本节主要介绍产品功能 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号或者云服务管理资源等。 精细的权限管理 使用IAM，您可以将帐号内不同的资源按需分配给创建的IAM用户，实现精细的权限管理。例如：控制用户Charlie能管理项目B的VPC，而让用户James只能查看项目B中VPC的数据。 图 权限管理模型 安全访问 您可以使用IAM为用户或者应用程序生成身份凭证，不必与其他人员共享您的帐号密码，系统会通过身份凭证中携带的权限信息允许用户安全地访问您帐号中的资源。 通过用户组批量管理用户权限 您不需要为每个用户进行单独的授权，只需规划用户组，并将对应权限授予用户组，然后将用户添加至用户组中，用户就继承了用户组的权限。如果用户权限变更，只需在用户组中删除用户或将用户添加进其他用户组，实现快捷的用户授权。 委托其他帐号或者云服务管理资源 通过委托信任功能，您可以将自己的操作权限委托给更专业、高效的其他帐号或者云服务，这些账号或者云服务可以根据权限代替您进行日常工作。

本文主要介绍 连接问题。 选择和配置安全组 Kafka实例支持使用内网通过同一个VPC访问、通过DNAT访问和公网访问，访问实例前，需要配置安全组。 使用内网通过同一个VPC访问实例 步骤 1 客户端和实例是否使用相同的安全组？ 是，如果保留了创建安全组后，系统默认添加的入方向“允许安全组内的弹性云主机彼此通信”规则和出方向“放通全部流量”规则，则无需添加其他规则。否则，请添加下表所示规则。 表 安全组规则 方向 协议 端口 源地址 说明 入方向 TCP 9092 0.0.0.0/0 使用内网通过同一个VPC访问Kafka实例（关闭SSL加密）。 入方向 TCP 9093 0.0.0.0/0 使用内网通过同一个VPC访问Kafka实例（开启SSL加密）。 否，执行步骤2。 步骤 2 参考如下配置安全组规则。 假设客户端和Kafka实例的安全组分别为：sg53d4、DefaultAll。以下规则，远端可使用安全组，也可以使用具体的IP地址，本章节以安全组为例介绍。 客户端所在安全组需要增加如下规则，以保证客户端能正常访问Kafka实例。 表 安全组规则 方向 策略 协议端口 目的地址 出方向 允许 全部 DefaultAll 图配置客户端安全组 Kafka实例所在安全组需要增加如下规则，以保证能被客户端访问。 表安全组规则 方向 策略 协议端口 源地址 入方向 允许 全部 sg53d4 图 配置Kafka实例安全组

本节介绍如何进入Web应用防火墙v2.0版本控制台，及如何使用Web应用防火墙v2.0。 Web应用防火墙v2.0 版本由Web应用防火墙（原生版）提供服务。 进入控制台 方式一： 1. 登录天翼云控制中心。 2. 在控制中心页面顶部选择区域。 3. 在产品服务列表页，选择“安全 > 云等保专区”，进入云等保专区控制台。 4. 在左侧导航栏，选择“Web应用防火墙 > Web应用防火墙v2.0”，跳转到Web应用防火墙（原生版）控制台。 方式二： 1. 登录天翼云控制中心。 2. 在控制中心页面顶部选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”，进入Web应用防火墙（原生版）控制台。 使用Web应用防火墙v2.0 请参见Web应用防火墙（原生版）。

本文通过图文说明新增证书的操作步骤。 功能介绍 天翼云边缘安全加速平台安全与加速服务基于边缘云底座，HTTPS为边缘云网络内容传输提供了更好的保障，客户端在极速访问内容的同时，可以更安全有效地浏览网站内容。本文主要指导客户如何新增证书。 HTTPS功能的具体介绍，详情请见：HTTPS相关配置。 配置说明 新增证书时，客户需要填写证书备注名、证书公钥以及证书私钥。其中公钥和私钥支持PEM格式。具体操作步骤如下： 1.登录边缘安全加速平台控制台。 2.进入【域名】【证书管理】【AOne 证书管理】页面，找到添加自有证书按键。 3.单击【添加自有证书】。 4.输入证书备注名、证书公钥和证书私钥。 注意 证书备注名，是指在添加自有证书时，为了方便识别和记忆，可以支持客户自定义所上传证书的名称，方便在域名配置关联证书选择时，选定正确的证书与域名进行关联。 5.填写完成后，单击【确定提交】。 参数说明 参数名 说明 证书备注名 在添加自有证书时，为了方便识别和记忆，可以支持客户自定义所上传证书的名称，方便在域名配置关联证书选择时，选定正确的证书与域名进行关联。 证书公钥（PEM格式） 证书公钥，需使用PEM格式。以“BEGIN CERTIFICATE”开头，以“END CERTIFICATE”结尾。 证书私钥（PEM格式） 证书私钥，需使用PEM格式。以“BEGIN RSA PRIVATE KEY”开头，“END RSA PRIVATE KEY”结尾。

本文主要介绍了退订规则及注意事项。 退订规则说明 客户（天翼云用户）可根据需要，在符合天翼云退订规则的前提下，灵活退订资源。目前退订包含七天无理由全额退订，非七天无理由退订，不可退订，以及其他退订。 七天无理由全额退订，用户使用新购资源（含该笔新购资源订单的续订资源）七天内（含第七天），可随时通过系统完成全额退订。 发起退订操作的账号（“退订账号”）七天无理由全额退订次数不超过3次（每账号享有3次七天无理由全额退订次数）； 同一用户累计使用的七天无理由全额退订次数不超过15次。其中，同一用户是指：根据不同天翼云账号在注册、登录、使用中的关联信息，关联信息相同天翼云判断其实际为同一用户。关联信息举例：同一名称、同一邮箱、同一负责人证件、同一手机号、同一设备、同一IP地址等（包括已注销的账号）。 客户同意天翼云使用上述信息核查同一用户情况 ； 七天无理由退订标准（含退订次数）将根据业务发展适时调整，具体结果以退订时官网展示和系统显示为准； 促销活动中说明“不支持七天无理由退订”的云服务，无法申请七天无理由退订； 当同时退订多个资源时，且超过3次免费退订次数，系统按照单资源实付金额从高到低依次退订，免费次数优先覆盖高价值资源。 尽管有上述规则，客户不得利用退订规则频繁订购并退订服务，恶意占用天翼云及其他用户资源。如天翼云有合理理由怀疑客户存在频繁退订恶意占用天翼云及其他用户资源的，则天翼云有权取消该客户七天无理由全额退订的权利，并根据《中国电信天翼云用户协议》及网站相关规则和相关服务协议约定，采取相应措施直至终止服务，并追究客户的违约责任。 非七天无理由退订，指使用时长已超过七天以上的用户新购资源（含续订资源），属于非七天无理由退订。非七天无理由退订，不限制退订次数，但退订需要收取相应的使用费用和退订手续费，且不退还代金券及优惠券，但符合下文“其他退订”情形的除外。 不可退订，指天翼云部分资源因技术属性、营销政策、活动优惠、特定使用群体、商务协议等各类原因，此类资源暂不支持退订。不支持退订的场景范围如下： 按需套餐包产品； 含硬件类产品和人工服务类产品； 未完工的订单； 云服务参加特殊赠送活动，明确不可退订的（如促销套餐、促销优惠券、促销优惠券礼包、优惠券计划、抽奖活动、推荐送活动等）具体以特殊赠送活动规则为准； 明确不允许退订的产品或服务。 其他退订。指因天翼云原因导致的，如创建资源失败或系统BUG，产品迭代等情况导致的用户退订。其他退订不限制退订次数，无需用户承担退订费用。

名称 定义 密钥管理服务（Key Management Service, KMS） 密钥管理是一种安全、可靠、简单易用的密钥托管服务，帮助您轻松创建和管理密钥，保护密钥的安全。KMS通过使用硬件安全模块（Hardware Security Module，HSM）保护密钥安全，帮助用户轻松创建和管理密钥，所有的用户密钥都由HSM中的根密钥保护，避免密钥泄露。 专属加密（Dedicated Hardware Security Module，Dedicated HSM） 专属加密是一种云上数据加密的服务，可处理加解密、签名、验签、产生密钥和密钥安全存储等操作。Dedicated HSM为您提供经国家密码管理局检测认证的加密硬件，帮助您保护弹性云服务器上数据的安全性和完整性，满足监管合规要求。同时，用户能够对专属加密实例生成的密钥进行安全可靠的管理，也能使用多种加密算法来对数据进行可靠的加解密运算。

本节为您介绍云迁移产品咨询相关问题。 我在什么场景下使用CMS服务？ 当您需要将云下或者其余云服务商的主机迁移上天翼云或将天翼云的云主机迁移到其他资源池下时，您可以使用CMS服务帮助您有序、安全、便捷、轻松地将数字资产、服务、IT资源及应用程序，部分或完全地进行迁移，同时保证云上业务的可用性、安全性以及连续性。 CMS是否支持从阿里云、天翼云等其余云迁移至天翼云？ 支持。 CMS支持市面上主流云厂商迁移至天翼云，如阿里云、天翼云、AWS以及移动云等； 同时也支持将本地云主机迁移至天翼云。通常情况下同处理器架构都可以通过CMS服务迁移上天翼云。 如果用户已经在天翼云上创建了云主机，但想更换资源池、可用区或把云主机更换到另一账户，也可使用云迁移服务CMS。 CMS是否支持将天翼云上的云主机，迁移到其余云服务商或本地？ 不支持。 CMS服务公有云版仅能够选择天翼云上的云主机作为目标端进行迁移，无法迁移到本地或其他云服务商。 如果客户有本地迁移或内网迁移需要，可以参考云迁移专家服务联系到云迁移团队付费进行私有场景的迁移。

本章节介绍在关系型数据库服务的管理控制台创建实例的过程。 操作场景 您可以通过关系型数据库服务的管理控制台或API创建关系型数据库实例。关于如何通过API创建的信息，请参见《关系型数据库API参考》中实例管理章节的“创建实例”的内容。本节将介绍在关系型数据库服务的管理控制台创建实例的过程。 目前，RDS for SQL Server支持“包年/包月”和“按需计费”购买，您可以根据业务需要定制相应计算能力和存储空间的关系型数据库实例。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，单击“购买数据库实例”。 步骤 5 在“服务选型”页面，选择计费模式，填写并选择实例相关信息后，单击“立即购买”。 计费模式 包年/包月 若选择该模式，跳过步骤1，执行步骤2。 按需 计费 若选择该模式，继续执行步骤6。 表 基本信息 参数 描述 : 区域 租户当前所在区域，也可在页面左上角切换。说明不同区域内的产品内网不互通，且创建后不能更换，请谨慎选择。 实例名称 实例名称长度在4个到64个字符之间，必须以字母开头，可以包含字母、数字、中划线或下划线，不能包含其他特殊字符。 数据库引擎 Microsoft SQL Server。 数据库版本 不同区域所支持的数据库版本不同，请以实际界面为准。 选用Microsoft SQL Server数据库时，请根据实际业务需求选择合适的数据库引擎版本。建议您选择当前可用的最高版本数据库，因其性能更稳定，安全性更高，使用更可靠。 实例类型+可用区 主备：备机提高了实例的可靠性，创建主机的过程中，同步创建备机，备机创建成功后，用户不可见。可用区指在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。关系型数据库服务支持在同一个可用区内或者跨可用区部署数据库主备实例，备机的选择和主机可用区对应情况：− 相同，主机和备机会部署在同一个可用区。− 不同（默认），主机和备机会部署在不同的可用区，以提供不同可用区之间的故障转移能力和高可用性。 单机：只创建一个主实例。 时区 由于世界各国家与地区经度不同，地方时也有所不同，因此会划分为不同的时区。时区仅可在创建实例时选择，一旦选定无法修改。 实例字符集 定义数据库或表列的排序规则，或应用于字符串表达式时的排序规则强制转换操作。用于设置当前实例的字符集。 表 规格与存储 参数 描述 : 性能规格 实例的CPU和内存。不同性能规格对应不同连接数和最大IOPS。 关于性能规格详情，请参见数据库实例规格。创建成功后可进行规格变更，请参见变更实例的CPU和内存规格。 存储类 实例的存储类型决定实例的读写速度。最大吞吐量越高，读写速度越快。 普通I/O：磁盘类型SATA，最大吞吐量50MB/s 高I/O：磁盘类型SAS，最大吞吐量150MB/s 超高I/O：磁盘类型SSD，最大吞吐量350MB/s 存储池 只有选择“专属存储”的用户才有此选项，是购买专属分布式存储服务时确定的独享的存储池，该存储池与其他池物理隔离，安全性高。 存储空间 您申请的存储空间会有必要的文件系统开销，这些开销包括索引节点和保留块，以及数据库运行必需的空间。存储空间支持40GB到4000GB，用户选择容量大小必须为10的整数倍。 创建成功后可进行扩容，具体请参见扩容磁盘。 表 网络 参数 描述 虚拟私有云 关系型数据库实例所在的虚拟网络环境，可以对不同业务进行网络隔离。您需要创建或选择所需的虚拟私有云。如何创建虚拟私有云，请参见《虚拟私有云用户指南》中的“创建虚拟私有云和子网”。 如果没有可选的虚拟私有云，关系型数据库服务默认为您分配资源。 说明 目前RDS实例创建完成后不支持切换虚拟私有云，请谨慎选择所属虚拟私有云。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全性。子网在可用区内才会有效，创建关系型数据库实例的子网默认开启DHCP功能，不可关闭。 创建实例时RDS会自动为您配置内网地址，您也可输入子网号段内未使用的内网地址，实例创建成功后该内网地址暂不可修改。 安全组 安全组限制实例的安全访问规则，加强关系型数据库服务与其他服务间的安全访问。请确保所选取的安全组允许客户端访问数据库实例。 创建实例时，可以选择多个安全组（为了更好的网络性能，建议不超过5个）。此时，实例的访问规则遵循几个安全组规则的并集。 如果没有可选的安全组，关系型数据库服务默认为您分配安全组资源。 IPv6 启用IPv6前，请确保数据库实例所在的VPC和子网已开启IPv6配置，在VPC和子网开启IPv6配置的应用场景和操作步骤，请参见《虚拟私有云操作指导》中的“创建IPv4/IPv6双栈子网”章节。 启用IPv6后，数据库实例可在双堆栈模式下运行，即可以拥有两个不同版本的IP地址：IPv4地址和IPv6地址。此时实例通过IPv4和IPv6进行通信，且IPv4和IPv6通信彼此独立。 表 数据库配置 参数 描述 :: 管理员帐户名 数据库的登录名称默认为rdsuser。 管理员密码 所设置的密码长度为8~32个字符，至少包含大写字母、小写字母、数字、特殊字符三种字符的组合，其中允许输入 ~!@

为保障您的账户安全、避免额外损失,请务必仔细阅读安全风险提示的全部内容。 OpenClaw 是运行于系统级环境的通用 AI Agent，支持文件读写、代码执行、多步任务编排，可通过聊天工具接收指令执行对应操作。因其具备较高系统操作权限，强烈建议您仅在隔离、可控的云端环境中部署运行。 天翼云提供的 OpenClaw 软件环境来源于第三方或开源社区，仅供您参考与合规使用。您需自行评估使用相关的全部风险，因部署、配置、使用该镜像及相关软件产生的任何直接或间接损失、安全与合规责任，天翼云不承担相关责任。请您确保所有使用行为符合国家法律法规、监管要求及对应开源许可协议。 请您结合自身业务需求与安全要求，合理配置系统与权限策略，保障运行环境安全可控。为降低潜在安全风险，请您重点关注以下使用注意事项： 1. 及时更新版本 定期升级OpenClaw 及相关组件，避免因已知漏洞带来安全风险。 2. 加强数据备份 建议建立定期备份机制，防止因系统故障或误操作导致数据丢失。 3. 控制网络暴露面 非必要情况下，不建议将OpenClaw 服务端口直接暴露至互联网，可通过安全组、内网访问或代理方式进行访问控制。 4. 遵循最小权限原则 仅启用必要的工具和功能，避免授予OpenClaw 过高的系统权限或无限制的自主执行能力。 5. 使用可信来源的Skills插件 建议优先使用官方或经过安全验证的Skills，避免使用来源不明的插件，以降低安全风险。 6. 部署主机安全防护措施 建议安装主机安全防护软件。天翼云为云主机提供免费的主机安全卫士，建议在创建实例时启用相关安全服务。 7. 妥善保护访问凭证 对API Key、Token 等敏感凭证进行安全存储与加密管理，避免泄露。 8. 开启日志与审计机制 建议启用操作日志与行为审计功能，以确保关键操作可记录、可追溯。

本节介绍如何处理暴力破解告警事件。 暴力破解是一种常见的入侵攻击行为，攻击者通常使用暴力破解的方式猜测远程登录的用户名和密码，一旦破解成功，即可实施攻击和控制，严重危害资产的安全。 态势感知（专业版）联动企业主机安全（HSS），接收HSS检测到的暴力破解行为，集中呈现和管理告警事件，提升运维效率。 处理告警事件 HSS通过暴力破解检测算法和全网IP黑名单，若发现暴力破解主机的行为，对发起攻击的源IP进行拦截，并上报告警事件。 当接收到来源于HSS的告警事件时，请登录HSS管理控制台确认并处理告警事件。 若您的主机被爆破成功，检测到入侵者成功登录主机，账户下所有云服务器可能已被植入恶意程序，建议参考如下措施，立即处理告警事件，避免进一步危害主机的风险。 请立即确认登录主机的源IP的可信情况。 请立即修改被暴力破解的系统账户口令。 请立即执行检测入侵风险账户，排查可疑账户并处理。 请及时执行恶意程序云查杀，排查系统恶意程序。 若您的主机被暴力破解，攻击源IP被HSS拦截，请参考如下措施，加固主机安全。 请及时确认登录主机的源IP的可信情况。 请及时登录主机系统，全面排查系统风险。 请根据实际需求升级HSS防护能力。 请根据实际情况加固主机安全组、防火墙配置。

本文旨在为您介绍如何在云原生API网关中管理消费者并进行授权管理。 创建消费者 云原生API网关通过消费者机制启用认证能力，实现访问权限控制。每种消费者均可独立设置 JWT、HMAC、KEY 或 BASIC 认证策略，您可根据业务安全需求灵活选择合适的鉴权方式，确保API访问既安全又高效。具体详情，请参见 创建消费者。 启用消费者 消费者只有在启用状态时才能生效。具体详情，请参见 启用消费者。 停用或删除消费者 如您需要停用或删除消费者。具体详情，请参见 停用或删除消费者。 消费者授权管理 每个消费者均可配置独立的身份标识和授权策略，确保仅通过认证的请求才能访问对应资源。云原生API网关支持在路由、接口、API 及实例多个维度配置消费者授权机制，实现细粒度的访问控制。具体详情，请参见 消费者授权管理。

修改成员角色 1. 在左侧菜单栏依次选择 安全协作 > 团队管理 。 2. 在团队成员管理页中，团队下拉列表选中要修改成员角色的团队，系统显示该团队下所有成员。 3. 点击要修改角色的成员的团队内角色下拉列表，选择新的团队角色。 4. 系统自动保存成员的新角色。 删除团队成员 1. 在左侧菜单栏依次选择 安全协作 > 团队管理 。 2. 在团队成员管理页中，团队下拉列表选中要删除成员的团队，系统显示该团队下所有成员。 3. 点击某个成员右侧的从团队移除按钮，系统显示团队移除确认弹窗。 4. 点击确定完成团队成员的删除操作。 数据授权 具体的操作流程请参考数据授权。 录入实例到团队 1. 在左侧菜单栏依次选择 安全协作 > 团队管理 。 2. 在团队资产管理页中，团队下拉列表选中要录入实例的团队，系统显示该团队下所有实例。 3. 点击 添加实例至团队 ，系统显示添加实例弹窗。 4. 在实例弹窗中，实例已默认绑定到当前团队，填写其他信息进行实例的录入。具体如何填写，参见数据资产 >实例管理 >实例列表 >添加云数据库中关于实例录入的说明。 5. 点击确定完成团队实例的录入操作。

介绍关系数据库MySQL版在安全上的表现。 关系数据库MySQL版是天翼云自研的新一代高性能企业级关系数据库。MySQL 支持多种架构，同时拥有云上高可用、高可靠、高安全、扩缩容、快速备份恢复、监控等数据库关键能力，为客户提供完善的性能监控体系和多重安全防护措施，并配备专业的数据库管理平台，让用户能够轻松设置、操作和扩展关系型数据库。 为了保障操作安全、数据安全及服务运行安全，支撑客户安全有序开展业务活动，天翼云禁止运维人员删除资源时同时删除实例和备份数据，禁止运维人员未经客户书面授权，接入客户数据库实例，禁止运维人员对客户数据进行处理和转移。 MySQL 为保障租户数据库的可靠性和安全性提供了多个特性，如VPC、安全组、权限设置、SSL连接、自动/手动备份、跨可用区部署、按时间点恢复数据等功能。这些特性可以帮助租户更好地管理和保护数据库。 网络隔离 MySQL 实例运行在独立的 VPC 内，该VPC不与其他实例共享。在创建完实例后，MySQL 会为租户分配此子网的 IP 地址，用于连接数据库。MySQL 实例运行在租户独立的虚拟私有云内，可提升关系型数据库实例的安全性。 存储隔离 存储资源按照租户维度进行分配，每个租户的实例与其他租户的实例是相互独立的，并且有资源隔离，互不影响。

如何强制客户端使用HTTPS请求访问网站？ 当您想要提高网站访问的安全性，可以开启HTTPS强制跳转功能，此时所有客户端的HTTP请求都将强制转换为HTTPS请求，并默认跳转至443端口，详情请参见将网站接入WAF防护（域名接入）、将网站接入WAF防护（ 独享型接入）。 WAF原生版是否支持HTTP 3.0协议？ WAF原生版暂不支持HTTP 3.0协议，目前仅支持HTTP 1.0/2.0协议。 网站接入WAF防护时，源站IP可以填写云主机的内网IP吗？ 域名接入 源站IP不可以填写云主机的内网IP。 域名接入采用CNAME的方式将原本去向网站的请求转向的WAF，从而实现对网站访问的安全防护，这些用户请求将在WAF进行安全检测和过滤后，发送回源站。当前WAF提供的CNAME为公网解析的CNAME，只能解析到公网IP地址，无法解析到内网IP，所以源站IP地址不能填写云主机的内网IP。 注意 在网站接入WAF后，您应确保源站服务器已将WAF的全部回源IP放行（即加入白名单），否则可能会出现网站无法打开或打开极其缓慢等情况。 独享型接入 独享型实例与业务主机部署在同一VPC，源站IP可以填写云主机的内网IP。

编辑域名地址簿 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云防火墙（原生版）”，进入云防火墙（原生版）的“概览”页面。 4. 在左侧导航栏，选择“设置中心 > 地址簿管理”，进入“地址簿管理”页面。 5. 找到目标地址簿，单击目标地址簿操作列的“详情”。 6. 在详情页面可以查看地址簿“基本信息”和域名地址列表。 添加域名地址 在域名地址列表上方，单击“添加”，弹出添加域名地址页面，添加域名地址后，单击“确认”，完成添加操作。 编辑域名地址 在域名地址列表的操作列，单击“编辑”，修改域名地址。 删除域名地址 在域名地址列表的操作列，单击“删除”，删除域名地址。 删除域名地址簿 注意 使用中的地址簿无法删除，删除地址簿前请先从防护规则中移除地址簿。 删除地址簿后无法恢复，请谨慎操作。 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云防火墙（原生版）”，进入云防火墙（原生版）的“概览”页面。 4. 在左侧导航栏，选择“设置中心 > 地址簿管理”，进入“地址簿管理”页面。 5. 找到需要删除的地址簿，单击目标地址簿操作列的“删除”。 6. 在弹出的确认框中，单击“确定”，完成删除。

编辑域名地址簿 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云防火墙（原生版）”，进入云防火墙（原生版）的“概览”页面。 4. 在左侧导航栏，选择“设置中心 > 地址簿管理”，进入“地址簿管理”页面。 5. 找到目标地址簿，单击目标地址簿操作列的“详情”。 6. 在详情页面可以查看地址簿“基本信息”和域名地址列表。 添加域名地址 在域名地址列表上方，单击“添加”，弹出添加域名地址页面，添加域名地址后，单击“确认”，完成添加操作。 编辑域名地址 在域名地址列表的操作列，单击“编辑”，修改域名地址。 删除域名地址 在域名地址列表的操作列，单击“删除”，删除域名地址。 删除域名地址簿 注意 使用中的地址簿无法删除，删除地址簿前请先从防护规则中移除地址簿。 删除地址簿后无法恢复，请谨慎操作。 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云防火墙（原生版）”，进入云防火墙（原生版）的“概览”页面。 4. 在左侧导航栏，选择“设置中心 > 地址簿管理”，进入“地址簿管理”页面。 5. 找到需要删除的地址簿，单击目标地址簿操作列的“删除”。 6. 在弹出的确认框中，单击“确定”，完成删除。

编辑端口地址簿 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云防火墙（原生版）”，进入云防火墙（原生版）的“概览”页面。 4. 在左侧导航栏，选择“设置中心 > 地址簿管理”，进入“地址簿管理”页面。 5. 找到目标地址簿，单击目标地址簿操作列的“详情”。 6. 在详情页面可以查看地址簿“基本信息”和端口列表。 添加端口 在端口列表上方，单击“添加”，弹出添加端口页面，添加端口后，单击“确认”，完成添加操作。 编辑端口 在端口列表的操作列，单击“编辑”，修改端口。 删除端口 在端口列表的操作列，单击“删除”，删除端口。 删除端口地址簿 注意 使用中的地址簿无法删除，删除地址簿前请先从防护规则中移除地址簿。 删除地址簿后无法恢复，请谨慎操作。 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云防火墙（原生版）”，进入云防火墙（原生版）的“概览”页面。 4. 在左侧导航栏，选择“设置中心 > 地址簿管理”，进入“地址簿管理”页面。 5. 找到需要删除的地址簿，单击目标地址簿操作列的“删除”。 6. 在弹出的确认框中，单击“确定”，完成删除。

本文带您了解提示“您的凭据无法工作”的处理方法。 问题描述 在天翼云官网开通对应Windows云主机后，除控制台VNC接入外还有其他PC本地进行远程接入场景。当接入时候提示您的凭据无法工作错误，远程登录失败。 已开通云主机信息：远程登录时需要公网IP信息、账号名及对应密码。 解决方法 步骤一： 修改Windows云主机网络策略 1、 使用管理控制台VNC方式登录云服务器。 2、 点击“开始 > 运行”，输入“gpedit.msc”，打开“本地组策略编辑器”。 3、 点击“计算机配置 运行”，输入“gpedit.msc”，打开“本地组策略编辑器”。 3、 选择“计算机配置 运行”输入gpupdate /force，更新组策略。

本文介绍如何查看堡垒机实例的详细信息。 购买云堡垒机实例后，可以查看实例的详细信息，包括实例状态、IP地址等信息。 查看实例信息 1. 登录管理控制台。 2. 选择“安全 > 云堡垒机（原生版）”，进入云堡垒机实例管理页面。 3. 查看实例的基本信息、网络信息、节点信息。 参数 说明 实例状态 当前实例的运行状态，更多信息请参见实例状态说明。 实例名称 当前实例的名称，购买实例后不支持修改。 实例版本 当前实例的版本。 若实例不是最新版本，可单击“升级”升级到最新版本。详细操作请参见升级实例版本。 地域/可用区 当前实例的地域/可用区。 IP地址 当前实例的内网地址和外网地址，支持修改。 单击地址旁边的编辑按钮，可修改IP地址。仅单机版支持修改内网地址。 IPV6内网地址 当前实例的IPV6内网地址。 企业项目 当前实例绑定的企业项目名称。 到期时间 当前实例到期的时间。 若购买的实例即将到期或已经到期，可单击“更多 > 续费”，延长当前实例规格的使用时长，详细操作请参见续订实例。 创建时间 当前实例的创建时间。 资源类型 当前实例的类型，单机版或主备版。 资源ID 当前实例的资源ID。通过资源ID可以在订单管理页面查找相关订单。 实例 当前实例的实例ID。 实例规格 当前实例的资产规格。 当云堡垒机的资产规格不能满足需求时，可对云堡垒机实例进行资产规格升级，扩大纳管的资产数上限、增加存储容量，变更规格详细操作请参见变更实例规格。 虚拟私有云 当前实例绑定的VPC，购买实例后不支持切换VPC。 安全组 用户配置的虚拟网络环境安全规则。 子网 当期实例配置的VPC网络的子网。 存储 当前实例系统盘的使用情况。 系统盘 当前实例系统盘的使用情况。 部署架构 当前实例的部署架构。 主节点 当前实例主节点的可用区、实例ID、系统盘、存储信息。 备节点 当前实例备节点的可用区、实例ID、系统盘、存储信息。 仅“资源类型”为“主备版”才可查看此项。

参数 是否必选 参数说明 名称 是 创建伸缩配置的名称。 配置规格 是 配置规格有两种选择，使用新规格与使用现有云主机规格： 选择“使用现有云主机规格 > 请选择云主机“快速创建伸缩配置。创建配置时，云主机类型、 vCPU、内存、镜像、云硬盘数据、安全组信息将默认与选择的云主机规格保持一致。 选择“使用新规格”，根据实际业务需求配置云主机类型、vCPU、内存、镜像、云硬盘参数、安全组信息。 弹性IP 是 弹性IP可以实现虚拟私有云中的云资源通过固定的公网IP 地址对外提供访问服务。您可以根据实际需求选择以下两种方式： 不使用：弹性云主机不能与互联网互通，仅可在虚拟私有云内部使用。 自动分配：自动为每台弹性云主机分配独享带宽的弹性IP，带宽大小可以根据您的业务需要设定。 登录方式 是 天翼云提供两种登录方式供您选择，密钥对和密码。 密钥对：指使用密钥作为弹性云主机的鉴权方式进行登录。选择此方式，请您在密钥对配置项中导入密钥对。如果您直接从下拉列表中选择已有的密钥，请确保您已在本地获取该文件，否则，将影响您正常登录弹性云主机。 密码：指使用设置 root 用户（Linux 操作系统）和 Administrator 用户（Windows操作系统）的初始密码方式作为弹性云主机的鉴权方式，如果选择此方式，您可以通过用户名密码方式登录弹性云主机。您需要为您的用户设置密码用于登录云主机。 云监控 否 是否开启详细监控。若开启，在云主机创建成功后35分钟将自动执行详细监控Agent安装，可获取云服务器CPU、内存、网络、磁盘、进程等指标详细监控；若不开启，则通过该伸缩配置创建的云主机无任何监控数据。 是否编辑标签 否 是否启用标签。若启用，通过该伸缩配置创建的云主机默认绑定标签；若不启用，则通过该伸缩配置创建的云主机无标签。 用户数据 否 用于创建云主机时向云主机注入实例自定义数据。伸缩配置支持以文本形式输入用户数据内容，配置后，云主机首次启动时会自行注入数据信息。 例如：您可以通过注入一段脚本，激活待创建云主机的root用户权限，注入成功后，您可以使用root用户登录弹性云主机。

本页为您介绍WPS云文档天翼云版的产品定义 WPS+云办公服务是基于WPS云文档、文档安全服务、企业管理后台、办公轻应用（日程/日历/待办）等全线产品的企业办公云服务。 满足企业和团队在文档处理、云存储、共享协作、在线编辑、高效检索、权限管控、加密防护、信息收集等全场景的办公诉求，用文档服务与企业共建支撑业务运行的平台，助力企业数据和业务低成本快速上云，为企业在线信息化办公赋能。

本文为您介绍VPC终端节点产品的定义和产品架构。 VPC终端节点（VPC Endpoint），能够将VPC私密地连接到终端节点服务（云服务、用户私有服务），使VPC中的云资源无需弹性IP就能够访问终端节点服务，提高了访问效率，为您提供更加灵活、安全的组网方式。 VPC终端节点由“终端节点服务”和“终端节点”两种资源实例组成。 终端节点服务：指将云服务或用户私有服务配置为VPC终端节点支持的服务，可以被终端节点连接和访问。 终端节点：用于在VPC和终端节点服务之间建立便捷、安全、私密的连接通道。

Open WebUI是一个可扩展、功能丰富、用户友好的自托管WebUI，它支持各种LLM运行程序，包括Ollama和OpenAI兼容的API。并且内置了 RAG（检索增强生成）推理引擎 ，使其成为一个功能强大的 AI 部署解决方案。Deepseek 云主机自带 Open WebUI，通过GPU云主机自带 Open WebUI，本文简述了如何通过 Open WebUI快速体验本地和第三方大模型。 注意 GPU云主机镜像自带的ollama监听127.0.0.1:11434、vllm 监听 0.0.0.0:8000、openwebui 监听 0.0.0.0:3000 端口，云主机默认不对外开放任何端口访问，请按需开放端口访问规则，避免数据泄露。 开放云主机端口 云主机安全组需要放行3000端口，添加安全组规则帮助文档。 注册管理员账号 Deepseek云主机内置可视化界面，云主机启动 5 分钟后，可访问 (yourip 这台云主机的eip) 体验DeepSeek。 首次登录页面如下： 点击开始使用，注册管理员账号： 基本配置 Open WebUI有强大的设置功能，可根据需要进行设置，点击左下角进入设置页面。 首先在通用设置中，将语言设置为简体中文。 进入管理员设置。 如果您不想开放其他用户注册使用，则需要关闭 “允许用户注册” 功能。 如果你允许用户注册，还可以设置用户注册后的行为，例如将新用户注册后的默认用户角色设为“用户”或“待激活”等，这些用户需要管理员手动激活：

本文介绍如何导出网络层攻击事件。 使用场景 业务接入DDoS高防（边缘云版）后，您可以在控制台查询已产生的网络层攻击事件并将事件导出为.xls文件。 前提条件 已开通DDoS高防（边缘云版）。 使用说明 1.登录DDoS高防（边缘云版）控制台。 2.进入【安全分析】【攻击事件】【网络层攻击事件】页面。 3.指定要导出的网络层攻击事件时间范围，点击【查询】按钮。 4.点击【导出】按钮，会将查询结果导出为.xls文件。

资源 说明 VPC VPC网段（CIDR）不能重叠。 本示例中，ER路由表使用的是“虚拟私有云（VPC）”连接的传播路由，由ER自动学习VPC网段作为目的地址，不支持修改，因此重叠的VPC网段会导致路由冲突。 如果您已有的VPC存在网段重叠，则不建议您使用传播路由，请在ER路由表中手动添加静态路由，目的地址可以为VPC子网网段或者范围更小的网段。 VPC有一个默认路由表。 VPC默认路由表中的路由说明如下： local：表示VPC本地IPV4的默认路由条目，用于VPC内子网通信，系统自动配置。 ER：表示将VPC子网流量路由至ER，建议您在VPC路由表中增加三个VPC的网段10.0.0.0/8、172.16.0.0/12、192.168.0.0/16。 ER 开启“默认路由表关联”和“默认路由表传播”功能，添加完“虚拟私有云（VPC）”连接，系统会自动执行以下配置： 将4个“虚拟私有云（VPC）”连接关联至ER默认路由表。 在默认路由表中创建“虚拟私有云（VPC）”连接的传播，路由自动学习VPC网段。 ECS 4个ECS分别位于不同的VPC内，VPC中的ECS如果位于不同的安全组，需要在安全组中添加规则放通网络。

Web应用防火墙（边缘云版）适用于天翼云以及天翼云外所有用户，包含但不限于网站类业务广泛应用于政府门户、金融证券、电子商务、新闻媒体、游戏、教育等行业的Web应用类安全防护。 应用场景 业务特点 Web应用防火墙（边缘云版）可解决的业务痛点 政企网站 作为政府、企业的互联网信息服务的重要渠道，保障网站的稳定运行是服务提供的关键。 集成各类业务平台，业务接口多。 信息数据量大，用户信息价值高。 对Web类攻击进行多维度识别和防御，防止网站被挂马、篡改影响网站声誉。 智能AI与大数据协同，在现有的防护体系上扩充防护规则，提高防护效果。 降低硬件防护压力，利用边缘云安全、算力优势，减少硬件维护成本。 0day虚拟补丁第一时间生成防护策略，避免漏洞被利用带来负面影响。 金融行业 网站上存在大量的用户敏感信息，非法者利用刷库、撞库等手段获取用户账号信息。 常收到境外攻击团队勒索邮件，遭受攻击较多。 受行业监管要求，金融机构每年定期组织安全演练。 信用卡中心的各种推广活动，引来“羊毛党”通过恶意程序、软件等工具进行营销欺诈。 “云端+本地”双重保障，对攻击进行层层识别和防御，避免数据泄漏造成负面影响。 行业情报共享，不断优化安全防护模板。 爬虫防护，精准的人机识别，在拦截爬虫的同时，保障业务的正常进行。 新闻媒体 对外服务站点多，暴露面广，容易成为黑客突破口。 站点脆弱性未知，存在大量的漏洞未修复。 舆论、监管压力大，受主管、监管单位严格监管。 爬虫、钓鱼重灾区，竞争对手恶意竞争。 CNAME接入防御，自助配置，隐藏并保护源站，保障网站内容不被黑客入侵篡改。 通过业务分析及攻击分析定制防护策略，有效提升防护的精准度。 情报共享，全网攻击数据分析入库，反哺优化护网期间的攻击策略。 提供爬虫和 IP 情报特征，快速识别恶意爬虫行为。 教育行业 大量用户集中访问，高并发易卡顿。 跨区域运营商访问慢。 站点脆弱性未知，漏洞利用风险高。 挂马、数据篡改等事件高发时段。 域名CNAME接入，不改变源站架构，快速接入防护策略。 智能选路，分布式部署，资源弹性扩容，从容应对高并发。 0day漏洞快速修复，避免漏洞被利用带来负面影响。 支持防篡改，以及网站安全监测，提前预警防患于未然。

本节介绍数据安全中心与周边服务的依赖关系。 与弹性云主机的关系 弹性云主机是一种可随时自助获取、可弹性伸缩的云服务器。经用户授权后，数据安全中心可以为弹性云服务器上的自建数据库提供敏感数据自动识别分类和数据保护服务。 与物理机的关系 物理机是一款兼具虚拟机弹性和物理机性能的计算类服务。经用户授权后，数据安全中心可以为物理机上的自建数据库提供敏感数据自动识别分类和数据保护服务。 与对象存储服务的关系 对象存储服务是一款稳定、安全、高效、易用的云存储服务，具备标准Restful API接口，可存储任意数量和形式的非结构化数据。经用户授权后，数据安全中心可以为对象存储提供敏感数据自动识别分类、用户异常行为分析、数据保护三大服务。 与关系型数据库的关系 关系型数据库是一种基于云计算平台的即开即用、稳定可靠、弹性伸缩、便捷管理的在线关系型数据库服务。经用户授权后，数据安全中心可以为关系型数据库服务中的实例提供敏感数据自动识别分类和数据保护服务。 与数据仓库服务的关系 数据仓库服务是一种基于公有云基础架构和平台的在线数据处理数据库，提供即开即用、可扩展且完全托管的分析型数据库服务。经用户授权后，数据安全中心可以为数据仓库服务提供敏感数据自动识别分类和数据保护服务。

步骤二：创建OceanFS文件系统并挂载至GPU云主机 1. 返回“控制中心”，在“存储”下单击“海量文件服务（OceanFS）”，进入文件系统列表页面。 2. 右上角单击“创建OceanFS实例”，进入创建文件系统页面。 3. 进行基础配置，各参数含义参考创建文件系统海量文件服务 OceanFS。 注意 文件系统和云主机应选择同一VPC，否则无法挂载。 4. 点击“下一步”确认配置。确认无误后点击“立即购买”，确认订单并支付。 5. 返回OceanFS控制台，等待文件系统创建完成。 6. 参考挂载NFS文件系统到弹性云主机 (Linux)将文件系统挂载至GPU云主机的“/mnt/test”目录下。 说明 “/mnt/test”可以根据实际需求替换为实际的挂载目录。 步骤三：部署DeepSeek模型 1. 修改模型下载路径，将模型保存在OceanFS的挂载目录下。 1. 在“/mnt/test”目录下创建模型下载新目录“/mnt/test/models”，并配置访问权限777。依次执行以下两条命令： plaintext mkdir /mnt/test/models chmod 777 /mnt/test/models 2. 执行以下命令修改ollama.service配置，添加Environment"0LLAMAMODELS/mnt/test/models语句来更改模型保存位置。 plaintext vim /etc/systemd/system/ollama.service 3. 依次执行以下命令，重启Ollama服务。 plaintext systemctl daemonreload systemctl restart ollama.service 2. 加载DeepSeek模型。 1. 以deepseekr1:7b为例，执行以下命令： plaintext ollama run deepseekr1:7b 2. 检查下载的模型保存在OceanFS的目录下。执行ll命令： 3. 使用DeepSeek模型。 1. 在命令行界面使用模型。 2. 通过Web页面进行模型交互。 注意 镜像自带的 ollama 工具监听 127.0.0.1:11434、webui 监听 0.0.0.0:3000 端口，云主机默认不对外开放任何端口访问，请按需开放端口访问规则，避免数据泄露。 使用此方式需要开通弹性IP，弹性IP是计费服务，详见计费概述弹性IP计费说明 天翼云。 1. 放行云主机安全组的 3000 端口。具体操作请参考添加安全组规则弹性云主机用户指南安全安全组配置安全组规则 天翼云。 2. 访问DeepSeek模型的可视化界面。登录地址为： 注意 云主机全自动安装DeepSeek模型和可视化界面，请等待云主机启动 5 分钟后，再访问登录界面。 首次登录页面如下： 3. 注册管理员账号。 4. 使用设置。刷新进入首页，在模型下拉列表中，选择刚部署的DeepSeek:7b 模型。 点击左下角进入设置页面，如果您不想开放其他用户注册使用，则需要关闭 “允许用户注册” 功能。 如果您允许用户注册，还可以设置用户注册之后的行为，例如选择新用户注册后默认用户角色为“用户”/“待激活” 等，需要管理员手动激活。 设置模型可见性。多用户模式下，建议把模型设置为"Public"。 5. 使用DeepSeek模型进行模型推理。

本文介绍如何订购云搜索服务Elasticsearch实例。 前提条件 1. 已在官网完成用户账号注册和实名认证。 2. 已完成实例规划。 操作步骤 您有两种路径可以进入Elasticsearch实例开通页面： 1. 登录官网，您可在云搜索服务产品详情页点击“立即开通”。 2. 登录官网，进入云搜索服务控制台后，点击“创建实例”可以进入。 订购页面填写 进入订购页面后，您需要对如下信息进行填写/选择： 参数类型 参数 说明 基础配置 计费模式 实例支持包周期和按需计费模式。 包周期：根据实例购买时长，一次性支付实例包周期费用。 按需计费：根据实际使用时长计费，按小时出账。 基础配置 订购周期 在包年包月模式下，您需要选择购买时长。 基础配置 当前区域 选择实例的所在区域。 不同区域的云服务产品之间内网互不相通。请就近选择靠近您业务的区域，可减少网络时延，提高访问速度。 基础配置 可用区 选择实例所在工作区域下关联的可用区。 支持多可用区部署，购买地域具备3个及以上可用区，需要勾选1个或3个，如果不足3个可用区，则根据地域可用区情况可购买1或2个。 网络配置 企业项目 企业项目提供统一的云资源管理能力，支持对项目及项目内的资源、成员进行管理。此处请根据用户的资源管理需求，选择云搜索实例的企业项目归属。仅支持选择用户有权限的企业项目。默认为default，如果没有可选项，请由主账号在统一身份认证处进行赋权。 网络配置 虚拟私有云 指定实例所在的虚拟专用网络（VPC），实现不同业务的网络隔离。如您没有合适的VPC，请前往创建虚拟私有云页面创建完成后，回当前页面刷新后选择。 网络配置 子网 实例使用子网实现与其他网络的隔离，并独享所有网络资源，以提高网络安全。 选择当前虚拟私有云下实例需要的子网。 网络配置 安全组 安全组为实例提供安全的网络访问控制策略。 为了顺利部署实例，我们将为您选择的安全组默认配置下述规则： 规则1（入方向）：允许远端198.19.128.0/20 以TCP协议访问端口165535 ，规则优先级为1。 规则2（入方向）：允许远端192.168.0.0/24（实际网段地址，以客户创建的VPC子网网段地址为准）以TCP协议访问端口165535，规则优先级为1。 规则3（出方向）：将允许出方向所有访问，规则优先级为100。 配置实例 实例名称 您可自定义实例名称，可输入的字符范围为长度为0~32个字符，只能包含数字、字母、中划线（）和下划线（），且必须以字母或数字开头。 配置实例 实例类型 云搜索服务支持Elasticsearch和OpenSearch两种组件。 配置实例 实例版本 选择所需的实例版本，支持的版本以页面可选项为准。 配置实例 实例密码设置 设置Elasticsearch的管理员访问密码。 实例内账号和角色请登录Kibana进行设置。 配置实例 HTTPS设置 实例通信方式选择： 开启HTTPS，访问实例将进行通讯加密，可以接入公网； 若关闭HTTPS访问，将使用HTTP协议与实例通信，无法保证数据安全性，HTTP协议模式下，实例不可接入公网。 该模式可以在实例开通后进入“运行中”状态时在安全设置功能中进行修改。 选购资源 实例节点数 实例中需要部署节点数，上限请以页面可下单数量为准。 选购资源 CPU架构 目前支持X86类型。 选购资源 节点规格 实例的节点规格，可按需选购，同一实例仅支持一种规格，请确认后下单。 选购资源 节点存储规格 选择存储类型，支持的类型可能随资源池不同有差异，请以页面可选的为准。 选购资源 单节点存储量 您可根据业务数据容量评估，选购合适的单节点存储量，创建完成后，不支持缩容节点存储容量，请基于业务量合理选择容量。 选购资源 图形化访问节点规格 云搜索服务会默认为您开通一个小规格节点部署Kibana、Cerebro节点。该节点正常计费。 选购资源 专属节点规格 您可根据需要选择是否在当前实例加装专属master、专属协调节点或冷数据节点，并选择节点规格，专属master和专属协调节点不支持调整存储空间。专属master限制3节点，专属协调节点和冷数据节点上限请以页面可下单数量为准。 专属节点开通后不可删除，也可通过扩容功能加装。 信息填写完毕后，进入下一步信息确认页；请您仔细核对订购信息及订购协议，勾选协议后进入下一步即可提交。 缴费完成后，请返回购买实例对应的实例管理列表页面，您购买的实例都将展示在此，当实例从“创建中”变为“运行中”时，即可使用实例。 如实例创建失败，系统将自动退单销毁，期间不会记录使用时长，不会收取费用，您可再次下单尝试或工单联系工程师为您处理。

本节介绍智算套件概述。 前提条件 已创建云容器引擎智算版集群。 智算套件介绍 套件名称 套件功能 驱动管理 为GPU云主机或物理机的算力调度提供硬件驱动。 弹性数据集 支持数据集版本管理，提供弹性加载能力。 GPU安全容器 支持Kata安全容器运行时，满足业务高安全需求。 智算套件控制面引擎 提供高可用控制面，管理智算套件控制台正常运行。 监控 为集群提供硬件监控能力，可采集GPU/NPU，显存等，支持可视化查看GPU的分配、使用和健康状态。 网络 为集群容器提供使用RDMA网络的能力，包括IB和RoCE。 模型预热 将模型从对象存储预热到本地盘，大幅提升模型部署效率。 智能调度 为集群提供智能任务调度策略，可支持Gang、Capacity、Binpack/Spread和Queue等智能调度。 弹性训练 为集群提供AI任务接入，兼容主流AI框架和工具，包括TensorFlow、PyTorch、Horovod、Spark等。 故障诊断 为集群提供集群巡检、故障诊断等能力。 存储 为集群容器提供挂载HPFS和ZOS的能力。 日志 为集群的系统组件以及控制面组件收集日志。

本文为您介绍云审计服务的应用场景。 合规审计 助力企业用户业务系统符合监管标准，轻松通过等保、IT合规设计认证要求。 安全分析 对用户操作进行详细的记录，可用于越权分析、关键资源变更分析等。 操作追踪 当用户的资源出现异常变更时，云审计所记录的操作日志能帮助用户快速溯源，简化运维。 问题定位 云资源故障时，可通过事件列表快速检索事发时的可疑操作，极大程度提升问题定位的效率。

本文带您了解什么是云主机备份产品。 云主机备份（CTCSBS，Cloud Server Backup Service）提供对弹性云主机的备份保护服务，支持基于云硬盘快照技术的备份服务，并支持利用备份数据恢复弹性云主机数据。通过云主机备份服务，可以在发生数据丢失、系统故障、人为错误或恶意攻击等情况下，还原云主机数据，确保业务的连续性和数据的安全性。 备份机制 首次备份为全量备份，备份云主机挂载的全部云硬盘的所有数据。后续备份则为增量备份，只备份上次备份后发生变化的数据，以节约备份空间和时间。 无论是全量备份还是增量备份，云主机备份都能够快速、方便地将数据恢复到备份所在时刻的状态。您可以根据需要选择特定的备份进行恢复，备份之间相互独立，删除一份备份不会影响其他备份的使用。 云主机备份副本创建完成后，将默认存储在对象存储（单AZ）中，以实现数据的长期安全保存和灵活恢复。对象存储单AZ和多AZ的区别如下：单AZ数据会存储在一个可用区；多AZ数据会存储在同一地域的多个可用区中，可用性更高。 与云硬盘备份的差异 产品名称 备份/恢复对象 优势 产品要点说明 场景说明 云主机备份 以云主机为单位进行备份，云主机中的所有云硬盘（系统盘和数据盘）。 对云主机进行备份指的是同时对其上的所有云硬盘同时进行备份。 备份具有一致性，不存在因备份创建时间差带来的数据不一致问题。 整机备份，通过存储快照技术，将云主机包含的多个云硬盘的数据备份到对象存储。 周期备份、手动备份。支持恢复原云主机或创建新的云主机。 需要对整个云主机进行保护时，确保业务稳定性及数据安全。 云硬盘备份 以云硬盘为单位进行备份，指定的单个或多个云硬盘（系统盘或数据盘）。 能以更低的成本，更精细的粒度来确保数据安全。 通过存储快照技术，将云硬盘数据备份到对象存储。 周期备份、手动备份。支持恢复原云硬盘，使用备份数据创建新的云硬盘。 仅对数据盘或系统盘中的个人数据、隐私数据、重要数据进行备份时。