云硬盘备份(CTVBS,Volume Backup Service)是针对云主机的系统盘、数据盘提供的备份服务。用户可对存储重要数据的云硬盘进行备份,并在云硬盘故障、用户误删数据、遭到黑客攻击等情况下,使用备份快速恢复数据,最大限度保证用户数据的安全性。

本文介绍如何下载日志。 当日志超过热日志分析上限时，系统将自动对超出部分执行归档操作。 日志归档周期：每日凌晨2点自动归档一次。 归档日志存储时间：180天。 下载归档日志 说明 文件生成时间与文件中日志起始时间可能存在较大差异，若选择文件时间内未找到目标时间日志，可下载与目标时间相邻的文件。 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“系统管理 > 管理归档日志”。 5. 查询日志： 选择模式：支持选择“云SAAS模式”、独享型实例。 日志文件名称：支持模糊搜索文件名称。 归档时间：根据选择的时间范围过滤文件归档时间。 6. 查看日志文件列表。 参数 说明 日志文件名称 根据归档文件生成时间命名的文件。 日志时间 显示该归档文件内日志的起止时间。 归档时间 显示文件的归档时间。 日志条数 当前文件内归档的日志条数。 文件大小 显示文件的大小。 文件类型 显示文件的类型，攻击日志或访问日志。 7. 下载日志：单击操作列的“下载”，下载对应日志文件。 选择“云SAAS模式”，支持下载对应归档文件。 说明 归档日志文件类型目前仅有“攻击日志”提供下载。 选择独享型实例，仅支持查看日志归档记录，不支持下载归档文件。

云等保的测评要求 等保工作是一个持续的工作，等保测评也是一个周期性的工作，三级系统要求每年做一次，四级系统每半年做一次，二级系统部分行业明确要求每两年做一次，没有明确要求的行业一般是建议两年做一次测评。 定期等保合规基线检查 合规基线覆盖等级保护二级、三级技术要求主机安全检查330项。涵盖系统基线、应用基线、等保合规检查和CIS合规检查。 使用合规基线功能，无需任何人工干预，全自动高效清点，一旦安全配置被修改迅速响应并可定位到具体的主机及负责人，最大限度减少风险暴露的同时有效降低员工再犯可能。 选择合规基线模版 点击某个基线任务，可查看该任务中的基线检查列表，也可对单个基线进行检查。 检查合规基线扫描结果 根据选定的基线检查任务，检查结果按照每个检查项的维度展示了该检查项的基本信息，和在主机范围内检查结果的通过率。

本章节介绍故障演练服务的委托授权相关功能。 概述 故障演练服务 需要与分布式缓存服务Redis版 、分布式消息服务Kafka 等其他云产品 协同工作。为实现这一目标，当您首次使用本服务时，系统会请求您授权创建一个服务内联委托 ，以便平台能够安全地访问和管理您在其他云产品中的相关资源。 权限说明 为完成故障注入 等功能，故障演练平台 需要获得访问其他云服务 的权限。为此，系统需要您授权创建一个名为 CtyunAssumeRoleForADTSChaos 的服务内联委托。 此委托将绑定一个名为 CtyunAssumeRolePolicyForADTSChaos 的系统权限策略，可在统一身份认证 中的策略管理查看到该策略的授权范围。 服务内联委托说明 当您首次登录故障演练平台 控制台时，系统会自动检查 CtyunAssumeRoleForADTSChaos 委托 是否存在。若不存在，系统会弹出授权提示。在您确认后，系统将自动为您创建该委托及关联的权限策略。 验证方法： 您可以在 IAM 控制台的角色管理 页面，或通过API/CLI调用 ListDelegates，查看已创建的服务内联委托。 一个更简单的验证方法是：刷新或重新登录故障演练平台 控制台，如果所有功能均可正常使用且不再弹出授权提示，则表示委托已成功创建。 注意 如果没有CtyunAssumeRoleForADTSChaos服务内联委托权限，可能会因为某个服务权限不足而影响系统功能的正常使用。 请不要自行删除或者修改CtyunAssumeRoleForADTSChaos 委托以及CtyunAssumeRolePolicyForADTSChaos策略，这可能导致故障演练服务无法正常工作。

本节将介绍如何对已添加的MRS资产进行删除的操作。删除已添加的MRS资产后，该资产在数据安全中心DSC服务里建立的相关内容都将被删除，包括任务模板以及扫描任务结果报告，且无法恢复。 前提要求 已完成MRS资产委托授权，参考云资源委托授权/停止授权进行操作。 待删除的数据资产未被应用在敏感数据检测任务中。 约束条件 如果需要删除的数据资产已被应用在敏感数据检测任务中，请先解绑资产或者删除任务，再参照本章节删除资产。 删除操作无法恢复，删除后，资产相关的任务模板、任务结果、报表都将被删除，请谨慎操作。 操作步骤 1.登录管理控制台。 2.单击左上角的，选择区域或项目。 3.在左侧导航树中，单击，选择“安全>数据安全中心”，进入数据安全中心总览界面。 4.在左侧导航树中选择“资产列表”，并选择“MRS > 待授权”，进入待授权MRS资产列表页面，如下图所示。 待授权MRS资产列表 5.在MRS资产列表中，在需要删除的MRS资产所在行的“操作”列，单击“删除”。 6.在弹出的删除资产提示框中，单击“确定”。

本文介绍流量包资费。 销售品名称 规格（GB） 标准资费价格 安全加速流量包 100 17元 安全加速流量包 500 85元 安全加速流量包 1000 170元 安全加速流量包 5000 850元 安全加速流量包 10000 1700元 安全加速流量包 50000 7650元 安全加速流量包 200000 25500元 安全加速流量包 1000000 127500元

本节介绍了操作审计的用户指南。 概述 容器镜像服务接入了云审计服务，支持将用户在容器镜像服务控制台的所有操作上报至云审计，以供用户在云审计控制台查看审计日志。 前置条件 已开通容器镜像服务企业版实例 已开通云审计服务 查看审计日志 1. 进入容器镜像服务控制台。 2. 点击已开通的企业版实例。 3. 点击左侧导航栏点击 "实例管理" "云审计"，即可跳转到云审计控制台。 4. 在云审计控制台可查看容器镜像服务的审计日志。 5. 云审计控制台默认保存最近7天的日志，若需要将日志长期存储，可参照云审计服务的帮助文档创建事件跟踪任务。 注意 老版本的容器镜像服务控制台内置了操作审计页面，用户仍可通过将链接 /audit?instanceId${instanceId} 中的${instanceId}替换为已开通的企业版实例ID进行访问，该链接将在后续版本中下线，用户应尽快迁移至云审计服务来查看审计日志。 当前已纳入云审计的关键操作列表 事件中文名称 事件英文名称 重置密码 resetPassword 更新实例对象存储配置 updateStorageConfig 创建容器镜像命名空间 createNamespace 更新容器镜像命名空间 updateNamespace 删除容器镜像命名空间 deleteNamespace 创建Helm Chart命名空间 createChartNamespace 更新Helm Chart命名空间 updateChartNamespace 删除Helm Chart命名空间 deleteChartNamespace 创建镜像仓库 createRepository 更新镜像仓库 updateRepository 删除镜像仓库 deleteRepository 创建Chart镜像仓库 createChartRepository 更新Chart镜像仓库 updateChartRepository 删除Chart镜像仓库 deleteChartRepository 登录实例 loginInstance 推送制品 pushArtifact 拉取制品 pullArtifact 删除制品 deleteArtifact 添加公网白名单 createInstanceEndpointAclPolicy 删除公网白名单 deleteInstanceEndpointAclPolicy 创建版本不可变规则 createImmutableTagRule 更新版本不可变规则 updateImmutableTagRule 删除版本不可变规则 deleteImmutableTagRule 创建版本保留策略 createRetentionPolicy 更新版本保留策略 updateRetentionPolicy 删除版本保留策略 deleteRetentionPolicy 创建镜像同步规则 createRepoSyncRule 更新镜像同步规则 updateRepoSyncRule 删除镜像同步规则 deleteRepoSyncRule 创建镜像迁移规则 createRepoMigrateRule 更新镜像迁移规则 updateRepoMigrateRule 删除镜像迁移规则 deleteRepoMigrateRule 创建定时清理策略 createGcScheduler 更新定时清理策略 updateGcScheduler 删除定时清理策略 deleteGcScheduler 立即执行清理 executeGc 创建镜像共享 createSharedRepository 更新镜像共享 updateSharedRepository 删除镜像共享 deleteSharedRepository 新增收藏镜像仓库 addStaredRepository 取消收藏镜像仓库 deleteStaredRepository 创建签名规则 createSigning 更新签名规则 updateSigning 删除签名规则 deleteSigning 创建事件通知规则 createEventRule 更新事件通知规则 updateEventRule 删除事件通知规则 deleteEventRule 创建触发器 createTrigger 更新触发器 updateTrigger 删除触发器 deleteTrigger 创建风险阻断策略 createVulnerabilityBlocker 更新风险阻断策略 updateVulnerabilityBlocker 删除风险阻断策略 deleteVulnerabilityBlocker 创建自定义域名 createCustomDomain 删除自定义域名 deleteCustomDomain 更新自定义域名 updateCustomDomain 创建安全扫描 createScan

同一个微服务引擎可能会有多个用户共同使用，而不同的用户根据其责任和权限，需要具备不同的微服务引擎访问和操作权限。开启了“安全认证”的微服务引擎专享版，根据用户接入引擎使用的帐号所关联的角色，赋予该用户不同的微服务引擎访问和操作权限。 安全认证具体内容，请参考系统管理。 您可根据实际业务需要，对微服务引擎专享版执行开启或关闭安全认证操作： 开启安全认证 未开启安全认证且状态可用的微服务引擎专享版，根据实际业务需要，可开启安全认证。 开启安全认证后，接入该引擎的微服务组件如果没有配置安全认证参数，或者微服务组件配置的安全认证帐号和密码不正确，会导致该微服务组件心跳失败，服务被迫下线。 关闭安全认证 已开启安全认证且状态可用的微服务引擎专享版，根据实际业务需要，可关闭安全认证。 关闭安全认证后，无论接入该引擎的微服务组件是否配置了安全认证参数，微服务组件的正常业务功能不受影响。 开启安全认证 步骤 1 登录ServiceStage控制台，选择“微服务引擎 CSE”。 步骤 2 选择待操作的微服务引擎，单击引擎名称，进入引擎“基本信息”页面。 步骤 3 在“安全”区域，开启安全认证开关。 如果引擎版本低于1.2.0，执行步骤4。 如果引擎版本为1.2.0及以上版本，执行步骤5。 步骤 4 升级引擎至1.2.0或以上版本。 1. 单击“升级引擎至新版本”。 2. 选择“升级后版本”，查看版本说明，根据需要决定是否升级到该版本后，单击“确定”。 3. 等待升级成功后，单击“返回微服务引擎”。 4. 选择刚升级成功的微服务引擎，单击引擎名称，进入引擎“基本信息”页面。 5. 在“安全”区域，开启安全认证开关。 步骤5 在微服务引擎控制台的“系统管理”页面，开启安全认证。 首次开启安全认证，单击“去开启安全认证”。 需先创建root帐号。输入root帐号的“密码”和“确认密码”，单击“立即创建”。 再次开启安全认证，单击“开启安全认证”。 输入引擎中已关联了admin角色的帐号名称及其密码。 步骤 6 （可选）参考角色管理，根据业务需要，创建角色。 步骤 7 （可选）参考帐号管理，根据业务需要，创建帐号。 步骤 8 在微服务引擎控制台的“系统管理”页面，单击“开启安全认证”。 步骤 9 根据提示确认已经完成所有配置后，勾选“确保已配置”。 步骤 10 单击“确定”。 等待微服务引擎更新完成，引擎状态由“配置中”变为“可用”，开启安全认证成功。

本章节介绍如何对已添加的数据库资产进行删除。 操作删除后，该资产在DSC服务里建立的相关任务模板以及扫描任务结果报告都将被删除，且无法恢复。 前提条件 已完成数据库资产委托授权，参考云资源委托授权/停止授权进行操作。 待删除的数据库资产未被应用在敏感数据检测任务中。 约束条件 如果需要删除的数据库资产已被应用在敏感数据检测任务中，请先解绑资产或者删除任务，再参照本章节删除资产。 删除操作无法恢复，删除后，资产相关的任务模板、任务结果、报表都将被删除，请谨慎操作。 操作步骤 1.登录管理控制台。 2.单击左上角的，选择区域或项目。 3.在左侧导航树中，单击，选择“安全与合规 >数据安全中心”，进入数据安全中心总览界面。 4.在左侧导航树中选择“资产列表”，并选择“数据库 > 已授权”，进入已授权数据库资产列表页面。 5.在数据库资产列表中，在需要删除的数据库资产所在行的“操作”列，单击“删除”。 6.在弹出删除资产提示框中，单击“确定”。

本文介绍天翼云AOne会议产品优势。 安全可靠保障 AOne会议支持全链路加密通信，包括信令加密、媒体数据加密、传输通道加密；同时提供企业级权限管理机制、水印追踪、会议密码、会议锁定、录制防泄漏等多重安全策略，全面保障会议数据和用户隐私安全。 稳定流畅体验 基于天翼云自研音视频引擎，支持弱网环境下的音视频抗抖动、自动降噪与丢包恢复，即便在复杂网络环境中也能确保会议连贯顺畅，避免卡顿、掉线等问题。 高效协作能力 AOne会议支持屏幕共享、云录制、一键直播等丰富的会议功能，助力用户高效完成远程协同任务，提升会议沟通与信息沉淀效率。 全面信创适配 AOne会议全面适配国产操作系统（如银河麒麟、统信UOS）、国产处理器（飞腾、鲲鹏、海光等），支持信创终端上的稳定运行，是政企数字化转型中的可信信创方案。 丰富节点资源 AOne会议依托天翼云遍布全国与全球的优质节点资源，为大型会议、高并发场景提供坚实支撑： 中国大陆拥有2000+节点，覆盖31个省市自治区、三大运营商网络，核心节点部署在一线及新一线城市。 中国香港、中国澳门、中国台湾及海外地区拥有800+节点，覆盖亚洲、美洲、欧洲、非洲等主要国家与城市。 多区域智能调度，保障跨地域参会体验一致，提升全球化部署能力。

本节介绍了文件加密服务的最佳实践介绍。 应用场景说明 翼加密是首个针对天翼AI云电脑场景的文件加密安全解决方案。通过高安全性的加密算法，对天翼AI云电脑（政企版）内的文件实时无感加密。在保证用户正常使用天翼AI云电脑（政企版）的前提下，保障企业内部的敏感和机密数据文件安全不外泄。 加密文件如被移到天翼AI云电脑外部的非加密环境，则无法正常打开。防止有意/无意的文件泄漏行为。加密文档如需外发，必须经过严格的脱密审批，并且保留审批记录，有迹可循。 翼加密的优势包括： 透明加密技术：采用高级别加密算法，文件以密文形式保存，对有权限用户透明，不影响企业正常办公和使用习惯。 严格的外发控制：无权限用户无法正常打开加密文件。加密文件如需脱密外发必须审批，有迹可循。 全面的加密管控：可通过配置加密算法、加密强度，范围等精准管控加密力度，支持多种高级加密标准算法。 前提条件 已开通天翼AI云电脑（政企版），详情请参见快速订购AI云电脑。 已开通翼加密，详情请参见开通翼加密。 已在AI云电脑内下载安装翼加密客户端，详情请参见安装加密应用。 为了保证翼加密的正常使用，在使用之前，请您务必认真阅读用户须知注意事项。详情请参见用户须知。

安全管理员、审计人员及运维人员，直接访问安全管理中心。本小节介绍安全专区普通用户登录方法。 安全管理员、审计人员及运维人员，直接访问安全管理中心。 1.登录页面下图所示，输入安全专区账号用户名、密码及验证码后点击确定即可完成登陆。 2.登录成功，进入安全管理中心首页。 3.首页最左侧是安全管理中心功能菜单，鼠标移至菜单图标上，可打开菜单，用户可以通过菜单进行安全管理、配置及查询分析。

本文介绍了云防火墙（原生版）产品的互联网边界规则统计功能、以及规则优先级。 约束限制 互联网边界防火墙最多支持10000条访问控制规则。 防护规则统计 对防护规则数量进行统计，包括：黑名单规则数、白名单规则数、入向规则数、出向规则数、已占用规格数/总规格。 其中，已占用规格数量入向规则数+出向规则数+黑名单规则数+白名单规则数。 规则类型 互联网边界防火墙支持如下防护规则，可以根据您的需要分别进行配置。 黑名单规则 白名单规则 入向规则 出向规则 防护规则优先级 优先级：黑名单规则 > 白名单规则 > 入向规则 > 出向规则 防护策略优先级判定顺序的设定为：优先过滤黑名单流量，其次为白名单流量，然后为访问控制策略，最后为入侵防御策略。 1. 为当用户设置黑名单后，此时系统认为黑名单流量即为垃圾流量，系统可根据用户设置的黑名单过滤掉恶意流量，以便系统后续处理非垃圾流量，保证系统处理的数据为用户的有效数据。 2. 当流量经过黑名单过滤后，剩余流量为用户可能关注的流量，在此基础上，通过用户设置的白名单规则，系统可以过滤出用户确定关注的白名单流量，以便对有效流量进行处理，过滤出白名单流量后，系统会直接放行白名单流量至入侵防御策略处进行安全检测，不再进行访问控制。 3. 对于非黑非白的流量，系统将对其进行访问控制检测，对于策略允许的流量进行放行，对于策略禁止的流量进行丢弃。放行后的流量依然需要进行安全检测。

本章节介绍CNI插件的使用 背景 sidecar模式下，服务网格默认通过给业务pod注入一个istioinit容器配置iptabels规则，实现业务无感的流量拦截，但是这种配置方式需要较高的权限（NETADMIN 和 NETRAW），在对安全较为敏感的场景，这种配置方式可能带来安全风险。通过CNI插件方式，不需要用户提权的情况完成和istioinit相同的能力，实现容器流量拦截配置功能。CNI插件以DaemonSet方式部署在集群中，创建pod时完成容器网络配置。 操作 进入服务网格控制台 > sidecar管理 > 网格CNI插件 菜单，您可以选择对应的istio版本和相关配置，开启或关闭CNI插件，配置说明如下 配置 说明 版本 升级过程中可能同时存在多个版本，您可以选择一个版本开启CNI插件 排除的命名空间 排除的命名空间下的pod不会被CNI插件处理，一般配置为一些不希望注入网格sidecar的命名空间。请勿将需要注入sidecar的命名空间添加到CNI排除的命名空间列表中，可能导致pod启动失败。 使用CNI插件实现sidecar流量拦截配置 1. 进入服务网格控制台 > sidecar管理 > 网格CNI插件 菜单，开启网格CNI插件，完成后可以看到云容器引擎中已经部署了网格CNI 2. 部署应用服务，确保pod所在的命名空间及pod的标签满足sidecar注入规则，且pod所在的命名空间不在网格CNI插件的排除命名空间里；部署完成后可以看到pod注入了sidecar plaintext

本章节主要介绍如何创建MRS操作用户。 如果您需要对您所拥有的MapReduce服务（MapReduce Service）进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的云帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用MRS资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将MRS资源委托给更专业、高效的其他云帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。 如果云帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用MRS服务的其它功能。 本章节为您介绍对用户授权的方法，操作流程如下图所示。 前提条件 给用户组授权之前，请您了解用户组可以添加的MRS权限，并结合实际需求进行选择。 示例流程 详见下图： 给用户授权MRS权限流程 1.创建用户组并授权 在IAM控制台创建用户组，并授予MRS服务对应权限。 2.创建用户并加入用户组 在IAM控制台创建用户，并将其加入上述创建用户组并授权中创建的用户组。 3.用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限： −在“服务列表”中选择MRS服务，进入MRS主界面，单击右上角“创建集群”，尝试创建MRS集群，如果无法创建MRS集群（假设当前权限仅包含MRS ReadOnlyAccess），表示“MRS ReadOnlyAccess”已生效。 −在“服务列表”中选择除MRS服务外（假设当前策略仅包含MRS ReadOnlyAccess）的任一服务，若提示权限不足，表示“MRS ReadOnlyAccess”已生效。

使用场景和订购推荐 使用场景 推荐订购 备注 网络服务办公组网（POP模式） 订购网络服务办公组网分区域带宽 模式说明 在全球或区域范围内设置多个 POP 点，企业分支机构先连接到就近的 POP 点，POP 点之间通过专线骨干网互联，然后再通过 POP 点连接到企业总部、数据中心或云资源等。 适用场景 适用于分支众多、有跨省或跨国业务的中大型企业，尤其是对网络性能、安全和管理效率要求较高，需要频繁访问云资源或与多个分支机构进行数据交互的企业。 网络服务办公组网（直连模式） 订购平台授权服务费 模式说明 远程办公地点或分支机构直接通过 AOne加密方式通过互联网直接连接到企业总部网络，没有中间的 POP 点作为中转，是一种点到点的直接连接方式。 适用场景 更适合规模较小、分支机构或远程办公点数量较少，网络需求相对简单，主要是实现与企业总部的直接通信和资源共享，对网络成本较为敏感的企业或组织。 网络服务办公组网（混合模式） 同时订购办公组网分区域带宽和平台授权服务费 适用于灵活调配的企业组网场景。 订购示例 定价示例1：云间互联、跨境组网场景 客户需求： 客户有100个分支点需访问总部业务系统，每点出口带宽10Mbps；总部出口带宽1Gbps 方案： 采用办公组网POP模式 定价示例： 分支和总部带宽之和：10010+10002000M 总费用/月35200070000元/月

Web应用防火墙（边缘云版）什么版本可以支持云虚拟主机吗？ Web应用防火墙（边缘云版）的所有版本都支持云虚拟主机。 云虚拟主机是基于云计算技术提供的虚拟化的主机服务，它可以在同一物理服务器上同时运行多个虚拟主机实例。Web应用防火墙（边缘云版）可以与云虚拟主机结合使用，为虚拟主机提供网络安全防护。通过配置和管理规则，可以检测和过滤针对虚拟主机的恶意请求，保护应用程序和数据的安全性。 Web应用防火墙（边缘云版）什么版本支持非标准化端口？ Web应用防火墙（边缘云版）目前支持标准化端口HTTP（80和8080端口）、HTTPS（443和8443端口），也支持非标准化的端口，但因WAF产品的版本不同有所限制：体验版、基础版、标准版仅支持标准化端口；专业版可支持10个特殊端口；旗舰版可支持50个特殊端口。具体套餐信息请参见套餐和版本说明。 如果您对支持非标准化端口有需求，可以通过客服工单系统提单联系我们咨询。 功能模块 描述 体验版 基础版 标准版 专业版 旗舰版 非标准端口防护 支持防护80、443以外的非标准端口上的业务。 × × × √，10个特殊端口转发 √，50个特殊端口转发

此小节介绍企业主机安全查看安全报告。 主机安全支持订阅日报、周报、月报和自定义，展现不同周期主机安全趋势以及关键安全事件与风险，订阅报告将为您保存6个月，以满足等保测评以及审计的需要。 注意 勾选订阅报告后，第二天即可查看、下载。 约束限制 未开启企业版、旗舰版、网页防篡改版、容器版防护不支持安全报告相关操作。 安全报告概览 1、登录管理控制台。 2、在页面左上角单击选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。。 4、左侧选择“安全报告”进入安全报告概览页面。服务预设了按月（default monthly security report）和按周（default weekly security report）统计的两个安全报告模板，可直接使用。 5、单击目标报告的“获取报告”，跳转至报告预览页，可查看报告信息、下载、发送报告。 查看报告发送记录 发送记录存储了邮件发送报告的发送详情。 1、单击安全报告概览页右上角的“报告发送记录”查看报告发送记录。 2、在弹窗中查看报告发送记录，参数说明如表所示。 报告发送详情 报告发送记录参数 参数名称 参数说明 报告名称 已发送报告的名称。 统计周期 目标发送报告内容的统计周期。 报告类型 目标发送报告的统计周期类型。 安全周报 安全月报 安全日报 自定义报告 邮件发送时间 目标报告发送的时间。 3、单击“操作”列的“获取报告”可查看历史发送的报告信息，同时可预览和下载报告。

本文为您介绍云搜索实例内用户的创建和权限配置功能。 原理介绍 系统默认有admin用户，在admin用户下，可以创建不同用户。 账号密码提供了身份认证（authc），通过角色的映射实现了授权（authz），两者共同实现了多用户下的安全控制。 功能介绍 Elasticsearch和OpenSearch的此项功能类似，下面以OpenSearch Dashboards为例说明。 在OpenSearch Dashboards的左边栏Security菜单中，用户可以实现集群、索引、文档、字段等不同粒度的访问权限管控，并且提供灵活的用户删除、用户和角色的绑定和解绑。 下面，我们就以创建新用户并赋予它一个具备一定的访问权限的角色为例。 注意 必须登录admin账号创建其他用户。 1、创建Internal users 点击左边栏Security后，选择右上角Create internal user来创建用户。在页面中，我们输入用户名密码，并点击右下角“Create”创建用户。 用户创建完成后，我们自动返回Internal users界面，可以看到search用户已经创建完成。 2、创建角色 角色通过索引、实例多维度的精细访问控制，实现对实例、索引权限的安全组划分。如果复用已有的默认角色（不可删除），则无需创建，可以跳过此步骤。 下面我们将演示如何自定义角色。 登录左边栏Security界面，选择Roles，并且在右上角点击Create role： 1. 我们分别创建了角色名SearchRole，并且，在Cluster permission中给它赋予了相应的安全组权限。 2. 我们给它设定了索引级别的更细粒度的Index permission。 3. 下面还可以设置Document和Field维度的进一步细粒度的权限控制。 4. 点击右下角的Create ，就可以创建好角色SearchRole。

前言——私有知识库作用简介 大模型私有知识库，作为大语言模型技术与企业、组织自有数据深度融合的创新知识管理及应用解决方案，能够为特定用户群体提供更为精准、专业且安全的知识服务。具体来讲，它是借助大语言模型搭建而成，专门为特定组织或个人定制的知识存储与检索系统。此系统会对组织内部的专业知识、业务数据、历史文档等各类信息进行深度整合与精细化处理，从而构建出独一无二的专属知识集合。依托大模型强大的语言理解与生成能力，用户能够在此基础上实现高效的知识查询与问答交互。 在本教程中，我们将为您详细介绍一种基于开源框架的私有知识库搭建方案。利用该方案，您可以在本地便捷地搭建起相应的私有知识库，大幅提升文本检索能力。 教程使用配置说明：C7通用型云主机 plaintext cpu 8核 内存 32G 优势 知识准确性：让模型访问定制的信息，从而提高回答的准确性和可靠性。 可解释性：检索过程可以明确指出回答所依据的信息来源，增强了回答的可解释性。 减少幻觉：降低了语言模型生成无事实依据内容（即“幻觉”）的可能性。 一、DeepSeek自部署 请参考在天翼云使用Ollama运行 DeepSeek的最佳实践7b版弹性云主机最佳实践AIGC实践 天翼云 自定义部署DeepSeek。

密钥自动轮转周期的可设置范围是什么？ 对称密钥支持设置自动轮转周期，周期最短为7天，最长为730天（2年）。 对称密钥支持设置自动轮转，系统根据自动轮转周期自动生成新的密钥版本，并将最新的版本设置为主版本，原密钥版本作为非主版本保存在KMS中，KMS不会删除或禁用非主版本，它们需要被用作解密数据。 非对称密钥是否支持自动轮转？ 非对称密钥不支持设置自动轮转，可以手动创建新的版本。 由于公私钥使用场景的特殊性，KMS不支持对非对称的用户主密钥进行自动轮转。可在指定用户主密钥中人工创建新的密钥版本，生成全新的一对公钥和私钥。 除此之外，和对称类型的用户主密钥不同，非对称的用于主密钥没有主版本（PrimaryKeyVersion）的概念，因此使用非对称密码运算的接口除需指定用户主密钥标志符（或别名）之外，还需指定密钥版本。 什么情况下需要导入外部密钥？ 当用户拥有自己的密钥材料，需要继续使用该密钥材料实现数据加解密，比如用户需要将本地加密数据迁移到云上时，云上云下共用同一个密钥材料，此时可以将密钥材料导入至KMS中进行托管，便于后续使用。 当您选择密钥材料来源为外部，使用您自己导入的密钥材料时，需要注意以下几点： 请确保您使用了符合安全要求的随机源生成密钥材料； 在使用导入密钥时，需要对自己密钥材料的可靠性负责； 请保存密钥材料的原始备份，以便在意外删除密钥材料时，能及时将备份的密钥材料重新导入KMS。

本节介绍如何查看基线检查结果。 操作场景 检查计划设置完成后，如果需尽快查看检查结果，可以在基线检查页面，执行立即检查。执行完成后，约10分钟后将可以在检查结果页面进行查看，立即检查相关操作请参见立即执行基线检查。 如果未执行立即检查，系统将按照已设置的检查计划，在指定时间内执行检查，例如，默认每隔3天检查一次，每次在00:00~06:00执行。检查完成后，将可以在检查结果页面中进行查看。 前提条件 已进行云服务基线扫描。 仅态势感知（专业版）专业版支持“操作系统配置基线”、“经典弱口令检测”、“口令复杂度策略检测”遵从包，需要提前在态势感知（专业版）接入企业主机安全HSS的“主机安全基线”日志且打开“主机安全基线”日志对应的“自动转告警”按钮。接入日志数据详细操作请参见接入日志数据。 操作步骤 查看某工作空间中所有检查项的检查结果。 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. （可选）在左侧导航栏选择“日志审计> 云服务接入”，进入云服务日志接入成页面后，在态势感知（专业版）所在行的“审计相关日志”列，开启合规基线日志设置。 每个Region的首个工作空间可自动加载当前Region所有数据，无需手动处理。后续新增的用于自定义运营的工作空间，不会自动加载数据，需要用户自定义接入。 本步骤介绍手动接入操作指导。 设置完成后，如果需尽快查看检查结果，可以在基线检查页面，执行立即检查。执行完成后，约10分钟后将可以在检查结果页面进行查看，立即检查相关操作请参见立即执行基线检查。 如果未执行立即检查，系统将按照已设置的检查计划，在指定时间内执行检查，例如，默认每隔3天检查一次，每次在00:00~06:00执行。检查完成后，将可以在检查结果页面中进行查看。 5. 在左侧导航栏选择“风险预防> 基线检查”，默认进入检查结果页面。 6. 在检查结果页面中，查看检查项的检查结果，参数说明如下所示： 参数名称 参数说明 风险资源及风险等级 最近一次支持基线检查的检查结果中，风险资源总数、不同风险等级的不合格检查项目数据和对应的风险资源的数量。 风险等级分为：致命、高危、中危、低危、提示几个级别。 策略扫描情况 对各个云服务的资产扫描后，合格、不合格以及检查失败数据信息。 安全包遵从状态 最近一次执行基线检查后，各个安全遵从包中合格、不合格以及检查失败数据和不合格检查项目所占比例。 检查结果合格率 最近一次执行基线检查的基线合格率。 检查结果合格率 基线检查合格项 / (合格项 + 不合格项 + 检查失败项) 100%，不涉及的检查项将不会计算在内。 安全遵从包及检查结果列表 展示所有遵从包以及检查结果列表。 如果需要查看某个遵从包的检查结果，可以在左侧选择需要查看的检查规范，右侧列表中将会展示该遵从包中的检查项的检查结果详情。 单击检查结果列表右上角的设置按钮，可以对列表展示（例如，是否换行、是否固定操作列等）进行设置。 如需查看某个基线检查项详情，可以单击待查看检查项名称，进入检查项目详情页面。 在检查项目详情页面，查看检查项目的详细描述、检查过程、检查结果和对应的检查资源等详细信息。

本文向您介绍怎样禁用通过SSH密码访问云主机的连接方式。 操作场景 安全性方面，SSH密钥连接方式的安全性高于密码连接方式。选择密钥方式连接云主机后，可以禁用密码连接云主机的方式。 说明 该设置方法仅适用于SSH远程连接操作，控制台登录过程仍然使用密码登录，请妥善保存云主机登录密码，如果密码丢失可执行重置密码操作。 操作步骤 1. 登录Linux云主机，执行以下命令打开sshdconfig文件的编辑界面。 vi /etc/ssh/sshdconfig 编辑SSH连接方式，把PasswordAuthentication yes改为PasswordAuthentication no。 2. 重启sshd服务后使更新后的配置生效，无报错则为重启成功。 CentOS6/ubuntu执行： service sshd restart CentOS7/CtyunOS执行： systemctl restart sshd 3. 重启该云主机后，使用SSH密码方式访问云主机，如果提示“Disconnected:No supported authentication methods available”，说明已成功禁用SSH密码连接方式。

本章节为您介绍如何登录综合安全网关实例。 综合安全网关是一款专为解决网络间安全互联而设计的高性能安全产品。 它基于SSL协议，能够在不可信的公共网络上建立安全、加密的通信隧道，确保数据的机密性和完整性。 该产品提供了强大的身份认证机制，支持多种认证方式，如密码、智能卡和生物识别等，有效防止未经授权的访问。 此外，综合安全网关还具有灵活的访问控制策略，可以根据用户身份和设备类型授予不同的访问权限，保护企业内部资源的安全。它易于部署和管理，支持各种操作系统和移动设备，满足远程办公和移动办公的需求，广泛应用于企业、政府机构和教育领域。 您成功购买综合安全网关服务实例后，可在天翼云云密评专区管理控制台登录。 开放端口要求 为避免网络故障或网络配置问题影响登录系统，请管理员优先检查网络配置是否允许访问综合安全网关，并参考下表配置实例安全组。 注意 您需要在对接综合安全网关实例的安全组下放通以下IP： 100.89.0.0/16 如何添加安全组规则请参考：添加安全组规则章节。 端口 端口用途 18443 使用综合安全网关的SSL VPN服务必开的端口。 1844418454 此端口范围为您新增网关安全服务时预留的端口范围，请您按需选择。

手动安装dto 使用条件 1. 无法使用自动安装时，可通过手动安装dto。 操作步骤 步骤一：网络配置 场景1：若同步资源为天翼云内资源时，需手动配置其需同步资源所在的虚拟私有云（VPC），并通过部署VPC终端节点（VPCEP）实现MDR网络代理与目标VPC的安全互联。 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择资源所在区域。 3. 在服务列表选择“网络”“VPC终端节点”，进入网络控制台。 4. 点击右上角“创建终端节点”按钮，进入创建VPC终端节点页面。 5. 在进行节点添加之前，需要把云主机所在的VPC，进行终端节点连接配置，截图如下： 服务类型选择“按服务实例ID查找服务”。其中，可用服务处填写MDR在不同资源池内的代理VPC终端节点服务ID（为MDR侧提供固定ID，不同资源池ID不同）。不同资源池对应的代理VPC终端节点服务ID如下： 资源池名称 终端节点服务ID 华东1 endpserbjs8nmhm5m 西南1 endpserfnc13o1uao 华南2 endpserx6xhocvz79 西南2 endpserikzxim4cpv 华北2 endpserlmmnp90xgx 虚拟私有云选择需要添加的ECS节点所在的VPC。 注意：此链接对于租户侧不收费，费用都在终端节点服务端侧（MDR）结算。 6. 租户配置终端节点成功后，点击详情页可查看节点IP。此节点IP就是后续安装drnode客户端时，需要进行配置填写的IP。 场景2：云下、其他 1. 云下或者其他场景，需要联系技术专家针对客户实际场景进行方案解决。 2. 主要网络打通方案参考： 1. 云下通过公网与MDR打通 2. 云下通过专线 3. 云下通过VPN 4. 云下通过SDWAN 步骤二：安装dto客户端 1） RHEL/CentOS（Linux）系统安装DTO a）安装DTO 当安装DTO的同步主机操作系统为el7.2及以上版本时，可以采用软件包方式安装DTO。 1. DTO软件程序可以部署在物理主机或虚拟机上，在Linux操作系统下安装DTO，用户需要准备适配的操作系统，支持的Linux操作系统版本详见上方“软硬件环境要求”章节，安装步骤如下： 将DTO安装包上传到服务器，执行DTO安装包的安装命令进行安装，访问安装包下载页面：

介绍获取媒体存储密钥步骤。 功能说明 媒体存储支持普通密钥管理、方便用户进行密钥的分发以及查看。 注意 媒体存储控制台仅展示存量密钥以及天翼云统一身份认证的AccessKey信息，如需新增或删除AccessKey，请点击前往：统一身份认证服务 。 应安全合规要求，为进一步降低密钥泄漏风险，自2025年12月1日起，媒体存储将对用户控制台密钥管理展示做出以下调整： 自2025年12月1日后订购媒体存储的新用户，请在统一身份认证服务留存信息。媒体存储控制台不提供SecurityKey信息查询。 对于历史用户，则于2026年1月1日起，媒体存储控制台将不再提供SecurityKey查询。请及时到控制台留存存量的SecurityKey信息。 子用户的密钥展示规则跟其所属的主账号展示规则一致。 使用说明 名词说明： 存量密钥：指原在媒体存储控制台创建的密钥对。 CTIAM新增密钥：指通过天翼云统一身份认证创建的密钥对。 媒体存储自2024年11月13日起，已与天翼云统一身份认证（简称CTIAM）子账号体系互通，媒体存储控制台仅展示天翼云统一身份认证的AccessKey信息。 如需新增、禁用、启用、删除CTIAM新增密钥的AccessKey，请点击前往：统一身份认证服务 。 存量密钥可在媒体存储控制台查看，不会同步至CTIAM展示，但不影响存量AK/SK使用；存量密钥仍可通过媒体存储控制台进行启用、禁用、删除操作。 密钥禁用后将无法继续使用通过AWS S3标准API或媒体存储SDK进行访问访问对象存储。 媒体存储支持用户同时使用多个区域，密钥操作也是在所有区域均会生效，当某个区域操作失败时可以通过页面右上角【刷新】功能进行重试，直至所有区域均同步成功。

本节介绍如何配置AntiDDoS流量清洗日志到云日志服务。 启用AntiDDoS防护功能后，您可以将攻击日志记录到云日志服务（Log Tank Service，简称LTS）中，通过LTS记录的AntiDDoS日志数据，快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。 前提条件 已开通云日志服务。 操作步骤 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表中，选择“安全 > AntiDDoS流量清洗”，进入AntiDDoS服务管理界面。 4. 选择“日志”页签，开启日志，并选择日志组和日志流。 日志参数说明： 参数 说明 选择日志组 选择已创建的日志组，或者单击“查看日志组”，跳转到LTS管理控制台创建新的日志组。 记录攻击日志 选择已创建的日志流，或者单击“查看日志流”，跳转到LTS管理控制台创建新的日志流。 攻击日志记录每一个攻击告警信息，包括攻击类型、防护的IP等信息。 5. 单击“确定”，日志配置成功。 您可以在云日志服务管理控制台查看AntiDDoS的防护日志。 日志字段说明 全量日志字段说明 字段 说明 logType 日志类型。默认为“ipattacksum”，攻击日志。 deviceType 上报日志的设备类型。默认为“CLEAN”，清洗设备。 inKbps 入流量（单位：kbps）。 maxPps 入流量峰值（单位：pps）。 dropPps 丢弃的流量均值（单位：pps）。 maxAttackInBps 攻击流量峰值时刻的入流量值（单位：bps）。 currentConn 当前连接数。 zoneIP 防护的IP。 logTime 日志产生的时间。 attackType 攻击类型。数值对应的攻击类型请参见攻击类型说明。 inPps 入流量（单位：pps）。 maxKbps 入流量峰值（单位：kbps）。 dropKbps 丢弃的流量均值（单位：kbps）。 startTime 攻击开始时间。 endTime 攻击结束时间，为空时则表示攻击还未结束。 maxAttackInConn 攻击流量峰值时刻的连接数。 newConn 新建连接数。

本文介绍了访问RDSPostgreSQL实例应该如何配置安全组。 RDSPostgreSQL配置安全组具体步骤如下： 1. 如要连接RDSPostgreSQL实例，则需要配置安全组规则，实例默认绑定默认安全组和规则。 2. 将ECS或本地设备IP地址及目标实例端口加入安全组允许访问范围中。 3. 安全组配置可参考安全组简介。 4. 关于修改实例安全组的方法，详见修改实例安全组。

参数 参数类型 说明 示例 下级对象 id String 集群id 00c3a04292996955752f073c995a1cc6 managerClusterId Integer manager定义的集群id 1 iaasType String 平台 公有云 regionId String 资源池id bb9fdb42056f11eda1610242ac110002 regionName String 资源池名称 华东1 availableZoneId String 可用区id cnhuadong1jsnj1Apublicctcloud availableZoneName String 可用区名称 可用区1 clusterName String 集群名称 test1218 payType String 付费类型 包年包月 clusterType String 集群类型 云搜索 clusterTypeVersion String 产品版本 翼MR2.12.0 clusterPlanCode String 集群规划编码 cloudsearch componentNameList String 组件名称列表 [{componentTitle:ElasticSearch,version:7.10.2},{componentTitle:Kibana,version:7.10.2}]] datasourceConfigs String 数据源信息 [] vpcId String vpc id vpc0k5xl6w5 subnetId String 子网id subneti2ys8sp securityGroupId String 安全组id [sg4h7w9cl1] loginType String 登录方式 PASSWORD clusterDueTime Integer 集群到期时间 1709193751000 userId String 用户id ba14c8e729e447d69698f81ac7d55555 accountId String 账号id ed24e4b414a048b0a9cb995f59cc85jj clusterCreateTime Integer 集群创建时间 1706515357000 clusterState String 集群状态 运行中 managerVersion String manager版本号 2.15.1 enableIpv6 String Ipv6是否开启(OPEN:打开, CLOSE:关闭, NOTDISPLAY:不展示,null:不展示) OPEN createTime Integer 创建时间 1706515356000 updateTime Integer 更新时间 1706515356000 autoRenewStatus Integer 是否开启自动续订的状态(0:不自动续订,1:自动续订) 1 clusterRunningSeconds Long 集群运行时间 0 pathMap Map of String 组件名称:组件链接 { "Kibana": "1,1", "ElasticSearch": "1,1" }

本章节会介绍如何修改数据库安全组。 操作场景 关系型数据库服务支持修改数据库引擎的主实例和只读实例的内网安全组，对于主备实例，修改主实例的内网安全组，备实例的内网安全组会被同步修改。 注意事项 开启读写分离功能后，如果需要修改实例安全组，请联系客服申请。 读写分离开启状态下修改主实例的安全组，会同时修改只读实例的安全组，只读实例不允许单独修改。请提前检查修改后的安全组配置是否符合预期，避免对现有业务产生影响。 RDS实例所绑定的安全组可以进行添加、修改安全组规则、删除等操作。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择指定的实例，在实例列表中，选择对应的主实例或只读实例，单击实例名称。 步骤 5 在“基本信息”页签“连接信息”模块的“安全组”处，单击“管理”。 您可以同时勾选多个安全组，数据库实例的访问规则先根据绑定安全组的顺序，再根据组内规则的优先级生效。 如需创建新的安全组，请单击“创建安全组”。 说明 使用多个安全组可能会影响网络性能，建议您选择安全组的数量不多于5个。 步骤 6 单击“是”，提交修改。 结束

视频地址 在【视频地址】标签卡，可以看到该视频条目下的原始视频和所有转码后视频（如下图所示）。 其中原始视频位于列表首位，每一个转码后视频将按照转码完成时间降序排列。每个转码后视频，在该页展示的名称为该视频对应转码模版的名称。 在列表中，每个视频都会展示封装格式、视频宽、高、码率等基础元数据信息。 您可以点击【视频预览】播放相关视频。需要注意，由于浏览器对部分视频编码格式存在版权限制，因此在预览框可能会提示“该视频格式不支持”或出现有声音无图像等现象。此时并不意味着该视频损坏。您可以使用播放器客户端预览视频。 您也可以点击【复制地址】获得当前视频的URL地址。需要注意，当您的点播实例存储桶设置为【公共读】时，你获得的URL地址为不带签名的地址。当您的点播实例存储桶设置为【私有】时，你获得的URL地址为携带签名的地址，且该地址的有效期不超过24小时。为保护您的音视频文件的安全，云点播的点播实例存储桶在设置为【私有】时，不允许签名的有效期大于7天。如您需要在自己的播放网站上发布播放地址，请勿使用云点播控制台的【复制地址】功能获得播放地址。应该使用云点播的SDK或API生成相关预签名的发布地址。详情可查看签名应用及示例（V2版本）、鉴权签名及示例（V4版本）和对视频文件进行签名。

本节介绍容器迁移。 基于 CCE One 容器迁移能力，帮助业务将本地IDC或三方云上的Kubernetes容器集群，迁移到天翼云云容器引擎服务；迁移过程安全、可靠、灵活、高效，无需停机，热迁移、对业务零影响。 工作原理 将应用从一个环境迁移到另一个环境是一项具有挑战性的任务，因此仔细的规划和准备至关重要。天翼云CCE One的容器迁移服务通过以下五个阶段为您提供全流程迁移指导： 1. 集群评估：在此阶段，您需要评估源集群的规模以决定目标集群的类型和资源规模。 2. 依赖数据迁移：在这个阶段，基于天翼云上的云迁移、云备份等标准云产品服务，您将迁移镜像以及依赖服务的相关数据。 3. 元数据迁移：在此阶段，您需要通过容器备份/恢复功能或集群联邦方式，将应用元数据从源集群迁移到目标集群，从而让应用在目标集群中正常运行起来。 4. 应用迁移：在这个阶段，您可以通过特定方式进行流量调度，例如智能DNS+单集群LB或多集群Ingress、多集群Service等，将业务流量逐步从源集群迁移到目标集群。 5. 业务验证：流量迁移过程中及流量迁移完成后，您可以对迁移后业务允许情况进行验证，以确保服务运行符合预期。 通过遵循天翼云CCE One容器迁移服务的全流程迁移指导，您可以更顺利地将应用从一个环境迁移到另一个环境。