编辑识别任务 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择选择“安全 > 数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中，选择“敏感数据识别（新） > 识别任务”，进入识别任务界面。 5. 在目标任务“操作”列单击“更多 > 编辑”进入“编辑任务”弹框。 6. 在弹框中编辑和修改任务内容，单击“确定”保存。 删除识别任务 注意 如果识别任务正在运行，需先停止任务或者待任务识别完成后再执行删除操作。 删除操作无法恢复，请谨慎操作。 1. 登录管理控制台。 2. 单击左上角的，选择区域或项目。 3. 在左侧导航树中，单击，选择选择“安全 > 数据安全中心”，进入数据安全中心总览界面。 4. 在左侧导航树中，选择“敏感数据识别（新） > 识别任务”，进入识别任务界面。 5. 在目标任务“操作”列单击“更多 > 删除”。 6. 在确认删除的弹框中单击“确定”，删除此任务。

本页介绍天翼云TeleDB数据库的用户管理。 注意 用户管理模块只有DMS超级管理员才能进入，显示该组织下所有用户信息，支持编辑用户、删除用户。 1. 编辑用户 1. 选择安全中心 > 用户管理 ，进入用户列表界面。 2. 在用户信息列表右侧单击编辑 ，进入用户编辑 界面。 3. 在编辑界面可修改用户的用户名，所属团队信息。 2. 删除用户 1. 选择安全中心 > 用户管理 ，进入用户列表界面。 2. 在用户信息列表右侧单击删除 ，确认信息无误后，单击确定 即可将该用户从组织内移除。

本文介绍当证书链不完整，HTTPS中间证书配置错误时该如何处理。 中间证书是根证书颁发机构CA对中间证书颁发机构的公钥进行数字签名得到的证书。其作用是通过中间证书的私钥来签署最终用户的SSL证书，通过中间根对另一个中间根进行签名，然后CA使用它来对证书进行签名。主流浏览器如Firefox或者Chrome对未安装中间证书的网站可能会作出此链接不受信任的提示，或者安装了安全证书的网站，用手机访问时还是会出现不安全的提示，这些情况都很可能是中间证书链不完整导致的。在WAF控制台上传证书时在证书公钥（PEM格式）输入框输入域名证书拼接中间证书即可，具体拼接格式如下： BEGIN CERTIFICATE 域名证书 END CERTIFICATE BEGIN CERTIFICATE 中间证书 END CERTIFICATE

应急响应服务接入流程，含购买、准备、应急响应、验收等阶段。 服务阶段 实施任务 实施内容 交付物 购买阶段 购买应急响应服务 按照购买指引，选择自身需要的服务内容及配置，并完成购买支付 购买阶段 发起应急响应服务需求 发起应急响应服务需求，详细操作请参见获取应急响应服务序列号 准备阶段 确定评估范围、小组成员、准备《保密协议、授权书》、漏扫等工具 确定安全评估范围，项目小组成员，准备《保密协议、授权书》、漏扫等工具 《保密协议、授权书》 《服务确认及风险告知书》 应急响应阶段 信息收集 对网络现状进行资产评估，核查现有的资产信息情况 《应急响应报告》 应急响应阶段 攻击路径还原 根据用户提供的信息对服务器日志、攻击者痕迹、安全设备日志及流量的分析，还原攻击者的攻击路径，理清安全事件的真实原因 《应急响应报告》 应急响应阶段 问题文件清理 对用户服务器中可能隐藏的蠕虫病毒、后门程序、Rootkit 等恶意软件提供清理方案，通过上机排查，使用工具和手工对服务器后门进行清除 《应急响应报告》 应急响应阶段 安全漏洞复检 基于网络安全事件应急响应资产问题，服务团队提供相应的安全加固建议，在用户对资产完成加固后提供漏洞复检工作，以确认资产漏洞完全修复，避免再次出现相同的安全事件 《应急响应报告》 应急响应阶段 编制报告 编制应急响应报告 《应急响应报告》 验收阶段 工作总结会议 组织双方人员进行总结汇报 《验收材料汇编》 验收阶段 验收 提交相关技术文档 《验收材料汇编》

空间托管是指跨账号安全运营，可实现Workspace委托集中安全运营查看统一资产风险、告警和事件等。 空间托管流程 操作步骤 说明 1 创建托管视图 创建托管视图管理托管任务。 2 创建托管 态势感知（专业版）支持将项目中的工作空间托管给其他用户，托管后，可实现Workspace委托集中安全运营查看统一资产风险、告警和事件等。 3 托管授权 由于托管是将本项目中的工作空间托管给其他用户，因此，需要双重授权。 1. 创建委托后，需要先在已有账号中，接收授权，同意将工作空间托管给其他用户。 2. 然后在目标账号的“工作空间 > 空间托管 > 我纳管的”菜单下进行托管授权，统一接收托管。 授权后，被托管空间将挂载到托管账号下的空间中，进行统一管理。 约束与限制 单账号单Region内最多创建1个空间托管视图。 单账号单Region空间托管视图（包含的纳管工作空间数）中的工作空间数 ≤ 100个。 跨账号跨Region空间托管视图（包含的纳管工作空间数）中的工作空间数 ≤ 10个。 单账号创建账号委托≤ 50个。

本文介绍如何挂载CIFS文件系统到Windows云主机。 操作场景 CIFS类型的文件系统仅支持使用Windows操作系统的云主机进行挂载。本此以Windows Sever 2012标准版操作系统为例进行CIFS类型的文件系统的挂载。其他版本请参考以下主要步骤，根据实际界面进行配置。 注意事项 不推荐CIFS协议的文件系统挂载至Linux，因为Linux系统对CIFS协议的兼容程度较低，并且Linux上的CIFS客户端存在一些安全漏洞隐患。因此本产品仅提供Windows 挂载CIFS的方式。 如果仍然期望采用CIFS协议的文件系统挂载至Linux的方式，请提交工单联系技术人员进行相关评估和配置。同时请务必知晓上述风险，若采用此种挂载方式，本服务不承诺SLA。 前提条件 在需要操作的地域创建虚拟私有云VPC，具体操作步骤参见创建虚拟私有云VPC。 已创建该VPC下的弹性云主机，操作系统为Windows Sever 2012标准版，具体操作步骤参见创建弹性云主机。 已创建该VPC下的文件系统，文件系统的协议类型为CIFS，具体操作步骤参见创建文件系统。 操作步骤 1. 登录天翼云控制中心，单击管理控制台左上角的，选择地域。 2. 选择“计算>弹性云主机”，进入弹性云主机页面，找到即将执行挂载操作的云主机所在行。 3. 点击“远程登录”，使用管理控制台提供的VNC方式远程登录Windows弹性云主机。 4. 对于Windows Server 2016以上的系统，需要配置允许客户端匿名访问，在命令行工具执行以下命令。 plaintext REG ADD HKEYLOCALMACHINESYSTEMCurrentControlSetservicesLanmanWorkstationParameters /f /v AllowInsecureGuestAuth /t REGDWORD /d 1 5. 单击桌面左下角Windows按键，选择这台电脑，右键单击“这台电脑>映射网络驱动器”。 6. 在弹出窗口中，设置“驱动器”盘符名称及文件夹（即在文件系统中看到的挂载目录），文件夹及为文件系统的挂载地址，可在文件系统的详情页获取，如下图。勾选“登录时重新连接”可在云主机重启后自动挂载文件系统。设置完毕后单击完成。 地域资源池挂载地址获取： 可用区资源池挂载地址获取： 7. 单击桌面左下角Windows按键，单击“这台电脑”，在网络位置处将出现已挂载的文件系统，此时您可以像使用一般的文件系统一样进行创建、修改删除文件，构造自己的文件系统。

查看需紧急修复的漏洞 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“风险管理 > 漏洞扫描”，进入漏洞扫描页面。 3. 单击“需紧急修复的漏洞”下方的数字，页面下方漏洞列表将筛选出修复优先级为“高”，待处理的漏洞。 修复漏洞 注意 主机系统在进行漏洞修复过程中，无论修复成功或者失败，都有一定风险将导致应用业务中断，因此建议您在修复漏洞前为云主机手动创建快照并进行测试，快照支持系统回滚，可进行恢复。 执行漏洞修复前，请确认对应操作系统发行版的软件源已配置好（如 yum、zypper、aptget 或 emerge 等包管理工具对应的软件源）。 内核漏洞修复成功后，需要重启服务器使新内核生效。针对Linux软件漏洞、Windows系统漏洞，可根据漏洞公告前的标签进行判断，若有“需要重启”标签，表示漏洞修复成功后，还需要重启云服务器。 一键自动修复 注意 购买企业版或旗舰版后，才支持一键自动修复漏洞。 WebCMS漏洞、应用漏洞暂不支持一键修复，请手动修复相关漏洞。 当漏洞处理状态为“未修复”、“修复失败”时，可执行“修复”操作。 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“风险管理 > 漏洞扫描”，进入漏洞扫描页面。 3. 勾选漏洞列表中所有需要修复的漏洞，单击漏洞列表左上角的“批量修复”，一键批量修复漏洞。 4. 在修复对话框中，选择修复所需软件源、确认待修复的漏洞数量和影响资产数量。 软件源支持清华软件源、华为云软件源、阿里云软件源，也可以自配置软件源。若选择自配置软件源，请务必确认已在服务器上配置好对应操作系统发行版的软件源（如 yum、zypper、aptget 或 emerge 等包管理工具对应的软件源）。 您可以在修复对话框中查看漏洞公告、查看影响服务器数量。 5. 单击“确定”，开始自动修复漏洞。

本文介绍VPC终端节点统一身份认证与权限管理相关配置 1.统一身份认证IAM介绍 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。 1.1 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，缩小不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 1.2 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素“Action”“Effect”等，更多信息，请参见“2.1.2 创建自定义策略“。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略: 系统策略 ：预置的系统策略，您只能使用不能修改。VPC终端节点相关的系统策略包含如下： vpcep admin：VPC终端节点服务的管理者权限，包含VPC终端节点所有控制权限（不含订单类权限）； vpcep viewer: VPC终端节点服务的观察者权限，包含VPC终端节点服务的列表页与详情页面权限； 自定义策略 ：您按需自行创建和维护的权限策略，关于自定义策略的操作和示例，请参见“2.1.2 创建自定义策略“。

本文将为您介绍VPN连接统一身份认证与权限管理。 基本介绍 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限，具体介绍说明详见：产品定义。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，缩小不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素左作用（Effect）、权限集（Action）等。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略： 1、系统策略 ：预置的系统策略，您只能使用不能修改。VPN连接相关的系统策略包含如下： vpn admin：VPN连接服务的管理者权限，包含VPN连接产品的所有控制权限； vpn viewer：VPN连接服务的观察者权限，包含VPN连接产品的列表页与详情页面权限； 2、自定义策略 ：您按需自行创建和维护的权限策略，关于自定义策略的操作和示例，具体配置说明详见：创建自定义策略。

本文介绍内网DNS统一身份认证与权限管理 1.统一身份认证IAM介绍 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。 1.1 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，缩小不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 1.2 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素“Action”“Effect”等，更多信息，请参见“2.1 通过IAM用户控制资源访问“。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略: 系统策略 ：预置的系统策略，您只能使用不能修改。内网DNS相关的系统策略包含如下： idns admin：内网DNS服务的管理者权限，包含内网DNS所有控制权限（不含订单类权限）； idns viewer: 内网DNS服务的观察者权限，包含内网DNS服务的列表页与详情页面权限； 自定义策略 ：您按需自行创建和维护的权限策略，关于自定义策略的操作和示例，请参见“2.1 通过IAM用户控制资源访问“。

本节介绍如何查看扫描任务和下载任务。 任务中心页面提供统一的任务管理窗口，包括扫描任务队列和下载任务管理，在该页面可以查看各项任务的扫描状态或下载生成状态，并且在下载任务管理页面可将报表下载到本地。 查看扫描任务 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“任务中心”，进入任务中心页面。 3. 在“扫描任务队列”页面，可以查看镜像扫描任务、IaC安全扫描任务、安全合规扫描任务、弱口令检测扫描任务。 4. 扫描完成后，单击操作列的“生成扫描结果”，开始生成对应的报表任务。可在“下载任务管理”页签，查看任务状态并下载报表。 相关操作：单击任务操作列的“删除”，可以删除扫描任务。 查看并下载报表 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“任务中心”，进入任务中心页面。 3. 选择“下载任务管理”页签，可以查看下载任务状态。 4. 当任务状态为“生成完成”时，单击任务操作列的“下载”，可以下载已生成的报表。 相关操作：单击任务操作列的“删除”，可以删除下载任务。

本章节主要介绍翼MapReduce服务的Web UI便捷访问特性。 大数据组件都有自己的WEB UI页面管理自身系统，但是由于网络隔离的原因，用户并不能很简便地访问到该页面。如访问HDFS的WEB UI页面，传统的操作方法是需要用户创建ECS，使用ECS远程登录组件的UI，这使得组件的页面UI访问很是繁琐，对于很多初次接触大数据的用户很不友好。 翼MR提供了基于内网IP地址来便捷访问开源组件UI。 操作步骤 1.登录翼MR控制台，点击正常运行的集群名称或“管理”按钮，进入集群详情页面。 2.点击“访问链接与端口”。 3.集群服务名称：具有WEB UI的集群服务有HDFS、YARN、HBase、Spark、Ranger、Doris、ElasticsearchKibana等，详情请参考开源组件Web站点。 4.原生UI地址：当集群部署了具备WEB UI的集群服务后，在“原生UI地址”列会默认显示相关集群服务的信息，原生UI地址展示的是“内网地址：端口号”的格式。 5.获取外网访问地址：外网地址展示的是“外网地址：端口号”的格式。要成功访问开源组件UI，需要在安全组页面开启该端口并放开出、入方向规则，同时需要开通部署了该集群服务的节点的外网IP，如何绑定外网IP请参考“绑定/解绑弹性IP”。 6.访问WEB UI地址：成功开启安全组和外网IP，在“外网地址”列会展示出可以访问的外网地址。通过访问外网地址就可以便捷访问开源组件UI。 7.WebUI登录：组件密码可前往Manager配置管理的vars.yaml高级配置中查询。LDAP用户名与密码可前往ManagerLDAP租户管理中查询。 注意 使用时需要先开通安全组端口才能访问；使用后需要及时关闭，避免安全泄漏风险。安全组访问规则配置方法可参加“ 说明 访问TezUI站点时，请参考下述步骤更新配置。 1. 前往Manager，在TezUI的配置管理中，将configs.js文件中的timeline地址更换为外网IP。即下图中划红线部分替换为控制台节点管理中TezUIServer所在节点的外网IP。修改后保存并同步配置，同步成功后重启TezUIServer实例。 2. 前往YARN的配置管理页面，在yarnsite.xml配置中开启yarn.timelineservice.enabled开关。保存更改并同步配置后，重启YARN与Hive服务。

本文主要介绍了账号注销的注意事项和操作流程。 用户可在“账号中心安全设置”页面，“注销账号”下进行账号注销，注销账号流程主要包括关闭账号 和注销账号。 注意事项 1、用户申请关闭账号后，需要进行账号检查，检查通过后确认关闭，账号将进入48小时关闭期，此时无法自助终止注销进程、恢复账号功能。 2、关闭期满后，账号进入90天保留期。保留期内，用户可以通过点击“恢复账号”按钮自助终止注销进程、恢复账号功能；保留期结束之后，账号将被自动注销，无法再重新打开已关闭的账号。 3、账号进入关闭期、保留期， 用户可进行登录天翼云网门户、查看账号信息和历史费用信息等常规操作，不可进行充值、订购、提现、下单、实名认证和变更等业务操作。 4、若用户不再使用天翼云账号，在账号进入保留期后，可以手动选择立即注销账号，账号注销后，用户将无法再使用该账号登录天翼云，且账号中的数据将会被彻底删除，请谨慎操作。 5、同一证件最多可以认证5个天翼云账号，含已注销3个月内的账号，请谨慎操作账号注销。 关闭账号 1、登录天翼云账号中心。 2、在账号中心点击“安全设置”，在安全设置选择下方”注销账号“，点击“关闭账号”，进入关闭账号流程。 “关闭账号”按钮置灰了，无法注销？请检查如下情况： a.账号关联了代理商：如果您的账号关联了代理商/合作伙伴，请联系代理商/合作伙伴解绑后再尝试注销账号。 b.账号为代理商账号：请联系客户经理退出代理商后再尝试注销账号。 c.如果不是上述情况，请联系客户经理协助注销账号。 3、详细阅读关闭账号的条款，阅读并勾选《天翼云账号注销条款》，以及选择关闭账号的原因。 4、进入“账号检查”页面，系统将自动对该账号进行账号检查、财务检查以及订单与资源检查，并在页面显示检查结果。 说明 若客户已进行过账号检查且账号未关闭，则可在“安全设置”页面单击“查看上次检查结果”，系统则显示上次账号检查结果。 5、根据检查结果进行相应操作 检查不通过：可根据页面提示，对未通过项进行处理，完成后可重新检查。 检查通过：点击“确认关闭”，进行身份验证，验证通过后账号进入48小时关闭期，当关闭期结束，账号将进入90天保留期。 说明 关闭账号后，需要继续使用该账号，可在账号进入保留期后返回“安全设置”页面，单击“恢复账号”，即可重新使用该账号。

本文主要介绍如何使用客户端限速功能。 背景说明 在您使用AOne零信任服务、AOne学术加速服务时，可根据企业场景进行单客户端访问限速。 在AOne零信任场景，限速仅针对内网访问进行，若您订购的是“带宽计费”，则带宽超量达到阈值后则会进行自动限速。 若是AOne学术加速场景，限速仅针对学术加速资源进行限速，不影响其他互联网访问。 操作步骤 1.登录边缘安全加速控制台，进入AOne零信任或AOne学术加速工作台。 2.在左侧导航栏，选择设置客户端设置客户端限速，查看相应的配置和管理。 3.可根据业务需求进行相关配置操作。 功能说明 开启限速后，该企业全部用户单个客户端的对应访问带宽速率将受到影响，开启限速时，需填写限速阈值。

本节主要介绍如何启用流程。 前提条件 已激活流程版本，具体操作请参见管理流程版本。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 剧本编排”，进入剧本管理页面后，选择“流程”页签，进入流程管理页面。 5. 在目标流程所在行的“操作”列，单击“启用”，页面弹出启用确认框。 6. 在弹出的确认框中，选择启用的流程版本后，单击“确定”，完成流程启用。

本章主要介绍安全问题 是否支持项目成员只能查看任务（工作项）不能查看代码？ 支持。 软件开发生产线中对代码仓库设置了专门的成员管理策略，项目成员只要未被添加为仓库成员，就没有权限查看代码仓库信息；用户登录后，代码托管服务页面中不会显示该帐号没有权限的代码仓库，详见“《代码托管用户指南》>配置代码托管仓库>安全管理>IP白名单”。 是否支持限制员工只能在办公场所访问代码仓库？ 支持。 代码托管服务提供“IP白名单”设置，只有在IP白名单范围内的仓库访问才是允许的，除此之外其他IP发起的访问一律被拒绝。管理员可以对每个代码仓库进行IP白名单设置，以此来限制访问场所。详细操作请参考“《代码托管用户指南》>使用代码托管仓库>管理仓库成员>配置成员管理”。

本文介绍零信任网络服务计费。 零信任网络服务适用场景 零信任网络服务由电信云公司自主研发，依托中国电信优质的网络资源，是旨在为企业提供安全、高效、智能的网络连接和加速服务，满足移动办公、海外访问国内应用、跨境加速、多云互联等多种场景。 计费模式： 包周期 计费区域： 中国内地、香港、亚太、美洲、欧洲、中东非 计费周期： 按月结算 折扣规则：不享受包年折扣 网络服务、远程办公、办公组网的关系： 网络服务提供区域带宽给远程办公和办公组网使用，支持订购后分配两个场景的带宽值。 远程办公包括零信任主套餐、扩展服务、按需订购项，带宽计费模式下可以叠加网络服务的区域带宽。 办公组网连接模式通过平台授权服务费来订购，加速模式通过网络服务的区域带宽进行订购。 注意 网络服务远程办公/办公组网不支持官网自助开通，请联系您的客户经理或者提交工单进行咨询。 网络服务区域带宽支持给远程办公和办公组网使用，并支持订购范围内按照场景分配带宽，请联系您的客户经理进行咨询。 计费项 计费类型 区域 阶梯区间 标准价格（元/Mbps/月） 备注 网络服务远程办公/办公组网带宽 包周期 中国内地 (0Mbps,100Mbps] 40 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 中国内地 (100Mbps,+] 35 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 香港 (0Mbps,10Mbps] 230 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 香港 (10Mbps,20Mbps] 220 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 香港 (20Mbps,50Mbps] 210 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 香港 (50Mbps,100Mbps] 200 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 香港 (100Mbps,200Mbps] 190 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 香港 (200Mbps,500Mbps] 150 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 香港 (500Mbps,1Gbps] 140 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 香港 (1Gbps,+] 135 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 亚太 (0Mbps,10Mbps] 700 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 亚太 (10Mbps,20Mbps] 690 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 亚太 (20Mbps,50Mbps] 650 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 亚太 (50Mbps,100Mbps] 620 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 亚太 (100Mbps,200Mbps] 540 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 亚太 (200Mbps,500Mbps] 520 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 亚太 (500Mbps,1Gbps] 500 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 亚太 (1Gbps,+] 490 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 美洲 (0Mbps,10Mbps] 700 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 美洲 (10Mbps,20Mbps] 690 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 美洲 (20Mbps,50Mbps] 675 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 美洲 (50Mbps,100Mbps] 650 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 美洲 (100Mbps,200Mbps] 560 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 美洲 (200Mbps,500Mbps] 540 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 美洲 (500Mbps,1Gbps] 520 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 美洲 (1Gbps,+] 510 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 欧洲 (0Mbps,10Mbps] 720 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 欧洲 (10Mbps,20Mbps] 710 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 欧洲 (20Mbps,50Mbps] 700 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 欧洲 (50Mbps,100Mbps] 670 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 欧洲 (100Mbps,200Mbps] 580 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 欧洲 (200Mbps,500Mbps] 555 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 欧洲 (500Mbps,1Gbps] 535 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 欧洲 (1Gbps,+] 520 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 中东非 (0Mbps,10Mbps] 1375 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 中东非 (10Mbps,20Mbps] 1330 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 中东非 (20Mbps,50Mbps] 1200 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 中东非 (50Mbps,100Mbps] 1110 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 中东非 (100Mbps,200Mbps] 1090 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 中东非 (200Mbps,500Mbps] 940 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 中东非 (500Mbps,1Gbps] 690 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 网络服务远程办公/办公组网带宽 包周期 中东非 (1Gbps,+] 680 每个区域2M起订 包周期：满足预付费场景，按月峰值带宽阶梯到达计费，超过带宽上限，触发限速 计费项 计费类型 标准价格（元/实例/月） 备注 平台授权服务费 包周期 100 用于办公组网连接模式，按照连接器个数收费 按照连接器实例带宽扣费： （0，100Mbps]占用1个平台授权服务 （100，300Mbps]占用2个平台授权服务 （300，500Mbps]占用3个平台授权服务 500Mbps以上带宽占用5个平台授权服务 说明 远程办公/办公组网/全球加速服务，非中国内地带宽可进行叠加共享。如订购远程办公香港带宽10Mbps，办公组网香港带宽5Mbps，全球加速香港带宽1Mbps，则该客户在香港区域可共享16Mbps带宽。 远程办公的中国内地带宽用于限制中国内地客户端接入的带宽，远程办公连接器中国内地带宽为免费赠送。 当远程办公中国内地连接器复用办公组网/全球加速已有的稳定隧道时，属于网络能力升级。为保障整条隧道链路的稳定性与公平性，同时满足统一计费与带宽管控要求，当远程办公连接器与办公组网/全球加速共用时，需按照已订购的带宽规格统一限速与计费。

威胁情报类型关联布局 说明 系统内置威胁情报类型已默认关联已有布局，暂不支持自定义关联布局。 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 运营对象”，进入运营对象的数据类页面后，选择“类型管理”页签，进入类型管理页面。 5. 在类型管理页面，选择“威胁情报”页签，进入威胁情报类型管理页面。 6. 在威胁情报类型管理页面中，选择需要关联布局的类型，并单击目标类型所在行“操作”列的“关联布局”，页面弹出绑定布局编辑框。 7. 在绑定布局编辑框中，选择需要关联的布局。 8. 单击“确认”。 编辑已有威胁情报类型 说明 暂不支持编辑系统内置威胁情报类型。 自定义威胁情报类型新增成功后，不支持修改类型名称。 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 运营对象”，进入运营对象的数据类页面后，选择“类型管理”页签，进入类型管理页面。 5. 在类型管理页面，选择“威胁情报”页签，进入威胁情报类型管理页面。 6. 在威胁情报类型管理页面中，选择需要编辑的类型，并单击目标类型所在行“操作”列的“编辑”，右侧弹出编辑页面。 7. 在编辑页面中，编辑对应类型的参数信息。 参数名称 参数说明 类型名称 自定义威胁情报的名称。 类型标识 威胁情报标识，不支持修改。 启动状态 设置威胁情报的启动状态。 ：表示启用。 ：表示禁用。 失效时间 设置威胁情报的失效时间。 永不失效：表示当前情报类型永不失效。 时间间隔：设置情报失效的间隔时间。 描述 自定义威胁情报的描述信息。 8. 在页面右下角单击“确认”。

本文主要讲述修改实例信息。 创建Kafka实例成功后，您可以根据自己的业务情况对Kafka实例的部分参数进行调整，包括实例名称、描述、安全组和容量阈值策略等。 操作步骤 步骤 1 登录管理控制台。 步骤 2 在管理控制台右上角单击，选择区域。 说明 请选择Kafka实例所在的区域。 步骤 3 在管理控制台左上角单击，选择“企业中间件”“分布式消息服务”“Kafka专享版”，进入分布式消息服务Kafka专享版页面。 步骤 4 单击Kafka实例的名称，进入实例详情页面。 步骤 5 以下参数支持修改。 实例名称 企业项目（修改企业项目，不会重启实例） 描述 安全组 公网访问（公网访问的修改方法，请参考设置实例公网访问。） 容量阈值策略（修改容量阈值策略，不会重启实例。） Kafka自动创建Topic（修改Kafka自动创建Topic，会导致Kafka重启） 跨VPC访问（跨VPC访问的操作步骤，请参考使用DNAT访问Kafka实例。） 参数修改完成后，通过以下方式查看修改结果。 修改“容量阈值策略”、“公网访问”和“Kafka自动创建Topic”后，系统跳转到“后台任务管理”页签，并显示当前任务的操作进度和结果。 修改“实例名称”、“描述”、“企业项目”、“跨VPC访问”和“安全组”后，右上角直接提示修改结果。

本文主要介绍PodSecurityPolicy配置。 Pod安全策略（Pod Security Policy） 是集群级别的资源，它能够控制Pod规约中与安全性相关的各个方面。 PodSecurityPolicy对象定义了一组Pod运行时必须遵循的条件及相关字段的默认值，只有Pod满足这些条件才会被系统接受。 v1.17.17版本的集群默认启用Pod安全策略准入控制组件，并创建名为pspglobal的全局默认安全策略，您可根据自身业务需要修改全局策略（请勿直接删除默认策略），也可新建自己的Pod安全策略并绑定RBAC配置。 说明 除全局默认安全策略外，系统为kubesystem命名空间下的系统组件配置了独立的Pod安全策略，修改pspglobal配置不影响kubesystem下Pod创建。 在Kubernetes 1.25版本中， PodSecurityPolicy已被移除，并提供Pod安全性准入控制器（Pod Security Admission）作为PodSecurityPolicy的替代，详情请参见 修改全局默认Pod安全策略 修改全局默认Pod安全策略前，请确保已创建CCE集群，并且通过kubectl连接集群成功。 步骤 1 执行如下命令： kubectl edit psp pspglobal 步骤 2 修改所需的参数，请参考PodSecurityPolicy。 Pod安全策略开放非安全系统配置示例 节点池管理中可以为相应的节点池配置allowedunsafesysctls，CCE从1.17.17 集群版本开始，需要在pod安全策略的allowedUnsafeSysctls中增加相应的配置才能生效，详情请参见[PodSecurityPolicy](

本章节主要向您介绍企业路由器的权限管理相关内容。 如果您需要对云服务平台上的ER资源，为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制服务资源的访问。 通过IAM，您可以在帐号中给员工创建IAM用户，并授权控制他们对资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有ER的使用权限，但是不希望他们拥有删除ER等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用ER，但是不允许删除ER的权限，控制他们对ER资源的使用范围。 如果账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用ER服务的其它功能。 IAM是云服务平台提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。 ER权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 ER部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问ER时，需要先切换至授权区域。 下表介绍了ER的所有系统权限。 系统角色/策略名称 描述 类别 依赖关系 ER FullAccess 企业路由器的管理员权限，拥有该权限的用户可以操作并使用所有企业路由器。 系统策略 无 ER ReadOnlyAccess 企业路由器只读权限，拥有该权限的用户仅能查看企业路由器数据。 系统策略 无 下表介绍了ER常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 操作 Tenant Administrator Tenant Guest ER FullAccess ER ReadOnlyAccess 创建企业路由器 √ × √ × 修改企业路由器配置 √ × √ × 查看企业路由器 √ √ √ √ 删除企业路由器 √ × √ × 在企业路由器中添加“虚拟私有云（VPC）”连接 √ × √ × 删除“虚拟私有云（VPC）”连接 √ × √ × 查看连接（所有类型） √ √ √ √ 创建路由表 √ × √ × 修改路由表名称 √ × √ × 查看路由表 √ √ √ √ 删除路由表 √ × √ × 创建关联将连接关联至路由表中 √ × √ × 查看路由表中关联的连接 √ √ √ √ 删除路由表中关联的连接 √ × √ × 在路由表中创建连接的传播 √ × √ × 查看路由表中连接的传播 √ √ √ √ 删除路由表中连接的传播 √ × √ × 创建静态路由 √ × √ × 修改静态路由 √ × √ × 查看路由 √ √ √ √ 删除静态路由 √ × √ × 创建流日志 √ × √ × 查看流日志 √ √ √ √ 关闭流日志 √ × √ × 开启流日志 √ × √ × 删除流日志 √ × √ × 添加资源的标签 √ × √ × 修改资源的标签 √ × √ × 查看资源的标签 √ √ √ √ 删除资源的标签 √ × √ ×

本章介绍如何通过IAM创建用户并授权的方法。 创建用户并授权使用SMS 本章节为您介绍对IAM用户授权的方法。 管理员帐号拥有SMS迁移所需要的所有权限，使用管理员帐号进行迁移时，不需要进行授权。如果您需要对您所拥有的SMS进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的天翼云帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用SMS。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将SMS委托给更专业、高效的其他天翼云帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。 前提条件 给用户组授权之前，请您了解用户组可以添加的SMS权限，并结合实际需求进行选择，SMS支持的系统权限，请参见：SMS系统权限。若您需要对除SMS之外的其它服务授权，IAM支持服务的所有权限请参见权限策略。 示例流程 操作步骤 1. 创建用户组并授权： 1. 系统策略：如果IAM用户需要主机迁移服务(SMS)的所有操作权限，则为IAM用户授予系统策略。在IAM控制台创建用户组，并授予“SMS FullAccess”、"OBS OperateAccess"、“ECS FullAccess”、“VPC FullAccess”。 2. 自定义策略：如果IAM用户只需要拥有主机迁移服务(SMS)的部分操作权限，则使用自定义策略。自定义策略相比于系统策略，粒度更细，更安全。 2. 创建用户并加入用户组，在IAM控制台创建用户，并将其加入步骤1中创建的用户组。 3. 用户登录并验证权限，新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择“迁移>主机迁移服务”，进入主机迁移服务界面，在迁移服务器列表页面找到待迁移的服务器，在“目的端”列下单击“设置目的端”，设置目的端服务器。若可以设置目的端服务器，表示授予的权限已生效。 在“服务列表”中选择除主机迁移服务和依赖服务外的任一服务，若提示权限不足，表示授予的权限已生效。

背景说明 随着生成式AI工具的普及，员工为提升效率普遍绕过IT监管私自使用AI工具，导致企业面临数据泄露与知识产权流失、漏洞与攻击面扩大等安全风险。AI应用发现及管控能力通过周期性扫描终端设备，有效发现部署的AI应用，帮助企业快速理清全域AI应用分布，为后续的AI应用风险监测及管控奠定基础。 功能说明 1.通过周期性采集上报 AI 应用资产，统计最新的终端设备 AI 应用安装数量。 2.针对 Windows AI 软件进行管控，管控动作包括禁止运行、禁止联网。 ⚠️注意：1、已订购终端管理企业版套餐用户。 操作步骤 1. 登录边缘安全加速控制台，选择【终端管理】。 2. 在左侧导航栏点击【AI 安全检测】【AI应用发现及管控】，查看 AI 应用发现及管控功能。 3. 可根据业务需求进行相关配置。 AI 应用发现数据 1. 当前AI 应用发现，采用周期性扫描的（默认每 24小时采集一次）方式定期采集终端设备上部署的 AI 应用。 2. 点击“AI 应用发现” 开关按钮，开启/关闭功能AI 应用周期性扫描。 3. 点击“设置”，可以配置无需扫描的非 AI 应用服务端口，减少无效扫描。 4.顶部概览视图支持查看当前检测的所有AI 应用数量以及安装了 AI 应用的终端设备数量，实时掌握当前 AI 应用资产总量。 5.支持查看当前所有设备中部署的 TOP10 AI 应用，快速了解高频使用的 AI 应用。

本章节主要介绍修改密码策略 。 操作场景 该任务指导管理员用户设置密码安全规则、用户登录安全规则及用户锁定规则。由于“机机”用户密码随机生成，在MRS Manager设置密码策略只影响“人机”用户。 如需对新增用户的密码或用户修改的密码使用新的密码策略，请先参考本章节修改密码策略，再创建用户或修改密码。 须知 密码策略涉及用户管理的安全性，请根据业务安全要求谨慎修改，否则会有安全性风险。 操作步骤 在MRS Manager，单击“系统设置”。 1. 单击“密码策略配置”。 2. 根据界面提示，修改密码策略，具体参数见下表。 密码策略参数说明 参数名称 描述 最小密码长度 密码包含的最小字符个数，取值范围是8～32。默认值为“8”。 字符类型的数目 密码字符包含大写字母、小写字母、数字、空格和特殊符号（包含~!?,.:;'(){}[]/<>@ $%^&+l）的最小种类。可选择数值为“3”和“4”。默认值“3”表示至少必须使用大写字母、小写字母、数字、特殊符号和空格中的任意3种。 密码有效期（天） 密码有效使用天数，取值范围0～90，0表示永久有效。默认值为“90”。 密码失效提前提醒天数 提前一段时间提醒密码即将失效。设置后，若集群时间和该用户密码失效时间的差小于该值，则说明用户进入密码失效提醒期。用户登录MRS Manager时会提示用户密码即将过期，是否需要修改密码。取值范围为“0”“X”，（“X”为密码有效期的一半，向下取整）。“0”表示不提醒。默认值为“5”。 认证失败次数重置时间间隔（分钟） 密码输入错误次数保留的时间间隔（分钟），取值范围为0～1440。“0”表示永远有效，“1440”表示1天。默认值为“5”。 密码连续错误次数 用户输入错误密码超过配置值后将锁定，取值范围为3～30。默认值为“5”。 用户锁屏时间（分钟） 满足用户锁定条件时，用户被锁定的时长，取值范围为5～120。默认值为“5”。

本章主要介绍权限管理 如果您需要对云服务平台上创建的DCS资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制云服务资源的访问。 通过IAM，您可以在云服务帐号中给员工创建IAM用户，并使用策略来控制IAM用户对云服务资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有DCS的使用权限，但是不希望他们拥有删除DCS实例等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用DCS，但是不允许删除DCS实例的权限策略，控制他们对DCS资源的使用范围。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用DCS服务的其它功能。 DCS权限 默认情况下，帐号管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 DCS部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问DCS时，需要先切换至授权区域。 权限根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云服务平台各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对DCS服务，帐号管理员能够控制IAM用户仅能对DCS实例进行指定的管理操作。权限策略以API接口为粒度进行权限拆分，权限的最小粒度为API授权项（action）。 如下表所示，包括了DCS的所有系统权限。 DCS系统策略 系统角色/策略名称 描述 类别 依赖关系 DCS FullAccess 分布式缓存服务所有权限，拥有该权限的用户可以操作所有分布式缓存服务的功能。 系统策略 无 DCS UserAccess 分布式缓存服务普通用户权限（无实例创建、修改、删除、扩容和缩容的权限）。 系统策略 无 DCS ReadOnlyAccess 分布式缓存服务的只读权限，拥有该权限的用户仅能查看分布式缓存服务数据。 系统策略 无 DCS AgencyAccess 分布式缓存服务申请创建租户委托时需要授权的操作权限。该权限为租户委托权限，用于租户在需要时委托DCS服务对租户资源做以下相关操作，与授权用户操作无关。 查询子网 查询子网列表 查询端口 查询端口列表 更新端口 创建端口 系统策略 无 由于DCS UserAccess策略和DCS FullAccess策略存在差异，如果您同时配置了这两个系统策略，由于DCS UserAccess策略存在Deny，根据Deny优先原则，您无法执行实例创建、修改、删除、扩容和缩容操作。 下表列出了DCS常用操作与系统策略的授权关系，您可以参照该表选择合适的系统策略。 常用操作与系统策略的关系 操作 DCS FullAccess DCS UserAccess DCS ReadOnlyAccess 修改实例配置参数 √ √ × 删除实例后台任务 √ √ × Web CLI √ √ × 修改实例运行状态 √ √ × 缓存实例扩容 √ × × 修改实例访问密码 √ √ × 修改缓存实例 √ × × 实例主备倒换 √ √ × 备份实例数据 √ √ × 分析实例的大key或者热key √ √ × 创建缓存实例 √ × × 删除实例数据备份文件 √ √ × 恢复实例数据 √ √ × 重置实例访问密码 √ √ × 迁移实例数据 √ √ × 下载备份实例数据 √ √ × 删除缓存实例 √ × × 查询实例配置参数 √ √ √ 查询实例数据恢复日志 √ √ √ 查询实例数据备份日志 √ √ √ 查询缓存实例信息 √ √ √ 查询实例后台任务 √ √ √ 查询实例列表 √ √ √ 查看实例性能监控 √ √ √ 修改参数模板 √ √ × 删除参数模板 √ √ × 创建参数模板 √ √ × 参数模板列表 √ √ √ 查询参数模板 √ √ √

本章节主要介绍数据治理中心的数据目录的数据权限简介。 为确保数据使用安全可控，使用数据表需要先申请权限。数据权限模块为用户提供便捷的权限管控能力，提供可视化申请审批流程，并可以进行权限的审计和管理。提高数据安全的同时，还可以方便用户进行数据权限管控。

本小节介绍服务器安全卫士的查找主机方法。 查找方法 总览中可快速查看当前存在风险主机的风险详情，点击“查看主机”，选择需要查看的主机，新开页面跳转至该主机的单台主机详情，并默认展示安全风险事件。

8e系列 采用第五代英特尔® 至强® 可扩展处理器 （Emerald Rapids）， 基于新一代虚拟化平台，支持IPI虚拟化（IPI Virtualization），使用NUMA(Non Uniform Memory Access Architecture)绑定技术， 配套25GE网卡，搭载全新网络加速引擎以及DPDK(Data Plane Development Kit)快速报文处理机制。支持 Intel® 高级矩阵扩展（Intel®AMX）、TME（Total Memory Encryption）运行内存加密等高级特性，同时可提供 192C1536G 大规格实例，计算性能、安全性、稳定性更强大，在人工智能、媒体应用、网站应用的性能均有所提升。 8ne系列 采用第五代英特尔® 至强® 可扩展处理器 （Emerald Rapids）， 基于新一代虚拟化平台，使用NUMA(Non Uniform Memory Access Architecture)绑定技术，搭载天翼云自研紫金智能网卡，通过软硬结合的方式提高虚拟化性能，大幅提升实例的网络带宽能力和网络收发包能力。可提供192C1536G的大规格实例、3600万收发包能力 。适用各种于网络密集型应用场景，如NFV/SDWAN、移动互联网、视频弹幕、电信业务转发等；中小型数据库系统、缓存、搜索集群；各种类型和规模的企业级应用；大数据分析和机器学习。 8a系列 搭载AMD EPYC™ Genoa处理器（2.6GHz），基于新一代虚拟化平台，使用NUMA(Non Uniform Memory Access Architecture)绑定技术， 配套100GE网卡，搭载全新网络加速引擎以及DPDK(Data Plane Development Kit)快速报文处理机制，可提供稳定的算力输出和更强劲的I/O引擎。适用于对价格敏感、性能要求高的场景，如各种类型和规模的企业级应用、大数据分析与处理、高网络收发包场景（如游戏、直播等）、AI训练与推理，音视频转码类应用等。

本节介绍了应用管控服务的最佳实践介绍。 通过应用市场的应用管控功能，管理员可以使用应用黑白名单对桌面实现有效的安全管控。 绑定黑名单规则的桌面，无法运行黑名单列表中的应用，当桌面运行黑名单中应用时会被阻止，且用户无法向管理员发起应用放行申请。 绑定白名单规则的桌面只能运行白名单列表中的应用，当桌面安装或运行非白名单中的应用时会被阻止。用户如需使用被阻止的应用，可在拦截提示中向管理员发起申请。如果管理员同意放行此应用，用户再次运行应用时即可正常使用。 前提条件 已开通天翼AI云电脑（政企版），详情请参见快速订购AI云电脑。 已开通应用市场，详情请参见开通应用市场。 注意事项 为了保证应用黑白名单的正常使用，在使用之前，请您务必认真阅读应用管控部分的功能介绍。详情请参见应用管控。 应用场景说明 企业只允许员工在AI云电脑中使用特定的应用时，可使用白名单，如教育培训，银行金融办公等场景；企业只限制员工在AI云电脑中不能使用某些应用时，可使用黑名单，如事业单位、互联网等场景。 操作步骤 步骤一：配置黑名单

了解存储资源盘活系统产品优势。 极致轻量，混部盘活 高度优化的压缩安装包，一键部署，3分钟完成集群搭建；全用户态设计，支持混合部署，业务共生，资源共享； 不同架构通用服务器异构部署，不限品牌、架构、配置。 创新自研，安全稳定 无惧任何单点故障，秒级主备切换，数据强一致性保证高可用；多副本、纠删码、数据校验保证高可靠；面向混沌环境保障存储服务安全稳定。 按需选择，精准投资 性能和容量弹性扩展，按需扩容，无需前期大量投入；永久授权、服务订阅，按照可用容量计费，精准适度投资。 降本增效，价值传导 通过盘活难利用的存储资源，提高资源利用率，满足业务存储需求；应用混合部署，降低额外购买硬件成本；管理形态丰富，运维便捷，效率提高。

本节介绍分布式消息服务Kafka使用安全接入点，公网接入点等需要鉴权的接入点时，可能会遇到连接超时的问题。 使用安全接入点，公网接入点等需要鉴权的接入点时，可能会遇到连接超时等问题。 解决方法为可以在客户端机器的host文件上配置Kafka的ip。 例如用户连接Kafka的公网接入点34.28.112.101:8094,34.28.112.102:8094,34.28.112.103:8094时，出现连接超时的报错，可以在客户端机器上的/etc/hosts文件里面加上如下配置： plaintext 34.28.112.101 34.28.112.101 34.28.112.102 34.28.112.102 34.28.112.103 34.28.112.103 然后再重启客户端服务，看是否能正常生产消费。

Endpoint Endpoint 表示OOS对外服务的访问域名。OOS以HTTP RESTful API的形式对外提供服务，当访问不同地域的时候，需要不同的域名。具体地域详见域名（Endpoint）列表。 地域（ Region ） 地域表示 OOS的数据中心所在物理位置。 访问密钥（ AccessKey ） AccessKeyID和SecretAccessKey是您访问OOS的密钥，OOS会通过它来验证您的资源请求，请妥善保管。您可以在OOS控制台访问控制安全凭证密钥页面中查看AccessKeyId。 访问控制（ IAM ） IAM是OOS提供的访问控制服务，使您能够更加安全的管理对OOS服务和资源的访问。 操作跟踪（ CloudTrail ） CloudTrail是OOS提供的账户活动跟踪服务，可以持续监控并记录账户中OOS服务中相关的活动。