在协同使用资源的场景下，如果您需要根据实际的职责权限情况配置用户使用权限，可使用统一身份认证（Identity and Access Management，简称IAM）服务，创建多个IAM用户并为其授予不同的权限，实现不同IAM子用户可以分权管理不同的资源，从而提高管理效率，降低信息泄露风险。通过IAM可实现精细化权限管理、安全访问、批量管理用户权限、委托其他帐号管理资源等功能。您可以创建并为IAM用户或用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 IAM是天翼云提供的免费基础服务，您只需为购买资源进行付费。 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，限制不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素“Action”“Effect”等。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略: 系统策略：预置的系统策略，您只能使用不能修改。云服务器ECS相关的系统策略包含如下： Admin：弹性伸缩服务的管理者权限，包含弹性伸缩所有控制权限（不含订单类权限）。 Viewer:弹性伸缩服务的观察者权限，包含弹性伸缩服务的列表页与详情页面权限。 自定义策略：您按需自行创建和维护的权限策略。

CCE权限管理是在统一身份认证服务（IAM）与Kubernetes的角色访问控制（RBAC）的能力基础上，打造的细粒度权限管理功能，支持基于统一身份认证（IAM）的细粒度权限控制和IAM Token认证，支持集群级别、命名空间级别的权限控制，帮助用户便捷灵活的对租户下的IAM用户、用户组设定不同的操作权限。 如果您需要对已购买的CCE集群及相关资源进行精细的权限管理，例如限制不同部门的员工拥有部门内资源的细粒度权限，您可以使用CCE权限管理提供的增强能力进行多维度的权限管理。 本章节将介绍CCE权限管理机制及其涉及到的基本概念。如果当前帐号已经能满足您的要求，您可以跳过本章节，不影响您使用CCE服务的其它功能。 CCE支持的权限管理能力 CCE的权限管理包括“集群权限”和“命名空间权限”两种能力，能够从集群和命名空间层面对用户组或用户进行细粒度授权，具体解释如下： 集群权限：是基于IAM系统策略的授权，可以通过用户组功能实现IAM用户的授权。用户组是用户的集合，通过集群权限设置可以让某些用户组操作集群（如创建/删除集群、节点、节点池、模板、插件等），而让某些用户组仅能查看集群。 集群权限涉及CCE非Kubernetes API，支持IAM细粒度策略、企业项目管理相关能力。 命名空间权限：是基于Kubernetes RBAC能力的授权，通过权限设置可以让不同的用户或用户组拥有操作不同Kubernetes资源的权限。同时CCE基于开源能力进行了增强，可以支持基于IAM用户或用户组粒度进行RBAC授权、IAM token直接访问API进行RBAC认证鉴权。 命名空间权限涉及CCE Kubernetes API，基于Kubernetes RBAC能力进行增强，支持对接IAM用户/用户组进行授权和认证鉴权，但与IAM细粒度策略独立。 注意：“集群权限”仅针对与集群相关的资源（如创建/删除集群、节点、节点池、模板、插件等）有效，您必须确保同时配置了“命名空间权限”，才能有操作Kubernetes资源（如工作负载、Service等）的权限。 统一身份认证服务（IAM） 统一身份认证（Identity and Access Management，简称IAM）是提供权限管理的基础服务，可以帮助您安全地控制服务和资源的访问权限。 IAM的优势：对资源可进行精细访问控制 您注册后，系统自动创建帐号，帐号是资源的归属以及使用计费的主体，对其所拥有的资源具有完全控制权限，可以访问所有的云服务。 如果您在购买了多种资源，例如弹性云主机、云硬盘、裸金属服务器等，您的团队或应用程序需要使用您在中的资源，您可以使用IAM的用户管理功能，给员工或应用程序创建IAM用户，并授予IAM用户刚好能完成工作所需的权限，新创建的IAM用户可以使用自己单独的用户名和密码登录。IAM用户的作用是多用户协同操作同一帐号时，避免分享帐号的密码。 Kubernetes的角色访问控制（RBAC） Kubernetes基于角色的访问控制（RoleBased Access Control，即”RBAC”）使用”rbac.authorization.k8s.io” API Group实现授权决策，允许管理员通过Kubernetes API动态配置策略。详情请参见命名空间权限。

本文介绍媒体存储如何保证我的数据不会被盗用。 在存储桶和文件是私有权限的前提下，只有桶或对象的拥有者才能访问，访问时需要提供访问密钥（AK/SK），即使用（AK/SK）加密的方法来验证某个请求发送者身份，并可通过用户控制台进行对密钥的管理。 另外还有ACL、桶策略、防盗链等多种访问控制机制保证数据的访问安全，所以不用担心您存储在媒体存储的数据会被盗用。 关于管理密钥可参考：密钥管理。 关于访问安全ACL、桶策略可参考：访问权限。 关于设置防盗链可参考：防盗链。

本文介绍了文档数据库服务与自建数据库服务的对比优势。 文档数据库服务与自建数据库对比，具有轻松易用、弹性扩容、丰富的运维监控等特征，同时在可用性、可靠性、安全性等方面也具有明显优势。 对比项 文档数据库服务 自建数据库 服务可用性 服务周期内服务可用率不低于99.95%。 需自行保障，需自行搭建主从复制，自行实现高可用能力。 数据可靠性 高可靠性。 底层多备份存储。 需自行保障数据的可靠性。 数据安全性 DDOS防护。 VPC私有网络访问。 VPC隔离数据库服务。 SSL安全链路访问。 需自行实现各类数据安全性功能，如购买安全防护软硬件。 一键开通 一键部署，分钟级开通文档数据库服务实例。 需购买主机等硬件，自行托管、搭建数据库服务，时间周期长，不可控。 弹性扩容 一键扩容，根据业务需求，分钟级完成规格、存储的弹性扩容。 需购买与原有实例同属性硬件等资源，自行维护数据库节点关系。 备份恢复 自动备份，支持自行配置自动备份策略。 手动备份，支持随时一键热备，不影响业务正常运行。 支持恢复到本实例及其它同属性实例。 需自行管理备份、自行维护备份数据集。 监控告警 支持数据库实例的主机、数据库服务、日志等多类监控指标。 支持自定义设置告警策略。 自行部署监控服务，自行实现告警服务。

功能 描述 内网连接 可通过点击内网快速进行上下线，上线则内网连接中，下线则断开内网连接。 企业门户 应用配置时可以选择是否上架为企业门户，若上架则该应用显示在企业门户中。 权限申请 若无应用资源权限，可在客户端进行权限申请。 待办工单 基于权限申请等情况，需要进行权限申请工单审核、办结处理，可通过待办工单查看待处理任务，进行相关处理。 我的应用 显示有权限的应用列表。 我的设备 显示账号登录的设备情况。 问题反馈 可反馈相关问题给管理员。 帮助文档 可自定义帮助文档地址。 诊断修复 可诊断是否存在网络、应用文档。 数据库管理工具 提供数据库管理工具，用于快捷办公。 病毒查杀 用于终端病毒查杀能力。 合规检测 对于用户设备环境进行检测，判断是否符合企业合规安全基线。 RBI安全访问 开启RBI远程浏览器隔离（云端浏览器）功能则会显示对应入口，通过该入口可查看开启该能力的系统。

本页介绍天翼云TeleDB数据库的用户管理。 注意 用户管理模块只有DMS超级管理员才能进入，显示该组织下所有用户信息，支持编辑用户、删除用户。 1. 编辑用户 1. 选择安全中心 > 用户管理 ，进入用户列表界面。 2. 在用户信息列表右侧单击编辑 ，进入用户编辑 界面。 3. 在编辑界面可修改用户的用户名，所属团队信息。 2. 删除用户 1. 选择安全中心 > 用户管理 ，进入用户列表界面。 2. 在用户信息列表右侧单击删除 ，确认信息无误后，单击确定 即可将该用户从组织内移除。

本节主要介绍网络ACL的组成、功能特性、应用场景和使用限制。 网络ACL作为对子网可选的安全防护功能，基于网络ACL的规则对子网的出入方向数据流进行控制，实现子网粒度流量的精细化访问控制管理。网络ACL按需创建，其具有VPC属性，网络ACL只可关联其所属VPC下的子网，且每个子网只可关联一个网络ACL。通常可以将具有相同访问控制的多个子网关联到一个网络ACL。 网络ACL可以结合安全组一起使用实现对子网下的虚拟机的双重防护。 网络ACL的访问控制通过ACL规则实现，可以在网络ACL中按需添加ACL规则实现访问控制。 功能特性 网络ACL未配置策略规则时，出入方向均默认为允许，若需拒绝则需要添加对应的拒绝策略规则。 网络ACL是无状态的，即设置入方向规则的允许请求后，需要同时设置相应的出方向规则，否则可能会导致请求无法响应。 子网可以按需关联到网络ACL，一个子网只能关联一个网络ACL，具有相同访问控制属性的多个子网可以关联到一个网络ACL。 默认放通同一子网内的流量。 网络ACL策略规则的优先级高于安全组的策略规则。 注意 网络ACL已从原来的有状态变更为无状态，对新关联的子网生效。建议出入方向配置相同的策略，同时允许或拒绝。 应用场景 对子网的出入流量做访问控制，可以通过网络ACL实现。

本文主要介绍 手动配置Agent（Windows，可选） 操作场景 用户成功安装Agent插件后，推荐您采用“修复插件配置”方式配置Agent。如果“修复插件配置”不成功或其他原因导致无法配置Agent，你可以采用本章节提供的手工方式配置Agent。 约束与限制 Windows类型BMS暂不支持安装Agent。 前提条件 已成功安装Agent插件。 操作步骤 1. 登录ECS。 2. 打开telescopewindowsamd64bin文件夹下的conf.json文件。 3. 配置如下参数，参数说明请参见下表。 plaintext { "InstanceId":"", "ProjectId": "", "AccessKey": "", "SecretKey": "", "RegionId": "cnhz1", "ClientPort": 0, "PortNum": 200 } 表 公共配置参数 参数 说明 InstanceId ECS ID，可通过登录管理控制台，在弹性云主机ECS列表中查看。 说明 InstanceId可不用配置，保持"InstanceId":"",即可，若需要配置，需要遵循如下两条原则： l 该资源ID需保证全局唯一性，即同一个RegionID下Agent使用的InstanceId不能相同，否则系统可能会出现异常。 l InstanceId必须与实际的ECS或BMS资源ID一致，否则云监控服务界面将看不到对应ECS或BMS资源操作系统监控的数据。 ProjectId ProjectId可不用配置，保持"ProjectId": "",即可。若需要配置，请参考已下获取方式。 项目ID，获取方式如下： 登录管理控制台，单击右上角“用户名”，选择“我的凭证”； 在项目列表中，查看ECS或BMS资源对应的所属区域的项目ID。 AccessKey/SecretKey 访问密钥，获取方式如下： 登录管理控制台，单击右上角“用户名”，选择“我的凭证 > 管理访问密钥”； l 如已有访问密钥，查看创建时下载保存的credentials.csv文件中，获取文件中记录的Key值即可； l 如未创建，则通过“新增访问密钥”可创建新的访问密钥，妥善保存credentials.csv文件，并获取文件中记录的Key值。 须知 l 为了安全考虑，建议该用户为IAM用户，并且权限仅为CES Administrator和LTS Administrator 。 l 配置的AccessKey必须在“我的凭证 > 管理访问密钥”列表中，否则将鉴权失败，云监控服务界面看不到操作系统监控数据。 RegionId 区域ID，例如：ECS或BMS资源所属区域为“杭州”，则RegionID为“cnhz1”。 ClientPort Agent占用的起始端口号。 说明 默认为0，表示随机占用。11023为系统保留端口，建议不要配置。 PortNum Agent占用的范围的个数。 说明 默认为200，若ClientPort配置5000，则表示在50005199端口中随机占用。 4. 等待几分钟后，当插件状态为“运行中”并且监控状态开启时，说明Agent已安装成功并开始采集细粒度监控指标。

威胁情报类型关联布局 说明 系统内置威胁情报类型已默认关联已有布局，暂不支持自定义关联布局。 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 运营对象”，进入运营对象的数据类页面后，选择“类型管理”页签，进入类型管理页面。 5. 在类型管理页面，选择“威胁情报”页签，进入威胁情报类型管理页面。 6. 在威胁情报类型管理页面中，选择需要关联布局的类型，并单击目标类型所在行“操作”列的“关联布局”，页面弹出绑定布局编辑框。 7. 在绑定布局编辑框中，选择需要关联的布局。 8. 单击“确认”。 编辑已有威胁情报类型 说明 暂不支持编辑系统内置威胁情报类型。 自定义威胁情报类型新增成功后，不支持修改类型名称。 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 运营对象”，进入运营对象的数据类页面后，选择“类型管理”页签，进入类型管理页面。 5. 在类型管理页面，选择“威胁情报”页签，进入威胁情报类型管理页面。 6. 在威胁情报类型管理页面中，选择需要编辑的类型，并单击目标类型所在行“操作”列的“编辑”，右侧弹出编辑页面。 7. 在编辑页面中，编辑对应类型的参数信息。 参数名称 参数说明 类型名称 自定义威胁情报的名称。 类型标识 威胁情报标识，不支持修改。 启动状态 设置威胁情报的启动状态。 ：表示启用。 ：表示禁用。 失效时间 设置威胁情报的失效时间。 永不失效：表示当前情报类型永不失效。 时间间隔：设置情报失效的间隔时间。 描述 自定义威胁情报的描述信息。 8. 在页面右下角单击“确认”。

本文主要介绍了账号注销的注意事项和操作流程。 用户可在“账号中心安全设置”页面，“注销账号”下进行账号注销，注销账号流程主要包括关闭账号 和注销账号。 注意事项 1、用户申请关闭账号后，需要进行账号检查，检查通过后确认关闭，账号将进入48小时关闭期，此时无法自助终止注销进程、恢复账号功能。 2、关闭期满后，账号进入90天保留期。保留期内，用户可以通过点击“恢复账号”按钮自助终止注销进程、恢复账号功能；保留期结束之后，账号将被自动注销，无法再重新打开已关闭的账号。 3、账号进入关闭期、保留期， 用户可进行登录天翼云网门户、查看账号信息和历史费用信息等常规操作，不可进行充值、订购、提现、下单、实名认证和变更等业务操作。 4、若用户不再使用天翼云账号，在账号进入保留期后，可以手动选择立即注销账号，账号注销后，用户将无法再使用该账号登录天翼云，且账号中的数据将会被彻底删除，请谨慎操作。 5、同一证件最多可以认证5个天翼云账号，含已注销3个月内的账号，请谨慎操作账号注销。 关闭账号 1、登录天翼云账号中心。 2、在账号中心点击“安全设置”，在安全设置选择下方”注销账号“，点击“关闭账号”，进入关闭账号流程。 “关闭账号”按钮置灰了，无法注销？请检查如下情况： a.账号关联了代理商：如果您的账号关联了代理商/合作伙伴，请联系代理商/合作伙伴解绑后再尝试注销账号。 b.账号为代理商账号：请联系客户经理退出代理商后再尝试注销账号。 c.如果不是上述情况，请联系客户经理协助注销账号。 3、详细阅读关闭账号的条款，阅读并勾选《天翼云账号注销条款》，以及选择关闭账号的原因。 4、进入“账号检查”页面，系统将自动对该账号进行账号检查、财务检查以及订单与资源检查，并在页面显示检查结果。 说明 若客户已进行过账号检查且账号未关闭，则可在“安全设置”页面单击“查看上次检查结果”，系统则显示上次账号检查结果。 5、根据检查结果进行相应操作 检查不通过：可根据页面提示，对未通过项进行处理，完成后可重新检查。 检查通过：点击“确认关闭”，进行身份验证，验证通过后账号进入48小时关闭期，当关闭期结束，账号将进入90天保留期。 说明 关闭账号后，需要继续使用该账号，可在账号进入保留期后返回“安全设置”页面，单击“恢复账号”，即可重新使用该账号。

步骤顺序 操作说明 步骤一：添加资产 添加系统需要审计的数据库，详情请参见 步骤二：安装Agent 安装Agent进行数据库审计，详情请参见 步骤三：配置规则 配置数据库的安全规则和过滤规则，详情请参见 步骤四：订阅报表的设置告警通知 便于管理员及时了解数据库的运行状态及安全告警信息，详情请参见

本文为您介绍什么是终端节点服务,并带您了解如何创建和管理终端节点服务。 终端节点服务是指将云服务或用户私有服务配置为VPC终端节点支持的服务。通过专属网关，终端节点服务可以方便地提供给其他VPC中的资源使用，实现跨VPC的访问，确保服务端VPC内部的网络信息不被暴露，使访问更加安全可靠。当前支持“接口”类型终端节点服务。 用户可通过创建“接口”类型终端节点服务，实现在指定的白名单用户间服务私有共享。终端节点服务允许用户快速将其服务发布到内部网络，并通过白名单授权管理来确保安全性，并灵活地管理可访问的用户。 支持的终端节点服务 服务名称 服务类别 说明 （ 支持的地域信息以控制台展现为准 ） 对象存储服务ZOS 云服务 由系统配置为终端节点服务，实现通过终端节点访问ZOS内网地址。（当前支持地域为华东华东1） 内网DNS 云服务 内网DNS:由系统配置为终端节点服务，实现通过终端节点访问内网DNS。（当前支持地域为湖南长沙37） 弹性云主机 用户私有服务 支持将用户私有服务创建为终端节点服务，作为服务器使用。 弹性负载均衡（内网） 用户私有服务 支持将用户私有服务创建为终端节点服务，适用于高访问量业务和对可靠性和容灾性要求较高的业务。 虚拟IP 用户私有服务 支持将用户私有服务创建为终端节点服务，适用于需要主备高可靠的业务。 物理机 用户私有服务 支持将用户私有服务创建为终端节点服务，作为服务器使用。

应急响应服务接入流程，含购买、准备、应急响应、验收等阶段。 服务阶段 实施任务 实施内容 交付物 购买阶段 购买应急响应服务 按照购买指引，选择自身需要的服务内容及配置，并完成购买支付 购买阶段 发起应急响应服务需求 发起应急响应服务需求，详细操作请参见获取应急响应服务序列号 准备阶段 确定评估范围、小组成员、准备《保密协议、授权书》、漏扫等工具 确定安全评估范围，项目小组成员，准备《保密协议、授权书》、漏扫等工具 《保密协议、授权书》 《服务确认及风险告知书》 应急响应阶段 信息收集 对网络现状进行资产评估，核查现有的资产信息情况 《应急响应报告》 应急响应阶段 攻击路径还原 根据用户提供的信息对服务器日志、攻击者痕迹、安全设备日志及流量的分析，还原攻击者的攻击路径，理清安全事件的真实原因 《应急响应报告》 应急响应阶段 问题文件清理 对用户服务器中可能隐藏的蠕虫病毒、后门程序、Rootkit 等恶意软件提供清理方案，通过上机排查，使用工具和手工对服务器后门进行清除 《应急响应报告》 应急响应阶段 安全漏洞复检 基于网络安全事件应急响应资产问题，服务团队提供相应的安全加固建议，在用户对资产完成加固后提供漏洞复检工作，以确认资产漏洞完全修复，避免再次出现相同的安全事件 《应急响应报告》 应急响应阶段 编制报告 编制应急响应报告 《应急响应报告》 验收阶段 工作总结会议 组织双方人员进行总结汇报 《验收材料汇编》 验收阶段 验收 提交相关技术文档 《验收材料汇编》

云网紧密融合 充分体现中国电信云网融合的综合资源差异化优势，形成面向客户的一点上云、云间互联的新型服务形态。 高扩展性 新增节点云主机或VPC接入，以补点方式入网，即可实现对该客户全部站点的互通，可降低客户的组网成本。 高安全性 承载云间高速业务的主体DCI网络与资源池接入网络（如CN2、ChinaNet等）物理分离。 云间高速的客户业务承载，通过虚通道隔离客户数据，降低受公众网络、以及其他客户网络攻击的风险。

天翼云关系数据库MySQL版提供两种通过内网连接MySQL实例的方式，即使用普通连接和SSL连接方式通过MySQL客户端连接实例。其中，SSL连接实现了数据加密功能，具有更高的安全性。本文为您介绍如何通过公网连接关系数据库MySQL版实例。 前提条件 已为目标实例绑定弹性公网IP。 已获取本地设备的IP地址，并将本设备的IP地址添加进实例白名单。 已设置安全组规则。 使用ping命令连通目标实例中绑定的弹性公网IP地址，确保本地设备可以访问该弹性公网IP地址。 使用客户端连接实例。 普通连接 用户可在本地使用相关工具直接连接数据库实例。执行如下命令连接MySQL实例。 plaintext mysql h P u p 参数说明如下： 参数 说明 主机IP，即关系数据库MySQL版实例实例管理 页面下，该集群对应的实例列表中，主机的连接地址。 数据库端口，为实例基本信息 页面中的数据库端口 。 用户名，即MySQL数据库帐号（默认管理员帐号为root）。 密码，即数据库帐号对应的密码，为创建数据库实例时指定的密码。 示例： plaintext mysql h 172.16.X.X P 8635 u root –p '' SSL连接 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 在网络 区域的SSL状态处，下载根证书或捆绑包 5. 将根证书导入弹性云主机Linux操作系统。 (1) 关系数据库MySQL版服务在2017年4月提供了20年有效期的新根证书，该证书在实例重启后生效。请在原有根证书到期前及时更换正规机构颁发的证书，提高系统安全性。 (2) 关系数据库MySQL版服务还提供根证书捆绑包下载，其中包含2017年4月之后的新根证书和原有根证书。 6. 连接关系数据库MySQL版实例。 以Linux系统为例，执行如下命令。 plaintext mysql h P u p sslca 参数说明： 参数 说明 目标实例的弹性公网IP。 目标实例的数据库端口。 用户名，即关系数据库MySQL版帐号（默认管理员帐号为root）。 相应的SSL证书文件名，该文件需放在执行该命令的路径下。 使用root用户SSL连接数据库MySQL实例，示例如下： plaintext mysql h 172.16.X.X P 13049 u root p sslcaca.pem 出现如下提示时，输入数据库帐号对应的密码： plaintext Enter password: 说明 若连接失败，请确保各项前提条件正确配置后，重新尝试连接。

本文介绍边缘接入服务IP应用加速配置模块的相应功能。 功能介绍 在IP应用加速配置模块，您可以进行域名/实例的新增、查看、编辑及其相应域名状态查询。 新增接入 登录边缘安全加速控制台，进入【边缘接入】控制台，选择【域名】【IP应用加速配置】，这个页面您可以查看已添加的域名/实例的基础信息、回源配置、访问控制、传递用户IP回源等信息。基础信息包括加速域名、实例名称、CNAME、加速区域、产品类型、创建时间等信息。点击左上角【新增接入】。 选择接入方式，填写加速域名/实例名称，选择加速区域（中国内地、全球（不含中国内地）、全球），是否启用IPv6。 域名接入方式： 无域名接入方式： 根据您的需要，配置您加速域名的【回源配置】、【访问控制】、【传递用户IP回源】等相关功能。 完成加速配置后，点击右下角的下一步，进入安全防护配置页面，按需开启DDoS防护后提交。 完成新增接入操作后，可通过【域名】【IP应用加速接入】 查看该域名/实例所处状态。 域名/实例配置完成，生成CNAME，状态变更为【已启用】，即可以在【IP应用加速接入】首页列表中，查看对应域名的详情，进行停用/启用/删除等操作，也可以开启IPv6解析开关，修改加速配置或安全防护配置等。 域名/实例新增过程中涉及的主要配置项说明如下：

本节介绍如何查看扫描任务和下载任务。 任务中心页面提供统一的任务管理窗口，包括扫描任务队列和下载任务管理，在该页面可以查看各项任务的扫描状态或下载生成状态，并且在下载任务管理页面可将报表下载到本地。 查看扫描任务 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“任务中心”，进入任务中心页面。 3. 在“扫描任务队列”页面，可以查看镜像扫描任务、IaC安全扫描任务、安全合规扫描任务、弱口令检测扫描任务。 4. 扫描完成后，单击操作列的“生成扫描结果”，开始生成对应的报表任务。可在“下载任务管理”页签，查看任务状态并下载报表。 相关操作：单击任务操作列的“删除”，可以删除扫描任务。 查看并下载报表 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“任务中心”，进入任务中心页面。 3. 选择“下载任务管理”页签，可以查看下载任务状态。 4. 当任务状态为“生成完成”时，单击任务操作列的“下载”，可以下载已生成的报表。 相关操作：单击任务操作列的“删除”，可以删除下载任务。

本文主要讲述修改实例信息。 创建Kafka实例成功后，您可以根据自己的业务情况对Kafka实例的部分参数进行调整，包括实例名称、描述、安全组和容量阈值策略等。 操作步骤 步骤 1 登录管理控制台。 步骤 2 在管理控制台右上角单击，选择区域。 说明 请选择Kafka实例所在的区域。 步骤 3 在管理控制台左上角单击，选择“企业中间件”“分布式消息服务”“Kafka专享版”，进入分布式消息服务Kafka专享版页面。 步骤 4 单击Kafka实例的名称，进入实例详情页面。 步骤 5 以下参数支持修改。 实例名称 企业项目（修改企业项目，不会重启实例） 描述 安全组 公网访问（公网访问的修改方法，请参考设置实例公网访问。） 容量阈值策略（修改容量阈值策略，不会重启实例。） Kafka自动创建Topic（修改Kafka自动创建Topic，会导致Kafka重启） 跨VPC访问（跨VPC访问的操作步骤，请参考使用DNAT访问Kafka实例。） 参数修改完成后，通过以下方式查看修改结果。 修改“容量阈值策略”、“公网访问”和“Kafka自动创建Topic”后，系统跳转到“后台任务管理”页签，并显示当前任务的操作进度和结果。 修改“实例名称”、“描述”、“企业项目”、“跨VPC访问”和“安全组”后，右上角直接提示修改结果。

参数 说明 主机名称 自定义的主机资源名称，系统内“主机名称”不能重复。 协议类型 选择主机的协议类型。 专业版支持协议类型有SSH、RDP、VNC、TELNET、FTP、SFTP、DB2、MySQL、SQL Server、Oracle、SCP、Rlogin。 标准版支持协议类型有SSH、RDP、VNC、TELNET、FTP、SFTP、SCP、Rlogin。 主机地址 输入主机与云堡垒机网络通畅的IP地址 ，选择主机的EIP地址或私有IP地址，建议优先选择可用私有IP地址。 主机的EIP为独立的公网IP，对外访问的端口受网络安全限制，可能导致从云堡垒机无法跳转登录到主机。 端口 输入主机的端口号。 系统类型 （可选）选择主机的操作系统类型或者设备系统类型。 默认支持14种系统类型，包括Linux、Windows、Cisco、Huawei、H3C、DPtech、Ruijie、Sugon、Sugon、Digital China smsg 10600、Digital China smdd 10600、ZTE、ZTE595052tm、Surfilter、ChangAn。 终端速度 Rlogin协议类型主机可选择不同终端速率。 编码 SSH、TELNET协议类型主机可选择运维界面中文编码。 可选择UTF8、Big5、GB18030。 终端类型 SSH、TELNET协议类型主机可选择运维终端类型。 可选择Linux、Xterm。 更多选项 （可选）选择配置“文件管理”、“剪切板”、“X11转发”。 文件管理：仅SSH、RDP、VNC协议类型主机可配置。 剪切板：仅RDP协议类型主机可配置。 X11转发：仅SSH协议类型主机可配置。 部门 选择主机所属部门。 标签 （可选）自定义标签或选择已有标签。 主机描述 （可选）对主机的简要描述。

此小节介绍数据库安全如何查看审计报表。 数据库安全审计默认提供一条“全审计规则”的审计范围，可以对成功连接数据库安全审计的所有数据库进行审计。添加的数据库连接到数据库安全审计实例后，您可以立即生成审计报表，并在线预览或下载审计报表。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 已成功添加数据库并开启审计功能。 已成功添加并安装Agent。 立即生成审计报表 1. 登录管理控制台。 2. 单击管理控制台上方的“服务列表”，选择“安全 > 数据库安全服务”，进入数据库安全防护实例列表界面。 3. 进入报表管理页面，操作步骤如下图所示。 4. 在需要生成报表的模板所在行的“操作”列，单击“立即生成报表”，如下图所示。 5. 在弹出的对话框中，单击，设置报表的开始时间和结束时间，选择生成报表的数据库，如下图所示。 6. 单击“确定”。 系统跳转到“报表结果”页面，您可以查看报表的生成进度。报表生成后，您可以预览或下载报表。 预览或下载审计报表 预览或下载审计报表前，请确认报表的“状态”为“100%”。 如果您需要在线预览报表，请使用Google Chrome或Mozilla FireFox浏览器。 1. 登录管理控制台。 2. 单击管理控制台上方的“服务列表”，选择“安全 > 数据库安全服务”，进入数据库安全防护实例列表界面。 3. 进入报表结果页面，操作步骤如下图所示。 4. 在需要预览或下载的报表所在行的“操作”列，单击“预览”或“下载”，如下图所示，在线预览报表结果，或下载并查看报表。 设置报表的执行任务 1. 登录管理控制台。 2. 单击管理控制台上方的“服务列表”，选择“安全 > 数据库安全服务”，进入数据库安全防护实例列表界面。 3. 进入报表管理页面，操作步骤如下图所示。 4. 在需要立即生成报表的模板所在行的“操作”列，单击“设置任务”，如下图所示。 5. 在弹出的对话框中，设置计划任务参数，如下图所示，相关参数说明如下表所示。 参数名称 说明 取值样例 启动任务 开启或关闭计划任务。 邮件通知 开启或关闭邮件通知。数据库安全审计默认开启邮件通知，当数据库生成报表时，数据库安全审计将发送通知邮件。 报表类型 选择生成的报表类型，可以选择：l 日报l 周报l 月报 日报 执行方式 选择报表执行的方式，可以选择：l 执行一次l 周期执行 执行一次 执行时间 选择报表执行的时间点。 18点 格式 当前支持PDF格式。 PDF 数据库 选择执行报表任务的数据库。 6. 单击“确定”。

剧本是处理一类安全问题的方法描述，是态势感知（专业版）在安全编排系统中的形式化表述。 态势感知（专业版）默认提供了“告警指标提取”、“主机告警状态同步”、“重复告警自动关闭”等剧本，且剧本的初始版本（V1）也已激活，只需要启用就可以进行使用。 同时，如果需要对某个剧本进行编辑，可以复制初始版本进行处理。 场景一：系统默认激活剧本的初始版本（V1），仅开启剧本启用即可，参考启用剧本。 场景二：如果需要使用某个未启用剧本，支持对剧本版本进行修改后再启用，启用自定义剧本版本操作步骤如下： 1. 复制剧本版本 2. 编辑并提交剧本版本 3. 审核剧本版本 4. 启用剧本 前提条件 已启用剧本绑定的流程，具体操作请参见启用流程。 在启用剧本前需要确保已激活剧本版本，具体操作请参见激活/失活剧本版本。

本节介绍如何导出组件漏洞报表。 操作步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“集群安全 > 组件漏洞”，进入组件漏洞页面。 3. 单击组件漏洞列表右上角的“导出”按钮，可生成当前集群组件漏洞报表。 4. 到“任务中心 > 下载任务管理”中查看任务状态，当任务状态为“生成完成”时，单击任务操作列的“下载”，可以下载已生成的报表至本地。

本文主要介绍PodSecurityPolicy配置。 Pod安全策略（Pod Security Policy） 是集群级别的资源，它能够控制Pod规约中与安全性相关的各个方面。 PodSecurityPolicy对象定义了一组Pod运行时必须遵循的条件及相关字段的默认值，只有Pod满足这些条件才会被系统接受。 v1.17.17版本的集群默认启用Pod安全策略准入控制组件，并创建名为pspglobal的全局默认安全策略，您可根据自身业务需要修改全局策略（请勿直接删除默认策略），也可新建自己的Pod安全策略并绑定RBAC配置。 说明 除全局默认安全策略外，系统为kubesystem命名空间下的系统组件配置了独立的Pod安全策略，修改pspglobal配置不影响kubesystem下Pod创建。 在Kubernetes 1.25版本中， PodSecurityPolicy已被移除，并提供Pod安全性准入控制器（Pod Security Admission）作为PodSecurityPolicy的替代，详情请参见 修改全局默认Pod安全策略 修改全局默认Pod安全策略前，请确保已创建CCE集群，并且通过kubectl连接集群成功。 步骤 1 执行如下命令： kubectl edit psp pspglobal 步骤 2 修改所需的参数，请参考PodSecurityPolicy。 Pod安全策略开放非安全系统配置示例 节点池管理中可以为相应的节点池配置allowedunsafesysctls，CCE从1.17.17 集群版本开始，需要在pod安全策略的allowedUnsafeSysctls中增加相应的配置才能生效，详情请参见[PodSecurityPolicy](

本文介绍DRDS实例关联MySQL实例需要满足哪些前提条件。 DRDS仅支持关联MySQL实例，一个DRDS实例支持关联多个MySQL 实例， 一个MySQL实例支持被多个DRDS实例关联（但是不允许两个DRDS实例创建相同名字的schema），关联需要满足以下几个条件： MySQL实例必须和DRDS实例在同一个VPC，且两者的安全组需要确保DRDS与MySQL互通（建议是用同一个安全组，统一管理）。 MySQL实例必须处于正常运行状态。 关联MySQL到DRDS实例，必须填写有权限的账户及密码信息，至少提供的用户需要具备SELECT, INSERT, UPDATE, DELETE, CREATE, DROP, PROCESS, FILE, INDEX, ALTER, CREATE TEMPORARY TABLES, EXECUTE, CREATE VIEW, SHOW VIEW, CREATE ROUTINE, ALTER ROUTINE, EVENT , CREATE USER等权限。

本文介绍如何配置CNAME。 要启用CDN安全加速服务，需要您将加速域名的DNS解析指向我们提供的CNAME，这样访问加速域名的请求才能转发到CDN节点上，达到加速效果。 1.在控制台【域名管理】的域名列表中复制加速域名对应的CNAME； 图 复制CNAME页 2.前往您的域名解析(DNS)服务商(如阿里云解析（原万网）、腾讯云解析（原DNSPod）、新网等)，添加该CNAME记录。下面以您的域名在新网为例，其他域名解析服务商请联系对应厂商技术支持处理。 3.登录新网的域名解析控制台，进入对应域名的域名解析页； 4.选择【添加新的别名】； 图 添加别名页 【记录类型】选择为 CNAME； 【主机记录】即域名的前缀。例如，要添加 example.ctyun.cn1，前缀就是example ； 【记录值】填写为您复制的CNAME值； 解析线路和TTL 默认值即可。 5.确认填写信息无误后，单击【提交】； 6.验证CDN服务是否生效； 配置CNAME后，不同的服务商CNAME生效的时间也不同，一般新增的CNAME记录会立即生效，修改的CNAME记录会需要较长时间生效； 您可以 ping 或 dig 您所添加的加速域名，如果被指向.ctdns.cn，即表示CNAME配置已经生效，CDN功能也已生效。 图 检查域名指向页 注意: 1.配置CNAME完毕，CNAME配置生效后，安全加速服务生效 2.CNAME配置生效时间：新增CNAME记录会实时生效，而修改CNAME记录需要最多72小时生效时间； 3.添加时如遇添加冲突，可考虑换一个加速域名，或参考以下“解析记录互斥规则” 调整记录; 解析记录互斥规则： 在提示冲突的时候，说明已经有对应的记录，不允许重复添加或者说不能添加对应的记录，提供如下说明： 在RR值相同的情况下，同一条线路下，在几种不同类型的解析中不能共存( X 为不允许) 1.X：在相同的 RR 值情况下，同一条线路下，不同类型的解析记录不允许共存。如：已经设置了 www.ctyun.cn 的 A 记录，则不允许再设置 www.ctyun.cn 的 CNAME 记录； 2.无限制： 在相同的 RR 值情况下，同一条线路下，不同类型的解析记录可以共存。如：已经设置了 www.ctyun.cn 的 A 记录，则还可以再设置 www.ctyun.cn 的 MX 记录； 3.可重复： 指在同一类型下，同一条线路下，可设置相同的多条 RR 值。如：已经设置了 www.ctyun.cn 的 A 记录，还可以再设置 www.ctyun.cn 的 A 记录。

本节介绍登录天翼云电脑（政企版）控制台的操作指导。 操作场景 登录AI云电脑（政企版）控制台后，才能进行如下业务操作： 订购并管理资源包：管理员可先订购包括AI云电脑计算、存储和网络配额的资源包，然后再通过使用资源包为终端用户分配AI云电脑实例、配置数据盘及上网带宽。 创建并管理AI云电脑：可以通过资源包或单实例方式开通Windows系统、Linux系统的AI云电脑，可以查看和管理租户下所有AI云电脑的使用情况。 管理组织结构：在管理控制台上创建部门、角色、用户、子账号等，更好地维护管理台用户的组织架构。 管理网络：管理员可自主配置和管理虚拟网络环境。可配置虚拟私有云（VPC）、业务子网、网络安全组、上网带宽等。 管理策略：管理员可以通过配置策略，对用户终端与AI云电脑之间的数据传输和外设接入的权限进行控制。 通过产品详情页进入 1. 使用管理员帐号登录天翼云门户； 2. 前往天翼AI云电脑（政企版）产品详情页面； 3.在产品详情页面点击“管理控制台”进入即可。

什么是CSM安全策略 服务网格基于istio原生安全能力进行了场景化封装和扩展，提供了更容易理解的安全策略配置能力，降低理解和操作成本，提供了一站式的安全策略配置体验。当前支持的安全策略包括 策略 描述 OIDC单点登录策略 OIDC（OpenID Connect）是基于OAuth 2.0扩展的身份认证于授权协议，通常用于实现单点登录（SSO）。服务网格支持对接外部IDP（Identity Provider）实现单点登录能力。 JWT认证策略 JWT（JSON Web Token）是一种开放标准（RFC 7519），它通常用于身份验证和授权。服务网格支持配置JWT认证策略并应用到数据面上。 黑白名单策略 基于istio AuthorizationPolicy封装了IP、域名、端口维度的黑白名单访问控制能力。 自定义授权服务策略 该策略支持将请求转发到外部服务进行鉴权，实现灵活的访问策略控制。 如何使用CSM安全策略 使用CSM安全策略需要两个步骤， 1. 定义策略，具体参考策略的配置说明 2. 将安全策略应用到数据面，当前支持命名空间、服务、工作负载、网关粒度的策略绑定能力

本文介绍如何重启Pod。 通过重启Pod，可以将存在异常的Pod进行杀死，通过K8s机制再重新启动一个新的Pod。 操作步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“容器安全 > 实时检测”，进入容器实时检测页面。 3. 单击容器列表右侧操作列中的“重启Pod”。 4. 在弹出的提示框中单击“确认”。

本文介绍节点相关的操作，包括开启、关闭节点防护，删除节点等。 开启/关闭防护 注意 关闭防护的节点不支持扫描操作。 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“节点安全”。 3. 进入节点安全页面。 关闭防护：单击节点列表上方的“关闭防护”，或者在列表中单击“防护状态”图标，可以关闭当前节点的防护容器。 开启防护：单击节点列表上方的“开启防护”，或者在列表中单击“防护状态”图标，可以恢复当前被关闭的节点防护容器。 删除节点 单击节点列表上方的“删除”，或者在列表中单击操作列的“删除”，可以删除节点的防护容器。 注意 节点状态为“未连接”时，才可以删除。 批量操作 支持批量暂停、恢复或删除节点。 1. 先勾选节点列表中的“多选框”，支持多选。 2. 再对防护容器进行关闭防护、开启防护、删除操作。 开启debug日志 单击节点列表操作列中的“开启debug日志”，可将防御容器日志开启debug模式。 下载日志 单击节点列表操作列中的“下载日志”，可将防御容器日志以压缩包的形式下载到本地。

海光内存型hm3x 产品名称 包月标准价格（元/核/月） 按需标准价格（元/核/小时） vCPU 89 0.1854 产品名称 包月标准价格（元/G/月） 按需标准价格（元/G/小时） 内存 14 0.0292 海光内存型hm1 产品名称 包月标准价格（元/核/月） 按需标准价格（元/核/小时） vCPU 89 0.1854 产品名称 包月标准价格（元/G/月） 按需标准价格（元/G/小时） 内存 14 0.0292 海光安全增强计算型hc4t 产品名称 包月标准价格（元/核/月） 按需标准价格（元/核/小时） vCPU 97 0.2021 产品名称 包月标准价格（元/G/月） 按需标准价格（元/G/小时） 内存 14 0.0292 海光安全增强内存型hm4t 产品名称 包月标准价格（元/核/月） 按需标准价格（元/核/小时） vCPU 97 0.2021 产品名称 包月标准价格（元/G/月） 按需标准价格（元/G/小时） 内存 14 0.0292

数据库安全审计默认提供一条“全审计规则”的审计范围，可以对成功连接数据库安全审计的所有数据库进行审计。添加的数据库连接到数据库安全审计实例后，您可以查看报表模板信息和报表结果。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 已成功开启数据库安全审计功能。 已生成审计报表。 查看报表信息 1. 登录管理控制台。 2. 单击右上角的，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全防护实例列表界面。 4. 在左侧导航树中，选择“数据库安全审计 > 报表”，进入报表界面。 5. 在“选择实例”下拉列表框中，选择查看报表信息的实例。 6. 查看报表信息。 说明 在列表右上方输入报表名称，可以搜索指定的报表。 报表类型“实时报表”为系统自动生成，报表格式统一为PDF格式。 在需要删除的报表所在行的“操作”列，单击“删除”，在弹出的对话框中，单击“确定”，您可以删除该报表。删除报表后，如果查看该报表结果，需要重新手动生成报表。 查看报表模板信息 1. 登录管理控制台。 2. 单击右上角的，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全防护实例列表界面。 4. 在左侧导航树中，选择“数据库安全审计 > 报表”，进入报表界面。 5. 在“选择实例”下拉列表框中，选择需要查看报表模板的实例。 6. 选择“报表管理”页签。 7. 查看报表模板信息，如下所示。 说明 报表类型为系统自动生成，包括“合规报表”、“综合报表”、“数据库专项报表、“客户端专项报表”和“数据库操作专项报表”。 计划任务状态可手动设置开启或关闭，可设置为“每日”、“每周”或“每月”。 在需要变更模板的报表所在行的“操作”列，单击“设置任务”，可以修改报表的计划任务。单击“确定”生效后，单击“立即生成报表”，可在报表结果界面中查看报表结果。

本文主要介绍分布式消息服务RabbitMQ的入门指引。 本文将为您介绍分布式消息服务RabbitMQ入门的基本流程，主要包括控制台创建RabbitMQ实例、使用弹性云主机连接实例的操作，帮助您快速上手RabbitMQ。 操作流程 图1 RabbitMQ使用流程 环境准备 RabbitMQ实例运行于虚拟私有云中，在创建实例前需要确保有可用的虚拟私有云。 创建RabbitMQ实例 在创建实例时，您可以选择是否开启SSL访问，开启后，数据加密传输，安全性更高。同时，SSL开关只能在创建实例时设置，实例创建成功后，不支持修改。 连接实例 客户端连接实例，根据实例是否开启SSL开关，存在以下两种场景：不使用SSL证书连接和使用SSL证书连接。 配置必须的监控告警 配置RabbitMQ实例监控告警策略，监控实际业务运行状态。 说明 关于RabbitMQ的相关概念，请参考