本文介绍如何查看计费详情数据，可以了解安全加速的套餐详情和资源包使用情况。 CDN部分计费按照1000进制从Byte换算到Gbps。 套餐详情管理 安全加速的计费方式、WAF防护的套餐与计费、抗D服务的套餐与计费。 图 计费详情 资源包管理 资源包购买成功后次日00:00时生效，自动抵扣所覆盖产品产生的数据，有效期为一年； 资源包购买后不支持退款，到期后未用完的资源将清零，不支持转移到其他资源包； 购买多个资源包时，当某个资源包用尽后默认自动开启下一个临近到期的相同类别的资源包； 当资源包用尽或者过期后，默认转为按需计费。 1.订购安全加速产品后，可支持订购安全加速的资源包，并根据所开功能对资源包进行抵扣。 使用条件： 1）计费方式为“流量“：开通安全加速和WAF防护的用户，可抵扣“安全加速流量包“、“防护请求数包”和”静态https请求数包“；开通安全加速和抗D服务的用户，可抵扣”安全加速流量包“和“静态https请求数包”。 2）计费方式为“日带宽“：开通安全加速和WAF防护的用户，可抵扣“防护请求数包”和“静态https请求数包”；开通安全加速和抗D服务的用户，可抵扣“静态https请求数包”；计费方式为“日带宽”不能抵扣流量包，需要变更计费方式为“流量”。 2.资源包可叠加购买，购买多个相同类型的资源包，抵扣顺序依据资源包的到期时间先后排序，有效期不叠加计算。 3.资源包不支持退订，资源包订购成功后，不支持退订退款；资源包到期后，未用完的资源自动清零，不支持结转。 4.资源包的有效期为自购买成功后一年内有效；“任一资源包用尽”或“有效期结束”，将自动转按量计费。 5.资源包中的”安全加速流量包“是供边缘节点上行和下行总流量使用；“日带宽”计费客户，如需使用“安全加速流量包”，需将计费方式变更为“流量”。可叠加购买：购买多个相同类型的资源包，抵扣顺序依据资源包的到期时间先后排序，有效期不叠加计算。 不支持退订：资源包订购成功后，不支持退订退款；资源包到期后，未用完的资源自动清零，不支持结转。 有效期：自购买成功后一年内有效；“任一资源包用尽”或“有效期结束”，将自动转按量计费。 图 资源包管理

本文为您介绍容器安全卫士的产品定义及安全能力。 容器安全卫士是作用于容器集群的安全防护产品，提供了对容器环境下，业务动态及静态安全风险的事前发现、事中预警、事后溯源的安全闭环。可方便快捷的解决业务容器化后带来的安全问题。 容器安全卫士产品主要安全能力包括：深度资产清单、实时风险发现、快速安全防护、及时事后溯源。 深度资产清单 对容器集群等基础资产可进行自动清点，在此基础上，还会进一步识别容器进程、容器挂载、容器端口、容器软件等深度资产信息，并会进行全资产的关联，便于分析。 实时风险发现 针对静态风险，会识别漏洞、恶意文件、软件许可、风险软件、敏感信息等全面的风险。针对动态风险，采用触发式的方式，实时监测业务产生的所有行为，并进行智能研判，快速预警。 快速安全防护 基于相关能力可快速定位风险影响范围，同时提供详细的风险信息，帮助用户对风险进行判断，确定风险后，可立即进行加白、隔离等快速安全防护处置。 及时事后溯源 由于容器特性，在容器消逝后，运行过程中的行为数据不再保留。容器安全卫士不但会记录正在运行业务的容器及相关信息，对已经消逝的容器也会对其详细行为信息进行保留，以防止事后发现安全事件无法溯源的问题。

产品名称 端口 端口用途 综合安全网关 18443 使用综合安全网关的SSL VPN服务必开的端口。 综合安全网关 1844418454 此端口范围为您新增网关安全服务时预留的端口范围，请您按需选择。

AOne会议的本地录制功能支持将会议内容(包括音视频、屏幕共享等内容)录制后存储至本地,方便会后回放与分享。 开启本地录制 1. 入会后，主持人或联席主持人在底部工具栏点击“录制”按钮。 2. 在弹出的菜单中选择“本地录制”。 3. 本地录制开启后，会弹窗通知所有参会者。同时所有参会者的人员列表中的录制人员一行会显示本地录制小图标。 结束本地录制 1. 录制开始后，底部工具栏的“录制”按钮会切换为“结束录制”。 2. 会议进行中，可通过底部工具栏点击“结束录制”按钮停止录制，或将鼠标悬浮在窗口左上角的本地录制小图标上，再点击下拉窗口的“结束录制”按钮停止录制。 本地录制文件查看和管理 1. 会议录制者可在会议客户端首页的“设置”>“录制”>“本地录制”找到本地录制存储路径，查看和管理本地录制视频。 注意事项 支持主持人/联席主持人停止某个用户的本地录制。 本地录制的权限由主持人（含联席主持人）通过"安全模块"进行控制。 同一个人，无法同时开启本地录制、云录制。

本节介绍边缘虚拟机支持的装机镜像类型及操作系统。 简介 镜像是一个包含了软件及必要配置的虚拟机模板，至少包含操作系统，还可以包含应用软件（例如：数据库软件）和私有软件。您可以使用镜像创建虚拟机。 镜像分为公共镜像和自定义镜像，公共镜像为系统默认提供的镜像，自定义镜像为用户自己创建的镜像。 用户可以灵活便捷的使用公共镜像或者自定义镜像申请虚拟机。同时，用户还能通过已有的虚拟机创建私有镜像，这样能快速轻松地启动能满足您一切需求的新虚拟机。例如，如果您的应用程序是网站或Web服务，您的自定义镜像可能会包含Web服务器、相关静态内容和动态页面代码，您通过这个镜像创建虚拟机之后，您的Web服务器将启动。 镜像类型 公有镜像：常见的标准操作系统镜像，所有用户可见，包括操作系统以及预装的公共应用。公共镜像具有高度稳定性，皆为正版授权，请放心使用，用户也可以根据实际需求自助配置应用环境或相关软件。目前ECX公有镜像也支持不同的国产化镜像，部分常见操作系统及支持的版本等信息见下表，具体清单可登录边缘虚拟机控制台，进入【镜像>公有镜像】进行查看。 操作系统 系统位数 版本 CentOS 64 8.2 CentOS 64 8.1 CentOS 64 7.9 CentOS 64 7.8 CentOS 64 7.7 CentOS 64 7.6 CentOS 64 7.4 CentOS 64 6.5 Ubuntu 64 22.04 Ubuntu 64 20.04 Windows Server 64 2019 Datacenter Windows Server 64 2016 Datacenter Windows Server 64 2016 Standard Windows Server 64 2012 R2 Datacenter Debian 64 10.12 Debian 64 10.9 Debian 64 9.13 KylinServer 64 10 CTyunOS 64 3.0 x86 CTyunOS 64 3.0 ARM UOSServer 64 20 自定义镜像：包含操作系统或业务数据、预装的公共应用以及用户的私有应用的镜像，仅用户个人可见。

本章节介绍云硬盘备份的场景说明,包含一次性备份和周期性备份。 云硬盘备份提供两种配置方式，一次性备份和周期性备份。一次性备份是指用户手动创建的一次性备份任务。周期性备份是指用户通过创建备份策略并绑定云硬盘的方式创建的周期性备份任务。 云硬盘备份的两种配置方式对比如下表，可根据实际情况选择适合的配置方式。 对比项 一次性备份 周期性备份 备份策略 不需要 需要 备份次数 手动执行一次性备份 根据备份策略进行周期性备份 单次可备份的云硬盘数目 1个 无限制由服务器性能决定 备份名称 支持自定义 系统自动生成 建议使用场景 云主机进行操作系统补丁安装、升级，应用升级等操作之前，以便安装或者升级失败之后，能够快速恢复到变更之前的状态。 云主机的日常备份保护，以便发生不可预见的故障而造成数据丢失时，能够使用邻近的备份进行恢复。 另外，用户也可以根据业务情况将两种方式混合使用。例如，根据云硬盘中存放数据的重要程度不同，可以将所有的云硬盘加入到一个备份策略中进行日常备份保护。其中个别保存有非常重要的数据的云硬盘，根据需要不定期的执行一次性备份，保证数据的安全性。

本节介绍了安装并配置CloudbaseInit工具的操作场景、前提条件、安装CloudbaseInit工具、配置CloudbaseInit工具。 操作场景 为了保证使用私有镜像创建的新云主机可以通过“用户数据注入”功能注入初始化自定义信息（例如为云主机设置登录密码），建议您在创建私有镜像前安装CloudbaseInit工具。 不安装CloudbaseInit工具，将无法对云主机进行自定义配置，只能使用镜像原有密码登录云主机。 使用公共镜像创建的云主机，默认已经安装CloudbaseInit，不需要执行安装及配置操作。 使用外部镜像文件创建的云主机，请按照指导安装及配置CloudbaseInit。 前提条件 已为云主机绑定弹性公网IP。 已登录到云主机。 云主机的网卡属性为DHCP方式。 已安装一键式重置密码插件。 因为安装CloudbaseInit工具的操作步骤中如果有重启云主机的操作，可能导致密码被修改为一个随机密码，所以需要安装一键式重置密码插件重置密码。操作步骤请参考安装一键式重置密码插件。 安装CloudbaseInit工具 1. 在Windows操作系统中，单击“开始”，选择“控制面板 > 程序 > 程序和功能”查看是否安装CloudbaseInit。 − 是，无需重复安装，直接执行下文“配置CloudbaseInit工具”。 − 否，执行以下安装操作步骤。 2. 操作系统是否为Windows桌面版。 − 是，执行3。 − 否，若操作系统为Windows Server版本，请执行4。 3. 如果操作系统是Windows桌面版，如Windows 7或者Windows 10，那么需要在安装CloudbaseInit前确保Adminstrator账号未禁用。以Windows 7为例，具体操作请以实际为准。 a. 在操作系统中单击“开始”，选择的“控制面板 > 系统和安全 > 管理工具”。 b. 双击“计算机管理”。 c. 选择“系统工具 > 本地用户和组 > 用户”。 d. 右键单击“Administrator”，选择“属性”。 e. 确认已取消勾选“账户已禁用”选项。 4. 下载CloudbaseInit工具安装包。 根据Windows操作系统的不同位数，您需要下载不同版本的CloudbaseInit工具安装包。Cloudbase官网： CloudbaseInit分为稳定版本和Beta版本两种。 稳定版本获取路径： − 64位： − 32位： Beta版本获取路径： − 64位： − 32位： 5. 双击打开CloudbaseInit工具安装包开始安装。 6. 单击“Next”。 7. 勾选“I accept the terms in the License Agreement”，单击“Next”。 8. 使用CloudbaseInit默认安装路径进行安装，单击“Next”。 9. 在“Configuration options”窗口中，设置用户名为“Administrator”，日志输出串口选择“COM1”，且不勾选“Run CloudbaseInit service as LocalSystem”。如下图所示。 说明： 图片中的版本号仅供参考，请以实际情况为准。 设置参数 10. 单击“Next”。 11. 单击“Install”。 12. 在“Files in Use”窗口保留默认勾选“Close the application and attempt to restart them”，单击“OK”。 13. 操作系统是否为Windows桌面版。 − 是，执行15。 − 否，执行14。 14. 在“Completed the CloudbaseInit Setup Wizard ”窗口，请勿勾选“Run Sysprep to create a generalized Image. This is necessary if you plan to duplicate this instance, for example by creating a Glance image”及“Shutdown when Sysprep terminate”。如下图所示。 完成安装 说明： 图片中的版本号仅供参考，请以实际情况为准。 15. 单击“Finish”。

本章节主要介绍修改实例安全组 操作场景 分布式关系型数据库服务支持修改数据库实例的安全组。 操作步骤 1、在分布式关系型数据库服务“实例管理”页面，选择指定的实例，单击实例名称。 2、在基本信息页面，在“网络信息”模块的“安全组”处，单击，选择对应的安全组。 单击，提交修改。 单击，取消修改。 3、在实例的基本信息页面，查看修改结果。

本节介绍了在RabbitMQ实例中如何创建、修改和删除用户。 背景信息 客户端访问分布式消息服务RabbitMQ 版服务端时，需要传入用户名和密码进行权限认证，认证通过才允许访问服务端。 操作步骤 创建用户 1.登录管理控制台。 2.进入RabbitMQ管理控制台。 3.在实例列表页在操作列，目标实例行点击“管理”。 4.点击“集群管理”后点击“用户”到达用户管理页面，点击“新建”按钮。 5.点击“新建”后出现以下画面，输入用户密码后点击“确定”即可创建。 修改用户 1.在用户管理页面，在目标用户行点击“修改”，即可重置用户密码。 删除用户 1.在用户管理页面，在目标用户行点击“删除”，即可删除用户。 获取用户token 仅云原生引擎支持 （1）登录管理控制台。 （2）进入RabbitMQ管理控制台。 （3）在实例列表页在操作列，目标实例行点击“管理”。 （4）点击“集群管理”后点击“用户”到达用户管理页面，点击“Token”按钮。 在RabbitMQ中，获取用户令牌（token）的作用如下： 认证和授权：用户令牌用于认证和授权用户对RabbitMQ的访问权限。通过获取有效的用户令牌，可以验证用户的身份，并根据其权限配置来限制或授予其对虚拟主机、队列、交换机等资源的访问权限。 安全性：通过使用用户令牌进行认证，可以增加RabbitMQ系统的安全性。只有具有有效令牌的用户才能访问和执行相应的操作，从而减少了未经授权的访问和潜在的安全风险。 资源管理：用户令牌可以用于管理和限制用户对RabbitMQ资源的使用。通过为每个用户分配独立的令牌，可以控制其对虚拟主机、队列、交换机等资源的使用情况，避免资源滥用或过度消耗。 追踪和审计：通过用户令牌，可以追踪和记录用户对RabbitMQ的操作和访问历史。这对于安全审计、故障排查和性能优化等方面非常有用，可以帮助管理员了解系统的使用情况和问题定位。 总之，获取用户令牌是为了实现认证、授权和安全性，以及对RabbitMQ资源的管理和追踪。通过令牌，可以确保只有经过授权的用户才能访问和操作RabbitMQ，提高系统的安全性和可管理性。

本文介绍如何在天翼云APP注册或登录天翼云账号。 如何在APP注册天翼云账号 短信注册 1、打开天翼云APP，选择【我的】 2、点击【登录/注册】按钮，选择切换至短信注册方式 3、若该手机号已经注册过天翼云账号，可选择继续注册或选择已有账号登录 注意 一个手机号最多可注册5个天翼云账号，超出则不再支持注册新的天翼云账号 通过短信注册的账号默认开启短信登录功能，若关闭此功能，请确保已设置登录密码，便于后期使用账号登录 账号注册 1、打开天翼云APP，选择【我的】 2、点击【登录/注册】按钮，填写账号信息 3、注册成功后可可返回登录界面进行账号登录 如何在APP登录天翼云账号 短信登录 1、打开天翼云APP，选择【我的】 2、点击【登录/注册】按钮，选择其他方式 3、填写手机号及验证码 账号登录 1、打开天翼云APP，选择【我的】 2、点击【登录/注册】按钮，选择其他方式 3、填写账号及密码 如何使用天翼云APP扫码登录 用户可以在PC端和APP端使用同一个天翼云账号，支持通过天翼云APP扫码登录PC端。 1、在PC端选择扫码登录 2、使用天翼云APP【扫一扫】功能，扫描PC端的二维码 注意 天翼云APP需要为已登录状态 3、在天翼云APP的安全提示界面，选择【确认登录】 4、PC端登录成功

本文介绍如何使用异常行为智能识别。 功能介绍 基于智能算法和大数据行为分析，分析客户业务流量的特征，智能识别攻击和误拦截请求。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通套餐为旗舰版及以上版本。 设置异常行为智能识别模型 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【智能防护】菜单，选择【异常行为智能识别】模块。 3. 选择业务适合的【分析模型】，模型配置说明如下： 配置说明 配置项 说明 开关 分析模型开关。 开关开启，模型运行； 开关关闭，模型停止运行。 分析域名 选择需要分析的对象，选择已经完成接入服务的域名。 异常判断条件 不同分析模型的分析条件不同，您可以根据实际的业务场景选择适合的模型。 异常客户端IP识别多UA：适用于单客户端IP有多UA的攻击特征； 异常客户端IP识别扫描大量URL：适用于单客户端IP扫描大量URL的攻击特征； 异常客户端IP识别攻击集中少量URL：适用于单客户端IP集中攻击少量URL的攻击特征； 异常客户端IP识别反复触发策略：适用于单客户端IP反复触发访问控制/频率控制/CC防护策略的攻击特征； 异常客户端IP+UA识别反复攻击少量URL：适用于单客户端（IP+UA），反复攻击少量的URL的攻击特征； 异常UA识别识别单客户端IP变更UA扫描：适用于单客户端IP变更UA扫描的攻击特征。 分析频率 分析频率为分析任务执行频率；统计周期超过12小时，建议分析频率设置大于等于5分钟；统计周期达到24小时，建议分析频率设置大于等于10分钟。 URL是否统计问号后参数 统计URL的范围是否包含问号后参数。 注意 如果我们开放的分析模型不能满足您的需求，请通过

接口描述 查询安全组列表 接口约束 无 URI GET /v1/eop/securitygroups 请求参数 参数 是否必填 参数类型 说明 示例 下级对象 vpcId 否 String VPC ID cfcbed30ca9e432daa8b87ef0eb6a9aa 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 状态码 800 message String 消息提示 SUCCESS returnObj Array 安全组列表 List SecurityGroup 参数 参数类型 说明 示例 下级对象 regionId String 资源池ID 100054c0416811e9a6690242ac110002 resSecurityGroupId String 安全组ID d626b4cccefd4cb1b28a0e13bc77928d vpcId String 安全组对应的vpc ID cfcbed30ca9e432daa8b87ef0eb6a9aa name String 安全组名称 default 请求示例 /v1/eop/securitygroups?vpcIdcfcbed30ca9e432daa8b87ef0eb6a9aa 响应示例 { "message": "SUCCESS", "returnObj": [ { "name": "default", "regionId": "100054c0416811e9a6690242ac110002", "resSecurityGroupId": "d626b4cccefd4cb1b28a0e13bc77928d", "vpcId": "cfcbed30ca9e432daa8b87ef0eb6a9aa", } ], "statusCode": 800 }

ODBC驱动 选择相应的版本，然后单击“下载”可以下载与集群版本匹配的ODBC驱动。如果同时拥有不同版本的集群，单击“下载”时会下载与集群最低版本相对应的ODBC驱动。如果当前没有集群，单击“下载”时将下载到低版本的ODBC驱动。DWS 集群可向下兼容低版本的ODBC驱动。 单击“历史版本”可根据操作系统和集群版本下载相应版本的ODBC驱动，建议按集群版本进行下载。 ODBC驱动支持在以下系统中使用： “Microsoft Windows”驱动支持在以下系统中使用： Windows 7及以上。 Windows Server 2008及以上。 Euler Kunpeng64”驱动支持在以下系统中使用： EulerOS 2.8。 “RedhatKunpeng64”驱动支持在以下系统中使用： CentOS 7.5,7.6。 NeoKylin 7.6。 ”Redhat x8664”驱动支持在以下系统中使用： RHEL 6.4~7.6。 CentOS 6.4~7.4。 EulerOS 2.3。 ”SUSE x8664”驱动支持在以下系统中使用： SLES 11.1~11.4。 SLES 12.0~12.3。 说明 Windows驱动只支持32位版本，可以在32或64位操作系统使用，但是应用程序必须为32位。 使用JDBC连接数据库 DWS 支持在Linux或Windows环境下使用JDBC应用程序连接数据库。应用程序可以在云平台环境的弹性云主机中，或者互联网环境连接数据库。 用户通过JDBC连接DWS 集群时，可以选择是否采用SSL认证方式。SSL认证用于加密客户端和服务器之间的通讯数据，为敏感数据在Internet上的传输提供了一种安全保障手段。DWS 管理控制台提供了自签的证书供用户下载。使用该证书，用户需要配置客户端程序，使证书可用，此过程依赖于openssl工具以及java自带的keytool工具。 说明 SSL模式安全性高于普通模式，建议在使用JDBC连接DWS 集群时采用SSL模式。 JDBC接口的使用方法，请自行查阅官方文档。

本节主要介绍相关术语解释 工作负载 工作负载即Kubernetes对一组Pod的抽象模型，用于描述业务的运行载体，包括Deployment、Statefulset、Job、Deamonset等。 无状态工作负载（即kubernetes中的“Deployments”）：Pod之间完全独立、功能相同，具有弹性伸缩、滚动升级等特性。如：nginx、wordpress。 有状态工作负载（即kubernetes中的“StatefulSets”）：Pod之间不完全独立，具有稳定的持久化存储和网络标示，以及有序的部署、收缩和删除等特性。如：mysqlHA、etcd。 实例（Pod） Pod是 Kubernetes 部署应用或服务的最小的基本单位。一个Pod 封装多个应用容器（也可以只有一个容器）、存储资源、一个独立的网络 IP 以及管理控制容器运行方式的策略选项。 金丝雀发布 又称灰度发布，是迭代的软件产品在生产环境安全上线的一种重要手段。在生产环境上引一部分实际流量对一个新版本进行测试，测试新版本的性能和表现，在保证系统整体稳定运行的前提下，尽早发现新版本在实际环境上的问题。 蓝绿发布 蓝绿发布提供了一种零宕机的部署方式。不停老版本，部署新版本进行测试，确认运行正常后，将流量切到新版本，然后老版本同时也升级到新版本。始终有两个版本同时在线，有问题可以快速切换。 流量治理 应用流量治理提供可视化云原生应用的网络状态监控，并实现在线的网络连接和安全策略的管理和配置，当前支持HTTP、TCP流量下的路由规则、负载均衡、会话保持、连接池管理、RBAC等能力。

%^&+l)。 弱口令检查。 确认密码 再次输入安全管理员密码。 审计管理员 用户命名要求如下： 只能由小写字母、数字或下划线组成。 必须以小写字母或下划线开头。 长度为6～64个字符。 用户名不能为DWS数据库的关键字。 DWS数据库的关键字，具体请参见《数据仓库服务数据库开发指南》中“SQL参考>关键字”章节。 auditadmin 密码 密码复杂度要求如下： 密码长度为8～32个字符。 不能与用户名或倒序的用户名相同。 密码至少包含大写字母、小写字母、数字和特殊字符四类中的三类，其中可输入的特殊字符为：~!@ %^&()+l[{}];:, /?。 弱口令检查。 确认密码 再次输入审计管理员密码。 5.单击“应用”。 6.在弹出的“保存配置”窗口中，选择是否勾选“立即重启集群”，然后单击“是”。 如果勾选“立即重启集群”，系统将保存“安全设置”页面的配置并立即重启集群，集群重启成功后安全设置将立即生效。 如果不勾选“立即重启集群”，系统将只保存“安全设置”页面的配置。稍后，用户需要手动重启集群才能使安全设置生效。 安全设置完成后，在“安全设置”页面，“配置状态”有如下3种状态： “应用中”：表示系统正在保存配置。 “已同步”：表示配置已保存生效。 “需重启生效”：表示配置已保存但还未生效。如需生效，需重启集群。

本小节介绍安全专区账号访问控制。 如需限制账号登录地址，可在【系统管理】→【白名单列表】进行操作，点击【添加IP】，设置白名单信息。 IP地址：可登录访问安全专区的客户IP地址， 用户账号：为登录安全专区的账号。

本节主要介绍OBS服务协议。 自2021年11月11日起，新版对象存储服务协议生效，详情请参见这里。 中国电信天翼对象存储系统服务协议 历史版本（2012年11月10日）

本节为您介绍如何通过云主机创建整机镜像,包括Linux和Windows操作系统。 操作场景 您可以使用弹性云主机将其挂载的数据盘一起创建整机镜像，云主机整机镜像包含系统盘与数据盘，使用挂载有数据盘的云主机创建的整机镜像包含操作系统、应用软件，以及用户的业务数据。可用于快速发放相同配置的弹性云主机，实现数据迁移。 前提条件 系统盘或数据盘加密的云主机不可创建整机镜像。 整机镜像只能通过云主机创建，不能通过镜像文件创建。 如果只有系统盘的云主机，不支持创建整机镜像，请选择系统盘镜像。 当删除整机镜像时，对应的整机备份同时删除。 使用整机镜像购买云主机时，在磁盘选项里面，系统盘与数据盘的类型与整机镜像的系统盘数据盘类型相同，不可更改。数据盘大小不可更改，系统盘大小必须大于等于整机镜像中的系统盘大小。如整机镜像有多块数据盘，则购买页面亦有多块数据盘，且不能删除数据盘。计费标准与正常挂载数据盘一致。 整机镜像不支持导入、导出功能。 节省关机状态下的云主机不支持创建镜像。 注意 请确保已删除实例中的敏感数据，避免数据安全隐患。 弹性云主机与其创建的私有镜像属于同一个地域，不能跨地域使用。 创建私有镜像的过程中，请勿对所选云主机及其相关联资源进行任何操作。 创建整机镜像所需时间取决于云主机系统盘的大小，私有镜像创建完成才可以使用，请您耐心等待。

本文为您介绍云监控IAM权限策略。 统一身份认证IAM介绍 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。 1、身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，缩小不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 2、权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素“Action”“Effect”等信息。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略: 系统策略 ： 预置的系统策略，您只能使用不能修改，具体说明请查看系统策略。 其中云监控服务相关的系统策略包含如下： 云监控管理者(admin) ：云监控服务的管理者权限，包含云监控服务的所有控制权限； 云监控查看者（viewer）:云监控服务的查看者权限，包含资源列表、告警规则列表查看等权限； 自定义策略 ： 您按需自行创建和维护的权限策略，关于自定义策略的操作和示例，请参见创建自定义策略。

本文主要介绍ELB的权限。 如果您需要对云上创建的弹性负载均衡资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制云上资源的访问。详请请参见统一身份认证。 通过IAM，您可以在云帐号中给员工创建IAM用户，并使用策略来控制他们对云上资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有ELB的使用权限，但是不希望他们拥有删除负载均衡器等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用负载均衡器，但是不允许删除负载均衡器的权限策略，控制他们对ELB资源的使用范围。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用ELB服务的其它功能。 ELB权限 默认情况下，帐号管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 ELB部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该策略仅对此项目生效，如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问ELB时，需要先切换至授权区域。 根据授权精度程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云上各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。 ELB系统权限表 系统角色/策略名称 描述 类型 ELB FullAccess 操作权限：对弹性负载均衡服务的所有执行权限。作用范围：项目级服务。 系统策略 ELB ReadOnlyAccess 操作权限：对弹性负载均衡服务的只读权限。作用范围：项目级服务。 系统策略 常用操作与系统策略的关系 操作 ELB FullAccess ELB ReadOnlyAccess 创建负载均衡器 √ × 查询负载均衡器 √ √ 查询负载均衡器状态树 √ √ 查询负载均衡器列表 √ √ 更新负载均衡器 √ × 删除负载均衡器 √ × 创建监听器 √ × 查询监听器 √ √ 修改监听器 √ × 删除监听器 √ × 创建后端主机组 √ × 查询后端主机组 √ √ 修改后端主机组 √ × 删除后端主机组 √ × 创建后端主机 √ × 查询后端主机 √ √ 修改后端主机 √ × 删除后端主机 √ × 创建健康检查 √ × 查询健康检查 √ √ 修改健康检查 √ × 关闭健康检查 √ × 创建弹性公网IP × × 绑定弹性公网IP × × 查询弹性公网IP √ √ 解绑弹性公网IP × × 查看监控指标 × × 查看访问日志 × ×

本小节介绍证书管理服务权限管理。 如果您需要对天翼云上购买的证书管理服务（CCMS）资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制天翼云资源的访问。 通过IAM，您可以在天翼云帐号中给员工创建IAM用户，并使用策略来控制他们对天翼云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有证书管理服务（CCMS）的使用权限，但是不希望他们拥有删除CCMS等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用CCMS，但是不允许删除CCMS的权限策略，控制他们对天翼云CCMS资源的使用范围。 如果天翼云帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用CCMS服务的其它功能。IAM是天翼云提供权限管理的基础服务，无需付费即可使用，您只需要为您帐号中的资源进行付费。关于IAM的详细介绍，请参见《IAM产品介绍》。 CCMS权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组/用户授予策略或角色，才能使得用户组/用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 CCMS部署时不区分物理区域，为全局级服务。授权时，在全局项目中设置权限，访问CCMS时，不需要切换区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于天翼云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM提供的一种细粒度授权的能力，可以具体到服务的操作。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对CCMS服务，管理员能够控制IAM用户仅能对CCMS进行指定的管理操作。 如下表所示，包括了CCMS所有系统角色。 角色名称/策略名称 描述 类别 依赖关系 ccms admin SSL证书管理服务管理员权限，拥有服务的所有权限。 系统策略 购买证书需要依赖bss admin策略、mkt admin策略。 bss admin策略：系统策略，订单费用中心（BSS）管理员，拥有该服务下的所有权限。 mkt admin策略：系统策略，营服中心管理员，拥有该服务下的所有权限。 ccms viewer SSL证书管理服务只读权限，拥有该权限的用户仅能查询证书信息，不具备对证书、csr、联系人、公司进行增删改权限。 系统策略 无 说明 如需购买SSL证书，账号除了必须拥有“ccms admin”之外，还需要拥有“bss admin”权限和“mkt admin”权限。

本文帮助您了解创建云硬盘相关的场景、约束及操作步骤。 操作场景 系统盘在创建云主机或物理机时自动添加，无需单独创建。数据盘可以在创建云主机或物理机时创建，由系统自动挂载给云主机或物理机，也可以在创建了云主机或物理机之后，单独创建云硬盘并挂载给云主机或物理机。 约束与限制 系统盘只能在购买云主机或物理机时自动创建并挂载，云硬盘创建页面只能创建数据盘。 随云主机或物理机创建的云硬盘，计费模式与云主机或物理机保持一致。 共享盘或磁盘模式为SCSI或磁盘类型为极速型SSD的云硬盘不支持加密模式。 随云主机或物理机一起创建的云硬盘会自动挂载至云主机或物理机上，不可卸载，无法再挂载至其他云主机或物理机中使用。 随云主机一起创建的云硬盘，磁盘类型可以在VBD或SCSI中进行选择，随着物理机一起创建的云硬盘磁盘类型默认为VBD类型。 云硬盘只能被挂载在同一个可用区的云主机或物理机上，可用区在创建完成后不支持修改。 创建云硬盘时若选择“立即挂载”，则无法批量创建，一次只能创建一个云硬盘。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域，此处我们选择华东1。 3. 单击“存储>云硬盘”，进入云硬盘主页面。 4. 单击“创建云硬盘”，进入云硬盘创建页面。 5. 根据界面提示，配置云硬盘的基本信息。各配置项说明如下： 参数 是否必选 说明 地域 是 请选择云硬盘的地域，尽量选择距离您更近的区域以提高访问速度。 可用区 是 在拥有多个可用区的资源池中，选择其中一个可用区创建云硬盘。 云硬盘只能挂载至同一个可用区的云主机上。云硬盘创建完成后不支持修改可用区。 付费方式 是 云硬盘支持的计费类型有包年/包月和按需计费两种。 包年包月是一种先付费后使用的计费方式，按订单的购买周期结算。 按需计费是一种先使用后付费的计费方式，按照云硬盘的实际使用时长计费，每小时结算一次。 是否挂载 是 选择是否在云硬盘创建完成后自动挂载到弹性云主机。 暂不挂载（默认）：云硬盘创建完成后不自动挂载至云主机。 立即挂载：云硬盘创建完成后自动挂载至用户选择的云主机。 注意 挂载到云主机的云硬盘，您还需要登录云主机进行数据盘初始化才可以正常使用。 数据源 否 云硬盘支持从快照、备份或镜像创建云硬盘。 从快照创建： 从快照创建云硬盘可选择目标地域目标可用区下的快照。 从快照创建云硬盘所创建的云硬盘磁盘模式、磁盘类型、加密属性、所在地域可用区与源快照保持一致，不支持修改。 从快照创建云硬盘创建磁盘容量不小于快照容量。 从备份创建： 从备份创建云硬盘可选择目标地域下的备份副本。 从备份创建云硬盘所创建的云硬盘磁盘模式、加密属性和备份源云硬盘保持一致。 从备份创建云硬盘所创建的云硬盘支持切换磁盘类型、支持跨可用区创建。 从备份创建云硬盘创建磁盘容量不小于备份容量。 从镜像创建： 从镜像创建云硬盘可选择目标地域下的镜像。 从镜像创建云硬盘仅支持VBD模式、且不支持磁盘加密。 从镜像创建云硬盘所创建的云硬盘支持切换磁盘类型、支持跨可用区创建。 从镜像创建云硬盘创建磁盘容量不小于镜像容量。 仅支持“正常”状态的私有镜像或“已接受”状态的共享镜像。 注意 无论是从快照、备份或镜像创建，都不支持一次性创建多个云硬盘。 磁盘规格 是 云硬盘的类型：普通IO，高IO，通用型SSD，超高IO，极速型SSD，XSSD0，XSSD1，XSSD2。具体规格可参见产品规格。 云硬盘的容量范围可参考云硬盘使用限制。 说明 从备份创建云硬盘时，容量大小不小于备份源盘大小，默认容量为备份源盘大小。 从快照创建云硬盘时，容量大小不小于快照源盘大小，默认容量为快照源盘大小。 未选择数据源时，XSSD2默认容量大小为512GB，其他类型云硬盘的默认容量大小为40GB。 当前配置 用于显示当前所选磁盘类型和容量计算出来的基础IOPS上限及IOPS突发上限。具体计算方式可参见磁盘类型及性能介绍。 云硬盘备份 否 创建云硬盘时支持同时订购云硬盘备份服务。可以选择暂不配置、使用已有、现在购买。 使用已有：若您想要配置备份且已有可用的存储库，可以选择“使用已有”。 现在购买：若您想要配置备份但没有可用的存储库，可以选择“现在购买”。 配置存储库和备份策略并成功购买云硬盘后，系统会按此备份策略定期对云硬盘进行备份。云硬盘备份服务的计费说明请参考云硬盘备份服务计费说明。 共享盘 否 勾选“共享盘”，则创建的是共享云硬盘，共享云硬盘最多可同时挂载至16台云主机或物理机。 不勾选“共享盘”，则默认为非共享云硬盘，只能挂载至1台云主机或物理机。 是否编辑标签 否 标签用于标识资源，可通过标签管理功能对云硬盘进行分类和筛选。 勾选后需要输入标签键和标签值，具体操作可参考标签功能概述。 磁盘模式 否 VBD（默认）：VBD类型的云硬盘仅支持简单的读写命令。 SCSI：支持SCSI指令透传，允许云主机操作系统直接访问存储介质。 FCSAN：FCSAN云硬盘仅适用于物理机。 磁盘加密 否 支持创建加密云硬盘，磁盘加密能够最大限度的为您的数据提供安全防护。 加密磁盘生成的快照/备份及通过这些快照/备份创建的磁盘将自动继承加密属性。 释放设置 否 支持设置释放策略。 可设置云硬盘释放时是否同步释放该盘的全部快照。 磁盘名称 是 自定义所创建的磁盘名称。 不能使用中文，且长度为263字符。 企业项目 是 支持为云硬盘选择企业项目。 数量 是 创建云硬盘的数量，默认为“1”，表示只创建一个云硬盘。 注意 目前一次最多可批量创建100个云硬盘。 创建时长 是 如果计费类型选择“包年/包月”，则需要选择购买时长，可选取的时间范围为1个月到5年。 自动续订 否 启用自动续订，包年/包月订购的云硬盘到期后会自动续订。 6. 确定云硬盘的配置信息后，点击“下一步”。 7. 在“资源详情”页面，您可以再次核对云硬盘信息。确认无误后，阅读并勾选服务协议，单击“确认下单”，开始创建云硬盘。如果还需要修改，点击“上一页”，修改参数。 8. 在云硬盘主页面，查看云硬盘状态。待云硬盘状态变为“未挂载”时，表示创建成功。

本文简述如何配置源站信息。 功能介绍 源站配置模块支持客户自定义源站。支持IP或域名，支持配置天翼云媒体存储和天翼云对象存储作为源站；支持配置多个源站地址，多源站场景下，支持设置源站的主备优先级和权重，实现负载均衡。 回源场景 功能简介 配置入口 多层级主备及权重回源 客户有多个源站时，支持多主多备，及按不同权重回源。 客户控制台域名管理域名列表回源配置源站配置。 动态回源策略 如果您的加速域名有多个源站，可以配置合适的回源策略来实现不同的效果。动态回源策略支持择优回源、按权重回源、保持登录三种回源方式。 详见：动态回源策略 区分地区、运营商回源 支持分地区、运营商回源。 通过提交工单，由天翼云客服人工配置。 区分IPv4/IPv6协议回源 支持分IPv4/IPv6协议回源。 通过提交工单，由天翼云客服人工配置。 注意事项 一个加速域名最多配置60个源站。 配置说明 1.登录边缘安全加速控制台。 2.在域名基础配置页面，点击目标域名。 3.进入源站设置页面，单击“编辑配置” 4.点击“添加源站”，输入源站地址，在“层级”下拉框中选择“主或备”，即可添加源站。 5.如需对已经添加的源站信息进行修改，可直接在配置项中进行修改。 6.也可以点击对应源站后面的“删除”键删除对应源站。

共享云硬盘可以挂载至不同操作系统的云主机吗？ 一块共享云硬盘不建议同时挂载至不同类型操作系统的云主机上使用。直接将共享云硬盘挂载给不同操作系统的多台云主机是无法实现文件共享功能的，原因是云主机之间没有相互约定读写数据的规则，这会导致这些云主机读写数据时相互干扰或者出现其他不可预知的错误，例如损坏丢失文件或读写不一致等问题。 跨操作系统数据共享推荐使用弹性文件服务。 共享云硬盘可以挂载至不同账号的多台云主机吗？ 不可以。 共享云硬盘只能挂载至同一个账号下位于同一地域和同一可用区的云主机。 建议将共享云硬盘挂载至位于同一个反亲和性的云主机组内，从而来提高业务的可靠性。此外，建议配合使用SCSI锁，即将SCSI类型的共享云硬盘挂载到位于同一个反亲和性的云主机组内，以提升业务数据的安全性。 使用共享云硬盘必须搭建集群吗？ 是的。 共享云硬盘必须在集群管理环境中使用，这是由共享云硬盘的使用原理以及用户需求共同决定的。 直接将共享云硬盘挂载给多台云主机或物理机是无法实现文件共享功能的，原因是云主机之间没有相互约定读写数据的规则，这会导致这些云主机读写数据时相互干扰或者出现其他不可预知的错误，例如损坏丢失文件或读写不一致等问题。 共享云硬盘本身并不具备集群管理能力，因此需要自行搭建集群系统来实现数据共享，如企业应用中常见的Windows MSCS集群、Veritas VCS集群和CFS集群等。

为什么查看事件窗口中，有些事件的IP、code、request、response和message字段为空？ IP、code、request、response和message字段并非云审计服务规定的必备字段： IP：当trace type为SystemAction时，表示本次操作由服务内部触发，此时缺失IP字段为正常情况。 request/response/code：这三个字段是表示本次操作所对应的请求内容、请求结果及HTTP返回码，在有些情况下，这些字段本身为空，或不具备业务意义，产生该事件的云服务会根据实际情况选择某字段留空。 message：该字段为预留字段，若其他云服务基于业务需要，需要增加额外信息时，可附加在该字段内，缺失为正常情况。 为什么事件列表中有些事件的为超链接可以跳转，有些为非超链接？ 目前CTS仅支持部分ECS、EVS、VBS、IMS、AS、CES和VPC的操作通过跳转到对应云资源的详情页面，该功能正在逐步完善。 为什么事件列表中的某些操作被记录了两次？ 对于异步调用事件，会产生两条事件记录，其事件名称、资源类型、资源名称等字段相同。在事件列表中，看起来是重复记录了操作（例如，Workspace的deleteDesktop事件），但实际上，这两条事件是相互关联、但内容不同的两条记录，典型的异步调用场景时间如下： 第一条事件：记录用户发起的请求； 第二条事件：记录用户请求的操作结果，通常与第一条时间记录有数分钟的延迟，记录用户请求的实际响应结果。 两条事件需要结合在一起，才能反映用户本次操作的真实结果。 为什么在事件列表中按照操作用户进行筛选时，存在useraccount/opservice用户？ 当用户发起的某些请求涉及后台一些高权限要求的操作或涉及调用其他服务时，可能存在用户自身的权限不足的问题，因此在确保符合安全要求的前提下，会临时对该请求中的用户身份进行提权，请求完成后提权结束，但会将提权行为记录到该请求发送到CTS的日志当中，此时的操作用户将记录为useraccount/opservice。

云硬盘广泛应用于多种场景,如企业应用上云、云上虚拟化和核心数据库。 场景一：企业应用上云 场景说明 企业应用上云是企业数字化转型的重要举措，是指将企业的应用程序迁移到云平台上的过程，在此过程中，企业的内部办公系统以及企业外部业务系统都将进行上云搬迁部署。那么企业应用以及企业核心数据库所承载的业务及数据都会应用到云硬盘。 场景架构 产品优势 按需弹性扩展，性能线性增长，满足企业规模增长带来的容量和性能诉求。 提供规格丰富的多种云硬盘，满足不同企业应用对性能的不同诉求。 云硬盘可以挂载至弹性云主机，也可以应用于物理机中，可以匹配不同企业在算力资源不同情况下的存储诉求。 提供云硬盘备份与快照功能，满足企业对数据安全性与可靠性的诉求。 场景二：云上虚拟化 场景说明 采用弹性云主机或物理机构建虚拟化的公有云/私有云平台，结合天翼云自研虚拟化技术，提高IT基础架构业务支撑灵活度，降低系统管理复杂性。高IOPS、低延迟的SSD资源池顺利解决业务高峰期性能瓶颈问题。云硬盘在线扩容实现容量和性能的线性扩展，满足业务增长诉求。

计费周期 包年/包月主机安全服务的计费周期是根据您购买的时长来确定的。 一个计费周期的起点是您开通或续费资源的时间，终点则是到期日。 例如，如果您在2023/03/08 15:50:04购买了一个时长为一个月的企业版主机安全服务，那么其计费周期为：2023/03/08 15:50:04 ~ 2023/04/08 23:59:59。 按需计费 适用场景 按需计费适用于具有不能中断的短期、突增或不可预测的应用或服务，例如电商抢购、临时测试、科学计算。 适用计费项 计费项 说明 :: 配额版本 包括企业版、容器版（待上线）。 计费周期 按需计费主机安全服务按秒计费，每一个小时整点结算一次费用（以GMT+08:00时间为准），结算完毕后进入新的计费周期。 计费的起点：以开启主机安全服务防护成功的时间点为准。 计费的终点：以关闭主机安全服务防护的时间点为准。

功能名称 功能描述 发布区域 当前云硬盘提供了三类API，分别为云硬盘API、云硬盘快照API、云硬盘自动快照API。 详细的提供了API的描述、语法、参数说明及示例等内容。 云硬盘API：全部 云硬盘快照API：华东1/华北2 云硬盘自动快照API：华东1/华北2 云硬盘支持多种配置规格，可挂载至云主机用作数据盘和系统盘，根据性能将其分为XSSD3、XSSD2、XSSD1、XSSD0、极速型SSD、超高IO、通用型SSD、高IO、普通IO几种规格。 您可以在实际使用中可以选择符合业务需求与成本预算的规格进行购买。 不同地域支持的磁盘类型不同，您可以通过 云硬盘的磁盘模式分为三种，分别是： VBD（Virtual Block Device）：虚拟块存储设备。 SCSI （Small Computer System Interface）：小型计算机系统接口。 FCSAN（Fibre Channel SAN）：光纤通道协议的SAN网络。 VBD：全部 SCSI： HDD类型：拉萨3/北京9/西宁2/庆阳2/呼和浩特3 SSD类型：华北2/郑州5/上海36/西南1/西宁2/庆阳2/呼和浩特3/沈阳8/华东1 FCSAN：上海7 系统盘在创建云主机或物理机时自动添加，无需单独创建。数据盘可以在创建云主机或物理机时创建，由系统自动挂载给云主机或物理机，也可以在创建了云主机或物理机之后，单独创建云硬盘并挂载给云主机或物理机。 全部 创建云硬盘后，需要将云硬盘挂载给云主机或物理机，供云主机或物理机作为数据盘使用。 挂载云硬盘通常分为两种，一种是挂载非共享云硬盘，另一种为挂载共享云硬盘。 全部 当卸载数据盘时，支持离线卸载或在线卸载，即可在挂载该数据盘的云主机处于“运行中”或“关机”状态时进行卸载。 只有数据盘支持卸载操作，系统盘不支持卸载。 全部 一块新创建的数据盘在挂载至云主机后，还不能直接存储数据，您需要为这块数据盘创建分区、格式化等初始化操作后才可以正常使用。 全部 当云硬盘空间不足时，您可以扩大云硬盘的容量，也就是云硬盘扩容。云硬盘扩容可以有如下两种处理方式： 申请一块新的云硬盘，并挂载给云主机。 扩容原有云硬盘空间。系统盘和数据盘均支持扩容。 全部 当您不再使用包年/包月的云硬盘时，可以退订云硬盘以释放存储空间资源。退订云硬盘后，将停止对云硬盘收取费用。 当云硬盘被退订后，云硬盘的数据将无法被访问。同时，该云硬盘对应的物理存储空间会被回收，对应的数据会被覆盖。在数据被覆盖之前，该存储空间不会被再次分配。 全部 当您不再使用按量付费的云硬盘时，可以删除云硬盘以释放存储空间资源。 删除云硬盘后，将停止对云硬盘收取费用。当云硬盘被删除后，云硬盘的数据将无法被访问。同时，该云硬盘对应的物理存储空间会被回收，对应的数据会被覆盖。在数据被覆盖之前，该存储空间不会被再次分配。 全部 云硬盘快照是云硬盘数据在特定时间点的完整副本或镜像。作为一种主要的灾难恢复方法，您可以使用快照将数据完全恢复到创建快照时的时间点。 您可以通过管理控制台或者API接口创建云硬盘快照。 华东1/华北2 天翼云云硬盘支持自动快照功能，您可以通过自动快照策略周期性地为云硬盘创建快照，可同时适用于系统盘和数据盘。 自动快照服务便于您灵活设置快照创建任务，提高数据安全和操作容错率。 华东1/华北2 天翼云云硬盘回收站支持将删除的云硬盘资源保存至回收站中，是一种数据保护的方式。在一定时间内，您可以在回收站内恢复云硬盘数据，以防止误删除导致的云硬盘数据丢失。 回收站功能默认为关闭状态，如需使用，需要您手动开启，保留时间最多为7天。 华东1/南宁23/上海36/青岛20/武汉41/华北2/长沙42/西南1/南昌5/西安7/太原4/郑州5/西南2贵州/华南2/杭州7/庆阳2/呼和浩特3/佛山7 云硬盘备份是指将云硬盘中的数据备份到其他存储介质或位置的操作。 云硬盘备份是一种数据保护措施，旨在应对数据损坏、误删除、恶意操作或主存储系统故障等风险，以确保数据的可靠性和可恢复性。 芜湖4/合肥2/芜湖2/北京5/重庆2/厦门3/福州3/福州4/福州25/兰州2/庆阳2/佛山3/广州6/南宁23/南宁2/贵州3/海口2/石家庄20/郑州5/华北2/华东1/华南2/武汉3/武汉4/武汉41/郴州2/长沙3/长沙42/南京2/南京4/南京3/南京5/九江/南昌5/沈阳8/辽阳1/呼和浩特3/内蒙6/中卫5/中卫2/西宁2/西安7/西安4/西安5/西安3/青岛20/上海15/上海7/上海36/太原4/晋中/成都4/西南1/西南2贵州/乌鲁木齐7/乌鲁木齐27/拉萨3/昆明2/杭州7/杭州2 当您的业务因为等保合规或安全要求等原因，需要对存储在云硬盘上的数据进行加密保护时，您可以在创建云硬盘时勾选加密选项，即可对新创建的云硬盘进行加密。 南宁23/华东1/南昌5/华南2/西安7/太原4/华北2/郑州5/西南2贵州/杭州7/庆阳2/呼和浩特3/长沙42/芜湖4/西南1/上海36/上海15/北京9/上海17/佛山7/长春3/宁波2 共享云硬盘允许多个云主机并发访问同一个云硬盘，实现多个实例之间的数据共享和协作。对云硬盘的共享访问通常应用于数据集群应用系统、分布式文件系统和高可用性架构等场景。 一块共享云硬盘支持同时挂载到最多16台云主机，其中云主机包括弹性云主机和物理机两种，目前共享云硬盘只支持共享数据盘，不支持共享系统盘。 重庆2/南宁2/成都4/芜湖2/九江/西宁2/拉萨3/海口2/佛山3/贵州3/福州3/上海7/杭州2/北京5/南京3/南京4/西安4/内蒙6/晋中/郴州2/武汉4/福州4/昆明2/西安5/南京5/华东1/南宁23/上海36/石家庄20/辽阳1/青岛20/武汉41/福州25/乌鲁木齐27/华北2/西南1/长沙42/中卫5/南昌5/华南2/西安7/太原4/郑州5/西南2贵州/杭州7/西安3/庆阳2/乌鲁木齐7/中卫2/厦门3/乌鲁木齐4/上海15/芜湖4/北京9/上海17/呼和浩特3/沈阳8/上海20/佛山7/广州9/长春3/宁波2 当您开通云硬盘服务后，即可通过云监控来查看云硬盘的性能指标。 云硬盘支持的监控指标包括：磁盘读速率、磁盘写速率、磁盘读请求速率、磁盘写请求速率、平均写操作大小、平均读操作大小、平均写操作耗时、平均读操作耗时 。 全部 包年包月采用包周期预付费的计费模式，按订单的购买周期计费，适用于可预估资源使用周期的场景。 如果您需要更灵活的计费方式，按照云硬盘的实际使用时长计费，您可以将云硬盘的计费方式转为按需付费。 全部 天翼云提供多种云硬盘类型，满足不同场景的存储性能和价格需求，您可以根据业务需求变更云硬盘的类型。 例如，创建云硬盘时选择了通用型SSD，但后期需要更高的IOPS，则可以将该盘变配为超高IO型云硬盘。 普通IO、高IO、通用型SSD、超高IO：南宁23/上海36/青岛20/武汉41/华北2/西南1/南昌5/西安7/太原4/华南2/郑州5/西南2贵州/杭州7/庆阳2/呼和浩特3/长沙42/乌鲁木齐7/华东1/上海15/佛山7 X系列：已上线的地域， 除华北2均支持修改磁盘类型，已上线区域请参见 针对按需计费云硬盘，您可以手动释放云硬盘，也可以设置随实例释放云硬盘（如果云硬盘开启了随实例释放，则在释放云主机实例时云硬盘会自动一起释放）。 云硬盘的快照默认不随云硬盘自动释放，如果您不再需要某些云硬盘快照，可以将其手动释放。您还可以通过设置云硬盘释放策略，选择在释放云硬盘的同时释放该盘的全部快照。 随实例释放按需计费云硬盘：华东1/华北2 随云硬盘释放快照：华东1/华北2

本节介绍如何对您所拥有的DEW进行精细的权限管理。 如果您需要对您所拥有的DEW进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用DEW资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将DEW资源委托给更专业、高效的其他云帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用DEW服务的其它功能。 前提条件 给用户组授权之前，请您了解用户组可以添加的DEW权限，并结合实际需求进行选择，DEW支持的系统权限如表所示。 系统角色/策略名称 描述 类别 KMS Administrator 加密密钥的管理员权限。 系统角色 KMS CMKFullAccess 加密密钥所有权限。 系统策略 示例流程 步骤 1 在IAM控制台创建用户组，并授予加密密钥所有权限“KMS CMKFullAccess”。 步骤 2 在IAM控制台创建用户，并将其加入步骤1中创建的用户组。 步骤 3 新创建的用户登录控制台，切换至授权区域，验证权限。 在“服务列表”中选择除数据加密服务外的任一服务，若提示权限不足，表示“KMS CMKFullAccess”已生效。

查看镜像详情 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“镜像安全 > 镜像管理”，进入镜像管理页面。 3. 选择“仓库镜像”或“节点镜像”页签，进入对应镜像列表页面。 4. 单击镜像列表中的“镜像名称”，进入镜像详情页面查看镜像的基本信息、关联信息、漏洞、软件、文件、环境变量、安全溯源等相关信息。 查看镜像安全概览 镜像安全概览页面可以查看镜像的基本信息、风险分数、安全问题、镜像命中的安全策略、安全建议等信息。 查看镜像关联容器 在“关联容器”页面，可查看与镜像相关联的容器的信息，包括容器名称、容器所在Pod名称、所属集群名称、运行所在节点的名称。 查看镜像漏洞详情 在“漏洞”页面，可查看该镜像中各个危险级别的漏洞统计情况，单击漏洞列表中的“漏洞编号”，可以查看漏洞的详细信息，包括漏洞介绍、漏洞评分、来源信息等。 单击漏洞详情中的“命中安全策略”，可以查看漏洞命中的安全策略。 单击漏洞详情操作列的“加入白名单”可忽略此漏洞。添加完成后，扫描该镜像将不再展示已加入白名单的漏洞。

步骤二：添加数据库并开启审计 购买成功后，您需要先将目标数据库添加至数据库安全审计实例并开启该数据库的审计功能。 1. 登录管理控制台。 2. 在页面上方选择“区域”后，单击页面左上方的，选择“安全与合规 > 数据库安全服务”，进入数据库安全审计“总览”界面。 3. 在左侧导航树中，选择“数据库列表”，进入数据库列表界面。 4. 在“选择实例”下拉列表框中，选择需要添加数据库的实例，并单击“添加数据库”。在弹出的对话框中，按表所示信息填写数据库参数，如图所示。数据库安全审计支持“UTF8”和“GBK”两种数据库字符集的编码格式，请根据业务情况选择编码格式。 5. 单击“确定”，该数据库添加到数据库列表中，且“审计状态”为“已关闭”。 6. 在该数据库所在行的“操作”列，单击“开启”，开启审计功能。 步骤三：添加Agent 1.在数据库所在行的“Agent”列，单击“添加Agent”，如图所示。 2. 在弹出的对话框中，选择添加方式。 步骤四：添加安全组规则 Agent添加完成后，您需要为数据库安全审计实例所在的安全组添加入方向规则TCP协议（8000端口）和UDP协议（70007100端口），使Agent与审计实例之间的网络连通，数据库安全审计才能对添加的数据库进行审计。 如果该安全组已配置安装节点的入方向规则，请执行步骤五：安装Agent。 如果该安全组未配置安装节点的入方向规则，请按照本节内容进行配置。 安全组规则也可以在成功安装Agent后进行添加。 1. 获取表。 2. 在数据库列表的上方，单击“添加安全组规则”。 3. 在弹出的弹框中，记录数据库安全审计实例的“安全组名称”（例如default），如图所示。 4. 单击“前往处理”，进入“安全组”界面。 5. 在列表右上方的搜索框中输入安全组“default”后，单击或按“Enter”，列表显示“default”安全组信息。 6. 单击“default”，进入“基本信息”页面。 7. 选择“入方向规则”页签，单击“添加规则”。 8. 在弹出的“添加入方向规则”对话框中，为表22中的安装节点IP添加TCP协议（端口为8000）和UDP协议（端口为70007100）规则，如图所示。

本文为您介绍IAM授权与企业项目授权的区别。 IAM授权是指授权范围在具体资源池或全局的授权关系。可以在授权管理、用户组或用户中查看IAM授权关系。 企业项目授权是指在企业项目上，设置用户组和设置策略后形成的授权关系。只能在企业项目下，通过查看用户组的关联策略，查看企业项目授权关系。 IAM授权与企业项目授权的区别 支持的服务 IAM授权支持的服务，可以参考使用IAM授权的云服务。 企业项目授权支持的云服务及对应资源类型请以控制台界面显示为准。 进入“企业项目管理”页面，在企业项目列表中单击任一企业项目操作列的“查看资源”，系统进入企业项目详情页面，在“资源”页签下可查看企业项目支持的服务及其对应资源类型等信息。此处展示的服务代表支持进行企业项目授权。 资源隔离 IAM授权时，支持通过资源池隔离授权（对于作用范围时资源池级别的策略）和资源路径实现资源隔离（对于支持策略中使用资源路径“Resource”字段进行资源隔离的云服务） 企业项目授权时，支持通过创建企业项目，隔离企业不同项目之间的资源，企业项目的资源隔离效果不受物理资源池的限制，可以实现子用户仅能看到不同资源池上部分资源的效果。 授权覆盖 相同Action时，IAM授权的优先级高于企业项目授权，会表现出授权覆盖的鉴权结果。例如，用户组1在IAM中授权了允许创建云主机，在企业项目A上授权了拒绝创建云主机，那么对于一台华东1的云主机，如果这台云主机位于企业项目A下，此时用户组1的用户进行创建云主机的操作时，鉴权结果为Allow，因为IAM授权在相同Action下优先级高于企业项目授权。 用户组1在华东1资源池上的IAM授权策略中包含以下Action： plaintext 用户组1在华东1资源池上的IAM授权策略中包含以下Action： { "Action": [ "ecs:cloudServers:create" ], "Effect": "Allow" } 用户组1在企业项目A的授权策略中包含以下Action： { "Action": [ "ecs:cloudServers:create" ], "Effect": "Deny" } 同理，将IAM和企业项目中的策略更换为以下的形式，在相同情境下，鉴权结果为Deny。 plaintext 用户组1在华东1资源池上的IAM授权策略中包含以下Action： { "Action": [ "ecs:cloudServers:create" ], "Effect": "Deny" } 用户组1在企业项目A的授权策略中包含以下Action： { "Action": [ "ecs:cloudServers:create" ], "Effect": "Allow" } 此外，对于相同Action，IAM授权的范围也会覆盖企业项目的授权范围。例如，华东1资源池上有云主机a和云主机b，云主机资源a属于企业项目A，云主机资源b属于企业项目B。此时，如果用户组仅存在下列授权，没有在企业项目B上进行授权，用户组1下的子用户仍然可以看见企业项目B下的云主机b，这是因为华东1资源池上存在相同Action的读取权限，鉴权时优先判断该用户能够查看华东1上的所有资源（云主机a和云主机b），覆盖了企业项目的资源隔离效果。 plaintext 用户组1在华东1资源池上的IAM授权策略中包含以下Action： { "Action": [ " ecs:cloudServers:list" ], "Effect": "Allow" } 用户组1在企业项目A的授权策略中包含以下Action： { "Action": [ " ecs:cloudServers:list" ], "Effect": "Allow" } 而如果策略中包含不同的Action，则IAM和企业项目的授权都生效，以下示例表示用户可以在企业项目A上创建云主机，也可以在华东1资源池上查看云主机安全组列表。 plaintext 用户组1在华东1资源池上的IAM授权策略中包含以下Action： { "Action": [ " ecs:ServersGroups:list" ], "Effect": "Allow" } 用户组1在企业项目A的授权策略中包含以下Action： { "Action": [ "ecs:cloudServers:create" ], "Effect": "Allow" }