本页介绍天翼云TeleDB数据库中数据脱敏。 脱敏是指在用户无感知的情况下，对非授权用户返回被脱敏的数据。其主要原理是通过某种运算法则，在真实数据返回给访问终端前，按照既定规则，将原始数据映射到另一种形式（可以支持多种变化），该映射规则对查询用户不可见，且转换后的形式不能做逆向操作（即转换为原始数据）。 说明 无感知是指用户使用的查询操作变化，也无需增加额外的运算操作。 非授权用户是指没有访问权限的用户，以访问表为例，用户具备该表的查询权限，但被限制对某些字段真实值的获得。 例如： 安全员通过脱敏配置接口，对表的某些敏感字段设置数据脱敏规则。这样原系统中的所有用户（包括管理员）再去查看表数据时，都得到的脱敏规则使能后的结果，且规则下发后立即生效，无需停机或者重启。 相应的，对于原本正常访问的数据库用户，定义为授权用户，安全员可以将这些数据库用户定义为某些对象的白名单用户，即给这些数据库用户添加白名单属性。这些白名单用户在登录系统完成鉴权后，就被系统识别为授权用户，访问表的方式也是没有变化的，而且获得的都是原始数据。 所以，从以上两个维度实现了更细粒度的数据访问控制，是对现有访问控制的增强，而且做到对现有业务系统无感知。 创建数据脱敏策略 1. 切换到godlike用户，创建 tbldatamaskxx表、tbldatamaskyy表、tbldatamaskzz表，并插入数据。 c regression godlike create table tbldatamaskxx( i int, im int, ii int2, iim int2, j bigint, jmbigint, x varchar, xm varchar, y text, ym text) distribute by shard(i); NOTICE: Replica identity is needed for shard table, please add to this table through "alter table" command. insert into tbldatamaskxx values(1024, 1024, 7788, 7788,42949672960,42949672960, '112233201804035566', '112233201804035566','abcdefghijk', 'abcdefghijk'); insert into tbldatamaskxx(i, x) values(1025, 'all is null'); insert into tbldatamaskxx(i, x, xm, ym) values(1026, 'all is null', 'this is a very very very looooooooong string, i guess here is over 32 bytes length, emmmmm', 'tbase!!~~~'); create table tbldatamaskyy( i int, im int, ii int2, iim int2, j bigint, jmbigint, x varchar, xm varchar, y text, ym text) distribute by shard(i);; 使用mlsadmin用户创建数据脱敏策略 案例1：api健壮性测试 NOTICE: Replica identity is needed for shard table, please add to this table through "alter table" command. insert into tbldatamaskyy values(1024, 1024, 7788, 7788, 42949672960,42949672960, '112233201804035566', '112233201804035566','abcdefghijk', 'abcdefghijk'); create table tbldatamaskzz ( i int , j text , z text ) distribute by shard(i);; NOTICE: Replica identity is needed for shard table, please add to this table through "alter table" command. insert into tbldatamaskzz values(1024,'x','y'); 2. 使用mlsadmin用户创建数据脱敏策略。 c regression mlsadmin select currentdatabase(); currentdatabase regression (1 row) select currentuser; currentuser mlsadmin (1 row)

本章节向您介绍什么是网络ACL。 网络ACL 网络ACL是一个子网级别的可选安全防护层，您可以在网络ACL中设置入方向和出方向规则，并将网络ACL绑定至子网，可以精准控制出入子网的流量。 网络ACL与安全组的防护范围不同，安全组对云主机、云容器、云数据库等实例进行防护，网络ACL对整个子网进行防护。安全组是必选的安全防护层，当您还想增加额外的安全防护层时，就可以启用网络ACL。两者结合起来，可以实现更精细、更复杂的安全访问控制。 网络ACL中包括入方向规则和出方向规则，您可以针对每条规则指定协议、来源端口和地址、目的端口和地址。 以下图为例， 如下图所示。 图 安全组与网络ACL在区域A内，某客户的虚拟私有云VPCX有两个子网，子网SubnetX01关联网络ACL FwA，SubnetX01内部署的实例面向互联网提供Web服务。子网SubnetX02关联网络ACL FwB，基于对等连接连通SubnetX02和SubnetY01的网络，通过SubnetY01内的实例远程登录SubnetX02内的实例。 FwA的规则说明： 入方向自定义规则，允许外部任意IP地址，通过TCP (HTTP)协议访问SubnetX01内实例的80端口。如果流量未匹配上自定义规则，则匹配默认规则，无法流入子网。 网络ACL是有状态的，允许入站请求的响应流量出站，不受规则限制，因此SubnetX01内实例的响应流量可流出子网。非响应流量的其他流量则匹配默认规则，无法流出子网。 FwB的规则说明： 入方向自定义规则，允许来自SubnetY01的流量，通过TCP (SSH)协议访问子网SubnetX02内实例的22端口。 出方向自定义规则，放通ICMP协议全部端口，当在SubnetX02内实例ping测试网络连通性时，允许去往SubnetY01的流量流出子网。 说明 图中提供的示例仅为您展示了网络ACL对出入子网的流量控制。在实际业务中，除了网络ACL，实例上绑定的安全组也会影响出入实例的流量。

本页简要介绍了分布式融合数据库HTAP的产品定义。 分布式融合数据库HTAP是既支持在线事务处理 (OLTP) 又支持在线分析处理 (OLAP) 的融合型云原生分布式数据库，具有兼容MySQL协议、高性能、实时分析的特点，适用于数据规模大、高可用、高吞吐等业务场景。 分布式融合数据库HTAP主要由管理节点、计算节点和存储节点组成，整体技术架构如下： 管理节点：整个集群的元信息管理模块，负责存储集群元信息（包括整体拓扑结构和节点实时的数据分布情况），为分布式事务分配事务 ID，同时还会根据存储节点实时上报的数据分布状态，下发数据调度命令给具体的存储节点。管理节点集群由 3 个管理节点构成，具备高可用能力。 计算节点：SQL 层，支持 MySQL 协议，负责接收客户端的连接，执行 SQL 解析和优化，最终生成分布式执行计划，将实际的数据读取请求转发给底层的存储节点。计算节点本身是无状态的，多个计算节点构成计算节点集群，通过负载均衡组件（如 LVS、HAProxy 或 F5）对外提供统一的接入地址。 存储节点 行存节点：一个支持事务的分布式KeyValue存储引擎，负责存储数据。数据按范围分片存储，每个数据分片负责存储一段 Key 范围（从 StartKey 到 EndKey 的左闭右开区间）的数据，每个行存节点会负责多个数据分片。行存节点 API 原生支持分布式事务，默认提供了 SI (Snapshot Isolation) 的隔离级别，是SQL 层支持分布式事务的核心基础。SQL 层做完 SQL 解析后，会将 SQL 的执行计划转换为对行存节点 API 的实际调用。另外，行存节点中的数据都会自动维护多副本（默认为三副本），天然支持高可用和自动故障转移。 列存节点：一类可选的存储节点，其内部以列式的形式存储数据，主要的功能是为分析型的场景加速。

本文主要介绍JMeter与性能测试字段对应关系 性能测试支持JMeter脚本导入及自动切换。JMeter字段与性能测试字段的对应关系如下表。 JMeter字段与性能测试字段对应关系 JMeter字段 性能测试字段 参数解释 ::: 线程组 名称 事务名称/任务名称 与其下面的HTTP请求组成一个事务。 读取不到有效值时，默认并发个数为1，持续时间为1分钟。 线程组 线程数 测试任务并发个数 与其下面的HTTP请求组成一个事务。 读取不到有效值时，默认并发个数为1，持续时间为1分钟。 线程组 持续时间 测试任务持续时间 与其下面的HTTP请求组成一个事务。 读取不到有效值时，默认并发个数为1，持续时间为1分钟。 用户定义的变量 名称 枚举变量名称 全局变量，枚举型。命名需要唯一。 用户定义的变量 值 枚举变量值 全局变量，枚举型。命名需要唯一。 用户参数 名称 枚举变量名称 全局变量，枚举型。命名需要唯一。 用户参数 用户1 枚举变量值 全局变量，枚举型。命名需要唯一。 用户参数 用户2 枚举变量值 全局变量，枚举型。命名需要唯一。 用户参数 ... 枚举变量值 全局变量，枚举型。命名需要唯一。 用户参数 用户N 枚举变量值 全局变量，枚举型。命名需要唯一。 HTTP信息头管理器 名称 报文头域 当POST、PATCH、PUT、DELETE请求方法不存在ContentType头域时，默认ContentType头域的值为application/xwwwformurlencoded。 HTTP信息头管理器 值 头域值 当POST、PATCH、PUT、DELETE请求方法不存在ContentType头域时，默认ContentType头域的值为application/xwwwformurlencoded。 HTTP请求默认值 协议 HTTP请求中没有值时，自动取HTTP请求默认值。 优先级：HTTP请求下的 > 线程组下的 > 测试计划下的。 HTTP请求默认值 服务器名称或IP HTTP请求中没有值时，自动取HTTP请求默认值。 优先级：HTTP请求下的 > 线程组下的 > 测试计划下的。 HTTP请求默认值 端口号 HTTP请求中没有值时，自动取HTTP请求默认值。 优先级：HTTP请求下的 > 线程组下的 > 测试计划下的。 HTTP请求默认值 路径 HTTP请求中没有值时，自动取HTTP请求默认值。 优先级：HTTP请求下的 > 线程组下的 > 测试计划下的。 HTTP请求默认值 参数 HTTP请求中没有值时，自动取HTTP请求默认值。 优先级：HTTP请求下的 > 线程组下的 > 测试计划下的。 HTTP请求默认值 消息体数据 HTTP请求中没有值时，自动取HTTP请求默认值。 优先级：HTTP请求下的 > 线程组下的 > 测试计划下的。 HTTP请求默认值 高级选项中的响应超时 HTTP请求中没有值时，自动取HTTP请求默认值。 优先级：HTTP请求下的 > 线程组下的 > 测试计划下的。 HTTP请求 协议 协议类型 报文。忽略POST、GET、PATCH、PUT、DELETE以外的请求方法；当读取不到响应超时有效值时默认为5000。 HTTP请求 协议、服务器名称或IP、端口号、路径 请求连接 报文。忽略POST、GET、PATCH、PUT、DELETE以外的请求方法；当读取不到响应超时有效值时默认为5000。 HTTP请求 方法 请求方法 报文。忽略POST、GET、PATCH、PUT、DELETE以外的请求方法；当读取不到响应超时有效值时默认为5000。 HTTP请求 参数 根据实际需求，添加到URL或报文内容中 报文。忽略POST、GET、PATCH、PUT、DELETE以外的请求方法；当读取不到响应超时有效值时默认为5000。 HTTP请求 消息体数据 报文内容 报文。忽略POST、GET、PATCH、PUT、DELETE以外的请求方法；当读取不到响应超时有效值时默认为5000。 HTTP请求 高级选项中的响应超时 响应超时 报文。忽略POST、GET、PATCH、PUT、DELETE以外的请求方法；当读取不到响应超时有效值时默认为5000。 正则表达式提取器（要检查的响应字段） 主体 报文内容 响应提取。只有在HTTP请求下的正则表达式提取器、固定定时器时才会被导入。缺省值为空时，默认取引用名称。 正则表达式提取器（要检查的响应字段） Body(unescaped) 报文内容 响应提取。只有在HTTP请求下的正则表达式提取器、固定定时器时才会被导入。缺省值为空时，默认取引用名称。 正则表达式提取器（要检查的响应字段） Body as a Document 报文内容 响应提取。只有在HTTP请求下的正则表达式提取器、固定定时器时才会被导入。缺省值为空时，默认取引用名称。 正则表达式提取器（要检查的响应字段） 信息头 头域 响应提取。只有在HTTP请求下的正则表达式提取器、固定定时器时才会被导入。缺省值为空时，默认取引用名称。 正则表达式提取器（要检查的响应字段） URL URL 响应提取。只有在HTTP请求下的正则表达式提取器、固定定时器时才会被导入。缺省值为空时，默认取引用名称。 正则表达式提取器（要检查的响应字段） 响应代码 响应码 响应提取。只有在HTTP请求下的正则表达式提取器、固定定时器时才会被导入。缺省值为空时，默认取引用名称。 正则表达式提取器（要检查的响应字段） Request Headers、响应信息 不支持导入，该正则表达式提取器会被忽略。 响应提取。只有在HTTP请求下的正则表达式提取器、固定定时器时才会被导入。缺省值为空时，默认取引用名称。 正则表达式提取器 引用名称 变量名称 响应提取。只有在HTTP请求下的正则表达式提取器、固定定时器时才会被导入。缺省值为空时，默认取引用名称。 正则表达式提取器 正则表达式 正则表达式 响应提取。只有在HTTP请求下的正则表达式提取器、固定定时器时才会被导入。缺省值为空时，默认取引用名称。 正则表达式提取器 模板 第几个匹配项 响应提取。只有在HTTP请求下的正则表达式提取器、固定定时器时才会被导入。缺省值为空时，默认取引用名称。 正则表达式提取器 匹配数字 表达式取值 响应提取。只有在HTTP请求下的正则表达式提取器、固定定时器时才会被导入。缺省值为空时，默认取引用名称。 正则表达式提取器 缺省值 缺省值 响应提取。只有在HTTP请求下的正则表达式提取器、固定定时器时才会被导入。缺省值为空时，默认取引用名称。 固定定时器 线程延迟 持续时间 思考时间。读取不到有效值时默认取1000。 Random函数 区间随机数 根据用户输入区间，随机生成区间内的任一整数。 例如：${Random(2147483648,2147483647)} JSON提取器 Name of created variables 变量名称 响应提取，默认提取范围：JSON内的值。只有在HTTP请求下的JSON提取器才会被导入。 JSON提取器 JSON Path expressions 需获取的键名 响应提取，默认提取范围：JSON内的值。只有在HTTP请求下的JSON提取器才会被导入。 JSON提取器 Default Values 缺省值 响应提取，默认提取范围：JSON内的值。只有在HTTP请求下的JSON提取器才会被导入。

本节介绍了在RabbitMQ实例中如何创建、修改和删除用户。 背景信息 客户端访问分布式消息服务RabbitMQ 版服务端时，需要传入用户名和密码进行权限认证，认证通过才允许访问服务端。 操作步骤 创建用户 1.登录管理控制台。 2.进入RabbitMQ管理控制台。 3.在实例列表页在操作列，目标实例行点击“管理”。 4.点击“集群管理”后点击“用户”到达用户管理页面，点击“新建”按钮。 5.点击“新建”后出现以下画面，输入用户密码后点击“确定”即可创建。 修改用户 1.在用户管理页面，在目标用户行点击“修改”，即可重置用户密码。 删除用户 1.在用户管理页面，在目标用户行点击“删除”，即可删除用户。 获取用户token 仅云原生引擎支持 （1）登录管理控制台。 （2）进入RabbitMQ管理控制台。 （3）在实例列表页在操作列，目标实例行点击“管理”。 （4）点击“集群管理”后点击“用户”到达用户管理页面，点击“Token”按钮。 在RabbitMQ中，获取用户令牌（token）的作用如下： 认证和授权：用户令牌用于认证和授权用户对RabbitMQ的访问权限。通过获取有效的用户令牌，可以验证用户的身份，并根据其权限配置来限制或授予其对虚拟主机、队列、交换机等资源的访问权限。 安全性：通过使用用户令牌进行认证，可以增加RabbitMQ系统的安全性。只有具有有效令牌的用户才能访问和执行相应的操作，从而减少了未经授权的访问和潜在的安全风险。 资源管理：用户令牌可以用于管理和限制用户对RabbitMQ资源的使用。通过为每个用户分配独立的令牌，可以控制其对虚拟主机、队列、交换机等资源的使用情况，避免资源滥用或过度消耗。 追踪和审计：通过用户令牌，可以追踪和记录用户对RabbitMQ的操作和访问历史。这对于安全审计、故障排查和性能优化等方面非常有用，可以帮助管理员了解系统的使用情况和问题定位。 总之，获取用户令牌是为了实现认证、授权和安全性，以及对RabbitMQ资源的管理和追踪。通过令牌，可以确保只有经过授权的用户才能访问和操作RabbitMQ，提高系统的安全性和可管理性。

前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 已创建路径分析实例。 操作步骤 1. 登录控制中心，进入网络控制台页面。 2. 在控制中心页面左上角选择对应区域，本文我们选择庆阳2。 3. 在左侧导航栏，选择“路径分析”选项，进入路径分析列表页。 4. 在路径分析列表页面，选定要删除的路径分析实例，点击“删除”按钮，即可删除对应路径分析实例。 注意 删除路径分析实例时，会同步删除路径分析实例下所有的路径分析报告，且无法恢复。

本文主要介绍边缘裸金属服务器挂载NFS协议类型的文件存储的方案。 应用场景 边缘裸金属服务器挂载文件存储，可以有多个应用场景，例如在数据密集型处理场景中，如气象数据分析、基因测序等，可将大量数据存储于文件存储，供多台边缘裸金属服务器快速读取和写入，提升数据处理效率。在需要共享存储的分布式计算场景里，如分布式数据库集群，通过挂载文件存储，各边缘裸金属服务器节点可共享配置文件、数据文件等资源，保障集群协同工作。 文件存储可提供高带宽、低延迟的数据访问，满足边缘裸金属服务器对存储性能的要求： 高可用性，文件存储具备冗余机制，能有效保障数据安全与业务连续性。 扩展性强，可依据业务增长灵活扩展存储容量，无需中断服务。 易于管理，集中化存储便于统一管理监控，降低运维难度。 前提条件 边缘裸金属服务器需和文件存储网络互通，需要采用 underlay vpc 网络。创建 underlay vpc 流程如下： 1. 登录ECX控制台。 2. 点击左侧【边缘网络】，选择【虚拟机私有云 > vpc和子网】 3. 点击【+创建虚拟私有云】，在基础信息中，类型需要选择为underlay，子网类型为underlay并填写规划好的 vlan 号。 创建边缘裸金属服务器和文件存储时，均要选择对应创建的 underlay vpc 网络。

JDK版本要求 天翼云媒体存储Java SDK 要求使用 J2SE Development Kit 6.0 或更高版本。可以从 下载最新版本 Java。 注意：Java 版本 1.6 (JS2E 6.0) 中没有 SHA256 签名的 SSL 证书的内置支持。Java 版本 1.7 或更高版本包含已更新证书，不受这一问题的影响。 安装方式 方式一：官网下载JavaSDK 在天翼云官网下载 xosjavasdk2.1.2.jar，下载地址： xosjavasdk2.1.2.jar 在 jar 包所在目录下执行以下 maven 命令，安装至 maven 本地仓库。 java mvn org.apache.maven.plugins:maveninstallplugin:3.0.0M1:installfile Dfilexosjavasdk2.1.2.jar 在您的 maven 工程的 pom.xml 文件中，在“dependencies”节点中加入以下配置： xml cn.chinatelecom xosjavasdk 2.1.1 方式二：添加AWS s3依赖 天翼云媒体存储兼容AWS s3接口，您可以通过AWS s3接口使用天翼云媒体存储。若您需要使用AWS s3接口，在您的 maven 工程的 pom.xml 文件中，在“dependencies”节点中加入以下配置： java com.amazonaws awsjavasdks3 1.11.336 com.amazonaws awsjavasdksts 1.11.336

本文介绍CDN加速按量计费的退订流程。 按量计费退订说明 当前CDN加速支持退订按量计费，天翼云用户可根据需要，灵活退订资源。 按量计费退订步骤 CDN加速产品同时支持在天翼云官网的费用中心和CDN控制台发起按量计费的退订。 退订方式1 1. 登录天翼云官网，单击右上角的用户名，进入【费用中心】。 2. 单击【订单管理】【退订管理】。勾选要退订的按量计费资源，单击【退订】，进入退订详情页面。 3. 退订前，建议查阅【退订须知】，再次确认要退订的资源信息，确认无误后，选择退订原因并勾选【我已确认本次退订金额和相关费用】，单击【退订】完成退订操作。 退订方式2 1. 通过天翼云官网购买CDN加速产品的客户，登录CDN控制台，单击左侧导航栏的【计费详情】【CDN加速】，支持参照如下页面在CDN加速计费详情页发起CDN加速按量计费的退订。 2. 退订前，建议查阅【退订须知】，再次确认要退订的资源信息，确认无误后，选择退订原因并勾选【我已确认本次退订金额和相关费用】，单击【退订】完成退订操作。

天翼云公网NAT网关产品采用包年包月和按需计费两种方式订购，详细说明如下表所示： 包年包月： 产品规格 最大并发连接数 标准资费（元/月） ::: 小型 1万 306 中型 5万 586.5 大型 20万 1147.5 超大型 100万 2040 定制型 千万级 官网内测中，联系客户经理询价并开启白名单 按需计费： 产品规格 最大并发连接数 标准资费（元/天） ::: 小型 1万 12 中型 5万 23 大型 20万 45 超大型 100万 80 定制型 千万级 官网内测中，联系客户经理询价并开启白名单 注 ：1、中型，大型，超大型规格和按需计费仅部分资源池支持，具体支持资源池以购买页面展示为准。 2、公网NAT网关可支持千万级并发连接专属定制型实例，专属定制型实例1年起售，仅支持多可用区的资源池支持售卖，如需购买请联系客户经理。 3、一次性购买时长达到1年及以上享受资费85折优惠。 4、公网NAT网关按需计费按天计费出账，不满一天按一天计费。

基线检查 通过执行云服务基线扫描，检查基线配置风险状态，告警提示存在安全隐患的配置，并提供基线加固建议。 基线检查功能说明： 功能模块 功能详情 云服务基线 通过一键扫描或设置定级扫描，分类呈现云服务配置检测结果，提示不合格检测项，并提供相应配置加固建议和帮助指导。 检测结果 通过集成安全防护产品，接入安全产品检测数据，管理全部检测结果。 全部结果功能说明： 功能模块 功能详情 检测结果 通过呈现多种结果类型，支持标记、导出检测结果，并支持自定义结果列表。 结果类型 威胁告警、漏洞、风险、合规检查、违法违规、舆情、安全公告。 日志管理 通过授权对象存储服务（Object Storage Service，OBS）存储态势感知日志，帮助用户轻松应对安全日志存储、导出场景，满足日志存储180天及集中审计的要求。 日志管理功能说明： 功能模块 功能详情 日志管理 通过OBS存储日志，满足SA日志审计和容灾需求。 产品集成 通过集成安全防护产品，接入安全产品检测数据，管理检测结果的数据来源。 产品集成功能说明： 功能模块 功能详情 安全产品集成 通过集成安全防护产品，接入安全产品检测数据，管理检测结果的数据来源，支持查看传输数据量，管理数据上报健康状态。

天翼云主机迁移服务产品服务协议

本章节介绍当使用数据库服务器备份， 应用一致性Agent脚本无法下载或安装失败， 可能造成的原因和解决方案。 现象描述 系统提示无法下载脚本或使用Linux系统方式二安装Agent时失败。 可能原因 原因1：DNS无法正常解析OBS的域名。 原因2：目标云服务器openssl版本过低。 原因1解决方法 原因1：DNS无法正常解析安装域名。 需要手动修改DNS服务器IP地址，IP地址请从技术工程师处获取。若修改DNS后仍无法正常解析，请稍候重试或使用Linux系统方式一进行安装。 Linux 系统操作步骤 步骤1、以root用户登录云服务器。 步骤2、执行vi /etc/resolv.conf命令编辑“/etc/resolv.conf”文件。在已有的nameserver配置前写入DNS服务器的IP地址，如下图所示。 配置DNS 格式如下： nameserver DNS服务器IP地址 步骤3、单击“Esc”，并输入 :wq ，保存退出。 步骤4、执行以下命令，查看IP地址是否写入成功。完成修改DNS。 cat /etc/resolv.conf Windows 系统操作步骤 步骤1、进入弹性云服务器界面，登录已创建好的Windows 2012版本的弹性云服务器。 步骤2、单击左下角“这台电脑”，弹出“这台电脑”界面。 步骤3、右键单击“网络”，选择“属性”。弹出“网络和共享中心”，如下图所示。选择“本地连接”。 网络和共享中心 步骤4、在“活动”区域，选择“属性”。如下图所示。 本地连接活动 步骤5、弹出“本地连接属性”对话框，选择“Internet 协议版本 4 (TCP/IPv4)”，单击“属性”。如下图所示。 本地连接属性 步骤6、在弹出的“Internet 协议版本 4(TCP/IPv4)属性”对话框中，选择“使用下面的DNS服务器地址”，如图138所示，根据需要配置DNS。需要手动修改DNS服务器IP地址，IP地址请从技术工程师处获取。配置完成后，单击“确定”，完成配置。 配置DNS

前置条件 1. 使用前，您的租户账号需在天翼云存储控制台开通并创建相应的存储 ，详见++对象存储快速入门++、++并行文件服务快速入门++。 2. 已在本平台完成相关产品的委托授权。 操作说明 基础数据集的存储方式包括普通存储和智算存储： 普通存储（ZOS）： 账号自有存储：指租户在天翼云官网同资源池下开通的对象存储，用于数据长期存储和备份，完成委托授权后您可在本平台直接使用。 平台共享存储：本平台赠予您体验的存储，默认集群额度为 300G，是所有用户共享的存储，您的用量受限且不支持扩容，超出用量后需自行前往对象存储购买自有存储。平台后续将逐渐废弃此类存储，建议您直接使用自有存储。 智算存储（HPFS）： 账号自有存储：指租户在天翼云官网同资源池下开通的HPFS存储，常用于大模型的开发和训练等数据密集性的高性能计算场景，完成委托授权后您可在本平台直接使用。如需使用开发机和训练任务功能，请提前将数据、模型、代码导入智算存储中。训练时需要与文件存储频繁交互，请确保存储状态可用且充足。 平台共享存储：本平台赠予您体验的存储，默认集群额度为 512 G，是所有用户共享的存储，您的用量受限且不支持扩容，超出用量后需自行前往HPFS购买自有存储。平台后续将逐渐废弃此类存储，建议您直接使用自有存储。

本节主要介绍修改/启用/停用企业项目 当您的业务发生变化时，可以对已存在的企业项目进行修改、启用、停用操作。 为了保证您的资源安全，目前暂不支持删除企业项目。如果您不再使用企业项目，您可以停用企业项目。 说明 已停用企业项目无法使用修改功能。 停用后的企业项目仍会占用企业项目配额，如果您的企业项目配额不足，建议您提交工单让后台运维人员为您提供企业项目删除功能，或提升企业项目数量配额。 企业项目停用后在云服务创建页的“企业项目”中将不可见，无法迁入资源和添加用户组，如需再次使用，请重新启用该企业项目。 默认企业项目（default）无法编辑和停用。 修改企业项目 步骤 1 企业管理员登录天翼云网门户，单击天翼云首页顶部右侧“控制台”。 步骤 2 在控制台首页顶部右侧，单击您的用户名后弹出下拉菜单，单击“企业管理”。 步骤 3 在企业项目管理页面，单击左侧功能菜单“项目管理”，进入企业项目列表页面，单击待修改企业项目右侧的“更多”，单击更多下拉菜单中的“修改”。 步骤 4 在修改企业项目信息弹出框中，输入新的“名称”和“描述”。 步骤 5 单击“确定”完成企业项目修改。 启用/停用企业项目 步骤 1 企业管理员登录天翼云网门户，单击天翼云首页顶部右侧“控制台”。 步骤 2 在控制台首页顶部右侧，单击您的用户名后弹出下拉菜单，单击“企业管理”。 步骤 3 在企业项目管理页面，单击左侧功能菜单“项目管理”，进入企业项目列表页面，单击待启用/停用企业项目右侧的“更多”，单击更多下拉菜单中的“启用”/“停用”。 步骤 4 在企业项目启用/停用确认框中，单击“是”完成企业项目启用/停用。

集群扩容和缩容 不支持自动扩缩容集群中的 Master 节点，仅对集群的node工作节点进行自动扩容缩容。 用户在扩容集群规模时必须满足用户配额（ECS节点、弹性IP等）的前提，如果用户配额不满足，需要提交工单，申请扩大配额。 存储卷 云硬盘存储卷使用约束： 云硬盘不支持跨可用区挂载，且不支持被多个工作负载、同一个工作负载的多个实例或多个任务使用。由于CCE集群各节点之间暂不支持共享盘的数据共享功能，多个节点挂载使用同一个云硬盘可能会出现读写冲突、数据缓存冲突等问题，所以创建无状态工作负载时，若使用了EVS云硬盘，建议工作负载只选择一个实例。 1.19.10以下版本的集群中，如果使用HPA策略对挂载了EVS卷的负载进行扩容，当新Pod被调度到另一个节点时，会导致之前Pod不能正常读写。 1.19.10及以上版本集群中，如果使用HPA策略对挂载了EVS卷的负载进行扩容，新Pod会因为无法挂载云硬盘导致无法成功启动。 文件存储卷使用约束： 支持多个PV挂载同一个SFS或SFS Turbo，但有如下限制： 1. 多个不同的PVC/PV使用同一个底层SFS或SFS Turbo卷时，如果挂载至同一Pod使用，会因为PV的volumeHandle参数值相同导致无法为Pod挂载所有PVC，出现Pod无法启动的问题，请避免在同一个Pod中挂载相同的SFS或SFS Turbo。 2. PV中persistentVolumeReclaimPolicy参数建议设置为Retain，否则可能存在一个PV删除时级联删除底层卷，其他关联这个底层卷的PV会由于底层存储被删除导致使用出现异常。 3. 重复用底层存储时，建议在应用层做好多读多写的隔离保护，防止产生的数据覆盖和丢失。 对象存储卷使用约束如下： 使用对象存储时，挂载点不支持修改属组和权限。 使用PVC挂载对象存储时，负载每挂载一个对象存储卷，后端会产生一个常驻进程。当负载使用对象存储数过多或大量读写对象存储文件时，常驻进程会占用大量内存，为保证负载稳定运行，建议负载使用的对象存储卷数量不超过其申请的内存GiB数量，如负载的申请的内存规格为4GiB，则建议其使用的对象存储数不超过4。 安全容器不支持使用对象存储。 挂载普通桶时不支持硬链接（Hard Link）。 在工作负载中挂载OBS存储卷声明时，不支持只读模式（readonly）。 本地持久卷使用约束： 本地持久卷仅在集群版本> v1.21.2r0 时支持，且需要everest插件版本>2.1.23，推荐使用>2.1.23版本。 移除节点、删除节点、重置节点和缩容节点会导致与节点关联的本地持久存储卷类型的PVC/PV数据丢失，无法恢复，且PVC/PV无法再正常使用。移除节点、删除节点、重置节点和缩容节点时使用了本地持久存储卷的Pod会从待删除、重置的节点上驱逐，并重新创建Pod，Pod会一直处于pending状态，因为Pod使用的PVC带有节点标签，由于冲突无法调度成功。节点重置完成后，Pod可能调度到重置好的节点上，此时Pod会一直处于creating状态，因为该PVC对应的底层逻辑卷已不存在。 请勿在节点上手动删除对应的存储池或卸载数据盘，否则会导致数据丢失等异常情况。 本地持久卷不支持被多个工作负载或多个任务同时挂载。 本地临时卷使用约束： 本地临时卷仅在集群版本> v1.21.2r0 时支持，且需要everest插件版本>1.2.29。 请勿在节点上手动删除对应的存储池或卸载数据盘，否则会导致数据丢失等异常情况。 请确保节点上Pod不要挂载/var/lib/kubelet/pods/目录，否则可能会导致使用了临时存储卷的Pod无法正常删除。 快照与备份使用约束： 快照功能仅支持v1.15及以上版本的集群，且需要安装基于CSI的everest插件才可以使用。 基于快照创建的云硬盘，其子类型（普通IO/高IO/超高IO）、是否加密、磁盘模式（VBD/SCSI）、共享性(非共享/共享)、容量等都要与快照关联磁盘保持一致，这些属性查询和设置出来后不能够修改。 只有可用或正在使用状态的磁盘能创建快照，且单个磁盘最大支持创建7个快照。 创建快照功能仅支持使用everest插件提供的存储类（StorageClass名称以csi开头）创建的PVC。使用Flexvolume存储类（StorageClass名为ssd、sas、sata）创建的PVC，无法创建快照。 加密磁盘的快照数据以加密方式存放，非加密磁盘的快照数据以非加密方式存放。 LVM 配置约束： 节点中LVM的backup功能已修改默认配置（位于/etc/lvm/lvm.conf路径）：安装存储插件Everest（> 2.4.98）后，Archive保留时间会被约束为1天，以防止大量LVM操作的历史元数据侵占磁盘空间。

方案架构 方案防护措施 事前预防 提供漏洞检测能力：主动发现系统、应用、数据库等存在的漏洞风险，并支持一键漏洞修复，避免被攻击者利用。 提供基线检查能力：一键核查服务器、数据库等的安全合规配置，如弱口令、配置文件等，消除部分安全隐患。 提供数据备份能力：对关键数据采取实时备份/定时备份等方式对数据进行备份，在被勒索后，可以对备份数据一键恢复，减少损失。 事中防御 提供入侵检测和病毒查杀能力：在网络层面阻断勒索病毒的下载传播，在主机层面识别、阻断和隔离勒索病毒，实现对已知勒索病毒的防御。 提供诱饵防护能力（旗舰版功能）：利用投放在关键位置的诱饵文档，实时监控诱饵文档的改动，一旦单位时间内多个诱饵文件连续发生改动，立即产生报警，终止修改诱饵文件的进程，并隔离进程对应的文件 ，实现对未知勒索病毒的检测和查杀能力。 事后补救防御 提供数据恢复能力：遭遇黑客攻击、人为删除等恶性事件时，将备份的特定时间节点数据进行数据恢复，覆盖被加密或损坏的数据。

本节介绍如何开启Cookie安全属性。 当“对外协议”配置为HTTPS时，WAF支持开启“Cookie安全属性”，开启后会将Cookie的HttpOnly和Secure属性设置为true。 Cookie是后端Web Server插入的，可以通过框架配置或setcookie实现，其中，Cookie中配置Secure，HttpOnly有助于防范XSS等攻击获取Cookie，对于Cookie劫持有一定的防御作用。 Appscan扫描器在扫描网站后发现客户站点没有向扫描请求Cookie中插入HttpOnly Secure等安全配置字段将记录为安全威胁。 约束条件 “对外协议”包含“HTTP”时，“Cookie安全属性”默认为关闭状态，不支持开启。 操作步骤 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 单击页面左上角的“服务列表”，选择“安全 > Web应用防火墙（独享版）”。 4. 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。 5. 在目标网站所在行的“域名”列中，单击目标网站，进入网站基本信息页面。 6. 在“高级配置”栏中“Cookie安全属性”列单击，开启Cookie安全属性。

本节介绍如何导出告警列表。 支持导出的告警：基线检测、漏洞扫描、弱口令检测、异常登录、暴力破解、后门检测、可疑操作、反弹shell、进程提权、Webshell、端口蜜罐、病毒查杀、文件防勒索、文件完整性保护等告警。 支持导出的格式：支持“.csv”格式。 操作步骤 如下以导出异常登录告警为例，介绍导出告警的详细步骤。 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“入侵检测 > 异常登录”，进入异常登录页面。 3. 单击告警列表右上角的“导出”图标，导出告警列表。 若只需要导出某一类告警或某一段时间内的告警，可以先筛选告警，再进行导出。支持按照告警类型、时间、状态、登录源IP、登录账号、服务器名称、服务器IP进行筛选。 4. 页面右上角会显示导出状态，当导出完成后，单击“下载”，将告警列表下载到本地。 注意 若“关闭”页面，此时告警列表还未下载到本地，若需要下载，则需要重新导出。

早期通过OOS产线开通的账号密码有效期多久？ 为了防止长期使用的账号密码被泄露，OOS会扫描用户密码创建时间是否超过1年，超过后通过OOS的控制台地址（仅限早期通过OOS产线侧开通的账号）登录时，会强制用户进行密码重置，在重置密码时会新增邮件验证码。完成重置密码后，可成功登录控制台进行使用。如果邮箱无法接收验证码，可以去天翼云注册账号，然后联系对应的客户经理/客服，和OOS侧的账号做绑定，后续可以通过天翼云官网登录并跳转到OOS控制台进行使用。

本文介绍了企业交换机服务协议 天翼云企业交换机服务协议详情请参见这里。

本文介绍了客户支持计划不同工单的响应时间。 基于业务影响情况，天翼云定义了不同工单的响应时间。客户提交问题后，天翼云工程师会跟进客户反馈的工单情况参照不同的SLA 要求，及时响应。 工单说明： 紧急工单：客户业务重要功能不可用，需要立即处理；客户业务的重要功能受损或降级，非关键功能/系统异常；10分钟内响应。 一般工单：一般性问题咨询；30分钟内响应。

云数据库GaussDB(for MySQL)支持的事件列表 事件名称 事件ID 事件级别 事件说明 处理建议 事件影响 实例增量备份业务失败 TaurusIncrementalBackupInstanceFailed 重要 实例增量备份失败产生的事件，一般是管理节点到实例网络或者实例到OBS存储的网络异常，或者实例备份环境异常。 提交工单。 无法完成实例备份业务操作。 添加只读节点失败 addReadonlyNodesFailed 重要 创建实例只读节点失败产生的事件，一般是底层资源耗尽导致。 检查并释放资源后重新创建。 无法创建数据库实例只读节点。 创建实例业务失败 createInstanceFailed 重要 创建实例失败产生的事件，一般是配额大小不足，底层资源耗尽导致。 检查配额大小，释放资源后重新创建。 无法创建数据库实例。 主备切换异常 activeStandBySwitchFailed 重要 主备切换异常主要是由于网络、物理机有某种故障导致只读节点没有接管主节点的业务，短时间内会恢复到原主节点继续提供服务。 提交工单。 无法完成主备切换（只读升主）。 规格变更业务失败 flavorAlterationFailed 重要 规格变更失败产生的事件，一般是配额大小不足，底层资源耗尽导致。 提交工单。 无法完成规格变更。 实例运行状态异常 TaurusInstanceRunningStatusAbnormal 重要 实例运行状态异常产生的事件，可能原因是实例进程故障，或者实例到DFV存储间通信问题。 提交工单。 实例异常，业务可能受损。 实例运行状态异常已恢复 TaurusInstanceRunningStatusRecovered 重要 实例运行状态异常后恢复产生的事件。 观察业务运行情况。 无。 节点运行状态异常 TaurusNodeRunningStatusAbnormal 重要 运行节点状态异常产生的事件，可能原因是节点进程故障，或者节点到DFV存储间通信问题。 观察实例状态和业务运行情况。 节点异常，可能触发只读升主。 节点运行状态异常已恢复 TaurusNodeRunningStatusRecovered 重要 节点运行状态异常后恢复产生的事件。 观察业务情况。 无。 删除只读节点失败 TaurusDeleteReadOnlyNodeFailed 重要 删除只读节点失败产生的事件，可能原因是管理面到实例节点通信异常或者请求IaaS删除虚机失败。 提交工单。 无法完成删除只读节点操作。 实例重置密码失败 TaurusResetInstancePasswordFailed 重要 实例重置密码失败产生的事件，可能原因是管理面到实例通信异常或者实例状态异常件。 检查确认实例状态后重试，未解决则提交工单。 无法完成实例重置密码操作。 实例重启失败 TaurusRestartInstanceFailed 重要 实例重启失败产生的事件，可能原因是管理面到实例通信异常或者实例状态异常件。 检查确认实例状态后重试，未解决则提交工单。 无法完成实例重启操作。 恢复到新实例失败 TaurusRestoreToNewInstanceFailed 重要 恢复到新实例失败产生的事件，一般是新创建实例配额大小不足，底层资源耗尽导致或者数据恢复逻辑出错。 如果是新创建实例失败，检查配额大小，释放资源后重新恢复到新实例，其他情况提交工单。 无法完成恢复到新实例。 实例绑定EIP失败 TaurusBindEIPToInstanceFailed 重要 实例绑定EIP失败产生的事件，绑定任务执行错误。 提交工单。 无法完成绑定EIP操作。 实例解绑EIP失败 TaurusUnbindEIPFromInstanceFailed 重要 实例解绑EIP失败产生的事件，绑定任务执行错误。 提交工单。 无法完成解绑EIP操作。 实例修改参数失败 TaurusUpdateInstanceParameterFailed 重要 实例修改参数失败产生的事件，一般是管理节点到实例网络异常，或者实例状态异常。 检查确认实例状态后重试，未解决则提交工单。 无法完成实例修改参数操作。 实例参数组应用失败 TaurusApplyParameterGroupToInstanceFailed 重要 实例参数组应用失败产生的事件，一般是管理节点到实例网络异常，或者实例状态异常。 检查确认实例状态后重试，未解决则提交工单。 无法完成实例参数组应用操作。 实例全量备份业务失败 TaurusBackupInstanceFailed 重要 实例全量备份失败产生的事件，一般是管理节点到实例网络或者实例到OBS存储的网络异常，或者实例备份环境异常。 提交工单。 无法完成实例备份业务操作。 实例发生主备倒换 TaurusActiveStandbySwitched 重要 实例发生主备倒换，主要是由于主节点的网络，物理机以及数据库运行出现故障时，GaussDB HA系统会按照倒换优先级将1个只读节点升为主机，以持续提供服务。 收到事件后，查看业务运行是否正常。看是否继续收到“实例只读升主业务失败”告警。 倒换时业务连接会短时间中断，升主完成后可重新连接数据库。 数据库设置为只读模式 NodeReadonlyMode 重要 数据库设置为只读状态，只支持查询类操作。 提交工单。 数据库设置只读状态后，所有写业务返回失败。 数据库设置为读写模式 NodeReadWriteMode 重要 数据库设置为读写状态 提交工单。 无 实例容灾切换 DisasterSwitchOver 重要 实例故障不可用，通过主备切换保证数据库继续对外提供服务。 联系技术支持团队处理。 访问数据库的业务出现闪断，高可用服务通过切换机制保证新机器升主继续对外提供服务。 数据库进程重新启动 TaurusDatabaseProcessRestarted 重要 一般是内存不足、负载过高导致数据库进程停止。 通过云监控的数据，查看是否有内存飙升、CPU长期过高等的情况，可以选择提升CPU内存规格或者优化业务逻辑。 数据库进程挂掉的时候，该节点业务中断。高可用服务会自动拉起进程，尝试恢复业务。

人脸识别是天翼云自研AI平台提供的产品之一，通过自主研发人脸识别算法模型，提供人脸系列API服务，包括人脸检测、人脸属性识别、人脸比对等能力。通过订购天翼云人脸识别产品，可将此服务快速高效的部署到您的应用中，为开发者和企业提供高性能的在线API服务和解决方案，针对图片进行分析，可应用于人脸识别和认证、安防考勤等各种场景。 本说明提供了人脸识别产品API的描述、语法、参数说明及示例等内容。

本页介绍天翼云TeleDB数据库导入工单列表相关操作。 1、工单查询 输入查询条件后单击查询按钮，执行查询操作。支持的查询条件： 1. 工单状态： a 工单创建：工单保存到业务系统过程中。 b 执行中：导入任务执行中。 c 执行完成：导入任务执行成功。 d 执行异常：导入任务执行失败。 2. 时间范围：某一时间段创建或执行的导入工单。 3. 关键词：可输入工单号/库名/创建人相关关键字。 2、数据导入 单击数据导入按钮可添加新的数据导入任务，详见提交导入任务章节。 3、执行异常查看 执行异常的工单，可以单击工单状态上的，查看异常原因。 4、重试 针对异常的工单，可以根据异常原因，进行选择是否需要重试，单击重试按钮即可进行重试。 注意 重试操作并不会更改配置，请考虑重试是否可能成功后再单击按钮。 5、详情 在工单列表找到目标工单，单击工单号或在操作列单击详情按钮，在打开的工单详情弹窗可查看目标工单的详细信息。 内容 说明 工单号 系统生成的工单唯一id。 工单类型 展示工单是导入或导出类型。 库信息 导入任务对应的目标库/模式信息。 工单状态 展示工单当前状态。 创建人 导入任务的创建用户。 创建时间 工单保存到系统的时间。 最后操作时间 工单状态最后更新时间。 导入文件类型 导入的文件格式类型，可在创建工单任务时选择。 工单说明 备注信息，可在创建工单任务时填写。

本章主要介绍翼MapReduce的配置HDFS数据传输加密功能。 设置HDFS安全通道加密 默认情况下，组件间的通道是不加密的。您可以配置如下参数，设置安全通道为加密的。 参数修改入口：在FusionInsight Manager系统中，选择“集群 > 待操作集群的名称 > 服务 > HDFS > 配置”，展开“全部配置”页签。在搜索框中输入参数名称。 说明 配置后应重启对应服务使参数生效。 详见下表：参数说明 配置项 描述 默认值 hadoop.rpc.protection 须知 设置后需要重启服务生效，且不支持滚动重启。 设置后需要重新下载客户端配置，否则HDFS无法提供读写服务。 设置Hadoop中各模块的RPC通道是否加密。通道包括： 客户端访问HDFS的RPC通道。 HDFS中各模块间的RPC通道，如DataNode与NameNode间。 客户端访问Yarn的RPC通道 NodeManager和ResourceManager间的RPC通道。 Spark访问Yarn，Spark访问HDFS的RPC通道。 Mapreduce访问Yarn，MapReduce访问HDFS的RPC通道。 HBase访问HDFS的RPC通道。 说明 设置后全局生效，即Hadoop中各模块的RPC通道的加密属性全部生效。 安全模式：privacy 普通模式：authentication 说明 “authentication”：只进行认证，不加密。 “integrity”：进行认证和一致性校验。 “privacy”：进行认证、一致性校验、加密。 dfs.encrypt.data.transfer 设置客户端访问HDFS的通道和HDFS数据传输通道是否加密。HDFS数据传输通道包括DataNode间的数据传输通道，客户端访问DataNode的DT（Data Transfer）通道。设置为“true”表示加密，默认不加密。 说明 仅当hadoop.rpc.protection设置为privacy时使用。 业务数据传输量较大时，默认启用加密对性能影响严重，使用时请注意。 如果互信集群的一端集群配置了数据传输加密，则对端集群也需配置同样的数据传输加密。 FALSE dfs.encrypt.data.transfer.algorithm 设置客户端访问HDFS的通道和HDFS数据传输通道的加密算法。只有在dfs.encrypt.data.transfer配置项设置为“true”，此参数才会生效。 说明 缺省值为“3des”，表示采用3DES算法进行加密。此处的值还可以设置为“rc4”，避免出现安全隐患，不推荐设置为该值。 3des dfs.encrypt.data.transfer.cipher.suites 可以设置为空或“AES/CTR/NoPadding”，用于指定数据加密的密码套件。如果不指定此参数，则使用“dfs.encrypt.data.transfer.algorithm”参数指定的加密算法进行数据加密。默认值为“AES/CTR/NoPadding”。 AES/CTR/NoPadding

本文简述天翼云全站加速的权限管理配置平台及具体操作方法。 背景说明 一般情况下，客户只需一个天翼云账号即可管理在天翼云上购买的全站加速资源。如果存在需要为企业内部的员工设置不同的访问权限，以达到不同员工之间权限隔离的效果，则可以使用天翼云CDN+统一身份认证服务（CDN+ Identity and Access Management，简称CDN+IAM）进行精细的权限管理。本文主要介绍相关操作步骤。 操作步骤 步骤一：登录CDN+IAM平台 1、平台登录入口：天翼云CDN+IAM。 2、进入账号登录界面，请单击【其他登录方式】里的第一个图标（如下图1），随即自动跳转到天翼云账号登录界面（如下图2），输入官网账号和密码后，单击【登录】。 步骤二：创建工作区 工作区是一个租户的概念，在工作区里可以共享合作，可实现团队管理，角色管理，子用户管理等操作。 完成登录CDN+IAM平台后，系统已为您创建了一个系统内置工作区。 若没有系统内置工作区，您可以自行创建工作区。操作方式为在界面右上角，单击【新增】。 工作区生成后，您可以直接单击【系统内置工作区】进入工作区，该工作区的所有者是您。

本文介绍如何对天翼云APP进行登录验证。 开启APP安全防护功能后，当您打开天翼云APP时，需要通过验证才能正常访问并使用APP。 1、如已开启面容验证，优先使用面容验证 2、面容验证失败，可选择重试或取消 3、取消面容验证或希望使用其他验证方式，可选择手势密码或账号登录 注意 多次验证失败将触发账号锁定等风险控制措施，请谨慎操作。

本文介绍产品增值与定制内容申请的相关内容。 如果您有增值/定制的需求，您可以联系客户经理或天翼云客服，提交您的需求。 也可以进入官网以工单的形式提交您的需求。 工单提交流程： 第一步，登陆天翼云官网，点击用户菜单下的“工单管理“； 工单管理页面 第二步，进入“提交工单”页面，在安全加速业务处点击“提问”； 提交工单页面 第三步，根据您的需求，选择“问题分类”，或“创建工单” 问题分类和创建工单页面

1. 统一身份认证IAM介绍 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。 1.1 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，缩小不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 1.2 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素“Action”“Effect”等，更多信息，请参见“2.1.2 创建自定义策略“。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略: 系统策略 ：预置的系统策略，您只能使用不能修改。相关的系统策略包含如下： vpc Admin：弹性IP/共享流量包/IPv6服务的管理者权限，包含弹性IP/共享流量包所有控制权限（不含订单类权限）； vpc Viewer：弹性IP/共享流量包/IPv6服务的观察者权限，包含弹性IP/共享流量包服务的列表页与详情页面权限； 自定义策略 ：您按需自行创建和维护的权限策略，关于自定义策略的操作和示例，请参见“创建自定义策略“。

IAM是一种基于用户的授权策略。通过设置IAM策略,您可以控制用户访问资源的权限。 IAM权限简介 如果您需要对您的对象存储（ZOS）资源进行精细的权限管理，您可以使用统一身份认证（Identity and Access Management，简称IAM）服务。IAM是一种基于用户的授权策略。通过设置IAM策略，您可以控制用户访问您名下哪些资源的权限，例如限制您的用户只拥有对某一个桶的读权限等。 如果当前的天翼云账号已经能满足您的要求，您可以跳过本章节，不需要创建独立的IAM用户，不影响您使用ZOS的其他功能。 默认情况下，天翼云主账号拥有对资源的完全控制权限，而主账号创建的IAM用户没有任何权限。主账号将IAM用户加入用户组，并给用户组授予策略或角色之后，IAM用户获得相应的权限，这一过程称为授权。授权后，IAM用户就可以基于被授予的权限对云服务进行操作。 使用场景 以下场景，您可以使用IAM进行权限控制。 对同一账号下的不同IAM用户授予相同权限。 对所有ZOS资源或者多个桶配置相同权限。 配置ZOS服务级别的权限，例如列举某一账号下的所有桶。 操作步骤 1. 创建用户组和授权 在IAM控制台创建用户组，并授予权限。 2. 创建IAM用户和登录 在IAM控制台创建用户，并将其加入上一步创建的用户组。 注意 由于权限策略同步存在一定的延迟，对用户组授予相关的权限后，可能需要等待5~10分钟权限才能生效，请您耐心等候。

本章介绍函数工作流的监控信息说明。 FunctionGraph函数实现了与云监控服务的对接，用户无需任何配置，即可查询函数监控信息。 查看函数监控信息 FunctionGraph会统计函数的运行时指标，显示的指标是函数运行时活动的聚合视图。要查看不同函数版本的指标，可在查看指标前切换函数版本，查询不同版本对应的监控信息。 1. 登录函数工作流控制台，在左侧的导航栏选择“函数 > 函数列表”。 2. 选择待配置的函数，单击进入函数详情页。 3. 选择“监控 > 指标”，选择时间粒度（最近1天、最近3天、自定义），查看函数运行状态。 说明 可以查看的指标有：调用次数、错误次数、运行时间（包括最大运行时间、最小运行时间、平均运行时间）、被拒绝次数、资源统计。 指标说明 运行监控指标说明如下表所示。 监控指标说明表 指标 单位 说明 调用次数 次 函数总的调用请求数，包含了错误和被拒绝的调用。 异步调用在该请求实际被系统执行时才开始计数。 运行时间 毫秒 最大运行时间为某统计粒度（周期）下，即某一时间段内单次函数执行最大的运行时间。 最小运行时间为某统计粒度（周期）下，即某一时间段内单次函数执行最小的运行时间。平均运行时间为某统计粒度（周期）下，即某一时间段内单次函数执行平均的运行时间。 错误次数 次 指发生异常请求的函数不能正确执行完并且返回200，都计入错误次数。 函数自身的语法错误或自身执行错误也会计入该指标。 被拒绝次数 次 由于并发请求太多，系统流控而被拒绝的请求次数。 资源统计 个 该函数的请求并发数和预留实例数。