本章介绍处理HSS暴力破解告警的方法。 说明 收到告警事件通知说明您的云服务器被攻击过，不代表已经被破解入侵。 您可在收到告警后，及时对告警进行分析、排查，采取相应的防护措施即可。 可能原因：由于您服务器的远程连接端口没做访问控制，导致网络上的病毒频繁攻击您服务器端口。 解决方案：您可通过以下方式来改善被频繁暴破攻击的情况，降低风险： 1、配置白名单 2、修改端口 3、设置安全组规则 4、开启双因子认证 5、设置高强度口令 操作详情请参见如何预防账户暴力破解攻击？

本文介绍如何修改IPsec连接。 创建IPsec连接后，您可以修改IPsec连接的配置信息。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择VPN网关实例所在地域。 3. 在网络产品中选择“VPN连接”，进入VPN连接页面。 4. 在左侧网络控制台，选择“IPsec VPN”，进入IPsec VPN页面。 5. 单击“IPsec连接”，进入“IPsec连接”页签。 6. 在IPsec连接页面，在操作列单击“修改”，进入修改IPsec连接页面。 7. 在修改IPsec连接页面，可以修改IPsec连接名称、本段子网、对端网段、协商生效、认证方式以及高级配置等信息，修改完成，单击“确认”。

本文为您介绍如何开通云审计服务。 使用云审计服务前需要先开通所在资源池的云审计服务，如果不开通云审计服务，则无法对资源操作进行记录。 前提条件 已注册天翼云账号，并且完成实名认证。 操作步骤 1. 登录天翼云官网，在产品列表中找到云审计。 2. 进入云审计产品详情页，点击“立即开通”。 3. 进入云审计控制台，初次使用会显示欢迎使用页面，点击“立即购买”。 4. 勾选“我已阅读，理解并接受《天翼云云审计服务协议》”，点击“立即购买”，即可完成服务开通。

在域名查找界面，显示状态为“可注册”的域名为可以注册购买的域名；点击“立即注册” → “注册”即可进入域名注册订单确认界面 在域名订单确认页面中，选择实名认证通过的域名信息模板（若无可先进行域名信息模板创建），勾选域名注册协议后点击“订购” → “立即支付”完成支付即可完成域名注册购买。

本节为您介绍权限管理的概念。 在协同使用资源的场景下，如果您需要根据实际的职责权限情况配置用户使用权限，可使用 统一身份认证（Identity and Access Management，简称IAM）服务，创建多个IAM用户并为其授予不同的权限，实现不同IAM子用户可以分权管理不同的资源，从而提高管理效率，降低信息泄露风险。通过IAM可实现精细化权限管理、安全访问、批量管理用户权限、委托其他帐号管理资源等功能。您可以创建并为IAM用户或用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 IAM是天翼云提供的免费基础服务，您只需为购买资源进行付费。关于IAM的详细介绍，请参见IAM产品介绍。 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，缩小不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素“Action”“Effect”等。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略: 系统策略：预置的系统策略，您只能使用不能修改。镜像服务相关的系统策略包含如下： Admin：镜像服务的管理者权限，包含镜像服务所有控制权限（不含订单类权限）。 Viewer:镜像服务的观察者权限，包含镜像服务的列表页与详情页面权限。 自定义策略：您按需自行创建和维护的权限策略。

轻量型云主机退订数据盘 接口功能介绍 该接口提供用户退订一台轻量型云主机数据盘功能 准备工作 ：   构造请求：在调用前需要了解如何构造请求，详情查看构造请求   认证鉴权：openapi请求需要进行加密调用，详细查看认证鉴权 注意事项 ：   释放前请确保文件已进行备份，释放后不可恢复。 接口约束   1. 使用限制，本接口只支持在部分资源池进行公测   2. 确保当前请求资源池下，该云主机存在（即instanceID真实存在且与regionID相对应）   2. 确保云硬盘挂载在本云主机，并且云硬盘没有快照   3. 云主机需要处于关机状态（stopped）或者运行状态（running），您可以调用查询轻量型云主机详情查询结果中的instanceStatus字段来确认当前云主机状态   4. 只有数据盘支持卸载操作，系统盘不支持卸载 URI POST /v4/ecs/lite/unsubscribevolume 路径参数 无 Query参数 无 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 clientToken 是 String 客户端存根，用于保证订单幂等性。要求单个云平台账户内唯一，使用同一个ClientToken值，其他请求参数相同时，则代表为同一个请求。保留时间为24小时 4cf2962de92c4c009181cfbb2218636c regionID 是 String 资源池ID，您可以查看地域和可用区来了解资源池 获取： 查 资源池列表查询 bb9fdb42056f11eda1610242ac110002 instanceID 是 String 云主机ID，您可以查看弹性云主机了解云主机的相关信息 获取： 查 查询轻量型云主机列表 创 创建轻量型云主机 adc614e0e838d73f0618a6d51d09070a diskID 是 String 云硬盘ID 26eea80da232470c9b39df512825eb3d

3、安全设置 连接安全性：该设置决定服务器连接是否加密。无：不加密；SSL/TLS：加密（推荐）；STARTTLS：连接以不加密开始，如果服务器支持，那么尝试加密。 验证方式：该设置是认证连接账号的方式。邮箱账户提供商会决定使用何种方式进行认证，您可以登录邮箱服务器端查看。 4.完成以上邮箱配置即登录成功 验证过程可能会持续1分钟左右，当出现“尝试常用服务器名称后找到配置”即完成账密即服务器验证，点击“完成”即登录成功。 说明 IMAP和POP有什么区别？ POP允许电子邮件客户端下载服务器上的邮件，但是您在电子邮件客户端的移动邮件、标记已读、删除邮件等操作，是不会反馈到服务器上的。比如：您通过AOneMail客户端收取了邮箱中的5封邮件并移动到了其他文件夹，这些移动动作是不会反馈到服务器上的，也就是说，邮箱服务器上的这些邮件是没有同时被移动的。 但是IMAP就不同了，电子邮件客户端的操作都会反馈到服务器上，您对邮件进行的移动邮件、标记已读、删除邮件等操作服务器上的邮件也会做相应的动作。即，IMAP是“双向”的。 同时，IMAP可以只下载邮件的主题，只有当您真正需要的时候，才会下载邮件的所有内容。 如何导入AOneMail旧数据 1.进入AOneMail主界面，点击导入。 2.点击从另一个AOneMail安装导入，点击下一步。 3.选择配置文件目录或ZIP文件作为配置文件导入，点击下一步。 4.选择需要导入的内容并点击继续。 5.点击开始导入，确认导入成功后需要重启AOneMail。

一级节点 二级或三级节点 验证内容 部门 验证部门层级数、部门名称、用户数、主机数等配置信息 用户 用户 验证用户的用户个数、登录名、姓名、状态、角色、归属部门等配置信息。 用户组 验证用户组个数、名称、组内成员等配置信息 角色 验证角色配置信息 资源 主机管理 验证主机个数、名称、地址、端口、协议、系统类型和账户数等信息。 应用发布 l验证应用个数、名称、地址、关联服务器、归属部门等配置信息。 验证服务器个数、名称、地址、类型、归属部门等配置信息 资源账户 验证资源账户个数、名称、关联的资源、地址、端口、归属部门等配置信息。 批量选中资源账户，单击“验证”一键验证资源账户状态，确认资源账户是否可正常登录 账户组 验证账户组个数、名称、组内成员、成员数等配置信息 运维 主机标签 验证运维主机的标签个数、名称、加标签主机资源等配置信息 应用标签 验证应用发布的标签个数、名称、加标签应用资源等配置信息 策略 访问控制策略 验证访问控制策略个数、名称、状态、关联用户、关联资源账户等配置信息 命令控制策略 验证策略个数、名称、执行动作、关联命令集等配置信息。 验证命令集个数、名称、命令、参数等配置信息 改密策略 验证策略个数、名称、状态、执行方式、改密方式等配置信息 审计 系统报表 验证报表自动发送配置 运维报表 验证报表自动发送配置 工单 访问授权工单 验证访问授权工单的工单号、状态和申请时间等基本信息 系统 安全配置 验证系统登录安全配置信息，包括用户锁定配置、策略密码配置、Web登录配置、SSH客户端登录配置 外发配置 验证邮件和短信网关的配置信息 认证配置 验证AD域、Radius、LDAP认证等配置信息 工单配置 验证工单基本模式、审批流程等配置信息 告警配置 验证告警方式、告警等级等配置信息 存储配置 验证自动删除功能的配置信息 日志备份 验证远程备份至Syslog服务器、远程备份至FTP/SFTP服务器的配置信息 配置备份与还原 验证自动备份配置信息

本章节主要介绍增强型跨源连接概述。 什么是增强型跨源连接？ DLI跨源分析场景连接外部数据源时，由于数据源的VPC与DLI VPC不同，网络无法连通，导致DLI无法读取数据源数据。DLI提供的增强型跨源连接功能可以实现DLI与数据源的网络连通。 本节操作为您介绍跨VPC的数据源网络连通方案： 创建增强型跨源连接：采用对等连接的方式打通DLI与数据源的VPC网络。 测试网络连通性：验证队列与数据源网络连通性。 目前DLI支持跨源访问的数据源请参考跨源分析开发方式。 注意 在跨源开发场景中直接配置跨源认证信息存在密码泄露的风险，优先推荐您使用DLI提供的跨源认证方式。请参考 约束和限制 DLI提供的default队列不支持创建跨源连接。 Flink作业访问DIS，OBS和SMN数据源，无需创建跨源连接，可以直接访问。 强型跨源连接需要使用VPC、子网、路由、对等连接功能，因此需要获得VPC（虚拟私有云）的VPC Administrator权限。 使用DLI增强型跨源时，弹性资源池/队列的网段与数据源网段不能重合。 访问跨源表需要使用已经创建跨源连接的队列。 跨源表不支持Preview预览功能。 检测跨源连接的连通性时对IP约束限制如下： −IP必须为合法的IP地址，用“.”分隔的4个十进制数，范围是0255。 −测试时IP地址后可选择添加端口，用":"隔开，端口最大限制5位，端口范围：0~65535。 例如192.168.xx.xx或者192.168.xx.xx:8181。 检测跨源连接的连通性时对域名约束限制如下： −域名的限制长度为1到255的字符串，并且组成必须是字母、数字、下划线或者短横线。 −域名的顶级域名至少包含两个及以上的字母，例如.com，.net，.cn等。 −测试时域名后可选择添加端口，用":"隔开，端口最大限制为5位，端口范围：0~65535。 例如example.com:8080。

本章节主要介绍 初始化系统用户密码 。 操作场景 该任务指导管理员在用户遗忘密码或公共帐号密码需要定期修改时，通过Manager初始化密码。初始化密码后用户首次使用需要修改密码。开启Kerberos认证的集群或开启弹性公网IP功能的普通集群支持该操作。 说明 该章节操作仅适用于MRS 3.x之前版本集群。MRS3.x及之后版本集群请参考 对系统的影响 初始化MRS集群用户密码后，如果以前下载过用户认证文件，则需要重新下载并获取keytab文件。 初始化“人机”用户密码 访问MRS Manager，详细操作请参见访问MRSManager（MRS2.x及之前版本）。 1. 在MRS Manager，单击“系统设置”。 2. 在“权限配置”区域，单击“用户管理”。 3. 在要初始化密码用户所在行，单击“更多 > 初始化密码”，按界面提示信息修改用户密码。 在弹出窗口中输入当前登录的管理员密码确认管理员身份，单击“确定”，然后在“初始化密码”单击“确定”。 集群中，默认的密码复杂度要求： 密码字符长度为8～32位。 至少需要包含大写字母、小写字母、数字、空格、特殊字符'~!@ $%^&()+[{}];:'", /?中的3种类型字符。 不能与用户名或倒序的用户名相同。 初始化“机机”用户密码 根据业务情况，准备好客户端，并登录安装客户端的节点。 1. 执行以下命令切换用户。 sudo su omm 2. 执行以下命令，切换到客户端目录，例如“/opt/Bigdata/client”。 cd /opt/Bigdata/client 3. 执行以下命令，配置环境变量。 source bigdataenv 4. 执行以下命令，使用kadmin/admin登录控制台。 说明 kadmin/admin的默认密码为“KAdmin@123”，首次登录后会提示该密码过期，请按照提示修改密码并妥善保存。 kadmin p kadmin/admin 5. 执行以下命令，重置组件运行用户密码。此操作对所有服务器生效。 cpw 组件运行用户名 例如：cpw oms/manager 集群中，默认的密码复杂度要求： 密码字符长度为8～32位。 至少需要包含大写字母、小写字母、数字、空格、特殊字符'~!@

前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 已创建路径分析实例，并执行过分析操作 操作步骤 1. 登录控制中心，进入网络控制台页面。 2. 在控制中心页面左上角选择对应区域，本文我们选择庆阳2。 3. 在左侧导航栏，选择“路径分析”选项，进入路径分析列表页。 4. 在路径分析列表页面，选定要查询的路径分析实例，进入路径分析详情页。 5. 在路径分析详情页面，选定要查看的历史分析报告，点击“查看分析报告”按钮，即可查看对应路径分析报告。

本文为Java调用示例。 使用Java调用示例步骤： 1.先下载公共jar包； 2.在下载具体能力jar包，公共jar包和具体能力jar包一起使用。 公共jar包：aiapisignsdk1.0.2.zip 人脸检测：FaceDetect.zip 人脸属性识别： DetectAgeGender.zip 人脸比对：FaceCompare.zip 人脸活体检测： DetectFasFrom.zip 人脸实名认证：FaceAuth.zip 动作活体识别:：FaceActionFas.zip

MySQL数据库作为源端或目标端增量迁移时，界面提示错误信息” Client does not support authentication protocol requested by server; consider upgrading MySQL client”，该如何处理？ 1、查看源端数据库账号，是否具备REPLICATION CLIENT和REPLICATION SLAVE权限，如果源库账号不具备该权限，则需要赋予REPLICATION CLIENT和REPLICATION SLAVE权限后，重新发起任务； 2、执行SELECT plugin FROM mysql.user WHERE user 'username' AND host '%'查看目标端数据库账号的认证插件。如果返回值为“cachingsha2password”，执行“ALTER USER 'username'@'%' IDENTIFIED WITH mysqlnativepassword”将认证插件改为“mysqlnativepassword”。 MySQL迁移时，界面提示错误“Column 'xxxx' cannot be null”，该如何处理？ 1、查看该表结构中的xxx列是否为时间类型； 2、若为时间类型，使用“select xxx from tablename where xxx is null”查看该列数据是否为“00000000”或“00000000 00:00:00”。若为该值，则需要对数据进行处理，若数据无用则进行清理，有用则需修改该列的值。修复后再重新进行迁移； 3、若非时间类型，使用“select xxx from tablename where xxx is null”查看该列数据是否为“null“，若是为null，则可能该表曾发生过变更，后加的非空约束。因此表中存在空值。建议迁移时取消源表的非空约束，或修改不符合要求的数据后，再重新迁移。 MySQL迁移时报错“DAYOFMONTH”、“MONTH”。 这是由于数据表时间字段中存在不符合规范的数据，需要进行数据修复后，再重新迁移。 MySQL迁移时报错“E0101：The target table does not exist”。 这是目标表不存在导致。如果您希望服务自动建表，则在迁移任务配置时勾选“结构迁移”模式；如果您希望自行建表，需在迁移任务启动前，在目标数据库完成建表。

接口功能介绍 该接口供用户查询其所属专属云的统计信息的功能 准备工作：   构造请求：在调用前需要了解如何构造请求，详情查看构造请求   认证鉴权：openapi请求需要进行加密调用，详细查看认证鉴权 接口约束 无 URI GET /v4/dec/statisticsdec 路径参数 无 Query参数 参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String 资源池ID，您可以调用regionID查看最新的天翼云资源池列表 ef901a5734964ce29eedac918c4716a3 azName 否 String 可用区名称，您可以调用获取资源池信息，查询结果中zoneList内返回存在可用区名称(即多可用区，本字段填写实际可用区名称)，若查询结果中zoneList为空(即为单可用区，本字段填写default) az2 请求参数 请求头header参数 无 请求体body参数 无 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 返回状态码(800为成功，900为失败) 800 errorCode String 业务细分码，为product.module.code三段式码，详见错误码说明 Openapi.PatternCheck.NotValid message String 英文描述信息 SUCCESS description String 中文描述信息 成功 returnObj Object 成功时返回的数据 returnObj 表 returnObj 参数 参数类型 说明 示例 下级对象 totalmemorymb Float 总内存大小 1542613.9296875 vcpusused Integer 已用vcpu数量 203 totalvms Integer 总云主机数量 25 host Integer 宿主机数量 3 memorymbfree Float 可用内存 1035733.9296875 memorymbused Float 已用内存 506880.0 vcpusfree Integer 可用vcpu数量 53 totalvcpus Integer 总vcpu数量 256

接口功能介绍 本接口提供用户在专属云中创建一台按量付费的云主机的功能 准备工作：   构造请求：在调用前需要了解如何构造请求，详情查看构造请求   认证鉴权：openapi请求需要进行加密调用，详细查看认证鉴权   计费模式：确认开通云主机的计费模式，详细查看计费模式   地域选择：选择要创建云主机的专属云的资源池   产品选型：购买弹性云主机前，请先阅读规格说明了解弹性云主机的选型基本信息，并通过查询一个或多个云主机规格资源接口，获取当前资源池可用云主机规格信息   网络规划：规划云主机的网络环境，详细查看弹性云主机网络 注意事项：   成本估算：了解云主机的计费项   用户配额：确认个人在不同资源池下资源配额，可以通过用户配额查询接口进行查询   异步接口：该接口为异步接口，下单过后会拿到主订单ID（masterOrderID），后续可以调用根据masterOrderID查询云主机ID，使用主订单ID来对订单情况与开通成功后的资源ID进行查询   单台创建：当前接口只能创建单台云主机   监控安装：在云服务器创建成功后，35分钟内将完成详细监控Agent安装，即开启云服务器CPU，内存，网络，磁盘，进程等指标详细监控，若不开启，则无任何监控数据

群发助手是为用户提供的批量发送短信的辅助工具，无需进行代码开发，即可使用天翼云云通信控制台的群发助手发送消息，支持发送所有类型的短信模板。 前提条件 完成天翼云账号注册和实名认证。 开通短信服务。具体操作，请参见短信服务。 添加签名和短信模板并通过审核。具体操作，请参见添加签名和添加模板。 操作流程 1. 登录短信服务控制台。 2. 选择群发助手页签，单击添加任务，根据页面提示，填写相关任务信息。 3. 单击提交群发任务。预计十分钟处理完成。 配置信息及说明参照下表： 名称 说明 短信签名 选择短信发送任务的短信签名。 短信模板 根据需要选择相应模板类型和指定模板。 备注：使用群发助手发送验证码会存在一定的时间延迟，不适用于注册，登录等场景。 定时发送 可以根据需要设置短信发送的日期和时间。推荐设置每日8:0021:00的发送任务，尽量避免夜间发送，减少用户投诉。 接收号码 接收号码支持导入号码文件和手动输入接收号码的两种方式，可以选择任意一种方式设置接收号码，支持所有短信模板发送。 导入接收号码文件：单击下载标准模板，根据模板示例填写接收号码和对应变量参数；填写完成后，导入接收号码文件。 手动输入接收号码：参照控制台提示，请添加目标手机号（格式：手机号，参数1，参数2） 注意 ： 单次群发任务最多支持上传2万条号码，请上传csv格式文件，大小在30MB以内。 请根据模板要求填入客户手机号码和变量参数内容，下载标准模板进行发送。 企业认证用户变量内容长度限制为40个字。 手动输入最多支持1000个手机号码。

本章节主要介绍数据治理中心DataArts Studio与其他服务的关系。 统一身份认证服务 DataArts Studio使用统一身份认证服务（Identity and Access Management，简称IAM）实现认证和鉴权功能。 云审计服务 DataArts Studio使用云审计服务（Cloud Trace Service，简称CTS）审计用户在管理控制台页面的操作，可用于检视是否存在非法或越权操作，完善服务安全管理。 弹性云主机服务 DataArts Studio使用弹性云主机（Elastic Cloud Server，简称ECS）进行CDM集群和数据服务集群的创建，另外DataArts Studio可以通过主机连接在ECS上执行Shell或Python脚本。 虚拟私有云服务 DataArts Studio使用虚拟私有云服务（Virtual Private Cloud，简称VPC）的创建隔离的网络环境。 弹性公网IP服务 DataArts Studio使用弹性公网IP服务（Elastic IP，简称EIP）打通与公网间的网络通信。 对象存储服务 DataArts Studio使用对象存储服务（Object Storage Service，简称OBS）的桶存储日志信息。 消息通知服务 DataArts Studio使用消息通知服务（Simple Message Notification，简称SMN）依据用户的订阅需求主动推送通知消息，使用户可以在触发告警（如质量监控）时能立即接收到通知。 云专线服务 DataArts Studio使用云专线服务（Direct Connect，简称DC）打通与第三方数据中心的网络通信。 API网关服务 DataArts Studio通过API网关服务（API Gateway，简称APIG）对外开放各组件的API接口。 数据湖探索服务 DataArts Studio支持将数据湖探索服务（Data Lake Insight，简称DLI）作为数据湖底座，进行数据集成、开发、治理与开放。

项目 描述 目标名称 iSCSI目标名称。 字符串形式，长度范围1~16，只能由小写字母、数字、句点(.)和短横线()组成，且仅支持以字母或数字开头。 注意 一个iSCSI目标可以关联多个卷，但是一个卷只能关联一个iSCSI目标。 最大会话数 iSCSI目标下每个IQN允许建立的最大会话数。 取值：[0, 1024]，默认值为1。0表示客户端无法发现该target。 注意 如果多个客户端连接同一target IQN，客户端可以同时读，但不能同时写。 CHAP验证 是否开启CHAP认证。如果启用CHAP验证，需要填写CHAP名称和CHAP密码。 默认禁用。 CHAP名称 客户端CHAP认证名称。 字符串形式，长度范围是3~64，只能由字母、数字、句点( . )、短横线( )、下划线( )、冒号( : )组成，字母区分大小写，且仅支持以字母或数字开头。 CHAP密码 客户端CHAP认证密码。 字符串形式，长度范围是12~16，必须包含大写字母、小写字母、数字、下划线()中的至少两种字符，字母区分大小写。 服务器数量 target所在的服务器数量（仅集群版支持）。 服务器ID iSCSI目标对应的服务器ID（仅集群版支持）。 回收策略 指定iSCSI目标的回收策略。 取值： 删除：当iSCSI目标关联的卷全部删除后，iSCSI目标自动删除。 保留：当iSCSI目标关联的卷全部删除后，iSCSI目标仍然保留。 默认值为保留。 说明 如果创建卷时指定不存在的iSCSI目标，那么同时创建iSCSI目标，新创建iSCSI目标的回收策略默认为删除。 允许访问列表 设置允许访问列表： 说明 关闭状态表示允许所有访问。 发起方：设置发起方（initiator）的允许访问列表，可以在发起方设置下列访问权限： 允许所有访问。 禁止所有访问。 设置允许访问列表：指定iSCSI发起方允许访问列表。可以设置多组发起方允许访问列表，各组允许访问列表之间为“或”的关系。每组允许访问列表可以同时指定IP和initiator名称，二者为“与”的关系。 IPs：根据initiator IP地址设置iSCSI发起方的允许访问列表，支持IPv4、IPv6、CIDR子网，可以设置多个，以英文逗号分隔。 注意 IP不能为localhost。 名称：根据initiator名称设置iSCSI发起方的允许访问列表。取值：字符串形式，长度范围是1~223，只能由字母、数字、句点( . )、短横线( )、冒号( : )组成，字母区分大小写。支持通配符和?。可以设置多个，以英文逗号分隔。 目标：设置目标端（target）的允许访问列表，可以在目标端设置下列访问权限： 允许所有访问。 禁止所有访问。 设置允许访问列表：指定目标端（target）的允许访问列表。可以设置多组target允许访问列表，各组允许访问列表之间为“或”的关系。每组允许访问列表可以同时指定IP和网路设备（NIC）名称，二者为“与”的关系。 IPs：通过target端IP进行设置target允许访问列表，表示只允许通过target端的指定IP访问target。支持IPv4、IPv6、CIDR子网，可以设置多个，以英文逗号分隔。 注意 IP不能为localhost。 网卡名称：通过target端的网卡名称设置target允许访问列表，表示只允许通过target端的指定网卡访问target。取值：target端的网卡名称，可包含字母、数字、句点(.)、短横线()和下划线()，最多100个字符。支持通配符和?。可以设置多个，以英文逗号分隔。

业务场景 收集目的 处理方式 信息类型 账号注册 登录认证、双因子认证、重置密码、验证码校验、应用访问权限申请和审批、员工账号管理 用户输入 手机号、电子邮箱、用户名 账号登录 登录认证 用户输入 注册用户登录账号、注册用户登录密码、验证码 设备管理 进行移动设备管理 APP收集 账号、设备ID、设备名称、设备系统 信息统计故障诊断 使用故障诊断、信息统计、服务稳定性改进、响应使用异常帮助请求 APP收集 设备名称、品牌、型号、操作系统、设备设置、IDFV（仅iOS）、IP地址、个人信息（头像） 企业/组织控制台数据配置 企业组织管理、应用范围管理、日常办公安全管理 企业管理员配置 隶属部门、办公邮箱账号、办公电话、企业账号信息、访问企业应用/资产名称、访问企业应用/资产的时长、访问过程中流量的大小 VPN服务 访问企业内部应用、产品功能正常运行 APP收集 设备名称、设备版本、软件版本号、虚拟网卡IP地址 应用资源访问 网络日志保存、安全审计 APP收集 访问的应用名、访问的目的地址、目的端口、设备网络类型、客户端IP地址、客户端端口、访问日期和时间 AI应用中心智能对话 意图识别、关键词拆分、信息检索、提供精准搜索结果和总结性回答 用户输入 与AI应用中心交互过程中输入的内容（语音、文本、图片、文件）、对话记录（输入信息、App生成内容、对话主题） AI应用中心文件上传 智能搜索、交互服务、精准理解用户需求、提供准确搜索结果和智能推荐 用户上传 用户上传的文件内容 日程服务 日程提醒、日程安排管理 用户输入 日程安排、事件通知 消息服务 信息传输与交互、设备同步 用户输入 聊天信息（文本消息、图片消息、文件、通信录信息） 空间服务在线文档 文档管理、协作记录 用户输入 文档及文档信息（文档类型、大小、文档权限、存放位置）、参与编辑的记录、分享/创建副本/下载/浏览/变更权限设置的操作记录 空间服务搜索 搜索结果展示 用户输入 搜索关键字信息 企业微信账户授权登录 关联账号登录 APP收集 个人账号信息、联系方式、组织架构 飞书账户授权登录 关联账号登录 APP收集 个人账号信息、联系方式、组织架构、设备信息与日志信息（操作系统版本号、服务日志）、个人常用设备信息 钉钉账户授权登录 关联账号登录 APP收集 个人账号信息、联系方式、组织架构 音视频会议发言 音视频流传输 APP收集 音频信息、视频信息 音视频会议粘贴会议号 会议号鉴别、提升入会效率 APP收集 剪贴板中的会议号 音视频会议蓝牙连接 蓝牙设备会议交流 APP收集 蓝牙设备信息 共享屏幕 在其他应用上层显示 APP收集 悬浮窗权限、共享屏幕信息 会议记录 会议信息管理、后期查看 APP收集 会议主题、会议号、会议密码、会议创建人、参会人、会议开始和结束时间、最近入会时间及参会时长 云录制 会议内容保存、回放观看 APP收集 音频信息、视频信息、会议纪要文本数据 会议纪要生成 生成会议纪要（按主题、按章节、按发言人总结） APP收集 会议音频信息、会议主题、参会人昵称信息 全球加速 加速访问公网应用 APP收集 设备名称、设备版本、软件版本号、虚拟网卡IP地址 生物识别登录 账号登录验证 本地验证 指纹信息/人脸信息（不采集原始图像，仅保存在用户设备上） 待办工单 工单管理 用户输入 待办工单信息 邮件服务 邮件收发 用户输入 电子邮箱地址、图片、文字、文件

业务场景 收集目的 处理方式 信息类型 账号注册 登录认证、双因子认证、重置密码、验证码校验、应用访问权限申请和审批、员工账号管理 用户输入 手机号、电子邮箱、用户名 账号登录 登录认证 用户输入 注册用户登录账号、注册用户登录密码、验证码 设备管理 进行移动设备管理 APP收集 账号、设备ID、设备名称、设备系统 信息统计故障诊断 使用故障诊断、信息统计、服务稳定性改进、响应使用异常帮助请求 APP收集 设备名称、品牌、型号、操作系统、设备设置、IDFV（仅iOS）、IP地址、个人信息（头像） 企业/组织控制台数据配置 企业组织管理、应用范围管理、日常办公安全管理 企业管理员配置 隶属部门、办公邮箱账号、办公电话、企业账号信息、访问企业应用/资产名称、访问企业应用/资产的时长、访问过程中流量的大小 VPN服务 访问企业内部应用、产品功能正常运行 APP收集 设备名称、设备版本、软件版本号、虚拟网卡IP地址 应用资源访问 网络日志保存、安全审计 APP收集 访问的应用名、访问的目的地址、目的端口、设备网络类型、客户端IP地址、客户端端口、访问日期和时间 AI应用中心智能对话 意图识别、关键词拆分、信息检索、提供精准搜索结果和总结性回答 用户输入 与AI应用中心交互过程中输入的内容（语音、文本、图片、文件）、对话记录（输入信息、App生成内容、对话主题） AI应用中心文件上传 智能搜索、交互服务、精准理解用户需求、提供准确搜索结果和智能推荐 用户上传 用户上传的文件内容 日程服务 日程提醒、日程安排管理 用户输入 日程安排、事件通知 消息服务 信息传输与交互、设备同步 用户输入 聊天信息（文本消息、图片消息、文件、通信录信息） 空间服务在线文档 文档管理、协作记录 用户输入 文档及文档信息（文档类型、大小、文档权限、存放位置）、参与编辑的记录、分享/创建副本/下载/浏览/变更权限设置的操作记录 空间服务搜索 搜索结果展示 用户输入 搜索关键字信息 企业微信账户授权登录 关联账号登录 APP收集 个人账号信息、联系方式、组织架构 飞书账户授权登录 关联账号登录 APP收集 个人账号信息、联系方式、组织架构、设备信息与日志信息（操作系统版本号、服务日志）、个人常用设备信息 钉钉账户授权登录 关联账号登录 APP收集 个人账号信息、联系方式、组织架构 音视频会议发言 音视频流传输 APP收集 音频信息、视频信息 音视频会议粘贴会议号 会议号鉴别、提升入会效率 APP收集 剪贴板中的会议号 音视频会议蓝牙连接 蓝牙设备会议交流 APP收集 蓝牙设备信息 共享屏幕 在其他应用上层显示 APP收集 悬浮窗权限、共享屏幕信息 会议记录 会议信息管理、后期查看 APP收集 会议主题、会议号、会议密码、会议创建人、参会人、会议开始和结束时间、最近入会时间及参会时长 云录制 会议内容保存、回放观看 APP收集 音频信息、视频信息、会议纪要文本数据 会议纪要生成 生成会议纪要（按主题、按章节、按发言人总结） APP收集 会议音频信息、会议主题、参会人昵称信息 全球加速 加速访问公网应用 APP收集 设备名称、设备版本、软件版本号、虚拟网卡IP地址 生物识别登录 账号登录验证 本地验证 指纹信息/人脸信息（不采集原始图像，仅保存在用户设备上） 待办工单 工单管理 用户输入 待办工单信息 邮件服务 邮件收发 用户输入 电子邮箱地址、图片、文字、文件

本文介绍Windows AD的同步任务创建方式。 功能介绍 Windows AD 是 Microsoft 提供的本地化用户目录管理服务。在AOne配置AD同步任务并开启 Windows AD 服务商的企业登录，即可实现将AD中的用户和组织信息同步至AOne，通过AOne进行认证管理帮助用户实现登录功能。 本文介绍如何创建AD同步任务。 操作步骤 管理员创建同步任务 仅将AD的用户与组织信息进行同步到AOne，AOne进行认证管理（即密码由AOne管理）。 1. 登录边缘安全加速。 2. 支持在AOne零信任工作台进行操作。 3. 在左侧导航栏身份第三方组织，选择同步身份源菜单。 4. 点击“添加同步任务”，按需选择同步任务，完成任务配置。 注意 目前该能力暂未全面开放至控制台，若想要进行该能力配置，可 1、添加同步任务 进入同步身份源列表，点击“添加同步任务”，进行AD身份源添加。 2、选择同步任务 选择“AD 同步机构任务”。 3、配置任务 输入配置参数，完成AD身份源同步任务配置。 配置参数说明： 参数 说明 服务器地址 必填，输入AD服务器的地址，格式通常为IP地址加端口号，例如：Idap://127.0.0.1:389。 服务器根目录 必填，输入AD服务器的根目录，通常是DN（Distinguished Name）的路径。 管理员账户 必填，输入AD服务器的管理员账户名， 用于进行同步操作的认证。 管理员密码 必填，输入与管理员账户对应的密码。 同步任务名称 非必填，支持自定义同步任务名称。 字段映射 必填，配置AD和AOneId之间的字段映射规则，因为不同的系统可能会使用不同的字段来存储用户信息，目前AOneId仅支持配置username（必须）、name、mobile、email、nickname、orgName（必须） 6个字段的映射规则。 例如：userNamecn;namename;mobiletelephoneNumber;emailmail; nicknamegivenName;orgNameou。 注意 AOneId中的userName（账号）同步AD中的cn字段，其中该字段不填默认为AD中的cn字段，这个字段非常重要，需保证每个账号唯一。 AOneId中的name（姓名）同步AD中的name字段，其中该字段不填默认为AD中的name字段 。 AOneId中的mobile（手机号）同步AD中的telephoneNumber字段，其中该字段不填默认为AD中的telephoneNumber字段， 该字段会根据您在用户池的字段唯一性设置，校验唯一性。 AOneId中的email（邮箱）同步AD中的mail字段，其中该字段不填默认为AD中的mail字段，该字段会根据您在用户池的字段唯一性设置，校验唯一性。 AOneId中的nickname（昵称）同步AD中的givenName字段，其中该字段不填默认不同步数据 。 AOneId中的orgName（组织名称）同步AD中的ou字段，其中该字段不填默认为AD中的ou字段。 同步至AOneId机构 必填，选择要同步到的AOneId机构。 同步方式 必填，可选择“手动”或者“定时同步”。 手动：启用同步同步任务后，可手动执行同步任务。 定时同步：设置“同步时间”与“同步周期”，启用同步任务后，自动按照定时执行同步任务，期间不可手动执行。

操作流程 下面以如何开通相关服务、配置并使用极速缓存 HPKV 为例，介绍其整体入门流程： 1. 准备阶段 ：完成注册、实名认证与服务开通后，可通过新建工单，在问题描述中填写：并行文件服务 HPFS，申请试用 HPKV 服务。 2. 部署阶段 ：开通 GPU 物理机 → 创建云容器引擎集群 → 创建并挂载 HPFS → 部署 HPKV 模板。 3. 验证阶段：检查状态 → 获取访问地址 → 发送测试请求验证功能。 4. 使用阶段：开始业务推理，获得 HPKV 带来的性能提升。 详细操作请参见：云容器引擎部署 HPKV 指南。

本文带您快速熟悉使用云主机备份(CTCSBS,Cloud Server Backup Service)的操作流程。 以下是云主机备份的基础入门操作流程： 1.注册天翼云帐号，请参考准备工作步骤一。 2.登录并实名认证，请参考准备工作步骤二。 3.账号充值，请参考准备工作步骤三。 4.创建存储库。 5.创建云主机备份。

通过任务中心，可以查看您所创建的数据导出任务，并下载相关数据文件到本地。 操作场景 在产品监控列表页创建数据导出任务，可以在任务中心下载数据文件到本地。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 查看任务中心 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控服务”，进入监控概览页面。 4. 选择“任务中心”菜单，即可任务中心列表页面。

本文为知识库问答的服务开通流程介绍。 1. 创建天翼云账号 如果您还没有天翼云账号，请访问天翼云官网，点击右上角的“免费注册”按钮以创建账号，并完成实名制认证。 2. 开通知识库问答服务 步骤一： 在知识库问答产品详情页，点击“立即开通”按钮，进入业务开通页面以开通知识库问答服务。 步骤二： 补充实例的基础信息后，点击“下一步”。 步骤三： 点击“立即创建”，完成产品服务的开通。

本节介绍如何进行应用编辑。 操作场景 用户编辑创建好的自定义应用。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成自定义应用的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 单击“应用组管理”，单击目标应用“操作”列的“编辑”。 5. 除所属应用组之外，用户可修改应用其他信息。 6. 单击“确定”，完成自定义应用编辑。

数据库类型 加密方式 加密套件 DBAudit Oracle 高级安全(Oracle Advanced Security) AES256 支持 Oracle SSL SSLRSAWITHAES256CBCSHA 支持 Oracle SSL SSLRSAWITH3DESEDECBCSHA 支持 Oracle SSL TLSRSAWITHAES256CBCSHA 需提供证书和密码，二次验证 Oracle SSL TLSRSAWITHAES256CBCSHA256 需提供证书和密码，二次验证 Oracle SSL TLSRSAWITHAES128CBCSHA256 需提供证书和密码，二次验证 Oracle SSL TLSRSAWITHAES128CBCSHA 需提供证书和密码，二次验证 Oracle SSL TLSRSAWITHAES256GCMSHA256 需提供证书和密码，二次验证 Oracle SSL TLSRSAWITH3DESEDECBCSHA 需提供证书和密码，二次验证 Oracle 高级安全(Oracle Advanced Security) AES256 支持 Oracle SSL SSLRSAWITHAES256CBCSHA 支持 Oracle SSL TLSRSAWITHAES256CBCSHA 支持 Oracle SSL TLSRSAWITHAES256CBCSHA256 支持 Oracle SSL TLSRSAWITHAES128CBCSHA256 支持 Oracle SSL TLSRSAWITHAES128CBCSHA 支持 Oracle SSL TLSRSAWITHAES256GCMSHA256 需提供证书和密码，二次验证 Oracle SSL SSLRSAWITH3DESEDECBCSHA 需提供证书和密码，二次验证 Oracle SSL TLSRSAWITH3DESEDECBCSHA 需提供证书和密码，二次验证 SQL Server SSL TLSRSAWITH3DESEDECBCSHA 需提供证书和密码，二次验证 SQL Server SSL TLSRSAWITHAES128CBCSHA 需提供证书和密码，二次验证 MySQL SSL TLSRSAWITH3DESEDECBCSHA 支持 MySQL SSL TLSRSAWITHAES128CBCSHA 支持 MySQL SSL TLSRSAWITHAES256CBCSHA 支持 MySQL SSL TLSRSAWITH3DESEDECBCSHA 支持 MySQL SSL TLSRSAWITHAES128CBCSHA 支持 MySQL SSL TLSRSAWITHAES256CBCSHA 支持 MySQL SSL TLSRSAWITH3DESEDECBCSHA 支持 MySQL SSL TLSRSAWITHAES128CBCSHA 支持 MySQL SSL TLSRSAWITHAES256CBCSHA 支持 MySQL SSL TLSRSAWITHAES128CBCSHA256 支持 MySQL SSL TLSRSAWITHAES256CBCSHA256 支持 MySQL SSL TLSRSAWITHAES128GCMSHA256 支持 MySQL SSL TLSRSAWITHAES256GCMSHA256 支持 Hive Kerberos认证 全部通讯加密 支持 hdfs Kerberos认证 全部通讯加密 支持 PostgreSQL Kerberos认证 全部通讯加密 支持

本章节主要介绍操作类问题中有关 Web页面访问的问题。 如何修改开源组件Web页面会话超时时间？ 合理设置Web页面超时时间，可以避免由于Web页面长时间暴露造成的信息泄露。 确定集群是否支持调整会话时长 −MRS 3.x之前版本集群：在集群详情页面，选择“组件管理 > meta服务配置”，切换“基础配置”为“全部配置”，搜索配置项“http.server.session.timeout.secs”，如果有该配置项请参考如下步骤修改，如果没有该配置项则版本不支持动态调整会话时长。 −MRS 3.x及之后版本集群：登录FusionInsight Manager，选择“集群 > 服务 > meta”，单击“配置”，选择“全部配置”。搜索配置项“http.server.session.timeout.secs”，如果有该配置项请参考如下步骤修改，如果没有该配置项则版本不支持动态调整会话时长。 所有超时时长的值请设置为统一值，避免时长设置不一致导致的页面实际生效的超时时长和设置值的冲突。 修改Manager页面及认证中心的超时时长 −MRS 3.x之前版本集群： 1.分别登录集群所有Master节点，在所有Master节点中执行2.ii2.iv的修改。 2.修改“/opt/Bigdata/apachetomcat7.0.78/webapps/cas/WEBINF/web.xml”中的“20”，其中20为会话超时时间请根据需要修改，单位为分钟，超时时间最长不要超过480分钟。 3.修改“/opt/Bigdata/apachetomcat7.0.78/webapps/web/WEBINF/web.xml”中的“20”其中20为会话超时时间请根据需要修改，单位为分钟，超时时间最长不要超过480分钟。 4.修改“/opt/Bigdata/apachetomcat7.0.78/webapps/cas/WEBINF/springconfiguration/ticketExpirationPolicies.xml”中的“p:maxTimeToLiveInSeconds" {tgt.maxTimeToLiveInSeconds:1200}"”和“p:timeToKillInSeconds" {tgt.timeToKillInSeconds:1200}"”，其中1200为认证中心的有效时长请根据需要修改，单位为秒，有效时长不要超过28800秒。 5.在主管理节点重启Tomcat节点。 a.在主master节点上用omm用户执行 netstat anp grep 28443 grep LISTEN awk '{print $7}' 查询Tomcat的进程号。 b.执行 kill 9 {pid} ，其中{pid}为2.v.a中获得的Tomcat进程号。 c. 等待进程自动重启。可以执行netstat anp grep 28443 grep LISTEN查看进程是否重启成功，如果可以查到进程说明已经重启成功，如果未查到请稍后再次查询。 −MRS 3.x及之后版本集群： 1.分别登录集群所有Master节点，在所有Master节点中执行2.ii2.iii的修改。 2.修改“/opt/Bigdata/omserverxxx/apachetomcatxxx/webapps/web/WEBINF/web.xml”中的“20”，其中20为会话超时时间请根据需要修改，单位为分钟，超时时间最长不要超过480分钟。 3.修改“/opt/Bigdata/omserverxxx/apachetomcat8.5.63/webapps/cas/WEBINF/classes/config/application.properties”文件，在文件中新增配置“ticket.tgt.timeToKillInSeconds28800”，其中28800为认证中心的有效时长请根据需要修改，单位为秒，有效时长不要超过28800秒。 4.在主管理节点重启Tomcat节点。 a.在主master节点上用omm用户执行 netstat anp grep 28443 grep LISTEN awk '{print $7}' 查询Tomcat的进程号。 b.执行 kill 9 {pid} ，其中{pid}为2.iv.a中获得的Tomcat进程号。 c.等待进程自动重启。可以执行netstat anp grep 28443 grep LISTEN查看进程是否重启成功，如果可以查到进程说明已经重启成功，如果未查到请稍后再次查询。

本节主要介绍为企业项目添加用户组并授权 企业管理员可以参考以下操作分别给企业项目projectA添加用户组TestECSA和企业项目projectB添加用户组TestECSB，并给用户组授予策略或角色，使得用户组中的IAM用户获得相应的权限。 操作步骤 步骤 1 企业管理员使用已注册的天翼云帐号登录天翼云网门户，单击天翼云首页顶部右侧“控制台”。 步骤 2 在控制台首页顶部右侧，单击您的用户名后弹出下拉菜单，单击“企业管理”，在企业管理控制台左侧导航菜单中，单击“项目管理”。 步骤 3 在企业项目管理页中的项目列表，单击企业项目名称“projectA”，在企业项目详情页中，单击“权限管理”页签。 步骤 4 单击权限管理页签的“用户组授权”，系统将跳转至统一身份认证IAM的用户组页面，在“用户组”页签中为企业项目关联用户组并授权。 具体操作方法可参考统一身份认证服务IAM帮助文档：创建用户组并授权。 参考步骤3至步骤4的方法，分别为“projectA”和“projectB”关联用户组并添加相应权限。

本文帮助您快速熟悉查看弹性网卡的相关操作。 操作场景 当您需要了解已有的弹性网卡信息，可以通过网络控制台弹性网卡列表进行查看。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经创建虚拟私有云VPC、子网、弹性云主机。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 单击“弹性网卡”，在弹性网卡列表页面，可查看弹性网卡的名称、ID、所属网络、安全组、私网IP网卡类型等信息。

告警联系人/组信息是告警通知的前提，通过告警联系人/组功能，可以方便维护告警相关人员及群组信息。 操作场景 用于创建告警通知相关人员信息（联系方式、邮箱等），以及联系人所属联系组信息。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 查看站点监控任务 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“告警服务”>"告警联系人/组”，默认进入告警联系人页面。

本文将为您介绍通过企业中心关联账号的操作流程。 为满足企业集中化财务管理需求，系统支持企业主账号在组织架构下创建或邀请子账号来完成企业主子账号的关联。 创建账号 适用于未开通天翼云账号的场景。 支持创建财务独立子账号和财务托管子账号两种类型，创建好的账号将自动继承主账号的实名认证信息。具体操作流程请参考创建子账号。 邀请账号 适用于将已开通的天翼云账号邀请关联为企业子账号的场景。 当前仅支持邀请财务独立子账号。具体操作流程请参考邀请子账号。