天翼云为您提供弹性负载服务等级协议。 弹性负载均衡等级协议（SLA）生效。详情请参见这里。

解绑定操作 1. 登录管理控制台。 2. 在页面左上角单击图标，打开服务列表，选择“网络 > 虚拟私有云”。进入虚拟私有云列表页面。 3. 在左侧导航栏选择“弹性网卡”。 4. 在“弹性网卡”页面，选择“辅助弹性网卡”页签。 5. 在辅助弹性网卡列表，单击操作列的“解绑定弹性公网IP”，选择需要解绑定的弹性IP。 6. 单击“确定”，完成解绑定。 约束与限制 辅助弹性网卡与弹性IP绑定将受弹性IP相关配额限制，具体可参看弹性IP服务约束与限制内容。

本文主要介绍如何删除VPC流日志。 操作场景 删除不用的VPC流日志。删除VPC流日志不会删除云日志服务中的流日志记录。 说明 如果VPC流日志关联的网卡已删除，则对应的VPC流日志会自动删除。但不会删除流日志记录。 操作步骤 1. 登录管理控制台。 2. 在页面左上角单击图标，打开服务列表，选择“网络 > 虚拟私有云”。进入虚拟私有云列表页面。 3. 在左侧导航栏，选择“VPC流日志”。 4. 找到需要删除的流日志，单击操作列的“删除”。 5. 单击“是”，确认删除。

本节主要介绍解除卷关联的QoS策略。 可以通过下列方式解除卷关联的QoS策略： 在“服务”>“QoS策略管理”页面，点击具体的QoS策略名称，进入QoS策略详细信息页面。在“关联详情”>“卷”下点击“解除关联对象”，选择需要解除关联QoS策略的卷即可。 图1 解除QoS策略关联的卷 在“服务”>“卷管理”页面，点击目标卷，进入卷详细信息页面。点击“QoS策略”下的“解除QoS关联”，即可解除卷关联的QoS策略。 图2 解除卷的QoS策略

在函数详情页的网络配置部分，可以开启【允许函数默认网卡访问公网】；当公网访问被启用时，您的函数便能够发起对外的互联网请求。详细操作请参考 网络配置。 此外，您还可以在您的VPC中建立一个公网NAT（网络地址转换）服务；如果您允许函数访问您的VPC资源，即使您禁止函数通过默认网卡访问公网，函数仍然可以通过VPC内部的公网NAT服务来实现对公网的访问。这种方法可以在确保安全性的同时，让您的函数访问必要的互联网资源。

本文提供放行入方向中指定IP访问流量的配置示例。 更多参数配置请参见“通过添加防护规则拦截/放行流量”。 单独放行入方向中指定IP的访问流量 配置两条防护规则，一条拦截所有流量，优先级置于最低，设置参数如下，其余参数可根据您的部署进行填写： 方向：外内 源：Any 目的：Any 服务：Any 应用：Any 动作：阻断 一条单独放行指定IP的流量访问，优先级设置最高，设置参数如下，其余参数可根据您的部署进行填写： 方向：外内 源：选择“IP地址”，填写具体放行的IP。 目的：Any 服务：Any 应用：Any 动作：放行

查看流量使用情况 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在控制台上方点击，选择所需的资源池节点，例如操作选择华东华东1。 3. 在控制台首页，选择“管理与部署>云监控”。 4. 在云监控服务控制台选择“云服务监控”页面，在云服务中选择“对象存储”进入对象存储监控页面，在页面下方即可查看流量的详细情况。

前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通套餐为高级版及以上版本，支持账户安全防护相关功能。 配置说明 撞库防护配置说明 配置项 说明 开关 可以选择开启或者关闭撞库防护策略 处理动作 设置触发撞库策略的处理动作，可以选择拦截或告警 登录页URL 设置登录页面的URL 登录页数据请求URL 先单击键盘F12或者抓包，点击登录按钮，获取登录数据请求的URL地址（所获地址与登录页面URL可能是同一个，但是一般情况下动静态页面是分离的，所以大概率是不同的页面） 登录post包 用户Key：一般是username，具体看您的网站是怎么定义Key，加解密方式：不加密/base64/md5值的加密方式，用以解密密码Key: 一般是password，具体看您的网站是怎么定义Key，加解密方式：不加密/base64/md5值的加密方式，用来解密 触发条件 在【统计周期】内的【作用域】的请求数，请求次数超过【拦截阈值】次数，则执行【处理动作】。其中，作用域支持CI、IP+UA、IP CI：客户端ID，订购扩展服务BOT管理后支持该作用域 IP+UA：客户端IP与客户端UA IP：客户端IP 密码有泄露风险 判断密码存在泄露的处理方式,日志告警/重置密码/正常访问 请求内容类型 支持选择"application/xwwwformurlencoded"或"application/json"，指正常post包的请求方式 白名单 针对误拦设置白名单，可选粒度：URI、支持配置多条，多个粒度为“且”的逻辑，多个范围为“或”的关系 暴力破解防护配置说明 配置项 说明 开关 可以选择开启或者关闭暴力破解防护策略 处理动作 设置触发暴力破解策略的处理动作，可以选择拦截或告警 登录页URL 设置登录页面的URL 登录页数据请求URL 先单击键盘F12或者抓包，点击登录按钮，获取登录数据请求的URL地址（所获地址与登录页面URL可能是同一个，但是一般情况下动静态页面是分离的，所以大概率是不同的页面） 登录失败跳转URI 设置登录失败后需要跳转的URI 触发条件 在【防护统计频率】内的【作用域】的请求数，请求次数超过【拦截阈值】次数，则执行【处理动作】，处理动作持续时间【拦截时间】。其中，作用域支持CI、IP+UA、IP CI：客户端ID，订购扩展服务BOT管理后支持该作用域 IP+UA：客户端IP与客户端UA IP：客户端IP 白名单 针对误拦设置白名单，可选粒度：IP、IPS、IPR等多个粒度，支持配置多条白名单规则，多个粒度为“且”的逻辑，多个范围为“或”的关系

本节指导用户通过专属加密的实例列表查看专属加密实例信息，包括专属加密实例的名称/ID、状态、服务版本、设备厂商、设备型号、IP地址和创建时间。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角，选择区域或项目。 步骤 3 单击页面上方的“服务列表”，选择“安全> 数据加密服务”。 步骤 4 在左侧导航树中，选择“专属加密”，进入专属加密实例列表页面。 步骤 5 在专属加密实例列表中，查看专属加密实例信息。 专属加密实例列表参数说明，如表所示。 参数 参数说明 名称/ID 专属加密实例的名称和ID。 状态 专属加密实例的状态： 创建中用户创建的专属加密实例后，系统正在分配专属加密实例给用户，专属加密实例处于“创建中”状态。 创建失败资源不够或网络故障等原因可能导致创建专属加密实例失败，专属加密实例处于“创建失败”状态。 运行中系统已将专属加密实例分配给用户，专属加密实例处于“运行中”状态。 冻结用户购买的专属加密实例到期，且没有续费，专属加密实例处于“冻结”状态。 服务版本 铂金版：用户独享硬件加密机机框、电源资源，独享硬件加密机网络带宽、接口资源。 可用区 显示设备的可用区域。 设备厂商 设备厂商的名称，包含“江南天安”和“三未信安”。 设备型号 设备型号。 IP地址 专属加密实例的浮动IP地址。 创建时间 创建专属加密实例的时间。 步骤 6 用户可单击专属加密实例的名称，查看专属加密实例的详细信息。 专属加密实例详细信息参数说明，如表所示。 参数 参数说明 名称 专属加密实例的名称。 ID 专属加密实例的ID。 状态 专属加密实例的状态： 创建中用户创建的专属加密实例后，系统正在分配专属加密实例给用户，专属加密实例处于“创建中”状态。 创建失败资源不够或网络故障等原因可能导致创建专属加密实例失败，专属加密实例处于“创建失败”状态。 运行中系统已将专属加密实例分配给用户，专属加密实例处于“运行中”状态。 冻结用户购买的专属加密实例到期，且没有续费，专属加密实例处于“冻结”状态。 服务版本 铂金版：用户独享硬件加密机机框、电源资源，独享硬件加密机网络带宽、接口资源。 设备厂商 设备厂商的名称，包含“江南天安”和“三未信安”。 设备型号 设备型号。 虚拟私有云 专属加密实例所在虚拟私有云。 子网 专属加密实例所在的子网。 IP 专属加密实例的浮动IP地址。 安全组 专属加密实例所在的安全组。 可用区 专属加密实例所在的可用区。 创建时间 购买专属加密实例的时间。 到期时间 购买的专属加密实例到期的时间。 所属订单 购买专属加密实例的订单号，可单击订单号，查询订单详情。 计费模式 包年/包月计费。

本章节主要介绍翼MapReduce服务的企业项目管理功能。 企业项目是一种云资源管理方式。企业管理提供面向企业客户的云上资源管理、人员管理、权限管理、财务管理等综合管理服务。区别于管理控制台独立操控、配置云产品的方式，企业管理控制台以面向企业资源管理为出发点，帮助企业以公司、部门、项目等分级管理方式实现企业云上的人员、资源、权限、财务的管理。 MRS支持已开通企业项目服务的用户在创建集群时为集群配置对应的项目，然后使用企业项目管理对翼MR上的资源进行分组管理： 支持用户为多个资源进行分组管理。 支持用户查看企业项目下的资源信息、消费明细。 支持用户对企业项目级别的访问权限控制。 支持用户分企业项目查看具体的财务信息，包括订单、消费汇总、消费明细等。

AI 应用发现列表 1. 列表中逐行展示应用名称、版本号、厂商、AI 类型、关联 AI 插件数、关联 MCP 服务数、关联 AI 模型数、服务 URL、安装目录、运行状态、终端设备、所属用户、最近发现时间等信息，全面了解每个 AI 应用的部署与使用情况。 2. 查询：通过输入“应用名称或版本号”，选择“账户名”、“终端设备”、“设备 IP”、“用户组”、“组织”、“运行状态”等筛选条件，点击【查询】按钮，可按设定条件过滤显示符合要求的 AI 应用记录。 3. 重置：点击【重置】按钮，可清空所有已设置的筛选条件，使列表恢复为默认显示状态，展示所有 AI 应用记录。 4.当前支持发现的AI服务和AI软件如下表所示： 组件名称 GoLand Intellij IDEA WebStorm Canva Chatbox Cursor 豆包 Kimi 智能助手 Microsoft 365 Copilot 纳米 AI 夸克 腾讯元宝 Visual Studio Code 问小白 讯飞星火 AiPPT 讯飞听见 Poe Cici 逗逗游戏伙伴 影刀 RPA 智谱清言 anythingllm langchain Chuanhugpt clickhouse comfymtb ComfyUIPromptPreview ComfyUICustomScripts comfyui dify fastchatwebui fastchat feast gradio jupyterlab jupyternotebook jupyterserver kubeflow kubepi llamafactory llmstudio ollama openwebui pyloadng qanything ragflow ray tensorboard vllm xinference tritoninferenceserver langflow

支持根据自身的业务防护场景配置告警策略,并支持查看告警记录与发送告警信息。 功能介绍 网站接入后，您可以通过设置告警策略，当网站请求流量到达边缘节点时，若检测到攻击事件、异常流量并触发告警策略时，将向您发送告警通知，帮助您及时掌握业务的安全状态。本文介绍如何设置告警策略和查看告警记录。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 配置了对应的安全防护策略，才会生成告警，您可以按需配置防护策略，请参见网站防护配置概述。 说明 默认脱敏显示您的联系方式等敏感信息，点击明文显示时，请您注意保护数据安全！ 设置告警策略 1. 登录边缘安全加速控制台，在左侧导航栏中进入【运营管理】—【告警管理】—【告警策略】页面； 2. 单击【新增】按钮，可以根据需要配置适合的告警，支持配置的告警类型有Web防护告警、CC防护告警、DDoS防护告警、BOT防护告警、访问控制告警。 告警配置新增页面

4 使用套餐 4.1 前提条件 仅生效中的套餐可点击【去使用】按钮。 4.2 访问OpenClaw 1. 在套餐列表中定位目标套餐，确认状态为「生效中」。 2. 点击操作栏的【去使用】按钮： 资源准备完成：【去使用】按钮可点击，点击后弹出「OpenClaw」和「admin」两个访问链接，点击链接跳转至对应的页面访问服务，即可开始使用 OpenClaw 服务。 注意：平台自动为套餐创建的实例绑定白名单安全策略，并加入用户访问控制台的公网IP。如不通过控制台访问应用，需提前在应用访问策略中添加本地 IP 白名单，确保可正常访问。 4.3 切换模型 如订购Pro高级套餐，默认主模型为“GLM5”。可通智能管理面板，修改模型。 1.点击套餐列表操作栏的【去使用】按钮，访问「admin」链接，进入智能管理面板。 2. 点击左侧【系统配置】菜单，进入系统配置页面，在「主模型」配置中可以切换套餐中支持的模型（Pro高级套餐模型已全部内置，无需手动添加），修改后点击“保持全部配置”。 3. 根据提示点击【重庆网关】按钮，重启服务后即可生效。 5 套餐续订

本节介绍如何为日志审计v1.0开启/切换IPv6防护。 子网开启IPv6 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“网络 > 虚拟私有云”。 4. 选择对应的虚拟私有云，选择对应子网，点击子网后的“修改”进入修改子网页面，勾选“开启IPv6”，单击“确定”。 日志审计开通 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云等保专区”。 4. 在资源概览页面右上角，单击“立即购买”。 5. 在购买页面配置基础信息（包括区域 、虚拟私有云 、子网、可用区 和CPU分类 ），套餐选择自定义中的日志审计、并进行产品规格配置。 6. 选择购买时长后，勾选“我已阅读，理解并接受《云等保专区服务协议》”，点击“立即购买”。完成购买后等待资源开通成功。 登录日志审计系统 在云等保专区左侧导航栏，选择“日志审计”，在目标资源右侧操作列单击“配置”，进入日志审计系统。 开启IPv6防护 开通日志审计v1.0后，还需要配置网络才能开启IPv6防护，请提交工单联系技术支持进行配置。

STS即Secure Token Service 是一种安全凭证服务，可以使用STS来完成对于临时用户的访问授权。对于跨用户短期访问对象存储资源时，可以使用STS服务。这样就不需要透露主账号AK/SK，只需要生成一个短期访问凭证给需要的用户使用即可，避免主账号AK/SK泄露带来的安全风险。 初始化STS服务 plaintext var config { accessKeyId: " ", secretAccessKey: " ", endpoint: " ", region: "ctyun",// region固定填ctyun }; var stsClient new AWS.STS(config); 获取临时token plaintext var params { Policy: {"Version":"20121017","Statement":{"Effect":"Allow","Action":["s3:"],"Resource":["arn:aws:s3::: ","arn:aws:s3::: /"]}}, RoleArn: "arn:aws:iam:::role/ ", RoleSessionName: " ", DurationSeconds: 900, // 过期时间 } stsClient.assumeRole(params, function (err, data) { if (err) { console.log("Error", err); } else { console.log("Success", data); } }); 请求参数 参数 类型 描述 是否必要 RoleArn String 角色的ARN，在控制台创建角色后可以查看 是 Policy String 角色的policy，需要是json格式，限制长度1~2048 是 RoleSessionName String 角色会话名称，此字段为用户自定义，限制长度2~64 是 DurationSeconds Integer 会话有效期时间，默认为3600s，范围15分钟至12小时 否

什么情况下会扣资源包次数，识别报错会扣费吗？ 成功调用算入计费次数，单张图片算作一次调用。 若因网络错误未成功调用则不计算次数，其他错误则计算调用次数。 OCR服务剩余次数如何查询？ 如您已购买印刷文字识别OCR资源包，资源包剩余次数可至控制台内查看，进入控制台能力列表选择对应能力的条目，点击【使用详情】按钮查询。 如您的资源包已消耗完毕，会显示“已用完”；如资源包已超过使用日期，会显示“已过期”。 OCR资源包可以转移给到别人的账号么？ 目前不支持转移，建议购买前评估真实使用量，资源包用完可以叠加购买。 OCR服务开通后能否关闭？不使用是否会产生费用？ OCR服务开通后无法关闭，如您后续无使用需求，不调用已开通的OCR接口即无相关费用产生。 同时，请您保管好AppKey和AppSecret信息，保证后期无人调用。 资源到期后是否有提醒？ 资源到期后会给调用API能力的账号发送短信和邮件，建议使用正确的手机号和邮箱便于接收通知。

获取客户端真实IP 网站若使用了流量代理服务（如CDN、DDoS高防、WAF），达到源站的IP均将显示为相关服务的代理回源IP地址，WAF在HTTP请求头部中默认插入了XForwardedFor字段，用于记录客户端真实IP，源站服务器可以通过解析回源请求中的XForwardedFor记录，获取客户端的真实IP，各类型的Web应用服务器针对该字段的提取配置可联系安全防护工程师提供技术支持。 与CDN结合使用 WAF与CDN完全兼容，可以通过与CDN的结合使用，为开启CDN内容加速的业务同时提供Web攻击防护。 若已经接入CDN服务，将云WAF为防护域名分配的CNAME地址作为CDN的源站即可。 客户端 > CDN > WAF > 源站，流量将按照用户 > CDN > WAF >源站的架构回源。同时，需要您联系CDN服务商，将客户端的真实IP通过clientIP字段插入至HTTP请求头部中，并告知安全防护工程师进行提取配置，保证WAF正常防护。 防护策略说明 WAF防护服务目前默认策略分为低、中、高与 AI 学习模式。各防护策略均包含上述攻击类型在内的安全防护，策略等级越高越严格，攻击漏拦截概率越小，对业务 访问影响程度可能更高（业务代码不规范也会触发阻断策略）。 低级防护策略主要针对攻击特征比较明显的违规请求，适用于站点存在较多不可控用户输入（如含有富文本编辑器的网站业务）的业务场景。 一般情况下，中级防护策略适用于绝大部分业务场景的Web防护需求。 高级防护策略采用了最精细的防护颗粒度，适用于对业务安全性要求较高，同时需要网站开发人员高度参与策略定制与防护过程的业务场景。 如对站点业务流量特征还不完全清楚，可以启用AI学习模式，该模式下AI学习引擎会自动学习网站的访问模式与流量特征，经过7到14天的分类训练和流量学习后会对所有策略根据机器算法进行评分，保留学习后符合标准的策略规则，大幅减少误报，提高对已知与未知Web安全威胁的防护效果，同时，可联系天翼云安全工程师基于学习期间的攻防日志，进一步优化安全防护策略和配置。 接入WAF防护服务后，当启用防护策略时，即便是低级防护策略 ，可能也会因为网站代码实现不够规范或用户通过非常规方式访问等情况，造成用户的上传搜索等正常操作可能被误认为是攻击而拦截掉。当业务访问出现误报较多的情况，建议将防护模式调整为观察模式，通过自服务平台查看告警日志，并及时观察业务的正常使用情况，发现误报请求后第一时间联系天翼云安全工程师优化安全防护策略。

参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String 区域ID 81f7728662dd11ec810800155d307d5b targetGroupID 是 String 后端服务组ID xxxxxx targetIDs 是 Array of Strings 后端服务 ID 列表 ['xxxxxx']

本节为您介绍对象存储迁移的使用场景。 各环境迁移至天翼云 场景说明 业务在不同环境中运行，包括天翼云不同区域或者其他云服务平台上。需要将这些不同环境中的业务数据迁移至天翼云平台。 场景痛点 不同区域之前无权限操作 各主流云服务平台类型不同难兼容 云下组件业务功能与云上不一致迁移困难 产品架构 产品优势 平行迁移：实现将源平台的数据平行迁移至目标平台，减少业务系统改动，使迁移过程更加顺畅。 可视化界面：迁移工具提供可视化界面，使得一键迁移变得简单，降低了迁移的难度。 应用兼容性：调用第三方服务的接口进行切换，最大程度将主机上的应用与云上兼容。 多家云平台兼容：具有良好的天翼云、阿里云、华为云等多家云计算厂商跨云迁移的兼容性，支持不同云平台之间的迁移。 搭配使用产品 在该场景实施建设时，您也可以搭配使用以下产品： 对象存储CTZOS：用于承载迁移后的应用和业务系统。 弹性IP EIP：为迁移后的对象存储提供静态公网IP，保证访问能力。

准备资源 要求 创建指导 VPC和子网 不同的RocketMQ实例可以重复使用相同的VPC和子网，也可以使用不同的VPC和子网，请根据实际需要进行配置。在创建VPC和子网时应注意如下要求：·创建的VPC与使用的分布式消息服务RocketMQ应在相同的区域。·创建VPC和子网时，如无特殊需求，配置参数使用默认配置即可。 创建VPC和子网的操作指导请参考创建虚拟私有云和子网，若需要在已有VPC上创建和使用新的子网，请参考为虚拟私有云创建新的子网。 安全组 不同的RocketMQ实例可以重复使用相同的安全组，也可以使用不同的安全组，请根据实际需要进行配置。在创建安全组时应注意如下要求：·创建安全组时，“模板”选择“自定义”。·创建安全组后，请保留系统默认添加的入方向“允许安全组内的弹性云服务器彼此通信”规则和出方向“放通全部流量”规则。·使用分布式消息服务RocketMQ必须添加表2所示安全组规则，其他规则请根据实际需要添加。 创建安全组的操作指导请参考创建安全组，为安全组添加规则的操作指导请参考添加安全组规则。

步骤四：在Kafka控制台绑定弹性公网IP地址 步骤 1 在管理控制台左上角单击，选择“应用服务 > 分布式消息服务 Kafka”，进入分布式消息服务Kafka专享版页面。 步骤 2 单击Kafka实例名称，进入实例详情页面。 步骤 3 在“基本信息”页面的“高级配置”区域，单击“修改”。 步骤 4 将“advertised.listeners IP/域名”改为DNAT规则中的弹性公网IP，内网连接地址和弹性公网IP的对应关系与添加DNAT规则中记录的对应关系保持一致，单击“保存”。 图修改advertised.listeners IP（使用DNAT访问） 步骤五：验证接口连通性 参考连接未开启SASL的Kafka实例或者连接已开启SASL的Kafka实例，测试是否可以生产和消费消息。 测试接口连通性时，注意以下几点： 连接Kafka实例的地址为“advertised.listeners IP:9011”，以上图为例，连接Kafka实例的地址为“124.xxx.xxx.167:9011,124.xxx.xxx.174:9011,124.xxx.xxx.57:9011”。 在Kafka实例安全组的入方向规则中放通9011端口。 连接Kafka实例的客户端已开启公网访问功能。

本章节介绍了如何进行精细的权限管理。 如果您需要对您所拥有的DMS for RocketMQ进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的天翼云帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用DMS for RocketMQ资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将DMSfor RocketMQ资源委托给更专业、高效的其他天翼云帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。 如果天翼云帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用DMS for RocketMQ的其它功能。 本章节为您介绍对用户授权的方法，操作流程如图1所示。 前提条件 给用户组授权之前，请您了解用户组可以添加的DMS for RocketMQ权限，并结合实际需求进行选择，DMS for RocketMQ支持的系统权限，请参见：DMS for RocketMQ系统策略。若您需要对除DMS for RocketMQ之外的其它服务授权，IAM支持服务的所有策略请参见系统权限。 示例流程 图1 给用户授权DMS for RocketMQ权限流程 1. 创建用户组并授权 在IAM控制台创建用户组，并授予DMS for RocketMQ的管理员权限“DMS ReadOnlyAccess”。 2. 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 3. 用户登录并验证权限 新创建的用户登录控制台，验证DMS for RocketMQ的管理员权限。

本章节主要介绍云搜索服务如何进行标签管理。 标签是集群的标识。为集群添加标签，可以方便用户识别和管理拥有的集群资源。 您可以在创建集群时添加标签，也可以在集群创建完成后，在集群的详情页添加标签。 为集群添加标签 1.登录云搜索服务管理控制台。 2.在创建集群页面，“高级配置”选择“自定义”后，为集群添加标签。 您可以选择预定义标签，并为此标签设置“标签值”。您可以单击“查看预定义标签”，进入“标签管理服务”，了解此用户下已有的标签。 您也可以自定义“标签键”和“标签值”。 云搜索服务的每个集群最多可以设置10个标签。当设置不正确时，可单击标签右侧的“删除”按钮，删除此标签。当不设置标签时，可保持为空。 标签命名规则 参数 说明 标签键 不能为空。 对于同一个集群，标签键值唯一。 长度不超过36个字符。 只能包含数字、英文字母、下划线、中划线和中文。 标签值 长度不超过43个字符。 只能包含数字、英文字母、下划线、中划线和中文。 不能为空。 通过标签搜索集群 1.登录云搜索服务管理控制台。 2.在集群管理页面，单击集群列表右上角的“标签搜索”。 3.输入需要搜索的标签键和标签值。 标签键和标签值仅支持从下拉列表中选择，当标签键和标签值全匹配时，系统可以自动查询到目标集群。当有多个标签条件时，会取各个标签的交集，进行集群查询。 系统最多支持10个不同标签的组合搜索。 4.单击“搜索”。 系统根据标签键和标签值搜索目标集群。

本页为您介绍IAM相关概念及权限管理。 数据传输服务DTS已对接天翼云统一身份认证服务（IAM），可实现控制台功能、OpenAPI维度对用户访问、操作资源的权限控制等， 以达到用户权限的精细管理，保证访问的安全性。 IAM简介 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。目前天翼云提供对应专有的CTIAM服务，用户可申请开通后免费使用，您只需要为您帐号中的云服务和资源进行付费。具体IAM使用说明详情见：统一身份认证。 IAM涉及主要概念 主用户 ：用户在天翼云注册后自动创建，该用户对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，为了确保账号安全，建议创建子用户来进行日常管理工作。 子用户 ：由拥有IAM权限的用户，在用户中心创建的子用户。子用户的用户名、密码由拥有IAM权限的用户控制。子用户同样可以登录访问天翼云控制台，登录入口与主用户相同，受赋予的权限限制。 用户组 ：用户组是用户的集合，IAM通过用户组功能实现用户的授权。您创建的IAM用户，需要加入特定用户组后，才具备对应的权限，否则IAM用户无法访问您帐号中的任何资源或者云服务。 系统策略 ：由产品团队维护，系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对DTS的只读权限、对 DTS的管理员权限等；系统策略在IAM控制台中只能用于授权，不能编辑和修改。 自定义策略 ：由用户自己在IAM控制台创建和管理的权限集，是用户可以自由定义的权限，是对系统策略的扩展和补充。 企业项目 ：企业项目权限是实现细粒度控制的基础。将云资源、企业成员按企业项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用企业项目内云资源的权限受用户组的授权限制。

校验环节 校验目标 失败常见场景与处理方案 网络连通检测 验证平台与目标接口的网络可达性 失败提示： 请检查网络策略后，重新测试！ 处理：排查平台与目标服务的网络策略（如防火墙、白名单、端口访问权限），确认 URL 无拼写错误、服务处于运行状态后，重新发起测试。 鉴权校验 验证 API 密钥 / Token 的有效性与访问权限 失败场景：401/403 鉴权失败、Token 过期、权限不足 处理：核对 API 密钥 / Token 是否正确，确认凭证未过期且具备目标接口的调用权限，补充正确的鉴权信息后重试。 模型参数检测 验证请求参数、模型标识与接口规范的匹配性 失败场景：参数格式错误、模型名称不存在、请求体字段缺失 处理：核对非标接口请求模板的字段格式，确认模型名称与目标服务支持的模型列表一致，修正参数配置后重试。

校验环节 校验目标 失败常见场景与处理方案 网络连通检测 验证平台与目标接口的网络可达性 失败提示： 请检查网络策略后，重新测试！ 处理：排查平台与目标服务的网络策略（如防火墙、白名单、端口访问权限），确认 URL 无拼写错误、服务处于运行状态后，重新发起测试。 鉴权校验 验证 API 密钥 / Token 的有效性与访问权限 失败场景：401/403 鉴权失败、Token 过期、权限不足 处理：核对 API 密钥 / Token 是否正确，确认凭证未过期且具备目标接口的调用权限，补充正确的鉴权信息后重试。 模型参数检测 验证请求参数、模型标识与接口规范的匹配性 失败场景：参数格式错误、模型名称不存在、请求体字段缺失 处理：核对非标接口请求模板的字段格式，确认模型名称与目标服务支持的模型列表一致，修正参数配置后重试。

KMS加密 说明 源端解密不支持KMS。 CDM目前只支持导入文件到OBS时，目的端使用KMS加密，表/文件迁移和整库迁移都支持。在“目的端作业配置”的“高级属性”中配置。 KMS密钥需要先在数据加密服务创建，具体操作请参见《数据加密服务用户指南》。 当启用KMS加密功能后，用户上传对象时，数据会加密成密文存储在OBS。用户从OBS下载加密对象时，存储的密文会先在OBS服务端解密为明文，再提供给用户。 说明 如果选择使用KMS加密，则无法 如果这里使用其它项目的KMS ID，则需要修改“项目ID”参数为KMS ID所属的项目ID；如果KMS ID与CDM在同一个项目下，“项目ID”参数保持默认即可。 使用KMS加密后，OBS上对象的加密状态不可以修改。 使用中的KMS密钥不可以删除，如果删除将导致加密对象不能下载。

功能介绍 敏感词防护功能支持对网站返回的内容进行脱敏展示，过滤内容包括敏感信息（如身份证、手机号、银行卡、邮箱等）。您可以根据实际需要设置敏感词防护规则，满足数据安全保护和等保合规需求。 注意 防护敏感信息泄露功能目前只支持识别中华人民共和国境内（中国香港特别行政区、中国澳门特别行政区、中国台湾暂不支持）的身份证号、手机号、银行卡号、邮箱。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通套餐为基础版及以上版本，支持防护敏感信息泄露相关功能。 背景信息 个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。根据《GBT 352732017信息安全技术个人信息安全规范》解读：个人敏感信息包括：身份证号码，个人生物识别信息，银行账号，通信记录和内容，财产信息，征信信息，行踪轨迹，住宿信息，健康信息，交易信息，14岁以下（含）儿童的个人信息等。防护敏感信息泄露功能对网站的敏感内容脱敏处理，避免重要数据泄露带来的风险。 说明 默认脱敏显示您的联系方式等敏感信息，点击明文显示时，请您注意保护数据安全！

本章节主要介绍翼MapReduce服务的产品优势。 MRS服务拥有强大的Hadoop内核团队，基于FusionInsight大数据企业级平台构筑。历经行业数万节点部署量的考验，提供多级用户SLA保障。 MRS具有如下优势： 高性能 MRS支持自研的CarbonData存储技术。CarbonData是一种高性能大数据存储方案，以一份数据同时支持多种应用场景，并通过多级索引、字典编码、预聚合、动态Partition、准实时数据查询等特性提升了IO扫描和计算性能，实现万亿数据分析秒级响应。同时MRS支持自研增强型调度器Superior，突破单集群规模瓶颈，单集群调度能力超10000节点。 低成本 基于多样化的云基础设施，提供了丰富的计算、存储设施的选择，同时计算存储分离，提供了低成本海量数据存储方案。MRS可以按业务峰谷，自动弹性伸缩，帮助客户节省大数据平台闲时资源。MRS集群可以用时再创建、用时再扩容，用完就可以销毁、缩容，确保成本最优。 高安全 MRS服务拥有企业级的大数据多租户权限管理能力，拥有企业级的大数据安全管理特性，支持按照表/按列控制访问权限，支持数据按照表/按列加密。 易运维 MRS提供可视化大数据集群管理平台，提高运维效率。并支持滚动补丁升级，可视化补丁发布信息，一键式补丁安装，无需人工干预，不停业务，保障用户集群长期稳定。

恢复备份数据 须知： 备份数据恢复会使用备份的历史数据覆盖微服务引擎当前数据，可能导致微服务、服务实例错乱，动态配置丢失等问题，请谨慎操作！ 步骤 1 登录ServiceStage控制台，选择“微服务引擎 CSE”。 步骤 2 单击专享版的微服务引擎名称，进入微服务引擎的“基本信息”页面。 步骤 3 选择“备份与恢复”页签，单击指定备份数据后面“操作”列下的“恢复”。 步骤 4 勾选“我已阅读并充分了解该风险”，单击“确定”，恢复备份数据。 单击“恢复记录”，可查看恢复状态。

本章节介绍天翼云云硬盘备份产品的相关协议。 天翼云云硬盘备份服务协议，详情请参见这里。

本文介绍如何删除服务组。 服务组是多个端口的集合。通过使用服务组，可帮助您便捷防御高危端口，有效应对需要重复编辑访问规则的场景，并且方便管理这些访问规则。 操作步骤 1.登录天翼云控制中心。 2.在左侧导航树中，单击左上方的“服务列表”，选择“安全 > 云防火墙”，进入云防火墙的概览页面。 3.在左侧导航栏中，选择“访问控制>服务组管理”，进入“服务组管理”界面。 4.在待删除的服务组所在行的“操作”列，单击“删除”。 5.在弹出的“删除服务组”界面，确认删除的信息无误后，单击“是”，完成删除。 注意 删除服务组后无法恢复，请谨慎操作。