为PIPE模式 推荐您将一键式重置密码插件wrapper从AUTO模式（SOCKET）修改为PIPE模式，修改后，插件运行时不再占用端口。 1. 打开CloudResetPwdAgent配置文件。 − Linux弹性云主机文件位置： “/CloudrResetPwdAgent/conf/wrapper.conf”和“/CloudResetPwdUpdateAgent/conf/wrapper.conf” − Windows弹性云主机文件位置： “C:CloudResetPwdUpdateAgentconfwrapper.conf”和“C:CloudResetPwdUpdateAgentconfwrapper.conf” 2. 在末尾新增如下配置： wrapper.backend.typePIPE 3. 重启CloudResetPwdUpdateAgent服务。 − Linux弹性云主机 /CloudResetPwdUpdateAgent/bin/cloudResetPwdUpdateAgent.script restart − Windows弹性云主机 i. 使用快捷键“Win+R”，打开“运行”窗口。 ii. 输入“Services.msc”，并单击“确定”。 图 运行 iii. 右键单击服务“cloud reset password update agent”，选择“重新启动”。 图 服务（本地） 方法二：修改配置，更换端口范围 您可以修改CloudResetPwdAgent配置，更换默认随机端口选取的范围（31000~32999），确保业务端口不在一键式重置密码插件的端口选择范围内。 假设将一键式重置密码插件随机占用的端口范围修改为：40000~42000，则操作如下： 1. 打开CloudResetPwdAgent配置文件。 − Linux弹性云主机文件位置： “/CloudrResetPwdAgent/conf/wrapper.conf”和“/CloudResetPwdUpdateAgent/conf/wrapper.conf” − Windows弹性云主机文件位置： “C:CloudResetPwdUpdateAgentconfwrapper.conf”和“C:CloudResetPwdUpdateAgentconfwrapper.conf” 2. 新增如下配置： wrapper.port.min40000 wrapper.port.max41000 wrapper.jvm.port.min41001 wrapper.jvm.port.max42000 图 修改配置文件 3. 重启CloudResetPwdUpdateAgent服务。 − Linux弹性云主机 /CloudResetPwdUpdateAgent/bin/cloudResetPwdUpdateAgent.script restart − Windows弹性云主机 i. 使用快捷键“Win+R”，打开“运行”窗口。 ii. 输入“Services.msc”，并单击“确定”。 图 运行 iii. 右键单击服务“cloud reset password update agent”，选择“重新启动”。 图 服务（本地）

云密评专区服务协议

本文向您介绍如何配置多用户登录Windows云主机。 操作场景 本文档将指导您配置多用户登录的Windows云主机，以Windows Server 2008标准版R2中文版为例。 说明 远程桌面授权仅支持120天，过期后将因为缺失远程桌面授权服务器许可证而导致多用户登录无法使用，需要重新激活。 配置多用户登录后，如果出现多用户登录Windows主机时无法打开浏览器的问题，解决方法请参考 操作步骤 1. 安装桌面会话主机和远程桌面授权。 (1) 登录Windows云主机。 (2) 在操作系统界面，打开“服务器管理器”，单击“角色>操作>添加角色”。 (3) 跳转至左侧导航栏为“服务器角色”，选择“远程桌面服务”，单击“下一步”。 (4) 保持默认参数，单击“下一步”。 (5) 跳转至左侧导航栏为“角色服务”，依次勾选“远程桌面会话主机”和“远程桌面授权”，单击“下一步”。 (6) 保持默认参数，单击“下一步”。 (7) 跳转至左侧导航栏为“身份验证方法”，指定远程桌面会话主机的身份验证方法，单击“下一步”。本示例选择的是“需要使用网络级别身份验证”，之后单击“下一步”。 (8) 跳转至左侧导航栏为“授权模式”，指定授权模式。本示例选择“以后配置”，之后单击“下一步”。 (9) 跳转至左侧导航栏为“用户组”，选择允许访问此RD会话主机服务器的用户组，单击“下一步”。 (10) 跳转至左侧导航栏为“客户端体验”。本示例选择的是“音频和视频播放”，之后单击“下一步”。 (11) 跳转至左侧导航栏为“RD授权配置”，为RD授权配置搜索范围，配置完成后单击“下一步”。 (12) 单击“安装(I)”。 2. 允许多用户远程连接云主机。 (1) 在运行里输入 gpedit.msc，打开计算机本地组策略。 (2) 选择“计算机配置>管理模板>windows组件>远程桌面服务>远程桌面会话主机>连接”。设置“允许用户通过使用远程桌面服务进行远程连接”、“限制连接数量”和“将远程桌面服务用户限制到单独的远程桌面”。 (3) 选中“允许用户使用远程桌面服务进行远程连接”，右键单击“编辑”，将其设置为已启用。 (4) 选中“限制连接数量”，右键单击“编辑”，选择已启用，可根据具体数量设置，本示例设置允许的RD最大连接数为999。 (5) 选中“将远程桌面服务用户限制到单独的远程桌面服务会话”，右键单击“编辑”，选择已启用，或者已禁用。本示例以勾选“已启用”为例。 说明 请注意此处已启用和已禁用的区别： l 已启用：允许多个用户同时登录，不能单个用户同时多人登录。 例如：配置为已启用，用户A、用户B、用户C可以分别使用账号A、账号B、账号C同时登录云主机，但是用户A、用户B、用户C无法使用同一账号同时登录云主机。 l 已禁用：允许单个用户同时多人登录。 例如：配置为已禁用，用户A、用户B、用户C可以使用同一个账号同时登录云主机。 (6) 运行cmd，输入 gpupdate /force，强制执行本地组策略，重启服务器，整个配置过程完成。 3. 配置新用户并加入远程桌面用户组。 (1) 在运行中输入 lusrmgr.msc，打开本地用户和组，进行新用户创建。 (2) 单击“用户”，在空白处右键选择新用户。 (3) 填写新用户信息，单击“创建”。 (4) 单击“组”，双击打开Remote Desktop Users 单击“添加”。 (5) 进入选择用户界面，单击“高级”。 (6) 在新的选择用户界面，单击“立即查找”，在下方搜索结果中选中需要远程登录的用户，并单击“确定”，完成添加，即可远程登录。 (7) 单击“确定”，添加用户Remote Desktop Users组。