本文为您介绍针对归档数据迁移场景的迁移方案。 操作场景 当您的源端存储数据为归档存储类型时，如何通过解冻归档对象，使用对象存储迁移服务ZMS进行迁移。具体可参考以下方案。 注意 若您在迁移前，还不了解您的源端对象存储的数据情况，您可参考迁移评估，进行迁移前的源端数据评估。或者，从您的源端云服务的控制中心了解源端数据的情况。 操作流程 准备工作 注册天翼云账号 使用对象存储迁移服务ZMS，您需要先注册天翼云门户的账号。本部分将介绍如何进行账号注册，如果您拥有天翼云的账号，可登录后直接使用对象存储迁移服务。 1. 打开天翼云门户网站，点击“ 注册 ”。 2. 在注册页面，请填写“ 邮箱地址 ”、“ 登录密码 ”、“ 手机号码 ”，并点击“ 同意协议并提交 ” 按钮，如1分钟内手机未收到验证码，请再次点击“ 免费获取短信验证码 ”按钮。 3. 注册成功后，可到邮箱激活您的账号，即可体验天翼云。 4. 进行实名认证，请参考会员服务实名认证。 开通天翼云对象存储 登录您的天翼云账号即可使用对象存储迁移服务ZMS，但天翼云对象存储ZOS需要您单独开通，具体操作可参看开通对象存储服务。

本章节主要介绍翼MapReduce服务的退订操作。 您可以根据业务需要，手动退订集群来释放资源。在申请退订翼MapReduce集群前，请做好数据备份工作。 注意 1. 退订翼MapReduce集群会导致集群所有数据都被删除，且不可恢复，请谨慎操作。 2. 具体涉及到退订的费用以及规则，详细请参见费用中心 方法一、通过订单管理退订 1. 登录天翼云官网，进入“费用中心订单管理退订管理”页面。 2. 选择要退订的资源，点击退订，天翼云目前支持单个退订和批量退订。 3. 退订前仔细阅读退订须知，然后确认退订资源信息。 4. 信息确认无误后勾选协议，点击退订并再次确认，确认后即刻完成退订。退订后资金退回账户余额，可以通过“余额提现”进行提现，提现详细操作请参考余额提现。 方法二、通过翼MR控制台退订 1. 进入翼MR控制台我的集群页面。 2. 选择需要退订的集群，在操作列点击退订按钮。 3. 进入到所选集群的退订管理页面，按照提示步骤完成退订操作即可。

本文主要介绍如何配置增强高速网卡(Ubuntu系列)。 下面以Ubuntu 16.04 LTS (Xenial Xerus x8664)操作系统为例，举例介绍物理机增强高速网卡的bond配置方法： 说明 Ubuntu系列其他操作系统的配置方法与Ubuntu 16.04 LTS (Xenial Xerus x8664)类似。 增加网卡 步骤1 以“root”用户，使用密钥或密码登录物理机。 步骤2 进入物理机的命令行界面，查询网卡信息。 ip link 返回信息示例如下： 1: lo: mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo validlft forever preferredlft forever inet6 ::1/128 scope host validlft forever preferredlft forever 2: eth0: mtu 8888 qdisc mq master bond0 state UP group default qlen 1000 link/ether fa:16:00:9b:91:c3 brd ff:ff:ff:ff:ff:ff 3: eth1: mtu 8888 qdisc mq master bond0 state UP group default qlen 1000 link/ether fa:16:00:9b:91:c3 brd ff:ff:ff:ff:ff:ff 4: p5p1: mtu 1500 qdisc noop state DOWN group default qlen 1000 link/ether 40:7d:0f:52:e4:1d brd ff:ff:ff:ff:ff:ff 5: p5p2: mtu 1500 qdisc noop state DOWN group default qlen 1000 link/ether 40:7d:0f:52:e4:1e brd ff:ff:ff:ff:ff:ff 6: p4p1: mtu 1500 qdisc noop state DOWN group default qlen 1000 link/ether 40:7d:0f:52:e3:a9 brd ff:ff:ff:ff:ff:ff 7: p4p2: mtu 1500 qdisc noop state DOWN group default qlen 1000 link/ether 40:7d:0f:52:e3:aa brd ff:ff:ff:ff:ff:ff 8: bond0: mtu 8888 qdisc noqueue state UP group default qlen 1000 link/ether fa:16:00:9b:91:c3 brd ff:ff:ff:ff:ff:ff inet 192.168.254.85/24 brd 192.168.254.255 scope global bond0 validlft forever preferredlft forever inet6 fe80::f816:ff:fe9b:91c3/64 scope link validlft forever preferredlft forever 9: bond0.3157@bond0: mtu 8888 qdisc noqueue state UP group default qlen 1000 link/ether fa:16:00:9c:1e:79 brd ff:ff:ff:ff:ff:ff inet 192.168.100.14/24 brd 192.168.100.255 scope global bond0.3157 validlft forever preferredlft forever inet6 fe80::f816:ff:fe9c:1e79/64 scope link validlft forever preferredlft forever 10: bond0.3159@bond0: mtu 8888 qdisc noqueue state UP group default qlen 1000 link/ether fa:16:00:0a:2e:8e brd ff:ff:ff:ff:ff:ff inet 192.168.101.153/24 brd 192.168.101.255 scope global bond0.3159 validlft forever preferredlft forever inet6 fe80::f816:ff:fe0a:2e8e/64 scope link validlft forever preferredlft forever 说明 其中，“eth0”和“eth1”为承载VPC网络的网络设备，“p5p1”、“p5p2”、“p4p1”和“p4p2”为承载增强高速网络的网络设备。下面步骤将使用“p4p1”和“p4p2”配置增强高速网卡bond。 步骤3 检查udev规则配置文件。 执行以下命令，查看“/etc/udev/rules.d/”目录下是否有“80persistentnet.rules”配置文件。 ll /etc/udev/rules.d/ grep 80persistentnet.rules 如果存在“80persistentnet.rules”，且该配置文件中已存在步骤2 中查询到的除“bond0”和“lo”以外的其它所有网卡和对应的MAC地址，请执行 步骤6 。 否则，继续执行 步骤4 。 步骤4 执行以下命令，将“/etc/udev/rules.d/70persistentnet.rules”文件拷贝一份（文件名为“/etc/udev/rules.d/80persistentnet.rules”）。 cp p /etc/udev/rules.d/70persistentnet.rules /etc/udev/rules.d/80persistentnet.rules 步骤5 设置udev规则。 将步骤2中查询到的除“lo”、“eth0”、“eth1”和“bond0”以外的网卡和MAC对应关系添加到“/etc/udev/rules.d/80persistentnet.rules”文件中，使得物理机重启复位后，网卡名称和顺序不会发生改变。 说明 网卡的MAC地址和名称中的字母，请使用小写字母。 vim /etc/udev/rules.d/80persistentnet.rules 修改后的示例如下： SUBSYSTEM"net", ACTION"add", DRIVERS"?", ATTR{address}"f4:4c:7f:5d:b6:fc", NAME"eth0" SUBSYSTEM"net", ACTION"add", DRIVERS"?", ATTR{address}"f4:4c:7f:5d:b6:fd", NAME"eth1" SUBSYSTEM"net", ACTION"add", DRIVERS"?", ATTR{address}"40:7d:0f:52:e4:1d", NAME"p5p1" SUBSYSTEM"net", ACTION"add", DRIVERS"?", ATTR{address}"40:7d:0f:52:e4:1e", NAME"p5p2" SUBSYSTEM"net", ACTION"add", DRIVERS"?", ATTR{address}"40:7d:0f:52:e3:a9", NAME"p4p1" SUBSYSTEM"net", ACTION"add", DRIVERS"?", ATTR{address}"40:7d:0f:52:e3:aa", NAME"p4p2" 修改完成后，按“Esc”，输入“:wq”保存并退出。 步骤6 执行以下命令，将网卡配置文件“/etc/network/interfaces.d/50cloudinit.cfg”拷贝为“/etc/network/interfaces.d/60cloudinit.cfg”。 cp p /etc/network/interfaces.d/50cloudinit.cfg /etc/network/interfaces.d/60cloudinit.cfg 说明 如果没有“/etc/network/interfaces.d/50cloudinit.cfg”文件，请拷贝“/etc/network/interfaces”文件，依次执行以下命令： mkdir /etc/network/interfaces.d cp p /etc/network/interfaces /etc/network/interfaces.d/60cloudinit.cfg 步骤7 执行以下命令，编辑“/etc/network/interfaces.d/60cloudinit.cfg”，配置“p4p1”设备和“p4p2”设备的网络配置文件“/etc/network/interfaces.d/60cloudinit.cfg”。 vim /etc/network/interfaces.d/60cloudinit.cfg 按如下格式编辑： auto p4p1 iface p4p1 inet manual bondmode 1 bondmaster bond1 bondmiimon 100 mtu 8888 auto p4p2 iface p4p2 inet manual bondmode 1 bondmaster bond1 bondmiimon 100 mtu 8888 auto bond1 iface bond1 inet static bondmiimon 100 bondslaves none bondmode 1 address 10.10.10.103 netmask 255.255.255.0 hwaddress 40:7d:0f:52:e3:a9 mtu 8888 其中， “p4p1”和“p4p2”为承载增强高速网络配置的网卡名称。 “hwaddress”为“p4p1”设备对应的MAC地址。 “address”的取值为给增强高速网络“bond1”配置的IP（给增强高速网络规划的IP地址在没有与VPC网段冲突的情况下可任意规划，需要通过增强高速网络通信的物理机须将增强高速网络配置在同一个网段）。 “netmask”的取值为给增强高速网络“bond1”配置的IP的掩码。 各个设备的其他参数可参考如上信息进行配置，如“mtu”配置为“8888”，“bondmiimon”配置为“100”，“bondmode”配置为“1”等。 修改完成后，按“Esc”，输入“:wq”保存并退出。 步骤8 执行以下命令，启动bond网卡。 ifup p4p1 ifup p4p2 说明 其中，“p4p1”和“p4p2”分别为承载增强高速网络的网卡。 步骤9 执行以下命令，查看网卡设备的状态和“bond1”配置文件是否生效。 ip link Ifconfig 步骤10 参见上述步骤，完成其他物理机的配置。 步骤11 待其他物理机配置完成后，互相ping对端增强高速网络配置的同网段IP，检查是否可以ping通。 ping 10.10.10.102 ，返回如下： [root@bmsubuntu ~]

网络扫描仪工具 开启后，用户可在AI云电脑桌面内使用本地扫描仪，使用方法如下： 1、在管理台上开启网络扫描仪工具。 2、退出桌面并重新进入。 3、运行AI云电脑桌面内网络扫描仪代理工具，填写扫描仪IP地址，并点击启动按钮，保持运行状态。 4、使用扫描仪驱动程序正常扫描即可。 注意 适用于Windows Sever 2008及以上或Windows 7及以上版本桌面镜像。 文件与剪贴板 管理员可以通过配置“剪贴板”、“文件重定向”、“文件拷贝”等策略来控制用户终端与电脑之间的数据传输和外设接入的权限。 屏幕安全 管理员可启用自动锁屏设置，超过特定时间没操作桌面，则自动锁屏。也可以设置桌面防截屏和桌面水印功能，加强数据安全管理。可对水印的内容进行设定样式。用户接入虚拟机后，在电脑屏幕上显示水印。 终端登录管理 管理员可以对终端设备进行管理，具体支持下列功能： 客户端重连的时间间隙：可设置间隔N秒后再次进行客户端重连。 客户端重连的总时间：可设定客户端重连的总时间。 关闭终端电源：超过设定时间没操作桌面，则自动关闭。 说明 1. 瘦终端电源终端关机策略目前只对Windows和Linux系统的终端生效，其他終端暂不支持。 2. 天翼AI云电脑（政企版）支持电源策略和时间策略配置，实现定时开关机等功能。租户按以下操作申请：翼连工作台AI云电脑附加功能申请新建电源策略和时间策略开通。 自动断开桌面连接：超过设定时间没操作桌面，则自动断开桌面连接。 禁止终端设备类型：可对终端设备类型进行设置，禁止用户使用该类设备登录使用AI云电脑。 关闭设置：用于设置客户端在工具栏点击“关闭”或在桌面列表点击“关机”时初始化执行操作，适用于瘦终端、一体机、云笔电、电脑端。 重启设置：用于设置客户端在工具栏或桌面列表上点击“重启”时初始化执行操作，适用于瘦终端、一体机、云笔电、电脑端。

身份与访问控制是云平台安全的关键组成部分,它确保只有经过授权的用户才能访问特定的资源和服务。天翼云提供了一系列身份与访问控制功能,帮助用户实现细粒度的访问管理,保护云资源的安全。 身份认证安全 严控主账号凭证：天翼云主账号是资源归属与计费的核心主体，拥有全量资源访问权限。建议仅使用密码登录控制台，不创建主账号访问密钥（AK/SK） ，减少因密钥泄露导致的全局风险；若需通过 API/SDK 调用服务，请勿直接将访问密钥嵌入到代码中，减少访问密钥被泄露的风险。 启用多因素认证（MFA）：MFA是一种非常简单的安全实践方法，建议您给天翼云帐号以及您帐号中具备较高权限的用户开启MFA功能，它能够在用户名和密码之外再额外增加一层保护。启用MFA后，用户登录控制台时，系统将要求用户输入用户名和密码（第一安全要素），以及来自其MFA设备的验证码（第二安全要素）。这些多重要素结合起来将为您的账户和资源提供更高的安全保护。 创建单独的IAM用户:天翼云统一身份认证（IAM）允许用户创建多个子用户，并为每个子用户分配不同的权限策略。如果有任何人需要访问您天翼云帐号中的资源，请不要将帐号的密码共享给他们，而是在您的帐号中给他们创建单独的IAM用户并分配相应的权限，同时，作为天翼云帐号主体，建议您不使用帐号访问天翼云，而是为自己创建一个IAM用户，并授予该用户管理权限，以使用该IAM用户代替帐号进行日常管理工作，保护帐号的安全。

本节为您介绍如何查看源端云主机详情。 操作场景 安装并启动Agent后，迁移Agent会自动收集源端云主机信息并发送给服务器迁移服务。默认迁移任务下。收集的所有信息仅用于数据迁移，不会用做其他用途。 您可以随时登录管理控制中心查看迁移源端云主机信息，包括源端云主机详情、目的端配置信息、迁移状态以及错误信息提示等。 操作步骤 1. 使用您的天翼云账号完成登录。 2. 在云迁移产品主页，单击“立即开通”按钮进入控制中心。 3. 单击控制中心上方的 选择您目标机资源所在区域。此处示例我们选择的是福州3。 4. 在“服务器迁移服务”工具下，点击“主机管理”界面，可以看到迁移源机。 5. 点击操作栏中的“详情”按钮，即可跳转至“主机详情”页面，该页面提供了迁移源机的全面信息，包括上线时间、主机ID、系统版本、处理器名称、系统内部版本号、处理器架构类型、系统系列、处理器核心总数、Agent版本、处理器频率、总内存量（MB）、剩余内存量（MB）、网卡配置以及磁盘详情等。 6.单击“任务追踪”，如果暂未绑定目标机，会进入推荐配置界面。 7.已绑定目标机但未配置迁移任务，则会出现“配置任务”按钮。 8.完成配置后，您可以单击“开始迁移”按钮开始迁移任务。 9.迁移任务开始后，您可以在“任务追踪”查看迁移任务进度。 10.对于迁移任务，您可以执行“操作”和“任务管理”相关的功能。 11.在“主机管理”的“性能监控”模块，您可查看“CPU使用率”、“内存使用率”等指标。 12.在“主机管理”的“迁移日志”模块，您可查看具体迁移日志。 13.在“主机管理”的“推荐目标机配置”模块，您可以参考推荐配置进行目标机创建。

本文介绍了云防火墙产品的退订规则。 退订规则说明 客户（天翼云您）可根据需要，在符合天翼云退订规则的前提下，灵活退订配额。目前退订包含七天无理由全额退订和非七天无理由退订以及其他退订。 七天无理由全额退订 新购配额（不包含进行了续订等操作的资源）在满足以下全部条件的前提下，享受七天无理由全额退订： 在资源开通的7天内发起退订； 发起退订操作的账号（“退订账号”）当年的七天无理由全额退订次数不超过3次（每账号每自然年享有3次七天无理由全额退订次数，从每年的1月1日开始计算）； 同一您累计使用的七天无理由全额退订次数不超过24次。其中，同一您是指：根据不同天翼云账号在注册、登录、使用中的关联信息，关联信息相同天翼云判断其实际为同一您。关联信息举例：同一名称、同一邮箱、同一负责人证件、同一手机号、同一设备、同一IP地址等（包括已注销的账号）。客户同意天翼云使用上述信息核查同一您情况。 成套资源退订属于退订一个资源实例，记为1次退订。 注意 尽管有上述规则，客户不得利用退订规则频繁订购并退订服务，恶意占用天翼云及其他用户资源。如天翼云有合理理由怀疑客户存在频繁退订恶意占用天翼云及其他用户资源的，则天翼云有权取消该客户七天无理由全额退订的权利，并根据《中国电信天翼云用户协议》及网站相关规则和相关服务协议约定，采取相应措施直至终止服务，并追究客户的违约责任。

本文主要介绍订购管理的相关功能。 适用场景 媒体存储控制台提供订购管理能力，通过订购管理，用户可以便捷管理媒体存储的开通情况以及使用情况。 前提条件 已注册天翼云账号。 登录媒体存储控制台。 已开通媒体存储。具体订购操作可参考 订购指引 。 操作步骤 1. 登录控制台后，进入【订购管理】菜单页面，列表展示目前账号下已开通的存储类型、存储区域、计费方式以及服务状态。 2. 点击【新增存储区域】，选择区域后，点击【添加】新增成功。 注意 目前仅通过天翼云门户订购的用户可通过控制台新建存储区域，非自助开通的用户无此按钮。 3. 点击【查看详情】，可查看该订购记录的详情信息。 4. 在订购详情页面，可查看订购的资源详情以及使用额度。

翼共享盘是否支持Linux/国产化云电脑挂载？ 支持，目前翼共享盘支持麒麟V10，UOS V20，Ubuntu18.4以及centos7.6。 翼共享盘是否支持私有化部署？ 支持，请联系运维或通过邮件申请，邮件发送至：clouddesktop@chinatelecom.cn。 翼共享盘是否支持跨VPC、跨资源池挂载？ 翼共享盘默认是支持VPC内的AI云电脑及云手机挂载使用的。如果需要跨VPC挂载，可通过打通VPC之间的对等连接、云间互联实现。目前公有云暂不支持跨资源池挂载。 翼共享如何使用AI应用中心企业智库？ 翼共享网络共享盘支持关联AI应用中心企业智库，可在AI应用中心申请开通，无网络盘用户可以获得10G免费空间。开通后支持网页版访问管理共享盘，挂载盘功能将陆续开放。

自定义策略 如果系统策略无法满足授权要求，管理员可以根据各服务支持的权限，创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制，自定义策略是对系统策略的扩展和补充。您可以通过可视化和JSON视图完成自定义策略的配置。 委托 委托根据委托对象的不同，分为委托其他天翼云帐号和委托其他云服务。 委托其他天翼云帐号：通过委托功能，您可以将自己帐号中的资源操作权限委托给其他天翼云帐号，被委托的帐号可以根据权限代替您进行资源运维和管理工作。 委托其他云服务：由于天翼云各服务之间存在业务交互关系，一些云服务需要与其他云服务协同工作，在使用时会需要您创建云服务委托，将操作权限委托给该服务，让该服务以您的身份使用其他云服务，代替您进行一些资源运维的自动化工作。 身份凭证 身份凭证是识别用户身份的依据，您通过控制台或者API访问天翼云时，需要使用身份凭证来进行系统的认证鉴权。身份凭证包括密码和访问密钥，您可以在IAM中管理自己以及帐号中IAM用户的身份凭证。 密码 常见的身份凭证，密码可以用来登录控制台。您不能在IAM中管理自己账号的密码，请在天翼云网门户“个人中心”修改自己的密码。

其他退订 如因天翼云原因导致用户退订的情况，退订不占用用户每账户的退订次数，不产生费用。 退款金额流向 退款方式分原路返回和退回余额两种情况。 订单充值支付（微信、翼支付）到账 360天内 、订单充值支付（支付宝）到账90天内，且订单未开票或已开票已退票的订单，退订后退款金额会原路返回，按照原支付路径实时退还至原付款账户。 订单充值支付（微信、翼支付）到账 360天内 、订单充值支付（支付宝）到账90天内，且订单已开票未退票 的订单，退订后退款金额会退回账户余额。欠票金额不能进行提现，客户退票或增加相应开票金额后，原欠票金额即可恢复可提现操作。提现操作详见文档余额提现。 订单充值支付（微信、翼支付）到账超过360天 、订单充值支付（支付宝）到账超过90天 的订单，退订后退款金额会退回账户余额，客户可根据需要进行提现 。提现操作详见文档余额提现。

步骤二：申请虚拟IP 1. 登录控制中心。 2. 在控制中心页面左上角选择区域。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“子网”选项，点击需要创建虚拟IP的子网。 5. 进入子网详情界面，点击“虚拟IP”页签，点击申请“虚拟IP地址”，可按照需求申请多个虚拟IP地址。 步骤三：虚拟IP绑定服务器 1. 登录控制中心。 2. 在控制中心页面左上角选择区域。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“子网”选项，点击虚拟IP所在的子网。 5. 进入子网详情界面，点击“虚拟IP”页签，在需要绑定服务器的虚拟IP地址所在行的操作列下，单击“绑定服务器”。 6. 在弹窗中选择需要绑定的“服务器类型”：云主机/物理机。 7. 选定服务器类型后选择需要绑定的网卡。 8. 单击“确定”按钮，即可完成服务器的绑定。 9. 若有需求将云主机绑定更多IP，请在配额范围内重复上述操作，创建多个虚拟IP与服务器网卡并进行绑定。

本章节主要介绍如何创建翼MapReduce服务的操作用户。 如果您需要对您所拥有的翼MapReduce服务进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），创建IAM子用户，并给子用户赋予不同的角色权限及企业项目权限。 如果主帐号已经能满足您的要求，不需要创建更多的子用户，您可以跳过本章节，不影响您使用翼MapReduce服务的其它功能。 创建用户 1. 管理员登录天翼云官网，点击页面右上角用户名，在下拉列表中点击“账号中心”。 2. 在账号中心页面，点击左侧菜单栏中的“统一身份认证”进入IAM用户管理页面。 3. 点击左侧菜单栏栏中的“用户”，在页面中点击“创建用户”按钮开启创建。 用户授权 默认情况下，管理员创建的IAM用户没有翼MR操作权限，需要为其赋予角色权限后，才能使该用户获得集群操作权限。您可以通过下表中的功能，为新增用户授予权限。 功能 操作 权限作用范围 账号中心—统一身份认证服务 授予翼MR与企业项目权限 官网产品 翼MR控制台用户管理 同步IAM账号至翼MR 翼MR产品 翼MR控制台角色管理 管理集群角色（含角色的新增、编辑与删除） 翼MR产品 翼MR集群用户权限 在指定集群内，为用户授予集群角色，支持被授权用户使用集群 翼MR单集群

本文为您介绍IPsec VPN常见的应用场景。 IPsec VPN支持在企业本地数据中心或企业办公网络与天翼云VPC（Virtual Private Cloud）之间建立安全可靠的网络连接。 混合组网 您可以通过IPsec VPN隧道连接用户的数据中心和天翼云资源池的VPC网络，快速便捷地利用云上的弹性资源。 通过采用加密的IPsec VPN隧道将用户本地网络和云上VPC互联，利用VPC的弹性伸缩功能，扩展应用计算能力。 云上网络互联 通过IPsec VPN连接不同区域的VPC，使用户的数据和服务在不同地域能够互联互通。 您可以通过IPsec VPN连接天翼云不同区域资源池的VPC，也可以连接天翼云与其他云服务商的网络（前提是对方也具备同等IPsec VPN能力）。 多站点互联 通过IPsec VPN连接，可将多个站点的流量进行汇聚和转发。 您可以通过VPN网关建立多个IPsec连接通道，与企业的多个站点进行连接。 每个站点都可以访问云上VPC资源，实现多站点上云流量的汇聚。 每个站点可以通过VPN网关实现多个站点网络之间的互通。

本章节主要介绍翼MapReduce集群使用规则。 翼MR集群内节点上的/var/log目录中，存放了操作系统的相关操作、安全等关键性日志数据以及翼MR集群各个部署组件实例的应用和审计日志，以方便客户对云主机的系统问题以及翼MR组件集群进行定位和安全审计。 针对上述的系统日志文件，不建议客户进行清理，该操作属于高危操作，易引发弹性云主机的故障不可用问题。 针对上述的翼MR集群应用和审计日志，建议客户基于必要性考虑，确认是否需要清理。如果需要清理，优先考虑将相关历史久远的日志执行删除操作。

云资源审计 弹性云主机已接入天翼云云审计供您免费使用，为您提供统一的云资源配置历史追踪、配置合规审计，帮助您支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 云审计可检测当前天翼云账号和所有 IAM 用户的操作记录，可记录通过天翼云控制台、OpenAPI访问和使用云上产品和服务的日志数据。具体支持的云服务审计事件，请参见++支持审计的云产品及关键操作列表++。 云审计默认为您记录最近7天的事件。如需保存更长时间的日志，则需要创建跟踪，将产生的时间记录到日志审计（原生版）或对象存储ZOS。详细操作，请参见云审计++配置事件追踪器++ 当您将事件投递到日志审计（原生版）或对象存储ZOS后，可以通过日志审计（原生版）或对象存储ZOS查询或分析事件。 流日志和流量镜像作用 流量镜像（Traffic Mirror）功能可以将网络流量从某一云服务器的网卡镜像到其他指定的云服务器的网卡上，以便于应用到内容检查、监控分析、问题排查等场景。流量镜像主要是镜像并筛选出符合条件的流量，因此它可以在不影响网络性能的情况下，捕获和记录网络流量，帮助管理员诊断网络故障、检测网络攻击等。更多信息，请参见++流量镜像概述++ 。

本小节介绍态势感知订购态势感知操作方法。 通过天翼云控制中心下的安全选项下的态势感知进入订购态势感知授权页面，订购页面如下，填写对应的信息。 串联部署网络配置的场景： 场景 A：态势网关作为网络出口，直挂业务主机（网关主备监控同公网IP下资产） 场景 B：态势网关下挂负载均衡（网关主备监控1资产） 场景 C：态势网关下挂云防火墙（网关主备监控1资产） 场景 D：态势网关上挂云防火墙（多资产监控） 旁路部署网络配置的场景： 使用天翼云平台的流量镜像功能引流，不涉及网络割接，只需开通态势感知控制端（多资产监控） 在订购完成后会有态势感知技术人员联系对接网络配置，请确保联系方式顺畅。

本文介绍云SSO的使用实践 应用实践：主账号创建云SSO用户后，以云SSO用户身份访问子账号1与子账号2，且按需配置不同的权限 云SSO用户只能由企业中心主账号在云SSO中心创建，创建成功后，通过云SSO登录门户地址跳转访问组织内成员账号 步骤1：登录中国电信天翼云管理中心，创建云SSO用户 步骤2：在“权限管理”菜单栏，按需创建权限集 步骤3：在“绑定权限集”菜单栏，创建访问配置实例，访问配置由云SSO用户/权限集/成员账号组成 步骤4：通过“云SSO门户地址”跳转访问组织内账号。 场景示意： 主账号分别配置了两个“访问配置”实例A与实例B： 1.实例A允许主账号所创建的云SSO用户访问子账号 1，登录后具备云主机的管理员相关的权限； 2.实例B允许主账号所创建的云SSO用户访问子账号 2，登录后具备弹性IP的观察者相关的权限。

云服务 产线分类 云服务名称 作用范围 系统策略名称 当前状态 历史系统策略描述 最新系统策略描述 计算 弹性伸缩服务 全局 as admin 正常使用 弹性伸缩全读写访问权限 计算 弹性伸缩服务 资源池 as viewer 正常使用 弹性伸缩服务只读访问权限 计算 弹性伸缩服务 全局 scaling admin 计划下线 弹性伸缩服务（AS）全读写访问权限 计算 弹性伸缩服务 全局 scaling admin 正常使用 弹性伸缩服务管理员权限 弹性伸缩服务（AS）全读写访问权限 计算 弹性伸缩服务 全局 scaling viewer 计划下线 viewer不可操作 弹性伸缩服务（AS）只读访问权限 计算 弹性伸缩服务 全局 scaling viewer 计划下线 弹性伸缩服务（AS）只读访问权限 计算 弹性伸缩服务 全局 scaling viewer 正常使用 弹性伸缩服务观察者权限 弹性伸缩服务（AS）只读访问权限 计算 弹性伸缩服务 全局 scalingproject 计划下线 计算 镜像服务 资源池 image admin 计划下线 计算 镜像服务 资源池 image viewer 计划下线 计算 镜像服务 资源池 ims admin 正常使用 镜像服务管理者权限 镜像服务（IMS）全读写访问权限 计算 镜像服务 资源池 ims viewer 正常使用 镜像服务观察者权限 镜像服务（IMS）只读访问权限 计算 镜像服务 资源池 shareImages Admin 正常使用 共享镜像服务使用者权限 共享镜像服务全读写访问权限 计算 物理机 资源池 dps admin 正常使用 物理机服务管理者权限 物理机服务（DPS）全读写访问权限 计算 物理机 资源池 dps viewer 正常使用 物理机服务观察者权限 物理机服务（DPS）只读访问权限 计算 云硬盘 全局 vbs viewer 正常使用 云硬盘备份观察者权限 云硬盘备份（VBS）只读访问权限 计算 云主机 全局 csbs admin 正常使用 云主机备份管理者权限 云主机备份（CSBS）全读写访问权限 计算 云主机 资源池 ecs admin 正常使用 云主机服务管理者权限 云主机服务（ECS）全读写访问权限 计算 云主机 资源池 ecs user 计划下线 云主机服务使用者权限 云主机服务使用者权限 计算 云主机 资源池 ecs viewer 正常使用 云主机服务观察者权限 云主机服务（ECS）只读访问权限 计算 云主机 资源池 ServersGroups Admin 正常使用 云主机组管理者权限 云主机组（ServersGroups）全读写访问权限 计算 云主机 资源池 ServersGroups Viewer 正常使用 云主机组观察者权限 云主机组（ServersGroups）只读访问权限 计算 云助手 资源池 cas admin 正常使用 云助手admin权限 云助手（CAS）全读写访问权限 计算 云助手 资源池 cas user 计划下线 云助手user权限 云助手user权限 计算 云助手 资源池 cas viewer 正常使用 云助手viewer权限 云助手（CAS）只读访问权限 人工智能 ai网关 全局 CtyunAssumeRoleForAgwAccessISuite 正常使用 ai网关访问智算套件接口策略 人工智能 慧聚平台 全局 huijuOutAdmin 正常使用 管理员 人工智能 慧聚平台 全局 huijuOutCommon 正常使用 人工智能 慧聚平台 全局 huijuOutOps 正常使用 人工智能 慧聚平台 全局 huijuOutSLAdmin 正常使用 二级管理员 二级管理员 人工智能 科研助手 全局 bc admin 正常使用 批量计算服务管理者权限（最高权限） 科研助手管理者权限（最高权限，具备科研助手所有功能的读写权限） 人工智能 科研助手 全局 bc user 正常使用 批量计算服务使用者权限（读写权限） 科研助手使用者权限（科研助手部分读写访问权限，包含主流功能模块的创建、使用、删除等读写功能，不包括权限的配置、核心策略规则等写入权限） 人工智能 科研助手 全局 bc viewer 正常使用 批量计算服务观察者权限（只读权限） 科研助手观察者权限（仅可访问受控范围内的只读权限，部分权限类功能无法访问。） 人工智能 云算网一体化 全局 CtyunAssumeRoleForYswPolicy 正常使用 用于云算网一体化调度平台服务内联委托的授权策略 用于云算网一体化调度平台服务内联委托的授权策略 人工智能 云骁智算 全局 cwai developer 计划下线 云骁智算平台算法工程师访问策略 云骁智算平台算法工程师访问策略 人工智能 云骁智算 全局 cwai maintainer 计划下线 云骁智算平台业务运维工程师访问策略 云骁智算平台业务运维工程师访问策略 人工智能 云骁智算 全局 CWAI 云骁服务委托专用策略 计划下线 CWAI 云骁服务委托专用策略 CWAI 云骁服务委托专用策略 人工智能 智能体引擎 全局 CtyunAGEFullAccess 正常使用 本策略定义了使用智能体引擎的全部权限。 本策略定义了使用智能体引擎的全部权限。 人工智能 智能体引擎 全局 CtyunAGEReadOnlyAccess 正常使用 本策略定义了只读访问智能体引擎的权限。 本策略定义了只读访问智能体引擎的权限。 人工智能 智能体引擎 全局 CtyunAssumeRolePolicyForAGE 正常使用 用于CtyunAssumeRoleForAGE的服务委托授权策略 用于CtyunAssumeRoleForAGE的服务委托授权策略 存储 并行文件服务 资源池 并行文件查看者 正常使用 并行文件查看者 并行文件服务（HPFS）只读访问权限 存储 并行文件服务 资源池 并行文件管理者 正常使用 并行文件管理者 并行文件服务（HPFS）全读写访问权限 存储 存储容灾服务 全局 CtyunAssumeRolePolicyForADTS 正常使用 容灾多活管理员权限 容灾多活管理员权限 存储 存储容灾服务 资源池 snapshotpolicy Admin 正常使用 快照策略服务管理者权限 快照策略服务（snapshotpolicy）全读写访问权限 存储 存储容灾服务 全局 snapshotpolicy Viewer 正常使用 快照策略服务观察者权限 快照策略服务（snapshotpolicy）只读访问权限 存储 弹性文件 全局 sfsadmin 正常使用 弹性文件服务管理者权限 弹性文件服务（SFS Turbo）全读写访问权限 存储 弹性文件 全局 sfsviewer 正常使用 弹性文件服务观察者权限 弹性文件服务（SFS Turbo）只读访问权限 存储 弹性文件 全局 sfspermission admin 计划下线 弹性文件权限组/权限组规则（无企业项目属性） 弹性文件权限组/权限组规则（无企业项目属性） 存储 弹性文件 全局 sfspermission viewer 计划下线 弹性文件权限/权限组规则（无企业项目属性） 弹性文件权限/权限组规则（无企业项目属性） 存储 对象存储 全局 zos admin 正常使用 对象存储服务管理者权限 对象存储服务（ZOS）全读写访问权限 存储 对象存储 全局 zos viewer 正常使用 对象存储服务观察者权限 对象存储服务（ZOS）只读访问权限 存储 海量文件服务 资源池 海量文件服务OceanFS观察者权限（viewer） 正常使用 海量文件服务OceanFS只读权限 海量文件服务（OceanFS）只读访问权限 存储 海量文件服务 资源池 海量文件服务OceanFS管理者权限（admin） 正常使用 海量文件服务OceanFS全部权限 海量文件服务（OceanFS）全读写访问权限 存储 云备份 全局 CtyunCBRFullAccess 正常使用 云备份管理者（admin）权限 云备份（CBR）全读写访问权限 存储 云备份 全局 CtyunCBRReadOnlyAccess 正常使用 云备份查看者（viewer）权限 云备份（CBR）只读访问权限 存储 云容灾 全局 CtyunCDRFullAccess 正常使用 云容灾管理者权限 云容灾（CDR）服务全读写访问权限 存储 云容灾 全局 CtyunCDRReadOnlyAccess 正常使用 云容灾查看者权限 云容灾（CDR）只读访问权限 存储 云硬盘 资源池 evs admin 正常使用 云硬盘服务管理者权限 云硬盘服务（EVS）全读写访问权限 存储 云硬盘 资源池 evs viewer 正常使用 云硬盘服务观察者权限 云硬盘服务（EVS）只读访问权限 存储 云硬盘 全局 vbs admin 正常使用 云硬盘备份管理者权限 云硬盘备份（VBS）全读写访问权限 存储 云硬盘 全局 云硬盘备份观察者权限 计划下线 云硬盘备份观察者（viewer）权限 云硬盘备份观察者（viewer）权限 存储 云硬盘 全局 云硬盘备份管理者权限 计划下线 云硬盘备份管理者（admin）权限 云硬盘备份管理者（admin）权限 存储 云主机备份 全局 csbs viewer 正常使用 云主机备份观察者权限 云主机备份（CSBS）只读访问权限 网络 NAT网关 资源池 nat admin 正常使用 NAT网关管理者权限 NAT网关（NAT）全读写访问权限 网络 NAT网关 资源池 nat viewer 正常使用 NAT网关观察者权限 NAT网关（NAT）只读访问权限 网络 SDWAN 全局 sdwan admin 正常使用 SDWAN管理者权限 SDWAN全读写访问权限 网络 SDWAN 全局 sdwan viewer 正常使用 SDWAN观察者权限 SDWAN只读访问权限 网络 SDWAN 全局 SDWAN流日志admin 正常使用 SDWAN流日志管理员权限 SDWAN流日志全读写访问权限 网络 SDWAN 全局 SDWAN流日志viewer 正常使用 SDWAN流日志查看者权限 SDWAN流日志只读访问权限 网络 VPN 资源池 vpn admin 正常使用 VPN服务管理者权限 VPN服务全读写访问权限 网络 VPN 资源池 vpn viewer 正常使用 VPN服务观察者权限 VPN服务只读访问权限 网络 VPN 全局 添加VPN网关 正常使用 VPN网关添加权限 VPN网关添加权限 网络 弹性负载均衡 全局 alb admin 正常使用 alb 管理员权限 应用型负载均衡（ALB）全读写访问权限 网络 弹性负载均衡 全局 alb viewer 正常使用 alb 观察者权限 应用型负载均衡（ALB）只读访问权限 网络 弹性负载均衡 全局 elb admin 正常使用 弹性负载均衡（ELB）全读写访问权限 弹性负载均衡（ELB）全读写访问权限 网络 弹性负载均衡 全局 elb viewer 正常使用 负载均衡观察者权限 弹性负载均衡（ELB）只读访问权限 网络 弹性负载均衡 全局 gwlb admin 正常使用 gwlb 管理员权限 网关型负载均衡（GWLB）全读写访问权限 网络 弹性负载均衡 全局 gwlb viwer 正常使用 gwlb 查看者角色权限 网关型负载均衡（GWLB）只读访问权限 网络 共享流量包 全局 flowPackage admin 正常使用 共享流量包管理者权限 共享流量包全读写访问权限 网络 共享流量包 全局 flowPackage viewer 正常使用 共享流量包观察者权限 共享流量包只读访问权限 网络 内网DNS 全局 idns admin 正常使用 内网DNS管理者 内网DNS（CTIDNS）全读写访问权限 网络 内网DNS 全局 idns viewer 正常使用 内网DNS查看者 内网DNS（CTIDNS）只读访问权限 网络 虚拟私有云 资源池 ipv6 admin 计划下线 ipv6 admin ipv6 admin 网络 虚拟私有云 资源池 ipv6 viewer 计划下线 ipv6 viewer ipv6 viewer 网络 虚拟私有云 资源池 IPv6带宽admin 正常使用 IPv6带宽默认的管理员权限 IPv6带宽全读写访问权限 网络 虚拟私有云 资源池 IPv6带宽viewer 正常使用 IPv6带宽默认的查看用户权限 IPv6带宽只读访问权限 网络 虚拟私有云 资源池 IPv6网关admin 计划下线 IPv6网关默认的管理员权限 IPv6网关全读写访问权限 网络 虚拟私有云 资源池 IPv6网关viewer 计划下线 IPv6网关默认的查看用户权限 IPv6网关只读访问权限 网络 虚拟私有云 资源池 mirrorFilter admin 计划下线 流量镜像筛选条件管理者权限 流量镜像筛选条件（mirrorFilter）全读写访问权限 网络 虚拟私有云 资源池 mirrorFilter user 计划下线 流量镜像筛选条件使用者权限 流量镜像筛选条件（mirrorFilter）只读访问权限 网络 虚拟私有云 资源池 mirrorFilter viewer 计划下线 流量镜像筛选条件观察者权限 流量镜像筛选条件（mirrorFilter）只读访问权限 网络 虚拟私有云 全局 peering admin 计划下线 对等连接管理者权限 对等连接管理者权限 网络 虚拟私有云 全局 peering admin 计划下线 对等连接管理者权限 对等连接管理者权限 网络 虚拟私有云 全局 peering viewer 计划下线 对等连接查看者权限 对等连接查看者权限 网络 虚拟私有云 全局 peering viewer 计划下线 对等连接查看者权限 对等连接查看者权限 网络 虚拟私有云 资源池 securityGpRules Admin 计划下线 安全组规则管理者服务 安全组规则全读写访问权限 网络 虚拟私有云 资源池 securityGpRules Viewer 计划下线 安全组规则观察者权限 安全组规则只读访问权限 网络 虚拟私有云 资源池 securityGroup admin 计划下线 安全组管理者权限 安全组全读写访问权限 网络 虚拟私有云 资源池 securityGroup user 计划下线 安全组使用者权限 安全组查看和管理规则访问权限 网络 虚拟私有云 资源池 securityGroup viewer 计划下线 安全组观察者权限 安全组只读访问权限 网络 虚拟私有云 资源池 ServerNics Admin 计划下线 弹性网卡管理者权限 弹性网卡管理者权限 网络 虚拟私有云 资源池 ServerNics Viewer 计划下线 弹性网卡观察者权限 弹性网卡观察者权限 网络 虚拟私有云 资源池 trafficMirror admin 计划下线 流量镜像镜像会话管理者权限 流量镜像（trafficMirror）全读写访问权限 网络 虚拟私有云 资源池 trafficMirror user 计划下线 流量镜像镜像会话使用者权限 流量镜像（trafficMirror）查看、启停、变更镜像源和目的的访问权限 网络 虚拟私有云 资源池 trafficMirror viewer 计划下线 流量镜像镜像会话观察者权限 流量镜像（trafficMirror）只读访问权限 网络 虚拟私有云 资源池 vpc admin 正常使用 虚拟私有云管理者权限 虚拟私有云（VPC）全读写访问权限 网络 虚拟私有云 资源池 vpc viewer 正常使用 虚拟私有云观察者权限 虚拟私有云（VPC）只读访问权限 网络 虚拟私有云 全局 vpcep admin 正常使用 VPC终端节点管理者权限 VPC终端节点管理者权限 网络 虚拟私有云 全局 vpcep viewer 正常使用 VPC终端节点查看者权限 VPC终端节点查看者权限 网络 虚拟私有云 资源池 vpcRoute Admin 计划下线 路由表管理者权限 路由表全读写访问权限 网络 虚拟私有云 资源池 vpcRoute Viewer 计划下线 路由表观察者权限123 路由表只读访问权限 网络 虚拟私有云 资源池 VPC流日志 admin 计划下线 本策略定义了VPC流日志的管理员权限（全部权限） 网络 虚拟私有云 资源池 VPC流日志 viewer 计划下线 本策略定义了VPC流日志的查看者权限（可读访问） 网络 虚拟私有云 资源池 链路检测admin 计划下线 链路检测管理员 链路检测管理员 网络 虚拟私有云 资源池 链路检测viewer 计划下线 链路检测只读用户 链路检测只读用户 网络 云间高速 全局 CtyunZNETAdmin 正常使用 云间高速管理者权限 云间高速（EC）全读写访问权限 网络 云间高速 全局 CtyunZNETViewer 正常使用 云间高速查看者权限 云间高速（EC）只读访问权限 网络 云专线 全局 cda admin 计划下线 云专线服务管理者权限 计划隐藏 网络 云专线 全局 cda viewer 计划下线 云专线服务观察者权限 计划隐藏 网络 云专线 全局 云专线查看者 正常使用 云专线查看者视图 云专线（CDA）只读访问权限 网络 云专线 全局 云专线管理者 正常使用 云专线管理者视图 云专线（CDA）全读写访问权限 云终端 天翼云电脑（政企版） 全局 ecpcadmin 正常使用 云电脑管理员权限 云电脑全读写访问权限 云终端 天翼云电脑（政企版） 全局 ecpcviewer 正常使用 云电脑观察者权限 云电脑只读访问权限 云终端 天翼云手机 全局 云手机只读管理员 正常使用 云手机观察者权限 云手机只读访问权限 云终端 天翼云手机 全局 云手机admin管理员 正常使用 云手机管理员权限 云手机全读写访问权限 CDN与边缘 CDN 全局 cdn api admin 正常使用 CDN API管理员权限 CDN API的专属管控权限，支持CDN业务接口调用、接口权限管理及接口使用数据查询等全部操作能力 CDN与边缘 CDN 全局 cdn console admin 正常使用 CDN控制台管理员权限 CDN控制台全读写访问权限 CDN与边缘 CDN 全局 cdn console viewer 正常使用 CDN控制台观察者权限 CDN控制台只读访问权限 CDN与边缘 边缘安全加速平台 全局 accessone console admin 正常使用 边缘安全加速平台Aone安全与加速管理员权限 边缘安全加速平台Aone安全与加速全读写访问权限 CDN与边缘 边缘安全加速平台 全局 accessone console viewer 正常使用 边缘安全加速平台Aone安全与加速只读权限 边缘安全加速平台Aone安全与加速只读访问权限 容器与中间件 弹性容器实例 全局 CtyunECIFullPolicy 正常使用 ECI 完全访问权限系统策略 弹性容器实例（ECI）全读写访问权限 容器与中间件 弹性容器实例 全局 CtyunECIReadOnlyPolicy 正常使用 ECI 只读权限系统策略 弹性容器实例（ECI）只读访问权限 容器与中间件 分布式容器云平台 全局 cceone委托策略 正常使用 cceone委托策略 用于CtyunAssumeRoleForCCEONE的服务委托授权策略 容器与中间件 分布式容器云平台 全局 分布式容器云平台CCE Oneadmin 正常使用 分布式容器云平台CCE One默认管理员策略，拥有所有权限（适用于一类节点资源池） 分布式容器云平台（CCE One）全读写访问权限 容器与中间件 分布式容器云平台 全局 分布式容器云平台CCE Oneuser 正常使用 分布式容器云平台CCE One默认使用者策略，对应用拥有治理权限（适用于一类节点资源池） 仅用于管理分布式容器云平台（CCE One）控制台的资源操作，但不包含新购、续订、变配、退订等订单类相关操作 容器与中间件 分布式容器云平台 全局 分布式容器云平台CCE Oneviewer 正常使用 分布式容器云平台CCE One默认查看者策略，对应用仅拥有只读权限（适用于一类节点资源池） 分布式容器云平台（CCE One）只读访问权限 容器与中间件 分布式消息服务 全局 KAFKA admin 正常使用 自研分布式消息服务Kafka CTIAM 产品默认管理员策略 分布式消息服务Kafka全读写访问权限 容器与中间件 分布式消息服务 全局 KAFKA user 正常使用 自研分布式消息服务Kafka CTIAM 产品默认使用者策略 仅用于管理分布式消息服务Kafka控制台的资源操作，但不包含新购、续订、变配、退订等订单类相关操作 容器与中间件 分布式消息服务 全局 KAFKA viewer 正常使用 自研分布式消息服务Kafka CTIAM 产品默认浏览者策略 分布式消息服务Kafka只读访问权限 容器与中间件 分布式消息服务 全局 lnlineDelegationRolePolicyKafka 正常使用 分布式消息KAFKA内联委托角色策略 用于lnlineDelegationRolePolicyKafka的服务委托授权策略 容器与中间件 分布式消息服务 全局 MQ2 admin 正常使用 自研分布式消息服务rocketmq CTIAM 产品默认管理员策略 分布式消息服务RocketMQ全读写访问权限 容器与中间件 分布式消息服务 全局 MQ2 user 正常使用 自研分布式消息服务rocketmq CTIAM 产品默认使用者策略 仅用于管理分布式消息服务RocketMQ控制台的资源操作，但不包含新购、续订、变配、退订等订单类相关操作 容器与中间件 分布式消息服务 全局 MQ2 viewer 正常使用 自研分布式消息服务rocketmq CTIAM 产品默认浏览者策略 分布式消息服务RocketMQ只读访问权限 容器与中间件 分布式消息服务 全局 MQTT只读管理员 正常使用 分布式消息服务MQTT只读访问权限 分布式消息服务MQTT只读访问权限 容器与中间件 分布式消息服务 全局 MQTT普通管理员 正常使用 仅用于管理分布式消息服务MQTT控制台的资源操作，但不包含新购、续订、变配、退订等订单类相关操作 仅用于管理分布式消息服务MQTT控制台的资源操作，但不包含新购、续订、变配、退订等订单类相关操作 容器与中间件 分布式消息服务 全局 MQTT超级管理员 正常使用 分布式消息服务MQTT全读写访问权限 分布式消息服务MQTT全读写访问权限 容器与中间件 分布式消息服务 全局 RabbitMQ4.0 默认浏览者 正常使用 自研分布式消息服务RabbitMQ CTIAM 产品默认浏览者策略 分布式消息服务RabbitMQ只读访问权限 容器与中间件 分布式消息服务 全局 RabbitMQ4.0普通使用者 正常使用 自研分布式消息服务RabbitMQCTIAM 产品默认使用者策略 仅用于管理分布式消息服务RabbitMQ控制台的资源操作，但不包含新购、续订、变配、退订等订单类相关操作 容器与中间件 分布式消息服务 全局 RabbitMQ4.0超级管理员 正常使用 自研分布式消息服务RabbitMQ CTIAM 产品超级管理员策略 分布式消息服务RabbitMQ全读写访问权限 容器与中间件 分布式消息服务 全局 RocketMQMQ2 admin 正常使用 分布式消息服务RocketMQMQ2管理权限 分布式消息服务RocketMQ全读写访问权限 容器与中间件 分布式消息服务 全局 RocketMQMQ2 user 正常使用 分布式消息服务RocketMQ 普通用户权限策略 仅用于管理分布式消息服务RocketMQ控制台的资源操作，但不包含新购、续订、变配、退订等订单类相关操作 容器与中间件 分布式消息服务 全局 RocketMQMQ2 viewer 正常使用 只读访问分布式消息服务RocketMQMQ2的权限 分布式消息服务RocketMQ只读访问权限 容器与中间件 函数计算 全局 CtyunFcDefaultDelegateRolePolicy 正常使用 函数计算服务委托 用于CtyunFcDefaultDelegateRole的服务委托授权策略 容器与中间件 函数计算 全局 CtyunFcFullPolicy 正常使用 管理函数计算（FC）服务的权限 函数计算（FC）全读写访问权限 容器与中间件 函数计算 全局 CtyunFcInvocationPolicy 正常使用 调用函数计算（FC）服务的权限 函数计算（FC）产品提供的函数调用权限 容器与中间件 函数计算 全局 CtyunServiceInlineDelegateRolePolicyForFC 正常使用 函数计算内联委托 用于CtyunServiceDelegateRoleForFC的服务委托授权策略 容器与中间件 全局事务服务 资源池 GTS普通用户策略 计划下线 GTS普通用户，可使用事务分组设置相关正常功能 GTS普通用户，可使用事务分组设置相关正常功能 容器与中间件 全局事务服务 资源池 GTS管理员策略 计划下线 GTS管理员用户，拥有所有功能权限 GTS管理员用户，拥有所有功能权限 容器与中间件 容器镜像服务 全局 CRS LTS委托策略 正常使用 容器镜像服务CRS委托调用LTS策略，用于用户委托调用LTS相关接口 用于CtyunLTSAssumeRoleForCRS的服务委托授权策略 容器与中间件 容器镜像服务 全局 CRS委托策略 正常使用 用于CRS委托调用VPCE、内网DNS的委托策略 用于CtyunAssumeRoleForCRS的服务委托授权策略 容器与中间件 容器镜像服务 全局 CtyunAssumeRolePolicyForCRSAccessZOS 正常使用 容器镜像服务CRS委托调用ZOS策略，用于用户委托调用ZOS相关接口 容器镜像服务CRS委托调用ZOS策略，用于用户委托调用ZOS相关接口 容器与中间件 容器镜像服务 全局 CtyunAssumeRolePolicyForCRSOpenZOS 正常使用 容器镜像服务CRS委托开通ZOS策略，用于用户委托开通ZOS服务 容器镜像服务CRS委托开通ZOS策略，用于用户委托开通ZOS服务 容器与中间件 容器镜像服务 全局 容器镜像服务CRS admin 正常使用 容器镜像服务CRS管理员权限策略，拥有CRS所有资源的读写权限 容器镜像服务（CRS）全读写访问权限 容器与中间件 容器镜像服务 全局 容器镜像服务CRS user 正常使用 容器镜像服务CRS普通用户权限策略，拥有除了订单相关操作之外的所有读写权限 仅用于管理容器镜像服务（CRS）控制台的资源操作，但不包含新购、续订、变配、退订等订单类相关操作 容器与中间件 容器镜像服务 全局 容器镜像服务CRS viewer 正常使用 容器镜像服务CRS只读用户权限策略，对CRS所有资源拥有只读权限 容器镜像服务（CRS）只读访问权限 容器与中间件 事件总线 全局 CtyunAssumePolicyForEbByCloudflow 正常使用 事件总线获取工作流执行权限的服务内联委托角色策略 用于CtyunAssumeRoleForEbByCloudflow的服务委托授权策略 容器与中间件 事件总线 全局 CtyunAssumePolicyForEventBridge 正常使用 事件总线默认服务内联委托策略 用于CtyunAssumeRoleForEventBridge的服务委托授权策略 容器与中间件 事件总线 全局 CtyunServicelnlineDelegationPolicyForEb 正常使用 事件总线默认服务内联委托策略(仅同步函数实例时使用) 用于CtyunServicelnlineDelegationRoleForEb的服务委托授权策略 容器与中间件 事件总线 全局 CtyunServicelnlineDelegationRolePolicyForEb 正常使用 事件总线服务内联委托角色策略(仅同步函数实例时使用) 用于CtyunServicelnlineDelegationRoleForEb的服务委托授权策略 容器与中间件 事件总线 全局 CtyunServicelnlineDelegationRolePolicyForEventBridge 正常使用 事件总线默认服务内联委托角色策略 用于CtyunAssumeRoleForEventBridge的服务委托授权策略 容器与中间件 事件总线 全局 EventBridge admin 正常使用 超级管理员权限策略，拥有事件总线EventBridge所有资源的读写权限 事件总线（EventBridge）全读写访问权限 容器与中间件 事件总线 全局 Eventbridge publisher 正常使用 仅拥有事件总线EventBridge事件的发送权限 事件总线（EventBridge）事件发送权限 容器与中间件 事件总线 全局 EventBridge user 正常使用 普通用户策略，拥有事件总线EventBridge除订单相关操作之外对其他资源拥有读写权限 仅用于管理事件总线（EventBridge）控制台的资源操作，但不包含退订等订单类相关操作 容器与中间件 事件总线 全局 EventBridge viewer 正常使用 管理员权限策略，拥有事件总线EventBridge所有资源的只读权限 事件总线（EventBridge）只读访问权限 容器与中间件 微服务引擎 全局 微服务引擎微服务治理中心MSGCadmin 正常使用 微服务引擎微服务治理中心MSGC默认管理者策略，对应用拥有管理权限（适用于一类节点资源池） 微服务引擎微服务治理中心（MSGC）全读写访问权限 容器与中间件 微服务引擎 全局 微服务引擎微服务治理中心MSGCuser 正常使用 微服务引擎微服务治理中心MSGC默认使用者策略，对应用拥有治理权限（适用于一类节点资源池） 仅用于管理微服务引擎微服务治理中心（MSGC）控制台的资源操作，但不包含新购、续订、变配、退订等订单类相关操作 容器与中间件 微服务引擎 全局 微服务引擎微服务治理中心MSGCviewer 正常使用 微服务引擎微服务治理中心MSGC默认查看者策略，对应用仅拥有只读权限（适用于一类节点资源池） 微服务引擎微服务治理中心（MSGC）只读访问权限 容器与中间件 微服务引擎 全局 微服务引擎云原生网关CGWadmin 正常使用 微服务引擎云原生网关CGW默认管理者策略，拥有所有权限（适用于一类节点资源池） 微服务引擎云原生网关（CGW）全读写访问权限 容器与中间件 微服务引擎 全局 微服务引擎云原生网关CGWuser 正常使用 微服务引擎云原生网关CGW默认使用者策略，拥有实例（不可订购、退订等生命周期管理操作）的使用权限（适用于一类节点资源池） 仅用于管理微服务引擎云原生网关（CGW）控制台的资源操作，但不包含新购、续订、变配、退订等订单类相关操作 容器与中间件 微服务引擎 全局 微服务引擎云原生网关CGWviewer 正常使用 微服务引擎云原生网关CGW默认查看者策略，拥有实例的只读权限（适用于一类节点资源池） 微服务引擎云原生网关（CGW）只读访问权限 容器与中间件 微服务引擎 全局 微服务引擎注册配置中心RCCadmin 正常使用 微服务引擎注册配置中心RCC默认管理者策略，拥有所有权限（适用于一类节点资源池） 微服务引擎注册配置中心（RCC）全读写访问权限 容器与中间件 微服务引擎 全局 微服务引擎注册配置中心RCCuser 正常使用 微服务引擎注册配置中心RCC默认使用者策略，拥有实例的使用权限，无订购、扩缩容、退订等管理权限（适用于一类节点资源池） 仅用于管理微服务引擎注册配置中心（RCC）控制台的资源操作，但不包含新购、续订、变配、退订等订单类相关操作 容器与中间件 微服务引擎 全局 微服务引擎注册配置中心RCCviewer 正常使用 微服务引擎注册配置中心RCC默认只读策略，拥有实例的所有查询权限，无编辑、删除、新增等管理权限（适用于一类节点资源池） 微服务引擎注册配置中心（RCC）只读访问权限 容器与中间件 微服务引擎 全局 微服务治理委托授权 正常使用 微服务治理委托授权 用于CtyunAssumeRoleForvpcemsgc的服务委托授权策略 容器与中间件 微服务云应用平台 全局 CtyunAssumeRolePolicyForMSAP 正常使用 用于CtyunAssumeRoleForMSAP的服务委托授权策略 用于CtyunAssumeRoleForMSAP的服务委托授权策略 容器与中间件 微服务云应用平台 全局 微服务云应用平台MSAP系统管理员 正常使用 微服务云应用平台MSAP系统管理员策略，拥有MSAP系统所有权限（适用于一类节点资源池） 微服务云应用平台（MSAP）全读写访问权限 容器与中间件 微服务云应用平台 全局 微服务云应用平台MSAP应用管理员 正常使用 微服务云应用平台MSAP系统应用管理员策略，负责与应用相关的管理员权限（适用于一类节点资源池） 微服务云应用平台（MSAP）应用管理策略，包含环境、项目模块的只读访问权限，以及应用、应用实例、应用监控、服务治理模块的全读写权限 容器与中间件 微服务云应用平台 全局 微服务云应用平台MSAP应用运维人员 正常使用 微服务云应用平台MSAP系统应用运维策略，负责与应用相关的运维权限（适用于一类节点资源池） 微服务云应用平台（MSAP）应用运维策略，包含环境、项目、应用、应用监控、服务治理模块的只读访问权限，以及应用实例模块的全读写权限 容器与中间件 微服务云应用平台 全局 微服务云应用平台MSAP资源管理员 正常使用 微服务云应用平台MSAP系统资源管理员策略，负责与环境、集群相关的管理员权限（适用于一类节点资源池） 微服务云应用平台（MSAP）资源管理策略，包含环境、项目的全读写管理权限以及应用、应用监控、服务治理的只读访问权限 容器与中间件 微服务云应用平台 全局 微服务云应用平台MSAP资源运维人员 正常使用 微服务云应用平台MSAP系统资源运维策略，负责与环境、集群相关的运维权限（适用于一类节点资源池） 微服务云应用平台（MSAP）资源运维策略，包含环境、项目、应用、应用监控、服务治理模块的只读访问权限 容器与中间件 微服务云应用平台 全局 微服务云应用平台MSAPviewer 正常使用 微服务云应用平台MSAP默认查看着策略，拥有只读权限（适用于一类节点资源池） 微服务云应用平台（MSAP）只读访问权限 容器与中间件 应用服务网格 资源池 CtyunCsmAdminTrust 正常使用 服务网格在用户委托授权后，得到的日志服务权限。 用于CtyunCsmAdminTrust的服务委托授权策略 容器与中间件 应用服务网格 资源池 CtyunCsmAdminTrust2 计划下线 获得用户委托授权后，操作VPC资源 获得用户委托授权后，操作VPC资源 容器与中间件 应用服务网格 资源池 CtyunCsmAdminTrustVpcOper 计划下线 获得用户委托授权后，操作VPC资源 获得用户委托授权后，操作VPC资源 容器与中间件 应用服务网格 全局 应用服务网格CSMadmin 正常使用 应用服务网格CSM默认管理员策略，拥有所有权限（适用于一类节点资源池） 应用服务网格（CSM）全读写访问权限 容器与中间件 应用服务网格 全局 应用服务网格CSMviewer 正常使用 应用服务网格CSM默认使用者策略，拥有实例的只读权限（适用于一类节点资源池） 应用服务网格（CSM）只读访问权限 容器与中间件 应用高可用 全局 应用高可用故障演练平台委托授权管理员权限 正常使用 应用高可用故障演练平台委托授权管理员权限 用于adtsChaosAdmin的服务委托授权策略 容器与中间件 应用高可用 全局 应用高可用委托授权管理员权限 正常使用 应用高可用委托授权管理员策略 用于adtsadmin的服务委托授权策略 容器与中间件 应用性能监控 全局 应用性能监控授权事件总线策略 正常使用 应用性能监控服务在用户委托授权后，得到的事件总线服务权限 用于apmDeliverEventbrige的服务委托授权策略 容器与中间件 应用性能监控 全局 应用性能监控与vpce委托授权策略 正常使用 应用性能监控服务在用户委托授权后，得到的vpce服务权限。 用于apmVpceAdmintrust的服务委托授权策略 容器与中间件 应用性能监控 全局 应用性能监控APMadmin 正常使用 应用性能监控APM默认管理员策略，拥有所有权限（适用于一类节点资源池） 应用性能监控（APM）全读写访问权限 容器与中间件 应用性能监控 全局 应用性能监控APMuser 正常使用 应用性能监控APM默认使用者策略，拥有产品（不可订购、退订等管理操作）的使用权限（适用于一类节点资源池） 仅用于管理应用性能监控（APM）控制台的资源操作，但不包含新购、续订、变配、退订等订单类相关操作 容器与中间件 应用性能监控 全局 应用性能监控APMviewer 正常使用 应用性能监控APM默认查看着策略，拥有只读权限（适用于一类节点资源池） 应用性能监控（APM）只读访问权限 容器与中间件 云工作流 全局 CtyunCloudflowDefaultDelegateRolePolicy 正常使用 云工作流(Cloudflow)的默认服务委托角色策略 用于CtyunCloudflowDefaultDelegateRole的服务委托授权策略 容器与中间件 云工作流 全局 CtyunCloudflowInlineDelegateRolePolicy 正常使用 云工作流(CloudFlow)的内联委托角色策略 用于CtyunCloudflowInlineDelegateRole的服务委托授权策略 容器与中间件 云日志服务 全局 CtyunFcReadOnlyPolicy 正常使用 只读访问函数计算（FC）服务的权限 函数计算（FC）只读访问权限 容器与中间件 云日志服务 全局 云日志服务通用委托授权策略 计划下线 云日志服务在用户委托授权后，使用该策略调用第三方服务 云日志服务在用户委托授权后，使用该策略调用第三方服务 容器与中间件 云日志服务 全局 云日志服务与ecs委托授权策略 正常使用 云日志服务在用户委托授权后，得到的ecs服务权限。 用于ltsEcsAdmintrust的服务委托授权策略 容器与中间件 云日志服务 全局 云日志服务与kafka委托授权策略 正常使用 云日志服务在用户委托授权后，得到的kafka服务权限。 用于ltsKafkaAdmintrust的服务委托授权策略 容器与中间件 云日志服务 全局 云日志服务LTSadmin 正常使用 云日志服务LTS默认管理员策略，拥有所有权限（适用于一类节点资源池） 云日志服务（LTS）全读写访问权限 容器与中间件 云日志服务 全局 云日志服务LTSviewer 正常使用 云日志服务LTS默认查看者策略，拥有日志数据的只读权限（适用于一类节点资源池） 云日志服务（LTS）只读访问权限 容器与中间件 云容器引擎 资源池 apmprometheus与it的委托授权策略 计划下线 apmprometheus服务在用户委托授权后，得到的获取it的aksk权限。 用于apmItAdmintrust的服务委托授权策略 容器与中间件 云容器引擎 全局 CCSE viewer 计划下线 作废，不可用 作废，不可用 容器与中间件 云容器引擎 全局 云容器引擎CCE admin 正常使用 云容器引擎ccse管理员策略，对容器所有资源拥有读写权限 云容器引擎（CCE）全读写访问权限 容器与中间件 云容器引擎 全局 云容器引擎CCE user 正常使用 云容器引擎ccse普通用户策略，除订单相关操作之外对其他资源拥有读写权限 仅用于管理云容器引擎（CCE）控制台的资源操作，但不包含新购、续订、变配、退订等订单类相关操作 容器与中间件 云容器引擎 全局 云容器引擎CCE viewer 正常使用 云容器引擎ccse只读用户策略，对容器所有资源仅拥有只读权限 云容器引擎（CCE）只读访问权限 容器与中间件 云容器引擎 全局 云容器引擎CCE服务委托策略 正常使用 云容器引擎CCE服务委托专用策略 用于cceadmintrust的服务委托授权策略 容器与中间件 云容器引擎 全局 云容器引擎CCE资源委托策略 正常使用 云容器引擎CCE资源委托专用策略 用于ecsadmintrust、ebmadmintrust的资源委托授权策略 容器与中间件 云应用引擎 全局 CtyunCAEFulPolicy 正常使用 云应用引擎(CAE)的管理员权限 云应用引擎(CAE)全读写访问权限 容器与中间件 云应用引擎 全局 CtyunCAEReadOnlyPolicy 正常使用 云应用引擎(CAE)的只读访问权限 云应用引擎(CAE)只读访问权限 容器与中间件 云应用引擎 全局 CtyunCAEReadWritePolicy 正常使用 云应用引擎(CAE)的读写访问权限 仅用于管理云应用引擎(CAE)控制台的资源操作，但不包含新购、续订、变配、退订等订单类相关操作 容器与中间件 云应用引擎 全局 CtyunCAEServiceDefaultDelegateRolePolicy 正常使用 云应用引擎(CAE)的服务委托权限 用于CtyunCAEServiceDefaultDelegateRole的服务委托授权策略 容器与中间件 云应用引擎 全局 CtyunCAEServicelnlineDelegationRolePolicy 正常使用 云应用引擎(CAE)的内联委托权限 用于CtyunCAEServiceInlineDelegateRole的服务委托授权策略 容器与中间件 云原生网关 全局 云原生网关与日志委托授权策略 计划下线 云原生网关在用户委托授权后，得到的日志服务权限。 云原生网关在用户委托授权后，得到的日志服务权限。 容器与中间件 云原生网关 全局 云原生API网关AGWadmin 正常使用 云原生API网关（AGW）全读写访问权限 云原生API网关（AGW）全读写访问权限 容器与中间件 云原生网关 全局 云原生API网关AGWviewer 正常使用 云原生API网关（AGW）只读访问权限 云原生API网关（AGW）只读访问权限 容器与中间件 云原生API网关 全局 CtyunAssumeRolePolicyForAgw 正常使用 云原生网关在用户委托授权后，得到的日志、应用性能监控和ELB等服务权限。 用于CtyunAssumeRoleForAgw的服务委托授权策略 容器与中间件 云原生API网关 全局 CtyunCgwAdminTrust 正常使用 云原生网关在用户委托授权后，得到的日志和应用性能监控服务权限。 用于CtyunCgwAdminTrust的服务委托授权策略 容器与中间件 云原生API网关 全局 云原生API网关AGWuser 正常使用 仅用于管理云原生API网关（AGW）控制台的资源操作，但不包含新购、续订、变配、退订等订单类相关操作 仅用于管理云原生API网关（AGW）控制台的资源操作，但不包含新购、续订、变配、退订等订单类相关操作 数据库 分布式关系型数据库 全局 CtyunDRDSFullAccess 正常使用 分布式关系型数据库（DRDS）默认管理员策略。仅对一类节点生效。 分布式关系型数据库（DRDS）全读写访问权限,仅对一类节点生效。 数据库 分布式关系型数据库 全局 CtyunDRDSReadOnlyAccess 正常使用 分布式关系型数据库（DRDS）默认查看者策略。仅对一类节点生效。 分布式关系型数据库（DRDS）只读访问权限,仅对一类节点生效。 数据库 分布式关系型数据库 全局 CtyunDRDSUserAccess 正常使用 分布式关系型数据库（DRDS）默认用户策略，仅对一类节点生效。 分布式关系型数据库（DRDS）默认用户策略，支持DRDS控制台可见的主要功能的使用，但对关联RDS、分组、对弹性IP、用户、角色、用户权限、schema、序列实际新增、修改或删除权限做了限制，仅对一类节点生效。 数据库 分布式缓存 全局 CtyunServicelnlineDelegationRolePolicyCache 正常使用 分布式缓存内联委托角色策略 用于dcsadmintrust的服务委托授权策略 数据库 分布式缓存服务 全局 分布式缓存Redis admin 正常使用 【分布式缓存服务Redis】管理用户策略，对实例资源拥有管理维护权限 分布式缓存服务Redis版全读写访问权限 数据库 分布式缓存服务 全局 分布式缓存Redis user 正常使用 【分布式缓存服务Redis】使用用户策略，对实例资源拥有应用使用权限 仅用于管理分布式缓存服务Redis版控制台的资源操作，但不包含新购、续订、变配、退订等订单类相关操作 数据库 分布式缓存服务 全局 分布式缓存Redis viewer 正常使用 【分布式缓存服务Redis】只读用户策略，对实例资源仅拥有只读权限 分布式缓存服务Redis版只读访问权限 数据库 分布式融合数据库 全局 HTAPadmin 正常使用 分布式融合数据库HTAP产品管理员权限 分布式融合数据库（HTAP）全读写访问权限 数据库 分布式融合数据库 全局 HTAPuser 正常使用 分布式融合数据库HTAP产品普通用户权限 分布式融合数据库（HTAP）部分读写访问权限，支持实例用户密码修改、数据库创建、实例用户创建。 数据库 分布式融合数据库 全局 HTAPviewer 正常使用 分布式融合数据库HTAP产品只读用户权限 分布式融合数据库（HTAP）只读访问权限 数据库 关系数据库 全局 MySQLadmin 正常使用 自研关系数据库MySQL版 CTIAM 产品默认管理员策略 关系数据库MySQL版（MySQL）全读写访问权限 数据库 关系数据库 全局 MySQLreviewer 正常使用 自研关系数据库MySQL版 CTIAM 产品默认 浏览者 策略 关系数据库MySQL版（MySQL）只读访问权限 数据库 关系数据库 全局 MySQLuser 正常使用 自研关系数据库MySQL版 CTIAM 产品默认使用者 策略 关系数据库MySQL版（MySQL）该权限禁止用户做修改密码、重启实例、删除数据库等高权限动作，但允许用户进行其他基础操作； 数据库 关系数据库 全局 PostgreSQL只读用户 正常使用 PostgreSQL只读用户，仅支持查看实例等信息，不支持操作与修改 关系数据库PostgreSQL版（RDS POSTGRESQL）只读访问权限，支持查看实例等信息，不支持操作与修改已有实例。 数据库 关系数据库 全局 PostgreSQL普通用户 正常使用 PostgreSQL普通用户，支持部分常规实例操作权限及实例查看权限 关系数据库PostgreSQL版（RDS POSTGRESQL）部分读写访问权限，支持操作、查看已有实例。 数据库 关系数据库 全局 PostgreSQL管理员 正常使用 PostgreSQL管理员，拥有租户下全部权限 关系数据库PostgreSQL版（RDS POSTGRESQL）全读写访问权限 数据库 关系数据库 全局 RDS2 admin 正常使用 超级管理员 关系数据库MySQL版（RDS MySQL）管理员策略。该策略拥有租户下全部权限。 数据库 关系数据库 全局 RDS2 user 正常使用 普通管理员 关系数据库MySQL版（RDS MySQL）普通用户策略。该策略允许您操作、查看已有实例。 数据库 关系数据库 全局 RDS2 viewer 正常使用 只读管理员 关系数据库MySQL版（RDS MySQL）只读用户策略。该策略仅支持查看实例等信息，不支持操作与修改已有实例。 数据库 关系数据库 资源池 SQLServer admin 正常使用 SQLServer admin系统策略 关系数据库SQL Server版（RDS SQL Server）全读写访问权限 数据库 关系数据库 资源池 SQLServer viewer 正常使用 SQLServer viewer系统策略 关系数据库SQL Server版（RDS SQL Server）只读访问权限，支持查看实例等信息，不支持操作与修改已有实例。 数据库 数据传输服务 全局 DTSadmin 正常使用 DTS admin系统策略 数据传输服务（DTS）全读写访问权限 数据库 数据传输服务 全局 DTSuser 正常使用 DTS user系统策略 数据传输服务（DTS）部分读写访问权限，不包含获取分布式数据库分片信息、释放任务操作 数据库 数据传输服务 全局 DTSviewer 正常使用 DTS viewer系统策略 数据传输服务（DTS）只读访问权限 数据库 数据管理服务 全局 DMSadmin 正常使用 DMSadmin系统策略 数据管理服务（DMS）全读写访问权限。 数据库 数据库审计 全局 数据库审计安全员策略 正常使用 数据库审计安全员策略 该策略是用于数据库审计（DBA）安全管理的权限，包含配置数据库与规则、查看各类告警报告的权限 数据库 数据库审计 全局 数据库审计审计员策略 正常使用 数据库审计审计员策略 该策略是用于数据库审计（DBA）审计管理的权限，包含查看其他用户的操作日志、管理审计的权限 数据库 数据库审计 全局 数据库审计系统管理员策略 正常使用 数据库审计系统管理员策略 该策略是用于数据库审计（DBA）系统管理的权限，包含系统权限的配置和维护 数据库 数据库审计 全局 数据库审计admin策略 正常使用 数据库审计admin策略 数据库审计（DBA）全读写访问权限 数据库 文档数据库 全局 dds admin 正常使用 文档数据库服务DDS CTIAM 产品默认管理员策略 文档数据库服务（DDS）全读写访问权限 数据库 文档数据库 全局 dds user 正常使用 文档数据库服务DDS CTIAM 产品默认使用者 策略 文档数据库服务（DDS）部分读写访问权限，支持查看实例等信息，不支持禁止用户修改密码、重启实例、删除账户。 数据库 文档数据库 全局 dds viewer 正常使用 文档数据库服务DDS CTIAM 产品默认 浏览者 策略 文档数据库服务（DDS）只读访问权限 数据库 云数据库 资源池 clickhouse admin 正常使用 clickhouse admin 云数据库ClickHouse全读写访问权限 数据库 云数据库 资源池 clickhouse user 正常使用 clickhouse user 仅用于云数据库ClickHouse控制台的资源操作，但不包含创建账号、更新用户权限、重置用户密码、删除用户账号、解绑用户账号权限 数据库 云数据库 资源池 clickhouse viewer 正常使用 clickhouse viewer 云数据库ClickHouse只读访问权限 大数据 datawings 全局 datawings admin 计划下线 datawings主账号权限 datawings主账号权限 大数据 datawings 全局 datawings user 计划下线 datawings普通用户权限，仅可查询资源组，不可续订 datawings普通用户权限，仅可查询资源组，不可续订 大数据 翼MapReduce 全局 EMRLogDeliveryAccess 正常使用 MapReduce服务上报日志专属策略 用于CtyunOpenSearchLogDeliveryAccess的服务委托授权策略 大数据 翼MapReduce 全局 翼MapReduce 管理员 正常使用 具备翼MapReduce的用户管理权限 翼MapReduce读写访问权限，适用于翼MR控制台，可进行IAM同步、新建角色、编辑角色、删除角色、删除集群操作 大数据 翼MapReduce 全局 翼MapReduce 用户 正常使用 具备翼MapReduce的普通用户权限 翼MapReduce只读访问权限 大数据 云搜索服务 全局 csx admin 正常使用 云搜索服务一类节点管理者权限 云搜索服务（CSX）全读写访问权限 大数据 云搜索服务 全局 csx user 正常使用 云搜索服务一类节点使用者权限 云搜索服务（CSX）只读访问权限 大数据 云搜索服务 全局 OpenSearchLogDeliveryAccess 正常使用 云搜索服务上报日志专属策略 用于CtyunOpenSearchLogDeliveryAccess的服务委托授权策略 安全及管理 web应用防火墙 全局 ctwaf admin 正常使用 ctwaf admin策略 ctwaf admin策略 安全及管理 web应用防火墙 全局 ctwaf viewer 正常使用 ctwaf viewer策略 ctwaf viewer策略 安全及管理 安全体检 全局 安全体检查看者viewer 正常使用 安全体检（NSC）的只读权限 安全体检（NSC）只读访问权限 安全及管理 安全体检 全局 安全体检管理者admin 正常使用 安全体检（NSC）的全部权限 安全体检（NSC）全读写访问权限 安全及管理 安全专区 资源池 dszAudAdmin 正常使用 审计管理员 该策略是用于数据安全专区（DSZ）审计管理的权限，包含系统操作审计的查看与管理权限 安全及管理 安全专区 全局 数据安全专区订单业务员 正常使用 支持数据安全专区购买、续订、退订、升配、降配权限 支持数据安全专区购买、续订、退订、升配、降配权限 安全及管理 服务器安全卫士 全局 ctcsscn admin 正常使用 服务器安全卫士(admin)权限 服务器安全卫士（CTCSS）全局读写权限 安全及管理 服务器安全卫士 全局 ctcsscn viewer 正常使用 服务器安全卫士(viewer)权限 服务器安全卫士（CTCSS）只读访问权限 安全及管理 服务器安全卫士 全局 服务器安全卫士配额查看权限 正常使用 服务器安全卫士配额查看权限 服务器安全卫士（CTCSS）配额管理只读访问权限 安全及管理 服务器安全卫士 全局 服务器安全卫士配额购买续订退订升配权限 正常使用 服务器安全卫士配额购买续订退订升配权限 该策略用于服务器安全卫士（CTCSS）订购、续订、退订、变配操作权限 安全及管理 服务器安全卫士 全局 服务器安全卫士委托授权策略 正常使用 服务器安全卫士委托授权策略 服务器安全卫士（CTCSS）风险助手全读写权限 安全及管理 密钥管理 全局 kms admin 正常使用 kms admin 密钥管理（KMS）全局读写访问权限 安全及管理 密钥管理 全局 kms viewer 正常使用 kms viewer 密钥管理（KMS）只读访问权限 安全及管理 云堡垒机 全局 ctcbh admin 正常使用 云堡垒机(原生版)管理员策略 云堡垒机（CBH）全读写访问权限 安全及管理 云堡垒机 全局 ctcbh viewer 正常使用 云堡垒机(原生版)查看策略 云堡垒机（CBH）只读访问权限 安全及管理 云等保专区 全局 云等保安全体检 正常使用 用于云等保专区 安全体检 权限控制 云等保专区（CTYDB)安全体检全读写访问权限 安全及管理 云等保专区 全局 云等保堡垒机 正常使用 用于云等保专区 堡垒机 权限控制 云等保专区（CTYDB)堡垒机全读写访问权限 安全及管理 云等保专区 全局 云等保风险助手 正常使用 用于云等保专区 风险助手 权限控制 云等保专区（CTYDB)风险助手全读写访问权限 安全及管理 云等保专区 全局 云等保漏洞扫描 正常使用 用于云等保专区 漏洞扫描 权限控制 云等保专区（CTYDB)漏洞扫描全读写访问权限 安全及管理 云等保专区 全局 云等保日志审计 正常使用 用于云等保专区 日志审计 权限控制 云等保专区（CTYDB)日志审计全读写访问权限 安全及管理 云等保专区 全局 云等保商用管理员 正常使用 用于云等保专区 管理员 所有权限控制 云等保专区（CTYDB)全读写访问权限，同时包含资源下单权限 安全及管理 云等保专区 全局 云等保数据库审计 正常使用 用于云等保专区 数据库审计 权限控制 云等保专区（CTYDB)数据库审计全读写访问权限 安全及管理 云等保专区 全局 云等保下一代防火墙 正常使用 用于云等保专区 下一代防火墙 权限控制 云等保专区（CTYDB)下一代防火墙全读写访问权限 安全及管理 云等保专区 全局 云等保业务管理员 正常使用 用于云等保专区 业务管理员 权限控制 仅用于管理云等保专区（CTYDB）控制台的资源操作，但不包含新购、续订、变配、退订相关操作 安全及管理 云等保专区 全局 云等保云安全中心 正常使用 用于云等保专区 云安全中心 权限控制 云等保专区（CTYDB)云安全中心全读写访问权限 安全及管理 云等保专区 全局 云等保主机安全 正常使用 用于云等保专区 主机安全 权限控制 云等保专区（CTYDB)主机安全全读写访问权限 安全及管理 云等保专区 全局 云等保WEB应用防火墙 正常使用 用于云等保专区 WEB应用防火墙 权限控制 云等保专区（CTYDB)Web应用防火墙全读写访问权限 安全及管理 云防火墙 全局 CFW admin 正常使用 云防火墙(admin)权限 云防火墙（CFW）全读写访问权限 安全及管理 云防火墙 全局 CFW viewer 正常使用 云防火墙(viewer)权限 云防火墙（CFW）只读访问权限 安全及管理 云防火墙 全局 CFW订购 正常使用 cfw订购策略 仅用于云防火墙（CFW）订购、续订、退订、升配操作权限。 安全及管理 云监控 全局 cm admin 正常使用 云监控服务管理员权限 云监控服务（CM）全读写访问权限 安全及管理 云监控 全局 cm viewer 正常使用 云监控服务观察者权限 云监控服务（CM）只读访问的基础权限.仅可查看监控资源（包括：监控面板、资源分组、站点监控、告警服务等） 安全及管理 云监控 全局 云监控查看者（viewer） 正常使用 云监控服务（CM）只读访问权限 云监控服务（CM）只读访问权限 安全及管理 云监控 全局 云监控管理者(admin) 正常使用 云监控服务（CM）全读写访问权限 云监控服务（CM）全读写访问权限 安全及管理 云密评专区 全局 云密评专区管理者 正常使用 云密评专区管理者策略 云密评专区（CTCSZ）全读写访问权限 安全及管理 云审计 全局 cloudauditadmin 正常使用 云审计管理员 云审计（CLOUDAUDIT）全读写访问权限 安全及管理 云审计 全局 cloudauditauditor 正常使用 云审计（CLOUDAUDIT）只读访问权限 云审计（CLOUDAUDIT）只读访问权限 安全及管理 云审计 全局 cloudauditviewer 正常使用 云审计普通用户策略 云审计（CLOUDAUDIT）只读访问权限 安全及管理 云审计 全局 lasadmin 正常使用 日志审计（LAS）全读写访问权限 日志审计（LAS）全读写访问权限 安全及管理 云审计 全局 lasbusiness 正常使用 日志审计 业务管理员 权限 该策略是用于日志审计（LAS）业务管理的权限，包含登录管理实例的权限，但是无法再进行订购、续订等订单操作 安全及管理 云审计 全局 数据库审计业务管理员策略 正常使用 数据库审计业务管理员策略 该策略是用于数据库审计（DBA）业务管理的权限，包含登录管理实例的权限，但是无法再进行订购、续订等订单操作 安全与管理 web应用防火墙 全局 ctwaf monitor 正常使用 ctwaf运营人员策略 ctwaf运营人员策略 安全与管理 故障演练 全局 CtyunAssumeRolePolicyForADTSChaos 正常使用 故障演练服务管理员权限 故障演练服务管理员权限 安全与管理 故障演练 全局 演练观察员 正常使用 拥有故障演练服务查看权限 拥有故障演练服务查看权限 安全与管理 故障演练 全局 演练管理员 正常使用 拥有故障演练服务演练任务管理权限 拥有故障演练服务演练任务管理权限 安全与管理 故障演练 全局 演练系统管理员 正常使用 拥有故障演练服务所有功能读写权限 拥有故障演练服务所有功能读写权限 安全与管理 日志审计 全局 lasaudit 正常使用 审计管理员 该策略是用于日志审计（LAS）审计管理的权限，包含首页，资产管理，日志审计，风险分析事件策略、报表管理，操作日志的菜单权限 安全与管理 日志审计 全局 lassecurity 正常使用 安全管理员 该策略是用于日志审计（LAS）安全管理的权限，包含首页，资产管理，日志审计，风险分析，风险处置的菜单权限 安全与管理 数据安全专区 资源池 dszApproveAdmin 正常使用 审批管理员 该策略是用于数据安全专区（DSZ）审批管理的权限，包含任务查询与审核权限 安全与管理 数据安全专区 资源池 dszAuthAdmin 正常使用 权限管理员 该策略是用于数据安全专区（DSZ）权限管理的权限，包含权限增删改查权限等操作 安全与管理 数据安全专区 资源池 dszSecAdmin 正常使用 安全管理员 该策略是用于数据安全专区（DSZ）安全管理的权限，包含任务管理、资源管理、数据源管理等权限 安全与管理 数据安全专区 资源池 dszSysAdmin 正常使用 系统管理员 该策略是用于数据安全专区（DSZ）系统管理的权限，包含安全设置、用户管理、系统管理、插件管理等权限 安全与管理 云等保专区 全局 云等保数据分类分级 正常使用 云等保专区（CTYDB)数据分类分级读写访问权限 云等保专区（CTYDB)数据分类分级读写访问权限 安全与管理 云等保专区 全局 云等保数据脱敏与水印 正常使用 云等保专区（CTYDB)数据脱敏与水印读写访问权限 云等保专区（CTYDB)数据脱敏与水印读写访问权限 安全与管理 云密评专区 全局 云密评专区查看者 正常使用 云密评专区查看者策略 云密评专区（CTCSZ）只读访问权限 安全与管理 云日志服务 全局 云日志服务与ebm委托授权策略 正常使用 云日志服务在用户委托授权后，得到的ebm服务权限。 用于ltsEbmAdmintrust的服务委托授权策略 安全与管理 智算安全专区 资源池 aisec admin 正常使用 本策略定义了智算安全专区的管理员权限（全部权限） 本策略定义了智算安全专区的管理员权限（全部权限） 安全与管理 智算安全专区 资源池 aisec user 正常使用 本策略定义了智算安全专区的使用者权限（普通操作） 本策略定义了智算安全专区的使用者权限（普通操作） 安全与管理 智算安全专区 资源池 aisec viewer 正常使用 本策略定义了智算安全专区的查看者权限（可读访问） 本策略定义了智算安全专区的查看者权限（可读访问） 企业应用 证书 全局 ccms admin 正常使用 ccms admin策略 证书管理服务(CCMS)全读写访问权限 企业应用 证书 全局 ccms viewer 正常使用 ccms viewer策略 证书管理服务(CCMS)只读访问权限 迁移与管理 资源编排 全局 ros admin 正常使用 ros管理者权限 资源编排（ROS）全读写访问权限 迁移与管理 资源编排 全局 ros no execute 正常使用 排除 资源栈/执行计划部署+资源栈删除+取消部署权限 资源编排（ROS）部分读写访问权限，不包含资源栈/执行计划部署、资源栈删除、取消部署权限 迁移与管理 资源编排 全局 ros viewer 正常使用 ros观察者权限 资源编排（ROS）只读访问权限 视频 AOne 全局 aonemeeting console admin 正常使用 AOne会议控制台管理员权限 AOne会议控制台全读写访问权限 视频 AOne 全局 aonemeeting console viewer 正常使用 AOne会议控制台观察者权限 AOne会议控制台只读访问权限 视频 媒体存储 全局 媒体存储产品侧授权 正常使用 媒体存储产品侧授权 媒体存储（CTXStor）产品主子账号功能的虚拟策略。配置本策略则开启媒体存储主子账号功能，删除本策略则关闭主子账号功能。 视频 视频直播 全局 ctlvdn admin 正常使用 直播控制台管理者权限 直播控制台全读写访问权限，涵盖视频直播域名添加、业务配置、运维、查询及子账号管理全部操作能力 视频 视频直播 全局 ctlvdn viewer 正常使用 直播控制台观察者权限 直播控制台只读权限，可浏览查询视频直播业务数据与配置状态，无任何编辑修改操作权限 视频 云点播 全局 云点播产品侧授权 正常使用 云点播产品侧授权 云点播（CTXVOD）产品主子账号功能的虚拟策略。配置本策略则开启云点播主子账号功能，删除本策略则关闭主子账号功能 其他 标签 全局 CtyunLABELFullAccess 正常使用 管理标签（LABEL）的全部权限 标签服务（LABEL）全读写访问权限，适用于资源标签管理，可创建、编辑、删除标签和解绑/绑定资源 其他 标签 全局 CtyunLABELReadOnlyAccess 正常使用 只读访问标签（LABEL）的权限 标签服务（LABEL）只读访问权限，适用于资源标签查询，可查看标签列表、标签详情和标签绑定资源信息 其他 订单 全局 CtyunOrderAdmin 正常使用 天翼云订单类全量操作权限（包含一类、二类资源池节点） 费用中心全读写访问权限，适用于费用中心订单管理和资源列表查询，可管理我的订单、待支付订单、续订订单、退订订单，以及查看资源视图的资源列表 其他 订单 全局 CtyunOrderViewer 正常使用 天翼云订单类查询权限（包含一类、二类资源池节点） 费用中心只读访问权限，适用于费用中心订单和云资源列表，可查看我的订单、待支付订单、续订订单、退订订单，以及资源视图的资源列表 其他 活动与券 全局 mkt admin 正常使用 优惠券 管理者权限 卡券管理全读写访问权限 其他 客服工单 全局 工单及客户支持计划管理策略 正常使用 客服系统可读可写 工单及客户支持计划可读可写 其他 客服工单 全局 工单及客户支持计划只读策略 正常使用 客服系统只允许查看角色 工单及客户支持计划只读 其他 企业组织 全局 CtyunOrgAdmin 正常使用 天翼云企业组织信息管理权限 企业中心全读写访问权限，可查看并操作组织管理、组织策略管理、财务管理、资源管理相关功能 其他 企业组织 全局 CtyunOrgViewer 正常使用 企业中心只读访问权限，可查看组织管理、组织策略管理、财务管理、资源管理相关信息 企业中心只读访问权限，可查看组织管理、组织策略管理、财务管理、资源管理相关信息 其他 通用 全局 cust admin 正常使用 云网账号管理员权限，包含对合同、标签、收货地址的管理权限 天翼云账号部分读写访问权限，适用于合同管理、账号中心地址管理、标签管理 其他 通用 资源池 Iaas产品无企业项目属性 正常使用 无企业项目属性资源Iaas（权限集合） 无企业项目属性的Iaas基础资源管理权限，包含了不支持企业项目的IaaS资源管理权限，用于管理镜像、弹性负载均衡、VPC网络、安全组、弹性云服务器、弹性公网IP、文件存储等资源的查看及管理 其他 统一身份认证 全局 ctiam admin 正常使用 统一身份认证管理员权限 统一身份认证服务（IAM）全读写访问权限 其他 统一身份认证 全局 ctiam viewer 正常使用 统一身份认证观察者权限 统一身份认证服务（IAM）只读访问权限 其他 消息管理 全局 msg admin 正常使用 消息中心管理员权限 消息中心全读写访问权限 其他 业务 全局 CtyunBssAdmin 正常使用 天翼云订单、合同、标签、客户信息管理全量操作权限（包含一类、二类资源池节点） 费用中心全读写权限，适用于费用中心订单管理、合同管理、客户信息管理、和资源列表查询，以及资源标签的查询、绑定和解绑 其他 云市场 全局 CtyunMarketFullAccess 正常使用 云市场管理员权限 云市场（Market）全读写访问权限 其他 云市场 全局 CtyunMarketReadOnlyAccess 正常使用 云市场只读权限 云市场（Market）只读访问权限 其他 云通信 全局 SMS admin 正常使用 拥有云通信主账号的所有权限 云通信（SMS）全读写访问权限 其他 云通信 全局 SMS viewer 正常使用 拥有云通信控制台的只读权限 云通信（SMS）控制台只读访问权限 其他 账务 全局 CtyunAcctAdmin 正常使用 天翼云账务类（如成本、账单、发票等）全量操作权限（包含一类、二类资源池节点） 费用中心账务类读写权限，适用于费用中心资金管理、账单管理、发票管理、成本管理，可操作余额充值、提现、账单查询、发票申请等 专属云与混合云 专属云 资源池 ctdss admin 正常使用 ctdss admin 专属云（存储独享型）（DSS）全读写访问权限 专属云与混合云 专属云 资源池 ctdss viewer 正常使用 ctdss viewer 专属云（存储独享型）（DSS）只读访问权限

操作场景 虚拟私有云可以为您的容灾服务器提供隔离的、用户自主配置和管理的云上虚拟网络环境。 异步复制其实就是将本地主数据中心中需要容灾的服务器的数据，实时复制到云上用户的专有网络中。当本地数据中心发生重大故障时，可以将业务切换到云上VPC中运行容灾服务器上，从而保持业务的连续性。 创建云上专有网络时需要考虑的因素： 容灾区域 需要根据业务对容灾系统的实际要求进行选择，如生产站点和容灾站点间的物理距离、网络性能以及网络成本等因素来选择容灾区域，如业务要求生产站点和容灾站点间的物理距离不低于100KM，网络时延小于100ms，同时成本限制不能使用专线等。 本地数据中心和天翼云VPC间的连接网络 公网：适用于数据变化量不大，且本地生产数据中心的系统无需频繁访问云上资源的场景。 VPN：适用于数据变化量不大，本地生产数据中心需要随时连接天翼云VPC内业务的场景。如用户有部分业务部署在天翼云，本地数据中心的业务当前就是通过VPN与云上的业务进行交互，进行异步复制时就可以使用该VPN连接。 云专线：针对数据量较大且应用较复杂的场景，通常需要根据业务的具体数据变化量进行规划。 VPC的网段 用于运行切换或者容灾演练时创建的ECS，如果需要保持切换或者容灾演练创建的ECS的IP地址和本地数据中心的生产服务器一致，可以将VPC的网段和本地生产数据中心的网段设置成相同的。业务切换或者容灾演练时，就可以保持服务器的IP地址不变，无需修改相关的配置。 操作步骤 您可以根据您的整体网络规划创建云上专有容灾网络，具体创建操作请参见虚拟私有云帮助中心。

注意事项 请确保上传的证书还在有效期范围内。 目前只支持PEM格式，其他格式客户可自行转换，或提交工单向天翼云客服咨询推荐的转换站点。

注意事项 请确保上传的证书还在有效期范围内。 目前只支持PEM格式，其他格式客户可自行转换，或提交工单向天翼云客服咨询推荐的转换站点。

本节介绍云等保专区产品的定义及架构。 云等保专区是满足等保合规2.0云原生安全合规平台。云等保专区提供安全统一管理、传输安全、计算环境安全等安全合规能力，实现统一管理、统一运营，整体上降低等保建设难度和日常管理运营复杂度。 本产品为满足等保合规，提供一揽子安全原子能力，包括云安全中心、主机安全、Web应用防火墙、下一代防火墙、堡垒机、漏洞扫描、日志审计、数据库审计、数据分类分级、数据脱敏与水印，实现安全原子能力统一管理、统一运营，为用户侧等保合规需求提供便捷下单、自动化部署的能力。 产品架构 如下图所示，云等保专区产品基于天翼云基础设施资源，利用云原生安全技术，融合了堡垒机、Web应用防火墙（WAF）、日志审计、数据库审计、漏洞扫描、防火墙、主机安全、云安全中心，为用户提供一站式等保防护能力。 对于云上租户来说，每个用户的安全能力都是部署在独立的用户VPC中，这样将原子能力最小化的架构能够最大限度地保障用户的数据安全，同时也能满足不同用户的安全防护诉求，用户可基于自己的安全诉求，进行不同安全策略的设置。

迁移方案的关键操作 配置“ 同名文件是否覆盖 ”选项：创建任务时，配置按 最后修改时间（Lastmodified） 的处理方式，来进行迁移。 根据源端业务的增量情况，多次使用“开始”操作启动迁移任务进行增量的迁移。 操作流程 该方案通过多次迁移实现对源端增量数据的迁移，具体流程如下： 准备工作 注册天翼云账号 使用对象存储迁移服务ZMS，您需要先注册天翼云门户的账号。本部分将介绍如何进行账号注册，如果您拥有天翼云的账号，可登录后直接使用对象存储迁移服务。 1. 打开天翼云门户网站，点击“ 注册 ”。 2. 在注册页面，请填写“ 邮箱地址 ”、“ 登录密码 ”、“ 手机号码 ”，并点击“ 同意协议并提交 ” 按钮，如1分钟内手机未收到验证码，请再次点击“ 免费获取短信验证码 ”按钮。 3. 注册成功后，可到邮箱激活您的账号，即可体验天翼云。 4. 进行实名认证，请参考会员服务实名认证。 开通天翼云对象存储 登录您的天翼云账号即可使用对象存储迁移服务ZMS，但天翼云对象存储ZOS需要您单独开通，具体操作可参看开通对象存储服务。

本章节为您介绍云堡垒机自动运维的相关内容。 云堡垒机具备自动运维功能，允许用户依照既定步骤自行执行命令和运维脚本，对多个目标进行自动化运维管理。除此之外，系统支持设定任务执行的周期和时间，实现自动化定期执行。同时，它还能够并行处理多种类型的任务步骤，大大提高了效率。 约束限制 仅企业版云堡垒机支持自动运维功能。 仅支持对Linux主机（SSH、Telnet协议类型）资源执行自动运维任务。 暂不支持对Windows主机资源、数据库资源和应用资源执行自动运维任务。 管理员和运维角色都支持自动化运维功能。 用户自动化运维可执行的命令和脚本受到命令权限的限制。 新建自动运维策略 1. 使用“管理角色”或“运维角色”账户登录云堡垒机系统。 2. 在左侧导航栏选择“自动运维”，进入“自动运维”页面。 3. 单击“新增”，开始新增自动运维策略。 4. 在弹出的“新增自动运维策略”对话框中填写相关内容。 配置项 说明 任务名称 自定义运维策略名称。 描述 自定义运维策略的描述内容。 资产账号 单击“添加”选择需要自动化运维的设备及账号。 执行策略 选择运维策略。 手动执行：保存运维策略后可手动执行该策略。 定期执行：选取执行时间，保存后在对应时间执行该策略。 周期执行：选取首次执行时间和执行周期（天），保存后在对应时间执行该策略。 执行方式 选择自动化运维的执行方式。 执行命令：在“执行命令”参数框中填写需要执行的运维的命令。 执行脚本：上传可使用的.sh/.py脚本命令，若有相关脚本参数在“脚本参数”对话框中填写，多个参数使用英文逗号","分隔。 5. 单击“确认”，弹出“验证用户身份”窗口。 6. 在“验证用户身份”窗口输入资产账号的密码，完成输入后单击“提交”即可完成自动运维策略建立。

本文将为您介绍如何修改创建成功的物理专线。 操作场景 当您的物理专线创建成功之后，用户可以在云专线管理控制台中查看到已经创建成功的物理专线信息，同时用户可以修改物理专线的名称、描述。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域。 3. 单击“网络>云专线”，默认进入“云专线>物理专线”页面。 4. 在此页面，用户可以查看当前账户下已开通的物理专线开通列表。 5. 点击目标物理专线“操作”列的“修改”。 6. 根据页面提示，用户可修改名称、描述。 7. 确认修改信息后，点击“确定”，完成物理专线基本信息修改。 注意 建议您在物理专线开通前期做好网段规划。

在开始 API 接入前，请确保已完成以下准备工作： 1. 开通产品：已在天翼云控制中心成功开通大模型安全护栏服务。 2. 创建应用：在控制台“应用管理”中创建至少一个应用，并从应用的编辑页面获取以下鉴权凭证： 凭证名称 说明 获取位置 accountid 租户 ID 天翼云控制台账号信息页 XAPPCODE（即AK） 应用编码，作为 AK 使用 应用管理 > 操作 > 复制APP鉴权信息 publicKey 公钥 应用管理 > 操作 > 复制APP鉴权信息 privateKey 私钥（SK） 应用管理 > 操作 > 复制APP鉴权信息 （请妥善保管，勿泄露） 获取服务地址 ：请通过工单或者服务热线（4008109889）获取服务地址。

本文介绍使用天翼云SDWAN产品时常见的操作类问题。 天翼云SDWAN产品在使用时有什么使用条件及接入要求？ 在开通天翼云SDWAN服务之前，请您确保本地业务具备互联网访问能力；请提前做好企业总部/分支网络与云上各资源池网络之间的IP地址规划，尽量保证各站点内网IP地址没有重叠； 如果您的业务网段IP地址冲突无法避免，您也可以正常将设备接入天翼云SDWAN。需注意，在网段有冲突的情况下，在配置组网或者入云时，请提前做好NAT地址转换，NAT转换操作详见： 有自服务的操作界面么？ 天翼云SDWAN资源通过中国电信天翼云提供的统一服务界面进行管理。天翼云SDWAN产品的控制台地址为 /sdwan/dashbord。 天翼云SDWAN产品无资源池差别，您可以选择从任意资源池进入到该控制页面。 开通天翼云SDWAN服务后，控制台会生成对应的实例资源，您可以通过页面操作对资源进行不同的配置下发，比如：创建互联关系、配置路由规则、创建访问控制、ACL等。 天翼云SDWAN如何报障？ 天翼云SDWAN售后服务由天翼云SDWAN售后团队负责。客户报障有两种途径：1、拨打天翼云400售后服务电话，2、通过客户经理报障。 客户拨打热线电话（4008109889）报障： 1. 当客户通过电话报障时，天翼云400客服受理一线问题，填写工单，并将技术问题反馈到SDWAN运维团队客服； 2. SDWAN运维团队发起内部流程，处理问题； 3. 运维处理完客户故障，通知客户验收，结束报障处理。 通过客户经理报障： 1. 当客户联系客户经理时，客户经理也可直接联系天翼云SDWAN运维人员，SDWAN运维团队自行发起内部运维流程，处理客户问题； 2. SDWAN运维人员处理完客户故障后，反馈给客户经理处理结果。客户验收后，结束报障。

本章节主要介绍翼MapReduce集群组件使用规则。 当前，翼MR产品不支持Hive元数据库使用内置MySQL类型。内置MySQL不具备生产运行所需要的高可用、高安全性，且该方式缺乏有效的技术保障能力，客户需要为此承担不必要的业务风险。 在翼MR集群开通的流程中，基于上述产品考量，不开放相关选配功能，默认推荐客户预先开通好天翼云成熟的数据库产品关系数据库MySQL版（CTRDS MySQL）作为Hive服务的元数据库。

天翼云账号登录场景 账号登录 1. 点击客户端左上角图标，弹出天翼云官网登录界面，支持短信登录 和账号登录。 2. 完成登录后，会同步用户云端的组织、个人、实例 等信息：悬停左上角首字母图标 可查看个人信息 、我的团队 、我的组织 ；实例列表新增智护模式 实例列表，智护实例列表 中包括了云端的团队实例 +客户端录入的内网实例。 3. 天翼云账号登录场景下，菜单栏新增安全协作 ，用户点击左侧图标也可进入。 说明 安全协作 ：包括团队管理 、用户与角色 、操作审计等功能。 实例录入 1. 天翼云账号登录后，默认进入开发空间 首页。 2. 点击左上方菜单栏开发空间 > 添加实例， 或直接在首页 点击添加实例 按钮，或首页 右侧实例列表 上方点击，打开添加实例弹窗。 3. 个人模式 ：实例录入详情可见免登录场景 实例录入。 4. 智护模式 ：新增所在团队 、数据来源 。数据来源可选天翼云 和内网 ，输入账密点击测试连接可验证网络连通性。 说明 智护模式 ：增强智能安全协作的实例模式，支持团队协作、工单审批、审计等企业级特性。 天翼云 ：即天翼云数据库。选择该数据来源，用户可添加在天翼云官网开通的云数据库并进行纳管，通过选择资源池及其下实例列表中的实例的方式进行添加。 内网 ：即用户本地直连数据库 ，支持内网地址，解决服务端无法连接用户局域网实例的问题。 5. 确认实例连接正常后，点击确定，完成实例录入。

本节介绍在云电脑（政企版）内验证翼打印的开通情况。 1.AI云电脑（政企版）管理台配置完成后，登录AI云电脑（若AI云电脑在线，需断开AI云电脑的连接后，在AI云电脑列表页面重新进入AI云电脑）， 控制面板>查看设备和打印机>打印机列表(WindowsAI云电脑) 左下角"启动器">搜素"打印管理器">打印机列表（国产化版uosAI云电脑） 检查是否有名称里包含了“来自天翼云打印”字样的打印机； 2.打开任意文档，选择该打印机进行打印，或直接右键云打印机打印机属性打印测试页，到打印机处确认是否打印成功。若客户端版本在1.37或以上，打印状态（成功或失败）会通过桌面右下角进行弹窗提示； 3.验证通过后，回到AI云电脑（政企版）管理台，把对应策略分配给需要使用打印机的用户（后续迭代功能将提供单独的打印机管理页面，可更方便地对用户分组进行管理）。

本节为您介绍云迁移服务CMS身份认证与访问控制相关内容。 CMS服务支持身份认证与访问控制，为您提供主子账号服务授权功能。 主子账号及授权管理 通过使用企业项目服务，可以让多个用户共享同一个天翼云账号，并且根据他们的需要分配不同的权限，实现精细的访问控制。这一服务能够为拥有多层次组织和项目结构的用户提供强大的资源管理平台支持。 由天翼云账号在“主子账号及授权管理”中创建的用户，是云服务的使用人员，具有独立的身份凭证（密码和访问密钥），根据账号授予的权限使用资源。子用户不拥有资源，不进行独立的计费，IAM子用户的权限和资源由所属账号统一控制和付费。具体介绍请参考主子账号及授权管理用户指南。 访问控制 您可以创建用户组，并给用户组授予策略或角色，用户组中的用户将获得用户组的权限。同时，用户也可以为自身授予权限。这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。具体请参见IAM子用户/用户组/策略与企业项目。