本节介绍IAM授权。 概述 如果您需要针对不同资源，对用户设置不同的访问权限，以达到用户之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全地控制云资源的访问。 通过IAM，您可以为其他账号创建IAM用户，并使用策略来控制他们对云资源的访问范围。IAM是云服务提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费，关于IAM的详细介绍，参见：统一身份认证。 如果云账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用分布式容器云平台的其他功能。 注意 服务资源权限（IAM授权）仅针对注册集群、联邦、等系统资源有效，如果您需操作Kubernetes资源（如Deployment、Configmap和Service等），您还需配置Kubernetes集群内的RBAC权限，方可获得对应Kubernetes资源的操作能力。 概念 术语 说明 主账号 用户在天翼云注册后自动创建，该账号对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，由于账号是付费主体，为了确保账号安全，建议创建子用户来进行日常管理工作。 子账号 主账号认证为企业账号后，在天翼云用户中心页面创建出来的账号。子账号的用户名、密码统一由主账号创建管理。子账号同样可以登录访问天翼云控制台，登录入口与主账号相同，受主账号赋予的权限限制。 企业项目 将云资源、企业成员按项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用项目内云资源的权限受用户组的授权限制。 注意 一个实例只能归属一个企业项目（可变更），一个子账号可以同时在多个企业项目中。 策略 是描述一组权限集的语言，它可以精确地描述被授权的资源集和操作集，通过策略，用户可以自由搭配需要授予的权限集。通过给用户组授予策略，用户组中的用户就能获得策略中定义的权限。策略中可定义“允许”的操作和“拒绝”的操作，“拒绝”的优先级大于“允许”。 系统策略 系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对组件的只读权限、普通用户权限和管理员权限等等；系统策略只能用于授权，不能编辑和修改。 数据权限 看到的数据不一样。主账号看到所有实例，子账号只能看到所属项目中的实例。 功能权限 主账号可以进行所有控制台操作，子账号对单个组件实例拥有的操作权限由主账号授权。 功能权限授权 给子账号在企业项目A下增加一个策略，即代表该子账号对企业项目A下的实例拥有了策略中定义的权限，策略以外的操作会被禁止。默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略，才能使得用户组中的用户获得策略定义的权限，这一过程称为授权。具体授权请参考：用户组授权统一身份认证。

本章节介绍微服务云应用平台权限体系 概述 如果您需要针对不同资源，对用户设置不同的访问权限，以达到用户之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全地控制云资源的访问。 通过IAM，您可以为其他账号创建IAM用户，并使用策略来控制他们对云资源的访问范围。IAM是云服务提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费，关于IAM的详细介绍，参见：统一身份认证 如果云账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用微服务云应用平台的其他功能。 概念 1. 主账号 ：用户在天翼云注册后自动创建，该账号对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，由于账号是付费主体为了确保账号安全，建议创建子用户来进行日常管理工作。 2. 子账号 ：主账号认证为企业账号后，在天翼云用户中心页面创建出来的账号。子账号的用户名、密码统一由主账号创建管理。子账号同样可以登录访问天翼云控制台，登录入口与主账号相同，受主账号赋予的权限限制。 3. 企业项目： 将云资源、企业成员按项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用项目内云资源的权限受用户组的授权限制。 注意 一个实例只能归属一个企业项目（可变更），一个子账号可以同时在多个企业项目中。 4. 策略： 是描述一组权限集的语言，它可以精确地描述被授权的资源集和操作集，通过策略，用户可以自由搭配需要授予的权限集。通过给用户组授予策略，用户组中的用户就能获得策略中定义的权限。策略中可定义“允许”的操作和“拒绝”的操作，“拒绝”的优先级大于“允许”。 5. 系统策略： 系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对组件的只读权限、普通用户权限和管理员权限等等；系统策略只能用于授权，不能编辑和修改。 6. 数据权限： 看到的数据不一样。主账号看到所有实例，子账号只能看到所属项目中的实例。 7. 功能权限： 主账号可以进行所有控制台操作，子账号对单个组件实例拥有的操作权限由主账号授权。 8. 功能权限授权： 给子账号在企业项目A下增加一个策略，即代表该子账号对企业项目A下的实例拥有了策略中定义的权限，策略以外的操作会被禁止。默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略，才能使得用户组中的用户获得策略定义的权限，这一过程称为授权。具体授权请参考：用户组授权统一身份认证

参数 说明 示例 名称 事件源名。 source1 接入点 Apache Kafka集群broker接入点，由IP与端口号拼接而成，以逗号分隔。 172.17.0.25:9092,192.17.0.26:9092,172.17.0.27:9092 Topic topic名称。 topic1 Group ID 填入当前Apache Kafka集群中已创建的Group，请不要与已有业务的Group混用，以免影响已有的消息收发。 group1 网络配置 根据业务场景选择对应配置。 专有网络 公网网络 专有网络 VPC 网络配置选择专有网络时必填，选择集群所在的VPC。 vpc 子网 网络配置选择专有网络时必填，选择集群所在的子网。 subnet 认证模式 选择认证模式。 PLAINTEXT SASLPLAINTEXT 用户名 ：填写SASL用户名 密码 ：填写SASL密码 SASL鉴权方式 ：可选PLAIN和SCRAMSHA512 PLAINTEXT 消费位点 消费消息的位点。 最新位点 最早位点 最新位点 数据格式 消息value数据编码格式。 JSON Text Binary JSON

参数 是否必填 参数类型 说明 示例 ContentType 是 String Post操作提交表单编码必须为multipart/formdata，即Header中ContentType为multipart/formdata;boundaryxxxxxx的形式 Authorization 是 String 用于验证请求合法性的认证信息

授权自定义策略 授予IAM用户访问所创建的自定义策略范围中的资源，具体操作，请参见统一身份认证 IAM。 授权系统策略 您也可以直接使用天翼云预制的产品系统策略对IAM子用户进行授权。

本文介绍弹性文件服务接入的准备工作。 注册天翼云账号 在创建和使用弹性文件服务之前，您需要先注册天翼云门户的账号。本节将介绍如何进行账号注册，如果您拥有天翼云的账号，可登录后直接创建弹性文件服务。 1. 打开天翼云门户网站，点击“注册”。 2. 在注册页面，请填写“邮箱地址”、“登录密码”、“手机号码”，并点击“同意协议并提交” 按钮，如1分钟内手机未收到验证码，请再次点击“免费获取短信验证码”按钮。 3. 注册成功后，可到邮箱激活您的账号，即可体验天翼云。 4. 如需实名认证，请参考会员服务实名认证。 为账户充值 使用弹性文件服务之前，请保证你的账户有充足的余额。 关于如何为账户充值，请参考费用中心账户充值。 弹性文件服务计费标准，请参考产品价格。 环境准备 创建弹文件服务需要选择VPC，请确保该地域已创建VPC，具体操作详见创建虚拟私有云VPC。

管理BGP 操作 步骤 修改BGP 1、在专线网关客户侧路由页签，选择目标BGP路由，在操作列中单击【修改】。 2、在修改客户侧路由，修改以下配置参数后，单击【确定】。 客户侧子网：修改专线网关要转发的目的网段。 BGP邻居名称：修改BGP邻居名称。 网络检测：选择是否开启网络检测功能。 MD5认证：选择是否开启MD5认证和设置密钥。 删除BGP 1、在专线网关客户侧路由页签，选择目标BGP路由，在操作列中单击【删除】。 2、在弹出的对话框，单击【确定】。 多路径 1、登录云专线控制台，在左侧导航栏中，单击【专线网关】。 2、在专线网关页面，选择目标专线网关，在操作列中单击【详情】。 3、在专线网关客户侧路由页签，单击【多路径】，配置以下参数信息，然后单击【确定】。 配置 说明 IP负载线路数 选择开启或关闭IP负载线路数，如需BGP路由支持负载，请选择开启，否则选择关闭。 开启后，可实现不同下一跳相同目的网段的BGP路由负载。 说明 BGP多路径使用条件需满足：客户侧路由中至少有两个相同IP类型的下一跳。

排查思路 确认数据库实例状态 ： 通过文档数据库服务控制台检查文档数据库服务实例是否运行正常。 验证连接字符串 ： 检查连接字符串是否正确，包含正确的主机名（或IP地址）、端口号、用户名和密码等信息。 检查网络连接 ： 确保你的网络连接正常，尝试访问其他网站或服务来验证网络是否工作正常。 检查安全组和防火墙规则 ： 确保安全组和防火墙规则允许与DDS实例相关的端口通过，特别是如果涉及公网访问。 验证SSL配置（如果使用） ： 如果连接使用SSL方式，首先通过文档数据库服务控制台基本信息查看SSL是否开启，并且上传证书到ECS。 连接命令如下: sh ./mongo ssl host port u p authenticationDatabase sslCAFile sslAllowInvalidHostnames 其中，各参数的含义如下： ssl: 启用 SSL 连接。 host : 指定 MongoDB 数据库的主机名或 IP 地址。 port : 指定 MongoDB 数据库的端口号。 u : 指定用于认证的 MongoDB 用户名。 p: 表示在命令行中输入密码。在输入该命令后，系统会提示您输入 MongoDB 用户的密码。 authenticationDatabase : 指定认证所使用的数据库。在这里指定为认证用户所在的数据库。 sslCAFile : 指定 SSL 连接时的 CA（Certificate Authority）文件的路径。该文件用于验证服务器端证书的合法性。 sslAllowInvalidHostnames: 允许连接到 SSL 服务器时不验证服务器的主机名。这个选项用于在连接时忽略 SSL 证书中的主机名不匹配错误。 需要将 、 、 、 和 替换为实际的 MongoDB 数据库的主机名、端口号、用户名、认证数据库和 SSL CA 文件的路径。 确认用户权限 ： 确保使用的用户名和密码具有连接到文档数据库服务实例的权限。 尝试使用其他客户端工具 ： 如果连接失败是由于客户端工具问题，尝试使用其他客户端工具进行连接，以排除客户端工具本身的问题。 查看错误日志 ： 检查连接失败时产生的错误日志或错误消息，这些信息可能有助于找到问题的原因。 检查连接数和资源使用情况 ： 确认文档数据库服务实例的连接数是否达到上限，以及磁盘和CPU的使用情况是否正常。 验证内网/公网访问配置 ： 对于内网访问，确认文档数据库服务和ECS实例是否在同一区域和VPC，且正确配置安全组和白名单，如果不在同一VPC，检查VPC对等连接配置。 对于公网访问，确保ECS和文档数据库服务实例的安全组、白名单以及网络ACL规则允许相应端口通过，并验证ECS是否能够ping通文档数据库服务实例地址的端口。 排除其他因素 ： 排除可能影响连接的其他因素，例如阻塞的进程、资源竞争等。

本节主要介绍创建用户组并授权 A公司的团队分为管理组（admin）、开发人员组和测试人员组。由于系统默认内置了admin组，用于拥有帐号所有资源的使用及管理权限，因此A公司的团队只需要在IAM中再创建开发人员组及测试人员组即可。 创建用户组 步骤 1 A公司管理员使用已注册的天翼云帐号登录天翼云官网。 步骤 2 单击右上角账号名，在下拉列表中单击“账号中心”。 步骤 3 账号中心左侧导航栏中，单击“统一身份认证”。 步骤 4 统一身份认证左侧导航栏中，单击“用户组”。 步骤 5 在“用户组”管理界面中，单击右上方的“创建用户组”。 步骤 6 输入“用户组名称”和“描述”，单击“确定”。 返回用户组列表页，用户组列表中将显示新创建的用户组。 依照以上流程，分别创建“开发人员组”和“测试人员组” 给用户组授权 A公司的开发人员需要使用的云服务为ECS、VPC及云硬盘，需要为“开发人员组”授予这些服务的管理员权限。测试人员需要使用云服务CES，需要为“测试人员组”授予此服务的权限。完成用户组的授权后，用户组中的用户才可以使用这些云服务。 步骤 1 A公司管理员使用已注册的天翼云帐号登录天翼云官网。 步骤 2 单击首页顶部控制中心，在控制中心首页“管理与部署”类中，单击“统一身份认证服务”。 步骤 3 在统一身份认证服务控制台页面，单击左侧功能菜单“用户组”，找到已创建的“开发人员组”用户组，单击右侧 “授权”。 步骤 4 在用户组权限管理页面，勾选需要授予用户组的服务权限，如在本例中，为“开发人员组”添加ECS Admin、VPC Admin和EVS Admin三个策略授权，然后单击“下一步”。 步骤 5 选择授权范围方案为“指定区域项目资源”，并选择要授权的区域项目，即资源池，然后单击“确定”。完成设置后，开发人员组仅在授权的区域有操作权限，其它区域将提示没有权限。 步骤 6 单击“确定”，完成用户组的权限授权。 参考步骤3至步骤5的方法，为“测试人员组”授予“CES Administrator ”的权限。

本章节为您介绍CA证书相关的内容。 CA证书是一种数字证书，由认证机构（Certificate Authority，简称CA）颁发，用于证明某一主体（如组织机构）的身份合法性，有时也被称为网络的身份证 。 新增自签CA证书 1. 使用管理员账号登录数字证书认证系统。 2. 在左侧导航栏选择“机构管理 > CA证书管理”，进入“CA证书管理”页面。 3. 单击“新增”，进入“新增CA证书”页面。 4. 选择“自签CA”页签，填写相关内容。 参数 参数说明 别名 证书的名称。 密钥算法 选择证书的密钥算法类型，支持选择以下两种类型： RSA SM2 密钥长度 选择证书的密钥长度，根据选择的密钥算法会有不同的密钥长度： RSA支持：1024、2048、3072、4096 SM2支持：256 签名算法 选择根证书支持的签名算法，根据选择的密钥算法会有不同的签名算法： RSA支持：SHA256WithRSA、SHA384WithRSA、SHA512WithRSA、SHA256WithRSA/PSS、SHA384WithRSA/PSS、SHA512WithRSA/PSS SM2支持：SM3WithSM2 有效期 选择开始时间和结束时间。 证书模版 选择证书模版。 是否使用自定义主题 选择是否使用自定义主题： 是：填写指定格式的主题内容，例如CCN,CNTEST。 否：填写如下对应项，系统自动拼接主题内容 。 名称：更新的CA根证书名称，存储在证书中使用者的CN。 国家：从下拉列表中选择一个国家。 （可选）省份、城市、单位、部门、邮箱：一般填写使用者信息，存储在证书的DN项中。 5. 填写完成后单击“提交”，即完成自签CA的导入。

名称 描述 是否必选 示例 ContentType 消息体的类型 是 application/json ctyuneoprequestid 流水号 是 0ffb9b07d5a84e19b3ce12dfb9705a1d EopAuthorization 签名认证信息 是 4a4bdc57e06542199b5f98d4cd107be2 Headersctyuneoprequestid;eopdate Signatureb2WEo4nh9ewn6SWOP0ii5g8L0z9CT5gprpDWntlCX9I Eopdate 时间，15分钟有效期 是 20221107T093029Z

开源核心版本 MSE优化版本 描述 2.1.0 2.1.0.15 修复反序列化漏洞。 增加推送轨迹功能。 增加黑白名单支持。 增加推空保护功能，请参见推空保护。 优化推送轨迹功能，大量推送时更加稳定。 修复Spring Security身份认证绕过漏洞。

统一身份认证服务 统一身份认证（IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全地控制云服务和资源的访问及操作权限。IAM服务申请开通后免费使用，您只需要为您账号中的云服务和资源进行付费。 云审计服务 云审计服务（CTS），为用户提供云服务资源操作记录的收集、存储和查询功能，用于支撑安全分析、合规审计、资源跟踪和问题定位，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。云审计服务申请开通后免费使用，事件文件转储功能会使用对象存储服务，会产生对象存储服务费用。

本文为您介绍如何创建SSL客户端。 创建SSL客户端时，需要选择绑定的SSL服务端，并指定账号名称。创建完成后，可以在该页面下载SSL证书，如果启用双因子认证，还需要查看并在客户端配置密码，用于服务端和客户端进行双向认证。 前提条件 您已经创建了VPN网关并开启了SSL VPN，请参见创建和管理IPsec连接。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择VPN网关实例所在地域。 3. 在网络产品中选择“VPN连接”，进入VPN连接页面。 4. 在左侧网络控制台，选择“SSL VPN”，进入SSL VPN列表页面。 5. 进入SSL VPN页面中，单击“SSL 客户端”，进入SSL客户端页面，单击“创建客户端”。 6. 按照提示配置用户网关参数，单击“确定”，创建成功。 参数 说明 取值样例 SSL服务端 与当前创建客户端互联的SSL服务端。 SSLserver1 账号名称 用于客户端登陆的账号信息。 sslclient1 隧道限速 限速开关，选择是否对当前客户端的隧道进行限速。 关 7. 在操作列单击“查看账号密码”，记录该密码，客户端登录的时候使用。

集群安装后使用spark sql 1.使用安装客户端用户登录客户端安装节点。 2.配置环境变量。 source ${clienthome}/bigdataenv 3.修改配置文件： vim ${clienthome}/Spark2x/spark/conf/hdfssite.xml dfs.namenode.acls.enabled false 4.如果是安全集群，使用以下命令用户进行用户认证，如果当前集群未启用Kerberos认证，则无需执行此命令。 kinit 用户名 5.在sparksql中访问OBS，例如在“obs://mrsword001/table/”目录中创建表“test”。 6.进入spark bin目录： cd ${clienthome}/Spark2x/spark/bin ，执行./sparksql登录sparksql命令行。 7.在sparksql命令行执行以下命令： create table test(id int) location ' obs://mrsword001/table/ '; 8.执行语句 show tables; 查看表是否存在。 9.执行 exit; 退出sparksql命令行。 说明 OBS文件系统打印大量日志可能导致读写性能受影响，可通过调整OBS客户端日志级别优化，日志调整方式如下： cd ${clienthome}/Spark2x/spark/conf vi log4j.properties 在文件中添加OBS日志级别配置 log4j.logger.org.apache.hadoop.fs.obsWARN log4j.logger.com.obsWARN

原生接口鉴权信息获取。 如您选择使用媒体存储原生接口接入（推荐）： 1.天翼云注册账号。能力使用者于天翼云门户注册账号，并通过认证。 2.获取密钥信息。能力使用者登录媒体存储控制台，进入【密钥管理】菜单，即可获取密钥，所有的密钥均可作为调用媒体存储原生接口的凭证使用 。具体可参考：密钥管理。

本文简述API返回参数code和message含义。 code code含义 message示例 :: 100000 正确返回 success 100001 认证失败 用户认证失败 100002 找不到指定路径的API 当前调用的api不存在:$ 100003 无请求指定API的权限 当前用户对api:${api}无权限 100004 调用超限 超过调用频率限制，请稍后重试 100005 请求类型错误 当前调用的api请求方式错误 100012 底层错误 请求错误，（底层返回结果）, RequestId是 100013 系统错误 系统错误, RequestId是 100014 底层超时 请求底层超时, RequestId是 200001 资源没有权限 请求参数域名校验失败，当前用户对域名%s无权限 200002 参数校验失败 请求参数校验失败，参数为必填 200003 域名和产品不匹配 域名和产品类型校验失败，产品类型{}下域名{}不存在 200003 操作失败域名 域名状态为已停用，无法进行修改 200004 未开通CDN相关产品服务调用统计分析类接口，查询失败 无法获取您已开通CDN相关产品的账号，请开通产品后再调用 200005 产品有效性校验 操作失败，当前用户未开通产品类型{}的服务 200005 操作失败非域名 操作失败，taggroup “xxx”在productcode“xxx”时，不存在 200006 查询失败 查询ark不存在，配置存在时返回

概述 云原生网关的API管理集中控制API的路由、流量和安全。用户可以配置API路由规则、请求处理、认证授权等功能，确保高效、安全的访问。 操作步骤 1. 登录微服务引擎MSE云原生网关管理控制台，选择资源池。 2. 在左侧导航栏，选择云原生网关 > 网关列表，进入对应网关实例的控制台。 3. 在左侧导航栏，选择API托管 > API列表。 创建API API的创建过程分为四个步骤： 1、基本信息 分组：API所属的分组，创建后不可修改。 API名称：可填写API的业务含义。 安全认证：选择API的安全认证方式，开启应用授权后，只有授权的应用才能访问该API。 防重放攻击：开启后，请求头必须包含xcatimestamp和xcanonce参数。 2、定义API请求 请求路径（Path）：API的访问路径。如果分组设置了BasePath，API的最终访问路径将为BasePath+Path。创建后不可修改。 请求方法（HTTP Method）：指定API的请求方式。创建后不可修改。 入参请求模式：支持三种模式，入参映射（过滤未知参数）、入参映射（透传未知参数）、入参透传。 入参定义：支持在query、header、path中定义参数。如果在path中定义了参数，必须确保该参数包含在Path中。 3、定义后端服务 后端服务：负责处理请求的后端服务。 后端请求路径（Path）：网关转发请求到后端服务的路径。如果在Path中定义了参数，后端请求路径中必须包含相应参数。 请求方法（HTTP Method）：指定请求后端服务的方式。 后端超时：设置请求后端服务的超时时间。 后端服务参数配置：将请求的入参与后端服务的入参一一对应，支持修改请求参数名。 常量参数：可以添加常量参数，并透传到后端服务。 系统参数配置：支持添加系统参数，并透传到后端服务。 4、定义返回结果 这里设置的API返回结果，仅用于生产文档，不会对API的请求、响应产生影响。

如您选择使用OpenAPI接入： 1.天翼云注册账号。能力使用者于天翼云门户( 2.获取CTAPI信息。能力使用者阅读和选择所需产品，了解产品业务场景及需要的API和需要使用的Endpoint。 3.获取AK/SK信息。能力使用者登录云点播控制台，进入【开发配置】>【密钥管理】>【OpenAPI密钥】，点击【立即授权】，即可获取AK/SK，作为调用OpenAPI的凭证使用。

回调鉴权密钥信息的获取。 V4鉴权可适用于云点播接收回调事件的鉴权。如您需要获取相关密钥，可按照如下步骤操作： 1.天翼云注册账号。能力使用者于天翼云门户( 2.获取AK/SK信息。能力使用者登录云点播控制台，进入【开发配置】>【密钥管理】>【回调密钥】，即可获取AK/SK，作为接收回调事件的凭证使用。

本节主要介绍创建用户组并授权 管理员可以创建用户组，并给用户组授予策略或角色，然后将用户加入用户组，使得用户组中的用户获得相应的权限。IAM预置了各服务的常用权限，例如管理员权限、只读权限，管理员可以直接使用这些系统权限给用户组授权，授权后，用户就可以基于权限对云服务进行操作。 创建用户组 步骤 1 管理员使用已注册的天翼云帐号登录天翼云官网。 步骤 2 单击右上角账号名，在下拉列表中单击“账号中心”。 步骤 3 账号中心左侧导航栏中，单击“统一身份认证”。 步骤 4 统一身份认证左侧导航栏中，单击“用户组”。 步骤 5 在“用户组”管理界面中，单击“创建用户组”。 步骤 6 输入“用户组名称”和“描述”，单击“确定”。 返回用户组列表页，用户组列表中将显示新创建的用户组。 给用户组授权 以下步骤仅适用于给用户组新增权限。如需移除权限，请参见移除用户组权限。 步骤 1 企业管理员使用已注册的天翼云帐号登录天翼云官网。 步骤 2 单击首页顶部控制台，在控制中心页面“管理与部署”类中，单击“统一身份认证服务”。 步骤 3 在统一身份认证服务管理页面，单击左侧功能菜单“用户组”，单击待添加授权用户组右侧的 “授权”。 步骤 4 用户组选择策略页面中，勾选需要授予用户组的权限。单击“下一步”。 如果系统策略不满足授权要求，可以单击权限列表右上角的“新建策略”创建自定义策略，并勾选新创建的策略来进行精细的权限控制，自定义策略是对系统策略的扩展和补充。详情请参考创建自定义策略。 步骤 5 选择权限的作用范围。系统会根据您所选择的策略，自动推荐授权范围方案，便于为用户选择合适的授权作用范围，下表为IAM提供的所有授权范围方案。 表 授权范围方案 可选方案 方案说明 所有资源 IAM用户可以根据权限使用帐号中所有的区域项目、全局服务资源。 指定企业项目资源 选择指定企业项目，IAM用户可以根据权限使用该企业项目中的资源。 仅开通企业项目后可选。 如果您暂未开通企业项目，将不支持基于企业项目授权。 指定区域项目资源 选择指定区域项目，IAM用户可以根据权限使用该区域项目中的资源。如果选择作用范围为“区域项目”，且所勾选的策略包含全局服务权限，系统自动将全局服务权限的作用范围设置为所有资源，勾选的区域项目权限的作用范围仍为指定区域项目。 全局服务资源 IAM用户可以根据权限使用全局服务。全局服务部署时不区分物理区域。访问全局级服务时，不需要切换区域，如对象存储服务（OBS）等。 如果选择作用范围为“全局服务”，且所勾选的策略包含项目级服务权限，系统自动将项目权限作用范围设置为所有资源，勾选的全局服务权限的作用范围仍为全局服务。 步骤 6 单击“确定”，完成用户组授权。

本章节介绍云密评专区产品优势。 满足密评合规 使用的产品都具备商用密码产品认证证书，为应用系统提供严格合规的密码服务，帮助应用系统通过密评。 全场景密码服务 云密评专区提供全场景密码服务能力，包括重要数据加解密、身份认证、签名验签、协同签名等服务。 应用快捷改造 提供统一标准的密码服务接口，应用改造简单快捷，具备完备的应用接入指南并提供及时、优质的技术支持服务。 一站式专业服务 一对一专属项目经理，724H技术支持，31省本地化的销售网络体系，提供“家门口”的精细化客户服务。

本章介绍迁移前需要做哪些准备工作。 已注册天翼云账号，并开通天翼云，登陆并完成实名认证。 注册天翼云账号并完成实名认证。 账号充值，且账号余额不少于100元。 建议您目的端账户余额不少于100元，避免迁移过程中欠费，导致迁移失败。主机迁移服务本身免费，但迁移过程中会创建按量付费资源并产生少量费用。详情参考100元余额说明。 已获取帐号迁移权限。 如果使用帐号登录，默认拥有迁移权限，可无需配置迁移权限；如果使用IAM用户登录，请创建用户组并授权进行授权。详情请参考创建用户并授权使用SMS。 已获取目的端帐号的AK/SK。 迁移时使用AK/SK进行鉴权认证，获取目的端帐号的AK/SK操作请参见如何获取AK/SK？（账号）或如何获取AK/SK？。 操作系统要求。 主机迁移服务支持迁移的源端服务器操作系统列表请参见Windows兼容性列表、Linux兼容性列表。 迁移网络要求。 1. 源端能连接到天翼云API Gateway（端口：443）。源端出网方向端口，建议全部开放。 2. 使用IPv6进行迁移时，要求源端支持IPv4/IPv6双栈网络。 3. 源端能连接到目的端。 1. 若使用弹性公网IP连接，目的端需要提前购买和配置正确的EIP。 2. 若使用专线或者VPN，需提前购买和配置正确的专线或VPN。 4. 目的端服务器所属安全组需要开放端口： 1. Windows系统需要开放TCP的8899端口、8900端口和22端口。 2. Linux系统文件级迁移开放22端口。 3. 以上端口，建议只对源端服务器开放。 4. 防火墙开放端口与操作系统开放端口保持一致。

本章介绍如何使用IPv6进行数据迁移。 迁移前准备 已注册天翼云账号，并开通天翼云，登陆并完成实名认证。 注册天翼云账号并完成实名认证。 账号充值，且账号余额不少于100元。 建议您目的端账户余额不少于100元，避免迁移过程中欠费，导致迁移失败。主机迁移服务本身免费，但迁移过程中会创建按量付费资源并产生少量费用。详情参考100元余额说明。 已获取帐号迁移权限。 如果使用帐号登录，默认拥有迁移权限，可无需配置迁移权限；如果使用IAM用户登录，请创建用户组并授权进行授权。详情请参考创建用户并授权使用SMS。 已获取目的端帐号的AK/SK。 迁移时使用AK/SK进行鉴权认证，获取目的端帐号的AK/SK操作请参见如何获取AK/SK？（账号）或如何获取AK/SK？。 操作系统要求。 主机迁移服务支持迁移的源端服务器操作系统列表请参见Windows兼容性列表、Linux兼容性列表。 迁移网络要求。 1. 源端能连接到天翼云API Gateway（端口：443）。源端出网方向端口，建议全部开放。 2. 使用IPv6进行迁移时，要求源端支持IPv4/IPv6双栈网络。 3. 源端能连接到目的端。 1. 若使用弹性公网IP连接，目的端需要提前购买和配置正确的EIP。 2. 若使用专线或者VPN，需提前购买和配置正确的专线或VPN。 4. 目的端服务器所属安全组需要开放端口： 1. Windows系统需要开放TCP的8899端口、8900端口和22端口。 2. Linux系统文件级迁移开放22端口。 3. 以上端口，建议只对源端服务器开放。 4. 防火墙开放端口与操作系统开放端口保持一致。

功能 说明 简述HTTPS定义及配置方法。 简述全站加速支持的国密算法及配置方法。 简述HTTP2.0的定义和配置方法。 简述强制跳转的场景及配置方法。包括HTTP强制跳转HTTPS，HTTPS强制跳转HTTP。 简述OCSP Stapling功能的概念、使用前提和配置方法。 简述HSTS功能和配置方法。 简述天翼云全站加速产品支持的TLS协议版本和配置方法。 简述全站加速节点无需部署私钥的情况下如何加速HTTPS业务。 天翼云全站加速产品支持HTTPS加速服务，您可以通过控制台上传证书，并批量关联域名启用HTTPS加速服务，实现全网数据加密传输。 介绍天翼云全站加速支持的加密套件及对应套件支持的最低版本的SSL/TLS协议。 双向认证，顾名思义，即客户端与服务器双方均需认证对方的身份，在确认对方身份后才可以建立HTTPS连接。

通过后台提交作业 翼MR 3.x及之后版本客户端默认安装路径为“/opt/Bigdata/client”，翼MR 3.x之前版本为“/opt/client”。具体以实际为准。 1.登录翼MR管理控制台。 2.选择“集群列表 > 现有集群”，选中一个运行中的集群并单击集群名称，进入集群信息页面。 3.在“节点管理”页签中单击某一Master节点名称，进入弹性云服务器管理控制台。 4.单击页面右上角的“远程登录”。 5.根据界面提示，输入Master节点的用户名和密码，用户名、密码分别为root和创建集群时设置的密码。 6.执行如下命令初始化环境变量。 source/opt/Bigdata/client/bigdataenv 7.如果当前集群已开启Kerberos认证，执行以下命令认证当前用户。如果当前集群未开启Kerberos认证，则无需执行该步骤。 kinit 翼MR集群用户 例如, kinit admin 8.执行如下命令拷贝OBS文件系统中的程序到集群的Master节点。 hadoop fs Dfs.obs.access.keyAK Dfs.obs.secret.keySK copyToLocal sourcepath.jar targetpath.jar 例如： hadoop fs Dfs.obs.access.keyXXXX Dfs.obs.secret.keyXXXX copyToLocal "obs://翼MRword/program/hadoopmapreduceexamplesXXX.jar" "/home/omm/hadoopmapreduceexamplesXXX.jar" AK/SK可登录OBS控制台，请在集群控制台页面右上角的用户名下拉框中选择“我的凭证 > 访问密钥”页面获取。 9.执行如下命令提交wordcount作业，如需从OBS读取或向OBS输出数据，需要增加AK/SK参数。 source /opt/Bigdata/client/bigdataenv;hadoop jar executejar wordcount inputpath outputpath 例如： source /opt/Bigdata/client/bigdataenv;hadoop jar /home/omm/hadoopmapreduceexamplesXXX.jar wordcount Dfs.obs.access.keyXXXXDfs.obs.secret.keyXXXX "obs://翼MRword/input/" "obs://翼MRword/output/" inputpath为OBS上存放作业输入文件的路径。outputpath为OBS上存放作业输出文件地址，请设置为一个不存在的目录。

下载SWR软件包失败 问题描述 创建tomcat应用时，界面显示创建失败。经查后台tomcat日志，原因为下载swr中的软件包时认证失败。手工下载swr中的软件包，报401。 解决方法 把镜像设置为公开即可，私有包会导致因权限问题无法被拉取。

本文将为您介绍财务管理的产品功能。 创建子账号 企业主账号可通过企业组织，创建财务独立或财务托管的子账号，创建的子账号默认继承主账号的实名认证信息。 邀请子账号 企业主账号可通过企业组织，邀请已有的天翼云账号成为企业下的子账号，邀请的账号只能为财务独立子账号。 消费汇总 企业主账号可通过财务管理，查看组织、账号的消费汇总数据。 订单管理 企业主账号可通过财务管理，查看各账号的订单数据，并为托管子账号做订单支付。 发票管理 企业主账号可通过财务管理，对企业下各账号的发票进行管理，其中可申请代财务独立子账号开具发票，财务托管子账号发票合并到主账号开具（仅针对云公司/云省分线上客户）。 资金拨款与回收 企业主账号可通过财务管理，对企业下财务独立且实名认证一致的子账号做资金拨款或回收（仅针对云公司/云省分线上客户）。 限制子账号订购权限 企业主账号可通过企业组织，限制子账号及子账号下的iam用户下单、续订等订购权限。

信息项 描述 协议 使用以下协议，对负载中主机执行健康检查。 TCP HTTP HTTPS 默认为TCP协议。 双向认证 仅在协议为“HTTPS ”时，需要设置。 开启后，API网关将认证API后端服务。 路径 仅在协议不为“TCP ”时，需要设置。 健康检查时的目标路径。 请求类型 GET HEAD 检查端口 健康检查的目标端口。 缺省时，检查端口为负载通道的端口号。 正常阈值 判定负载通道中主机正常的依据为：连续检查x成功，x为您设置的正常阈值。 取值范围为2 ~ 10。缺省值为2。 异常阈值 判定负载通道中主机异常的依据为：连续检查x失败，x为您设置的异常阈值。 取值范围为2 ~ 10。缺省值为5。 超时时间 检查期间，无响应的时间，单位为秒。 取值范围为2 ~ 30。缺省值为5。 间隔时间 连续两次检查的间隔时间，单位为秒。 取值范围为5 ~ 300。缺省值为10。 HTTP响应码 仅在协议不为“TCP ”时，需要设置。 检查目标HTTP响应时，判断成功使用的HTTP响应码。

限制项 配额值 提升配额方式 创建集群的账号限制 完成实名认证 无 使用弹性高性能计算限制 确定委托代理（未授权时将返回控制台） 委托代理 创建按量付费资源的限制 账户余额（即现金余额）和代金券的总值不得小于100.00元人民币。 /

本节主要介绍Windlow客户端挂载HBlock单机版的卷。 1. 准备客户端操作系统 推荐使用win10、windows server 2012R2、windows server 2016R2等高版本的Windows操作系统，这些系统中自带了“iSCSI发起程序”，无需单独安装组件。 不同版本的客户端支持单卷容量不同，请参考下表： Windows版本 Block Size 单卷最大容量 Windows Server 2008R2 512 bytes / 4KiB 256 TiB Windows Server 2012R2 512 bytes / 4KiB 256 TiB Windows Server 2016 512 bytes / 4KiB 256 TiB Windows 10 512 bytes / 4KiB 1 PiB 2. 运行iSCSI发起程序 Windows客户端运行iSCSI发起程序，在“开始”>“搜寻程序和文件”输入“iSCSI”打开iSCSI发起程序，如下图所示： 1. 配置iSCSI发起程序 在“发现”>“发现门户”中输入服务器IP和端口，如下图所示： 在“目标”>“已发现目标”中搜索到HBlock发布的iSCSI target，查看到状态是“不活动”，点击“连接”，如下图所示： 2. 启用CHAP认证 若您的iSCSI target有开启CHAP认证，在弹出的连接到目标的对话框中，选择“高级”，如下图所示（没有开启请忽略此步骤直接连接即可）： 勾选“启用CHAP登录”，在“名称”中输入在HBlock系统中设置的iSCSI认证的用户名，在“目标机密”中输入设置的iSCSI认证的密码，然后点“确定”。如下图所示： 3. 客户端使用iSCSI共享磁盘 打开“服务器管理器”>“存储”>“磁盘管理”，将刚刚连接成功的状态是“脱机”的磁盘“联机”。 然后“初始化”，再“新建卷”，指定盘符并格式化，如下图所示。 注意 如果卷容量小于等于2TiB时，可以使用MBR和GPT中的任意一种进行分区；如果卷容量大于2TiB，只能使用GPT分区。 打开“计算机”，可以看到新增的磁盘的盘符和容量，此时可以按使用本地磁盘的习惯使用HBlock发布的iSCSI磁盘了。如下图所示： 注意 如果客户端需要断开连接或者删除磁盘，需要先打开“服务器管理器”>“存储”>“磁盘管理”，点击磁盘右键进行“脱机”，然后在“iSCSI发起程序”中“断开iSCSI连接”。 如果客户端需要断开连接后再次接入，无需进行初始化、新建卷操作，重新连接后即可看到磁盘。 如果想查询HBlock卷对应的磁盘，可以在客户端输入下列命令行查询。 plaintext wmic diskdrive get Name, Manufacturer, Model, InterfaceType, MediaType, SerialNumber 如下例所示，查询信息Name列对应的盘符号，对应“磁盘”上的“数目”列。SerialName对应HBlock的卷名称和uuid。

参数 是否必填 参数类型 说明 示例 下级对象 xamzcopysource 是 String 源的桶名称和对象名称 {bucket}/{obj} xamzstorageclass 是 StorageClass 对象存储类别 GLACIER(归档), STANDARDIA(低频), STANDARD(标准，默认) Authorization 是 String 用于验证请求合法性的认证信息