本文介绍数据授权功能，使用户可以快速熟悉数据授权页面的相关操作，以及如何进行数据授权。 前提条件 用户需要具有进入数据授权 页面的菜单权限。菜单权限请参考权限说明。 注意事项 数据授权功能仅限企业版。 超级管理员、管理员可以授权组织内所有实例 的数据权限，团队管理员可以授权团队内所有实例的数据权限。 每次授权仅限一种类型的资源粒度，资源粒度从大到小依次是实例、库/模式、表。 数据权限支持按资源粒度继承，即用户拥有大粒度资源的数据权限时，则默认拥有该大粒度资源下所有小粒度资源的数据权限。 多次授权同一用户、同一资源、同一权限后，最后一次授权的结果会覆盖之前授权的结果。 操作步骤 用户可以在安全协作>用户与角色 页面中点击某个用户信息的“数据授权”按钮进入数据授权页面，也可以在安全协作>团队管理>团队成员管理页面中点击某个团队成员信息的“数据授权”按钮进入数据授权页面。 数据授权的具体操作流程如下： 1. 选择资源的粒度。进入数据授权页面后，默认选择库/模式授权，可以点击其他标签，切换到其他资源粒度，每次授权仅限一种类型的资源粒度。 2. 选择授权的资源。在左侧”请选择“框内勾选想要授权的资源的复选框，然后点击中间的”>“按钮，即可将当前页选中的资源加入到右侧”已选择“框内。如果想要删除右侧“已选择”框内的资源，可以勾选想要删除的资源的复选框，然后点击中间的“<”按钮，即可将右侧“已选择”框内的资源删除。每次授权可以同时选择多个资源。 3. 选择权限的类型。根据用户需要，勾选对应权限类型的复选框。每次授权可以同时选择多种权限。 4. 选择权限的有效期。权限有效期默认为1个月，根据用户需要，可以选择3个月、半年或者1年，也可以点击时间栏，直接指定权限的到期时间。 5. 确定信息无误后，点击页面右下角的“确认授权”按钮即可完成授权。

性能项目 云数据库RDS 自购服务器搭建数据库服务 服务可用性 请参见《弹性云服务器用户指南》。 需要购买额外设备，自建主从，自建RAID。 数据可靠性 请参见《云硬盘用户指南》。 需要购买额外设备，自建主从，自建RAID。 系统安全性 防DDoS攻击，流量清洗；及时修复各种数据库安全漏洞。 需要购买昂贵的硬件设备和软件服务，需要自行检测和修复安全漏洞等。 数据库备份 支持自动备份，手动备份，自定义备份存储周期。 需要购买设备，并自行搭建设置和后期维护。 软硬件投入 无需投入软硬件成本，按需购买，弹性伸缩。 数据库服务器成本相对较高，对于Microsoft SQL Server需支付许可证费用。 系统托管 无需托管。 需要自购2U服务器设备，如需实现主从，购买两台服务器，并进行自建。 维护成本 无需运维。 需要投入大量人力成本，招聘专业的DBA进行维护。 部署扩容 弹性扩容，快速升级，按需开通。 需采购和原设备匹配的硬件，需托管机房的配合，需部署设备，整体周期较长。 资源利用率 按实际结算，100%利用率。 考虑峰值，资源利用率低。

性能项目 云数据库RDS 自购服务器搭建数据库服务 服务可用性 请参见《弹性云主机用户指南》。 需要购买额外设备，自建主从，自建RAID。 数据可靠性 请参见《云硬盘用户指南》。 需要购买额外设备，自建主从，自建RAID。 系统安全性 防DDoS攻击，流量清洗；及时修复各种数据库安全漏洞。 需要购买昂贵的硬件设备和软件服务，需要自行检测和修复安全漏洞等。 数据库备份 支持自动备份，手动备份，自定义备份存储周期。 需要购买设备，并自行搭建设置和后期维护。 软硬件投入 无需投入软硬件成本，按需购买，弹性伸缩。 数据库服务器成本相对较高，对于Microsoft SQL Server需支付许可证费用。 系统托管 无需托管。 需要自购2U服务器设备，如需实现主从，购买两台服务器，并进行自建。 维护成本 无需运维。 需要投入大量人力成本，招聘专业的DBA进行维护。 部署扩容 弹性扩容，快速升级，按需开通。 需采购和原设备匹配的硬件，需托管机房的配合，需部署设备，整体周期较长。 资源利用率 按实际结算，100%利用率。 考虑峰值，资源利用率低。

天翼云大数据型物理机提供高带宽、大容量的存储和计算资源，是低时延、高性能、高可靠的大数据业务基础资源，用于提升大数据分析业务资源利用率，满足大规模数据处理、分布式计算和实时分析的需求，助力企业做出准确决策和优化业务运营，挖掘数据中的价值。 规格名称 CPU 内存（GB） 处理器 处理器主频（GHz） 本地磁盘 内网带宽（Gbps） 是否支持挂载云硬盘 physical.s5se.2xlarge1.1 2路32核 512 Intel 8378A 3.0 系统盘：2960GB（SSD）数据盘：12 12000GB（SATA） 50 不支持 physical.s5.2xlarge29 2路32核 768 Intel 8378A 3.0 系统盘：2480GB（SSD）数据盘：10 3200GB（NVMeSSD） 225 不支持

4.2 速度提升的边界 plaintext 理想吞吐 单卡吞吐 × 总卡数 × 并行效率 效率损失来源: ├─ TP: AllReduce通信，单节点内 30%损失 ├─ PP: 气泡时间，GPipe约1020%，1F1B约1525% └─ DP: 梯度同步，大batch时 20% 实践建议： 优先用PP扩展：通信最少，扩展性最好 TP只用单节点：跨节点TP是性能杀手 DP需要大batch：global batch ≥ 1M tokens时效率最佳 五、配置实例：70B模型训练 硬件：4节点×8A10080GB（共32卡） 模型配置：70B参数，80层， hiddensize8192， seqlen4096 计算配置： TP8（单节点内8卡） PP4（4节点构成完整模型） DP1 项目 每卡参数量 每卡显存 bf16 参数 2.2 B 2.2 B × 2 B 4.4 GB fp32 master weight 2.2 B 2.2 B × 4 B 8.8 GB Adam（momentum + variance） 2.2 B 2 × 2.2 B × 4 B 17.6 GB bf16 梯度 2.2 B 2.2 B × 2 B 4.4 GB 激活值 8192 (seq) × 1 (microbatch) × 8192 (hidden) × 2 B / TP8 ≈ 16 MB 峰值激活 ≈ 4 (inflight) × 20 (layers) × 16 MB ≈ 1.3 GB 小计 ~37 GB

本文介绍如何更新仓库镜像。 镜像列表会定期自动更新，也可以通过手动更新列表，来更新节点和仓库中存在的镜像资产。 前提条件 已添加镜像仓库，详细操作请参见配置镜像仓库。 更新仓库镜像列表 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“镜像安全”，进入镜像安全页面。 3. 选择“仓库镜像”页签，单击仓库镜像列表右上角的“更新镜像”，可拉取仓库中的所有仓库镜像。 4. 选择更新范围：支持更新全部仓库镜像、单个仓库内的镜像、单个仓库项目内的镜像三种更新方式。 5. 单击“确定”，完成更新操作。 更新节点镜像列表 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“镜像安全”，进入镜像安全页面。 3. 选择“节点镜像”页签，单击节点镜像列表右上角的“更新镜像”，可拉取集群中的所有节点镜像。 4. 选择更新范围：支持更新全部节点镜像、更新集群内的镜像两种更新方式。 5. 单击“确定”，完成更新操作。

本章节主要介绍MapReduce如何创建集群。 使用翼MR的首要操作就是创建集群，本章节为您介绍如何在翼MR管理控制台创建一个新的集群。 操作步骤 1.登录翼MR管理控制台。 2.单击“创建集群”，进入“创建集群”页面。 说明 创建集群时需要注意配额提醒。当资源配额不足时，建议按照提示申请足够的资源，再创建集群 。 3.在创建集群页面，选择“自定义创建”页签。 4 .配置集群软件信息。 区域：默认即可。 集群名称：可以设置为系统默认名称，但为了区分和记忆，建议带上项目拼音缩写或者日期等。例如：“mrs20180321”。 集群版本：默认最新版本即可。 集群类型：默认选择“分析集群”即可。 组件选择：分析集群勾选Spark2x、HBase和Hive等组件。流式集群勾选Kafka和Storm等组件。混合集群可同时勾选分析集群流式集群的组件。 元数据：默认即可。 说明 针对翼MR 3.x之前版本，分析集群勾选Spark、HBase和Hive等组件 。 5.单击“下一步”。 可用区：默认即可。 虚拟私有云：默认即可。如果没有虚拟私有云，请单击“查看虚拟私有云”进入虚拟私有云，创建一个新的虚拟私有云。 子网：默认即可。 安全组：选择“自动创建”。 弹性公网IP：选择“暂不绑定”。 实例规格：Master和Core节点都选择“通用计算型S3>8核16GB(s3.2xlarge.2 )”。 系统盘：存储类型选择“普通IO”，存储空间默认即可。 数据盘：存储类型选择“普通IO”，存储空间默认即可，数据盘数量默认即可。 实例数量：Master节点数量默认为2，Core节点数量配置为3。 注意 上述“实例规格”示例，实际可选规格请以各资源池可用规格为准。 6.单击“下一步”进入高级配置页签，配置参数，其他参数保持默认。 Kerberos认证： −Kerberos认证：关闭Kerberos认证。 −用户名：Manager管理员用户，目前默认为admin用户。 −密码：Manager管理员用户的密码。 登录方式：选择登录ECS节点的登录方式。 −密码：设置登录ECS节点的登录密码。 −密钥对：从下拉框中选择密钥对，如果已获取私钥文件，请勾选“我确认已获取该密钥对中的私钥文件 SSHkeyxxx ，否则无法登录弹性云主机”。如果没有创建密钥对，请单击“查看密钥对”创建或导入密钥，然后再获取私钥文件。 通信安全授权：勾选确认授权。 7.单击“立即申请”。 当集群开启Kerberos认证时，需要确认是否需要开启Kerberos认证，若确认开启请单击“继续”，若无需开启Kerberos认证请单击“返回”关闭Kerberos认证后再创建集群。 8.单击“返回集群列表”，可以查看到集群创建的状态。 集群创建需要时间，所创集群的初始状态为“启动中”，创建成功后状态更新为“运行中”，请您耐心等待。

本文介绍云主机错误状态及解决方案。 一、引言 随着云计算技术的快速发展，云主机已经成为企业、个人和开发者们进行互联网应用的首选。然而，使用云主机的过程并非完全顺利，可能会遇到各种错误状态。本文将详细探讨云主机错误状态的类型、原因以及解决方案，帮助用户更好地管理和维护自己的云主机。 二、云主机错误状态类型 1. 网络错误。 网络错误是云主机使用过程中最常见的错误类型之一。网络错误可能包括网络连接超时、无法连接到远程云主机或网络连接中断等。这些错误通常是由于网络配置问题、网络设备故障或网络拥堵等原因引起的。 2. 云主机错误。 云主机错误通常包括云主机启动失败、运行异常、过载等。这类错误可能是由于云主机硬件故障、软件问题、操作系统故障或云主机资源不足等原因引起的。 3. 应用程序错误。 应用程序错误是指运行在云主机上的应用程序出现错误。这类错误可能包括应用程序崩溃、运行缓慢、内存泄漏等。这些错误可能是由于应用程序本身的问题，如代码错误、不兼容性或配置问题等引起的。 4. 安全错误。 安全错误是指与安全相关的错误，如身份验证失败、权限问题或安全策略冲突等。这些错误可能是由于用户名或密码错误、权限配置错误或安全策略设置不当等原因引起的。 三、云主机错误状态原因分析 1. 网络问题。 网络问题可能是由于网络设备故障、网络连接问题或网络配置不当等原因引起的。例如，如果云主机的网络设备出现故障，或者网络连接被中断，那么就会出现网络错误。此外，如果网络配置不正确，例如DNS解析不正确，也可能会导致无法连接到远程云主机。 2. 云主机硬件故障。 云主机硬件故障可能是由于云主机硬件设备出现故障或云主机资源不足等原因引起的。例如，如果云主机的硬盘出现故障，那么云主机可能无法启动或运行异常。此外，如果云主机的资源不足，例如内存不足或CPU过载，也可能会导致云主机运行异常。 3. 应用程序问题。 应用程序问题可能是由于应用程序本身的问题，如代码错误、不兼容性或配置问题等引起的。例如，如果应用程序的代码存在错误，那么应用程序可能无法正常运行。此外，如果应用程序的配置不正确，例如数据库连接不正确或文件路径错误，也可能会导致应用程序运行异常。 4. 安全问题。 安全问题可能是由于身份验证失败、权限问题或安全策略冲突等原因引起的。例如，如果用户名或密码不正确，那么身份验证可能会失败。此外，如果权限配置不正确，例如权限设置过于宽松或过于严格，也可能会导致权限问题。另外，如果安全策略设置不当，例如过于宽松的安全策略或过于严格的安全策略，也可能会导致安全问题。

方案优势 借助VPC终端节点和云专线服务，用户能够为企业打造一个更加强大、安全、高效的混合云架构，实现云下IDC与云上环境之间的无缝连接，提升业务的可用性和性能： VPC终端节点使得云下IDC可以通过内网直接访问云上资源和服务，避免了通过复杂的公网访问可能带来的安全风险，能够降低数据泄漏和网络攻击的风险。 云专线服务提供了可靠的高速连接，加强了云下IDC与云上环境之间的通信速度，有助于优化数据传输和应用性能，提升用户体验。 使用VPC终端节点和云专线服务创建连接创建简易灵活，无需繁琐的配置，有助于快速响应业务需求，以适应不断变化的业务环境。

2.客户端登录 （1）软模块登录 登录时，右下加出现量子安全提示 （2）量子安全盾登录 量子安全盾首次使用，通过手机验证码进行激活（如下图），激活成功后继续登录 桌面检测到量子安全盾拔出，自动退出用户登录。 3.特别说明 （1）试用政策 试用期内不限用户数量 有效期至2026年12月31日 （2）使用要求 客户端需升级至V3.1.1及以上版本 暂不支持Web客户端访问 客户端需在互联网环境下使用 扫码登录和企业登录暂时不支持量子安全登录

本文介绍边缘函数增值服务的计费规则和注意事项。 重要说明 边缘函数功能可以让企业研发人员将自定义的代码秒级一键部署到天翼云CDN边缘节点上，实现可编程CDN能力，快速满足不同客户的个性化定制需求。 计费规则 边缘函数按函数执行次数计费，标准资费说明如下： 函数规格 标准资费 单位 10ms 1 元/百万次 50ms 3 元/百万次 100ms 5 元/百万次 计费方式：按量后付费。 计费周期：按小时结算，定时扣费。 注意事项 边缘函数功能在中国内地和全球（不含中国内地）计费的标准资费相同。 函数规格指单次运行函数的CPU耗时，该耗时不包括等待IO的时间。

应用场景 使用CherryStudio加载DeepSeek大模型的应用场景如下： 1. 学习研究 ：学生用其整理复习资料、辅助学术研究、助力论文写作；研究人员用于文献综述、分析问题等。 2. 工作办公 ：项目管理中生成报告、分析风险；内容创作时构思创意、撰写文案；代码开发里获取代码示例、解决问题。 3. 生活娱乐 ：作为智能聊天伙伴解闷陪伴，为创意活动如绘画等提供灵感启发。 4. 知识管理 ：个人可构建知识体系，团队能实现知识共享。 注意 建议使用天翼云提供的DeepSeek镜像创建云主机，减少安装过程中可能遇到的问题。镜像选择请参考在天翼云使用Ollama运行DeepSeek的最佳实践7B等版本弹性云主机最佳实践AIGC实践 天翼云。 操作步骤 一、 云主机端口配置更新 首先，您需要登录天翼云控制中心，对部署DeepSeek大模型的云主机添加新的端口开放操作。通过天翼云控制台进入部署了DeepSeek大模型的云主机详情页，选择安全组，添加新的开放端口，建议选择新加114343端口，该端口是 Ollama 服务默认监听的端口。添加完成后，可在安全组规则列表中查看新添加的11434 端口规则，确认其状态为正常生效。 随后进入控制台，远程登陆即将安装AnythingLLM的云主机。

应用场景 使用CherryStudio加载DeepSeek大模型的应用场景如下： 1. 学习研究 ：学生用其整理复习资料、辅助学术研究、助力论文写作；研究人员用于文献综述、分析问题等。 2. 工作办公 ：项目管理中生成报告、分析风险；内容创作时构思创意、撰写文案；代码开发里获取代码示例、解决问题。 3. 生活娱乐 ：作为智能聊天伙伴解闷陪伴，为创意活动如绘画等提供灵感启发。 4. 知识管理 ：个人可构建知识体系，团队能实现知识共享。 注意 建议使用天翼云提供的DeepSeek镜像创建云主机，减少安装过程中可能遇到的问题。镜像选择请参考在天翼云使用Ollama运行DeepSeek的最佳实践7B等版本弹性云主机最佳实践AIGC实践 天翼云。 操作步骤 一、 云主机端口配置更新 首先，您需要登录天翼云控制中心，对部署DeepSeek大模型的云主机添加新的端口开放操作。通过天翼云控制台进入部署了DeepSeek大模型的云主机详情页，选择安全组，添加新的开放端口，建议选择新加114343端口，该端口是 Ollama 服务默认监听的端口。添加完成后，可在安全组规则列表中查看新添加的11434 端口规则，确认其状态为正常生效。 随后进入控制台，远程登陆即将安装AnythingLLM的云主机。

本文主要介绍DRDS控制台支持的实例监控指标,通过查看实例监控信息,了解当前实例的相关运行状态。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 分布式关系型数据库 ，进入分布式关系型数据库产品页面。然后单击管理控制台 ，进入概览 页面。 2. 在左侧导航栏，选择DRDS > 实例监控 ，进入实例监控页面。然后在顶部菜单栏，选择区域和项目。 3. 查看实例总览信息。 您可以在总览 区域，查看当前租户下实例的用户密码到期时间统计信息和用户密码消息。 4. 查看实例监控信息。 您可以在实例监控区域的实例列表中选择待查看的目标实例，或选择目标时间段查看目标实例监控信息。未进行时间筛选时，展示的是实时监控数据。 实例监控区域中展示了目标实例在目标时间段内的TPS，前端连接数，后端连接数，CPU，内存和磁盘的监控数据。 注意 TPS是统计所有SQL语句的每秒钟执行的数量。 监控指标 DRDS所支持的监控指标如下： 指标名称 指标含义 CPU使用率 该指标用于统计当前实例机器CPU使用情况。 内存大小 该指标用于统计当前实例的内存使用大小。 前端连接总数 该指标用于统计当前实例前端连接的总数。 前端连接限制总数 该指标用于统计当前实例前端连接限制的总数。 前端连接数 该指标用于统计当前实例的前端连接情况。 后端活跃连接总数 该指标用于统计当前实例活跃的后端连接总数。 后端空闲连接总数 该指标用于统计当前实例后端空闲的连接总数。 后端总连接数 该指标用于统计当前实例后端的连接总数。 分组TPS 该指标用于统计当前每秒钟发到实例的请求数。 今日SQL总数 该指标用于统计当前实例的今日SQL总数。 磁盘使用率 该指标用于统计当前实例的磁盘使用情况。 FULL GC次数 该指标用于统计当前实例的历史FULL GC次数。 说明 将鼠标悬浮在发生FULL GC时间点，可查看生FULL GC时前后的内存变化。 该指标只在查看历史监控数据时进行展示。

本文介绍如何提交SQL变更工单,数据管理服务DMS SQL变更功能支持INSERT、DELETE、UPDATE、DROP TABLE、TRUNCATE等SQL语句,可以对数据库中的数据进行变更操作。 前提条件 数据库类型为MySQL、PostgreSQL、DRDS、Oracle。 功能介绍 SQL变更工单是DMS工单系统中的一种类型，用于提交SQL变更语句，确保SQL语句经过工单的预检查、审批流程后才能执行，确保SQL变更操作的规范、安全和可控。 注意 基础版和企业版都支持SQL变更工单，区别在于只有企业版支持预检查和审批功能，基础版工单一经提交，会直接到执行阶段，执行时可选择手动执行或者自动执行。 操作步骤 创建SQL变更工单 1. 登录DMS控制台。 2. 在左侧导航栏，选择开发空间 > SQL变更 ，进入SQL变更管理页面。 3. 单击SQL变更按钮，弹出SQL变更工单填写界面，工单需要输入的内容说明见下表1。 4. 填写完SQL变更工单后，单击提交按钮，即完成工单的提交，进入SQL变更工单后续阶段。 表1 SQL变更工单输入内容说明 输入内容 说明 目标数据库（必填） 选择有变更权限的数据库/模式，支持MySQL、PostgreSQL、DRDS、Oracle数据源，其中MySQL、DRDS、Oracle可选择到库级别，PostgreSQL可选择到模式级别。 变更SQL（必填） 输入需要变更的SQL语句，或者上传SQL文件，上传后文件内容的语句会自动解析至文本输入框中。 自动执行（必填） 选择是，工单审批通过后立即执行；选择否，工单审批通过后手动执行。 最晚执行时间 选择SQL最晚执行时间，超过该时间后，即使工单已被审批通过也讲无法执行。 关联人 选择需要看到此工单的用户名，可多选，关联人可在工单列表页面查看此工单。 工单说明 描述工单备注内容。 注意 变更SQL上传文件仅支持SQL格式，最大不能超过1M。 变更SQL仅支持DDL、DML语句，单次SQL变更执行语句最多2000条。

导出病毒告警文件 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、选择“主动防御 > 病毒查杀”，进入“病毒查杀”界面。 4、在病毒文件告警事件列表上方，单击“导出”，导出所有病毒文件告警事件到本地。 5、在病毒查杀界面上方查看导出状态，待导出成功后，在主机本地默认下载文件地址，获取导出的病毒文件信息。 注意 导出过程中，请勿关闭浏览器页面，否则会导致导出任务中断。 管理文件隔离 被成功隔离的病毒文件会添加到“文件隔离箱”中，无法再对主机造成威胁。您也可以根据自身需要参考本章节恢复或删除已隔离文件。 恢复已隔离的文件 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、选择“主动防御 > 病毒查杀”，进入“病毒查杀”界面。 4、单击界面右上角“文件隔离箱”，弹出“文件隔离箱”弹窗。 5、单击文件隔离箱列表中“操作”列的“恢复”，弹出“恢复已隔离文件”对话框。 6、单击“确认”，恢复的文件将重新回到病毒事件列表中。 说明 执行恢复操作会将恢复隔离文件，请谨慎操作。

如何选择Master节点的规格？以便更好匹配Worker节点规模。 一般不同规模的节点池，建议配置相应的Master节点规模与之匹配，详细可查看：集群规格规划 同一集群支持2种不同Worker节点主机规格吗？ 支持，需要通过2步实现：集群订购+扩容节点池。1）集群订购选择一种默认节点池的主机规格；2）集群开通后进入控制台，创建节点池选择另一种主机规格，手动扩容新的节点池配置，详细可查看: 节点池管理 节点的系统盘大小可以选择订购吗? 支持，Master节点和节点池节点的系统盘可以按需选择订购，一般该主机盘的最小值为主机操作系统镜像的最小值，详细可参考订购页。 集群订购页"组件配置"有哪些额外的收费项，是否必须购买? 非必须，可选的收费项包括：Ingress的elb和eip；云日志服务、容器镜像服务企业版，客户可按需选择，由对应的云产品进行收费。

section1553217101617 " ") 步骤一：创建用户组 步骤二：为用户组授权 步骤三：创建IAM用户并加入用户组 步骤四：使用IAM用户登录并验证权限 步骤一：创建用户组 在“统一身份认证IAM”服务控制台创建用户组，并授予具有云容器引擎只读权限的“CCE ReadOnlyAccess”策略。 用户组是用户的集合，IAM通过用户组功能实现用户的授权。您在IAM中创建的用户，需要加入特定用户组后，用户才具备用户组所拥有的权限。关于创建用户组并给用户组授权的方法，可以参考如下操作。 步骤 1 使用注册的帐号登录，登录时请选择“帐号登录”。 步骤 2 在控制台首页菜单中单击“云容器引擎CCE”，进入CCE控制台。 步骤 3 单击CCE控制台左侧导航栏中的“权限管理”，单击“集群权限”页签下的“创建用户组”。 步骤 4 进入“统一身份认证服务”控制台的“创建用户组”界面，输入用户组名称（本例以“开发人员组”为例）。 单击“确定”，用户组创建完成，界面自动返回用户组列表，列表中显示新建的用户组。 说明：您最多可以创建20个用户组，如果当前资源配额无法满足业务需要，您可以申请扩大配额。 步骤二：为用户组授权 步骤 1 在用户组列表中，单击新建用户组右侧操作栏的“修改”。 在用户组修改页面中，找到用户组权限管理部分。 步骤 2 根据各区域（资源节点）的授权要求，分别设置每个资源节点的用户组权限： 基于区域（如苏州、青岛），授权后将只在授权区域生效，如果需要所有区域都生效，则所有区域都需要进行授权操作。 步骤 3 在搜索框中搜索“CCE”，勾选需要授予用户组的权限，本例此处选择“CCE ReadOnlyAccess”。 步骤 4 单击“确定”，完成用户组授权。 步骤三：创建IAM用户并加入用户组 IAM用户与企业中的实际员工或是应用程序相对应，有唯一的安全凭证，可以通过加入一个或多个用户组来获得用户组的权限。关于IAM用户的创建方式请参见如下步骤。 1. 在统一身份认证服务，左侧导航窗格中，单击“用户”>“创建用户”。 2. 在“创建用户”页面填写“用户信息”。如需一次创建多个用户，可以单击“添加用户”进行批量创建，每次最多可创建10个用户。 用户信息 说明 用户名 必填。IAM用户登录的用户名，此处以“James”和“Alice”为例。 邮箱 “访问方式”选择“首次登录时设置”时必填，选择其他时选填。IAM用户绑定的邮箱，可作为子帐户的登录凭证，也可由IAM用户自己绑定。 手机号 选填。IAM用户绑定的手机号，可作为子帐户的登录凭证，也可由IAM用户自己绑定。 描述 选填。记录IAM用户相关信息。 3. 在“创建用户”页面选择“访问方式”，完成后单击“下一步”。 访问方式 配置信息 说明 管理控制台访问 控制台登录密码设置方式 首次登录时设置 如果您不是用户James的使用主体，建议您选择该方式，输入用户的邮箱和手机，用户James通过邮件中的一次性链接登录，自行设置密码。 管理控制台访问 控制台登录密码设置方式 自动生成 仅在创建单个用户时适用，如果您本次创建2个及以上的用户，则不支持此方式。 管理控制台访问 控制台登录密码设置方式 自定义 如果您是用户James的使用主体，建议您选择该方式，设置自己的登录密码。 管理控制台访问 登录保护 开启登录保护 开启登录保护后，IAM用户登录时，除了在登录页面输入用户名和密码外（第一次身份验证），还需要在登录验证页面输入验证码（第二次身份验证），该功能是一种安全实践，建议开启登录保护，多次身份认证可以提高帐号安全性。 您可以选择通过手机、邮箱、虚拟MFA进行登录验证。 管理控制台访问 登录保护 不开启 编程访问 创建用户完成后即可下载本次创建的所有用户的管理访问密钥。一个用户最多拥有两个访问密钥。这些AK/SK可以对进行编程调用，例如，通过API调用方式访问时，您可能需要使用访问密钥。 说明： 用户可以使用此处设置的用户名、邮箱或手机号码任意一种方式登录。 当用户忘记密码时，可以通过此处绑定的邮箱或手机自行重置密码，如果用户没有绑定邮箱或手机号码，只能由管理员重置密码。 用户登录系统时，输入用户名和初始密码后，将进入“首次登录修改密码”，需要创建一个新密码，该功能可以保证用户的密码是由使用者本人所设置，防止密码泄露。 4. 单击“下一步”，将用户加入到用户组（可选）。 − 选择新创建的用户组“开发人员组”。将用户加入用户组，用户将具备用户组的权限，这一过程即给该用户授权。其中“admin”为系统缺省提供的用户组，具有管理人员以及所有云服务资源的操作权限。 − 如需创建新的用户组，可单击“创建用户组”，填写用户组名称和描述（可选），创建成功后即可将用户加入到新创建的用户组中。 5. 单击“下一步”，IAM用户创建成功，用户列表中显示新创建的IAM用户。如果在访问方式中勾选了“编程访问”，可在此页面下载访问密钥。 步骤四：使用IAM用户登录并验证权限 IAM用户创建完成后，可以使用新用户的用户名及身份凭证登录验证权限，即“CCE ReadOnlyAccess”权限。 步骤 1 在登录页面，单击右下角的“IAM用户登录”。 步骤 2 在“IAM用户登录”页面，输入帐号名、用户名及用户密码，使用新创建的IAM用户登录。 帐号名为该IAM用户所属帐号的名称。 用户名和密码为创建IAM用户“James”时输入的用户名和密码，首次登录时需要重置密码。 如果登录失败，您可以联系您的帐号主体，确认用户名及密码是否正确，或是重置用户名及密码。 步骤 3 使用IAM用户“James”登录成功后，进入控制台，请先切换至授权区域。 步骤 4 在“服务列表”中选择“云容器引擎 CCE”，返回CCE控制台主界面，对IAM用户James的集群权限进行验证。 验证方式（参考）：您可以尝试创建一个集群或休眠一个已创建的集群，此时如果提示“您的权限不足。”，则表明您为James用户设置的“CCE ReadOnlyAccess”只读权限策略已生效。

本章介绍如何创建元数据采集任务。此功能处于公测阶段，公测阶段可免费使用 前提要求 已完成数据库资产委托授权，参考云资产委托授权/停止授权进行操作。 操作步骤 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择“安全 > 数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中选择“资产管理 > 元数据任务”，进入“元数据采集任务”页面。 5. 在“元数据采集任务”页面，单击“新建”，进入“新建采集任务 > 数据源配置”页面，具体参数说明如下表所示。 参数名 参数说明 选择数据源 选择数据来源。可选择“MySQL”、“PostgreSQL”、“DMDBMS”、“KingBase”、“OpenGuass”、“DWS”、“Hive”、“MRSHIVE”、“TDSQL”。 数据库实例 选择支持的数据库实例。 6. 单击“下一步”，进入“子任务配置”页面： 选择开启或关闭“扫描用户表”。 选择开启或关闭“扫描系统表”。 选择开启或关闭“扫描列约束”。 选择开启或关闭“扫描视图”。 选择开启或关闭“扫描列注释”。 选择开启或关闭“扫描权限”。 7. 单击“下一步”，进入“任务信息配置”页面，配置任务信息，参数说明请参见下表。 参数名称 参数说明 任务信息 任务名称：必填项， 您可以自定义采集任务的名称。 任务描述：非必填项，对您的采集任务进行描述。 任务配置 选择开启或关闭“删除联通性失败的元数据”。 执行计划 识别周期：您可以选择“单次”、“每日”、“每周”或“每月”。 执行计划：您可以选择“立即执行”或“定时启动”。 8. 单击“下一步”，进入“配置确认”页面，确认您已经配置好的参数。 9. 确认无误后单击“完成”，即可成功创建一个新的元数据采集任务。

本节介绍了什么是云硬盘快照、使用场景、操作概览、相关操作。 什么是云硬盘快照 EVS为您提供快照功能，您可以通过管理控制台或者API接口创建云硬盘快照。云硬盘快照指的是云硬盘数据在某个时刻的完整拷贝或镜像，是一种重要的数据容灾手段，当数据丢失时，可通过快照将数据完整的恢复到快照时间点。 云硬盘快照简称为快照。 您可以创建快照，从而快速保存指定时刻云硬盘的数据。同时，您还可以通过快照创建新的云硬盘，这样云硬盘在初始状态就具有快照中的数据。 使用场景 快照功能可以帮助您实现以下需求： ● 日常备份数据 通过对云硬盘定期创建快照，实现数据的日常备份，可以应对由于误操作、病毒以及黑客攻击等导致数据丢失或不一致的情况。 ● 快速恢复数据 应用软件升级或业务数据迁移等重大操作前，您可以创建一份或多份快照，一旦升级或迁移过程中出现问题，可以通过快照及时将业务恢复到快照创建点的数据状态。 例如，当由于云主机A的系统盘A发生故障而无法正常开机时，由于系统盘A已经故障，因此也无法将快照数据回滚至系统盘A。此时您可以使用系统盘A已有的快照新创建一块云硬盘B并挂载至正常运行的云主机B上，从而云主机B能够通过云硬盘B读取原系统盘A的数据。 说明 ● 当前通过快照回滚数据，只支持回滚快照数据至源云硬盘，不支持快照回滚到其它云硬盘。 ● 快速部署多个业务 通过同一个快照可以快速创建出多个具有相同数据的云硬盘，从而可以同时为多种业务提供数据资源。例如数据挖掘、报表查询和开发测试等业务。这种方式既保护了原始数据，又能通过快照创建的新云硬盘快速部署其他业务，满足企业对业务数据的多元化需求。

计费模式 大模型安全护栏采用按调用次数后付费模式，根据检测类型分别计费，无最低消费要求，不使用则不产生费用。 产品价格 检测类型 计费单位 单价 文本检测（输入检测 + 输出检测） 每万次调用 25 元 图片检测 每万次调用 40 元 计费规则 以实际成功调用次数为计费依据，调用失败（接口返回非 200 状态码）不计费。 文本输入检测与文本输出检测按相同单价合并计费。 在线测试每月有 10 次免费额度，免费额度内不计费。 费用按自然天结算，每日凌晨3点出上日账单。 计费示例 某企业某月调用文本输入检测 50 万次、文本输出检测 30 万次、图片检测 10 万次，当月费用计算如下： 文本检测费用：(50 + 30) × 25 80 × 25 2,000 元 图片检测费用：10 × 40 400 元 合计：2,400 元

天翼云网页防篡改（原生版）产品（CTWT，WebpageTampering）具有广泛的应用场景，以下是三种常见的应用场景。 场景一：网站实时监管 政府、金融、交通等行业需要对网站进行实时监测，防止网站被植入涉恐、涉政、暗链、后门等，否则一旦网站出现被篡改问题，会严重影响政府、交通等单位形象，造成企业巨大损失。 场景二：重大活动保障 在重大活动保障期间，各行业的官网、业务系统等网站出现非法关键词，导致被监管单位通报，其声誉将受到影响，评分会受到严重影响。 场景三：等保合规 信息安全等级保护是我国信息安全保障的一项基本制度，要求网络经营者应符合网络安全等级保护制度的要求。天翼云网页防篡改（原生版）帮助有等保需求的用户，进行安全测评，满足等保合规的要求。

本文为认证鉴权介绍。 具体应用可参考调用示例。 信息的获取 获取AccessKey(ak)和SecurityKey(sk)： 登录天翼云门户，在“控制台”>“账号中心”>“安全设置”>“登录保护”>“用户AccessKey”点击“查看”获取。 注意：SecurityKey信息只在创建的时候展示，请务必留存好信息。 EopAuthorization签名认证信息： 可参考调用示例Python3调用示例、Java调用示例 步骤一：构造代签字符串 sigture sigture 需要进行签名的Header排序后的组合列表+ " n " + encode的query + " n " + toHex(sha256(原封的body)) 名称 描述 需要进行签名的header排序后的组合列表（排序的header） 将ctyuneoprequestid、eopdate以 “headername:headervalue”的形式、以“n”作为每个header的结尾符、以英文字母表作为headername的排序依据将它们拼接起来。注意：EOP强制要求ctyuneoprequestid、eopdate必须进行签名。其他字段是否需要签名看自身需求。例子(假设你需要将ctyuneoprequestid、eopdate、host都要签名)： ctyuneoprequestid:123456789neopdate:20210531T100101Zn encode的query query以&作为拼接，key和value以连接，值需要encode，query参数全部都需要进行签名 toHex(sha256(原封的body)) 传进来的body参数进行sha256摘要，对摘要出来的结果转十六进制 sigture示例1（ 假设query为空 、需要进行签名的Header排序后的组合列表为“ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680n eopdate:20220525T160752Z n”、body参数做sha256摘要后转十六进制为e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855）： ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680n eopdate:20220525T160752Z nnne3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 sigture示例2（ 假设query不为空 、需要进行签名的Header排序后的组合列表为“ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680n eopdate:20220525T160752Zn”、body参数做sha256摘要后转十六进制为e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855）： ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680n eopdate:20220525T160930Z nnaa1&bb2ne3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855

本节介绍如何创建边缘裸金属实例。 创建边缘裸金属注意事项 裸金属资源池需独立规划部署，创建边缘裸金属资源前请与您的客户经理联系确认资源池实际库存量。 由于边缘裸金属的资源特性及安全要求，部分资源配置功能需要运营运维人员处理，请在创建前联系您的客户经理，我们将为您的资源创建提供一对一专人服务。 创建资源时，请注意保存您设置的登录密码。创建完成后，账号密码仅会通过注册账号邮箱下发一次，收到邮件后即可远程登录，请注意妥善保存，防止密码泄露。 基于安全考虑，部分装机镜像默认开启系统防火墙，如您无法建立远程连接，可以联系您的客户经理，并提供您用于远程连接的本地资源IP地址，由运营运维人员帮您修改系统防火墙配置，即可继续访问。 操作步骤 1. 登录ECX控制台。 2. 单击左侧导航栏【边缘裸金属>裸金属服务器】，再点击右上角【+购买裸金属服务器】可进入创建裸金属实例页面。 3. 选择付费方式，支持包年包月以及按需付费两种方式。 4. 选择区域集群。 5. 选择实例规格，根据选中的集群不同，实例规格库存不同，请以页面展示为准。 6. 选择需要安装的操作系统并配置账号密码，目前操作系统支持公有镜像和自定义镜像。 7. 选择是否出网，如是，则默认创建双Bond网卡，自动分配出网网卡与内网网卡，内网网卡需指定VPC，如否，则默认创建全bond网卡，需指定VPC。 或 8. 带宽支持【新增独享带宽】、【新增共享带宽】以及【加入已有共享带宽】，其中，若选择新增共享带宽，在该资源开通后，后续裸金属开通可选择加入该共享带宽。 9. 带宽计费方式与实例付费方式关联，若实例付费方式选择【包年包月】，则带宽计费方式仅可选择“包年包月”；若实例付费方式选择【按需计费】，则带宽计费方式可选择“按使用流量”。 10. 设置公网带宽上限。 11. 确认配置并单击【下一步：确认下单】。

本文主要介绍如何手动扩展资源。 操作场景： 通过手动将实例移入到伸缩组、手动将实例移出伸缩组或手动修改期望实例数，扩展资源。 操作步骤： 将实例移入伸缩组： 您可以手动将云主机移入指定伸缩组，将云主机成功移入指定伸缩组必须满足如下约束： 表 手动移入实例的约束 项目 约束 伸缩组 处于“已启用”状态。 伸缩组没有正在进行的伸缩活动。 移入后总实例数不能大于伸缩组的最大实例数。 云主机 不能存在于其它伸缩组中。 云主机所在的VPC必须和伸缩组所在的VPC相同。 说明 单次最多批量移入实例个数为10个。 当伸缩组已添加负载均衡器，系统会自动将加入伸缩组的实例添加到负载均衡上。 将云主机移入伸缩组的步骤如下。 1. 选择“计算 > 弹性伸缩服务”。 2. 单击具体的伸缩组名称。 3. 在“伸缩实例”页签，单击“移入伸缩组”。 4. 选择待移入的实例名称，单击“确定”。 将实例移出伸缩组 您可以将实例移出伸缩组，更新实例或排查实例的问题，然后将实例重新移入伸缩组。移出伸缩组后实例不再处理应用程序流量。 例如，您可以随时更改伸缩组使用的伸缩配置，后续实例将使用此配置。不过，伸缩组不会更新当前正在运行的实例。您可以终止这些实例并让伸缩组替换这些实例，也可以先将实例移出伸缩组，更新软件，然后将该实例移入伸缩组。 云主机移出伸缩组的相关约束如下所示。 表 手动移出实例的约束 项目 约束 伸缩组 处于“已启用”状态。 伸缩组没有正在进行的伸缩活动。 云主机 生命周期状态是已启用。 云主机不在存储容灾服务中使用。 说明 单次最多批量移出实例个数为50个。 如果移除实例后使伸缩组实例数小于最小实例数，则会自动伸缩增加实例到期望实例数。 如果实例从添加了负载均衡器的伸缩组中移出，则自动取消与此负载均衡器的关联。 将云主机移出伸缩组的步骤如下。 1. 选择“计算 > 弹性伸缩服务”。 2. 单击具体的伸缩组名称。 3. 在“伸缩实例”页签中的实例所在行的“操作”列下，单击“移出伸缩组”或“移出伸缩组并删除”。 如果您要删除多个实例，可以勾选多个实例，单击“移出伸缩组”或“移出伸缩组并删除”。 如果您要删除所有实例，可以勾选参数“名称”左侧的方框，单击“移出伸缩组”或“移出伸缩组并删除”。 说明 自动添加的云主机默认计费方式是按需计费。 当您选择“移出伸缩组”时，系统仅将其移出伸缩组。 当您选择“移出伸缩组并删除”时，系统将云主机移出伸缩组时，也会将其删除。 手动移入伸缩组的实例，只能进行移出伸缩组操作，不能进行移出伸缩组并删除操作。

本节为您介绍如何使用云迁移服务来迁移云主机。 产品定义 天翼云云迁移服务（CTCMS，Cloud Migration Service）是一款由天翼云自主研发的专业迁移服务产品。基于P2V/V2V技术，CTCMS可以帮助用户将单台或多台迁移源从私有云、公有云或其他特殊环境，迁移至天翼云弹性云主机（CTECS）。旨在提供有序、安全、便捷、轻松的数字资产、服务、IT资源及应用程序迁移解决方案，同时保证云上业务的可用性、安全性和连续性。 迁移流程 操作场景 ECS相关场景 天翼云 ECS实例间迁移： 当需要把不同天翼云账号下的主机资源整合到一个天翼云账号下, 或者将同账户不同区域的CTECS资源整合到同一个区域下时，可以采用主机迁移服务实现CTECS实例间的快速迁移。 其他云平台云主机迁移至天翼云： CMS支持将您在不同环境如各云服务平台等云主机、IDC机房虚拟机、本地虚拟机迁移至天翼云，通过CMS可以实现相应业务需求。 应用场景 业务快速拓展：业务系统需要具备快速拓展的能力，但传统的云下设备拓展能力有限，因此存在上云的需求。在迁移过程中，需要保证业务正常运行，并在上云后获得优于云下体验，同时还要支持快速的业务拓展。 本地IDC陆续退网、业务持续上云：拥有自己的本地IDC机房，但随着时间的推移，机房内的服务器集群已经运行了810年，逐渐到达设备的运行年限。在这种情况下，大部分企业会选择将达到运行年限的设备进行退网处理。同时，随着设备退网，原有的业务系统、应用集群、数据库、对象存储等也面临着上云迁移的需求。 高密特殊上云迁移：政府单位以及部分特殊企业，具有较高的安全需求；需要采取一系列措施来确保数据和信息的安全性。在这种场景下，通常会对内外网进行隔离，限制上云迁移软件的使用。 各环境迁移至天翼云：业务在不同环境中运行，包括在IDC机房、本地虚拟机、天翼云不同区域以及其他云服务平台上。现在需要将这些不同环境中的业务迁移至天翼云平台。 服务场景详细描述可参考：云迁移产品应用场景。

共享云硬盘可以挂载至不同操作系统的云主机吗？ 一块共享云硬盘不建议同时挂载至不同类型操作系统的云主机上使用。直接将共享云硬盘挂载给不同操作系统的多台云主机是无法实现文件共享功能的，原因是云主机之间没有相互约定读写数据的规则，这会导致这些云主机读写数据时相互干扰或者出现其他不可预知的错误，例如损坏丢失文件或读写不一致等问题。 跨操作系统数据共享推荐使用弹性文件服务。 共享云硬盘可以挂载至不同账号的多台云主机吗？ 不可以。 共享云硬盘只能挂载至同一个账号下位于同一地域和同一可用区的云主机。 建议将共享云硬盘挂载至位于同一个反亲和性的云主机组内，从而来提高业务的可靠性。此外，建议配合使用SCSI锁，即将SCSI类型的共享云硬盘挂载到位于同一个反亲和性的云主机组内，以提升业务数据的安全性。 使用共享云硬盘必须搭建集群吗？ 是的。 共享云硬盘必须在集群管理环境中使用，这是由共享云硬盘的使用原理以及用户需求共同决定的。 直接将共享云硬盘挂载给多台云主机或物理机是无法实现文件共享功能的，原因是云主机之间没有相互约定读写数据的规则，这会导致这些云主机读写数据时相互干扰或者出现其他不可预知的错误，例如损坏丢失文件或读写不一致等问题。 共享云硬盘本身并不具备集群管理能力，因此需要自行搭建集群系统来实现数据共享，如企业应用中常见的Windows MSCS集群、Veritas VCS集群和CFS集群等。

本文介绍如何进行快速分析。 日志包含系统性能和业务信息，如“ERROR”关键词的数量反映系统健康度，“BUY”关键词的数量反映业务成交量。通过快速分析功能，可查询指定日志关键词，云服务日志可针对配置的关键词进行统计并生成指标数据，帮助您实时了解系统性能和业务信息。 前提条件 已接入日志，并已创建对应的日志字段索引。 操作步骤 1. 登录云日志服务控制台。 2. 点击目标日志项目与日志单元，进入日志单元查询页面。 3. 在“原始数据”页签下，左侧将会展示所有的日志字段。其中代表text类型字段，代表double类型字段。 4. 点击字段右侧的三角按钮，将会展示该字段不通值的统计分布。 5. 点击字段右侧的按钮，选择“字段分布值统计”，可基于该字段的不通值的分布情况，生成可视化饼图。您可基于该饼图将其添加至自定义仪表盘中。

本章节介绍如何查看敏感数据规则组的详细信息。 前提条件 已添加敏感数据规则组。 操作步骤 1. 单击左上角的，选择区域或项目。 2. 在左侧导航树中，单击，选择“安全 >数据安全中心”，进入数据安全中心总览界面。 3. 在左侧导航树中，选择“敏感数据识别 > 识别规则”，并选择“规则组”页签，进入规则组列表规则组参数说明如下表所示。 说明 输入规则组名称或规则名称的关键字，单击搜索或按“Enter”，可以搜索指定的敏感数据规则组。 参数名称 参数说明 规则组名称 敏感数据规则组的名称。 规则组类型 规则组类型说明如下： 自定义：用户自行创建的规则组。 默认：DSC内置的规则组。 规则组描述 该规则组的备注信息。 包含规则 规则组所包含的规则。 操作 用户可以在操作栏中，执行以下操作： 单击“编辑”，修改敏感数据规则组的相关信息。 单击“删除”，删除自定义的敏感数据规则组。

保障阶段 严格遵循重保服务方案中的相关规范，开展核心保障时段的一系列工作，包括但不限于：业务巡检、数据报送、全程值守等常规服务事项； 对核心业务时段出现的异常情况，需要及时主动干预并向客户同步，必要时需按计划启动应急响应预案； 在确保业务不受影响的前提下，对客户提出的需求及优化建议积极予以处理； 做好保障过程中关键事项的记录，核心保障时长跨多个自然日时，需输出每日重保小结。 复盘阶段 输出重保总结报告及整场重保过程中涉及的所有过程材料，供客户留档； 组织或参与项目的重保总结汇报。 客户责任 确认账号下具备所选重保服务版本支持范围中的边缘云产品且产品服务状态可用； 准确提供重保的背景情况和需求，配合天翼云提供需保障业务的详细信息，包括但不限于：业务拓扑、测试账号等； 若客户订购的服务版本为驻场保障，则客户需提供服务支持工作开展所需的场地、设备和必要的环境，并需视现场实际情况提供其他额外的协助与配合。

本章介绍Adobe Font Manager库远程代码执行漏洞。 当Windows Adobe Type Manager库未正确处理经特殊设计的多主机Adobe Type 1 PostScript格式字体时，Microsoft Windows中存在远程代码执行漏洞。 对于除Windows 10之外的所有系统，成功利用此漏洞的攻击者可以远程执行代码。对于运行Windows 10的系统，成功利用此漏洞的攻击者可以利用受限的特权和功能在AppContainer沙盒上下文中执行代码。攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。 攻击者可通过多种方式利用此漏洞，包括诱导用户打开经特殊设计文档或在Windows预览窗格中查看。 漏洞编号 CVE20201020 CVE20200938 漏洞名称 Adobe Font Manager库远程代码执行漏洞 漏洞描述 对于除Windows 10之外的所有系统，成功利用远程代码执行漏洞的攻击者可以远程执行代码。 对于运行Windows 10的系统，成功利用此漏洞的攻击者可以利用受限的特权和功能在AppContainer沙盒上下文中执行代码。攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。 影响范围 所有Windows系统 官方解决方案 官方建议受影响的用户尽快安装最新的漏洞补丁。 详情请参见< 检测与修复建议 天翼云企业主机安全服务支持对该漏洞的便捷检测与修复。 1. 检测并查看漏洞详情，详细的操作步骤请参见漏洞管理。 手动检测漏洞 2. 漏洞修复与验证，详细的操作步骤请参见漏洞管理。

本文介绍了管控模式,在DMS中提供两种实例级别的管控模式,针对不同的DMS版本,管控模式分为弱管控模式和强管控模式,分别对应DMS基础版和DMS企业版,由管理员对DMS切换版本来指定相应的实例管控模式。 管控模式介绍 管控模式 模式说明 DMS版本 登录方式 弱管控模式 弱管控模式的实例，不支持账密托管，需要使用数据库账密登录后才可进行数据库操作。 基础版 用户使用数据库账号和密码登录数据库，长时间未操作数据库登录会过期。 弱管控模式 弱管控模式不支持实例、库、表级的数据权限控制。 基础版 用户使用数据库账号和密码登录数据库，长时间未操作数据库登录会过期。 弱管控模式 弱管控模式不支持风险管控。 基础版 用户使用数据库账号和密码登录数据库，长时间未操作数据库登录会过期。 弱管控模式 弱管控模式不支持SQL变更工单。 基础版 用户使用数据库账号和密码登录数据库，长时间未操作数据库登录会过期。 弱管控模式 弱管控模式不支持操作审批。 基础版 用户使用数据库账号和密码登录数据库，长时间未操作数据库登录会过期。 强管控模式 强管控模式的实例，支持账密托管，管理员需先对实例录入托管账密，且需要选择管控的规则集。 说明 为了方便数据库的全局权限管控，建议托管较高权限的数据库账号 企业版 免登录 ，用户不接触数据库账密，统一使用管理员录入的数据库账密访问数据库。 注意 在使用账密托管前，管理员需先为数据库录入托管账密。 强管控模式 强管控实例支持数据库权限控制，需要拥有实例/库/表的权限才可以访问数据库，不需要登录数据库。 企业版 免登录 ，用户不接触数据库账密，统一使用管理员录入的数据库账密访问数据库。 注意 在使用账密托管前，管理员需先为数据库录入托管账密。 强管控模式 强管控模式支持风险管控。 企业版 免登录 ，用户不接触数据库账密，统一使用管理员录入的数据库账密访问数据库。 注意 在使用账密托管前，管理员需先为数据库录入托管账密。 强管控模式 强管控模式支持SQL变更工单，用户除了在查询窗口执行SQL语句外，也可提交SQL变更工单，审批后定时执行。 企业版 免登录 ，用户不接触数据库账密，统一使用管理员录入的数据库账密访问数据库。 注意 在使用账密托管前，管理员需先为数据库录入托管账密。 强管控模式 强管控模式支持SQL变更、导入导出等功能的审批功能。 企业版 免登录 ，用户不接触数据库账密，统一使用管理员录入的数据库账密访问数据库。 注意 在使用账密托管前，管理员需先为数据库录入托管账密。