本节介绍了权限管理的相关内容。 如果您需要对购买的云数据库 GeminiDB资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制资源的访问。 通过IAM，您可以在账号中给员工创建IAM用户，并授权控制对资源的访问范围。例如您的员工中有负责软件开发的人员，您希望拥有云数据库 GeminiDB的使用权限，但是不希望拥有删除云数据库 GeminiDB等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用云数据库 GeminiDB，但是不允许删除云数据库 GeminiDB的权限策略，控制对云数据库 GeminiDB资源的使用范围。 如果账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用云数据库 GeminiDB服务的其它功能。 IAM是云服务提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。 云数据库 GeminiDB权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 云数据库 GeminiDB部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问云数据库 GeminiDB时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。 如下表所示，包括了云数据库 GeminiDB的所有系统权限。 表 云数据库 GeminiDB系统权限 策略名称/系统角色 描述 类别 依赖关系 GeminiDB FullAccess 服务所有权限。 系统策略 无 GeminiDB ReadOnlyAccess 服务只读权限。 系统策略 无 下表列出了云数据库 GeminiDB常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表 常用操作与系统权限的关系 操作 GeminiDB FullAccess GeminiDB ReadOnlyAccess 创建实例 √ x 查询实例列表 √ √ 查询实例详情 √ √ 查询任务列表 √ √ 删除实例 √ x 重启实例 √ x 重置密码 √ x 变更实例安全组 √ x 修改数据库端口 √ x 绑定/解绑公网IP √ x 磁盘扩容 √ x 规格变更 √ x 节点扩容 √ x 节点缩容 √ x 修改备份策略 √ x 重命名实例 √ x 创建手动备份 √ x 查询备份列表 √ √ 恢复到新实例 √ x 删除备份 √ x 标签列表 √ √ 标签操作 √ x 下表列出了常用操作以及对应的授权项，您可以参照该表自定义配置权限策略。 表 常用操作与对应的授权项 操作 授权项 授权范围 备注 实例创建页 vpc:vpcs:list vpc:subnets:get vpc:securityGroups:get 支持： IAM项目(Project) 创建页需要查询对应的VPC、子网、安全组。 创建实例 nosql:instance:create vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 支持： IAM项目(Project) 界面使用默认VPC、子网、安全组需对应配置vpc::create权限， 查询实例列表 nosql:instance:list 支持： IAM项目(Project) 查询实例详情 nosql:instance:list 支持： IAM项目(Project) 如果实例详情界面需要展示VPC、子网、安全组，请增加vpc::get和vpc::list授权项。 查询任务列表 nosql:task:list 支持： IAM项目(Project) 删除实例 nosql:instance:delete 支持： IAM项目(Project) 删除实例需要同时删除数据侧IP地址。 重启实例 nosql:instance:restart 支持： IAM项目(Project) 重置密码 nosql:instance:modifyPasswd 支持： IAM项目(Project) 绑定公网IP nosql:instance:bindPublicIp 支持： IAM项目(Project) 绑定公网IP时，需要查询已经创建好的公网IP。 不支持细粒度 解绑公网IP nosql:instance:unbindPublicIp 支持： IAM项目(Project) 不支持细粒度 磁盘扩容 nosql:instance:modifyStorageSize 支持： IAM项目(Project) 规格变更 nosql:instance:modifySpecification 支持： IAM项目(Project) 节点扩容 nosql:instance:extendNode vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 支持： IAM项目(Project) 节点缩容 nosql:instance:reduceNode 支持： IAM项目(Project) 删除集群节点。 修改备份策略 nosql:instance:modifyBackupPolicy 支持： IAM项目(Project) 重命名实例 nosql:instance:rename 支持： IAM项目(Project) 创建手动备份 nosql:backup:create 支持： IAM项目(Project) 查询备份列表 nosql:backup:list 支持： IAM项目(Project) 恢复到新实例 nosql:backup:restoreToNewInstance vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 支持： IAM项目(Project) 删除备份 nosql:backup:delete 支持： IAM项目(Project) 标签操作 nosql:instance:tag 支持： IAM项目(Project) 标签列表 nosql:tag:list 支持： IAM项目(Project)

本页介绍了最佳实践章节的主要内容。 本章节主要介绍文档数据库服务在使用方面的注意事项，包括如何通过选型和合理的配置来提升服务性能和可用性。

本节介绍了变更备机可用区的内容。 操作场景 您可以将主备实例的备机迁移至同一区域内的其它可用区。 约束限制 RDS for MySQL 5.6、5.7、8.0版本的主备实例支持备机可用区迁移功能。 业务高峰期批量写操作可能会导致迁移失败，为确保迁移成功，请选择业务低峰期操作。 迁移期间将短暂停止DDL语句和event定时任务，请选择业务低峰期操作，避免业务异常中断。 如果备机迁移出现问题，任务中心会显示任务状态为失败，但是实例管理页面的运行状态一栏仍会显示“备机迁移中”，此时实例进入了锁保护状态，无法进行操作，您可以通过提交客服工单的方式来解决此问题。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择目标实例，单击“操作”列的“更多 > 可用区迁移”，进入“可用区迁移”页面。 步骤 5 在“可用区迁移”页面，选择目标可用区，单击“提交”。 步骤 6 迁移可用区成功后，单击“返回云数据库RDS列表”，用户可以在“实例管理”页面对其进行查看和管理。 可用区迁移过程中，状态显示为“备机迁移中”。您可以通过“任务中心”查看详细进度。具体请参见任务中心。 在实例列表的右上角，单击 刷新列表，可查看到可用区迁移完成后，实例状态显示为“正常”。 在“基本信息”页面的“可用区”处，可以查看到备机迁移后所在的可用区。 结束

本章节主要介绍创建连接MRS集群的SSH隧道并配置浏览器 。 操作场景 用户和MRS集群处于不同的网络中，需要创建一个SSH隧道连接，使用户访问站点的数据请求，可以发送到MRS集群并动态转发到对应的站点。 MAC系统暂不支持该功能访问MRS，请参考通过弹性公网IP访问内容访问MRS。 前提条件 准备一个SSH客户端用于创建SSH隧道，例如使用开源SSH客户端Git。请下载并安装。 已创建好集群，并准备pem格式的密钥文件或创建集群时的密码。 用户本地环境可以访问互联网。 操作步骤 1.登录MRS管理控制台，选择“集群列表 > 现有集群”。 2.单击指定名称的MRS集群。 记录集群的“安全组” 。 3.为集群Master节点的安全组添加一条需要访问MRS集群的IP地址的入规则，允许指定来源的数据访问端口“22”。 具体请参见“《虚拟私有云》帮助文档> 安全性 > 安全组 > 添加安全组规则”。 4.查询集群的主管理节点，具体请参考如何确认Manager的主备管理节点。 5.为集群的主管理节点绑定一个弹性IP地址。 具体请参见“《虚拟私有云》帮助文档”，为弹性云主机申请和绑定弹性公网IP。 6.在本地启动Git Bash，执行以下命令登录集群的主管理节点： ssh root@弹性 IP 地址或者 ssh i 密钥文件路径 root@弹性 IP 地址 7.执行以下命令查看数据转发配置： cat /etc/sysctl.conf grep net.ipv4.ipforward 系统查询到“net.ipv4.ipforward1”表示已配置转发，则请执行步骤9。 系统查询到“net.ipv4.ipforward0”表示未配置转发，则请执行步骤8。 系统查询不到“net.ipv4.ipforward”参数表示该参数未配置，则请执行以下命令后再执行步骤9。 echo "net.ipv4.ipforward 1"/etc/sysctl.conf 8.修改节点转发配置： a.执行以下命令切换root用户： sudo su root b.执行以下命令，修改转发配置： echo 1 > /proc/sys/net/ipv4/ipforward sed i "s/net.ipv4.ipforward0/net.ipv4.ipforward 1/g"/etc/sysctl.conf sysctlw net.ipv4.ipforward1 c.执行以下命令，修改sshd配置文件： vi /etc/ssh/sshdconfig 按I进入编辑模式，查找“AllowTcpForwarding”和“GatewayPorts”，并删除注释符号，修改内容如下，然后保存并退出： AllowTcpForwarding yesGatewayPorts yes d.执行以下命令，重启sshd服务： service sshd restart 9.执行以下命令查看浮动IP地址： ifconfig 系统显示的“eth0:FIHUE”表示为Hue的浮动IP地址，“eth0:wsom”表示Manager浮动IP地址，请记录“inet”的实际参数值。 然后退出登录：exit 10.在本地机器执行以下命令创建支持动态端口转发的SSH隧道： 使用命令 ssh i 密钥文件路径 v ND 本地端口地址 root@弹性IP 地址或者 ssh v ND 本地端口地址 root@弹性 IP 地址 ，然后输入创建集群时的密码。 其中，“本地端口地址”需要指定一个用户本地环境未被使用的端口，建议选择8157。 创建后的SSH隧道，通过“D”启用动态端口转发功能。默认情况下，动态端口转发功能将启动一个SOCKS代理进程并侦听用户本地端口，端口的数据将由SSH隧道转发到集群的主管理节点。 11.执行如下命令配置浏览器代理。 a.进入本地Google Chrome浏览器客户端安装目录。 b.按住“shift+鼠标右键”，选择“在此处打开命令窗口”，打开CMD窗口后输入如下命令： chrome proxyserver"socks5://localhost:8157" hostresolverrules"MAP 0.0.0.0 , EXCLUDE localhost" userdatadirc:/tmppath proxybypasslist"googlecom, gstatic.com, gvt .com, :80" 说明 8157为步骤10中配置的本地代理端口。 若本地操作系统为Windows 10，请打开Windows操作系统“开始”菜单，输入cmd命令，打开一个命令行窗口执行12中的命令。若该方式不能成功，请打开Windows操作系统“开始”菜单后，在搜索框中输入并执行11中的命令。 12.在新弹出的浏览器地址栏，输入Manager的访问地址。 Manager访问地址形式为 浮动IP 地址:28443/web 。 访问启用Kerberos认证的集群时，需要输入MRS集群的用户名和密码，例如“admin”用户。未启用Kerberos认证的集群则不需要。 第一次访问时，请根据浏览器提示，添加站点信任以继续打开页面。 13.准备站点的访问地址。 a.参考开源组件Web站点中的Web站点一览，获取Web站点的地址格式及对应的角色实例。 b.单击“服务管理”。 c.单击指定的服务名称，例如HDFS。 d.单击“实例”，查看NameNode的主角色实例“NameNode(主)”的“业务IP” 14.在浏览器输入访问Web站点真实地址并访问。 15.退出访问Web站点时，请终止并关闭SSH隧道。

本文主要介绍节点内存检查。 检查项内容 检查节点内存使用情况，是否超过90%。 解决方案 请在业务低峰时进行集群升级。 请检查该节点的Pod部署数量是否过多，适当驱逐该节点上Pod到其他空闲节点。

参数 参数类型 说明 示例 下级对象 log String 日志内容 regionId String 资源池ID syncStatus String 同步状态 SUCCESS同步成功 SYNCING同步中 ERROR同步失败 syncSuccessTime String 同步成功时间 uid String 租户ID type String 资产同步类型 eip

配置生产消费配置文件 步骤 1 登录Linux系统的ECS。 步骤 2 在ECS的“/etc/hosts”文件中配置host和IP的映射关系，以便客户端能够快速解析实例的Broker。 其中，IP地址必须为实例连接地址（从前提条件获取的连接地址），host为每个实例主机的名称（您可以自定义主机的名称，但不能重复）。 例如： 10.154.48.120 server01 10.154.48.121 server02 10.154.48.122 server03 步骤 3 下载client.jks证书。在Kafka控制台单击Kafka实例名称，进入实例详情页面，在“连接信息 > SSL证书”所在行，单击“下载”。 解压压缩包，获取压缩包中的客户端证书文件：client.jks。 步骤 4 根据已获取的SASL认证机制，修改Kafka命令行工具配置文件。 PLAIN机制： 在Kafka命令行工具的“/config”目录中找到“consumer.properties”和“producer.properties”文件，并分别在文件中增加如下内容。 sasl.jaas.configorg.apache.kafka.common.security.plain.PlainLoginModule required username"" password""; sasl.mechanismPLAIN 说明 username和password为创建Kafka实例过程中开启SASLSSL时填入的用户名和密码，或者创建SASLSSL用户时设置的用户名和密码。 SCRAMSHA512机制： 在Kafka命令行工具的“/config”目录中找到“consumer.properties”和“producer.properties”文件，并分别在文件中增加如下内容。 sasl.jaas.configorg.apache.kafka.common.security.scram.ScramLoginModule required username"" password""; sasl.mechanismSCRAMSHA512 说明 username和password为创建Kafka实例过程中开启SASLSSL时填入的用户名和密码，或者创建SASLSSL用户时设置的用户名和密码。 步骤5 根据安全协议，修改Kafka命令行工具配置文件。 1.SASLSSL： 在Kafka命令行工具的“/config”目录中找到“consumer.properties”和“producer.properties”文件，并分别在文件中增加如下内容。 security.protocolSASLSSL ssl.truststore.location{ssltruststorepath} ssl.truststore.passworddms@kafka ssl.endpoint.identification.algorithm 参数说明： ssl.truststore.location配置为client.truststore.jks证书的存放路径。注意，Windows系统下证书路径中也必须使用“/”，不能使用Windows系统中复制路径时的“”，否则客户端获取证书失败。 ssl.truststore.password为服务器证书密码，不可更改，需要保持为dms@kafka 。 ssl.endpoint.identification.algorithm为证书域名校验开关，为空则表示关闭。这里需要 保持关闭状态，必须设置为空 。 2. SASLPLAINTEXT： 在Kafka命令行工具的“/config”目录中找到“consumer.properties”和“producer.properties”文件，并分别在文件中增加如下内容。 security.protocolSASLPLAINTEXT

本文通过图文说明预取功能的操作方法及注意事项。 功能介绍 预取功能是指客户提交URL预取任务后，CDN节点自动触发向源站请求内容并缓存。之后，当用户首次发起请求时，就能直接命中CDN节点的缓存，CDN节点无需再回源站获取。常用于热门文件发布或是大型推广活动前做内容预取，可以降低热点文件发布后源站的回源压力，提升缓存命中率，优化首批访问用户的访问体验。 配置说明 1. 登录CDN控制台。 2. 单击左侧导航栏【刷新预取】。 3. 在【刷新预取】页面，单击【创建任务】。 4. 单击【URL预取】。 5. 按照URL预取下方的提示内容，填写待预取URL。 6. 配置完成后，单击【确定】。 功能 说明 URL预取 输入需要预取的完整URL，每个URL要以 注意事项 1. 预取功能可以将指定的资源主动预热到CDN节点上，用户首次访问即可直接命中缓存。 2. 大批量的文件预取可能会引发高并发回源，如果源站出口带宽较小，建议分多次小批量操作。 3. 每条URL一行（回车换行）一次最多50行，并注意区分URL中的字母的大小写，预取任务一般5~30分钟生效。 4. URL预取额度限制：2000条/日。 说明 为防止资源滥用，天翼云CDN平台限定了各服务资源的额定用量，如果当前用量无法满足使用需要，请

字段解密 当用户拥有加解密权限（DECRYPT 权限）后，DRDS会自动解密被加密的字段，用户即可查看解密字段内容。添加权限的具体操作，请参见设置权限。

参数 类型 说明 tagging ObjectTagging 设置的标签信息，包含了一个Tag结构体的数组，每个Tag以KeyValue的形式说明了标签的内容

本文为您介绍数据检查的相关内容介绍。 前提条件 1. 数据库双活进程所在的双活工作节点对应的节点状态都必须为在线状态，对应的进程状态都为正常。 2. 源端、目标端的数据库节点对应的状态必须为正常状态。 3. 确保源端的数据库节点和目标端的数据库节点在注册时，选择的双活工作节点必须为同一个，且此双活工作节点启动了iadiff的进程。 创建表比较规则 表比较规则·新建的具体操作步骤如下： 1. 单击菜单栏“数据库双活”“数据检查”“表比较”，进入表比较规则界面。 2. 表比较规则界面中，单击“新建”，进入表比较规则配置界面。 3. 源端数据库选择已注册的源端数据库节点和目标端数据库节点。 4. 配置高级设置、运行策略等内容，点击确定完成数据检查的表比较配置。具体配置项参考 数据库双活用户操作手册。

操作场景 查看当前的客户支持计划等级、有效期、服务权益详情等。 操作步骤 1、登录天翼云管理中心，点击支持支持计划，进入“支持计划详情”页面。 2、可查看当前客户支持计划的等级、专属服务权益及有效期。 （1）未订购客户支持计划界面：可查看标准服务权益内容。 （2）已订购支持计划客户界面：可查看已订购的支持计划等级及对应等级的权益内容。 3、申请服务权益：支持计划里的部分服务权益需要客户申请，审批通过后方可使用。 （1）点击“申请”，填写相关信息后保存提交即可。 （2）提交后在“我的服务单”里可查看申请的服务权益工单处理情况。

名称 功能说明 Where条件 您可通过where查询，快速获取查询信息。 快速生成测试数据 您可快速生成当前表结构的测试数据，并可进一步设置生成规则。 复制行 选择需要复制的行，单击“复制行”，复制所选行数据信息。 复制列 在列下拉框中选择需要复制的列，，单击“复制列”，复制所选列信息。 悬浮复制 当鼠标悬浮至某一数据上方，出现悬浮框，单击“复制”，复制该数据。 列设置 您可通过“列设置”筛选出需显示的列信息。 16进制显示Binary类型 列内容以Binary类型显示时，需要勾选此选项，否则显示乱码。 刷新 支持对表数据进行手动更新。 单行详情 显示指定数据行详细信息。 新增 您可通过新增来添加列表行数。 提交编辑 对编辑的内容进行提交后，在SQL预览弹出框中单击“确定”后保存所编辑的信息。 删除行 您可删除所选的行数据信息。 导出 支持CSV、SQL两种表数据导出类型，最多10000条。

本文介绍使用CDN加速后媒体存储配置的CORS失效的可能原因及解决方案。 背景说明 使用天翼云CDN加速媒体存储的资源时，媒体存储Bucket上已配置了跨域资源共享CORS功能，此背景下，对于使用CDN加速后媒体存储上配置的CORS失效问题，本文介绍可能的原因及解决方案。 可能原因 用户访问CDN节点上的资源，CDN节点上文件缓存未过期时会直接响应，此时即使在媒体存储进行了CORS变更设置，因CDN已缓存的内容不会自动同步更新配置，用户访问到的仍然是CDN服务上原有缓存的内容，导致CORS不生效。 解决方案 建议在媒体存储针对Bucket变更了CORS配置后，在CDN控制台中进行相关URL的缓存刷新工作，以便CDN服务上能获取到最新的CORS配置。缓存刷新操作详情请见：刷新。

本章主要介绍API认证鉴权常见问题。 是否支持HTTPS的双向认证？ 专享版：支持，在创建API时，可配置双向认证。 “无认证”方式的API该怎么鉴权与调用？ “无认证”即API网关对收到的调用请求不做身份认证，您只需要按照API提供者提供的接口说明，封装规范的HTTP请求，发送给API网关即可。 说明 无认证方式下，API网关把请求内容透传给后端服务。因此，如果您希望在API后端服务进行鉴权，可以使用“无认证”方式，API调用方传递鉴权所需字段给后端服务，由后端服务进行鉴权。 TLS加密协议支持什么版本？ API网关支持TLS 1.1及TLS 1.2版本，暂不支持TLS 1.0或TLS 1.3。 安全认证签名的内容是否包括Body体 包括。除了几个必选的请求头部参数，Body体也是签名要素之一。例如有一个使用POST方法上传文件的API，那么在签名过程中，会取这个文件的hash值，参与生成签名信息。

删除角色 在要删除角色所在行，单击“删除”。如果需要批量删除多个角色，勾选需要删除的角色后单击列表上方“删除”即可。角色被用户绑定时不可删除；如需删除，请先通过修改用户解除角色和用户之间的关联，再删除该角色。 任务示例（创建Manager角色） 1. 选择“系统 > 权限 > 角色”。 2. 单击“添加角色”，在“角色名称”和“描述”输入角色名字与描述。 3. 在“配置资源权限”区域选择“Manager”，按照以下说明设置角色“权限”。 Manager权限： Cluster： − 查看权限：“集群”页面查看权限、“运维 > 告警”页面下“告警”、“事件”的查看权限。 − 管理权限：“集群”、“运维”页面的管理权限。 User： − 查看权限：“系统”页面下“权限”区域中内容的查看权限。 − 管理权限：“系统”页面下“权限”区域中内容的管理权限。 Audit ： 管理权限：“审计”页面信息的管理权限。 Tenant： 管理权限：“租户”页面管理权限；“运维 > 告警”页面下“告警”、“事件”的查看权限。 System： 管理权限：“系统”页面除“权限”区域外，其他区域的管理权限；“运维 > 告警”页面下“告警”、“事件”的查看权限。 4. 单击“确定”完成。

参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String 资源池ID 81f7728662dd11ec810800155d307d5b viewID 是 String 监控视图ID 58631437d4897105d9ac9bc044d7b6ab view 是 Object 监控视图更新内容 view

状态码 描述 200 操作成功。 400 请求中设置桶的名字不合法。 400 设置的ACL内容无效。 403 用户没有权限执行操作。 404 请求参数中设置的桶不存在。

统一身份认证(Identity and Access Management,简称IAM)服务,是提供用户进行权限管理的基础服务,可以帮助您安全的控制云服务和资源的访问及操作权限。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，缩小不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素“Action”“Effect”等，更多信息，请参见“通过IAM用户控制资源访问创建自定义策略”。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略: 系统策略 预置的系统策略，您只能使用不能修改。云服务器ECS相关的系统策略包含如下： Ecs Admin：弹性云主机服务的管理者权限，包含弹性云主机所有控制权限（不含订单类权限）； Ecs Viewer:弹性云主机服务的观察者权限，包含弹性云主机服务的列表页与详情页面权限； 自定义策略 您按需自行创建和维护的权限策略，关于自定义策略的操作和示例，请参见“创建自定义策略”。

可信云服务可以通过IAM委托的方式访问其他云服务的资源。可信实体为天翼云服务的IAM委托，包括普通云服务委托和云服务关联委托。本文介绍事件总线EventBridge的服务内联委托。 什么是服务内联委托 在某些场景下，事件总线EventBridge为了完成自身的某个功能，需要获取其他云服务的访问权限，因此，事件总线EventBridge创建了与云服务内联委托，即服务内联委托CtyunAssumeRoleForEventBridge。 使用事件总线EventBridge，系统提供的服务内联委托及其包含的系统权限策略如下： 服务内联委托：CtyunAssumeRoleForEventBridge 系统权限策略：CtyunAssumePolicyForEventBridge CtyunAssumeRoleForEventBridge 服务内联委托CtyunAssumeRoleForEventBridge具有获取访函数列表、函数详情以及调用函数的权限；具有对分布式消息服务Kafka、分布式消息服务RocketMQ、分布式消息服务MQTT与分布式消息服务RabbitMQ的管理员权限；具有专有网络VPC、VPCE的管理员权限。 服务内联委托CtyunAssumeRoleForEventBridge被授予权限策略CtyunAssumePolicyForEventBridge，该权限策略的内容如下： plaintext { "Version": "1.1", "Statement": [ { "Action": [ "cf:inst:InvokeFunction", "cf:inst:GetFunction", "cf:inst:ListFunctions", "KAFKA::", "MQ2::", "mqtt::", "AMQP::", "vpce::", "vpc::" ], "Resource": [ "" ], "Effect": "Allow" } ] } 以下是使用事件总线EventBridge时，需要使用服务内联委托的场景： 建立函数计算规则时，需要委托事件总线EventBridge具有获取访函数列表、函数详情以及调用函数的权限。 建立消息中间件事件源与事件目标时，需要委托事件总线EventBridge具有对分布式消息服务Kafka、分布式消息服务RocketMQ、分布式消息服务MQTT与分布式消息服务RabbitMQ的管理员权限。 建立网络端点时，需要委托事件总线EventBridge具有专有网络VPC、VPCE的管理员权限。

参数 类型 示例值 描述 contentEncoding String utf8 消息内容编码。 messageId String f7622d51e19841dea07277c1ead7 消息ID。 contentType String application/json 消息contentType。

更新日期 更新内容 20221130 第一次正式发布。 本次更新说明如下： 上线IPA域名管理、IPA统计分析、IPA账单服务等API。 2023421 第二次正式发布。 本次更新说明如下： 上线辅助工具等API。

本节介绍云等保专区产品的日志审计。 日志审计具备信息资产的综合性管理能力，通过对客户网络设备、安全设备、主机和应用系统日志进行全面的标准化处理，及时发现各种安全威胁、异常行为事件。为管理人员提供全局的视角，确保客户业务的不间断运营安全。通过采集网络资产设备上报的日志，实时监视网络各类操作行为及攻击信息。根据设置的规则，智能判断出各种风险行为，对风险行为进行报警。 功能 描述 全面日志采集 全面支持Syslog、SNMP、OPSec、XML、FTP及本地文件等协议，可以覆盖主流硬件设备、主机及应用，保障日志信息的全面收集。 实现信息资产（网络设备、安全设备、主机、应用及数据库）的日志获取，并通过预置的解析规则实现日志的解析、过滤及聚合。 同时可将收集的日志通过转发功能转发到其它网管平台。 大规模安全存储 内置TB级别存储设备，可以选配各种RAID级别进行数据冗余和安全保障。系统拥有多项自主知识产权的存储加密机制和查询机制，十分适合等保、密保等行业的应用要求。 智能关联分析 实现全维度、跨设备、细粒度关联分析，内置众多的关联规则，支持网络安全攻防检测、合规性检测，可轻松实现各资产间的关联分析。 脆弱性管理 能够收集和管理来自各种Web漏洞扫描工具、主机漏洞扫描工具、网络漏洞扫描工具产生的扫描结果，并实时和用户资产收到的攻击危险进行风险三维关联分析。 数据挖掘和数据预测 支持对历史日志数据进行数据挖掘分析，发现日志和事件间的潜在关联关系，并对挖掘结果进行可视化展示。系统自带多种数据统计预测算法，可以根据历史数据的规律对未来的数据发生情况进行有效预测。 可视化展示 实现对信息资产的实时监控、信息资产与客户管理、解析规则与关联规则的定义与分发、日志信息的统计与报表、海量日志的存储与快速检索以及平台的管理。 通过各种事件的归化处理，实现高性能的海量事件存储和检索优化功能，提供高速的事件检索能力。 事后的合规性统计分析处理，可对数据进行二次挖掘分析。 分布式部署和管理 平台支持分布式部署，可以在中心平台管理规则、配置策略自动分发、远程自动升级等，极大地降低了分布式部署的难度，提高了可管理性。 灵活的可扩展性 提供多种定制接口，实现强大的二次开发能力以及与第三方平台对接和扩展的能力。 了解更多日志审计相关操作内容，请下载阅读《云等保专区日志审计 v1.0 用户指南》。

本页介绍天翼云TeleDB数据库系统视图dual的内容。 视图的作用：模拟Oracle 数据库中的 DUAL 表，Oracle 中的 DUAL 表是一个特殊的表，可以用来返回一个单行单列的结果。 名称 类型 定义 dummy varchar 值是一个固定的字符串'X'

本页介绍天翼云TeleDB数据库元数据pgclspolicy的内容。 存储行列级安全访问策略的配置。 名称 类型 定义 polid int16 策略ID enable bool 是否启用策略 polname NameData 策略名称 reloptions text[1] 表对象选项（长度为1）

参数 类型 示例值 描述 contentEncoding String utf8 消息内容编码。 messageId String f7622d51e19841dea07277c1ead7 消息ID。 contentType String application/json 消息contentType。

本文主要介绍 节点CPU使用率检查。 检查项内容 检查节点CPU使用情况，是否超过90%。 解决方案 请在业务低峰时进行集群升级。 请检查该节点的Pod部署数量是否过多，适当驱逐该节点上Pod到其他空闲节点。

可能影响 DN主节点启动失败，会导致访问到该DN的节点SQL报错，实例部分不可用； CN主节点启动失败，会导致流入该节点的SQL语句报错，流入其它CN主节点的DDL语句报错； CN/DN备节点失败失败，如果开启同步复制，同步复制节点数量不足且未启用退化策略时，会导致DDL、DML语句卡住； CN/DN备节点失败失败，可能会导致无可用备节点，主节点再次异常会导致实例不可用，有数据丢失风险。 解决步骤 1. 按照错误提示，修正pghba.conf文件内容； 2. 重新发起节点启动任务，或等待节点自动拉起。 postgresql.conf文件内容错误导致启动失败问题 问题描述 节点启动失败，启动日志（在Agent目录logs/clslog下对应节点的日志pgctl.startxxx.log）显示报错 configuration file "....../pghba.conf" contains errors，如： 20240115 01:01:08.874 GMT [21832,coord(0,0)] FATAL: configuration file "/data/xxx/....../postgresql.conf" contains errors 而前一行会提示错误位置和错误原因，例如： LOG: unrecognized configuration parameter "workmam" in file "/data/xxx/....../postgresql.conf" line 23 这里显示第23行的参数 workman无效，此处是参数名拼写错误，应该是workmem。 postgresql.conf中配置加载的参数文件postgresql.conf.user，或postgresql.auto.conf文件内容错误，也会启动失败，报错同上，仅指向文件不同。 需要说明的是，配置文件中参数名错误会导致节点启动失败，而参数值错误不会导致节点启动失败，只是参数值设置失效，仍会使用默认值。参数值错误，在启动启动日志（在Agent目录logs/clslog下对应节点的日志pgctl.startxxx.log）中会有类似如下提示： LOG: invalid value for parameter "workmem": "4m" HINT: Valid units for this parameter are "kB", "MB", "GB", and "TB". 这里显示workmem参数值错误，并给出了可选说明。

参数名 数据类型 应用类型 默认值 Agent支持的起始版本 Agent支持的终止版本 描述 是否采集原始sql radio JAVA false 2.0.0 调用链中是否采集上报带有参数内容的原始sql。

字段 类型 说明 statuscode int HTTP响应状态码 headertoadd map[string]string 自定义响应添加的Headers body string 自定义响应Body内容

参数名 数据类型 应用类型 默认值 Agent支持的起始版本 Agent支持的终止版本 描述 是否采集原始sql radio JAVA false 2.0.0 调用链中是否采集上报带有参数内容的原始sql。

本文主要介绍如何手工搭建Hadoop环境(Linux)。 简介 本文介绍了如何在天翼云上使用弹性云主机的Linux实例手工搭建Hadoop环境。Hadoop是一款由Apache基金会用Java语言开发的分布式开源软件框架，用户可以在不了解分布式底层细节的情况下，开发分布式程序，充分利用集群的能力进行高速运算和存储。Hadoop的核心部件是HDFS（Hadoop Distributed File System）和MapReduce： HDFS：是一个分布式文件系统，可对应用程序数据进行分布式储存和读取。 MapReduce：是一个分布式计算框架，MapReduce的核心思想是把计算任务分配给集群内的服务器执行。通过对计算任务的拆分（Map计算和Reduce计算），再根据任务调度器（JobTracker）对任务进行分布式计算。 前提条件 已购买一台弹性云主机，且已为其绑定弹性公网IP。 弹性云主机所在安全组添加了如下表所示的安全组规则。 方向 类型 协议 端口/范围 源地址 入方向 IPv4 TCP 8088 0.0.0.0/0 入方向 IPv4 TCP 50070 0.0.0.0/0 实施步骤 1、安装JDK a.登录弹性云主机。 b.执行以下命令，下载jdk软件包。 以jdk17为例，在列表中查看可用的JDK软件包版本，以jdk17linuxx64bin.tar.gz安装包为例，执行以下命令。 wget c.解压jdk安装包到opt目录下。 tar xvf jdk17linuxx64bin.tar.gz C /opt/ d.配置环境变量。 vim /etc/profile e.在底部添加以下内容。