配置项 参数说明 示例 名称 工作流调度的名称 httpTicker 请求方法 触发器支持的Http请求方法，目前只支持POST。 POST 公网 选择已创建的自定义域名，并确保该域名已经配置CNAME记录，记录值每个地域的内外网不同，具体留意页面提示。适用于公网环境访问。 认证方式 无需认证：请求没有认证限制，任何人都能访问。 JWT认证：请求启用JWT认证，访问时需要带上jwt，函数网关会自动校验请求的合法性。配置方式请参考 函数计算HTTP触发器 > JWT配置指南 部分

云点播密钥管理功能介绍。 综述 云点播采用了AK/SK的认证机制，对SDK、API、回调通知等交互入口进行了安全强化。AK（又称Access key），用于标识用户身份。SK（又称Secret access key）是用户用于加密认证字符串和云厂商用来验证认证字符串的密钥，其中SK必须保密。AK/SK使用对称加解密算法，其原理是当云点播侧接收到用户的请求后，系统将使用AK对应的相同的SK和同样的认证机制生成认证字符串，并与用户请求中包含的认证字符串进行比对。如果认证字符串相同，系统认为用户拥有指定的操作权限，并执行相关操作；如果认证字符串不同，系统将忽略该操作并返回错误码。云点播提供了统一入口，对涉及到的相关AK/SK密钥对进行管理。 查看密钥配置列表 前提条件 已开通云点播产品。 账号属性为主账号。 操作步骤 进入云点播控制台，选择左侧导航栏的【开发配置】–【密钥管理】可打开密钥管理配置页面。在该页面，您可以看到【原生密钥】、【OpenAPI密钥】两个标签卡，适用于在不同场景下密钥生成和管理。 功能 说明 :: 原生密钥 用于在调用原生API、SDK时的身份和校验信息生成，该密钥由云点播（存量）或CTIAM（增量）生成。 OpenAPI密钥 用于在调用天翼云OpenAPI接口时的身份和校验信息生成。 原生密钥

3.1 升级系统 升级系统，确保软件包更新到最新，减少安全风险。下面的命令升级除内核相关之外的包，其中包含bug修复相关的包。 plaintext dnf y x 'kernel' update bugfix 3.2 配置ssh服务器 下面是对ssh服务器的一些配置。 plaintext sed e "s/^ ?PubkeyAuthentication./PubkeyAuthentication yes/g" e "s/^ ?PasswordAuthentication./PasswordAuthentication yes/g" e "s/^ ?PermitRootLogin./PermitRootLogin yes/g" e "s/^ ?UseDNS./UseDNS no/g" e "s/^ ?GSSAPIAuthentication./GSSAPIAuthentication no/g" i.bak /etc/ssh/sshdconfig 说明： PubkeyAuthentication yes：允许公钥认证访问。使用公钥认证访问通常更为安全。 PasswordAuthentication yes：允许使用密码认证访问。密码认证访问不如公钥认证访问安全。但默认镜像中没有公钥（在镜像中捆绑固定的公钥可能有安全隐患），需要使用密码认证访问。您可以在装机登录后配置好ssh公钥，然后禁用密码认证访问。 PermitRootLogin yes：允许root用户登录。允许root用户登录可能不够安全。但默认镜像中不创建其他普通用户。在镜像中创建普通用户并为其捆绑固定的密码可能有安全隐患。物理机装机时只会为root用户设置密码。您可以在装机登录后创建其他用户，然后禁用root用户登录。 UseDNS no：禁用反向DNS解析。未连通公网的机器上DNS不可用，会导致ssh连接缓慢或失败。 GSSAPIAuthentication no：禁用GSSAPI认证访问。GSSAPI认证需要自行配置才能使用。开启可能会导致ssh连接缓慢或失败。 注意 请不要在镜像中留ssh公钥或新建非root用户，可能有安全隐患。若相应的ssh私钥或用户密码泄露，继续使用该镜像会扩大受影响范围。

本节以语音合成为例介绍了产品购买流程。 步骤一：成为天翼云用户 注册天翼云账号 打开天翼云官网，点击右上角【免费注册】按照操作提示完成账号注册。 天翼云账号实名认证 天翼云账号需要进行实名认证后，才可以购买和使用产品，请务必完成实名认证操作。 进入账号中心页面，在左侧导航栏，点击【实名认证】，按照操作提示完成账号实名认证。 如果您是企业用户，推荐进行企业认证，以便获取更多便利。更多实名认证操作信息，请参见实名认证。 步骤二：选择服务 1.点击【产品人工智能】，根据需要选择自然语言处理下的对应产品（以语音合成为例）。 2.跳转到服务详情页后，点击【立即订购】。 步骤三：选择资源包 1.选择自己需要购买的资源包规格，点击购买数量，点击【下一步：确认配置】。 2.点击勾选同意相关协议，点击【立即购买】。

是否支持跨Region访问？ Kafka可以跨Region访问，但是跨Region目前只能通过公网访问或者购买云间高速服务。 Kafka实例是否支持不同的子网？ 支持。客户端与实例在相同VPC内，可以跨子网段访问。同VPC下不同子网之间默认互通。更多子网信息请参见虚拟私有云介绍。 Kafka是否支持Kerberos认证，如何开启认证？ 不支持Kerberos认证。kafka支持SASLPLAINTEXT安全接入点接入。 开启公网访问后，在哪查看公网IP地址？ 可以在实例列表设置公网IP窗口查看各节点绑定的公网IP地址。 Kafka支持服务端认证客户端吗？ Kafka 支持通过 SASL（Simple Authentication and Security Layer）等认证机制实现服务端对客户端的主动认证。SASL 是一种用于通信安全的框架，它允许在客户端和服务器之间进行认证和授权。 客户端单IP连接的个数为多少？ Kafka目前对单个IP连接数没有限制，主要取决于实例连接数，具体可参见常见问题kafka实例连接数有限制吗？ Kafka实例的内网连接地址可以修改吗？ 在实例创建后，内网连接地址不支持修改。

本章主要介绍API安全常见问题。 怎样保护API？ 使用身份认证 创建API时，为API调用增加身份认证，如使用IAM认证或API网关提供的APP认证，防止API被恶意调用。 设置访问控制策略 从IP地址（或地址区间）以及帐号等不同维度，设置白名单/黑名单。 将API绑定流控策略，通过流控策略保护API。 API网关默认API流量控制为每秒200次，如果您的后端服务不能支撑单个API 200次/秒的调用请求，可设置流量控制策略，将限额调低。 怎样保证API网关调用后端服务器的安全？ 通过以下方法确保API网关调用后端服务器的安全： 为API绑定签名密钥。 在绑定签名密钥后，API网关到后端服务的请求增加签名信息，后端服务收到请求后计算签名信息，验证计算后的签名信息与API网关的签名信息是否一致。 使用HTTPS对请求进行加密。 需要确保已有相应的SSL证书。 使用后端认证： 您可以对后端服务开启安全认证，只受理携带正确授权信息的API请求。在创建API的定义后端服务阶段，可以开启后端认证。 能否针对VPC通道内的ECS私有IP进行访问控制 不支持。

介绍分布式消息服务Kafka认证与访问控制方式 分布式消息服务Kafka支持CTIAM身份认证和多种访问控制，多维度保障您数据的安全。 身份认证 CTIAM 统一身份认证（Identity and Access Management， 简称：CTIAM）是提供用户进行权限管理的基础服务，可以帮助您安全的控制天翼云服务和资源的访问及操作权限，包括：用户身份认证、权限分配、访问控制等功能。具体介绍请参考统一身份认证产品介绍。 您可以创建IAM用户，并为其设置关联分布式消息服务Kafka实例权限，该用户就可以通过用户名和密码访问授权的实例资源。具体请参见统一身份认证快速入门创建IAM用户。 访问控制 权限控制 购买分布式消息服务Kafka实例之后，您可以使用CTIAM为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，通过CTIAM进行精细的权限管理。 VPC和子网 虚拟私有云（Virtual Private Cloud，VPC）为分布式消息服务Kafka构建隔离、私密的虚拟网络环境，提升数据库的安全性，并简化用户的网络部署。您可以完全掌控自己的专有网络，VPC丰富的功能帮助您灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。通过子网与其他网络隔离，独享网络资源，提高网络安全性。具体内容请参见虚拟私有云用户指南创建虚拟私有云和子网 。 安全组 安全组是一个逻辑上的分组，可以为同一个虚拟私有云内具有相同安全保护需求并相互信任的Kafka实例提供相同的访问策略。您可以通过为数据库实例设置安全组，开通需访问Kafka实例的IP地址和端口，来保证保障其运行环境的安全性和稳定性。具体请参见配置安全组

本文为您介绍IAM的产品定义。 什么是IAM？ 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理和授权认证的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。 产品优势 IAM可为您提供身份认证、权限管理和用户授权等统一身份认证服务。 精细的权限管理 您可以通过IAM控制不同用户具备不同的权限。例如：控制某些用户可以配置弹性云主机参数，而让另外一些用户只能读取弹性云主机参数。 便捷的用户授权 使用IAM完成用户授权仅需要两步： 1. 按照用户职责规划用户组，并将对应职责的权限授予用户组。 2. 将用户加入已授权的用户组。 为其他服务提供认证和鉴权功能 使用IAM认证后的用户可以根据权限使用天翼云中的其他服务，如关系型数据库、云主机、对象存储等。 委托第三方账号或者云服务管理资源 通过委托信任机制，天翼云用户可以将自己的操作权限委托给其它天翼云账号或者云服务，该账号或者云服务可以代替用户进行资源的运维和管理工作。

本节介绍创建应用及开通应用相关的操作。 本文以人脸检测为示例作为说明。 操作步骤如下： 成为天翼云用户 注册天翼云账号 打开天翼云官网，点击右上角【免费注册】按照操作提示完成账号注册。 天翼云账号实名认证 天翼云账号需要进行实名认证后，才可以购买和使用产品，请务必完成实名认证操作。 进入账号中心页面，在左侧导航栏，点击【实名认证】，按照操作提示完成账号实名认证。 如果您是企业用户，推荐进行企业认证，以便获取更多便利。更多实名认证操作信息，请参见实名认证。 开通服务 1.点击【产品人工智能】，根据需要选择人脸识别下的对应产品（以人脸检测为例）。 2.跳转到服务详情页后，点击【管理控制台】。 创建新应用 1.进入控制台【我的应用】，点击【新增应用】，页面出现新建应用的弹窗，填写应用名称及应用概述，点击【确定】按钮。 2.再次弹出小弹窗，提示应用创建成功，请保存好AppKey和AppSecret，点击【知道了】即新应用创建成功。

本节介绍了创建应用及开通应用的流程说明。 以语音合成为示例作为说明。 操作步骤如下： 成为天翼云用户 注册天翼云账号 打开天翼云官网，点击右上角【免费注册】按照操作提示完成账号注册。 天翼云账号实名认证 天翼云账号需要进行实名认证后，才可以购买和使用产品，请务必完成实名认证操作。 进入账号中心页面，在左侧导航栏，点击【实名认证】，按照操作提示完成账号实名认证。 如果您是企业用户，推荐进行企业认证，以便获取更多便利。更多实名认证操作信息，请参见实名认证。 开通服务 1.点击【产品人工智能】，根据需要选择自然语言处理下的对应产品（以语音合成为例）。 2.点击【管理控制台】进行创建新应用和产品服务开通。 创建新应用 1.进入控制台【我的应用】，点击【新增应用】，页面出现新建应用的弹窗，填写应用名称及应用概述，点击【确定】按钮。 2.再次弹出小弹窗，提示应用创建成功，请保存好AppKey和AppSecret，点击【知道了】即新应用创建成功。

本节介绍创建应用及开通应用相关的操作。 本文以身份证识别为示例作为说明。 操作步骤如下： 成为天翼云用户 注册天翼云账号 打开天翼云官网，点击右上角【免费注册】按照操作提示完成账号注册。 天翼云账号实名认证 天翼云账号需要进行实名认证后，才可以购买和使用产品，请务必完成实名认证操作。 进入账号中心页面，在左侧导航栏，点击【实名认证】，按照操作提示完成账号实名认证。 如果您是企业用户，推荐进行企业认证，以便获取更多便利。更多实名认证操作信息，请参见实名认证。 开通服务 1.点击【产品人工智能】，根据需要选择印刷文字识别下的对应产品（以身份证识别为例）。 2.跳转到服务详情页后，点击【立即开通】； 创建新应用 1.进入控制台【我的应用】，点击【新增应用】，页面出现新建应用的弹窗，填写应用名称及应用概述，点击【确定】按钮。 2.再次弹出小弹窗，提示应用创建成功，请保存好AppKey和AppSecret，点击【知道了】即新应用创建成功。

Query参数设置 该配置支持对请求参数进行修改，具体配置如下： 配置项说明： 配置 说明 开启状态 开启时策略才生效。 操作类型 支持新增、修改、删除操作。 新增：若请求参数已存在，则在末尾追加；否则新增。 修改：若请求参数不存在，则新增该参数；否则覆盖已有参数值。 删除：若请求参数存在，则删除；否则忽略该参数。 参数名 请求参数key。 参数值 请求参数Value。 外部认证授权 该配置支持通过第三方外部服务进行身份认证与授权。当身份认证失败时，可以实现自定义错误或者重定向到认证页面的场景。具体配置如下： 配置项说明 配置 说明 开启状态 开启时配置才生效。 服务地址 设置外部认证服务的地址（例如： 请求方法 客户端向认证服务发送请求的方法。当设置为POST时，会将请求体转发给认证服务。 转发到认证服务的请求头 设置需要由客户端转发给认证服务的请求头。如果没有设置，则只发送如XForwardedXXX的请求头。 转发给上游服务的请求头 认证通过时，由认证服务转发给上游服务的响应头。如果不设置则不转发任何响应头。 转发给客户端的请求头 认证失败时，由认证服务向客户端发送的响应头。如果不设置则不转发任何响应头。 验证ssl证书 当开启时，验证SSL证书，默认开启。 认证服务请求超时时间 认证服务请求超时时间。 长连接超时时间 长连接超时时间。

本文介绍远程零信任办公接入情况，可通过该模块快捷处理零信任服务相关事项。 简介 远程零信任办公整体情况接入情况展示，可通过接入引导快速进行接入配置，享受产品服务。 前提条件 您已购买零信任服务后才可使用。 操作步骤 1. 登录边缘安全加速平台控制台，进入【零信任】控制台。 2. 在左侧导航栏，单击【快速接入】。 内容说明 整体功能分为三个方面进行展示：基础信息、接入步骤、业务访问流。 基础信息 展示基础服务信息，包含服务的产品类型、服务区域、服务状态、企业认证标识。 企业认证标识：在使用远程零信任办公服务之前，您需要设置企业认证标识，您的企业员工在登录客户端时，需先输入企业认证标识将其身份与您的企业进行关联，实现身份合法性认证。企业认证标识是您企业员工成功登录远程零信任办公服务客户端的重要凭证，首次登录控制台，需要配置企业认证标识。 注意 基于服务稳定性的考虑，我们可能会通过邮件/短信/电话提前7天通知您必要的升级操作，请及时按照通知引导进行升级或变更，避免可能存在的安全风险，如我们多次通知后您仍保留风险配置或版本，则您可能面临服务稳定性风险。

项目 描述 No. 序号。 Target Name iSCSI tTarget名称。 说明 如果iSCSI target处于删除中，iSCSI target名称后面会显示“Deleting”。 Max Sessions iSCSI target下每个IQN允许建立的最大会话数。 ISCSI Target iSCSI target IQN、IP和端口号。 CHAP CHAP认证信息，包含CHAP名称、CHAP密码、CHAP状态。 只有配置了CHAP认证信息，才会显示CHAP名称。 CHAP状态： Enabled：开启CHAP认证。 Disabled：未开启CHAP认证

模型适配专家服务支持自主订购和委托客户经理订购两种方式。 自主订购 实名认证 开通模型适配专家服务，需要先注册天翼云账户并确保已完成实名认证。 注册并登录天翼云官网，注册指南请参见账号中心操作指南注册天翼云账号。 未实名认证的用户请按提示完成实名认证才能开通模型适配专家服务，实名认证指南请参见账号中心操作指南实名认证。 订购流程 购买模型适配专家服务产品之前请确保您的账户余额大于本次购买服务的费用。 进入模型适配专家服务产品详情页快速了解产品，之后单击【立即订购】。 在购买页面选择订购规格，阅读并勾选服务协议，确认无误后点击【立即购买】。 支付后即算订购完成。 委托客户经理订购 联系客户经理，沟通预订购产品规格，客户经理通过内部系统下单。 退订说明 本产品订购成功后，一旦已进入服务实施阶段不允许退订，不退还费用。

参数名称 参数说明 版本 SNMP协议版本号，取值范围： V2C：低版本，安全性较低。 V3：高版本，安全性更高。推荐使用V3版本。 本地端口 本地端口，默认值“20000”，取值范围“1025”到“65535”。 读团体名 该参数仅在设置“版本”为v2c时可用，用于设置只读团体名。 写团体名 该参数仅在设置“版本”为v2c时可用，用于设置可写团体名。 安全用户名 该参数仅在设置“版本”为v3时可用，用于设置协议安全用户名。 认证协议 该参数仅在设置“版本”为v3时可用，用于设置认证协议，推荐选择SHA。 认证密码 该参数仅在设置“版本”为v3时可用，用于设置认证密钥。 确认认证密码 该参数仅在设置“版本”为v3时可用，用于确认认证密钥。 加密协议 该参数仅在设置“版本”为v3时可用，用于设置加密协议，推荐选择AES256。 加密密码 该参数仅在设置“版本”为v3时可用，用于设置加密密钥。 确认加密密码 该参数仅在设置“版本”为v3时可用，用于确认加密密钥。

本文介绍HTTPS双向认证功能原理。 功能介绍 双向认证，顾名思义，即客户端与服务器双方均需认证对方的身份，在确认对方身份后才可以建立HTTPS连接。在标准的HTTPS中，通常采用单向认证的方式，即服务器向客户端证明自己的身份以建立一个安全加密的通信连接；双向认证在服务器向客户端证明身份的基础上，还需要客户端也提供客户端证书，供服务器验证客户端的身份，客户端与服务器双方都验证通过对方的身份后，才建立HTTPS连接。 单向认证流程： 1. 客户端向边缘加速节点发起HTTPS请求。 2. 边缘加速节点将对应域名的SSL证书公钥发送给客户端。 3. 客户端验证对应证书公钥正确后，随机生成一个密钥，并使用公钥进行加密后发送给边缘加速节点。 4. 边缘加速节点使用对应私钥进行解密，得到密钥。 5. 客户端与边缘加速节点在后续通信过程中使用该密钥对传输的数据加密。 6. 客户端与边缘加速节点使用对应密钥对收到的数据进行解密，获取对应数据。 双向认证流程： 1. 客户端向边缘加速节点发起HTTPS请求。 2. 边缘加速节点将对应域名的SSL证书公钥发送给客户端，并发送证书请求标记要求获取客户端证书。 3. 客户端验证域名的SSL证书公钥正确后，随机生成一个密钥A，并使用SSL证书公钥进行加密后发送给边缘加速节点。同时客户端收到证书请求标记，将发送对应的客户端证书给边缘加速节点，同时计算历史消息的hash值，将该hash值通过客户端私钥签名，并将签名结果也发送给边缘加速节点。 4. 边缘加速节点使用域名SSL证书对应的私钥进行解密，得到密钥A。同时获取客户端的证书和签名后，验证客户端证书是否可信，并使用客户端证书公钥和历史消息的hash值校验签名是否正确，存储验证结果。 5. 客户端与边缘加速节点在后续通信过程中使用该密钥A对传输的数据加密。 6. 客户端与边缘加速节点使用对应密钥A对收到的数据进行解密，获取对应数据。 7. 后续客户端发送请求，如果之前验证是通过的则正常处理，否则立即返回错误响应，告诉客户端双向认证失败。

本文介绍HTTPS双向认证功能原理。 功能介绍 双向认证，顾名思义，即客户端与服务器双方均需认证对方的身份，在确认对方身份后才可以建立HTTPS连接。在标准的HTTPS中，通常采用单向认证的方式，即服务器向客户端证明自己的身份以建立一个安全加密的通信连接；双向认证在服务器向客户端证明身份的基础上，还需要客户端也提供客户端证书，供服务器验证客户端的身份，客户端与服务器双方都验证通过对方的身份后，才建立HTTPS连接。 单向认证流程： 1. 客户端向全站加速节点发起HTTPS请求。 2. 全站加速节点将对应域名的SSL证书公钥发送给客户端。 3. 客户端验证对应证书公钥正确后，随机生成一个密钥，并使用公钥进行加密后发送给全站加速节点。 4. 全站加速节点使用对应私钥进行解密，得到密钥。 5. 客户端与全站加速节点在后续通信过程中使用该密钥对传输的数据加密。 6. 客户端与全站加速节点使用对应密钥对收到的数据进行解密，获取对应数据。 双向认证流程： 1. 客户端向全站加速节点发起HTTPS请求。 2. 全站加速节点将对应域名的SSL证书公钥发送给客户端，并发送证书请求标记要求获取客户端证书。 3. 客户端验证域名的SSL证书公钥正确后，随机生成一个密钥A，并使用SSL证书公钥进行加密后发送给全站加速节点。同时客户端收到证书请求标记，将发送对应的客户端证书给全站加速节点，同时计算历史消息的hash值，将该hash值通过客户端私钥签名，并将签名结果也发送给全站加速节点。 4. 全站加速节点使用域名SSL证书对应的私钥进行解密，得到密钥A。同时获取客户端的证书和签名后，验证客户端证书是否可信，并使用客户端证书公钥和历史消息的hash值校验签名是否正确，存储验证结果。 5. 客户端与全站加速节点在后续通信过程中使用该密钥A对传输的数据加密。 6. 客户端与全站加速节点使用对应密钥A对收到的数据进行解密，获取对应数据。 7. 后续客户端发送请求，如果之前验证是通过的则正常处理，否则立即返回错误响应，告诉客户端双向认证失败。

配置 说明 命名空间 后端服务注册到注册配置中心的命名空间。 websocket支持 websocket开关，打开之后支持websocket流量代理到后端。 协议 后端服务的协议，支持HTTP、HTTPS、GRPC、GRPCS、DUBBO，默认为HTTP。 mTLS 是否打开后端服务双向TLS认证（后端服务对网关证书认证）。 证书文件 后端服务开启双向TLS认证后，云原生网关提供的证书文件。 私钥文件 后端服务开启双向TLS认证后，云原生网关提供的私钥文件。

参数 说明 华东1 青岛2 0 名称 VPN连接的名称。 connection1 connection2 VPN网关 选择已经创建的VPN网关。 vpngateway1ipsec vpngateway2ipsec 用户网关 选择已经创建的用户网关。 usergateway1 usergateway2 路由模式 支持目的路由和感兴趣流两种路由模式。 目的路由 目的路由 协商生效 支持立即协商和流量触发两种协商方式。 流量触发 流量触发 认证方式 仅支持证书认证。 证书认证 证书认证 认证选择 选择要绑定的证书。 certvpn1 certvpn2 RemoteId 远端用户网关证书的名称，需要从证书中获取，目前国密只支持DN格式名称。 /CNvpn2.home.gm.sig/OUctyun/Octyun/Ccn /CNvpn1.home.gm.sig/OUctyun/Octyun/Ccn

本章节介绍如何使用云原生网关实现后端双向TLS认证 概述 云原生网关作为代理服务接收下游服务（DownStream）请求，并转发到上游服务（Upstream）；对于上游服务来说，云原生网关收敛了外部的请求，统一经过网关转发到上游。从安全角度考虑，上游服务可以添加认证鉴权规则实现对网关的身份认证和访问鉴权，确保上游服务安全性；其中一种实现方式就是在上游服务配置TLS策略，要求网关转发请求时提供客户端证书，实现对网关的身份认证，具体流程如下： 云原生网关支持配置证书，用于实现请求后端服务时服务端对网关的证书认证，本文说明具体配置流程。 前提条件 1. 部署后端HTTPS服务，并配置要求请求客户端提供证书； 2. 已开通云原生网关实例； 部署后端服务 我们采用云容器引擎部署后端服务，镜像采用我们的demo应用（已配置证书，并要求客户端请求时提供证书），部署完成后在云容器引擎控制台可以看到容器启动： 还需要部署关联到工作负载的Service，用于暴露工作负载，如下：

调用API 企业或开发者如何获取并调用他人在API网关开放的API，减少开发时间与成本。 图 调用API基本流程 1. 获取API 获取API的请求信息，包括访问域名、请求协议、请求方法、请求路径以及认证方式等信息。 2. 创建凭据 使用APP认证的API，需要在API网关中创建一个凭据，以生成凭据ID和密钥对（Key、Secret）。将创建的凭据绑定API后，使用APP认证调用API。 3. 获取SDK 可通过SDK对AK/SK生成签名，并调用API。 4. 调用API 通过获取API及API访问地址，调用API。根据API使用认证方式的不同，调用API时需要进行不同的认证鉴权操作。

参数名 参数解释 dfs.client.read.shortcircuit 是否开启本地读。 dfs.client.read.shortcircuit.skip.checksum 本地读时是否跳过数据校验。 dfs.client.block.write.replacedatanodeonfailure.enable 向HDFS写数据块发生失败时，是否替换新的节点作为副本存储位置。 dfs.encrypt.data.transfer 是否开启数据加密。设置为“true”表示加密，默认不加密。 说明 l 此参数仅对启用Kerberos认证的集群有效。 l 仅当hadoop.rpc.protection设置为privacy时使用。 dfs.encrypt.data.transfer.algorithm 指定密钥传输的加密解密算法。 只有在dfs.encrypt.data.transfer配置项设置为“true”，此参数才会生效。 默认值为“3des”，表示采用3DES算法进行加密。 dfs.encrypt.data.transfer.cipher.suites 指定实际存储数据传输的加密解密算法。 如果不指定此参数，则使用“dfs.encrypt.data.transfer.algorithm”参数指定的加密算法进行数据加密。默认值为“AES/CTR/NoPadding”。 dfs.replication 默认数据副本个数。 dfs.blocksiz 默认数据块大小。 hadoop.security.authentication 安全认证模式。 hadoop.rpc.protection RPC通信保护模式。 默认值：安全模式（启用Kerberos认证）：privacy 普通模式（未启用Kerberos认证）：authentication 须知 “authentication”：只进行认证，不加密。 “integrity”：进行认证和一致性校验。 “privacy”：进行认证、一致性校验、加密。 dfs.domain.socket.path 本地使用的Domain socket路径。

本文介绍如何开通安全与加速服务、边缘接入服务。 开通天翼云边缘安全加速平台服务，需首先注册天翼云账户。 开通步骤如下： 步骤一：注册并登录 注册并登录天翼云 步骤二：实名认证 未实名认证的用户完成实名认证后才能开通服务。确认账号是否已实名认证，详情请参见：实名认证。 步骤三：快速了解产品 实名认证后进入边缘安全加速平台—安全与加速服务产品详情页快速了解产品，之后单击【立即开通】。 步骤四：开通服务 开通安全与加速服务 在购买页面选择适合的套餐和扩展服务，勾选并阅读服务协议，确认无误后点击【立即购买】，边缘安全加速平台—安全与加速服务服务即开通。

本文为您介绍IAM的计费及开通。 计费 统一身份认证IAM服务目前免费。 开通 目前统一身份认证IAM服务针对个人账号及企业账号默认开通。

本节主要介绍分布式缓存服务Redis版认证与访问控制方式 分布式缓存服务Redis版支持CTIAM身份认证和多种访问控制，多维度保障您数据的安全。 身份认证 CTIAM 统一身份认证（Identity and Access Management， 简称：CTIAM）是提供用户进行权限管理的基础服务，可以帮助您安全的控制天翼云服务和资源的访问及操作权限，包括：用户身份认证、权限分配、访问控制等功能。具体介绍请参考统一身份认证产品介绍。 您可以创建IAM用户，并为其设置关分布式缓存服务Redis版实例权限，该用户就可以通过用户名和密码访问授权的实例资源。具体请参见统一身份认证快速入门创建IAM用户。 访问控制 权限控制 购买分布式缓存服务Redis版实例之后，您可以使用CTIAM为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，通过CTIAM进行精细的权限管理。 VPC和子网 虚拟私有云（Virtual Private Cloud，VPC）为分布式缓存服务Redis版构建隔离、私密的虚拟网络环境，提升数据库的安全性，并简化用户的网络部署。您可以完全掌控自己的专有网络，VPC丰富的功能帮助您灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。通过子网与其他网络隔离，独享网络资源，提高网络安全性。具体内容请参见虚拟私有云用户指南创建虚拟私有云和子网 。 安全组 安全组是一个逻辑上的分组，可以为同一个虚拟私有云内具有相同安全保护需求并相互信任的Redis实例提供相同的访问策略。您可以通过为数据库实例设置安全组，开通需访问Redis实例的IP地址和端口，来保证保障其运行环境的安全性和稳定性。具体请参见修改实例安全组

字段 说明 服务名称 自定义服务名称，只能取唯一值。 大模型 选择是否使用大模型，选择开启后需要选择“模型提供方”。 应用代理 选择是否开启代理，开启后需要填写“代理端口”及“代理协议”。 描述 对新增的服务添加简要描述。 负载均衡算法 选择负责均衡算法，目前支持以下四种： 一致哈希：相同特征的请求将分配至同一个上游节点。 带权轮询：按照配置的权重比例分配请求数量至上游节点。 指数加权移动平均法：请求将更多地分配给效率高的上游节点。 最小连接数：选取当前连接数量最少的上游节点分发请求。 上游类型 节点：需要填写节点主机名、端口、权重。 服务发现：选择服务发现的类型，支持选择DNS、Consul KV、Nacos、Euereka、Kubernetes。 Host请求头 保持与客户端一致的主机名。 使用目标节点列表中的主机名或IP。 重试次数 重试机制将请求发到下一个上游节点。 值为 0 表示禁用重试机制，留空表示使用可用后端节点的数量。 重试超时时间 限制是否继续重试的时间，若之前的请求和重试请求花费太多时间就不再继续重试。 0 代表不启用重试超时机制。 协议 服务端使用的协议类型，默认为：HTTP协议。 支持选择：HTTP、HTTPs、gRPC、gRPCs、TCP、TLS、UDP、Kafka。 连接超时 建立从请求到后端服务器的连接的超时时间，默认值6s。 发送超时 发送数据到后端服务器的超时时间，默认值6s。 接收超时 从后端服务器接收数据的超时时间，默认值6s。 连接池容量 为后端设置独立的连接池，默认值320。 连接池空闲超时时间 默认值60。 连接池请求数量 默认值1000。 健康监测 选择是否开启健康监测功能。 身份认证 选择身份认证方式，支持以下四种选择： 无认证：不开启身份认证方式。 Key认证：Key认证用于向API添加身份验证密钥。它需要与API调用者一起配合才能工作，通过API调用者将其密钥添加到查询参数或请求头中以验证其请求。 摘要签名认证：摘要签名认证可以将HMAC认证添加到服务。它需要与API调用者一起配合才能工作，通过API调用者将其密钥添加到查询参数或请求头中以验证其请求。 JWT认证：将JWT身份验证添加到服务中，通过API调用者将其密钥添加到查询字符串参数、请求头或Cookie中用来验证其请求。

字段 填写说明 触发器类型 选择“API网关服务（APIG专享版）”。 实例 选择所属实例，若无实例，可单击“创建实例”完成创建。 API名称 您自定义的API名称，例如：APIapig。 分组 API分组相当于一个API集合，API提供方以API分组为单位，管理分组内的所有API。选择“APIGrouptest”。 发布环境 API可以同时提供给不同的场景调用，如生产、测试或开发。API网关服务提供环境管理，在不同的环境定义不同的API调用路径。选择“RELEASE”，才能调用。 安全认证 API认证方式： App： 采用Appkey&Appsecret认证，安全级别高，推荐使用。 IAM： IAM认证，只允许IAM用户能访问，安全级别中等。 None： 无认证模式，所有用户均可访问。选择“None”。 请求协议 分为两种类型： HTTP HTTPS选择“HTTPS”。 后端超时(毫秒) 输入“5000”。

本章节主要介绍操作类问题中有关Kerberos使用的问题。 已创建的MRS集群如何修改Kerberos认证的开启状态？ MRS服务暂不支持集群创建完成后手动开启和关闭Kerberos服务。 如需更换Kerberos认证状态，建议重新创建MRS集群，然后进行数据迁移。 Kerberos认证服务的端口有哪些？ Kerberos认证服务的常用端口有21730（TCP）、21731（TCP/UDP）、21732（TCP/UDP）。 如何避免Kerberos认证过期？ 对于JAVA应用 在连接HBase、HDFS或者其他大数据组件前，先调用loginUserFromKeytab()创建UGI，然后启动一个定时线程进行检查是否过期并在过期前重新登录。 private static void startCheckKeytabTgtAndReloginJob() { //10分钟循环，达到距离到期时间一定范围就会更新凭证 ThreadPool.updateConfigThread.scheduleWithFixedDelay(() > { try { UserGroupInformation.getLoginUser().checkTGTAndReloginFromKeytab(); logger.warn("get tgt:{}", UserGroupInformation.getLoginUser().getTGT()); logger.warn("Check Kerberos Tgt And Relogin From Keytab Finish."); } catch (IOException e) { logger.error("Check Kerberos Tgt And Relogin From Keytab Error", e); } }, 0, 10, TimeUnit.MINUTES); logger.warn("Start Check Keytab TGT And Relogin Job Success."); } 对于Shell客户端方式执行的任务 1.先执行kinit命令认证用户。 2.通过操作系统定时任务或者其他定时任务方式定时执行kinit命令认证用户。 3.提交作业执行大数据任务。 对于Spark作业 通过sparkshell、sparksubmit、sparksql方式提交作业，可以直接在命令行中指定Keytab和Principal以获取认证，定期更新登录凭证和授权tokens，避免认证过期。 例如： sparkshell principal spark2x/hadoop. @ keytab ${BIGDATAHOME}/FusionInsightSpark2xXXX/install/FusionInsightSpark2x2.4.5/keytab/spark2x/SparkResource/spark2x.keytab master yarn

参数名称 参数说明 版本 SNMP协议版本号，取值范围： l v2c：低版本，安全性较低 l v3：高版本，安全性比v2c高 推荐使用v3版本。 本地端口 本地端口，默认值“20000”，取值范围“1025”到“65535”。 读团体名 该参数仅在设置“版本”为v2c时存在，用于设置只读团体名。 写团体名 该参数仅在设置“版本”为v2c时存在，用于设置可写团体名。 安全用户名 该参数仅在设置“版本”为v3时存在，用于设置协议安全用户名。 认证协议 该参数仅在设置“版本”为v3时存在，用于设置认证协议，推荐选择SHA。 认证密码 该参数仅在设置“版本”为v3时存在，用于设置认证密钥。 确认认证密码 该参数仅在设置“版本”为v3时存在，用于确认认证密钥。 加密协议 该参数仅在设置“版本”为v3时存在，用于设置加密协议，推荐选择AES256。 加密密码 该参数仅在设置“版本”为v3时存在，用于设置加密密钥。 确认加密密码 该参数仅在设置“版本”为v3时存在，用于确认加密密钥。

此小节介绍云堡垒机功能特性。 云堡垒机不仅拥有传统4A安全管控的基本功能特性，包括身份认证、账户管理、权限控制、操作审计四大功能。还拥有高效运维、工单申请等特色功能。 身份认证 采用多因子认证和远程认证技术，加强用户身份认证管理。 引用多因子认证技术，包括手机短信、手机令牌、USBKey、动态令牌等方式，安全认证登录用户身份，降低用户帐号密码风险。 对接第三方认证服务或平台，包括AD域、RADIUS、LDAP、Azure AD远程认证，支持远程认证用户身份，防止身份泄露。并支持一键同步AD域服务器用户，复用原有用户部署结构。 账户管理 集中管理系统用户和资源帐号信息，对帐号全生命周期建立可视、可控、可管运维体系。 用户帐号管理 系统用户帐号全生命周期管理，用户使用唯一帐号登录系统，解决共享帐号、临时帐号、滥用权限等问题。 批量导入 通过同步第三方服务器用户，以及批量导入用户，支持一键同步并导入已有用户信息，无需重复创建用户。 用户组 用户帐号按属性分组管理，可实现对同类型用户按用户组赋予权限。 批量管理 支持批量管理用户帐号，包括删除、启用、禁用、重置密码、修改用户基本配置等。 权限控制 集中管控用户访问系统和资源的权限，对系统和资源的访问权限进行细粒度设置，保障了系统管理安全和资源运维安全。 系统访问权限 从单个用户帐号属性出发，控制用户登录和访问系统权限。 用户角色 通过为每个用户帐号分配不同的角色，赋予用户访问系统不同模块的权限，对系统用户身份进行分权。系统支持自定义角色，自定义角色中可以自选添加系统模块，实现角色多样化模式。 组织部门 通过为每个用户划分部门，采用部门组织树形结构，不限制部门层级，可将用户按部门分层级管理。 登录限制 通过设置用户登录配置，从登录有效期、登录时间、多因子认证、登录IP限制、登录MAC限制等维度，赋予用户登录系统的权限。 资源访问权限 按照用户、用户组与资源账户、账户组之间的关联关系，建立用户对资源的控制权限。 访问控制 通过设置访问控制权限，从访问有效期、登录时间、IP限制、上传/下载、文件传输、剪切板、显示水印等维度，赋予用户访问资源的权限。通过设置双人或多人授权审核，需要授权人实时授权才能访问资源，保障敏感核心资源绝对安全。 命令拦截 通过设置命令控制策略或数据库控制策略，对服务器或数据库中敏感、高危操作，强制阻断、告警及二次复核，加强对关键操作的管控。

修改后端服务的超时时间上限“backendtimeout”后未生效 问题描述 修改专享版APIG实例参数“backendtimeout”后未生效。 可能原因 在“定义后端服务”中，“后端超时(ms)”未修改。 解决方法 登录控制台，在“API管理”中，进入目标API详情，单击“编辑”，在“定义后端服务”中配置“后端超时(ms)”。 如何切换调用环境？ 默认调用“发布”环境的API。如果您要调用其他环境的API，请添加请求消息头XStage，参数值填写环境名称。 调用请求包最大支持多少？ 专享版：API每次最大可以转发Body体为12MB的请求包。请求body体超过12M时，根据业务需求，请在“实例概览”的配置参数中修改“requestbodysize”参数。“requestbodysize”表示API请求中允许携带的Body大小上限，支持修改范围1~9536 M。 使用iOS系统时，如何进行APP认证？ 目前API网关为APP认证提供了Java、Python、C、PHP、Go等多种语言的SDK与demo，当您使用iOS系统（ObjectiveC语言）或者其他未包含在内的语言时，请参考“开发指南 > 使用APP认证调用API > APP认证工作原理”的指导进行APP认证。 最多支持创建多少个APP？ 每个用户最多创建50个APP。 APP认证的API，怎样实现不同的第三方之间无法知道对方调用情况？ 创建多个APP，并绑定同一个API，分发给不同的第三方不一样的APP。 APP认证的API，有没有限制可以给多少个第三方使用？ 没有限制。 APP认证的API，是否需要自己创建APP？ 是，需要自行创建APP，并绑定API。创建完成APP后，系统自动生成AppKey和AppSecret，将AppKey和AppSecret给第三方，就可以直接调用此API了。