密钥管理，即密钥管理服务（Key Management Service, KMS），是一种安全、可靠、简单易用的密钥托管服务，帮助您轻松创建和管理密钥，保护密钥的安全。 KMS通过使用硬件安全模块HSM（Hardware Security Module, HSM）保护密钥的安全，所有的用户密钥都由HSM中的根密钥保护，避免密钥泄露。 KMS对密钥的所有操作都会进行访问控制及日志跟踪，提供所有密钥的使用记录，满足审计和合规性要求。

云点播存储桶和文件权限及鉴权方式介绍。 综述 本文将简要阐述云点播的权限体系。 云点播考虑到媒资汇入和统一管理的需要，在对象存储基本权限的基础上进行了权限收缩，避免由于同时使用SDK、API、第三方客户端等多途径操作可能产生的一致性问题。 桶权限 选项 描述 :: 私有 只有主账号、子账号通过合法签名访问该桶，进行读、写操作，其他用户在拥有合法签名时，可以访问读取该桶的文件。任何用户对桶不具有删除、新建、列举权限。 公共读 任何用户（包括匿名访问者）都可以对桶进行读取访问，只有主账号、子账号通过合法签名对该桶内的文件进行写操作。任何用户对桶不具有删除、新建、列举权限。 文件权限 文件读写权限继承桶权限，当桶权限发生变更时，文件权限同步发生变更。 鉴权方式 云点播的鉴权规则继承了对象存储S3的鉴权方式。对象存储S3的鉴权分为V2和V4两个版本，其中V2版本适用性较广，签名算法较为简单；V4版本安全性更高，签名算法更为复杂。具体的签名算法可以参考签名应用及示例V2版本和鉴权签名及示例（V4版本）。 目前，云点播原生的SDK和API同时支持V2和V4签名。

本节主要介绍数据订阅 AOM支持用户订阅指标或者告警信息，订阅后可以将数据转发到用户配置的kafka或DMS的Topic中，供消费者消费转发的订阅的信息。 说明 最多可创建10个数据订阅规则。 创建订阅规则 步骤 1 在左侧导航栏中选择“配置管理 > 数据订阅”。 步骤 2 单击“创建订阅规则”，设置相关参数后，单击“确定”。 您可根据实际需求，选择订阅目标类型为“自定义Kafka”或“分布式消息服务DMS”。 1、订阅目标类型为“自定义Kafka”。 数据订阅规则参数说明 参数 说明 示例 规则名称 订阅规则名称。 输入：aomkafkatest。 订阅内容 支持“指标”和“告警”。 选择：指标。 订阅目标类型 选择“自定义Kafka”或“分布式消息服务DMS”。 自定义Kafka 订阅目标连接地址 用户自己的kafka地址，需要打通网络。格式为逗号分割的ipv4:port。例如: 192.168.0.1:9092,192.168.0.2:9092 根据实际情况填写。 a.（可选）进入到“规则详情”，单击 ，配置Kafka SASLSSL，参数如下表所示。 说明 AOM当前仅支持Kafka SASLSSL安全认证配置，如果目前实例已经开启Kafka SASLSSL，请打开此开关。 配置Kafka SASLSSL参数 参数 说明 示例 用户名 SASL用户名用于实例访问认证。 demo 密码 SASL密码用于实例访问认证，请妥善管理密码，系统无法获取您设置的密码内容。 客户端证书 请采用.pem格式的客户端证书 b.单击“验证并保存自定义Kafka配置信息”，验证自定义Kafka实例连通性。 c.选择数据发送topic后，单击“确定”。 2、订阅目标类型选择“分布式消息服务DMS”，请参考下表配置参数。 数据订阅规则参数说明 参数 说明 示例 规则名称 订阅规则名称 输入：aomkafkatest。 订阅内容 支持“指标”和“告警”。 选择：指标。 订阅目标类型 选择“自定义Kafka”或“分布式消息服务DMS”。 分布式消息服务DMS 实例 选择DMS实例，如没有DMS实例，请单击“创建DMS实例”，创建DMS实例。 kafkaaom7160 a. 进入到“规则详情”，单击“创建网络连接通道”。 b. 验证DMS实例连通性。 您需要确保在安全组"入方向规则"中，放通9011端口，源地址为"198.19.128.0/20"的网络流量。设置安全组规则操作如下： i. 登录管理控制台。 ii. 在左侧导航栏，单击 ，选择“网络 > 虚拟私有云 VPC”。 iii. 在左侧导航栏单击“访问控制 > 安全组”，在使用DMS所在的安全组右侧，单击“配置规则”。 iv. 在“入方向规则”页签下，单击“添加规则”，放通9011端口、源地址为“198.19.128.0/20”的网络流量。 c. 单击“验证并保存DMS配置信息”。 d. 选择数据发送topic后，单击“确定”。 数据订阅格式说明 AOM格式的指标JSON格式代码片断 package metric type MetricDatas struct { Metrics []Metrics json:"metrics" ProjectId string json:"projectid" } type Metrics struct { Metric Metric json:"metric" Values []Value json:"values" CollectTime int64 json:"collecttime" } type Metric struct { Namespace string json:"namespace" Dimensions []Dimension json:"dimensions" } type Value struct { Value interface{} json:"value" Type string json:"type" Unit string json:"unit" StatisticValues string json:"statisticvalues" MetricName string json:"metricname" } type Dimension struct { Name string json:"name" Value string json:"value" } kafka消息示例 key:, value:{"metrics":[{"metric":{"namespace":"PAAS.NODE","dimensions":[{"name":"nodeName","value":"testvsscopmaster1"},{"name":"nodeIP","value":"1.1.1.1"},{"name":"hostID","value":"75d9711147344c6cae9ef6111111111"},{"name":"nameSpace","value":"default"},{"name":"clusterId","value":"46a7bc0d1d8b11ea9b04333333333333333"},{"name":"clusterName","value":"testvss111"},{"name":"diskDevice","value":"vda"},{"name":"master","value":"true"}]},"values":[{"value":0,"type":"","unit":"Kilobytes/Second","statisticvalues":"","metricname":"diskReadRate"},{"value":30.267,"type":"","unit":"Kilobytes/Second","statisticvalues":"","metricname":"diskWriteRate"}],"collecttime":1597821030037}],"projectid":"111111111111111111111"} 告警数据格式说明 示例： { "events": [{ "id": "4346299651651991683", "startsat": 1597822250194, "endsat": 0, "arrivesat": 1597822250194, "timeout": 300000, "resourcegroupid": "312313123112222222222232131312131", "metadata": { "kind": "Pod", "eventseverity": "Major", "resourcetype": "service", "clusterId": "6add4ef5135811eaa5bf111111111", "eventtype": "alarm", "clusterName": "cceief4516140c96ca4a5f8d851111111", "namespace": "PAAS.NODE", "name": "test15769793809553052f5557bd7fqnfkm", "eventname": "调度失败

本节介绍服务器安全卫士（原生版）的产品定义和产品架构。 产品定义 服务器安全卫士（原生版）（CTCSS，Cloud Security System）是一款全方位保障云上服务器安全的产品，能全面识别并管理服务器中的信息资产、实时监测服务器风险并阻止非法入侵行为，当发现服务器出现安全问题时，第一时间向您发出告警通知。主要包括资产清点、漏洞扫描、入侵检测、基线检查、弱口令检测、病毒查杀、文件防勒索等功能，帮助您构建服务器安全防护体系。 产品架构 服务器安全卫士（原生版）整体架构主要包括3个部分，分别为统一管理平台、数据汇总节点和服务器客户端Agent。 统一管理平台 客户管理员通过统一管理平台，查看所有的服务器信息和安全状态，并下发安全策略配置信息。 资源池数据汇总节点 服务器客户端Agent从被监控服务器中采集系统信息，上报给相应的数据汇总节点。 服务器客户端Agent 使用服务器安全卫士（原生版）产品时，每台服务器需要安装一个Agent。

本文介绍了边缘安全加速平台如何删除域名。 使用场景 如果您需在平台中删除某个域名的配置，您可以在控制台进行删除操作。删除按钮只能在域名状态为“已停止”时可见。 前提条件 域名状态为“已停止”。 使用说明 1.登录边缘安全加速控制台。 2.进入安全与加速工作台域名域名管理页面。 3.选择需要删除的域名，在操作栏点击【删除】按钮后，会进行弹窗提示，需手动输出要删除的域名，以免误操作，确定后域名列表无法查询该域名，配置也无法进行恢复。

本章节为您介绍API安全网关总览页面。 总览主要展示本系统统计到的数据信息，包括以下展示区域：数据统计 、流量分布 、访问趋势。 服务数量：当前API安全网关纳管的服务总数量。 API数量：当前API安全网关纳管的API总数量。 日访问量：当日内服务及API总访问量。 说明 当日API访问Top5支持切换展示API访问top5和API访问上游top5。 当日访问趋势支持切换查看最近 7 天、最近 14 天、最近 30 天。

本文主要介绍加密镜像。 加密镜像概述 用户可以采用加密方式创建私有镜像，确保镜像数据安全性。 约束与限制 用户已启用数据加密服务 加密镜像不能共享给其他租户。 不能修改加密镜像使用的密钥。 对于加密镜像创建的云主机，其系统盘只能为加密状态，且磁盘密钥与镜像密钥一致。 如果云主机的系统盘已加密，那么使用该云主机创建的私有镜像也是加密的。 加密镜像使用的密钥为禁用状态或者被删除时，该镜像无法使用。 创建加密镜像 创建加密镜像分为通过外部镜像文件创建加密镜像和通过加密弹性云主机创建加密镜像。 1、通过外部镜像文件创建加密镜像 用户使用OBS桶中已上传的外部镜像文件创建私有镜像，可以在注册镜像时选择KMS加密及密钥完成镜像加密。具体操作步骤请参考通过外部镜像文件创建Windows系统盘镜像和通过外部镜像文件创建Linux系统盘镜像。 2、通过加密弹性云主机创建加密镜像 用户选择弹性云主机创建私有镜像时，如果该云主机的系统盘已加密，那么使用该云主机创建的私有镜像也是加密的。加密镜像使用的密钥和系统盘的密钥保持一致。具体操作请参考通过云主机创建Windows系统盘镜像和通过云主机创建Linux系统盘镜像。

本文介绍为云主机配置内网域名的最佳实践概述。 背景 内网域名是指仅在VPC内生效的虚拟域名，无需购买和注册，无需备案。云解析服务提供的内网域名功能，可以让您在VPC中拥有权威DNS，且不会将您的DNS记录暴露给互联网，解析性能更高，时延更低，并且可以防护解析劫持。我们可以将VPC内承担内网域名解析功能的DNS称为内网DNS。 内网域名功能支持为VPC内每个云主机创建一个内网域名，实现： 通过内网域名访问VPC内的云主机，无需经过Internet，访问速度更快、安全性更高。 在代码中使用内网域名代替内网IP。当需要进行云主机切换时，只需通过修改内网域名解析记录即可，无需修改代码。 操作场景 本实践为内网DNS典型应用场景，如图所示。 图逻辑组网 方案优势 上图展示了某网站的逻辑组网，在一个VPC内，部署了ECS和RDS。其中： ECS：作为主业务站点和业务入口。 ECS1：作为公共接口。 RDS1：作为数据库，存储业务数据。 ECS2和RDS2：作为备份服务器和数据库。 当该网站在运行过程中，因ECS1故障，需要将业务切换到备份的云主机ECS2时，若云主机没有配置内网域名，则需要通过修改主业务节点ECS的代码来重新设置云主机的内网IP地址。该操作需要中断业务并重新发布网站，耗时耗力。 假如在部署该网站时，我们为云主机申请了内网域名，且代码中设置的是云主机的内网域名，则仅需要通过修改内网域名解析记录即可实现云主机的切换，无需中断业务，也不需要重新发布网站。

本文介绍如何进行镜像扫描，包括扫描仓库镜像、扫描节点镜像。 镜像扫描支持手动扫描、自动扫描、周期扫描三种方式。 手动扫描 扫描仓库镜像 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“镜像安全”，进入镜像安全页面。 3. 查看仓库镜像列表，单击镜像列表中的“扫描”、“重新扫描”或者镜像列表右上角的“扫描镜像”，为未扫描的镜像或已经扫描完成的镜像建立扫描任务。 4. 在弹出的扫描仓库镜像对话框中，选择扫描范围。 5. 单击“确定”，即可开始扫描。 扫描节点镜像 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“镜像安全”，进入镜像安全页面。 3. 查看节点镜像列表，单击镜像列表中的“扫描”、“重新扫描”或者镜像列表右上角的“扫描镜像”，为未扫描的镜像或已经扫描完成的镜像建立扫描任务。 4. 在弹出的扫描节点镜像对话框中，选择扫描范围。 5. 单击“确定”，即可开始扫描。

本章介绍函数工作流如何使用RabbitMQ触发器。 前提条件 已经创建函数。 创建RabbitMQ触发器，必须开启函数工作流VPC访问。 已经创建RabbitMQ实例。 确认实例安全组规则是否配置正确。 在RabbitMQ实例详情页面的“基本信息 > 网络”，单击安全组名称，跳转到安全组页面。 选择“入方向规则”，查看安全组入方向规则。 实例未开启SSL开关 如果是VPC内访问，实例安全组入方向规则，需要允许端口5672的访问。 如果是公网访问，需要允许端口15672的访问。 实例已开启SSL开关 如果是VPC内访问，实例安全组入方向规则，需要允许端口5671的访问。 如果是公网访问，需要运行端口15671的访问。 创建RabbitMQ触发器 1. 登录函数工作流控制台，在左侧的导航栏选择“函数 > 函数列表”。 2. 选择待配置的函数，单击进入函数详情页。 3. 选择“设置 > 触发器”，单击“创建触发器”，弹出“创建触发器”对话框。 4. 设置以下信息。 触发器类型：选择“分布式消息服务RabbitMQ版 (RABBITMQ)”。 实例：选择已创建RabbitMQ实例。 交换机名称：填写用户需要使用的交换机名称。 密码：填写创建RabbitMQ实例的密码。 虚拟机名称：填写用户自定义的vhost。 批处理大小：每次从Topic消费的消息数量。 5. 单击“确定”，完成RabbitMQ触发器的创建。 说明 开启函数流VPC访问后，需要在RabbitMQ服务安全组配置对应子网的权限。

该任务指导用户通过漏洞扫描服务删除已创建的监测任务。 前提条件 已获取管理控制台的登录帐号与密码。 已创建监测任务。 操作步骤 1. 登录管理控制台。 2. 在左侧导航树中，单击，选择“安全 > 漏洞扫描（专业版）”。 3. 在左侧导航树中，选择“安全监测”，进入“安全监测”界面。 4. 在目标监测任务所在行的“操作”列中，单击“删除任务”，在弹出的对话框中，单击“确认”。

本文主要介绍权限管理 通过企业项目对用户和用户组进行授权 APM使用企业项目管理控制用户对APM资源的访问范围。您在云帐号中给员工创建IAM用户组后，可以在企业管理服务控制台创建企业项目，并在企业项目中为用户组授予相应的权限，实现人员授权及权限控制。企业项目可将企业分布在不同区域的资源按照企业项目进行统一管理，同时可以为每个企业项目设置拥有不同权限的用户组。 通过IAM为企业中的用户和用户组进行授权 如果您需要对您所拥有的APM进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用APM资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将APM资源委托给更专业、高效的其他帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用APM服务的其它功能。 本章节为您介绍对用户授权的方法，操作流程如图所示。 前提条件 给用户组授权之前，请您了解用户组可以添加的APM权限，并结合实际需求进行选择，APM支持的系统权限。 示例流程 使用IAM授权的云服务 图 给用户授权APM权限流程 1. 创建用户组并授权 在IAM控制台创建用户组，并授予APM只读权限“APM ReadOnlyAccess”。 2. 创建IAM用户 在IAM控制台创建用户，并将其加入[1](

本章节主要介绍翼MapReduce从零开始使用Kerberos认证集群。 本章节提供从零开始使用安全集群并执行MapReduce程序、Spark程序和Hive程序的操作指导。 翼MR 3.x版本Presto组件暂不支持开启Kerberos认证。 本指导的基本内容如下所示： 1.创建安全集群并登录其Manager 2.创建角色和用户 3.执行MapReduce程序 4.执行Spark程序 5.执行Hive程序 创建安全集群并登录其Manager 1.创建安全集群，请参见创建自定义集群页面，开启“Kerberos认证”参数开关，并配置“密码”、“确认密码”参数。该密码用于登录Manager，请妥善保管。 2.登录翼MR管理控制台页面。 3.单击“集群列表”，在“现有集群”列表，单击指定的集群名称，进入集群信息页面。 4.单击“集群管理页面”后的“前往Manager”，打开Manager页面。 若用户创建集群时已经绑定弹性公网IP。 a. 添加安全组规则，默认填充的是用户访问公网IP地址9022端口的规则。如需对安全组规则进行查看，修改和删除操作，请单击“管理安全组规则”。 说明 自动获取的访问公网IP与用户本机IP不一致，属于正常现象，无需处理 。 9022端口为knox的端口，需要开启访问knox的9022端口权限，才能访问Manager服务 。 b.勾选“我确认xx.xx.xx.xx为可信任的公网访问IP，并允许从该IP访问翼MR Manager页面。” 若用户创建集群时暂未绑定弹性公网IP。 a.在弹性公网IP下拉框中选择可用的弹性公网IP或单击“管理弹性公网IP”创建弹性公网IP。 b.添加安全组规则，默认填充的是用户访问公网IP地址9022端口的规则。如需对安全组规则进行查看，修改和删除操作，请点击“管理安全组规则”。 说明 自动获取的访问公网IP与用户本机IP不一致，属于正常现象，无需处理 。 9022端口为knox的端口，需要开启访问knox的9022端口权限，才能访问Manager服务 。 c.勾选“我确认xx.xx.xx.xx为可信任的公网访问IP，并允许从该IP访问翼MR Manager页面。” 5.单击“确定”，进入Manager登录页面，如需给其他用户开通访问Manager的权限，请参见用户操作指南访问集群Manager章节，添加对应用户访问公网的IP地址为可信范围。 6.输入创建集群时默认的用户名“admin”及设置的密码，单击“登录”进入Manager页面。

天翼云为您提安全体检产品服务协议说明，请您点击查看。 请参见安全体检产品服务协议。

防网页篡改 攻击者利用黑客技术，在网站服务器上留下后门或篡改网页内容，造成经济损失或带来负面影响。用户可通过Web应用防火墙配置网页防篡改规则，以实现： 挂马检测 检测恶意攻击者在网站服务器注入的恶意代码，保护网站访问者安全。 页面不被篡改 保护页面内容安全，避免攻击者恶意篡改页面，修改页面信息或在网页上发布不良信息，影响网站品牌形象。 内容安全检测 网站/新媒体内容安全检测 内容合法合规性检测 国家政策要求各地方机构要认真落实意识形态工作和网络内容安全工作责任制。为响应国家政策，内容安全检测服务可对网站/新媒体内容进行合法合规检测，主要对文本、图片、视频、语音进行检测和识别是否包含色情、涉政、暴力、惊悚、不宜广告、垃圾信息、不良内容等，有效帮助您降低内容风险。 内容准确性检测 对网站/主流新媒体平台的内容进行准确性检测，主要对文本、图片、视频、语音进行表述规范审核，如对错别字、生僻字、词法表述、语法表述等内容进行检测审核。

存储类名称，云硬盘必须为csidisk 表 关键参数说明 参数 描述 everest.io/reclaimpolicy: retainvolumeonly 可选字段 目前仅支持配置“retainvolumeonly” everest插件版本需 > 1.2.9且回收策略为Delete时生效。如果回收策略是Delete且当前值设置为“retainvolumeonly”删除PVC回收逻辑为：删除PV，保留底层存储卷。 failuredomain.beta.kubernetes.io/region 集群所在的region。 failuredomain.beta.kubernetes.io/zone 创建云硬盘所在的可用区，必须和工作负载规划的可用区保持一致。 volumeHandle 云硬盘的volumeID。 获取方法： 在云主机控制台，单击左侧栏目树中的“云硬盘 > 磁盘”，单击要对接的云硬盘名称进入详情页，在“概览信息”页签下单击“ID”后的复制图标即可获取云硬盘的volumeID。 everest.io/diskvolumetype 云硬盘类型，全大写。 l SAS：高I/O l SSD：超高I/O l GPSSD：通用型SSD l ESSD：极速型SSD everest.io/cryptkeyid 卷为加密卷时为必填，填写创建加密秘钥的ID。 everest.io/enterpriseprojectid 可选字段 云硬盘的企业项目ID。如果指定企业项目，则创建PVC时也需要指定相同的企业项目，否则PVC无法绑定PV。 获取方法 ：在云主机控制台，单击左侧栏目树中的“云硬盘 > 磁盘”，单击要对接的云硬盘名称进入详情页，在“概览信息”页签下找到“管理信息”中的企业项目，单击并进入对应的企业项目控制台，复制对应的ID值即可获取云硬盘所属的企业项目的ID。 persistentVolumeReclaimPolicy 集群版本号>1.19.10且everest插件版本>1.2.9时正式开放回收策略支持。 支持Delete、Retain回收策略。 Delete : l Delete且不设置everest.io/reclaimpolicy：删除PVC，PV资源与云硬盘均被删除。 l Delete且设置everest.io/reclaimpolicyretainvolumeonly：删除PVC，PV资源被删除，云硬盘资源会保留。 Retain ：删除PVC，PV资源与底层存储资源均不会被删除，需要手动删除回收。PVC删除后PV资源状态为“已释放（Released）”，不能直接再次被PVC绑定使用。 如果数据安全性要求较高，建议使用Retain 以免误删数据。

本文汇总了管理伸缩组内实例过程中会遇到的管理类问题。 怎样查看通过弹性伸缩创建的主机实例密码并进行登录？ 系统无法获取您设置的密码内容，请您在创建伸缩配置时，妥善保管相关内容。 通过弹性伸缩创建的云主机实例，与伸缩组关联的伸缩配置中设置的登录方式和密码保持一致。 自动创建的云主机 实例密码是否与主机私有镜像中的密码一致？ 不一致。 为了确保安全，所有自动创建的云主机实例密码都建议采用SSH密钥对。在自动创建云主机实例时，通常不会采用自定义镜像的密码来作为登录密码。 通过伸缩组扩容自动创建的弹性云主机实例如何部署应用？ 通过伸缩组扩容自动创建的弹性云主机实例，可通过 “私有镜像 + 用户数据” 实现应用自动部署。具体为：创建包含应用程序软件及开机自启动设置的私有镜像，并配合用户数据注入开机后自动执行的脚本，即可实现应用自动部署。 弹性伸缩场中，云主机健康检查与负载均衡健康检查有什么区别？ 云主机健康检查 ：聚焦云主机实例本身状态。当检测到实例处于 “错误” 等异常状态时，会将其移出伸缩组，同时自动创建新的健康实例，确保伸缩组实例数量符合预设配置。 负载均衡健康检查 ：需先为伸缩组关联负载均衡器才可启用，检查云主机实例上指定服务的端口响应状态。若伸缩组关联多台负载均衡器，需所有负载均衡器均判定实例 “健康”，才认为其正常；只要有一台检测到端口服务异常，实例就会被移出伸缩组。

本文将介绍针对平台操作审计日志进行介绍。 您通过控制台或API进行相关平台操作时，会实时记录操作内容，用于后续追溯、审计。 操作步骤 1. 登录边缘安全加速控制台。 2. 可针对需求进行查询相关日志情况。 3. 在左侧导航栏，选择运营管理>日志服务>操作日志。 注意 进行平台相关操作时，如新增域名、修改配置等，均会进行记录到操作日志以供查询，目前该服务能力仅支持【零信任服务】【安全与加速】模块的操作相关记录。 提供并展示30天内全部的平台操作审计日志，若有长时间存储日志需求，可 字段说明 字段 字段说明 操作时间 用户操作时间 产品服务 按照购买产品服务区分，目前仅支持【零信任服务】【安全与加速服务】 操作对象 针对哪些服务、功能进行操作 操作内容 具体操作内容信息 动作 修改、新增、导出等相关操作动作 状态 成功、失败。其中成功仅意味当下操作成功下发到后端，并不代表配置实际生成成功。 操作人 操作帐号 安全与加速支持操作日志的模块 目前安全与加速服务只有部分模块支持记录操作日志。 一级菜单 二级菜单 功能模块 域名管理 支持记录新增、启用、停用、删除、导出域名等操作 安全能力 Web应用防火墙 支持记录以下内容的操作日志 防护总开关 无需检测的静态文件 规则防护引擎防护模式、规则模板 敏感词防护基础信息 攻击挑战防护开关 cookie挑战防护开关 合规性检测防护开关 复制操作复制全局策略、防护规则引擎、规则ID、规则白名单等 访问控制/限流 支持记录以下内容的操作日志 防护总开关 CC防护 访问控制防护开关 频率控制防护开关 复制操作复制防护开关、复制规则 Bot防护 支持记录以下内容的操作日志 防护总开关 客户端标识过期事件 无需检测的静态文件 爬虫陷阱处理动作、基础信息 工具管理 IPv6检测 支持记录新增检测任务、数据导出部分的操作日志 日志与数据分析 告警管理 支持记录新增、删除、修改、开启、关闭告警任务 报告订阅 支持记录新增、删除、修改、开启、关闭报告订阅任务

物理机服务(CTDPS,Dedicated Physical Server)是基于天翼云软硬结合技术研发的一款拥有极致性能的裸金属服务器,兼具云主机的灵活弹性、物理机的稳定,提供算力强劲的计算类服务,能够完全无缝和天翼云全产品融合(例如网络、存储等),为您提供专属的云上物理服务器,为大数据、核心数据库、高性能计算等业务提供服务稳定、数据安全、性能卓越的算力服务。

本文介绍了全球办公加速防护场景下的产品价值。 业务特点 全球办公场景下，公司数据一般部署在总部所在的国家或地区，但是企业的终端用户遍布全球各地，终端用户跨地域访问公司数据时经常出现文件数据传输慢、系统登录超时等问题。 同时，企业的数据服务器容易受到各类 WAF 和 DDoS 攻击，严重影响企业数据的安全性和可用性。 疫情快速推动远程/协同办公模式的普及，既存在静态文件的分享，也多人协作编辑、实时沟通等各类动态数据的传输，其中文件下载过久，沟通延时等问题大大降低了协同办公的效率。 而传统VPN、专线等的接入方式只要接入就能访问所有系统，可能造成客户业务核心数据泄漏、病毒感染等安全事件的发生。 客户痛点 远程办公应用登录超时 业务系统响应慢 音视频会议卡顿、延迟 VPN超时、掉线 准入安全风险 远程终端造成病毒扩散 产品优势 通过 AOne 边缘安全加速平台： 智能调度、实时探测最佳路径，私有传输协议，解决网络抖动问题，提升办公效率 全球节点覆盖，就近接入，保障网络的快速和稳定性，提升用户体验 任意区域任意网络接入，安全边缘节点，通过加密隧道保证数据安全及隐私 多因素认证身份，持续性安全评估，支持指定哪些用户使用什么样的终端设备访问哪些办公应用，保证可信访问

本节介绍应用市场的产品简介以及下载方式，以便您了解应用市场。 应用市场客户端 应用市场，是一项对云电脑内的应用进行统一下载和管理的服务，为了向天翼云电脑（公众版）用户提供安全、方便的应用获取渠道，我们提供天翼云电脑应用市场（公众版）客户端 用户可通过应用市场客户端安装、升级、卸载平台提供的各类应用。目前云电脑中已预装此客户端，如未预装，可通过云电脑工具栏的快捷入口触发安装，或前往客户端下载页面进行下载。 天翼云电脑应用市场用户协议生效，详情请参见这里。 天翼云电脑应用市场隐私政策生效，详情请参见这里。

核心功能 我们提供易上手的开发者工具，丰富的编程语言生态，符合W3C标准的Service Worker API、Streams API、Web Crypto。 从而帮助企业网站在边缘节点上完成自定义鉴权、访问控制、内容改写、内容生成以及AB测试。 对比传统CDN处理流程，开发者平台在边缘节点直接处理客户的动态请求，大大减少回源次数，分担中心源站的计算压力。 相关术语 无服务器 Serverless 无服务器是一种云原生开发模型，可使开发人员专注构建和运行应用，而无需管理服务器。无服务器方案中仍然有服务器，但它们已从应用开发中抽离出来。云提供商负责置备、维护和扩展服务器基础架构等例行工作。开发人员可以简单地将代码打包到容器中进行部署。部署之后，无服务器应用即可响应需求，并根据需要自动扩容。公共云提供商的无服务器产品通常通过一种事件驱动执行模型来按需计量。因此，当无服务器功能闲置时，不会产生费用。 函数即服务 FaaS 函数即服务（FaaS：Function as a service）是一种事件驱动计算执行模型。开发人员编写代码逻辑，部署到完全由平台管理的函数运行时中，然后按需执行。与BaaS不同，FaaS可让开发人员拥有更大的掌控权力，他们可以创建自定义应用，而不依赖于包含预编写服务的库。 代码则部署到CDN加速平台管理的容器运行时中。具体而言，这些函数运行时具有以下特点： 无状态 让数据集成变得更加简单。 运行周期短 可以只运行非常短的时间。 事件触发 可在需要时自动运行。 这样，您只用为所需的计算能力付费，而不必管"闲置"的应用和服务器。 使用FaaS时，开发人员可以通过触发器调用无服务器应用。 触发器 用户绑定触发器和对应函数，来实现多种调用效果。目前支持HTTP触发器。 HTTP 路由 用户绑定HTTP触发器和对应函数后，访问CDN加速服务中托管域名的特定路由，即可在边缘节点调用起对应函数计算逻辑。 运行时 用于在边缘节点运行用户自定义函数的安全隔离环境。函数运行时所支持的编程语言，目前支持JavaScript。 开发者工具 开发人员使用命令行工具，在本地完成函数编写，构建，灰度上线。

创建委托 1. 登录IAM服务控制台。 2. 选择“委托 > 创建委托”。 3. 设置“委托名称”。例如：DataArts Studioagency。 4. “委托类型”选择“云服务”，在“云服务”中选择数据治理中心DataArts Studio，将操作权限委托给DataArts Studio，让DataArts Studio以您的身份使用其他云服务，代替您进行一些资源运维工作。 5. “持续时间”选择“永久”。 6. 在“权限选择”区域中，单击“配置权限”。 7. 在弹出页面中搜索“Tenant Administrator”策略，勾选“Tenant Administrator”策略并单击“确定”，如下图所示。 − 因Tenant Administrator策略具有除统一身份认证服务IAM外，其他所有服务的所有执行权限。所以给委托服务DataArts Studio配置Tenant Administrator，可访问周边所有服务。 − 若您想达到对权限较小化的安全管控要求，Tenant Administrator可不配置，仅配置OBS OperateAccess权限（因作业执行过程中，需要往obs写执行日志信息，因此需要添加 OBS OperateAccess权限。）。然后再根据作业中的节点类型，配置不同的委托权限。例如某作业仅包含Import GES节点，可配置GES Administrator权限和OBS OperateAccess权限即可。详细方案请参考配置权限。 8. 单击“确定”完成委托创建。 配置权限 将帐号的操作权限委托给DataArts Studio服务后，需要配置委托身份的权限，才可与其他服务进行交互。 为实现对权限较小化的安全管控要求，可根据作业中的节点类型，以服务为粒度，参见下表配置相应的服务Admin权限。 也可精确到具体服务的操作、资源以及请求条件等。根据作业中的节点类型，以对应服务API接口为粒度进行权限拆分，满足企业对权限最小化的安全管控要求。参见下表进行配置。例如包含Import GES节点的作业，您只需要创建自定义策略，并勾选ges:graph:getDetail（查看图详情），ges:jobs:getDetail（查询任务状态），ges:graph:access（使用图）这三个授权项即可。 须知 MRS相关的节点（MRS Presto SQL、MRS Spark、MRS Spark Python、MRS Flink Job、 MRS MapReduce），以及通过直连方式的（MRS Spark SQL、MRS Hive SQL）节点，由于部分MRS集群不支持委托方式提交作业，所以这类作业不能配置委托。 支持委托方式提交作业的MRS集群如下： 非安全集群 安全集群，集群版本大于2.1.0，并且安装了MRS 2.1.0.1及以上版本的补丁。 配置服务级Admin权限 因作业执行过程中，需要往obs写执行日志信息，因此粗粒度授权时，所有作业都需要添加 OBS OperateAccess权限。 配置相关节点的admin权限 节点名称 系统权限 权限描述 CDM Job DAYU Administrator 数据治理中心服务的所有执行权限。 Import GES GES Administrator 图引擎服务的所有执行权限。该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest、Server Administrator。 MRS Presto SQL、MRS Spark、MRS Spark Python、MRS Flink Job、 MRS MapReduce MRS Spark SQL、MRS Hive SQL（通过MRS API方式连接MRS集群的） MRS Administrator KMS Administrator MRS Administrator：MapReduce服务的所有执行权限。该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest、Server Administrator。 KMS Administrator：数据加密服务加密密钥的管理员权限。 MRS Spark SQL、MRS Hive SQL、MRS Kafka、Kafka Client（通过代理方式连接集群） DAYU Administrator KMS Administrator DAYU Administrator：数据治理中心服务的所有执行权限。 KMS Administrator：数据加密服务加密密钥的管理员权限。 DLI Flink Job、DLI SQL、DLI Spark DLI Service Admin 数据湖探索的所有执行权限。 DWS SQL、Shell、RDS SQL（通过代理方式连接数据源） DAYU Administrator KMS Administrator DAYU Administrator：数据治理中心服务的所有执行权限。 KMS Administrator：数据加密服务加密密钥的管理员权限。 CSS DAYU Administrator Elasticsearch Administrator DAYU Administrator：数据治理中心服务的所有执行权限。 Elasticsearch Administrator：云搜索服务的所有执行权限。该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest、Server Administrator。 Create OBS、Delete OBS、OBS Manager OBS OperateAccess 查看桶、上传对象、获取对象、删除对象、获取对象ACL等对象基本操作权限 SMN SMN Administrator 消息通知服务的所有执行权限。 配置细粒度权限（根据各服务支持的授权项，创建自定义策略。） 创建自定义策略的详细操作请参见统一身份认证用户指南中的有关“创建自定义策略”的章节。 说明 作业执行过程中，需要向OBS中写入执行日志。当采取精细化授权方式时，任何类型的作业均需要添加OBS的如下授权项： obs:bucket:GetBucketLocation obs:object:GetObject obs:bucket:CreateBucket obs:object:PutObject obs:bucket:ListAllMyBuckets obs:bucket:ListBucket CDM Job节点隶属于DataArts Studio模块，DataArts Studio不支持细粒度授权。因此包含这几类节点的作业，给服务配置权限仅支持DataArts Studio Administarator。 CSS不支持细粒度授权，且需要通过代理执行。因此包含这类节点的作业，需要配置DataArts Studio Administarator和Elasticsearch Administrator权限。 SMN不支持细粒度授权，因此包含这类节点的作业，需要配置SMN Administarator权限。 自定义策略 节点名称 授权项 Import GES ges:graph:access ges:graph:getDetai ges:jobs:getDetail MRS Presto SQL、MRS Spark、MRS Spark Python、MRS Flink Job、 MRS MapReduce MRS Spark SQL、MRS Hive SQL（通过MRS API方式连接MRS集群的） mrs:job:delete mrs:job:stop mrs:job:submit mrs:cluster:get mrs:cluster:list mrs:job:get mrs:job:list kms:dek:crypto kms:cmk:get MRS Spark SQL、MRS Hive SQL、MRS Kafka、Kafka Client（通过代理方式连接集群） kms:dek:crypto kms:cmk:get DataArts Studio Administarator(角色) DLI Flink Job、DLI SQL、DLI Spark dli:jobs:get dli:jobs:update dli:jobs:create dli:queue:submitjob dli:jobs:list dli:jobs:listall DWS SQL、Shell、RDS SQL（通过代理方式连接数据源） kms:dek:crypto kms:cmk:get DataArts Studio Administarator(角色) Create OBS、Delete OBS、OBS Manager obs:bucket:GetBucketLocation obs:bucket:ListBucketVersions obs:object:GetObject obs:bucket:CreateBucket obs:bucket:DeleteBucket obs:object:DeleteObject obs:object:PutObject obs:bucket:ListAllMyBuckets obs:bucket:ListBucket

本文提供了边缘安全加速服务平台服务协议查看地址。 边缘安全加速服务平台服务协议，详情请参见这里。

此小节介绍企业主机安全编辑策略内容。 当您创建策略组后，需要修改策略内容时，可按照本文档的指导完成策略内容的修改。 策略内容的修改，只在当前所修改的策略组生效。 默认策略组有默认配置，不建议修改。 Windows的HIPS策略目前不支持修改。 约束限制 需开启高级版、企业版、旗舰版、网页防篡改版、容器版中任一版本。 进入策略管理 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在左侧导航栏，选择“安全运营 > 策略管理”，进入“策略管理”界面，查看显示的策略组，字段说明如下所示： 说明 tenantlinuxcontainerdefaultpolicygroup：容器版linux系统预置策略，仅可被查看，不可复制和删除。 tenantlinuxenterprisedefaultpolicygroup：企业版linux系统预置策略，仅可被查看，不可被复制和删除。 tenantwindowsenterprisedefaultpolicygroup：企业版windows系统预置策略，仅可被查看，不可被复制和删除。 tenantlinuxpremiumdefaultpolicygroup：旗舰版linux系统预置策略，可通过复制该策略组来创建新的策略组。 tenantwindowspremiumdefaultpolicygroup：旗舰版windows系统预置策略，可通过复制该策略组来创建新的策略组。 可在列表右上角单击 ，手动刷新当前列表。 可单击关联服务器数的数量，查看策略组关联的服务器。 策略组列表字段说明 字段 说明 策略组名称 策略组的名称。 ID 策略组的ID号，对策略组的唯一标识。 描述 对策略组的描述。 支持的版本 策略组支持的主机安全的版本。 5、单击目标策略组名称，进入策略详情列表，单击策略名称对不同策略进行修改。 Linux策略组详情

云备份CTCBR(Cloud Backup&Recovery)是一个简单易用、经济高效、安全可靠的一键式备份产品。通过集中管理界面,为用户的云主机、物理机、本地主机相关的数据库、硬盘、虚拟机、文件数据等资源提供统一数据保护。

SSL VPN是否支持HTTP2.0？ 目前HTTP2.0对SSL来说只影响Web资源，TCP和L3VPN资源只要服务端支持即可，目前HTTP2.0还没有大规模应用，在大规模应用之前Web资源也会支持。 使用SSL VPN能够避免哪些攻击？哪些是HTTPS解决不了的？ SSL VPN： 能降低用户身份仿冒攻击，在业务系统本身的认证之外增加了认证环境，且VPN的认证具备密码策略管理，可以强制密码复杂度、试错次数、防爆破、防自动化脚本攻击等。 增加了端点安全策略，能降低黑客通过合法客户端作为跳板进行攻击。 传输上支持更为安全的国家商用密码算法（硬件加密卡）。 对外只开放VPN服务端口，不开放业务服务器端口，避免了对服务器的入侵攻击，黑客如果要入侵系统，只能够先攻击VPN，控制VPN的前提下，才有可能对业务系统攻击。 HTTPS+认证： 只是业务系统本身传输的加密和认证，对攻击者来说，直接攻击的还是服务器本身（可以对服务器账号密码进行爆破、撞库、SSL中间人攻击等）。 不具备端点安全能力，如果合法用户的电脑已经被控制，很容易在使用业务系统的时候被进行跳板攻击。 服务器端口直接暴露在互联网，黑客可以对服务器进行各种攻击探测。 VPN设备本身的安全性： 设备每一个版本在生产销售过程中都经过各种检测，并有国家权威机构的检测证明。 设备本身作为一个安全产品，产品业务逻辑相比业务系统本身更安全，安全成熟度高。 SSL VPN在大量金融、公检法单位使用，这些单位安全要求很高，VPN每年都会多次经历安全检查。

本文提供了天翼云边缘安全加速平台零信任服务隐私政策（详细版）查看地址。 天翼云边缘安全加速平台零信任服务隐私政策（详细版），详情请参见这里。

本节介绍了管理备份云硬盘的相关内容。 操作场景 备份云硬盘通过云备份服务提供的功能实现。 本章节指导用户为云硬盘设置备份策略。通过备份策略，就可以实现周期性备份云硬盘中的数据，从而提升数据的安全性。 购买云硬盘备份存储库并设置备份策略 步骤 1 登录云备份管理控制台。 步骤 2 选择“存储 > 云备份 > 云硬盘备份”。 步骤 3 在界面右上角单击“购买云硬盘备份存储库”。 步骤 4 （可选）在磁盘列表中勾选需要备份的磁盘，勾选后将在已选磁盘列表区域展示。 说明 ● 所选磁盘的状态必须为“可用”或“正在使用”。 ● 若不勾选磁盘，如需备份可在创建存储库后绑定磁盘即可。 步骤 5 输入存储库容量。此容量为绑定磁盘所需的总容量。存储库的空间不能小于备份磁盘的空间。取值范围为[磁盘总容量，10485760]GB。 步骤 6 选择是否配置自动备份。 ● 立即配置：配置后会将存储库绑定到备份策略中，整个存储库绑定的磁盘都将按照备份策略进行自动备份。可以选择已存在的备份策略，也可以创建新的备份策略。 ● 暂不配置：存储库将不会进行自动备份。 步骤 7 如开通了企业项目，需要为存储库添加已有的企业项目。 企业项目是一种云资源管理方式，企业项目管理提供统一的云资源按项目管理，以及项目内的资源管理、成员管理，默认项目为default。 步骤 8 输入待创建的存储库的名称。 只能由中文字符、英文字母、数字、下划线、中划线组成，且长度小于等于64个字符。例如：vault612c。 说明 也可以采用默认的名称，默认的命名规则为“vaultxxxx”。 步骤 9 单击“立即购买”。 步骤 10 根据页面提示，完成创建。 步骤 11 返回云硬盘备份页面。可以在存储库列表看到成功创建的存储库。

本章介绍天翼云文件系统子目录权限隔离操作方法。 应用场景 弹性文件服务支持大规模共享访问，通过将文件系统在弹性云主机上挂载后可划分多个子目录并分配给不同用户，设置子目录读写权限，可实现多用户之间的访问权限隔离。客户可根据业务需求对子目录或者子目录下的文件进行权限访问控制，适用于安全级别较高的应用场景。 前提条件 购买一台弹性云主机，具体操作请参考创建弹性云主机。 购买一个文件系统，具体操作请参考创建文件系统。 操作步骤 步骤一：使用root帐号登录弹性云主机并添加两个普通用户帐号 1. 以root帐号登录弹性云主机，如何登录请参考登录Linux弹性云主机。 2. 添加一个普通用户帐号，如账号sfsuser1。执行以下命令: useradd sfsuser1 passwd sfsuser1 根据回显提示修改普通用户sfsuser1的密码，创建成功后会自动创建账号sfsuser1的主目录“/home/sfsuser1”。 3. 重复第2步继续添加账号sfsuser2。 步骤二：挂载文件系统至弹性云主机 将文件系统挂载到弹性云主机上的一个本地路径上，具体操作请参考使用弹性云主机挂载文件系统，如已经挂载可忽略此步骤。

注意 本清单适用于天翼云AOne APP（Android 及 iOS版本）等全部终端客户端（以下单称或统称“平台”）向您提供的各项产品和服务。若某个产品与/或服务设置了单独清单，则该单独清单优先适用。 业务场景 收集目的 处理方式 信息类型 账号注册 登录认证、双因子认证、重置密码、验证码校验、应用访问权限申请和审批、员工账号管理 用户输入 手机号、电子邮箱、用户名 账号登录 登录认证 用户输入 注册用户登录账号、注册用户登录密码、验证码 设备管理 进行移动设备管理 APP收集 账号、设备ID、设备名称、设备系统 信息统计故障诊断 使用故障诊断、信息统计、服务稳定性改进、响应使用异常帮助请求 APP收集 设备名称、品牌、型号、操作系统、设备设置、IDFV（仅iOS）、IP地址、个人信息（头像） 企业/组织控制台数据配置 企业组织管理、应用范围管理、日常办公安全管理 企业管理员配置 隶属部门、办公邮箱账号、办公电话、企业账号信息、访问企业应用/资产名称、访问企业应用/资产的时长、访问过程中流量的大小 VPN服务 访问企业内部应用、产品功能正常运行 APP收集 设备名称、设备版本、软件版本号、虚拟网卡IP地址 应用资源访问 网络日志保存、安全审计 APP收集 访问的应用名、访问的目的地址、目的端口、设备网络类型、客户端IP地址、客户端端口、访问日期和时间 AI应用中心智能对话 意图识别、关键词拆分、信息检索、提供精准搜索结果和总结性回答 用户输入 与AI应用中心交互过程中输入的内容（语音、文本、图片、文件）、对话记录（输入信息、App生成内容、对话主题） AI应用中心文件上传 智能搜索、交互服务、精准理解用户需求、提供准确搜索结果和智能推荐 用户上传 用户上传的文件内容 日程服务 日程提醒、日程安排管理 用户输入 日程安排、事件通知 消息服务 信息传输与交互、设备同步 用户输入 聊天信息（文本消息、图片消息、文件、通信录信息） 空间服务在线文档 文档管理、协作记录 用户输入 文档及文档信息（文档类型、大小、文档权限、存放位置）、参与编辑的记录、分享/创建副本/下载/浏览/变更权限设置的操作记录 空间服务搜索 搜索结果展示 用户输入 搜索关键字信息 企业微信账户授权登录 关联账号登录 APP收集 个人账号信息、联系方式、组织架构 飞书账户授权登录 关联账号登录 APP收集 个人账号信息、联系方式、组织架构、设备信息与日志信息（操作系统版本号、服务日志）、个人常用设备信息 钉钉账户授权登录 关联账号登录 APP收集 个人账号信息、联系方式、组织架构 音视频会议发言 音视频流传输 APP收集 音频信息、视频信息 音视频会议粘贴会议号 会议号鉴别、提升入会效率 APP收集 剪贴板中的会议号 音视频会议蓝牙连接 蓝牙设备会议交流 APP收集 蓝牙设备信息 共享屏幕 在其他应用上层显示 APP收集 悬浮窗权限、共享屏幕信息 会议记录 会议信息管理、后期查看 APP收集 会议主题、会议号、会议密码、会议创建人、参会人、会议开始和结束时间、最近入会时间及参会时长 云录制 会议内容保存、回放观看 APP收集 音频信息、视频信息、会议纪要文本数据 会议纪要生成 生成会议纪要（按主题、按章节、按发言人总结） APP收集 会议音频信息、会议主题、参会人昵称信息 全球加速 加速访问公网应用 APP收集 设备名称、设备版本、软件版本号、虚拟网卡IP地址 生物识别登录 账号登录验证 本地验证 指纹信息/人脸信息（不采集原始图像，仅保存在用户设备上） 待办工单 工单管理 用户输入 待办工单信息 邮件服务 邮件收发 用户输入 电子邮箱地址、图片、文字、文件

产品价格 在“一类节点”区域，数据库审计计费项有数据库安全审计实例规格和存储扩容两个部分，可详见下表。 说明 标 的计费项为必选计费项。 包年购买，每年的年付价格为10个月的月付价格总和。 计费项 支持的规格 月计费价格 年计费价格 数据库审计标准版 支持3个数据库审计实例 3,000元/月 30,000元/年 数据库审计高级版 支持6个数据库审计实例 5,400元/月 54,000元/年 数据库审计企业版 支持12个数据库审计实例 9,600元/月 96,000元/年 数据库审计旗舰版 支持30个数据库审计实例 22,500元/月 225,000元/年 存储扩容 每份存储扩容增加数据盘内存：1TB 500元/月 5,000元/年 在“二类节点”区域，数据库审计计费项有数据库安全审计实例规格、云主机和硬盘三个部分，可详见下表。 云主机为配套开通项，可在数据库审计实例购买页同步购买并开通。 说明 标 的计费项为必选计费项。 数据库审计实例包年购买，每年的年付价格为10个月的月付价格总和。 计费项 计费基准 月计费价格 年计费价格 数据库审计实例 实例个数 650元/个/月 6,500元/个/年 云主机 云主机实例规格 以订单页显示金额为准 以订单页显示金额为准 系统盘/数据盘 存储容量 以订单页显示金额为准 以订单页显示金额为准