本小节介绍开启节点防护。 开启节点防护的同时，系统会自动为该节点安装容器安全插件。 1、 登录管理控制台。 2、 在左侧导航树中，选择“资产管理 > 容器管理”，进入容器管理界面。 3、在节点列表的“操作”列，单击“开启防护”，为需要开启防护的节点开启防护。 4、 单击“确定”，开启节点防护，节点的“防护状态”为“已开启”，说明该节点已开启防护。 说明 一个企业主机安全配额防护一个集群节点。

注意事项 当开通天翼云边缘安全加速平台—安全与加速服务加速全球或全球（不含中国内地）服务时，支持开通高性能网络增值服务。 高性能网络服务开通后不会直接生效，需要针对域名配置开启高性能网络服务才会生效。具体请参考高性能网络中配置说明。 因高性能网络为非必须的精品增值服务，涉及计费，如无需使用，请及时退订服务。

参数 参数类型 说明 示例 下级对象 vulRiskNum Integer 漏洞风险数 1 vulHostNum Integer 漏洞风险主机数 1 scaRiskNum Integer 安全基线主机数 1 scaHostNum Integer 安全几线主机数 1 wpRiskNum Integer 网页防篡改风险数 1 wpHostNum Integer 网页防篡改主机数 1 virusRiskNum Integer 病毒文件数 1 virusHostNum Integer 病毒文件数主机数 1 instrustonEventRiskNum Integer 入侵检测风险数量 1 instrustonEventRiskHostNum Integer 入侵检测风险主机数量 1

扫描能力 通过公网IP直接扫描公网主机 通过跳板机扫描内网主机 操作系统安全补丁扫描 支持 支持 远程服务/协议漏洞扫描 支持 不支持 说明 远程服务/协议类漏洞的扫描依赖于扫描器与被测目标的相关端口直接交互，因此不能通过跳板机完成测试验证。 操作系统安全配置扫描 支持 支持 Web中间件安全配置扫描 支持 支持 等保合规扫描 支持 支持

本节主要介绍设置微服务引擎专享版公网访问 状态“可用”的微服务引擎专享版，绑定公网IP后可提供公网访问微服务引擎专享版的能力。 注意 未开启安全认证的微服务引擎无认证鉴权能力，开放到公网面临安全风险，增加系统的脆弱性。如：配置、服务信息等数据资产可能会被窃取。 请不要在生产环境和安全要求较高的网络环境中使用该功能。 开启公网访问 1、登录ServiceStage控制台，选择“微服务引擎 CSE”。 2、单击待开启公网访问的微服务引擎名称，进入微服务引擎的“基本信息”页面。 3、开启“公网访问”开关，在弹出的对话框勾选“我已知晓安全风险”，单击“确定”。 4、单击“弹性IP地址”后的下拉框。在下拉框中选择可用弹性IP，单击下拉框后侧的“√”。 若下拉框中无可用弹性IP，请单击“创建弹性IP”，根据界面提示创建。 关闭公网访问 1、登录ServiceStage控制台，选择“微服务引擎 CSE”。 2、单击待关闭公网访问的微服务引擎名称，进入微服务引擎的“基本信息”页面。 3、关闭“公网访问”开关。 4、在弹出对话框单击“确定”。

开源对比 相较于开源自建RocketMQ，分布式消息服务RocketMQ在自动化部署、运维监控、增强能力、延迟消息/定时消息、ACL访问控制等方面更具优势。更多信息请参见开源对比。 支持的消息类型 分布式消息服务RocketMQ支持的消息类型包括普通消息、顺序消息、事务消息与延时消息。 普通消息：RocketMQ中无特性的消息，普通消息主要包含同步消息和异步消息两种。 顺序消息：指消费消息的顺序要同发送消息的顺序一致，在RocketMQ中，主要有两种有序消息：全局有序消息和局部有序消息（又叫普通有序消息、分区有序消息）。 事务消息：提供类似X/Open XA的分布式事务功能来确保业务发送方和MQ消息的最终一致性，其本质是通过半消息(prepare消息和commit消息)的方式把分布式事务放在MQ端来处理。 延时消息：生产者将消息发送到消息队列RocketMQ服务端，设计消费时延，在预设的时间后才可以被消费者消费。 更多信息请参见功能特性。 功能特性 分布式消息服务RocketMQ的功能特性主要体现在以下几个方面： 访问接口 支持通过API调用，创建队列、查询消息监控指标、查询消息内容等。 队列能力 支持多种消息类型，包括普通队列（高并发场景）、FIFO有序队列（顺序消息场景）、严格有序队列。 消息能力 支持消息过滤、消息复用、消息重试、消息回溯、消息数据主动删除以及消息广播等能力。 安全防护 提供云审计进行租户管理操作的记录。 运维监控 提供主题、订阅组、生产者、消费者、队列的管理；同时支持集群、主题、队列多维度指标监控。 更多信息请参见功能特性。

配置Nginx 1.Nginx安装后，需要配置请求转发规则，告诉Nginx哪个端口收到的请求，应该转发到后端哪个Redis实例。 修改配置文件。 cd /etc/nginx vi nginx.conf 配置示例如下，如果有多个redis实例需要公网连接，可以配置多个server，在proxypass中配置Redis实例连接地址。 stream { server { listen 8080; proxypass 192.168.0.5:6379; } server { listen 8081; proxypass 192.168.0.6:6379; } } 说明 proxypass参数配置值为同一vpc下的Redis实例的IP地址，具体可从缓存实例详情页面的“连接信息”区域获取。 图 Nginx配置 2.重启Nginx服务。 service nginx restart 3.验证启动是否成功。 netstat angrep 808 图 启动Nginx及验证 通过Nginx访问Redis 1. 登录虚拟私有云控制台，确认跳板机的安全组规则是否放开，如果没有，则需要为安全组放开8080和8081两个端口。 2. 在公网环境中打开Redis命令行界面，输入如下命令，登录与查询都正常，大功告成。 说明 公网环境已参考Rediscli连接中相关步骤，安装Rediscli客户端。 ./rediscli h {myeip} p {port} 其中，命令中的{myeip}为主机连接地址，需要填写ECS的弹性IP，端口需要填写ECS上Nginx的监听端口。 如果Redis实例设置了密码访问，则执行本步骤输入密码，校验通过后才可进行缓存数据读写。 auth 其中“ ”为创建Redis实例时自定义的密码，请按实际情况修改后执行。 密码访问回显示例，及登录查询如下：

本文主要介绍 管理备份磁盘 操作场景 备份磁盘通过云备份服务提供的功能实现。 本章节指导用户为磁盘设置备份策略。通过备份策略，就可以实现周期性备份磁盘中的数据，从而提升数据的安全性。 说明 只有当磁盘的状态为“可用”或者“正在使用”，则可以创建备份。 购买云硬盘备份存储库并设置备份策略 步骤 1 登录云备份管理控制台。 1. 登录管理控制台。 2. 选择“存储 > 云备份 > 云硬盘备份”。 步骤 2 在界面右上角单击“创建云硬盘备份存储库”。 步骤 3 （可选）在磁盘列表中勾选需要备份的磁盘，勾选后将在已选磁盘列表区域展示。 图 选择磁盘 说明 所选磁盘的状态必须为“可用”或“正在使用”。 若不勾选磁盘，如需备份可在创建存储库后绑定磁盘即可。 步骤 4 输入存储库容量。此容量为绑定磁盘所需的总容量。存储库的空间不能小于备份磁盘的空间。取值范围为[磁盘总容量，10485760]GiB。 步骤 5 选择是否配置自动备份。 立即配置：配置后会将存储库绑定到备份策略中，整个存储库绑定的磁盘都将按照备份策略进行自动备份。可以选择已存在的备份策略，也可以创建新的备份策略。 暂不配置：存储库将不会进行自动备份。 步骤 6 如开通了企业项目，需要为存储库添加已有的企业项目。 企业项目是一种云资源管理方式，企业项目管理提供统一的云资源按项目管理，以及项目内的资源管理、成员管理，默认项目为default。 步骤 7 输入待创建的存储库的名称。 只能由英文字母、数字、下划线、中划线组成，且长度小于等于64个字符。例如：vault612c。 说明 也可以采用默认的名称，默认的命名规则为“vaultxxxx”。 步骤 8 单击“立即购买”。 步骤 9 根据页面提示，完成创建。 步骤 10 返回云硬盘备份页面。可以在存储库列表看到成功创建的存储库。

本文介绍Redis连接失败问题排查和解决 概述 本章节主要描述Redis连接过程出现的问题，以及解决方法。 问题分类 当您发现与Redis实例连接出现异常时，可以根据本文的内容，从以下几个方面进行排查。 Redis和ECS之间的连接问题 公网连接Redis 密码问题 实例配置问题 客户端连接问题 性能问题导致连接超时 Redis和ECS之间的连接问题 在连接Redis和ECS之间存在一些常见的问题，需要确保它们在同一个VPC内并能够正常通信。 未正确配置安全组规则： 问题描述：Redis和ECS的安全组可能没有正确配置，导致连接失败。 解决方法：需要配置ECS和Redis实例所在安全组规则，确保允许Redis实例被访问。详细的配置步骤可以参考配置安全组。 白名单功能开启导致连接失败： 问题描述：如果实例开启了白名单功能，客户端连接时需要确保客户端IP在白名单内，否则将无法连接。 解决方法：需要按照实例实例白名单配置文档操作，确保客户端IP在白名单内。注意，如果客户端IP发生变化，需要将新的IP加入白名单。 不同VPC导致连接失败： 问题描述：如果Redis实例和ECS不在同一个VPC，它们之间的网络是不相通的。 解决方法：可以通过创建VPC对等连接，将两个VPC的网络打通，实现跨VPC访问Redis实例。有关VPC对等连接的创建和使用，请参考VPC对等连接说明。

参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 TSDBlink OpenTSDB链接地址 OpenTSDB的ZK链接地址。 opentsdbsp8afz7bgbps5ur.cloudtable.com:4242 安全模式 选择安全或非安全模式。 选择安全模式时，需要输入项目ID、用户名、AK/SK。 Nonsecurity 项目ID CloudTable服务所在区域的项目ID。 项目ID表示租户的资源，帐号ID对应当前帐号。用户可在对应页面下查看不同Region对应的项目ID和帐号ID。 1. 注册并登录管理控制台。 2.在用户名的下拉列表中单击“我的凭证”。 3. 在“我的凭证”页面，查看帐号名和帐号ID，在项目列表中查看项目ID。 用户名 访问CloudTable服务的用户名。 admin 访问标识(AK) 密钥(SK) 访问CloudTable服务的AK和SK。 您需要先创建当前账号的访问密钥，并获得对应的AK和SK。 1. 登录控制台，在用户名下拉列表中选择“我的凭证”。 2. 进入“我的凭证”页面，选择“访问密钥>新增访问密钥”，详见下图：单击新增访问密钥。 3.单击“确定”，根据浏览器提示，保存密钥文件。密钥文件会直接保存到浏览器默认的下载文件夹中。打开名称为“credentials.csv”的文件，即可查看访问密钥（Access Key Id和Secret Access Key）。 说明 每个用户仅允许新增两个访问密钥。 为保证访问密钥的安全，访问密钥仅在初次生成时自动下载，后续不可再次通过管理控制台界面获取。请在生成后妥善保管。

复制规则 通过复制规则，只需修改少量配置参数，用户即可快速创建一个和已有规则类似的规则。 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“IaC安全 > 规则管理”，进入规则管理页面。 3. 选择需要添加规则的类型。 4. 在规则列表中找到目标规则，单击操作列的“复制”。 5. 在弹出的窗口中，修改规则参数。参数说明请参见添加自定义规则。 6. 参数修改完成后，单击“确认”。 启用/禁用规则 为了控制检查规则“误报”和“漏报”之间的均衡关系，系统提供规则开关，用户可自定义开启或关闭文件规则检查项。 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“IaC安全 > 规则管理”，进入规则管理页面。 3. 选择要操作的规则类型。 4. 在规则列表的启用状态列，可以打开或关闭某一规则。 或勾选多个规则，单击规则列表右上方的“启用”、“禁用”按钮，可以批量启用/禁用规则。 编辑规则 说明 仅支持对自定义规则进行编辑，系统内置规则（创建人为“内置”）不可编辑。 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“IaC安全 > 规则管理”，进入规则管理页面。 3. 选择需要添加规则的类型。 4. 在规则列表中找到目标规则，单击操作列的“编辑”。 5. 在弹出的窗口中，修改规则参数。参数说明请参见[添加自定义规则](

AOne边缘安全加速平台套餐续费介绍。 避免AOne边缘安全加速平台的资源到期后，域名会自动发起停用，防护服务终止服务，您可以在资源到期前为资源手动续订，或者设置自动续订服务。针对AOne边缘安全加速平台情况，为您进行说明，请在续费前务必阅读以下内容。 续订规则 只有通过实名认证的客户，才可以执行续订操作。 未完成订单中的资源不允许续订，如开通中的资源、规格变更中的资源、退订中的资源。 已退订或释放的资源不可续费。 资源处于服务中且过期时长大于7天可以设置自动续订。 若资源到期后续费，续费周期自资源续订解冻开始，计算新的服务有效期，按照新的服务有效期计算费用。例如，客户资源2020年9月30号到期，10月11号续订1个月，那么资源新的服务开始时间为10月11号，到期时间为11月10号。相关费用自10月11号开始计算。 成套订购的套餐类组合产品，需整体续订，非成套订购单具有挂载关系的资源可以对单资源进行续订。 需要满足续订的规则，具体规则详见续订规则说明。 手动续订 满足续订规则的资源您可以随时手动续AOne边缘安全加速平台，本文介绍手动续订操作方式。 登陆天翼云官网右上角我的产品视图中找到需要续订的产品，点击“续订”，根据需求调整续订周期后，提交续订订单。 当续订周期达到1年或以上时，续订单将可享受包年折扣。

手动删除 1 登录云堡垒机系统。 2 选择“系统 > 数据维护 > 存储配置”，进入系统存储配置管理页面。 3 在“手动删除”区域，选择一个日期。 4 单击“删除”，则可立即删除该日期之前的全部数据。 手动删除 创建数据本地备份 为加强对系统数据的容灾管理，云堡垒机支持配置日志备份，提高审计数据安全性和系统可扩展性。 本小节主要介绍如何创建系统本地备份。 注意 支持系统本地备份的日志包括系统登录日志、资源登录日志、命令操作日志、文件操作日志、双人授权日志； 系统本地备份创建成功后，会在系统数据盘生成一个日志文件。 前提条件 用户已获取“系统”模块管理权限。 操作步骤 1 登录云堡垒机系统。 2 选择“系统 > 数据维护 > 日志备份”，进入系统日志备份配置管理页面。 3 在“本地备份”区域，单击“新建”，弹出日志本地备份窗口，配置需备份日志和备份日期范围。 参数 说明 日志内容 选择需备份的日志类型。 l 可勾选系统登录日志、资源登录日志、命令操作日志、文件操作日志、双人授权日志。 l 至少需勾选一个类型。 时间范围 设置需备份的日志时间范围。 l 至少需选择一天。 备注 简要描述该备份信息。 l 最长128个汉字或字符。 4 单击“确认”，返回日志备份管理页面，查看创建的系统本地备份信息。

工具调用示例 移动鼠标： plaintext { "name": "movemouse", "arguments": { "desktopCode": "xxx", "x": 500, "y": 300 } } 输入文本： plaintext { "name": "typetext", "arguments": { "desktopCode": "xxx", "text": "Hello from AIuse MCP" } } 创建目录： plaintext { "name": "createdirectory", "arguments": { "desktopCode": "xxx", "path": "C:/aiusertest" } } 常见问题 如果 Qoder 中没有加载出工具列表，请优先检查： 本地是否已安装 Node.js，且 npx v 可正常输出版本号。 MCP 配置中的 command、args 和 env 是否填写正确。 CTGAPIKEY 和 CTGAPISECRET 是否正确。 AccessKey 是否已关联目标云电脑。 目标云电脑是否在线。 调用工具时是否明确传入或说明了 desktopCode。 安全建议 不要将包含 AccessKey Secret 的 MCP 配置提交到公开仓库。 多人共享开发环境时，建议使用个人或项目级 AccessKey。 如 Qoder 或 MCP Client 支持密钥管理，建议优先使用密钥管理能力。 AccessKey 泄露后，应立即在控制台禁用并更换。

本文介绍产品增值与定制内容申请的相关内容。 如果您有增值/定制的需求，您可以联系客户经理或天翼云客服，提交您的需求。 也可以进入官网以工单的形式提交您的需求。 工单提交流程： 第一步，登陆天翼云官网，点击用户菜单下的“工单管理“； 工单管理页面 第二步，进入“提交工单”页面，在安全加速业务处点击“提问”； 提交工单页面 第三步，根据您的需求，选择“问题分类”，或“创建工单” 问题分类和创建工单页面

本文主要介绍弹性负载均衡证书类常见问题。 为什么配置证书后仍出现不安全提示？ 可能由于以下原因导致配置证书后仍出现不安全提示。 1、证书所记录的域名与用户访问的域名不一致，建议排查证书所记录的域名，或创建自签名证书。 2、配置了SNI，输入的域名与证书所记录的域名不一致。 3、域名级别与证书级别不一致，例如域名为5级而证书为4级。 其他情况您也可以使用curl 访问的域名命令，根据系统返回的错误信息进行排查。 ELB是否支持泛域名证书？ 支持，客户上传泛域名证书即可。注意泛域名证书的通配规则，例如泛域名证书的域名.test.com，那么可支持a.test.com、b.test.com等，也可支持a.b.test.com、d.test.com等。 更换证书会导致网络或者ELB连接中断吗？ 不会。 更换证书后，新的证书会立即生效，已经建立的连接会继续使用老证书，新建立的连接将会使用新的证书。 说明 证书过期后，用户访问时会提示“不安全的链接”，一般情况下忽略掉安全告警后，还是可以访问的。

同一个Nacos引擎可能会有多个用户共同使用，开启了“安全认证”的Nacos引擎专享版，通过微服务控制台提供的基于RBAC（RoleBased Access Control，基于角色的访问控制）的权限控制功能，使不同的用户根据其责任和权限，具备不同的引擎访问和操作权限。 开启了“安全认证”的Nacos引擎专享版，支持微服务正常接入。 说明 只有引擎版本为2.1.0.1及以上版本支持此功能，若版本低于2.1.0.1，可参考 当Nacos引擎版本为2.1.0升级到2.1.0.1及以上版本时，需要先开启安全认证初始化密钥信息，才可使用权限控制功能。

本章节通过简单的用户组授权方法，使IAM用户“James”拥有对应集群的只读权限。 须知： 集群权限仅针对与集群相关的资源（如集群、节点等）有效，您必须确保同时配置了设置命名空间权限，才能有操作Kubernetes资源（如工作负载、Service等）的权限。 CCE提供了CCE FullAccess和CCE ReadOnlyAccess两种策略，建议您通过默认的系统策略实现权限管理。 如果您需要使用自定义策略，请仔细阅读自定义策略中可以添加的授权项（Action），如遇问题提交工单处理。 前提条件 配置说明 给用户组授权之前，请您了解用户组可以添加的CCE系统策略，并结合实际需求进行选择。 配置说明 您需要拥有一个帐号，仅帐号或授予了CCE Administrator权限且全局设置了Security Administrator角色的IAM用户，才有权限进入CCE“权限管理”界面对其他IAM用户进行授权操作。 如果目标IAM用户涉及读写权限变更，只能由帐号授权。 由于IAM的安全限制，当您通过云容器引擎控制台的授权配置涉及到帐号IAM授权的修改时，需要您按照页面上给出的参考策略内容和操作说明，在IAM控制台进行目标IAM用户的手动授权。 权限设置完成后，需退出重新登录才能生效。 用户组是用户的集合，CCE通过IAM的用户组功能实现用户的授权。您在IAM中创建的IAM用户，需要加入特定用户组后，IAM用户才具备用户组所拥有的权限。 关于创建用户组并给用户组授权的方法，可以参考如下操作： [](file:///C:/Users/shuan/Downloads/%E4%BA%91%E5%AE%B9%E5%99%A8%E5%BC%95%E6%93%8E%E7%94%A8%E6%88%B7%E6%8C%87%E5%8D%97202105%20(1).docx

本节介绍服务器安全卫士（原生版）术语说明。 漏洞 是指在操作系统实现或安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问、破坏系统，或者窃取数据。 基线 指为了满足安全要求，相关操作系统、数据库及中间件等必须达到的一定标准和基本要求。通过对不同配置和策略的具体项目来评估是否达到安全基线，评估结果反映了服务器的安全性。 弱口令 指容易被攻击者破解的口令，一旦被攻击者破解，可用来直接登录系统，将使得系统及服务面临非常大的风险。 异常登录 采集服务器上RDP、SSH登录日志，对合法登录IP、合法登录事件、合法登录账号和合法登录时段之外的登录行为均提供告警。 暴力破解 攻击者对密码进行破解的行为，破解成功登录主机后，便可获得主机的控制权限，进行窃取用户数据、勒索加密、植入挖矿程序等恶意操作，严重危害主机的安全。 病毒查杀 基于特征病毒检测引擎，通过快速扫描、全盘扫描、自定义扫描三种检测模式对服务器文件进行全面扫描，并提供病毒文件处置能力。

主机安全v2.0常见问题请参见服务器安全卫士（原生版）常见问题。

查看风险评分 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“镜像安全 > 镜像设置”，进入镜像设置页面。 3. 选择“风险评分”页签。可以自定义设置评分项。 总分固定为100，所有评分项目总和不得超过100，所有子扣分项的分数不得超过对应评分项目的最大扣分值。 扣分规则为发现即扣分，不考虑该风险项的数量，例如发现高危漏洞扣25分，则无论发现多少高危漏洞都只扣除25分。 在风险评分表的右侧有各个分数段的安全分值说明。 4. 配置完成后，单击“保存”。

本文介绍花卷慧办四个套餐的版本功能。 套餐和版本概述 花卷慧办服务支持包年包月计费模式。花卷慧办服务套餐版本分为：基础版、高级版、企业版、旗舰版。 业务规格 基础版 高级版 企业版 旗舰版 价格 40元/月/账号 65元/月/账号 110元/月/账号 200元/月/账号 适用场景 适合微型企业，建议订购账号数5～49 适合小型企业，建议订购账号数50~399 适合中大型企业，建议订购账号数400~1999 适合大型企业，建议订购账号数2000以上 云上会议室 40人云上会议室；企业可同时最多召开两个能容纳100人的会议 100人云上会议室；企业可同时最多召开两个能容纳500人的会议 500人云上会议室；企业可同时最多召开两个能容纳2000人的会议 每账号可发起最多能容纳2000人的会议 总存储空间 500GB 1TB 2TB 2TB AI功能额度 300个 600个 800个 1000个 功能列表 说明 套餐版本无功能差异，仅为配额不同。 应用 功能 功能说明 消息 1v1发送消息 支持发送文字、表情包、图片、文件等多种类型消息。 消息 群组创建与管理 支持创建群组，及群管理：群成员管理、解散、转让群组。 消息 消息状态展示 支持已读、未读状态展示。 消息 消息管理 支持消息撤回、引用回复、转发等高级消息操作。 消息 通知号 支持与端内各应用互联，消息直达通道，重要提醒不错过。 线上会议 会议创建与加入 支持创建/加入临时及预定会议，预定非周期/周期会议。 线上会议 会前管理 支持修改、删除、设定入会范围、设定会议密码、会议水印等多种管理。 线上会议 会中管理 支持会议锁定、参会人权限管控等多种管理。 线上会议 会议录制 支持屏幕共享、一键开启智能会议纪要。 线上会议 其他 美颜、虚拟背景、音频降噪等。 线上会议 直播 支持，如想开通请联系客户经理。 日程 日程创建与管理 支持快速创建日程事项，设置时间、地点、参与人等基本信息。 日程 日程提醒 日程开始前自动提醒。 待办 待办创建与管理 支持快速添加待办事项，记录工作任务和个人事务。 待办 待办提醒 设置自定义截止时间提醒。 空间 文件管理 支持文件新建、上传、下载、分享、版本回溯等功能。 空间 应用空间 用户存储客户端其他应用转存的文件。 空间 企业文件 用于管理企业级文件，支持设置文件的可见范围、设置文件夹管理员、配置颗粒度权限。 空间 在线文档 支持在线文档多人实时编辑，无缝多端同步。 空间 文件资产安全 支持落地即加密、外发即拦截。 知识库 知识创建 支持直接上传并管理Word、PDF、图片、音视频等各类文件。 知识库 知识问答 用于生成更精准的用户查询。 知识库 知识库管理 支持配置不同权限的知识库成员。 智能助手 自然语言交互 支持通过自然语言创建会议、日程和待办。 智能助手 智能日程管理 自动安排协调多方会议时间。 智能问答 智能问答 支持对问题进行AI检索生成回答。

本文为您介绍密码服务的权限管理能力,支持通过IAM实现对密码服务的访问控制、权限分配。 天翼云提供统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。通过IAM服务定义企业项目、创建子用户，轻松实现IAM子用户对密码服务资源的访问控制、权限分配等。 默认情况下，天翼云主账号拥有管理员权限，而主账号创建的IAM用户没有任何权限。IAM用户需要加入用户组，并给用户组授权相应策略后，IAM用户才能获得策略对应的权限，才可以基于被授予的权限对云服务进行操作。 密码服务支持企业项目管理，若您需要对密码服务资源进行分组和管理，形成逻辑隔离，您可以创建企业项目，并将资源划分至不同的企业项目中，不同的企业项目可以绑定不同的用户组，并给用户组授予密码服务产品的权限策略（包括系统策略和自定义策略），从而实现对特定资源的授权。 说明 仅“一类节点”区域的实例支持企业项目管理。 IAM应用场景 IAM策略主要面向同一主账号下，对不同IAM用户授权的场景： 您可以为不同操作人员或应用程序创建不同IAM用户，并授予IAM用户刚好能完成工作所需的权限，比如查看权限，进行最小粒度授权管理。 新创建的IAM用户可以使用自己的登录名和密码登录控制台，实现多用户协同操作时无需分享账号密码的安全要求。 密码服务IAM策略说明 天翼云为密码服务提供如下系统策略 。如果系统策略不满足授权要求，可以创建自定义策略 ，自定义策略是对系统策略的扩展和补充，详情请参见创建自定义策略。 策略名称 策略描述 类别 授权范围 密码服务管理者 密码服务管理员策略，拥有产品所有操作权限。 系统策略 全局级 密码服务查看者 密码服务查看策略，仅支持查看实例列表。 系统策略 全局级

本文主要介绍Pod Security Admission配置。 在使用Pod Security Admission前，需要先了解Kubernetes的Pod安全性标准（Security Standards）。Pod安全性标准（Security Standards） 为 Pod 定义了不同的安全性策略级别。这些标准能够让你以一种清晰、一致的方式定义如何限制Pod行为。而Pod Security Admission则是这些安全性标准的控制器，用于在创建Pod时执行定义好的安全限制。 Pod安全性标准定义了三种安全性策略级别： 表 Pod安全性策略级别 策略级别（level） 描述 privileged 不受限制，通常适用于特权较高、受信任的用户所管理的系统级或基础设施级负载，例如CNI、存储驱动等。 baseline 限制较弱但防止已知的特权提升（Privilege Escalation），通常适用于部署常用的非关键性应用负载，该策略将禁止使用hostNetwork、hostPID等能力。 restricted 严格限制，遵循Pod防护的最佳实践。 Pod Security Admission配置是命名空间级别的，控制器将会对该命名空间下Pod或容器中的安全上下文（Security Context）以及其他参数进行限制。其中，privileged策略将不会对Pod和Container配置中的securityContext字段有任何校验，而Baseline和Restricted则会对securityContext字段有不同的取值要求，具体规范请参见Pod安全性标准（Security Standards）。 关于如何在Pod或容器中设置Security Context，请参见为Pod或容器配置Security Context。

本节主要介绍智能视图服务的向上级联功能概述。 级联定义 级联：两个信令安全路由网关之间是上下级关系，下级信令安全路由网关主动向上级信令安全路由网关发起注册，经上级信令安全路由网关鉴权认证后才能进行上下级系统间通信。 用户可在智能视图服务控制台，创建本级平台，并选择当前已接入的设备/平台，重新组织排序后，共享给第三方平台以供调阅使用，即向上级联。 级联功能说明 创建本级平台时，支持填写上级平台信息，以虚拟业务组或行政区划结构推送至上级平台进行级联。 支持本平台级联的启停、级联状态查阅、设备增减等平台管理操作。 支持第三方上级平台对本平台级联设备的实时预览、录像回放、云台控制等操作。 支持的设备目录模式 智能视图服务已提供虚拟业务组 及行政区划两种设备目录模式，以方便用户对级联至上级平台的设备进行管理和排序。 虚拟业务组及行政区划的操作说明请参考【向上级联管理级联组织树】。 虚拟业务组 虚拟业务组模式下，支持随意对目录、设备进行归并与排序，无目录层级限制。

本实践介绍通过IAM增强用户安全性的常见方法。 应用场景 通过配置子用户相关设置，实现访问控制管理，提升账号和数据安全。 前提条件 已开通对象存储（经典版）Ⅰ型服务。 具体方法 创建独立的IAM子用户 一个账户可以建立多个子用户，您可以通过IAM为不同的操作人员创建独立的IAM子用户。根据操作人员的职能范围，授予相应的管理权限。同时建议您也为根用户创建子用户，并授予该子用户管理权限，使用该用户进行日常管理工作，保护账户安全。 控制台登录用户与编程用户分离 建议通过控制台登录用户与编程用户分离，以便更好的分配权限： 控制台登录用户：通过控制台登录的用户，只需设置控制台登录密码。 编程用户：通过API访问的用户，只需创建访问密钥。 分组进行授权 账户有多个用户时，通过用户组将用户进行分类，同类权限的用户分到一组。通过为用户组授权，使组内用户获取用户组具有的权限。 授予最小权限 建议您为IAM用户授予最小权限，您可以使用IAM用户制定策略，给IAM用户仅授予完成工作所需的权限，通过授予最小权限，可以帮您安全的控制IAM用户对OOS的管理。 为IAM用户配置强密码策略 通过IAM可以为控制台登录的用户设置强密码策略。例如密码最小长度、密码中必须包含元素、密码不与历史密码相同、强制定期更换密码等，确保用户使用复杂度高的强密码。 开启MFA认证 为IAM用户开启多因子认证（Multifactor authentication，MFA），提高账号的安全性，在用户名和密码之外再增加一层安全保护。

本章节主要向您介绍企业路由器的权限管理相关内容。 如果您需要对云服务平台上的ER资源，为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制服务资源的访问。 通过IAM，您可以在帐号中给员工创建IAM用户，并授权控制他们对资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有ER的使用权限，但是不希望他们拥有删除ER等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用ER，但是不允许删除ER的权限，控制他们对ER资源的使用范围。 如果账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用ER服务的其它功能。 IAM是云服务平台提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。 ER权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 ER部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问ER时，需要先切换至授权区域。 下表介绍了ER的所有系统权限。 系统角色/策略名称 描述 类别 依赖关系 ER FullAccess 企业路由器的管理员权限，拥有该权限的用户可以操作并使用所有企业路由器。 系统策略 无 ER ReadOnlyAccess 企业路由器只读权限，拥有该权限的用户仅能查看企业路由器数据。 系统策略 无 下表介绍了ER常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 操作 Tenant Administrator Tenant Guest ER FullAccess ER ReadOnlyAccess 创建企业路由器 √ × √ × 修改企业路由器配置 √ × √ × 查看企业路由器 √ √ √ √ 删除企业路由器 √ × √ × 在企业路由器中添加“虚拟私有云（VPC）”连接 √ × √ × 删除“虚拟私有云（VPC）”连接 √ × √ × 查看连接（所有类型） √ √ √ √ 创建路由表 √ × √ × 修改路由表名称 √ × √ × 查看路由表 √ √ √ √ 删除路由表 √ × √ × 创建关联将连接关联至路由表中 √ × √ × 查看路由表中关联的连接 √ √ √ √ 删除路由表中关联的连接 √ × √ × 在路由表中创建连接的传播 √ × √ × 查看路由表中连接的传播 √ √ √ √ 删除路由表中连接的传播 √ × √ × 创建静态路由 √ × √ × 修改静态路由 √ × √ × 查看路由 √ √ √ √ 删除静态路由 √ × √ × 创建流日志 √ × √ × 查看流日志 √ √ √ √ 关闭流日志 √ × √ × 开启流日志 √ × √ × 删除流日志 √ × √ × 添加资源的标签 √ × √ × 修改资源的标签 √ × √ × 查看资源的标签 √ √ √ √ 删除资源的标签 √ × √ ×

添加主机时，如果硬件联通及测试主机失败，则您需要添加安全组，放通监控插件端口。 问题现象 添加主机时，测试连通及硬件检测失败。 原因分析 监控插件端口未放通。 解决方案 添加安全组，放通端口。出现如下图所示，则表示执行成功。

本节介绍了RabbitMQ 接入方式。 安全接入点 RabbitMQ 安全接入点支持 "PLAIN"、"AMQPLAIN" 授权机制。 1、访问控制 RabbitMQ "PLAIN"、"AMQPLAIN"授权机制需要创建用户，从而获得对应虚拟主机的访问权限。 2、接入步骤 （1）新建用户（集群管理>用户>新建用户） （2）运行demo 客户端关键参数设置 "PLAIN"、"AMQPLAIN" 授权机制的客户端关键参数配置 String host "192.168.0.0"; //安全接入点ip Integer port 5672; //安全接入点port String username "xxx"; //集群管理用户列表的用户名 String password "xxx"; String vhost "/"; ConnectionFactory connectionFactory new ConnectionFactory(); connectionFactory.setHost(host); connectionFactory.setPort(port); connectionFactory.setUsername(username); connectionFactory.setPassword(password); connectionFactory.setVirtualHost(vhost); SSL接入点 RabbitMQ 安全接入点支持 "EXTERNAL" 授权机制 1、访问控制 无 2、接入步骤 （1）下载SSL证书（实例概览>导出服务>下载SSL文件） （2）运行demo 客户端关键参数设置 "EXTERNAL" 授权机制的客户端关键参数配置 java String host "192.168.0.0"; //SSL接入点ip int port 5671; //SSL接入点port //以下2个ssl文件可通过控制台获取安装包, 具体的获取方式可以查看2.2.1接入步骤的第二小节 String ksFile "D:tmpsslclientrabbitmqkey.p12"; String tksFile "D:tmpssltruststore"; String vhost "/"; char[] keyPassphrase "W3zT98Zz9Io".toCharArray(); KeyStore ks KeyStore.getInstance("PKCS12"); ks.load(new FileInputStream(ksFile), keyPassphrase); KeyManagerFactory kmf KeyManagerFactory.getInstance("SunX509"); kmf.init(ks, keyPassphrase); char[] trustPassphrase null; trustPassphrase "W3zT98Zz9Io".toCharArray(); KeyStore tks KeyStore.getInstance("JKS"); tks.load(new FileInputStream(tksFile), trustPassphrase); TrustManagerFactory tmf TrustManagerFactory.getInstance("SunX509"); tmf.init(tks); SSLContext c SSLContext.getInstance("tlsv1.2"); c.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null); ConnectionFactory connectionFactory new ConnectionFactory(); connectionFactory.setHost(host); connectionFactory.setPort(port); connectionFactory.setVirtualHost(vhost); connectionFactory.setSaslConfig(DefaultSaslConfig.EXTERNAL); connectionFactory.useSslProtocol(c);

本节介绍如何创建、编辑、复制分类映射。 操作场景 分类和映射是对云服务告警进行类型匹配和字段映射。 创建分类映射 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 运营对象”，进入运营对象的数据类页面后，选择“分类&映射”页签，进入分类映射管理页面。 5. 在分类映射管理页面中，单击“创建”，进入创建分类映射页面。 6. 在创建分类映射页面中，配置分类映射参数信息。 1. 在左侧“基本信息配置”栏中，配置分类映射的基本信息，参数说明如下表所示。 参数名称 参数说明 名称 自定义分类映射名称。 数据类 选择对应的数据类。 描述 自定义分类映射描述信息。 2. 选择左侧“数据源”栏中，选择分类映射的数据源。 当“数据源”选择“上传JSON文件”时，需要单击“上传JSON文件”，并上传JSON文件。 3. 在右侧“分类”页签中，选择分类方式，并配置对应参数。 4. 完成分类配置后，单击页面右上角，保存配置。 5. 在右侧“映射”页签中，选择映射方式，并配置对应参数。 6. 完成分类映射后，单击页面右上角，保存配置。 7. 在右侧“预处理”页签中，设置预处理映射参数参数。 8. 完成预处理配置后，单击页面右上角，保存配置。

本节介绍基线检查列表的参数信息。 1. 登录容器安全卫士产品控制台。 2. 在左侧导航栏选择“安全合规”，进入安全合规页面。 3. 在安全合规页面单击“基线名称”，进入基线详情页面。 4. 筛选检查项：支持按照“集群”、“检查项名称”、“类型”、“启用状态”进行筛选查询。 “集群”筛选通过左上角“集群”下拉列表选择，支持选择全部集群或单个集群，集群改变时，检查通过率、检查未通过、检查通过数量和详情会随之更新。 5. 基线合规信息参数说明。 参数 说明 检查项名称 基线检查项的名称。 基线检查项类别 基线检查项类别随着基线类型的不同而不同。 检查对象类型 类型指的是基线检查项检测对象的类型，分为容器、镜像和节点。 来源 基线检查项的来源。 检测通过率 该基线检测项在相应对象类型（容器或镜像或节点）中的检查通过率，通过用绿色线条表示，不通过用红色线条表示。 检查未通过 未通过该基线检测项的容器（或镜像、或节点）数量。 检查通过 通过该基线检测项的容器（或镜像、或节点）数量。 启用状态 是否启用该基线检查项。

操作场景 本服务现已对接天翼云云审计服务，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 审计日志转储：支持将审计日志周期性的转储至对象存储服务（ZOS）下的ZOS桶。 使用限制 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。若您使用云审计提供的转储功能，需要开通对象存储服务并支付产生的费用，该费用以对象存储产品的计费为准，参考计费说明对象存储。 用户通过云审计能查询到多久前的操作事件：7天。 用户操作后多久可以通过云审计查询到数据：5分钟。 其它限制请参考使用限制云审计。 关键操作列表 事件名称 从主机组移除主机(批量) 给日志资源创建或更新标签 为指定的资源解绑标签 为指定日志单元创建索引 编辑ZOS对象存储导入任务 删除导入任务 删除采集规则 定时SQL任务关闭 创建定时SQL任务 启用告警规则 删除仪表盘订阅 更新加工任务 重命名项目 创建过滤器 重命名仪表盘 日志单元更新 创建采集规则 创建模拟接入任务 更新告警规则 更新消费组 启动加工任务 日志告警规则另存为模板 停止kafka投递任务 仪表盘订阅启用 为日志资源绑定标签 修改采集规则 定时SQL运行实例 重试 专属日志单元取消关联日志服务 删除重建索引任务 投递任务停止 创建主机组 创建分布式消费服务Kafka导入任务 停用采集规则 批量停止告警规则 删除主机组 创建关注 启动模拟接入任务 删除终端节点 更新日志单元索引 将日志采集规则应用于目标主机组 更新某个指定日志项目的描述信息 删除过滤器 更新采集规则 更新Processors 新增消费组关联日志单元 加工任务启动 自动生成行首正则 创建或者修改数据加工任务 删除数据导入任务 给日志资源创建或更新标签 删除检索历史记录 删除模拟接入任务 批量启动告警规则 更新仪表盘描述 匹配的容器信息预览 停用告警规则 停用采集规则 批量删除接口 导入数据预览 修改仪表盘订阅 重命名快速查询 批量停用接口 删除仪表盘订阅 升级agent 删除加工任务 取消关注 主机组解绑采集规则 删除下载任务 创建ZOS对象存储导入任务 删除消费组关联日志单元 删除仪表盘 修改过滤器 更新日志单元配置 删除采集规则 删除日志单元 删除主机组 停用重建索引任务 更新定时SQL任务 创建产品委托授权 从指定主机组中移除主机 创建项目 卸载agent 修改项目标签 创建下载任务 重新生成下载任务 加工任务重新执行 删除目标日志项目 编辑主机组基础信息(名称、备注) 删除消费组关联日志单元 创建一个快速查询 创建仪表盘 加工任务删除 删除消费组 更新主机组描述 更新主机组 停止加工任务 创建主机组 创建或者更新数据投递任务 创建仪表盘订阅 创建vpce 新增消费组关联日志单元 重命名告警规则 创建快速查询 更新主机组 全量容器信息预览 加工任务重新执行 添加主机到主机组 删除kafka投递任务 批量删除告警规则 删除项目 删除日志单元 删除告警规则 创建/更新日志单元索引字段 修改仪表盘 删除主机组 更新告警规则 更新日志单元描述 批量启动接口 停止模拟接入任务 创建日志项目 添加主机到指定主机组 修改仪表盘 编辑日志单元 创建对象存储投递任务 编辑分布式消费服务Kafka导入任务 创建仪表盘 创建下载任务 创建告警规则 更新模拟接入任务 更新日志告警规则模板 创建专属日志单元 删除定时SQL任务 更新检索条件 启动kafka投递任务 删除日志告警规则模板 创建日志单元 删除快速查询 安装插件 更新消费组 新增主机到主机组 创建采集规则 更新对象存储投递任务 编辑项目 启用采集规则 从目标主机组中移除关联的日志采集规则 采集配置解除关联主机组 采集规则启停 更新日志单元存储时长 更新数据导入任务 投递任务启动 停止对象存储投递任务 更新一个快速查询 删除一个快速查询 更新触发条件 删除仪表盘模板 定时SQL任务启动 创建产品委托授权 划词生成正则 更新检查频率 重命名日志单元 创建加工任务 创建消费组 删除对象存储投递任务 启动对象存储投递任务 开启或者关闭服务日志 删除仪表盘 更新项目描述 创建Ingress仪表盘 更新通知策略 创建消费组 创建日志投递Kafka任务 更新仪表盘订阅名称 新建数据导入任务 创建重建索引任务 投递任务删除 创建告警规则 启用采集规则 删除下载任务 移除主机组中主机 新增仪表盘模板 主机组绑定采集规则 创建日志单元 创建主机组