本节主要介绍创建IAM用户并登录 步骤1已完成用户组的创建并完成了授权，本节将描述A公司使用已注册的天翼云帐号，给公司成员创建IAM用户并加入用户组的操作，使得他们拥有独立的用户和密码，可以独立登录天翼云并管理权限范围内的资源。 创建IAM用户 步骤 1 A公司管理员使用已注册的天翼云帐号登录天翼云官网。 步骤 2 单击右上角账号名，在下拉列表中单击“账号中心”。 步骤 3 账号中心左侧导航栏中，单击“统一身份认证”。 步骤 4 统一身份认证左侧导航栏中，单击“用户”。 步骤 5 在“用户”管理界面中，单击“创建用户”。 步骤 6 在创建用户界面中，输入用户名、手机号、用户组等用户信息。 用户组：在下拉菜单中选择步骤1中已创建好的用户组“开发人员组”，新用户将具备此用户组的全部权限，这一过程即给用户授权。 用户基本信息：依次输入新用户的“邮箱”、“用户名”等基本信息，并为用户设置初始登录密码。 步骤 7 单击“确定”，完成IAM用户创建，用户列表中将显示新创建的IAM用户。 参考步骤5至步骤7的方法，创建用户Charlie、Jackson和Emily，并加入对应的用户组。 IAM用户登录 通过前述步骤，A公司已在其天翼云帐号中创建了名为James、Alice、Charlie、Jackson和Emily的IAM用户。完成IAM用户创建后，A公司管理员需要将帐号名、IAM用户名及初始密码告知对应的员工，这些员工就可以使用自己的用户名及密码访问天翼云及各云服务平台。 如果IAM用户登录失败或忘记密码，IAM用户可以联系A公司管理员重置密码。 步骤 1 A公司IAM用户打开天翼云官网。 步骤 2 单击顶部右上角“登录”，在登录页面输入用户名IAM用户名（一般为邮箱地址）、密码，单击“登录”按钮，登录天翼云。

本文介绍Redis主子账号和IAM权限管理 分布式缓存服务Redis版已对接天翼云统一身份认证服务（IAM），可实现控制台按钮、菜单功能、OpenAPI等维度对用户访问、操作资源的权限控制等， 以达到用户权限的精细管理，保证访问的安全性。 IAM简介 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。目前天翼云提供对应专有的CTIAM服务，用户可申请开通后免费使用，您只需要为您帐号中的云服务和资源进行付费。具体IAM使用说明详情见：统一身份认证。 IAM涉及主要概念 主用户：用户在天翼云注册后自动创建，该用户对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，为了确保账号安全，建议创建子用户来进行日常管理工作。 子用户：由拥有IAM权限的用户，在用户中心创建的子用户。子用户的用户名、密码由拥有IAM权限的用户控制。子用户同样可以登录访问天翼云控制台，登录入口与主用户相同，受赋予的权限限制。 用户组：用户组是用户的集合，IAM通过用户组功能实现用户的授权。您创建的IAM用户，需要加入特定用户组后，才具备对应的权限，否则IAM用户无法访问您帐号中的任何资源或者云服务。 系统策略：由产品团队维护，系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对 ECS 的只读权限、对 ECS 的管理员权限等；系统策略在IAM控制台中只能用于授权，不能编辑和修改。 自定义策略：由用户自己在IAM控制台创建和管理的权限集，是用户可以自由定义的权限，是对系统策略的扩展和补充。 企业项目：企业项目权限实现细粒度控制的基础。将云资源、企业成员按企业项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用企业项目内云资源的权限受用户组的授权限制。

关系数据库SQL Server版已对接天翼云统一身份认证服务（IAM），可实现控制台按钮、菜单功能、OpenAPI等维度对用户访问、操作资源的权限控制等， 以达到用户权限的精细管理，保证访问的安全性。 IAM简介 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。目前天翼云提供对应专有的CTIAM服务，用户可申请开通后免费使用，您只需要为您帐号中的云服务和资源进行付费。具体IAM使用说明详情见：统一身份认证。 IAM涉及主要概念 主用户：用户在天翼云注册后自动创建，该用户对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，为了确保账号安全，建议创建子用户来进行日常管理工作。 子用户：由拥有IAM权限的用户，在用户中心创建的子用户。子用户的用户名、密码由拥有IAM权限的用户控制。子用户同样可以登录访问天翼云控制台，登录入口与主用户相同，受赋予的权限限制。 用户组：用户组是用户的集合，IAM通过用户组功能实现用户的授权。您创建的IAM用户，需要加入特定用户组后，才具备对应的权限，否则IAM用户无法访问您帐号中的任何资源或者云服务。 系统策略 ：由产品团队维护，系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对SQL Server的只读权限、对SQL Server的管理员权限等；系统策略在IAM控制台中只能用于授权，不能编辑和修改。 自定义策略：由用户自己在IAM控制台创建和管理的权限集，是用户可以自由定义的权限，是对系统策略的扩展和补充。 企业项目：企业项目权限实现细粒度控制的基础。将云资源、企业成员按企业项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用企业项目内云资源的权限受用户组的授权限制。

本文介绍了关系数据库PostgreSQL版在主子账号和IAM管理实现的相关功能说明。 关系数据库PostgreSQL版已对接天翼云统一身份认证服务（IAM），可实现控制台按钮、菜单功能、OpenAPI等维度对用户访问、操作资源的权限控制等， 以达到用户权限的精细管理，保证访问的安全性。 IAM简介 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。目前天翼云提供对应专有的CTIAM服务，用户可申请开通后免费使用，您只需要为您帐号中的云服务和资源进行付费。具体IAM使用说明详情见：统一身份认证。 IAM涉及的主要概念 主用户 ：用户在天翼云注册后自动创建，该用户对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，为了确保账号安全，建议创建子用户来进行日常管理工作。 子用户 ：由拥有IAM权限的用户，在用户中心创建的子用户。子用户的用户名、密码由拥有IAM权限的用户控制。子用户同样可以登录访问天翼云控制台，登录入口与主用户相同，受赋予的权限限制。 用户组 ：用户组是用户的集合，IAM通过用户组功能实现用户的授权。您创建的IAM用户，需要加入特定用户组后，才具备对应的权限，否则IAM用户无法访问您帐号中的任何资源或者云服务。 系统策略 ：由天翼云产品团队维护，系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对 ECS 的只读权限、对 ECS 的管理员权限等；系统策略在IAM控制台中只能用于授权，不能编辑和修改。 自定义策略 ：由用户自己在IAM控制台创建和管理的权限集，是用户可以自由定义的权限，是对系统策略的扩展和补充。 企业项目 ：企业项目权限实现细粒度控制的基础。将云资源、企业成员按企业项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用企业项目内云资源的权限受用户组的授权限制。

本节主要介绍分布式消息服务Kafka主子账号和IAM权限管理 分布式消息服务Kafka已对接天翼云统一身份认证服务（IAM），可实现控制台按钮、菜单功能、OpenAPI等维度对用户访问、操作资源的权限控制等， 以达到用户权限的精细管理，保证访问的安全性。 IAM简介 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。目前天翼云提供对应专有的CTIAM服务，用户可申请开通后免费使用，您只需要为您帐号中的云服务和资源进行付费。具体IAM使用说明详情见：统一身份认证。 IAM涉及主要概念 主用户：用户在天翼云注册后自动创建，该用户对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，为了确保账号安全，建议创建子用户来进行日常管理工作。 子用户：由拥有IAM权限的用户，在用户中心创建的子用户。子用户的用户名、密码由拥有IAM权限的用户控制。子用户同样可以登录访问天翼云控制台，登录入口与主用户相同，受赋予的权限限制。 用户组：用户组是用户的集合，IAM通过用户组功能实现用户的授权。您创建的IAM用户，需要加入特定用户组后，才具备对应的权限，否则IAM用户无法访问您帐号中的任何资源或者云服务。 系统策略：由产品团队维护，系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对 ECS 的只读权限、对 ECS 的管理员权限等；系统策略在IAM控制台中只能用于授权，不能编辑和修改。 自定义策略：由用户自己在IAM控制台创建和管理的权限集，是用户可以自由定义的权限，是对系统策略的扩展和补充。 企业项目：企业项目权限实现细粒度控制的基础。将云资源、企业成员按企业项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用企业项目内云资源的权限受用户组的授权限制。

本页介绍分布式融合数据库HTAP的主子账号和IAM权限管理功能。 操作场景 分布式融合数据库HTAP产品已对接天翼云统一身份认证服务（IAM），可实现在控制台按钮、菜单功能、OpenAPI等维度上对用户访问、操作资源的权限控制， 以达到用户权限的精细管理，保证访问的安全性。 IAM简介 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。目前天翼云提供对应专有的CTIAM服务，用户可申请开通后免费使用，您只需要为您帐号中的云服务和资源进行付费。具体IAM使用说明请参见：统一身份认证。 IAM涉及主要概念 主用户 ：用户在天翼云注册后自动创建，该用户对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，为了确保账号安全，建议创建子用户来进行日常管理工作。 子用户 ：由拥有IAM权限的用户，在用户中心创建的子用户。子用户的用户名、密码由拥有IAM权限的用户控制。子用户同样可以登录访问天翼云控制台，登录入口与主用户相同，受赋予的权限限制。 用户组 ：用户组是用户的集合，IAM通过用户组功能实现用户的授权。您创建的IAM用户，需要加入特定用户组后，才具备对应的权限，否则IAM用户无法访问您帐号中的任何资源或者云服务。 系统策略 ：由产品团队维护，系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对 ECS 的只读权限、对 ECS 的管理员权限等；系统策略在IAM控制台中只能用于授权，不能编辑和修改。 自定义策略 ：由用户自己在IAM控制台创建和管理的权限集，是用户可以自由定义的权限，是对系统策略的扩展和补充。 企业项目 ：企业项目权限实现细粒度控制的基础。将云资源、企业成员按企业项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用企业项目内云资源的权限受用户组的授权限制。

CVE202549844：Redis的Lua脚本模块存在释放后重用（UseAfterFree）漏洞，攻击者可通过构造恶意脚本实现任意代码执行（RCE），完全控制服务器。 该漏洞需要认证鉴权才可以攻击，天翼云Redis默认强密码鉴权，具备VPC网络隔离，默认只有用户VPC范围内才可以访问Redis实例，风险可控。 如有修复该漏洞的诉求，请通过天翼云官方渠道获取相应技术解决方案。后续天翼云分布式缓存Redis版团队将推出修复版本，请关注产品发布通知并升级最新版本。

应用退后台桌面断连 天翼云电脑应用切换至手机后台后，可设定时长，让云电脑桌面自动断开连接。 面容/指纹识别 如需手机系统支持面容/指纹识别，可启用安全登录，我账号与安全点击“面容/指纹识别”。 虚拟MFA 开启MFA可以对登录、敏感操作进行二次认证，提高账户的安全性。 退出登录 如需退出AI云电脑登录账号，我点击页面底部“退出登录”，二次确认之后即可退出AI云电脑登录账号。

参数名称 说明 rwuser 表示数据库帐号名。 password 表示数据库帐号对应的密码，需要替换为真实密码。 如果密码中包含特殊字符“@”、“!”和“%”需要分别替换为对应的十六进制的URL编码（ASSCII码）“%40”、“%21”和“%25”。 示例：密码为@%!，对应的URL编码为 %40%25%21。 192.168.xx.xx:8635,192.168.xx.xx:8635 待连接集群实例的mongos节点IP地址及端口号。 test 表示测试库名。 authSourceadmin 表示高可用链接地址中的认证数据库必须为“admin”，即“authSourceadmin”为固定格式不可改变。

问题现象 管控面提交Flink任务时launcherjob因heap size不足被Yarn终止如何处理？ 解决方法 调大launcherjob的heap size值。 1.使用omm用户登录主OMS节点。 2.修改“/opt/executor/webapps/executor/WEBINF/classes/servicebroker.xml”中参数“job.launcher.resource.memory.mb”的值为“2048”。 3.使用sh /opt/executor/bin/restartexecutor.sh重启executor进程。 提交Flink作业时报错slot request timeout如何处理？ 问题现象 Flink作业提交时，jobmanager启动成功，但taskmanager一直是启动中直到超时，报错如下： org.apache.flink.runtime.jobmanager.scheduler.NoResourceAvailableException: Could not allocate the required slot within slot request timeout. Please make sure that the cluster has enough resources 可能原因 1.Yarn队列中资源不足，导致创建taskmanager启动不成功。 2.用户的Jar包与环境中的Jar包冲突导致，可以通过执行wordcount程序是否成功来判断。 3.若集群为安全集群，可能是Flink的SSL证书配置错误，或者证书过期。 解决方法 1.增加队列的资源。 2.排除用户Jar包中的Flink和Hadoop依赖，依靠环境中的Jar包。 3.重新配置Flink的SSL证书。 DistCP作业导入导出数据常见问题 DistCP类型作业导入导出数据时，是否会对比数据的一致性？ 不会。 DistCP类型作业导入导出数据时不会对比数据的一致性，只是对数据进行拷贝，不会修改数据。 DistCP类型作业在导出时，遇到OBS里已经存在的文件是如何处理的？ 覆盖原始文件。 DistCP类型作业在导出时，遇到OBS里已经存在的文件时会覆盖原始文件。 如何通过Yarn WebUI查看Hive作业对应的SQL语句？ 以业务用户登录FusionInsight Manager。 1.选择“集群 > 服务 > Yarn”，单击“ResourceManager WebUI”后的“ResourceManager(xxx，主) ”超链接，进入Yarn WebUI界面。 2.单击待查看的作业ID。 3.单击“Tracking URL”后的“ApplicationMaster”或“History”。 4.单击左侧导航栏的“Configuration”，在右上角搜索“hive.query.string”参数，即可查询出对应的HiveSQL。 如何查看指定Yarn任务的日志？ 以root用户登录主Master节点。 1.执行如下命令初始化环境变量。 source 客户端安装目录/bigdataenv 2.如果当前集群已启用Kerberos认证，执行以下命令认证当前用户。如果当前集群未启用Kerberos认证，则无需执行此命令。 kinit MRS集群用户 3.执行以下命令获取指定任务的日志信息。 yarn logs applicationId 待查看作业的applicationID

人脸识别是天翼云自研AI平台提供的产品之一，通过自主研发人脸识别算法模型，提供人脸系列API服务，包括人脸检测、人脸属性识别、人脸比对等能力。通过订购天翼云人脸识别产品，可将此服务快速高效的部署到您的应用中，为开发者和企业提供高性能的在线API服务和解决方案，针对图片进行分析，可应用于人脸识别和认证、安防考勤等各种场景。 本说明提供了人脸识别产品API的描述、语法、参数说明及示例等内容。

客户支持计划服务范围不包含 代码开发与调试； 任何未经认证的非“天翼云VIP客户客户名称”的IM沟通群及非天翼云服务支持企业服务群的服务支持； 云上业务操作及代运维服务； 所有第三方软件的配置指导、故障排查、安装、补丁更新、测试、故障诊断、优化等日常运维服务。 说明 对于不在天翼云服务范围内的第三方软件问题，您可反馈软件提供商，或在天翼云官网应用商城云市场目录下联系具备相关经验的商家寻求帮助。

OpenAPI门户提供了产品的描述、语法、参数说明及示例等内容。 关于用户如何使用天翼云NAT网关产品API的详细介绍，请参见公网NAT网关使用API、私网NAT网关使用API。您可以在OpenAPI门户可以了解到具体的API认证鉴权机制、接入终端节点、API概览、API详述、状态码接入点等内容，配合在线测试、sdk，API调试将更加方便。

此小节介绍企业主机安全与其他云服务的关系。 使用企业主机安全服务，您将可以同时使用消息通知服务接收告警通知信息，使用统一身份认证服务管理用户权限，利用云审计服务审计用户行为。 弹性云主机 企业主机安全服务的Agent软件可安装在ECS服务器上。 关于弹性云主机的详细内容，请参见弹性云主机用户指南。 消息通知服务 消息通知服务（Simple Message Notification，简称SMN），是一个可拓展的高性能消息处理服务。 开启告警通知前，您需先配置“消息通知服务”。 开启消息通知服务后，当您的主机遭受攻击或被检测出有高危风险时，您将接收到企业主机安全服务发送的各项风险告警通知。 在“告警通知”界面，您可以根据运维计划选择“每日告警通知”和“实时告警通知”。 统一身份认证服务 统一身份认证服务（Identity and Access Management，简称IAM），是一个免费的身份管理服务。通过IAM服务，您可以根据用户的身份，对用户的权限进行精细化隔离和控制。IAM是权限管理的基础服务，无需付费即可使用。 关于IAM的详细内容，请参统一身份认证服务用户指南。 企业管理 企业中有多个项目，多个项目的资源需要分开结算，且分属不同人员进行管理。同时项目可以单独启动或停止，对其他项目没有影响。那么可以针对企业中的每个项目，分别建立企业项目，管理各自的资源，并且针对不同的企业项目，设置不同的人员进行管理。

本文为PHP调用示例。 如附件所示： 需引入公共部分：php.zip 人脸检测：FaceDetect.zip 人脸属性识别：DetectAgeGender.zip 人脸比对：FaceCompare.zip 人脸活体检测：DetectFasFrom.zip 人脸实名认证：FaceAuth.zip 动作活体识别：FaceActionFas.zip

参数 是否必填 参数类型 示例 说明 name 否 string CAorigincert 证书备注名，name和id必填其中一个，若都填返回name查询结果 id 否 int 7034 证书id，name和id必填其中一个，若都填返回name查询结果 usagemode 否 int 2 证书用途，取值范围：0（加速域名的证书和私钥），1（客户端CA链证书），2（源站CA链证书），3（CDN回源节点证书和私钥），4（加速域名的证书和私钥（国密）），其中1、2、3是双向认证场景使用的证书

准备工作 注册天翼云账号 使用对象存储迁移服务ZMS，您需要先注册天翼云门户的账号。本部分将介绍如何进行账号注册，如果您拥有天翼云的账号，可登录后直接使用对象存储迁移服务。 1. 打开天翼云门户网站，点击“ 注册 ”。 2. 在注册页面，请填写“ 邮箱地址 ”、“ 登录密码 ”、“ 手机号码 ”，并点击“ 同意协议并提交 ” 按钮，如1分钟内手机未收到验证码，请再次点击“ 免费获取短信验证码 ”按钮。 3. 注册成功后，可到邮箱激活您的账号，即可体验天翼云。 4. 进行实名认证，请参考会员服务实名认证。 开通天翼云对象存储 登录您的天翼云账号即可使用对象存储迁移服务ZMS，但天翼云对象存储ZOS需要您单独开通，具体操作可参看开通对象存储服务。 获取源端和目的端的访问密钥（AK/SK） 源端：源端为华为云OBS，请检查您的华为云对应账号是否已创建有访问密钥（AK/SK），并且为您的账号授权华为云OBS的访问权限。 目的端：目的端仅为天翼云对象存储ZOS，您可参看获取访问密钥（AK/SK），获取您的访问密钥（AK/SK）。 创建目的端存储桶（bucket） 请您在迁移前创建用于存储迁移数据的对象存储桶，具体操作可参看创建桶。 注意 不同地域的对象存储ZOS bucket所支持的存储类型不一致，请您创建存储桶时，根据您的目的端存储类型需要进行创建。您可参考

适用场景 众所周知，将传统的单体应用拆分为一个个微服务固然带来了各种好处，包括更好的灵活性、可伸缩性、重用性，但微服务也同样面临着特殊的安全需求，如下所示： 为了抵御中间人攻击，需要用到流量加密。 为了提供灵活的服务访问控制，需要用到TLS和细粒度访问策略。 为了决定哪些人在哪些时间可以做哪些事，需要用到审计工具。 面对这些需求应用服务网格提供全面的安全解决方案，包括身份验证策略，透明的TLS加密以及授权和审计工具。 价值 默认的安全性：无需修改即可保证应用程序代码和架构的安全性。 纵深防御：与现有的安全系统结合并提供多层防御。 零信任网络：在不受信任的网络上构建安全解决方案。 优势 非侵入安全：应用服务网格是以一种安全基础设施的方式向用户提供透明的安全能力，让不涉及安全问题的代码安全运行，让不太懂安全的人可以开发和运维安全的服务，不用修改业务代码就能提供服务访问安全。应用服务网格提供了一个透明的分布式安全层，并提供了底层安全的通信通道，管理服务通信的认证、授权和加密，提供Pod到Pod、服务到服务的通信安全。开发人员在这个安全基础设施层上只需专注于应用程序级别的安全性。 细粒度授权：在认证的基础上，就可以进行服务间的访问授权管理，可以控制某个服务，或者服务的一个特定接口进行授权管理。如只开放给特定的一个Namespace下的服务，或者开放给某个特定的一个服务。源服务和目标服务可以在不同的集群，甚至源服务的不同实例在不同的集群，目标服务的不同实例在不同的集群。 服务运行监控

请款合同申请 请款合同适用于购买天翼云产品前的请款，即未支付订单申请请款的线上合同。 线上申请的电子合同带有天翼云电子合同章，具有法律效力，可以直接使用。 前提条件 只有通过实名认证的客户，才可以申请线上合同。 仅适用于未支付的预付费产品订单。 操作流程 登录官网，在首页点击“管理中心费用发票与合同”，选择进入“合同管理”页面，可执行以下操作申请请款合同： 1、申请合同 进入合同管理页面，点击按钮“合同申请”。 2、选择“请款合同” 3、选择待支付订单 选择待支付的包年、包月资源申请请款合同。选择需申请请款合同的订单后，单击“下一步”。现支持选择多笔订单生成一份合同。 4、添加合同信息 确认要申请合同的订单，并添加您的合同信息。此信息即作为联系人地址、联系人姓名、联系人电话。甲方抬头系统默认为您的实名认证名称。 信息填写确认完毕后，您可以选择生成草稿合同或者正式合同。草稿合同支持下载，可预览您生成的合同内容。 5、完成 草稿合同创建成功后，您可以在完成页面下载，也可以在合同列表页找到该草稿合同进行下载。建议您预览草稿合同确认后，转正式合同。 如您发现草稿合同信息有误，可作废该草稿合同，重新申请。如草稿信息确认无误，可转为正式合同，正式合同盖有具备法律效力的电子签章。

本文为您介绍分布式消息服务MQTT的快速入门连接实例。 创建用户名和密码 终端设备连接MQTT队列需要先创建用户密码。 1、 天翼云官网点击控制中心，选择产品分布式消息服务MQTT。 2、 登录分布式消息服务MQTT控制台，点击右上角地域选择对应资源池。 3、 进入实例列表，点击【管理】按钮进入管理菜单。 4、 进入认证授权菜单，点击【新增】按钮，在弹出框输入认证用户名、用户密码、确认密码等信息。 主题授权 对用户名进行主题授权，客户端方可正常收发。 1、 选择需要授权的用户，点击【授权】按钮。 2、 在弹出框填写已创建的主题名称，主题权限包含3种：pub、sub、pubsub，支持通配符， 代表所有主题。 绑定公网IP 公网接入若未绑定弹性公网ip需先进行购买弹性ip并进行绑定。 弹性IP是可以独立申请的公网 IP 地址，包括公网IP地址与公网出口带宽服务。可以与分布式消息服务MQTT动态绑定和解绑，实现云资源的互联网访问。针对需要公网访问分布式消息服务MQTT实例的需求，用户可开通弹性IP后，在MQTT实例页面进行绑定。 1、 进入实例列表，点击【管理】按钮进入管理菜单。 2、 在实例详情查看公网IP，点击【绑定】按钮，选择已购买的弹性IP。 弹性ip带宽大小计算规则可参照：带宽 报文大小TPS 120%，建议按120%购买，应对突发流程。如规格，报文大小1KB，TPS 2W/s，则带宽2000010008160Mb/s,建议200Mb/s。

本章节主要介绍天翼云与客户在安全性方面各自应承担的责任。 为明确翼MapReduce产品在云服务环境下的安全责任边界，保障客户与天翼云协同构建安全可信的服务体系，本文将介绍天翼云与客户在安全性方面各自应承担的责任。 天翼云安全责任 天翼云负责保障云服务自身安全。责任包括： 基于天翼云综合安全产品体系，保障翼MapReduce产品内部使用的计算、存储、网络等基础设施，以及运行其上的平台服务与应用服务的安全性。 基于天翼云账号认证体系，为客户提供云上账户安全管理能力，包括但不限于支持主子账号、分组授权、细粒度授权等账户安全管控手段。 基于天翼云的监控与日志管理等能力，为客户提供翼MapReduce产品控制台操作及组件服务指标的安全监控能力。 未经客户授权，不接触和处理客户的业务数据。 客户安全责任 客户负责云服务内部的安全，正确配置和使用天翼云提供的产品能力和服务，责任包括： 负责数据的备份、加密，并对翼MapReduce产品中使用的所有密钥进行妥善管理。 负责访问权限控制，在账户设置中遵循最小权限原则，保护天翼云账户认证凭证。 遵循天翼云提供的安全原则和建议，对翼MapReduce产品中所使用的服务器、虚拟私有云、安全组、网络等基础设施进行合理配置，避免因配置不当而引发的安全风险与问题，承担数据安全主体责任。 管理安装在翼MapReducce集群上的组件服务，对其进行合理配置与使用，避免因不当配置引发的安全风险与问题。 不使用天翼云产品和服务从事非法的数据处理活动。

本文主要介绍通过自定义域名访问集群 操作场景 集群服务端证书中签入的 主题备用名称（Subject Alternative Name，缩写SAN） 。SAN通常在TLS握手阶段被用于客户端校验服务端的合法性：服务端证书是否被客户端信任的CA所签发，且证书中的SAN是否与客户端实际访问的IP地址或DNS域名匹配。 当客户端无法直接访问集群内网私有IP地址或者公网弹性IP地址时，您可以将客户端可直接访问的IP地址或者DNS域名签入集群服务端证书，以支持客户端开启双向认证，提高安全性。典型场景例如DNAT访问、域名访问等特殊场景。 域名访问场景的典型使用方式如下： 客户端配置Host域名指定DNS域名地址，或者客户端主机配置/etc/hosts，添加域名映射。 云上内网使用，云解析服务DNS支持配置集群弹性IP与自定义域名的映射关系。后续更新弹性IP可以继续使用双向认证+自定义域名访问集群，无需重新下载kubeconfig.json配置文件。 自建DNS服务器，自行添加A记录。 约束与限制 仅支持1.19及以上版本集群。 添加自定义SAN 步骤 1 登录CCE控制台。 步骤 2 在集群列表中单击集群，进入集群详情页。 步骤 3 在连接信息的自定义SAN处单击，在弹出的窗口中添加IP地址或域名，然后单击“保存”。 说明 当前操作将会短暂重启kubeapiserver并更新kubeConfig.json文件，请避免在此期间操作集群。 请输入域名或ip，以英文逗号（,）分隔，最多128个。 自定义域名如需绑定弹性公网，请确保已配置公网地址。

本章节为您介绍网关服务管理的基本操作。 网关服务管理是用于维护网关服务，提供开通网关服务、删除、配置、查询详情等功能。 新增网关服务 1. 登录综合安全网关实例。 2. 在左侧导航栏选择“SSL网关服务 > 网关服务管理”，在页面左上角单击“开通网关服务”。 3. 在弹出的“新增网关服务”的对话框中配置网关服务参数。 参数 参数说明 服务名称 自定义新增的网关服务名称，完成创建后不可修改。 服务类型 选择新增的服务类型。 服务端口 选择新增的服务端口，完成创建后不可修改。 端口选择范围为：1844418454。 4. 确认填写的内容后，单击“确定”完成新增网关服务。 配置网关服务 1. 登录综合安全网关实例。 2. 在左侧导航栏选择“SSL网关服务 > 网关服务管理”，选择需要配置的网关服务，单击操作列的“配置”。 3. 在弹出的“配置网关服务”窗口中，配置相关参数。 参数 参数说明 服务名称 不可修改，服务名称是您创建时填写的。 服务类型 选择服务类型。 服务端口 不可修改。 SSL类型 选择需要配置的SSL类型。支持单向认证、双向认证。 协议类型 选择网关服务的协议类型。支持国际协议、国密协议、国际+国密协议。 SSL协议 选择网关服务的SSL协议，目前支持选择：SSLv3、TLSv1、TLSv1.1、TLSv1.2、TLSv1.3、HTTP2。 算法类型 选择“默认算法”或“自定义算法”。 SSL算法 选择自定义算法时可选择，根据您业务的需求选择SSL算法。 负载策略 选择网关服务的负载策略。 服务器组 选择服务器组。 证书 选择网关服务的证书。 4. 配置完成后，单击“确定”即可完成配置。

运行作业 本示例通过在弹性资源池队列上运行一个Flink SQL举例演示。 1. 在DLI管理控制台，单击“作业管理 > Flink作业”，在Flink作业管理界面，单击“创建作业”。 2. 在创建作业界面，类型选择“Flink SQL”，名称填写为：testFlinkSqlJob。单击“确定”，跳转到Flink作业编辑界面。 3. 在Flink SQL作业编辑界面，配置如下参数。 −所属队列：选择步骤二：添加队列到弹性资源池中弹性资源池添加的队列“generaltest”。 −保存作业日志：勾选。 −OBS桶：选择保存作业日志的OBS桶，根据提示进行OBS桶权限授权。 −开启Checkpoint：勾选。 −Flink作业编辑框中输入具体的作业SQL，本示例作业参考如下。具体加粗的参数需要根据实际情况修改。 CREATE SINK STREAM carinfo (id INT, name STRING) WITH ( type "rds", region "", / 根据情况修改为当前的region ID/ 'pwdauthname'"xxxxx", // DLI侧创建的Password类型的跨源认证名称。使用跨源认证则无需在作业中配置账号和密码。 dburl "mysql://192.168.x.x:3306/test2", / 格式为mysql://RDS数据库实例的内网地址:RDS数据库端口/RDS创建的数据库名 / tablename "tabletest2" / RDS数据下的表名 / ); INSERT INTO carinfo SELECT 13, 'abc'; 4.单击“语义校验”确保SQL语义校验成功。单击“保存”，保存作业。单击“启动”，启动作业，确认作业参数信息，单击“立即启动”开始执行作业。 5.等待作业运行完成，作业状态显示为“已完成”。 6.登录RDS控制台，单击RDS数据库实例，单击创建的数据库名，如“test2”，在创建的表“tabletest2”所在行的“操作”列，单击“SQL查询”。 7.在“SQL查询”界面，单击“执行SQL”，查看RDS表数据已写入成功。

本文汇总了密钥管理计费类常见问题。 密钥管理服务的计费方式是什么？ KMS产品当前支持包周期版本及按需版本，对应两种计费模式： 包年/包月计费：一种预付费模式，即先付费再使用。您可根据业务需要，选择合适的包周期服务版本（基础版、企业版），一次性支付一个月/多个月/一年/多年的费用，支付成功后，KMS服务资源将被系统分配给用户使用，直到超过保留期后被系统回收。 按使用量计费：一种后付费模式，即先使用再付费。在结算时会按照您在按需版本中，实际资源使用量收取费用，如密钥数量、API调用量等。 密钥管理服务的计费项是什么？ KMS包周期版服务的计费项包括基础版、企业版。 基础版提供软件保护等级服务，支持客户构建专属的密钥库，具备高度可扩展性；同时提供极简的密码运算接口能力，满足应用的安全快速集成。 企业版提供硬件保护等级服务，底层对接使用经国家密码管理局认证的密码机硬件，提供更高安全与合规等级保证的资源管理及密码运算服务，满足监管机构的检测认证要求。 KMS按需版服务的计费项包括密钥托管费、API调用费。 密钥托管费：密钥创建后托管在KMS服务产生的费用，按照密钥类型、密钥个数以天为周期进行计费。 API调用费：密钥创建后通过接口调用产生的请求费用，按照API请求次数计费，每个账户每月有20000次的免费请求次数，超过20000次后开始计费。 具体的计费项详情请参考计费项。

本文主要介绍云服务备份的安全。 责任共担 安全性是天翼云与您的共同责任： 天翼云 ：负责云服务自身的安全，提供安全的云。 租户 ：负责云服务内部的安全，安全地使用云。 身份认证与访问控制 用户访问CBR的方式有多种，包括CBR console控制台、API，无论访问方式封装成何种形式，其本质都是通过CBR提供的REST风格的API接口进行请求。 CBR的接口只支持认证请求，需要用户通过天翼云正确的鉴权信息才能访问成功。 数据保护技术 CBR通过多种数据保护手段和特性，保障备份数据安全可靠。 表 CBR的数据保护手段和特性 数据保护手段 简要说明 传输加密（HTTPS） 为保证数据传输的安全性，备份数据存储到OBS桶时采用HTTPS协议。 备份数据加密 当备份的目标磁盘为加密磁盘时，如果磁盘启用备份加密，则备份数据会在加密存储。当用户执行备份恢复时，存储的加密数据会先解密之后再恢复到目标磁盘。 审计与日志 审计 云审计服务（Cloud Trace Service，CTS），是天翼云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 用户开通云审计服务并创建和配置追踪器后，CTS可记录CBR的管理事件和数据事件用于审计。 CTS的详细介绍和开通配置方法，请参见CTS快速入门。 CTS支持追踪的CBR管理事件和数据事件列表，请参见审计。

认证鉴权说明 信息的获取 获取AccessKey(ak)和SecurityKey(sk)： 登录天翼云门户，在“控制台”>“账号中心”>“安全设置”>“登录保护”>“用户AccessKey”点击“查看”获取。 注意：SecurityKey信息只在创建的时候展示，请务必留存好信息。 EopAuthorization签名认证信息： 步骤一：构造代签字符串 sigture sigture 需要进行签名的Header排序后的组合列表+ " n " + encode的query + " n " + toHex(sha256(原封的body)) 名称 描述 需要进行签名的header排序后的组合列表（排序的header） 将ctyuneoprequestid、eopdate以 “headername:headervalue”的形式、以“n”作为每个header的结尾符、以英文字母表作为headername的排序依据将它们拼接起来。注意：EOP强制要求ctyuneoprequestid、eopdate必须进行签名。其他字段是否需要签名看自身需求。例子(假设你需要将ctyuneoprequestid、eopdate、host都要签名)： ctyuneoprequestid:123456789neopdate:20210531T100101Zn encode的query query以&作为拼接，key和value以连接，值需要encode，query参数全部都需要进行签名 toHex(sha256(原封的body)) 传进来的body参数进行sha256摘要，对摘要出来的结果转十六进制 sigture示例1（ 假设query为空 、需要进行签名的Header排序后的组合列表为“ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680n eopdate:20220525T160752Z n”、body参数做sha256摘要后转十六进制为e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855）： ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680n eopdate:20220525T160752Z nnne3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 sigture示例2（ 假设query不为空 、需要进行签名的Header排序后的组合列表为“ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680n eopdate:20220525T160752Zn”、body参数做sha256摘要后转十六进制为e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855）： ctyuneoprequestid:27cfe4dce64045f692ca492ca73e8680n eopdate:20220525T160930Z nnaa1&bb2ne3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855

以IAM用户的方式访问OOS 一个账户可以建立多个子用户，您可以通过IAM为不同的操作人员创建独立的IAM子用户。根据操作人员的职能范围，授予相应的管理权限。同时建议您也为根用户创建子用户，并授予该子用户管理权限，使用该用户进行日常管理工作，保护账户安全。 创建IAM用户详见IAM用户、或用户管理接口。 创建IAM用户后，您可以根据IAM用户进行分组及附加权限，可以参考用户管理。 对子用户启用多因子认证（MFA） 多因子认证（MultiFactor Authentication，简称MFA）是一种简单安全的二次认证方式，为用户增加了一层安全保护。 启用多因子认证可以参考MFA。 STS临时授权访问OOS STS（Security Token Service）是为云计算用户提供临时访问令牌的Web服务。通过STS，可以为第三方应用或用户颁发一个自定义时效的访问凭证。第三方应用或用户可以使用该访问凭证直接调用OOS API，或者使用OOS提供的SDK来访问OOS API。 OOS可以为用户提供临时访问密钥，详见GetSessionToken。 Bucket Policy Bucket Policy用于定义OOS资源的访问权限。通过Bucket Policy，您可以授权另一个账号访问或管理整个Bucket或Bucket内的部分资源，或者对同账号下的不同IAM用户授予访问或管理Bucket资源的不同权限。 配置Bucket Policy时，建议遵循权限最小化原则，降低数据的安全风险： 避免授权整个Bucket 资源授权过大容易导致用户数据被非法访问，所以请避免授权整个Bucket。 不授权匿名访问 允许匿名访问意味着用户只需要知道Endpoint和Bucket名称就可以访问OOS数据，而Endpoint是可以枚举的，Bucket名称也可以从已授权的访问文件URL中提取。由此可见，授权允许匿名访问会带来极大的安全风险。 设置合理的Action 通过控制台Bucket“属性”>“安全策略”配置Bucket Policy，在Action中授权您业务需求中必须的接口权限，给予授权用户最小的权限。 使用HTTPS访问 使用HTTPS访问可以解决网络中间人攻击以及域名劫持等问题，使访问更加安全。 限定源IP 如果访问OOS资源的IP地址是固定的，强烈建议配置Condition中IP Address的ctyun:SourceIp条件键，设置访问IP的白名单/黑名单。 对Bucket设置防盗链 通过对访问来源设置白名单/黑名单的机制，避免OOS资源被其他人盗用。 防盗链通过请求Header中的Referer地址判断访问来源。当浏览器向Web服务器发送请求的时候，请求Header中将包含Referer，用于告知Web服务器该请求的页面链接来源。OOS根据浏览器附带的Referer与用户配置的Referer规则来判断允许或拒绝此请求，如果Referer一致，则OOS将允许该请求的访问；如果Referer不一致，则OOS将拒绝该请求的访问。 示例1：examplebucket的权限为私有，通过Bucket Policy授予名为username1的IAM用户，仅能使用IP地址192.168.143.0/24、Referer为< { "Version":"20121017", "Id":"http referer policy example", "Statement":[ { "Sid":"", "Effect":"Allow", "Principal":{ "CTYUN":"arn:ctyun:iam::accountId:user/username1"}, "Action":"oos:GetObject", "Resource":"arn:ctyun:oos:::examplebucket/1", "Condition":{ "StringLike":{ "ctyun:Referer":[ " " ] }, "Bool": { "ctyun:SecureTransport": "true" }, "IpAddress" : { "ctyun:SourceIp":"192.168.143.0/24" } } } ] } 示例2：如果examplebucket的权限为公共读写，通过Bucket Policy限制：仅Referer为< { "Version":"20121017", "Id":"", "Statement":[ { "Sid":"", "Effect":"Deny", "Principal":{ "CTYUN": [""] }, "Action":"oos:", "Resource":"arn:ctyun:oos:::examplebucket/", "Condition":{ "StringNotLike":{ "ctyun:Referer":[ " " ] } } } ] }

本节主要介绍为IAM用户授权 如果管理员在创建IAM用户时，没有将其加入任何用户组， 则新创建的IAM用户不具备任何权限，不能对云服务进行操作 ，管理员可以在IAM控制台或天翼云官网将其加入用户组，为其授予所属用户组的权限策略。授权后，用户即可根据用户组权限使用帐号中的云服务资源。 基于用户组授权 步骤 1 管理员使用已注册的天翼云帐号登录天翼云官网。 步骤 2 单击右上角账号名，在下拉列表中单击“账号中心”。 步骤 3 账号中心左侧导航栏中，单击“统一身份认证”。 步骤 4 统一身份认证左侧导航栏中，单击“用户组”。 步骤 5 找到计划加入的用户组，单击右侧的“用户组管理”。 步骤 6 选择IAM子用户，单击“确认”，将IAM用户加入用户组，加入用户组后，IAM用户将拥有所属用户组的所有权限。 说明 如果将IAM用户加入默认用户组“admin”，则IAM用户为管理员，可以对所有云服务执行任意操作。 当某个用户加入多个用户组时，此用户同时拥多个用户组的权限，即取多个用户组权限的全集。 所有使用IAM授权的云服务的系统策略，请参见：权限集。 如果您开通了企业管理，将不能创建IAM项目，请谨慎操作。 基于企业项目授权 步骤 1 管理员登录IAM控制台。 步骤 2 管理员在用户列表中，单击用户名称，进入IAM用户详情页面。 步骤 3 在IAM用户详情页面，单击“授权记录”页签，然后单击“授权”，可 直接给用户授权（适用于企业项目授权） ，直接给IAM用户授予云服务权限，勾选对应的云服务权限后，单击“下一步”。 说明 该授权方式仅在您开通企业项目后支持。 步骤 4 在“设置最小授权范围”页面，选择授权IAM用户使用的企业项目。 步骤 5 单击“确定”，完成IAM用户授权。 授权完成后，管理员可以在“权限管理>授权管理”页面查看、修改该IAM用户的权限。

本文为Python3调用示例。 如附件所示： 人脸检测：detectface.zip 人脸比对：facecompare.zip 人脸活体检测：detectfaceliveness.zip 动作活体识别：detectfaceaction.zip 人脸属性识别：detectfaceproperty.zip 人脸实名认证：facerealname.zip

参数 参数类型 说明 xamzalgorithm String 指定签名的版本和算法，固定值为AWS4HMACSHA256。 xamzcredential String 指明派生密钥的参数集。格式： <AccessKeyId>/<date>/<region>/s3/aws4request 。 xamzdate String 请求的时间（遵循ISO 8601日期和时间标准）。格式：20241216T020211Z。 xamzsignature String 签名认证信息。其值为通过HMACSHA256算法对Base64编码后的policy字符串进行加密计算，然后所得的二进制哈希值转换成十六进制的形式

参数 是否必填 参数类型 说明 示例 下级对象 Authorization 是 String 用于验证请求合法性的认证信息。 xamzacl 否 String 对象的权限控制策略，如带上此头部，则此头部需参与Authorization计算。 private、publicread、puvlicreadwrite xamzmeta 否 String 自定义的元数据，如带上此头部，则此头部需参与Authorization计算。 xamzmetatest1: metadata1 xamzstorageclass 否 StorageClass 对象存储类型，带上此头部，则此头部需参与Authorization计算。 GLACIER(归档)、STANDARDIA(低频)、STANDARD(标准)