本节主要介绍管理访问秘钥。 访问密钥（AK/SK，Access Key ID/Secret Access Key）包含访问密钥ID（AK）和秘密访问密钥（SK）两部分，是您在系统的长期身份凭证，您可以通过访问密钥对部分云服务API的请求进行签名。系统通过AK识别访问用户的身份，通过SK对请求数据进行签名验证，用于确保请求的机密性、完整性和请求者身份的正确性。 新增访问密钥 步骤 1 用户使用天翼云帐号或IAM子用户登录天翼云官网。 步骤 2 单击天翼云首页顶部右侧“控制中心”，资源池选择二类节点。 步骤 3 在控制中心首页顶部右侧，单击用户名，弹出下拉菜单，并在下拉列表中单击“我的凭证”。 步骤 4 在“我的凭证”页面，左侧功能栏单击“访问密钥”。 步骤 5 单击“新增访问密钥”，输入验证码。 说明 如果您绑定了邮箱或者手机，需要输入验证码，如果没有绑定邮箱或者手机，仅需要输入登录密码即可新增访问密钥。 步骤 6 单击“确定”，生成并下载访问密钥。 说明 最多可创建2个访问密钥，有效期为永久。为了账号安全性，建议您妥善保管并定期修改访问密钥，修改访问密钥的方法为删除旧访问密钥，然后重新生成。

本文为您介绍如何对已经开启的云搜索服务Elasticsearch实例进行备份。 天翼云云搜索服务支持使用对象存储保留实例在指定时间的快照信息 约束限制 备份管理功能上线前创建的实例无此功能。 实例快照会导致CPU、磁盘IO上升等影响，建议在业务低峰期进行操作。 实例异常时，不可创建快照，仅能查看已创建的快照，恢复时请确保目标实例状态正常。 手动快照和自动快照不可同时进行。 前提条件 1. 快照功能依赖天翼云对象存储服务（ZOS），请确保您已开通与云搜索服务实例同资源池的对象存储服务，并创建存储桶。存储快照会产生费用，具体收费请参见对象存储计费说明。 2. 已获取自身天翼云账号的AK/SK。通过“账号中心>安全设置>用户AccessKey”中查看您的AccessKey、SecurityKey信息。如果忘记SecurityKey请工单联系客服重置。 创建及关闭自动备份 1. 登录云搜索服务控制台，进入实例管理列表页，选择需要创建备份的实例，进入实例详情页。 2. 在备份管理页面，点击开关开启备份能力，根据页面提示输入您天翼云的AK/SK，如果验证通过，即可点击下一步进行备份功能开通。 3. 开通成功进入快照列表页面，点击“自动备份设置”，在弹出的弹层上选择快照目标存储的存储桶，设置备份周期和备份对象，并选择备份期望的保留时间，最长可以保留30天。 4. 选择备份对象是索引时，需要填写备份的索引名称，支持使用“”匹配多个索引，例如“index”表示备份名称前缀时index的所有索引数据。您可通过“索引管理”功能先行查看实例内的索引名称。 5. 如您需要修改自动快照的创建规则，再次点击“自动创建备份”按钮进行修改，修改后立即生效，按照新设定的规则生成、删除相应快照，已生成部分的存量快照清理时长按原规则执行。 6. 如您不再需要自动备份，则可在快照列表页点击关闭自动备份，并在弹出的确认弹窗中选择是否保留快照信息，如不保留，则系统会自动删除从本次开启至本次结束期间自动备份产生的所有快照信息，如果选择保留，则本次开启至本次结束期间的快照信息得以保留，再次开启时将不再由系统进行删除，您可根据需要，手动在控制台进行删除。 7. 关闭自动备份期间快照自动清理不会执行。

本文介绍天翼云CDN服务协议。 天翼云全站加速产品采用《天翼云CDN服务协议》，详情请参见：天翼云CDN服务协议。

本节介绍安全云应用的管理员指南。 服务开通 管理员可以在AI云电脑（政企版）控制台的扩展功能中选择“开通”安全安全云应用服务。 1.登录AI云电脑（政企版）控制台，进入菜单“协同套件”，打开安全云应用，点击“开通功能” 2.功能开通后，左侧菜单栏出现安全云应用子菜单。 注意 服务开通后还需要创建应用池、上架应用、关联用户后才可使用安全云应用。 创建应用池 1.进入“AI云电脑（政企版）”管理控制台； 2.展开“安全云应用”菜单栏，选择“应用池管理”，点击“创建应用池”，进入“新增应用池”页面； 3.版本类型选择“独享版”； 独享版：每个用户独占一个虚机，适用于对数据和外设隔离要求比较高的场景； 4.选择规格类型“基础版”、“标准版”或“旗舰版”； 基础版：2C4G，适用于简单办公、文档编辑、客户服务等场景； 标准版：4C8G，适用于视频娱乐，在线会议，OA办公等场景； 旗舰版：8C16G，适用于高效办公，开发设计，视频监控等场景； 5.选择开通数量； 注：独享版此处开通数量要不小于使用安全云应用的用户数。应用池创建后可在应用池管理中通过“新增桌面”增加数量。 6.选择AI云电脑的“镜像类型”； 注：只能选择安全云应用镜像，管理员可先使用安全云应用基础镜像开一台AI云电脑，安装所需的应用软件并对软件进行个性化设置后，基于此AI云电脑创建自定义镜像。操作方法可参考镜像管理。 7.选择“vpc”和“业务子网”； 注：所选的业务子网需要绑定带宽，安全应用才能连接网络。详情可参考管理上网带宽； 8.确认相关的配置信息，点击“确定”，即完成应用池创建。 费用扣减：目前安全云应用仅支持资源包方式订购，有基础版（2C4G）、标准版（4C8G）、旗舰版（8C16G）三种规格可选，根据虚机规格和开通数量扣减资源包。 容量设置：系统盘只能使用默认规格，暂不支持更改。

本文为您介绍如何对已经开启的云搜索服务OpenSearch实例进行备份。 天翼云云搜索服务支持使用对象存储保留实例在指定时间的快照信息 约束限制 备份管理功能上线前创建的实例无此功能。 实例快照会导致CPU、磁盘IO上升等影响，建议在业务低峰期进行操作。 实例异常时，不可创建快照，仅能查看已创建的快照，恢复时请确保目标实例状态正常。 手动快照和自动快照不可同时进行。 前提条件 1. 快照功能依赖天翼云对象存储服务（ZOS），请确保您已开通与云搜索服务实例同资源池的对象存储服务，并创建存储桶。存储快照会产生费用，具体收费请参见对象存储计费说明。 2. 已获取自身天翼云账号的AK/SK。通过“账号中心>安全设置>用户AccessKey”中查看您的AccessKey、SecurityKey信息。如果忘记SecurityKey请工单联系客服重置。 创建及关闭自动备份 1. 登录云搜索服务控制台，进入实例管理列表页，选择需要创建备份的实例，进入实例详情页。 2. 在备份管理页面，点击开关开启备份能力，根据页面提示输入您天翼云的AK/SK，如果验证通过，即可点击下一步进行备份功能开通。 3. 开通成功进入快照列表页面，点击“自动备份设置”，在弹出的弹层上选择快照目标存储的存储桶，设置备份周期和备份对象，并选择备份期望的保留时间，最长可以保留30天。 4. 选择备份对象是索引时，需要填写备份的索引名称，支持使用“”匹配多个索引，例如“index”表示备份名称前缀时index的所有索引数据。您可通过“索引管理”功能先行查看实例内的索引名称。 5. 如您需要修改自动快照的创建规则，再次点击“自动创建备份”按钮进行修改，修改后立即生效，按照新设定的规则生成、删除相应快照，已生成部分的存量快照清理时长按原规则执行。 6. 如您不再需要自动备份，则可在快照列表页点击关闭自动备份，并在弹出的确认弹窗中选择是否保留快照信息，如不保留，则系统会自动删除从本次开启至本次结束期间自动备份产生的所有快照信息，如果选择保留，则本次开启至本次结束期间的快照信息得以保留，再次开启时将不再由系统进行删除，您可根据需要，手动在控制台进行删除。 7. 关闭自动备份期间快照自动清理不会执行。

本文为知识库问答的产品简介。 什么是知识库问答 天翼云知识库问答产品通过智能化文档解析与多模态对话引擎，为政企办公场景提供高效知识管理解决方案。该方案深度整合客户业务数据，智能生成包含问答结果、参考片段及相关链接的综合性知识答案，显著提升信息获取效率与准确性。 核心能力 该产品具备两大核心能力： 一、智能文档解析体系 支持 docx/pdf/pptx/txt 等多种办公格式深度处理，独创 20+ 种智能切片策略，精准解析跨页表格、复杂 PPT 版式及影印文档内容，实现非结构化数据的结构化转换，解析准确率较传统方案有极大提升。 二、场景化对话引擎 多源知识引用：支持 PPT 单页精准定位、文档表格数据溯源及多格式附件调用。 动态检索策略：动态调整对话过程中的检索策略，实现多轮对话中的语义改写与上下文关联。 产品功能 知识库分层管理：支持自定义知识库与公共知识库的创建，用户可按需选择知识库进行回答。 多来源知识参考：支持本地知识库问答、联网问答、混合知识问答，多来源知识参考提升问答准确性。 RAG 对话系统：内置端到端的 RAG 链路，业务仅需在系统中上传文档，即可进行 RAG 问答。 应用场景 该产品可应用于政策咨询、业务培训、客户服务等场景，通过构建企业知识中枢，可降低跨部门沟通成本，提升工单处理效率。

身份认证 CTIAM 统一身份认证（Identity and Access Management， 简称：CTIAM）是提供给用户进行权限管理的基础服务，可以帮助您安全的控制天翼云服务和资源的访问及操作权限，包括：用户身份认证、权限分配、访问控制等功能。具体介绍请参考统一身份认证产品介绍。 您可以创建IAM用户，并为其设置关联分布式消息服务RocketMQ实例权限，该用户就可以通过用户名和密码访问授权的实例资源。具体请参见统一身份认证快速入门创建IAM用户。 访问控制 权限控制 购买分布式消息服务RocketMQ实例之后，您可以使用CTIAM为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，通过CTIAM进行精细的权限管理。 VPC和子网 虚拟私有云（Virtual Private Cloud，VPC）为分布式消息服务RocketMQ构建隔离、私密的虚拟网络环境，提升RocketMQ实例的安全性，并简化用户的网络部署。您可以完全掌控自己的专有网络，VPC丰富的功能帮助您灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。通过子网与其他网络隔离，独享网络资源，提高网络安全性。具体内容请参见虚拟私有云用户指南创建虚拟私有云和子网 。 安全组 安全组是一个逻辑上的分组，可以为同一个虚拟私有云内具有相同安全保护需求并相互信任的RocketMQ实例提供相同的访问策略。您可以通过为RocketMQ实例设置安全组，开通需访问RocketMQ实例的IP地址和端口，来保证保障其运行环境的安全性和稳定性。具体请参见修改实例安全组

本页面主要介绍弹性云主机对接的云审计服务使用和查看方法。 操作场景 本服务现已对接天翼云++云审计服务++，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 使用限制 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。 用户通过云审计能查询到多久前的操作事件：7天。 用户操作后多久可以通过云审计查询到数据：5分钟。 其它限制请参考++使用限制云审计++。 操作步骤 1. 开通云审计服务。 参见++开通云审计服务云审计++。 2. 查看云审计事件。 参见++查看审计事件云审计++。 3. 在事件列表中，选择事件来源为“计算”，资源类型选择“云主机”，上方时间选择需要筛选的时间段。点击查询即可。 4. 在审计事件右侧点击详情，可以看到更详细的事件信息。 更多云审计相关使用说明和常见问题请参考++用户指南、++++常见问题++。

本文介绍使用专属云（计算独享型）过程中涉及相关产品的基本概念，方便您查询和了解相关概念。 云主机 专属云（计算独享型）产品提供物理隔离的公有云虚拟化环境，在已购买的专属云中可创建云主机来部署应用服务。 云硬盘 专属云（计算独享型）产品中，云主机使用的云硬盘为公有云中的云硬盘，类型包括普通IO、高IO、超高IO三种类型。这三种类型跟公有云云硬盘产品规格参数保持一致。若您同时购买了专属云（存储独享型）产品，创建的云硬盘为物理独享的云硬盘，具体云硬盘类型取决于购买类型。 虚拟私有云 虚拟私有云是通过逻辑方式为您提供一个完全隔离的网络环境。您可以在VPC中定义与传统网络无差别的子网，同时提供弹性IP、安全组、带宽、VPN等网络服务。

本节介绍安全云应用客户端指南内容。 安全云应用由管理台统一管理和分发，用户登录国产化AI云电脑时，快捷方式会直接生成到用户桌面，用户无需手动安装客户端及应用，点击即可直接使用。 托盘功能 安全云应用提供了一个自运维工具，常驻在系统桌面右下角任务栏，用户可根据使用情况选择对应的功能，对服务进行维护与恢复。 USB设备管理：支持通过客户端调整外设的运行环境，例如需要把打印机从UOS同步到安全云应用的WPS环境时，可通过该功能，勾选对应打印机设备后即可使用。 网络参数配置：支持在国产化AI云电脑使用安全云应用中配置的网络代理，解决在国产化AI云电脑下无相关的vpn软件。 关闭所有应用：支持通过客户端从进程上直接结束应用，从而解决应用本身的卡死问题。 重启应用服务器：支持通过客户端直接重启安全云应用的实例虚机，从而重启整个服务，解决绝大部分的异常问题。 安全云应用输入法：输入法切换，使用安全云应用内输入法还是本机输入法。

本文介绍如何通过天翼云SDWAN服务实现企业总部与分支互联。 操作场景 某企业已经在地域A和地域B分别建立了两个分支机构，现在该企业希望通过天翼云SDWAN服务实现两个地域的分支机构与企业总部互通。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 操作步骤 步骤一：购买智能网关 您可以通过天翼云官网自行购买智能网关实例，也可以联系客户经理购买智能网关实例。通过天翼云官网自行下单，操作步骤如下： 1. 登录天翼云SDWAN控制台，选择“智能网关”，在“智能网关”页面单击“创建智能网关”，选择“创建智能网关”。 2. 根据页面提示配置参数，部分参数信息可参考如下： 参数 描述 实例名称 智能网关实例名称，长度为164字符，以大小写字母或中文开头，可包含数字、“.”、 “”、“”。 区域 所属位置信息。 基础带宽 该分支接入SDWAN骨干网的带宽大小。 网关形态 可选择硬件版、软件版，这里我们选择硬件版。 是否购买设备 表示是否需要从天翼云购买设备。选择“是”，则天翼云会为您准备一台设备；选择“否”，则需要用户自备设备。 设备类型 购买设备时，需要选择设备的型号。可以选择经济版、标准版、企业版、企业增强版。 增值业务 可选的增值业务，包括5G服务、WIFI服务、LTE服务。 使用方式 表示设备的使用方式。可选择单机或者双机备份。 地址信息 表示设备的装机地址。请准确填写地址信息，提交订单后不支持更改。 3. 单击“提交订单”。确认订单信息无误后，勾选“我已阅读并同意相关协议《天翼云SDWAN产品服务协议》”，单击“确认下单”。 4. 订单支付成功后，完成购买。

场景 描述 相关链接 动静态资源加速 智能分离动静态内容，静态内容通过配置缓存提升命中率；动态内容通过动态加速配置多种回源策略（择优回源、轮询回源、保持登录回源等）实现优质路径提速回源。 HTTPS配置 HTTPS是以安全为目标的HTTP通道，实现客户端和全站加速之间请求的HTTPS加密，保障数据传输的安全性。 IPv6 开启IPv6功能后，当您的用户处于IPv6环境时，客户端可以通过IPv6协议访问天翼云全站加速节点。 海外加速 开启海外加速，可满足出海企业本地化cdn节点覆盖当地用户的迫切需求，保障跨国网络访问的高速、稳定和安全，助力企业拓展全球化业务。 性能优化 开启页面优化功能后，可有效去除页面的冗余信息，缩小文件体积，提高加速分发效率，同时也可以提升页面的可阅读性。 开启压缩功能后，能够带来两个明显的好处，一是减少存储空间，二是通过网络传输文件时，可以减少传输的时间。

稳定可靠的高可用架构 多资源池分散部署，异地容灾机制安全可靠；运营商级带宽扩容能力，可支持高并发业务接入防护；采用集群+冗余高可用模式，消除单点故障；全面满足各场景下的高可用需求。 满足等保合规要求 与云原生安全产品深度融合，针对云上云下资产，形成纵深防护体系以及融合防护视角，支持ELB/ALB/ECS等云产品一键接入，与证书管理服务、云安全中心、云防火墙（原生版）等原生安全产品协同联动，一站式完成云上安全统一监控和管理，助力企业安全合规建设；深度兼容IPv6双栈协议，满足等保2.0、GDPR等国内外合规要求，针对政务、金融等强监管行业，提供数据本地化、审计日志隔离存储等专项方案，助力客户通过安全审查与合规验收。

参数 说明 数据源 云服务提供商，选择天翼云 访问密钥 天翼云的访问密钥（AK）。最大长度是100个字符。 私有访问密钥 天翼云的私有访问密钥（SK），与AK相匹配。最大长度是100个字符。输入访问密钥和私有访问密钥后，请单击“连接目的端桶”。 桶名 存放迁移数据的天翼云OBS桶。

94 [管理平台]DRDS实例支持热变配（升降配），即变更DRDS实例的CPU和内存后无需重启该DRDS实例，确保服务可用性。详见 规格变更。 93 [Giserver]新增GiServr exporter监控采集功能，用于天翼云数据库生命周期管理平台（DCP）监控GiServer节点状态信息。 体验改进 213 [DBProxy]SQL语句中TruncateStatement命令支持异步执行，不再需要等待数据库操作完成即可继续执行后续的命令，提高命令执行效率。 203 新增开发指南，并合入原用户指南中的SQL指南内容。 196 优化执行DDL语句创建表的策略，提升至最多支持批量创建10000张表。详见：库表管理。 180 [管理平台]优化前序版本引入的连续创建多个Schema需要多次刷新页面后新建的操作体验。 175 优化DRDS实例所在宿主机安全组和防火墙策略，该优化对公有云租户端不可见。 167 例行调整配置文件加密密钥，满足等保3级或以上密码策略要求，该调整对公有云租户端不可见。 166 优化购买DBProxy实例的单可用区节点策略，提升至最多配置6个节点。详见：步骤一：购买DRDS实例。

操作步骤 1. 登录天翼云控制中心，单击管理控制台左上角的，选择地域。 2. 选择“计算>弹性云主机”，进入弹性云主机页面，找到即将执行挂载操作的云主机所在行。 3. 点击“远程登录”，使用管理控制台提供的VNC方式远程登录Windows弹性云主机。 注意 文件存储的服务端口为：111、139、2049、20048、445、11002、11003、10141，设置安全组时不要禁止，以防无法访问文件服务。 4. 对于Windows Server 2016以上的系统，需要配置允许客户端匿名访问，在命令行工具执行以下命令。 plaintext REG ADD HKEYLOCALMACHINESYSTEMCurrentControlSetservicesLanmanWorkstationParameters /f /v AllowInsecureGuestAuth /t REGDWORD /d 1 5. 单击桌面左下角Windows按键，选择这台电脑，右键单击“这台电脑”，选择“映射网络驱动器”。 6. 在弹出窗口中，设置“驱动器”盘符名称及文件夹（即在文件系统中看到的挂载目录），文件夹内容为文件系统的挂载地址，可在文件系统的详情页获取。勾选“登录时重新连接”可在云主机重启后自动挂载文件系统。设置完毕后单击完成。 7. 单击桌面左下角Windows按键，单击“这台电脑”，在网络位置处将出现已挂载的文件系统，此时您可以像使用一般的文件系统一样进行创建、修改删除文件，构造自己的文件系统。

本节介绍云安全中心支持的功能。 云安全中心系统主要包含安全态势、资产中心、风险管理、威胁运营、分析中心、编排响应、报表中心、集成配置以及数据源监控等功能。 安全态势 依托接入云安全中心的数据，提供统一可视化界面展示网页业务的整体安全状态。 资产中心 各类资产集中展示，全面汇集资产情况。 风险管理 资产风险信息清晰明确，定期更新资产漏洞、弱口令等信息。 威胁运营 对威胁全方位管理，提供告警概览、告警管理以及威胁检测等功能，可实现各类告警灵活定制。 分析中心 提供日志以及原始告警灵活查询，提供多种分析专题，为用户多角度呈现数据态势。 编排响应 是企业内部定制或者沉淀的知识经验，也是安全应急响应通用告警处理的“模板”。不论是自动化的编排，还是人工的编排，都可以通过“安全剧本”来进行表述。 报表中心 通过周期性的报表任务和可定制的报表模板承载各类个性化报表的展示和生成。 集成配置 数据集成一键配置，实现所配即所得。 数据源监控 为用户提供各类数据源的展示和基本信息统计。

对于每一次HTTP或HTTPS协议请求，我们会根据访问中的签名信息验证访问请求者身份。具体由使用AccessKey和SecurityKey加密验证实现。其中AccessKey是访问者身份，SecurityKey是加密签名字符串和服务器端验证签名字符串的密钥，必须严格保密谨防泄露。 步骤一：获取AccessKey和SecurityKey 1. 登录天翼云官网。 2. 前往个人中心。 3. 在安全设置中查看用户AccessKey 和SecurityKey。 步骤二：构造时间戳 1. 构造一个eopdate的时间戳，格式为yyyymmddTHHMMSSZ，简单来说就是“年月日T时分秒Z”。 步骤三：构造请求流水号 1. 构造一个ctyuneoprequestid的流水号，最好为每次请求不同，可以简单的使用UUID。 步骤四：构造待签名字符串 1. 构造进行签名的Header：以 headername:headervalue来一个一个通过"n"拼接起来，强制要求ctyuneoprequestid和eopdate这个头作为Header中的一部分。将待签名算法的Header需要进行排序（headername以英文字母的顺序来排序），将排序后得到的列表进行遍历组装成待签名的header。 2. 构造待签名的Query: query以&作为拼接，key和value以""连接，排序规则使用26个英文字母的顺序来排序，Query参数全部都需要进行签名。 3. 构造待签名的Body: 传待发送的body参数进行sha256摘要，对摘要出来的结果转十六进制。 4. 将待签名的Header、Query、Body通过"n"进行连接。

本文介绍了虚拟私有云的权限内容。 如果您需要对天翼云上创建的VPC资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制天翼云资源的访问。 通过IAM，您可以在天翼云账号中给员工创建IAM用户，并授权来控制员工对天翼云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望员工拥有VPC的使用权限，但是不希望员工拥有删除VPC等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用VPC，但是不允许删除VPC的权限，控制员工对VPC资源的使用范围。 如果天翼云账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可忽略本章节，不影响您使用VPC服务的其他功能。 VPC权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 VPC部署时通过物理区域划分。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问VPC时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于天翼云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对VPC服务，管理员能够控制IAM用户仅能对某一类网络资源进行指定的管理操作。 下表是VPC的所有系统权限。 策略名称 描述 策略类别 依赖关系 VPC FullAccess 虚拟私有云的所有执行权限。 系统策略 如果您需要使用VPC流日志功能，则依赖云日志服务的只读权限LTS ReadOnlyAccess。 VPC ReadOnlyAccess 虚拟私有云的只读权限。 系统策略 无 VPC Administrator 虚拟私有云的大部分操作权限，不包括创建、修改、删除、查看安全组以及安全组规则。 拥有该权限的用户必须同时拥有Tenant Guest权限。 系统角色 依赖Tenant Guest策略，在同项目中勾选依赖的策略。 下表是VPC常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 操作 VPC ReadOnlyAccess VPC Administrator VPC FullAccess 创建VPC × √ √ 修改VPC × √ √ 删除VPC × √ √ 查看VPC √ √ √ 创建子网 × √ √ 查看子网 √ √ √ 修改子网 × √ √ 删除子网 × √ √ 创建安全组 × × √ 查看安全组 √ × √ 修改安全组 × × √ 删除安全组 × × √ 添加安全组规则 × × √ 查看安全组规则 √ × √ 修改安全组规则 × × √ 删除安全组规则 × × √ 创建网络ACL × √ √ 查看网络ACL √ √ √ 修改网络ACL × √ √ 删除网络ACL × √ √ 添加网络ACL规则 × √ √ 修改网络ACL规则 × √ √ 删除网络ACL规则 × √ √ 创建对等连接 × √ √ 修改对等连接 × √ √ 删除对等连接 × √ √ 查询对等连接 √ √ √ 接受对等连接 × √ √ 拒绝对等连接 × √ √ 创建路由表 × √ √ 删除路由表 × √ √ 修改路由表 × √ √ 将路由表关联至子网 × √ √ 添加路由 × √ √ 修改路由 × √ √ 删除路由 × √ √ 创建VPC流日志 × √ √ 查看VPC流日志 √ √ √ 开启/关闭VPC流日志 × √ √ 删除VPC流日志 × √ √ 创建IP地址组 × √ √ 将IP地址组关联至资源 × √ √ 将IP地址组和资源解除关联 × √ √ 在IP地址组内添加IP地址条目 × √ √ 删除IP地址组内的IP地址条目 × √ √ 修改IP地址组 × √ √ 删除IP地址组 × √ √ 说明 对于企业项目用户，您可以对属于该企业项目的资源进行权限范围内的操作。

本节介绍服务器安全卫士（原生版）产品使用限制。 支持的服务器 天翼云弹性云主机 天翼云GPU云主机 天翼云物理机 支持的操作系统 天翼云服务器安全卫士（原生版）产品支持对如下操作系统的服务器进行防护： 类型 架构 芯片 操作系统 系统版本 Windows x86 Intel Windows Server Windows Server 2012 R2 标准版（简体中文）64位 Windows x86 Intel Windows Server Windows Server 2012 R2 数据中心版（简体中文）64位 Windows x86 Intel Windows Server Windows Server 2016 标准版（简体中文）64位 Windows x86 Intel Windows Server Windows Server 2016 数据中心版（简体中文）64位 Windows x86 Intel Windows Server Windows Server 2019 数据中心版（简体中文）64位 Windows x86 Intel Windows Server Windows Server 2022 数据中心版（简体中文）64位 Linux x86 Intel Anolis Anolis 7.9 64位 Linux x86 Intel Anolis AnolisOS 8.9 64位 Linux x86 Intel Anolis Anolis 8.6 QU1 64位 Linux x86 Intel Anolis AnolisOS 8.6 64位 ANCK Linux x86 Intel Anolis AnolisOS 7.9 64位 RHCK Linux x86 Intel Anolis Anolis 8.4 64位 Linux x86 Intel Debian Debian 9.0 64位 Linux x86 Intel Debian Debian 11.1 64位 Linux x86 Intel Debian Debian 12.7 64位 Linux x86 Intel Debian Debian 12.8 64位 Linux x86 Intel AlmaLinux AlmaLinux OS 8.1 64位 Linux x86 Intel AlmaLinux AlmaLinux OS 9.4 64位 Linux x86 Intel AlmaLinux AlmaLinux OS 9.5 64位 Linux x86 Intel CTyunOS CTyunOS 2.0.1 64位 Linux x86 Intel CTyunOS CTyunOS 23.01 64位 Linux x86 Intel Ubuntu Ubuntu16.04 64位 Linux x86 Intel Ubuntu Ubuntu 18.04 64位 Linux x86 Intel Ubuntu Ubuntu 20.04 64位 Linux x86 Intel Ubuntu Ubuntu 22.04 64位 Linux x86 Intel Ubuntu Ubuntu 24.04 64位 Linux x86 Intel CentOS CentOS 8.0 64位 Linux x86 Intel CentOS CentOS 7.9 64位 Linux x86 Intel CentOS CentOS 7.6 64位 Linux x86 Intel openEuler openEuler 20.03 SP4 64位 Linux x86 Intel openEuler openEuler 22.03 SP2 64位 Linux x86 Intel openSUSE openSUSE Leap 15.6 64位 Linux x86 Intel KylinOS KylinOS V10 SP1 64位 Linux x86 Intel KylinOS KylinOS V10 SP2 64位 Linux x86 Intel KylinOS KylinOS V10 SP3 64位 Linux x86 Intel Rocky Linux Rocky Linux 8.10 64位 Linux x86 Intel Rocky Linux Rocky Linux 9.0 64位 Linux x86 Intel Rocky Linux Rocky Linux 9.4 64位 Linux x86 Intel Rocky Linux Rocky Linux 9.5 64位 Linux x86 海光 KylinOS KylinOS V10 SP1 64位 Linux x86 海光 KylinOS KylinOS V10 SP2 64位 Linux x86 海光 KylinOS KylinOS V10 SP3 64位 Linux x86 海光 UOS UOS V20 64位 Linux x86 海光 CTyunOS CTyunOS 2.0.1 64位 Linux x86 海光 CTyunOS CTyunOS 23.01 64位 Linux x86 海光 CTyunOS CTyunOS 22.06 64位 Linux Arm 鲲鹏 KylinOS KylinOS V10 SP1 64位 Linux Arm 鲲鹏 KylinOS KylinOS V10 SP2 64位 Linux Arm 鲲鹏 KylinOS KylinOS V10 SP3 64位 Linux Arm 鲲鹏 CTyunOS CTyunOS 2.0.1 64位 Linux Arm 鲲鹏 CTyunOS CTyunOS 22.06 64位 Linux Arm 鲲鹏 CTyunOS CTyunOS 23.01 64位 Linux Arm 鲲鹏 UOS UOS V20 64位 Linux Arm 鲲鹏 openEuler openEuler 22.03 64位

本章节主要介绍如何登录翼MR集群节点。 本章节介绍如何使用翼MR管理控制台上提供的节点远程连接（VNC方式）和如何使用密码方式（SSH方式）登录翼MR集群中的节点，远程连接主要用于紧急运维场景，远程登录主机进行相关维护操作。其他场景下，优先推荐用户使用SSH方式登录集群节点。 说明 如果需要使用SSH方式登录集群节点，需要在集群的安全组规则中手动添加入方向规则：其中源地址为“客户端公网IPV4地址/32”，端口为22，具体请参见“帮助中心>虚拟私有云>安全组>[ 登录主机（VNC方式） 1. 登录翼MapReduce服务管理控制台。 2. 选择“集群列表 > 我的集群”，选中一个运行中的集群并单击集群名，进入集群基本信息页面。 3. 选择“节点管理”，单击展开节点组，显示节点列表。 4. 在目标节点的右侧“操作”列中，单击“远程连接”。 5. 在VNC方式新标签页Web页面中，可以看到服务器的命令行界面，类似于Linux服务器登录模式，输入root账号，并输入密码。 说明 1、初始密码为创建集群时所设定的集群密码。 2、自2.16版本起，若忘记密码，可通过基础信息页的重置密码功能修改云主机密码，物理机暂不支持修改。 登录主机（SSH密钥方式） 本地使用Windows操作系统 如果您本地使用Windows操作系统登录Linux主机，可以按照下面方式登录主机。下面步骤以Xshell为例。 1. 登录翼MR服务管理控制台。 2. 选择“集群列表 > 我的集群”，选中一个运行中的集群并单击集群名，进入集群基本信息页面。 3. 选择“节点管理”，单击展开节点组，显示节点列表。 4. 在目标节点的右侧“操作”列中，单击“更多”，选择“绑定弹性IP”，可以为该节点选择一个已存在且未绑定使用的弹性公网IP或者可以单击“+创建弹性公网IP”跳转至弹性IP控制台完成弹性IP购买后，再完成弹性公网IP绑定操作，若已绑定弹性公网IP请跳过该步骤。 5. 运行Xshell。 6. 选择“新建会话”。 7. 名称：选择你认为合适的会话名称，用于方便管理。 8. 协议：使用默认的“SSH”。 9. 主机：输入主机所绑定的弹性公网IP。 10. 端口号：使用默认的“22”，详见下图： 单击“Session”。 11. 单击“连接”，按照提示步骤，分别完成登录用户（默认为root）、密码的输入并保存，即可完成远程登录操作。

Web应用防火墙（边缘云版）最终的业务带宽套餐内包含的带宽+带宽扩展的带宽。本文介绍业务带宽的查询和订购。 glmoscodeexplain 如何了解业务所需带宽？ 首先，接入Web应用防火墙（边缘云版）防护总业务带宽需要大于网站日常业务带宽峰值。例如，如果您的网站日常业务带宽为115Mbps，那您需要购买标准版的套餐（包含100Mbps）+20Mbps的带宽扩展或者购买专业版套餐即可满足业务日常需求。 怎么查询您当前的业务带宽？ 您可以登陆天翼云官网，在首页右上角点击“控制中心“在控制中心页面点击安全点击”Web应用防火墙（边缘云版）“跳转至Web应用防火墙（边缘云版）用户控制台； 在用户控制台页面点击“统计分析”“业务分析“根据时间筛选可以查看业务当前使用的带宽峰值数据； 在用户控制台页面点击“计费详情”查看您当前可使用的总的业务带宽峰值套餐带宽峰值+带宽扩展的带宽峰值。 如何购买带宽扩展包？ 当前仅支持通过单击变更访问链接，进入变更访问链接后，单击【实例】，可按需在【全部产品】下拉框中过滤出【Web应用防火墙(边缘云版)】。 备注：带宽扩展包不享受包年折扣。 注意 暂时不支持单独退订带宽扩展包，如果需要单独退订，请

准备项 说明 需要执行的工作 账号准备 注册天翼云账号 参考 数据库准备 源数据库和目标数据库以及对应连接帐号权限准备 可根据源数据库和目标数据库的数据库类型进行相应的账号权限设置。 网络准备 源数据库部署在本地 参考 网络准备 源数据库为其他云数据库 参考 网络准备 源数据库为天翼云数据库 参考 网络准备 源数据库为天翼云ECS自建数据库 参考

本节介绍翼加密在管理员使用过程的的常见问题。 加密策略中没有找到需要加密的文件类型怎么办？ 如有其他文件类型的加密需求，可与售前或运维人员反馈，或提交工单与我们沟通。申请开通更多文件类型的加密管控。 加密策略中配置的应用程序有什么用？ 策略中配置的是加密授权的应用程序。加密文件只能被授权的应用软件明文打开和编辑（如下图所示）。未经加密授权或适配的第三方应用软件打开加密文件为密文数据。 备注：如果需要适配其他应用软件，可与售前或运维人员反馈，或提交工单与我们沟通。申请开通更多应用软件的加密授权。 为什么给AI云电脑开启加密时，提示版本过低？ (1) 开启加密的AI云电脑需要agent版本高于1.31，并且安装加密驱动。 (2) agent和加密驱动版本在加密桌面管理处能看到版本号，如果提示“！”则说明版本过低或未安装。发现这种情况请联系运维处理。 批量全盘加密/解密AI云电脑时，提示无法提交 目前每个资源池可同时进行AI云电脑全盘加密/解密的上限是30个，如果您有大规模的AI云电脑全盘加密或解密需求，请提交工单联系运维专项处理。

背景介绍 为避免过期版本实例存在的安全和稳定性风险，同时保证您业务的连贯性，应用服务网格CSM支持对实例进行金丝雀升级，您可以在升级过程中仅变更部分数据面进行效果验证。验证符合预期后再进行全量升级，如果不符合预期，CSM支持对此次升级进行回滚。 相关概念 概念 说明 金丝雀升级 通过先运行一个金丝雀部署的新控制平面来完成 Istio 的升级，从而允许您在将所有流量迁移到新版本之前以一小部分工作负载监视升级的效果。金丝雀升级过程中支持回退。 控制平面 控制平面（Control Plane）是一组系统服务，这些服务配置网格或者网格的子网来管理工作负载实例之间的通信。 单个网格中控制平面的所有实例共享相同的配置资源。 数据平面 数据平面（Data Plane）当前常见的Sidecar模式， 通常是与主应用程序一起运行以提供附加功能的容器。 在 Istio 中，它同时运行一个Envoy代理 Pod，可以进行流量治理，安全策略管理，可观测上报等，无需对业务进行侵入性修改。 升级时机 istio开源社区在不断迭代，天翼云应用服务网格会不定期跟进社区的功能更新和漏洞修复。服务网格实例版本过于落后时，可能会存在安全和稳定性风险，建议您及时进行升级操作。 大版本的更新需要您主动进行升级，及时升级可以： 降低安全和稳定性风险：CSM版本的迭代，会及时跟进修复社区已知的安全及稳定性漏洞，给你的业务带来安全和稳定性的提升。 享受更好的维护支持：对于落后太多的实例版本（往往是3个大版本以上），CSM不再提供维护和技术支持，使用新版本能够让您享受更好的技术支持和答疑服务。 使用新版本的前沿功能：随着社区Istio版本的演进，新版本包含新的功能和改进，CSM也将适配新版本，可以使用更丰富的功能，跟进最新的性能优化也有助于您减少资源消耗。

身份认证 CTIAM 统一身份认证（Identity and Access Management， 简称：CTIAM）是提供用户进行权限管理的基础服务，可以帮助您安全的控制天翼云服务和资源的访问及操作权限，包括：用户身份认证、权限分配、访问控制等功能。具体介绍请参考统一身份认证产品介绍。 您可以创建IAM用户，并为其设置关联分布式消息服务RabbitMQ实例权限，该用户就可以通过用户名和密码访问授权的实例资源。具体请参见统一身份认证快速入门创建IAM用户。 访问控制 权限控制 购买分布式消息服务RabbitMQ实例之后，您可以使用CTIAM为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，通过CTIAM进行精细的权限管理。 VPC和子网 虚拟私有云（Virtual Private Cloud，VPC）为分布式消息服务RabbitMQ构建隔离、私密的虚拟网络环境，提升数据库的安全性，并简化用户的网络部署。您可以完全掌控自己的专有网络，VPC丰富的功能帮助您灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。通过子网与其他网络隔离，独享网络资源，提高网络安全性。具体内容请参见虚拟私有云用户指南创建虚拟私有云和子网 。 安全组 安全组是一个逻辑上的分组，可以为同一个虚拟私有云内具有相同安全保护需求并相互信任的RabbitMQ实例提供相同的访问策略。您可以通过为数据库实例设置安全组，开通需访问RabbitMQ实例的IP地址和端口，来保证保障其运行环境的安全性和稳定性。具体请参见修改实例安全组

关系数据库MySQL版支持CTIAM身份认证和多种访问控制，多维度保障您云数据库的安全。 身份认证 CTIAM 统一身份认证（Identity and Access Management， 简称：CTIAM），是提供用户进行权限管理的基础服务，可以帮助您安全的控制天翼云服务和资源的访问及操作权限，包括：用户身份认证、权限分配、访问控制等功能。 您可以创建IAM用户，并为其设置关系数据库MySQL版实例权限，该用户即可通过用户名和密码访问已授权的实例资源。 访问控制 权限控制 购买关系数据库MySQL版实例之后，您可以使用CTIAM为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，通过CTIAM进行精细的权限管理。 VPC和子网 虚拟私有云（Virtual Private Cloud，VPC）为关系数据库MySQL版构建隔离、私密的虚拟网络环境，提升数据库的安全性，并简化用户的网络部署。您可以完全掌控自己的专有网络，VPC丰富的功能帮助您灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。 通过子网与其他网络隔离，独享网络资源，提高网络安全性。 具体内容，请参见创建虚拟私有云和子网。 安全组 安全组是一个逻辑上的分组，可以为同一个虚拟私有云内具有相同安全保护需求并相互信任的数据库实例提供相同的访问策略。您可以通过为数据库实例设置安全组，开通需访问数据库的IP地址和端口，来保障其运行环境的安全性和稳定性。 具体内容，请参见设置安全组规则。

步骤5：检查配置是否准确 检查网站信息是否填写正确，包括域名、端口、协议、回源IP等内容。 检查是否有特殊端口。如果有特殊端口需求，您可以将需要使用的HTTP/HTTPS访问端口提交工单，由天翼云客服人工配置。只有专业版和旗舰版支持配置特殊端口。 检查上传的HTTPS证书是否正确，证书是否合法有效，证书链是否完整。 检查源站是否有防火墙或访问限制，是否已加白WAF的回源IP。 步骤6：验证业务是否正常 验证在各环境下是否都能正常访问业务系统，观察请求的状态码是否异常。 验证业务系统登录后的会话是否保持正常。 如果有手机端业务，检查是否有SNI兼容问题。 是否有配置只允许WAF回源IP访问源站，防止攻击者绕过WAF直接攻击源站。 步骤7：安全运营 统计分析 您可以通过该模块查看CC攻击报表、WAF攻击报表、业务分析、热门分析等功能，详情请参考：安全运营统计分析。 告警管理 您可以通过该模块配置告警规则及查看告警记录，详情请参考：安全运营告警管理。 日志服务 该模块提供了WAF攻击日志、CC攻击日志的查看与导出功能，以及下载业务的访问日志的功能，详情请参考：安全运营日志服务。 态势感知 通过态势感知模块，您可以实时查看到业务整体的攻击情况，详情请参考：安全运营态势感知。

本文介绍如何通过天翼云SDWAN访问云上资源。 操作场景 用户通过天翼云SDWAN服务访问云上资源，需要将天翼云SDWAN实例绑定云间高速（标准版）实例。 操作步骤 1. 登录天翼云SDWAN控制台； 2. 选择“天翼云SDWAN”，进入天翼云SDWAN实例列表页面； 3. 选中目标SDWAN实例，单机其“操作”列的“绑定云间高速（标准版）”； 4. 根据页面提示，选择待绑定的云间高速（标准版）实例及云间高速（标准版）实例下的云网关实例； 5. 单击“确定”，完成绑定。

注意事项 请确保上传的证书还在有效期范围内。 目前只支持PEM格式，其他格式客户可自行转换，或提交工单向天翼云客服咨询推荐的转换站点。

本文介绍天已支持翼云APP产品控制台的云产品。 天翼云支持在天翼云APP对云产品进行管理。 天翼云APP产品控制台支持的云产品 1、弹性云主机（一类节点） 2、天翼云电脑（政企版）（一类节点） 3、分布式消息服务Kafka（一类节点） 4、分布式缓存服务Redis版（一类节点） 5、云容器引擎（一类节点） 6、关系数据库MySQL版（一类节点 II 类型资源池） 7、媒体存储（通用） 8、对象存储（经典版）I型（一类节点） 9、备案（通用） 更多产品管理控制台正在接入中，敬请期待，如对产品控制台有任何建议，欢迎提交建议与反馈

介绍安全加速产品中常用术语。 CNAME记录 CNAME ( Canonical Name )，即别名，用于把一个域名解析到另一个域名，当DNS系统在查询CNAME 左面的名称的时候，都会转向CNAME右面的名称再进行查询，一直追踪到最后的PTR或A名称，成功查询后才会做出回应，否则失败。例如，您有一台服务器，使用www.ctyun.cn访问，您又希望通过www.example.ctyun.cn1也能访问该服务器，那么就需要在您的DNS解析服务商添加一条CNAME记录，将www.example.ctyun.cn1指向www.ctyun.cn，添加该条CNAME记录后，所有访问www.example.ctyun.cn1的请求都会被转到www.ctyun.cn，获得相同的内容。 CNAME域名 接入CDN时，在天翼云控制台添加完加速域名后，您会得到一个天翼云CDN给您分配的CNAME域名，（该CNAME域名一定是. ctdns.cn）， 您需要在您的DNS解析服务商添加CNAME记录，将自己的加速域名指向这个. ctdns.cn的CNAME域名，这样该域名所有的请求才会都将转向天翼云CDN的节点，达到加速效果。 DNS DNS即Domain Name System，是域名解析服务的意思。它在互联网的作用是：把域名转换成为网络可以识别的ip地址。人们习惯记忆域名，但机器间互相只认IP地址，域名与IP地址之间是一一对应的，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，整个过程是自动进行的。比如：上网时输入的www.ctyun.cn会自动转换成为220.181.112.143。 常见的DNS解析服务商有：阿里云解析，万网解析，DNSPod，新网解析，Route53（AWS），Dyn，Cloudflare等。