本文带您快速熟悉使用云主机备份(CTCSBS,Cloud Server Backup Service)的操作流程。 以下是云主机备份的基础入门操作流程： 1.注册天翼云帐号，请参考准备工作步骤一。 2.登录并实名认证，请参考准备工作步骤二。 3.账号充值，请参考准备工作步骤三。 4.创建存储库。 5.创建云主机备份。

本小节介绍Web应用防火墙黑白名单最佳实践。 当您需要拉黑部分恶意攻击者或者用户访问，或者希望指定用户、页面的访问不被拦截，您可以在此做黑白名单配置。 除常见的IP和URL的黑白名单外，您可以通过UserAgent的黑白名单对访问的客户端进行限制，可以实现简单的爬虫过滤；您也可以通过Referer字段对用户访问来源做一定的限制，实现对关键业务页面的定制化防护。 前提条件 已添加了防护域名并已完成了域名接入。 WAF防护已开启。 操作步骤 1. 登录Web应用防火墙控制台。 2. 在左侧导航栏，选择“WAF防护配置”。 3. 在WAF防护配置列表的操作列，单击“自定义防护配置”。 4. 在自定义防护配置界面，选择“黑白名单”页签。 黑白名单支持IP、Referer、URL、UserAgent四种类型。 您可以添加IP（如127.0.0.1）、IP段（如127.0.0.0/24）、uri路径（如/index?abc页面，仅需添加/index字符段）和其他规则匹配下的字符文本。

本节介绍态势感知基本概念。 安全运营中心（Security Operations Center，SOC）一个集中式功能或团队，负责全天候检测端点、服务器、数据库、网络应用程序、网站和其他系统的所有活动，以实时发现潜在的威胁；对网络安全事件进行预防、分析和响应，以改进企业的网络安全态势。SOC还使用最新的威胁情报来掌握威胁组和基础结构的最新信息，并在攻击者利用系统或流程漏洞之前识别和处理这些漏洞，从而主动开展安全工作。大多数SOC每周7天全天候运行，跨多个国家/地区的大型企业/组织可能还依赖于全球安全运营中心（GSOC）来掌控全球安全威胁，并协调多个本地SOC之间的检测和响应。 SOC的功能 SOC团队承担以下职能来帮助防止、响应攻击并在遭到攻击后恢复。 资产和工具清单 为了消除覆盖范围中的盲点和缺口，SOC需要了解它保护的资产，并深入了解它用于保护企业/组织的工具。这意味着考虑到本地和多个云中的所有数据库、云服务、标识、应用程序和客户端。该团队还跟踪企业/组织中使用的所有安全解决方案，例如防火墙、反恶意软件、反勒索软件和监视软件。 减少攻击面 SOC的主要责任是减少企业/组织的攻击面。为此，SOC会维护包含所有工作负载和资产的清单、将安全修补程序应用于软件和防火墙、识别错误配置，并新资产联机时添加这些资产。团队成员还负责研究新出现的威胁并分析风险。 持续监视 SOC团队使用安全分析解决方案全天候监视整个环境 本地、云、应用程序、网络和设备，来发现异常或可疑行为；其中这些解决方案包括安全信息企业管理（SIEM）解决方案、安全编排、自动化和响应（SOAR）解决方案和扩展检测和响应（XDR）解决方案。这些工具会收集遥测数据、聚合数据，并在某些情况下自动进行事件响应。 威胁情报 SOC还使用数据分析、外部源和产品威胁报告来深入了解攻击者行为、基础结构和动机。这种情报提供了有关Internet上正在发生的情况的全局视图，并帮助团队了解威胁组是如何运作的。借助此信息，SOC可快速发现威胁，并加强企业/组织对新出现的风险的应对。 威胁检测 SOC团队使用SIEM和XDR解决方案生成的数据来识别威胁。这首先会从实际问题中筛选掉误报。然后，按严重性和对业务的潜在影响确定威胁的优先级。 日志管理 SOC还负责收集、维护和分析每个客户端、操作系统、虚拟机、本地应用和网络事件生成的日志数据。分析有助于建立正常活动的基线，并揭示可能指示恶意软件、勒索软件或病毒的异常。 事件响应 识别到网络攻击后，SOC会快速采取措施，在尽可能减少业务中断的情况下限制对企业/组织的损害。措施可能包括关闭或隔离受影响的客户端和应用程序、暂停被入侵的账户、移除遭到感染的文件，以及运行防病毒和反恶意软件。 发现和修正 在攻击之后，SOC负责将公司恢复到其原始状态。团队将擦除并重新连接磁盘、标识、电子邮件和客户端，重启应用程序，直接转换到备份系统，并恢复数据。 根本原因调查 为了防止类似的攻击再次发生，SOC进行了彻底的调查，来确定漏洞、效果不佳的安全流程和其他导致事件的教训。 安全性优化 SOC使用事件期间收集的任何情报来解决漏洞、改进流程和策略，并更新安全路线图。 合规性管理 SOC职责的一个关键部分是确保应用程序、安全工具和流程符合隐私法规，例如，《PCI DSS安全遵从包》、《ISO 27701安全遵从包》和《ISO 27001安全遵从包》等。团队定期审核系统来确保合规性，并确保在数据泄露后通知监管机构、执法人员和客户。

云搜索服务支持用户将已经在天翼云购买的弹性负载均衡配置到在用云搜索实例上，以实现访问流量均衡分摊。 前提条件 已购买同资源池的负载均衡，并确认有配额可用。 操作步骤 1. 在弹性负载均衡产品控制台购买负载均衡器，请购买与云搜索实例在同一地域的负载均衡器，虚拟私有云请选择和云搜索实例相同的VPC、子网以确保内网可连接。 2. 创建完成后，在负载均衡控制台设置监听器及后端主机组。 3. 登录云搜索控制台，点击需要绑定的实例名称进入详情页，在安全设置页面开启Elasticsearch实例负载均衡设置的开关，在弹出的界面中选择目标弹性负载均衡的和后端主机组。 4. 提交后等待绑定完成，即可通过负载均衡访问Elasitcsearch实例。

初识WAF 说明 相关文档 什么是Web应用防火墙（边缘云版）？ 通过介绍Web应用防火墙（边缘云版），主要功能和应用场景，帮助首次使用WAF服务的客户全面认识WAF。 为什么需要Web应用防火墙（边缘云版）？ 通过详细介绍产品优势和应用场景，帮助客户全面了解Web应用防火墙（边缘云版）能解决的业务问题。 WAF如何计费？ 详细介绍天翼云Web应用防火墙（边缘云版）支持的计费方式，指导客户如何选择合适的计费方式。 相关术语 为帮助客户在浏览相关文档时能更快更准确理解相关功能及流程，专门提炼CDN相关专业术语并提供解释说明。

入云流量页面展示当前防火墙实例防护的互联网访问云上EIP的流量数据，数据基于会话统计，在连接期间，数据不会上报，连接结束后才会上报。 前提条件 开启弹性公网IP（EIP）防护且已有流量经过EIP，开启EIP防护的操作步骤请参见“开启互联网边界流量防护”。 查看入云流量 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“流量分析> 入云流量”，进入“入云流量”页面。 5. 查看经过防火墙的流量统计信息，支持5分钟~7天的数据。 流量看板：互联网访问内部服务器时最大流量的相关信息。 入云流量：入方向请求流量和响应流量数据，最多支持同时查询30个EIP的流量数据。 取值说明： 时间段 取值说明 近1小时 取1分钟内的平均值 近24小时 取5分钟内的平均值 近7天 取1小时内的平均值 自定义 5分钟~6小时：取1分钟内的平均值 6小时（含）~3天：取5分钟内的平均值 3天（含）~7天（含）：取30分钟内的平均值 可视化统计：查看指定时间段内入方向流量中指定参数的TOP 5 排行，参数说明请参见表350。单击单条数据查看流量详情，每个详情支持查看50条数据。 入云流量可视化统计参数说明： 参数名称 参数说明 TOP访问源IP 入方向流量的源IP地址。 TOP访问来源地区 入方向流量的源IP所属的地理位置， TOP访问目的IP 入方向流量的目的IP地址。 TOP开放端口 入方向流量的目的端口。 应用分布 入方向流量的应用信息。 IP分析：查看指定时间段内 TOP 50 的流量信息。 公开IP分析：目的IP的流量信息。 访问源IP分析：源IP的流量信息。

介绍分布式消息服务RocketMQ与天翼云其他服务关系。 虚拟私有云(CTVPC ，Virtual Private Cloud) 虚拟私有云为分布式消息服务RocketMQ提供一个逻辑隔离的区域，构建一个安全可靠、 可配置和管理的虚拟网络环境。更多信息请参见虚拟私有云。 弹性云主机（CTECS，Elastic Cloud Server） 分布式消息服务RocketMQ订购后，默认按照用户选择的实例规格开通弹性云主机，云主机由 CPU、内存、镜像、云硬盘组成，同时结合VPC、安全组、数据多副本保存等能力，打造一个既高效又可靠安全的计算环境，确保分布式消息服务RocketMQ持久稳定运行。更多信息请参见弹性云主机。 云硬盘（CTEVS，Elastic Volume Service） 分布式消息服务RocketMQ订购后，默认按照用户选择的存储大小开通云硬盘。云硬盘是一种可弹性扩展的块存储设备，可以为分布式消息服务RocketMQ提供高性能、高可靠的块存储服务。更多信息请参见云硬盘。

为保障您的账户安全、避免额外损失,请务必仔细阅读安全风险提示的全部内容。 OpenClaw 是运行于系统级环境的通用 AI Agent，支持文件读写、代码执行、多步任务编排，可通过聊天工具接收指令执行对应操作。因其具备较高系统操作权限，强烈建议您仅在隔离、可控的云端环境中部署运行。 天翼云提供的 OpenClaw 软件环境来源于第三方或开源社区，仅供您参考与合规使用。您需自行评估使用相关的全部风险，因部署、配置、使用该镜像及相关软件产生的任何直接或间接损失、安全与合规责任，天翼云不承担相关责任。请您确保所有使用行为符合国家法律法规、监管要求及对应开源许可协议。 请您结合自身业务需求与安全要求，合理配置系统与权限策略，保障运行环境安全可控。为降低潜在安全风险，请您重点关注以下使用注意事项： 1. 及时更新版本 定期升级OpenClaw 及相关组件，避免因已知漏洞带来安全风险。 2. 加强数据备份 建议建立定期备份机制，防止因系统故障或误操作导致数据丢失。 3. 控制网络暴露面 非必要情况下，不建议将OpenClaw 服务端口直接暴露至互联网，可通过安全组、内网访问或代理方式进行访问控制。 4. 遵循最小权限原则 仅启用必要的工具和功能，避免授予OpenClaw 过高的系统权限或无限制的自主执行能力。 5. 使用可信来源的Skills插件 建议优先使用官方或经过安全验证的Skills，避免使用来源不明的插件，以降低安全风险。 6. 部署主机安全防护措施 建议安装主机安全防护软件。天翼云为云主机提供免费的主机安全卫士，建议在创建实例时启用相关安全服务。 7. 妥善保护访问凭证 对API Key、Token 等敏感凭证进行安全存储与加密管理，避免泄露。 8. 开启日志与审计机制 建议启用操作日志与行为审计功能，以确保关键操作可记录、可追溯。

本节为您介绍物理机对云硬盘服务的支持情况。 云硬盘（CTEVS，Elastic Volume Service）是一种可弹性扩展的块存储设备，可以为物理机提供高性能、高可靠的块存储服务。天翼云硬盘规格丰富，满足不同场景的业务需求，适用于文件系统、数据库、开发测试等场景。 物理机服务中的部分物理机规格不支持挂载云硬盘。 部分物理机规格支持挂载使用的云硬盘类型，包括普通 IO（SATA）、高 IO（SAS）、超高 IO（SSD）、通用型SSD（SSD）四种类型的云硬盘，用户可根据物理机所承载的业务类型选配所需IO能力的数据盘。具体请参考云硬盘产品文档。 说明：所选规格对云硬盘挂载支持情况可在选配界面查看，如下图。 1. 物理机规格不支持挂载云硬盘，在选配界面挂载云硬盘时会提示“当前所选规格不支持挂载云硬盘”。见下图： 2. 物理机规格支持挂载云硬盘，在选配页面挂载云硬盘时，会展示云硬盘供用户选择。见下图：

本节介绍了退订DDoS高防（边缘云版）的操作过程。 天翼云目前支持7天无理由全额退订和非七天无理由退订以及其他退订，详细规则可参考规则说明。 操作流程 通过订单管理退订 1.登录天翼云官网，进入 控制中心费用中心退订管理 页面。 2. 选择要退订的资源，点击退订，进入退订详情页面。天翼云目前支持单个退订和批量退订。 3. 退订前仔细阅读退订须知，然后确认退订资源信息，包括产品名称、资源ID、规格、时间及可退订金额。 4. 信息确认无误后勾选协议，点击退订并再次确认，确认后即刻完成退订。退订后资金退回账户余额，可以通过“余额提现”进行提现，提现详细操作请参考余额提现。

本节介绍可通过AI云电脑同步工具将本地电脑数据同步到天翼量子AI云电脑，或者将天翼量子AI云电脑的数据同步到另外一个天翼量子AI云电脑。 1.简介 如需将本地电脑数据同步到AI云电脑，或者将AI云电脑的数据同步到另外一个AI云电脑，可使用AI云电脑同步工具进行数据同步。同步工具适用于Windows系统、统信UOS系统、银河麒麟系统、中科方德系统等，操作使用方式请参考以下操作指导。 同步工具客户端下载地址：++天翼云电脑同步工具客户端下载++ 2.登录/退出客户端 2.1 扫码登录 在登录界面，使用移动端的天翼云电脑App或翼连App进行二维码扫码，移动端确认登录。 2.2 账密登录 在登录界面，输入天翼量子AI云电脑账号密码，点击“安全登录”，即可登录同步工具客户端。 2.3 专线接入 若天翼量子AI云电脑的租户开通了企业专线接入，该租户下用户使用同步工具也需要通过专线接入登录，同步工具的专线地址与天翼量子AI云电脑专线地址一致。 1. 勾选“企业/专线地址”，弹出专线接入配置框； 2. 在专线接入配置框中，选择协议类型“http”或“https”，输入专线地址和端口； 3. 点击“启用”按钮。

本章节主要介绍翼MapReduce的启动、停止主机上的所有操作。 操作场景 当主机发生故障状态异常时，用户可能需要停止主机上的所有角色，对主机进行维护检查。故障清除后，启动主机上的所有角色恢复主机业务。Manager支持在主机管理页面或者主机详情页面进行相关操作，以下根据主机管理页面为例进行指导。 操作步骤 1. 登录FusionInsight Manager。 2. 单击“主机”。 3. 勾选待操作主机前的复选框。 4. 在“更多”选择“启动所有实例”或“停止所有实例”执行相应操作。

本节介绍了共享镜像的流程等内容。 共享镜像概述 共享镜像是将自己已经创建好的私有镜像共享给其他用户使用。共享后，接受者可以使用该共享镜像快速创建运行同一镜像环境的云主机。 约束与限制 镜像支持共享到对方租户相同区域内。 每个镜像最多可以共享给128个租户，整机镜像最多可以共享给10个租户。 加密镜像不支持共享。 只有通过云服务备份，或者云主机（未通过旧版CSBS服务生成备份）创建的整机镜像，才支持共享。 共享过程 用户A作为共享镜像提供者，用户B作为共享镜像接受者时，用户A将私有镜像共享给用户B的具体流程如下： 1. 用户B提供自己的账号名给用户A。 如果用户B是专属云用户或多项目用户，除提供账号名外，还需要额外提供项目名称。 2. 用户A共享指定的镜像给用户B。 3. 用户B确认接受用户A的共享镜像。 用户B可以使用用户A共享的镜像，完成创建云主机等操作。 相关问题 还有其他关于共享镜像的疑问，请参考镜像共享类。 获取账号名和项目名称 操作场景 用户A将私有镜像共享给用户B之前，用户B将自己的账号名提供给用户A。如果用户B为专属云用户或多项目用户，还需要额外提供项目名称。本节指导用户B获取账号名和项目名称。 操作步骤 1. 用户B登录控制台。 2. 选择“镜像服务”。 进入镜像服务页面。 3. 单击右上角的用户名，选择下拉列表中的“我的凭证”。 在“我的凭证”页面的项目列表中查看账号名和项目名称（即“项目”列取值）。

为了进一步提升云服务的安全性，加强实例访问的默认保护机制，对新创建RabbitMQ实例的默认安全组策略进行优化调整。 调整内容 自本公告发布之日起，新开通RabbitMQ实例使用的安全组未配置vpc内入方向安全组规则，将默认禁止同VPC内访问RabbitMQ实例服务端口。此变更旨在遵循最小权限安全原则，降低因配置疏忽导致的安全风险。 影响说明 若您使用的安全组未进行额外配置，新建的实例将无法被同VPC内的云主机访问。 应对措施 如需恢复VPC内访问，请您手动配置安全组规则，具体操作如下： 在安全组入方向规则中添加以下策略： 授权策略：允许。 协议类型：TCP。 端口范围：RabbitMQ实例服务端口。 源地址：您的VPC网段（如：192.168.0.0/16）。 配置完成后，同VPC内的云主机即可正常访问RabbitMQ实例服务。 建议 为保障业务安全，建议您根据实际需求精确设置访问源IP或网段，避免开放不必要的访问权限。 此次调整仅影响新创建的实例，已有实例的访问策略保持不变，不受此次调整影响。感谢您对云服务安全的支持与理解。如有疑问，请联系技术支持。 特此公告。

为了进一步提升云服务的安全性，加强实例访问的默认保护机制，对新创建Kafka实例的默认安全组策略进行优化调整。 调整内容 自本公告发布之日起，新开通Kafka实例使用的安全组未配置vpc内入方向安全组规则，将默认禁止同VPC内访问Kafka实例服务端口。此变更旨在遵循最小权限安全原则，降低因配置疏忽导致的安全风险。 影响说明 若您使用的安全组未进行额外配置，新建的实例将无法被同VPC内的云主机访问。 应对措施 如需恢复VPC内访问，请您手动配置安全组规则，具体操作如下： 在安全组入方向规则中添加以下策略： 授权策略：允许。 协议类型：TCP。 端口范围：Kafka实例服务端口。 源地址：您的VPC网段（如：192.168.0.0/16）。 配置完成后，同VPC内的云主机即可正常访问Kafka实例服务。 建议 为保障业务安全，建议您根据实际需求精确设置访问源IP或网段，避免开放不必要的访问权限。 此次调整仅影响新创建的实例，已有实例的访问策略保持不变，不受此次调整影响。感谢您对云服务安全的支持与理解。如有疑问，请联系技术支持。 特此公告。

为了进一步提升云服务的安全性，加强实例访问的默认保护机制，对新创建Redis实例的默认安全组策略进行优化调整。 调整内容 自本公告发布之日起， 新开通redis实例使用的安全组未配置vpc内入方向安全组规则，将默认禁止同VPC内访问Redis服务端口（6379）。此变更旨在遵循最小权限安全原则，降低因配置疏忽导致的安全风险。 影响说明 若您使用的安全组未进行额外配置，新建的Redis实例将无法被同VPC内的云主机访问。 应对措施 如需VPC内访问，请您手动配置安全组规则，具体操作如下： 在安全组入方向规则中添加以下策略： 授权策略：允许。 协议类型：TCP。 端口范围：Redis的服务端口(如：6379）。 源地址：您的VPC网段（如：192.168.0.0/16）。 配置完成后，同VPC内的云主机即可正常访问Redis服务。 建议 为保障业务安全，建议您根据实际需求精确设置访问源IP或网段，避免开放不必要的访问权限。 此次调整仅影响新创建的实例，已有实例的访问策略保持不变，不受此次调整影响。感谢您对云服务安全的支持与理解。如有疑问，请联系技术支持。 特此公告。

为了进一步提升云服务的安全性，加强实例访问的默认保护机制，对新创建MQTT实例的默认安全组策略进行优化调整。 调整内容 自本公告发布之日起， 新开通MQTT实例使用的安全组未配置vpc内入方向安全组规则，将默认禁止同VPC内访问MQTT实例服务端口。此变更旨在遵循最小权限安全原则，降低因配置疏忽导致的安全风险。 影响说明 若您使用的安全组未进行额外配置，新建的实例将无法被同VPC内的云主机访问。 应对措施 如需恢复VPC内访问，请您手动配置安全组规则，具体操作如下： 在安全组入方向规则中添加以下策略： 授权策略：允许。 协议类型：TCP。 端口范围：MQTT实例服务端口。 源地址：您的VPC网段（如：192.168.0.0/16）。 配置完成后，同VPC内的云主机即可正常访问MQTT实例服务。 建议 为保障业务安全，建议您根据实际需求精确设置访问源IP或网段，避免开放不必要的访问权限。 此次调整仅影响新创建的实例，已有实例的访问策略保持不变，不受此次调整影响。感谢您对云服务安全的支持与理解。如有疑问，请联系技术支持。 特此公告。

功能名称 功能描述 标准版 专业版（包周期） 日志查询 防火墙提供7天的日志记录，助您事件追溯和深入分析。 ✓ ✓ 日志管理 将日志转储到云日志服务（Log Tank Service，简称LTS）中，支持查看1~365天的日志记录。 ✓ ✓

本文带您熟悉从备份策略解绑云主机资源的操作步骤。 操作场景 当关联的云主机不再使用或故障时，您可以从备份策略中解绑，以确保备份策略只适用于有效的云主机，并避免浪费资源。 前提条件 已创建至少1个备份策略。 备份策略中至少关联1台云主机。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择上海上海36。 3. 在系统首页，选择“存储>云主机备份”。 4. 点击“备份策略”页签，选中要绑定云主机的备份策略，点击名称进入备份策略详情页。 5. 进入相应策略的详情，勾选相应的云主机后点击“解绑”按钮。 6. 在弹出的页面中确认解绑信息，点击“确定”，完成解绑。

本文为您介绍创建控制面板的操作场景、前提条件和操作步骤。 操作场景 您在添加监控视图之前，需要先创建监控面板，满足您对云服务运行情况不同的监控需求。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已完成云资源的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“监控面板”，单击“创建监控面板”按钮。系统弹出“创建面板”界面。 5. 配置“名称”参数，“名称”参数表示监控面板名称，该参数只能由英文字母、数字、下划线、中划线组成，且长度为2到15个字符。 6. 单击“确认”按钮，完成监控面板的创建。

本节主要介绍创建自定义策略 如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制，自定义策略是对系统策略的扩展和补充。 目前IAM支持以下两种方式创建自定义策略： 可视化视图：通过可视化视图创建自定义策略，无需了解JSON语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图：通过JSON视图创建自定义策略，可以在选择策略模板后，根据具体需求编辑策略内容；也可以直接在编辑框内编写JSON格式的策略内容。 可视化视图配置自定义策略 步骤 1 登录IAM控制台。 步骤 2 在统一身份认证服务，左侧导航窗格中，选择“权限管理>权限”页签，单击右上方的“创建自定义策略”。 步骤 3 输入“策略名称”。 步骤 4 “策略配置方式”选择“可视化视图”。 步骤 5 在“策略内容”下配置策略。 1. 选择“允许”或“拒绝”。 2. 选择“云服务”。 说明 此处只能选择一个云服务，如需配置多个云服务的自定义策略，请在完成此条配置后，单击“添加权限”，创建多个服务的授权语句；或使用JSON视图配置自定义策略。 暂不支持一个自定义策略同时包含全局级云服务和项目级云服务。如果需要同时设置全局级服务和项目级服务的自定义策略，请创建两条自定义策略，便于授权时设置最小授权范围。 3. 选择“操作”，根据需求勾选产品权限。 4. （可选）选择资源类型，如选择“特定资源”可以单击“通过资源路径指定”来指定需要授权的资源。 说明 支持为特定资源授权的云服务目前仅包括对象存储服务（OBS）、分布式消息服务（DMS） 表 资源类型 类型 说明 特定资源 授予IAM用户特定资源的相应权限。如授予IAM用户以TestBucket命名开头的桶相应权限，需将bucket设置为通过资源路径指定，添加资源路径：OBS:: :bucket:TestBucket。 说明 指定桶资源：【格式】OBS:: :bucket:桶名称 对于桶资源，IAM自动生成资源路径前缀 “ obs:::bucket: ” 。通过桶名称 指定具体的资源路径，支持通配符。例如：obs:: :bucket:表示任意OBS桶。指定对象资源：【格式】OBS: ::object: 桶名称 / 对象名称 对于对象资源，IAM自动生成资源路径前缀 “obs: ::object:” 。 通过 桶名称 / 对象名称指定具体的资源路径，支持通配符 。 例如：obs:::object:mybucket/myobject/表示mybucket桶下myobject目录下的任意对象。 所有资源 授予IAM用户所有资源的相应权限。 5. （可选）添加条件，单击“添加条件”，选择“条件键”，选择“运算符”，根据运算符类型填写相应的值。 表 条件参数 参数名称 参数说明 条件键 条件键表示策略语句的Condition 元素中的键值。分为全局条件键和服务级条件键。全局级条件键（前缀为g:）适用于所有操作；服务级条件键（前缀为服务缩写，如obs:）仅适用于对应服务的操作，详情请参见对应云服务的用户指南。 运算符 与条件键、条件值一起使用，构成完整的条件判断语句。 值 与条件键、运算符一起使用，当运算符需要某个关键字时，需要输入关键字的值，构成完整的条件判断语句。 表 全局级请求条件 全局条件键 条件类型 说明 g:CurrentTime 时间 接收到鉴权请求的时间。以ISO 8601 格式表示，例如：20121111T23:59:59Z。 g:DomainName 字符串 帐号名称。 g:MFAPresent 布尔值 是否使用MFA多因素认证方式获取Token。 g:MFAAge 数值 通过MFA多因素认证方式获取的Token的生效时长。该条件需要和g:MFAPresent一起使用。 g:ProjectName 字符串 项目名称。 g:ServiceName 字符串 服务名称。 g:UserId 字符串 IAM用户ID。 g:UserName 字符串 IAM用户名。 步骤 6 （可选）在“策略配置方式”选择JSON视图，将可视化视图配置的策略内容转换为JSON语句，您可以在JSON视图中对策略内容进行修改。 说明 如果您修改后的JSON语句有语法错误，将无法创建策略，可以自行检查修改内容或单击界面弹窗中的“重置”，将JSON文件恢复到未修改状态。 步骤 7 （可选）如需创建多条自定义策略，请单击“添加权限”；也可在已创建的策略最右端单击“+”，复制此权限。 步骤 8 输入“策略描述”（可选）。 步骤 9 单击“确定”，自定义策略创建完成。 步骤 10 将新创建的自定义策略授予用户组，使得用户组中的用户具备自定义策略中的权限。 说明 给用户组授予自定义策略与系统策略操作一致，详情请参考“用户组及授权”

本章节会介通过内网连接PostgreSQL实例（Linux方式）。 通过PostgreSQL客户端连接实例的方式有SSL连接。SSL连接通过了加密功能，具有更高的安全性。 创建RDS for PostgreSQL实例时默认开启SSL，实例创建完成后，不支持关闭。 步骤一：创建ECS 1. 登录管理控制台，查看是否有弹性云主机。 注意 RDS for PostgreSQL支持以下两种常用的客户端安装方式： 下载PostgreSQL客户端安装包进行安装：PostgreSQL 15及以下版本推荐使用该方式，同时对ECS的镜像也有要求，详见PostgreSQL社区指导。 下载源码进行安装：该方式对PostgreSQL版本及ECS的镜像没有要求。 − 有Linux ECS，执行2。 − 没有Linux ECS，需要购买ECS，购买时选择Linux操作系统，例如CentOS 7。 由于需要在ECS下载PostgreSQL客户端，因此需要为ECS绑定弹性公网IP（EIP），并且选择与RDS for PostgreSQL实例相同的区域、VPC和安全组，便于RDS for PostgreSQL和ECS网络互通。 购买Linux弹性云主机请参考《弹性云主机用户指南》中“购买弹性云主机”章节。 2. 分别查看ECS的区域和VPC，以及RDS for PostgreSQL实例的区域和VPC。确认ECS实例与RDS for PostgreSQL实例处于同一区域、同一VPC内。 − 如果不在同一区域，请重新购买ECS实例。不同区域的云服务之间内网互不相通，无法访问实例。请就近选择靠近您业务的区域，可减少网络时延，提高访问速度。 − 如果不在同一VPC，可以修改ECS的VPC，请参见《弹性云主机用户指南》中“切换虚拟私有云”的内容。

本章节主要介绍翼MapReduce的管理集群配置操作。 操作场景 FusionInsight Manager支持一键查看集群内各服务配置参数的变动情况，方便用户快速排查定位问题，提升配置管理效率。 管理员可通过配置界面快速查看集群内各服务所有非初始默认值、同一角色实例之间非统一值、集群配置修改的历史记录、集群内当前配置状态为过期的参数。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“集群 > 待操作集群的名称 > 配置”。 3. 根据操作场景，选择对应操作页面： 查看所有非默认值： a. 单击“所有非默认值”，界面将显示当前集群内各服务、角色或实例的配置参数中，与初始默认值不一致的参数项。 单击参数值后面的图标可快速恢复配置项的参数值至系统默认值，单击图标可查看该配置项的历史修改记录。 配置参数较多时，可通过界面右上角的服务过滤框进行筛选，或者在搜索框中直接搜索关键字。 b. 如需修改配置项参数值，根据参数描述修改配置后，单击“保存”，在弹出的窗口中单击“确定”。 查看所有非统一值： a. 单击“所有非统一值”，界面将显示当前集群内角色级别、服务级别、实例组级别或实例级别的存在差异化配置的配置项。 单击参数值后面的图标，在弹出的窗口中可查看具体的差异项。 b. 如需修改配置项参数值，可单击取消下层的配置差异化或手动调整，然后单击“确定”，再单击“保存”，在弹出的窗口中单击“确定”。 查看过期配置： a. 单击“过期配置”，界面将显示当前集群内配置过期的配置项。 b. 可通过界面上方的服务过滤框进行筛选，查看不同服务的过期配置，或者在搜索框中直接搜索关键字。 c. 处于过期状态的配置项并未完全生效，在不影响业务情况下，请及时重启配置过期的服务或实例。 查看历史配置记录： a. 单击“历史配置”，界面将显示当前集群的历史配置变更记录，用户可查看具体的参数值变动详情，包括所属服务、修改前与修改后的参数值、参数文件等内容。 b. 如需还原某次配置变更，可单击记录所在行“操作”列的“还原配置”按钮，在弹出的窗口中单击“确定”。 说明 部分配置项在修改参数值后需重启对应服务才会生效，在保存配置后请及时重启配置过期的服务或实例。

本节介绍了什么是磁盘模式、SCSI磁盘的常见使用场景和建议、使用SCSI类型磁盘需要安装驱动吗。 什么是磁盘模式 根据是否支持高级的SCSI命令来划分磁盘模式，分为VBD(虚拟块存储设备 , Virtual Block Device)类型和SCSI (小型计算机系统接口, Small Computer System Interface) 类型。 VBD类型：磁盘模式默认为VBD类型。VBD类型的磁盘只支持简单的SCSI读写命令。 SCSI类型：SCSI类型的磁盘支持SCSI指令透传，允许云主机操作系统直接访问底层存储介质。除了简单的SCSI读写命令，SCSI类型的磁盘还可以支持更高级的SCSI命令。 磁盘模式在购买磁盘时配置，购买完成后无法修改。 SCSI磁盘的常见使用场景和建议 SCSI磁盘：物理机仅支持使用SCSI磁盘，用作系统盘和数据盘。 SCSI共享盘：当您使用共享盘时，需要结合分布式文件系统或者集群软件使用。由于多数常见集群需要使用SCSI锁，例如Windows MSCS集群、Veritas VCS集群和CFS集群，因此建议您结合SCSI使用共享盘。 如果将SCSI共享盘挂载至ECS时，需要结合云主机组的反亲和性一同使用，SCSI锁才会生效，关于更多共享盘的内容，请参见共享云硬盘及使用方法。

本页介绍天翼云TeleDB数据库数据备份相关操作。 操作场景 数据备份是指直接备份数据库所对应的数据文件甚至是整个磁盘。TeleDB实例创建成功后，您可根据业务需要设置备份策略。TeleDB可按照用户设置的自动备份策略对数据库进行备份。 操作步骤 1. 以用户名和密码登录分布式数据库TeleDB控制台，在左侧导航树中选择备份与恢复 > 数据备份。 2. 进入备份与修复页面，将当前实例切换至目标实例。 3. 设置备份策略 1. 在数据备份 页签，单击备份策略 ，出现备份策略设置对话框。 2. 在备份策略设置 对话框，打开备份开启状态开关，根据如下内容填写备份策略基本信息。 备份开始时间：系统触发备份的时间，建议选择业务压力小的时间点。 备份间隔时间（天）：间隔多少天触发一次备份，为防止数据丢失难以恢复，建议间隔时间不超过3天。 备份保留份数：系统保留的备份的份数，超过此数量，系统自动删除最旧的一次备份。保留份数取决于存储空间大小，建议选择大于2份。 增量备份开启状态：增量备份数据用于恢复到指定时间点，对于恢复及其重要，暂时不支持关闭增量备份。 对象存储接入点：可根据业务需求填写。 Access Key：可根据业务需求填写。 Secret Key：可根据业务需求填写。 3. 填写完基本信息后，单击测试连通性，若出现绿色标识，单击确定完成实例备份。 4. 如需再次修改备份策略设置，可重复以上操作即可。 4. 手动备份 1. 在数据备份 页签，单击备份策略 ，出现备份策略对话框。 2. 单击手动备份。 5. 查看备份详情 1. 在数据备份 页签，单击目标实例所在行详情 ，弹出备份详情对话框。 2. 当处于备份过程中时，可单击刷新查看节点备份状态的实时变化。 说明 备份目录：远程对象存储上的备份地址。备份时，系统会在对象存储上建立一个以实例id命名的桶，实例的所有备份数据都回存储在这个桶下面。这里备份地址是全量备份在桶下面的相对路径。 全量备份数据路径：实例名/basebkp年月日/。 增量备份数据路径：实例名/xlogbkp。 6. 删除备份 在数据备份页签，选择需删除的备份文件的目标实例，单击操作列的删除按钮，在出现的对话框中单击确认即可删除指定的备份记录和备份数据。 注意 TeleDBX 支持删除一次备份记录，该备份记录对应在对象存储上的备份数据也会同步删除，请谨慎操作。

本文带您了解内网DNS的产品架构。 内网DNS，可用于创建仅能在您的VPC（支持多个VPC）内访问的域名或子域名。使用内网DNS的一般步骤如下： 1. 新建一个内网域名，例如：example.com。 2. 添加需要管理的记录集，比如：www.example.com。 3. 将域名与需要访问的VPC关联。 完成相应配置后，只有与之关联的VPC内才能使用您设置的内网DNS解析记录访问www.example.com。其他环境无法访问该域名（或仅能通过公网解析）。内网DNS提供了内部域名解析机制，确保只有经过授权的VPC能够正确解析这些域名或子域名，从而实现更加安全和可控的访问。 实现原理 内网DNS利用天翼云虚拟私有云VPC的隔离特性（详细信息请参考虚拟私有云），对您的内网域名执行隧道隔离。天翼云的内网DNS采用严格的验证机制，确保您的内网域名在天翼云网络内具有唯一性，只有您本人能够对其进行管理，保障了内网域名的安全性和独特性。 逻辑架构 内网域名（例如example.com）的逻辑架构允许其关联一个或多个VPC。一旦与VPC建立关联，内网域名中的解析记录将在相应的VPC内可被访问和解析，使得特定VPC内的资源能够有效地访问与之关联的内网域名记录。

本章节主要介绍翼MapReduce运行Hue任务。 前提条件 1. 使用Hue WebUI编辑器前，请前往翼MR Manager集群服务Hue连接器管理页面，选择需要启用的连接器，启用成功后，请在页面右上角的运维操作中重启Hue集群服务。重启后，即可前往Hue WebUI页面进行使用。 2. 当前版本支持使用LDAP账号访问Hue。若使用admin、hdfs或hive等已有权限的用户登录Hue，无需进行Ranger授权，可以跳过此步骤；如果新建LDAP用户，需要通过Ranger授予Hive与HDFS权限，操作步骤如下： 1）前往翼MR Manager集群服务中点击Ranger插件启用启用Hive与HDFS，并重启Hive与HDFS服务； 2）登录Ranger WebUI界面给需要登录的用户授权HADOOP SQL/HDFS等权限。 注意 如果没有给登录用户授权，查询hive可能报错Error， Permission denied: usertest, accessWRITE等问题。 3. 修改coresite.xml文件，为Hue用户配置代理权限。在HDFS配置管理中修改coresite.xml文件配置，新增 hadoop.proxyuser.hue.hosts与hadoop.proxyuser.hue.groups配置项，配置值可按需设置为，保存并同步配置后，请重启HDFS与Hivehiveserver2。 注意 如果没有为Hue用户配置代理权限，可能会报错Failed to validate proxy privilege of hue for test(登录用户)。 4. 若通过公网访问Hue WebUI，需保障网络畅通，您可前往控制台节点管理，为Hue所在的master节点绑定弹性IP，为安全组配置入方向访问规则后，点击访问链接与端口页面中的链接，前往Hue WebUI页面。 5. Hue通过JDBC连接Trino 查询引擎。Trino支持多个Catalog（如 hive、mysql等），但Hue默认连接Trino自带system的系统Catalog ，仅用于监控和元数据查询，无法访问Hive表等业务数据。如何查询Hive或其他业务数据？您有两种方式： 方式一：修改Hue默认连接的Catalog（推荐） 编辑Hue配置文件hue.ini，将Trino URL中的system替换为您实际使用的Catalog名称（例如hive） plaintext [[[trino]]] nameTrino JDBC interfacejdbc options'{"url":"jdbc:trino://yourtrinohost:9808/hive", "driver": "io.trino.jdbc.TrinoDriver", "user": "trino", "passwordscript": "/path/to/passwordscript.sh"}' 保存后重启Hue，即可在查询编辑器中直接使用SQL plaintext SELECT FROM default.users 方式二：在SQL中显式指定Catalog（无需改配置） 即使默认Catalog是system，您仍可通过完整表名查询任意Catalog中的数据。 使用SQL查询Hive 中的表 plaintext SELECT FROM hive.default.users 注意 请确保Trino服务端已正确配置对应的Catalog（如 hive.properties）。

本文介绍地域与可用区相关概念。 地域 地域（Region）：从地理位置和网络时延维度划分，同一个Region内共享弹性计算、弹性文件服务、VPC网络、弹性公网IP、镜像等公共服务。 可用区 可用区（AZ，Availability Zone）是指在同一地域内，电力和网络互相独立的物理区域。一个AZ是一个或多个物理数据中心的集合，具备独立的风火水电，可用区之间距离100KM以内，一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 更多地域与可用区内容，以及如何选择地域和可用区，详情参见弹性云主机产品地域和可用区。

本节介绍了弹性云主机包周期计费转为按需计费的相关内容。 操作场景 包周期是预付费模式，按订单的购买周期计费，适用于可预估资源使用周期的场景。 如果您需要更灵活的计费方式，按照弹性云主机的实际使用时长计费，您可以将实例的计费方式转为按需付费。 说明： 包周期转按需，需包周期资费模式到期后，按需的资费模式才会生效。 前提条件 只有通过实名认证的客户，才可以执行包周期转按需操作。 在续订管理页面，资源状态是“在用”的云主机资源才能执行到期转按需。 包周期资源未到期可以申请变更为按需，但包周期结束后按需计费模式才生效。 操作步骤 1、登录管理控制台。 2、单击“控制台”页面右上方用户弹出菜单中“我的订单”，在订单管理下拉菜单中选择“续订管理”。系统进入“续订管理”页面。 3、自定义查询条件。 可在“到期转按需”页签查询已经设置到期转按需的资源。 4、设置包周期资源到期后转按需。 单个资源到期转按需：选择需要更改计费方式的弹性云主机，单击操作列“到期转按需”。 5、查看资费变更的相关信息后，单击“转按需”。

本节介绍了区域与可用区的相关内容。 什么是可用区，怎样用可用区？ 什么是可用区 可用区是同一服务区内，电力和网络互相独立的地理区域，一般是一个独立的物理机房，这样可以保证可用区的独立性。 一个区域内有多个可用区，一个可用区发生故障后不会影响同一区域内下的其它可用区。 可用区间通过内网访问。 怎样选择可用区 在购买弹性云主机时，您可以根据需要购买不同可用区的云主机，单可用区故障不会影响其他可用区云主机的正常运行。在选择可用区时，需了解以下几点： 如果某地区只有一个可用区可选，那么该地区暂时只有唯一可用区。 已购买的弹性云主机不支持更换可用区。 同一个区域内的可用区内网互通。 如何选择区域？ 区域是一个地理区域的概念。我国地域面积广大，由于带宽的原因，不可能只建设一个数据中心为全国客户提供服务。因此，我们根据地理区域的不同将全国划分成不同的区域。 选择区域时通常根据就近原则进行选择，这样可以减少访问服务的网络时延，提高访问速度。 区域之间是否存在产品差异？ 暂时存在。 我们会将成熟的产品服务部署在各个区域，新产品则会在部分区域做试点发布。 可用区之间的数据传输是否需要收费？ 同一区域下的可用区不收费，跨区域的可用区则需要收费。

步骤五：创建独享型ELB并为其添加HTTP监听器和后端云主机组 1. 选择“网络 > 弹性负载均衡”。 2. 单击“购买弹性负载均衡”。 3. 根据上表创建独享型负载均衡ELBTest，根据需要设置相关参数。 1. 实例规格类型：独享型。 2. 跨VPC后端：开启。 3. 所属VPC：VPCTest01。 4. 名称：ELBTest。 5. 其他参数根据需要设置。 4. 独享型ELB创建成功后，在ELBTest中添加HTTP监听器和后端云主机组。 步骤六：将ECS添加至ELB后端云主机组 1. 单击上述创建的独享型负载均衡ELBTest名称。 2. 切换到“监听器”页签，单击上述所创建的HTTP监听器。 3. 切换至“后端云主机组”页签，单击“跨VPC后端”。 4. 单击“添加跨VPC后端”，设置相关参数，完成后单击“确定”。 1. 跨VPC后端IP：172.17.0.145（ECSTest的私网IP）。 2. 后端端口：填写业务端口。 3. 权重：根据需要设置。 步骤七：验证跨VPC添加后端云主机是否成功 1. 单击上述创建的独享型负载均衡ELBTest操作列的“更多”。 2. 选择“绑定IPv4公网IP”，给ELBTest绑定一个弹性公网IP。 3. 使用浏览器访问以上绑定的弹性公网IP地址，如正常反馈nginx部署内容，说明本次访问请求被ELB实例转发到后端云主机“ECSTest”上，“ECSTest”正常处理请求并返回请求的页面。

使用建议： 如果您对您的域名并不熟悉，不熟悉域名的带宽、流量信息、遭受攻击数量等情况时，建议您在域名接入配置时选择监控模式（推荐模式），或者在网站防护模式中选择告警模式，先观察一段时间（推荐两周）的流量、攻击特征，收集到一定的域名信息特征和攻击日志后结合业务场景选择是否切换到拦截模式。 您可以分析根据以下情况进行调整： 如果攻击日志中未发现正常的业务请求被误拦截，攻击日志内容中记录的都是非法请求的情况下，建议您将域名总开关、域名规则开关均切换到拦截模式，开始对您的网站进行域名规则防护。 如果发现攻击日志中存在正常业务流量日志内容，如果您有一定的网站安全基础，您可以手动配置访问控制、关闭误拦截的域名规则等方式减少误报，再切换至拦截模式。 如果发现攻击日志中存在正常业务流量日志内容，您也可以联系天翼云安全专家沟通具体的解决方案，联系方式见服务保障。 域名的业务请求中应当注意内容： 在常规的业务请求中，尽量不要直接以原始SQL语句、代码作为参数进行传递，可能会遭受到攻击篡改和域名规则的误拦截，比如/ap1/v1/update?contentselect from t where 在常规的业务请求中，要注意不要泄露服务器敏感信息(比如直接将含有数据库连接的错误堆栈内容返回浏览器)。服务器敏感信息泄露可能会被攻击者获取用于入侵，同时有服务器敏感信息泄露风险的请求也很可能被WAF拦截。