本节介绍天翼云手机可广泛应用于移动办公、游戏娱乐等场景。 移动办公场景 场景特点： 实体手机数据存储本地，经常遇到手机损坏，数据丢失，数据泄漏等安全问题，需要更安全的办公数据资产存储方案。 推荐方案： 本地手机+开通天翼云手机 方案优势： 1、云手机内置32/64/128GB存储容量，可满足日常文件存储。 2、云手机资料全部以三副本形式存储于云端，数据高可靠，无需担心办公资料丢失。 游戏娱乐场景 场景特点： 手游用户有如下痛点：手机性能不足、长时间发烫、续航差、下载游戏耗流量，用户需要有较大带宽，免流量的多样化服务。 推荐方案： 本地手机+开通天翼云手机 方案优势： 1、云手机内置大带宽、免流量的超值服务，用户无需担心流量消耗，可云端畅游。 2、让低配手机用户也能流畅运行大型手游，无需下载到手机可直接玩。 3、拓展实体手机的边界，满足对多台手机的使用需求。

本节介绍云手机的产品功能和对应的帮助文档。 2022年12月 时间节点 功能名称 功能描述 相关文档 2022.12 补充云手机（政企版）内容 补充了云手机（政企版）管理员操作指导内容 云手机（政企版） 2022年7月 时间节点 功能名称 功能描述 相关文档 2022.07 优化帮助中心 优化目录结构，内容更详细，图文并茂，逻辑更清晰，更加方便客户快速熟悉天翼云手机。如：产品介绍中增加应用场景，增加计费说明、快速入门，及常见 问题优化计费类、购买类、操作类等。 计费说明 2022.07 优化帮助中心 优化目录结构，内容更详细，图文并茂，逻辑更清晰，更加方便客户快速熟悉天翼云手机。如：产品介绍中增加应用场景，增加计费说明、快速入门，及常见 问题优化计费类、购买类、操作类等。 快速入门 2022.07 优化帮助中心 优化目录结构，内容更详细，图文并茂，逻辑更清晰，更加方便客户快速熟悉天翼云手机。如：产品介绍中增加应用场景，增加计费说明、快速入门，及常见 问题优化计费类、购买类、操作类等。 常见问题

2024年8月 时间节点 功能名称 功能描述 相关文档 2024.8.26 天翼云电脑游戏版 天翼云电脑游戏版上线，游戏畅玩、即开即玩 游戏云电脑 2024.8.12 天翼云电脑终端适配列表 更新了数款适配通过的瘦终端。 终端适配列表 2024年5月 时间节点 功能名称 功能描述 相关文档 2024.5.28 云智助手 天翼云电脑3.0，全新升级到AI云电脑，基于星辰大模型和合作伙伴大模型能力，推出云智助手，提供一系列场景化AI能力，升级全场景智能化体验。 云智助手 2024.5.28 Web终端指南 天翼云电脑支持通过Web浏览器接入访问。 Web终端指南

天翼量云电脑（政企版）在开通桌面后，首次使用的用户账号需激活才能使用，本节介绍了用户账号激活的操作说明。 1. 完成开通AI云电脑后，用户邮箱会收到天翼AI云电脑（政企版）开通提醒邮件，根据流程激活账号即可。（初次开通AI云电脑，需激活账号） 2. 根据步骤完成激活流程填写密码，即完成账号认证 。（后续需使用该账号密码登录AI云电脑客户端进行连接使用） 如遇激活失败，可通过如下方式重新激活： 重发激活邮件：< 联系管理员处理，在管理控制台组织管理用户管理，修改通知邮箱。

本章节为您介绍云安全态势感知基本功能 云安全态势感知页面默认为每天进行扫描并展示最新的扫描结果，其中包括通过率、全部检查项、已通过检查项、已加白项。 策略管理 1. 登录云安全中心控制台。 2. 在左侧导航栏选择“风险管理 > 云安全态势管理”。 3. 在页面右上角中，选择“策略管理”。 4. 在页面右侧弹出的对话框中，根据业务需求选择策略管理内容。 5. 策略配置完成后，单击“保存”即可完成策略配置。 新增白名单策略 1. 登录云安全中心控制台。 2. 在左侧导航栏选择“风险管理 > 云安全态势管理”。 3. 在页面右上角中，选择“策略管理”。 4. 在页面右侧弹出的对话框中，选择白名单策略。 5. 单击“新增加白策略”，在弹出的对话框中填写加白信息。 6. 填写完成后，单击“保存”即可完成白名单策略新增。

本节介绍天翼AI云电脑（政企版）的产品优势。 统一管理，维护便捷 无需设立专门的前端维护人员，桌面维护全部在管理台进行可视化操作，一键完成开通桌面、重装系统、镜像升级等操作，并通过自动化批量方式，实现快速大规模的部署。 强化安全，自主可控 网络访问使用VPC、安全组、ACL、主机防火墙进行网络隔离及访问控制，通过防火墙实施安全审计与监控。 规格丰富，配置灵活 提供灵活多样的AI云电脑规格，支持资源包方式开通使用，灵活选择系统版本，网络可配置，并可使用池化桌面提高桌面利用率。 自主领先，畅游云端 自研的CLINK安全传输协议，低延时、高画质、带宽占用少，弱网环境下也可畅快使用。 随时随地，便捷访问 用户通过终端AI云电脑应用即可快速访问调取云端资源，随时随地享受数据共享、移动办公、休闲娱乐等功能。 说明 关于天翼AI云电脑（政企版）的产品规格说明，请参考 关于天翼AI云电脑（政企版）的产品功能说明，请参考 关于天翼AI云电脑（政企版）的客户端下载，请前往

本文介绍实时云渲染的主要应用场景。 智慧党建 红色党会、党建元宇宙等超大型宣传展会需要瞬时超高GPU算力进行运行支撑，个人投建硬件采购成本高，需要降低成本。实时云渲染拥有海量GPU资源，您只需提供执行应用包接入实时云渲染，即可构造栩栩如生的数字新空间。 虚拟演唱会 虚拟演唱会是通过虚拟化身实现多人在线交互活动，是超越次元的元宇宙热点活动。基于实时云渲染强大的图形渲染算力和优秀的网络串流技术，可以轻松打造漫展、蹦迪、演唱会等各种虚拟活动，帮助您建立品牌元宇宙UGC社区，增强营销效应。 教育培训仿真实训 学校/企业可以自行上传仿真实验课件，利用实时云渲染平台进行实时渲染，即可自动适配各终端稳定输出，支持通过局域网/公网方式访问相应资源，实现超真实交互体验，模拟各种真实场景进行实操训练。 VR游戏串流 无需配置高性能PC设备，无需头盔设备有线连接，只需开通实时云渲染按需服务，上传应用包至渲染实例中运行，即可随时畅玩VR游戏，减轻您的开销负担。

接口功能介绍 创建单独付费计算增强型云电脑询价。 接口约束 无 URI POST /v3/ecs/describePrice 路径参数 无 Query参数 参数 是否必填 参数类型 说明 示例 下级对象 regionId 是 String 资源池ID。 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 billMode 是 String 订购类型（仅创建单独付费计算增强型云电脑有效）。取值范围： Cycle：包周期。 osType 是 String 操作系统类型（Windows;Linux），XC型规格暂只支持Linux cycleType 否 String 周期类型（仅创建单独付费云电脑有效）。取值范围： Month：按月。（仅订购类型为包周期类型有效） cycleCnt 否 Integer 周期数（仅创建单独付费云电脑有效）。取值范围： 136。（仅订购类型为包周期类型有效） autoPay 否 Boolean 是否自动支付（仅创建单独付费云电脑有效），默认false。取值范围： true:是。（仅订购类型为包周期类型有效，需账号有足够金额） false:否。（仅订购类型为包周期类型有效） templateOid 是 String 规格模板ID processorType 否 String 处理器类型。创建XC型规格时必填。取值范围： kp：鲲鹏。 hg：海光。 imageOid 是 String 镜像ID subnetOid 是 String VPC子网ID securityGroupOid 是 String 安全组ID sysDiskType 是 String 系统盘类型（uhio超高IO） sysDiskSize 是 Integer 系统盘大小（单位：GB） 镜像系统盘大小（创建单独付费云电脑，不支持自定义大小） （创建资源包云电脑，支持自定义大小） instanceNum 是 Integer 实例数量

本节介绍如何为物理机安装备份客户端。 操作场景 云备份通过客户端提供备份服务。备份操作前，需要在备份目标机器中安装客户端，可在控制台进行客户端安装操作。 约束与限制 操作系统限制：物理机支持CentOS7.0/7.1/7.2/7.3/7.4/7.5/7.6/7.7/7.8/7.9、Ubuntu16.04/18.04/20.04、KylinOS V10 SP1/SP2、CTyunOS2.0操作系统，目前仅支持X86的64位系统。 物理机文件备份时，物理机必须处于开机状态。 操作步骤 弹性裸金属 1.登录控制中心。 2.在控制中心左上角点击，选择地域，此处选择华东华东1。 3.选择“存储>云备份”，进入云备份控制台。单击左侧“物理机文件备份”按钮，进入物理机文件备份控制台。 4.点击要备份的弹性裸金属所在行的“操作更多接入VPC”，进入创建VPCE窗口 ，确认该弹性裸金属的网络信息，点击”确定“后 ，自动为该弹性裸金属的VPC创建终端节点以访问云备份服务。 5.同时还需要为要备份的弹性裸金属的VPC接入对象存储服务，请参考VPCE接入对象存储。 6.确认以上4、5步骤都完成后，点击要备份的弹性裸金属所在行的“操作安装客户端”，在安装客户端窗口选择一个已有的对象存储VPCE。 7.若以上操作都已完成且弹性裸金属的子网已接入了云备份服务和对象存储服务，窗口下方会展示客户端安装命令。 a.登录弹性裸金属并切换为root账号。 b.在弹性裸金属界面输入云备份控制台的安装命令（控制台界面提供了安装命令的复制按钮）并执行命令。 c.等待安装界面显示“Successful”，代表客户端安装完成。 d.若以上自动命令执行失败，也可进行手动下载客户端安装包至弹性裸金属内进行激活。 e.下载客户端安装包并解压后，执行“cbrinstall.sh”脚本，根据提示输入云备份控制台的激活命令即可。 f.安装完成后，在云备份控制台物理机资源页面，客户端状态为“已激活”。 标准裸金属 1.登录控制中心。 2.在控制中心左上角点击，选择地域，此处选择华东华东1。 3.选择“存储>云备份”，进入云备份控制台。单击左侧“物理机文件备份”按钮，进入物理机文件备份控制台。 4.点击要备份的标准裸金属所在行的“操作更多接入VPC”，进入创建VPCE窗口 ，选择一个该标准裸金属的普通子网，点击”确定“后 ，自动为该标准裸金属的VPC创建终端节点以访问云备份服务。 5.同时还需要为要备份的标准裸金属的VPC接入对象存储服务，请参考VPCE接入对象存储。 6.确认以上4、5步骤都完成后，点击要备份的标准裸金属所在行的“操作安装客户端”，在安装客户端窗口选择一个标准裸金属的普通子网（即在”接入VPC“步骤已创建了VPCE的子网）以及一个已有的对象存储VPCE。 7.若以上操作都已完成且标准裸金属的普通子网已接入了云备份服务和对象存储服务，窗口下方会展示客户端安装命令 a.登录标准裸金属并切换为root账号。 b.在标准裸金属界面输入云备份控制台的安装命令（控制台界面提供了安装命令的复制按钮）并执行命令。 c.等待安装界面显示“Successful”，代表客户端安装完成。 d.若以上自动命令执行失败，也可进行手动下载客户端安装包至标准裸金属内进行激活。 e.下载客户端安装包并解压后，执行“cbrinstall.sh”脚本，根据提示输入云备份控制台的激活命令即可。 f.安装完成后，在云备份控制台物理机资源页面，客户端状态为“已激活”。

本节介绍高可用云电脑的退订操作说明。 已开通“高可用AI云电脑”服务的用户可在“天翼AI云电脑”“协同套件”页面进行服务退订，进入功能介绍页选择“关闭”。

本文主要介绍弹性IP和带宽支持的监控指标。 功能说明 本节定义了弹性IP和带宽上报云监控服务CES的监控指标的命名空间，监控指标列表和维度定义，用户可以通过云监控提供的管理控制台或API接口来检索资源产生的监控指标和告警信息。 说明 云监控服务CES最大支持4个层级维度，维度编号从0开始，编号3为最深层级。例如监控指标中的维度信息为“bandwidthid,publicipid”时，表示对应的监控指标的维度存在层级关系，且“bandwidthid”为0层，“publicipid”为1层。 带宽规格变更（带宽升降配）后，带宽规格数据在监控指标上生效有5~10min的时间延迟。 命名空间 弹性公网IP和带宽的命名空间：SYS.VPC 监控指标 表弹性IP和带宽支持的监控指标 指标ID 指标名称 指标含义 取值范围 进制 测量对象 监控周期（原始指标） upstreambandwidth 出网带宽 该指标用于统计测试对象出云平台的网络速度。单位：比特/秒 ≥ 0 bit/s 1000(SI) 带宽或弹性IP 1分钟 downstreambandwidth 入网带宽 该指标用于统计测试对象入云平台的网络速度。单位：比特/秒 ≥ 0 bit/s 1000(SI) 带宽或弹性IP 1分钟 upstreambandwidthusage 出网带宽使用率 该指标用于统计测量对象出云平台的带宽使用率。以百分比为单位 0100% 不涉及 带宽或弹性IP 1分钟 downstreambandwidthusage 入网带宽使用率 该指标用于统计测量对象入云平台的带宽使用率。以百分比为单位 0100% 不涉及 带宽或弹性IP 1分钟 upstream 出网流量 该指标用于统计测试对象出云平台的网络流量。单位：字节 ≥ 0 bytes 1000(SI) 带宽或弹性IP 1分钟 downstream 入网流量 该指标用于统计测试对象入云平台的网络流量。单位：字节 ≥ 0 bytes 1000(SI) 带宽或弹性IP 1分钟

本节介绍天翼云手机（政企版）用户账号激活操作流程 完成开通云手机后，用户邮箱会收到天翼云手机（政企版）开通提醒邮件，根据流程激活账户即可。

管控配置 （1） 添加管控配置：点击“添加”可添加新的管控规则。可根据URL分类库和时间组维度对URL进行管控。 （2）分配桌面、查看已分配桌面、编辑策略、管控策略操作与审计配置操作方式一致。 注意事项 （1）上网行为管理采用中间人解密技术，用来解密ssl加密流量，因此，防火墙所在vpc下的AI云电脑需要安装根证书用来解决浏览器告警问题。安装证书的三种方式： 在防火墙控制台开启上网行为，系统将给已绑定防火墙带宽下的AI云电脑安装证书。 手工点击“一键安装证书”，系统将给已绑定防火墙带宽下vpc下的AI云电脑安装证书，例如新增AI云电脑后可点击该按钮。 系统每天在夜间定时给已绑定防火墙带宽下的AI云电脑安装证书。 （2）上网行为默认是开启状态，默认未配置任何策略，即不审计任何流量。 （3）每台AI云电脑可分配一个行为审计策略和一个行为管理策略。 （4）当只审计指定的url时，只支持审计一个url类别，不支持多个url类别。 （5）报告上网审计网站访问记录，包括了AI云电脑里的应用程序产生http（s）协议流量的记录。 （6）报告上网审计，审计记录不是实时产生的，是在连接断开后才产生的，一般是2分钟左右，对长连接，会久一些才产生记录。 （7）下发证书后，如果浏览器报证书问题，重启一下浏览器。

本文整理 AIuse 云电脑接入和使用过程中的常见问题,供开发者、运维人员和业务人员排查参考。 产品与能力 AIuse 云电脑主要解决什么问题？ AIuse 云电脑为 Agent 和自动化系统提供云端桌面执行环境。调用方可以通过 SDK 或 MCP 操作云电脑中的图形界面，并读取或写入文件，从而将 Agent 的决策结果落地到真实桌面任务中。 当前支持哪些接入方式？ 当前重点支持 SDK 和 MCP 两种接入方式。SDK 适合业务系统主动编排任务，MCP 适合支持 MCP 的客户端、Agent 宿主或 IDE 插件调用工具。 是否支持 Browser Use？ 当前可通过 Computer Use 操作云电脑中的浏览器，例如点击、输入、滚动和截图。若需要浏览器专用 API、DOM 操作、标签页管理等能力，请以产品后续发布为准。 是否支持 Mobile Use 或 CodeSpace？ 当前文档不建议将 Mobile Use 或 CodeSpace 作为已发布能力描述。如后续正式开放，可补充独立文档。[待确认] SDK 接入 SDK 安装失败怎么办？ 请检查： 本地网络是否可访问 npm 源。 Node.js 版本是否满足要求。 包名是否与正式发布版本一致。 当前项目是否有包管理器权限或代理限制。 创建会话失败怎么办？ 请检查： AccessKey ID 和 Secret 是否正确。 AccessKey 是否已启用。 AccessKey 是否关联目标云电脑。 desktopCode 是否填写正确。 云电脑是否在线。 为什么需要主动关闭会话？ 会话用于承载一次桌面操作上下文。任务结束后主动关闭会话，有助于释放资源、减少异常占用，并降低后续任务受到影响的概率。 MCP 接入

本文介绍 AIuse 云电脑在接入、凭证管理、资源隔离和文件传输方面的安全建议。 凭证安全 AIuse 云电脑通过 AccessKey 进行调用鉴权。AccessKey ID 和 AccessKey Secret 应作为敏感信息管理。 建议： 不要将 AccessKey Secret 提交到代码仓库。 不要在前端页面或客户端安装包中内置 Secret。 不要在日志、截图或错误信息中输出完整 Secret。 不同项目、环境和任务批次使用不同 AccessKey。 AccessKey 疑似泄露时立即禁用并更换。 权限最小化 AccessKey 应只关联必要的云电脑。对于临时任务、测试任务和生产任务，建议使用不同 AccessKey，并分别控制其可访问资源。 桌面环境隔离 AIuse 云电脑任务运行在云端桌面环境中。为降低任务之间的相互影响，建议： 高风险任务使用独立云电脑。 不同业务线使用不同云电脑。 批量任务按资源池分配桌面。 任务完成后清理临时文件和中间结果。 文件安全 FileSystem 能力可读取和写入云电脑中的文件。业务系统应对可访问路径进行限制，避免误操作系统目录或敏感目录。 建议： 为任务分配独立工作目录。 对输入和输出文件进行命名规范管理。 对临时下载地址设置有效期。 对重要文件写入前进行路径校验。 对任务输出中的敏感数据进行脱敏或加密处理。 截图安全 截图可能包含业务数据、个人信息或系统敏感信息。建议： 仅在必要时保存截图。 对截图设置访问权限和保存期限。 对外共享截图前进行脱敏。 不在公开文档、工单或即时通讯中传播包含敏感信息的截图。

本节介绍了文件加密服务的最佳实践介绍。 应用场景说明 翼加密是首个针对天翼AI云电脑场景的文件加密安全解决方案。通过高安全性的加密算法，对天翼AI云电脑（政企版）内的文件实时无感加密。在保证用户正常使用天翼AI云电脑（政企版）的前提下，保障企业内部的敏感和机密数据文件安全不外泄。 加密文件如被移到天翼AI云电脑外部的非加密环境，则无法正常打开。防止有意/无意的文件泄漏行为。加密文档如需外发，必须经过严格的脱密审批，并且保留审批记录，有迹可循。 翼加密的优势包括： 透明加密技术：采用高级别加密算法，文件以密文形式保存，对有权限用户透明，不影响企业正常办公和使用习惯。 严格的外发控制：无权限用户无法正常打开加密文件。加密文件如需脱密外发必须审批，有迹可循。 全面的加密管控：可通过配置加密算法、加密强度，范围等精准管控加密力度，支持多种高级加密标准算法。 前提条件 已开通天翼AI云电脑（政企版），详情请参见快速订购AI云电脑。 已开通翼加密，详情请参见开通翼加密。 已在AI云电脑内下载安装翼加密客户端，详情请参见安装加密应用。 为了保证翼加密的正常使用，在使用之前，请您务必认真阅读用户须知注意事项。详情请参见用户须知。

本节主要介绍几种迁移配置文件示例。 迁移任务配置文件（migrate.conf）示例 数据从OSS迁移至OOS示例 { "srcType":"OSS", 从阿里云迁移文件 "srcEndpoint":"osscnhangzhou.aliyuncs.com", 阿里云的Endpoint "srcAccessKey":"your oss accessKey", 阿里云的AccessKey "srcSecretKey":"your oss secretKey", 阿里云的SecretKey "srcBucket":"ossbucket", 阿里云的Bucket "destEndpoint":"ooscn.ctyunapi.cn", OOS的Endpoint "destAccessKey":"your oos accesKey", OOS的AccessKey "destSecretKey":"your oos secretKey", OOS的SecretKey "destBucket":"oosbucket", OOS的Bucket "srcPrefix":"logs/", 阿里云上要迁移文件（Object）的前缀 "srcMarker":"", 从第一个文件（Object）开始迁移 "srcStopObject":"", 阿里云上要迁移的截止文件（Object） "isSkipExistFile":false 是否跳过目标资源池中已有的文件（Object） } 数据从OOS迁移至OOS示例 { "srcType":"OOS", 从OOS迁移文件（Object） "srcEndpoint":"ooscn.ctyunapi.cn", 源OOS的Endpoint "srcAccessKey":"your oos accessKey", 源OOS的AccessKey "srcSecretKey":"your oos secretKey", 源OOS的SecretKey "srcBucket":"srcoosbucket", 源OOS的Bucket "destEndpoint":"ooscn.ctyunapi.cn", 目标OOS的Endpoint "destAccessKey":"your oos accesKey", 目标OOS的AccessKey "destSecretKey":"your oos secretKey", 目标OOS的SecretKey "destBucket":"destoosbucket", 目标OOS的Bucket "srcPrefix":"logs/", OOS上要迁移文件（Object）的前缀 "srcMarker":"", 从第一个文件（Object）开始迁移 "srcStopObject":"", OOS上要迁移的截止文件（Object） "isSkipExistFile":false 是否跳过目标资源池中已有的文件（Object） }

本节介绍云安全中心关于等级保护测评解读。 云安全中心产品符合等级保护2.0标准体系主要标准。根据《网络安全等级保护基本要求》（GB/T 222392019），云安全中心满足第三级及以下安全要求： 等保标准章节 等保标准序号 云安全中心对应功能 功能解读 安全区域边界边界防护 8.1.3.1 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。同时能够对非授权设备私自联到内部网络的行为进行检查，通过处置功能实现对相关访问进行限制。 安全区域边界访问控制 8.1.3.2 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。同时能够对非授权设备私自联到内部网络的行为进行检查，通过处置功能实现对相关访问进行限制。 安全区域边界入侵防范 8.1.3.3 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，可在关键网络节点处检测、防止或限制从外部/内部发起的网络攻击行为，并对这些攻击行为进行分析、记录以及提供报警。 安全区域边界恶意代码和垃圾邮件防范 8.1.3.4 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，可在关键网络节点处对恶意代码进行检测、分析，并通过处置功能实现对相关机器访问进行限制。 安全区域边界安全审计 8.1.3.5 插件管理、威胁运营 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，可以在网络边界以及重要网络节点进行安全审计，记录包括相关告警事件的日期和时间、用户、告警类型、告警是否成功及其他与审计相关的信息，通过威胁运营，能将单独用户行为审计和数据分析。 安全计算环境安全审计 8.1.4.3 插件管理、威胁运营 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，可以在网络边界以及重要网络节点进行安全审计，记录包括相关告警事件的日期和时间、用户、告警类型、告警是否成功及其他与审计相关的信息。云安全中心日志通过多副本实时存储多分，保障用户日志在其存储周期内不丢失、可恢复。 安全计算环境入侵防范 8.1.4.4 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞，同时应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。 安全计算环境恶意代码防范 8.1.4.5 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，能够及时采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为。通过处置功能将其有效阻断。 安全区域边界集中管控 8.1.5.4 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，以及不同安全设备的处置集成，实现对分布在网络中的安全设备或安全组件进行管控。 通过内网建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理。 形成对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测。 通过实时的日志采集，对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求。 同时在应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理。 通过编排响应能对网络中发生的各类安全告警进行识别、报警和分析。

本文为您介绍如何创建自定义策略。 目前IAM支持以下两种方式创建自定义策略： 可视化视图：通过可视化视图创建自定义策略，无需了解JSON语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图：通过JSON视图创建自定义策略，可以直接在编辑框内编写JSON格式的策略内容。 操作步骤如下： 可视化视图配置自定义策略 1. 管理员登录IAM控制台。 2. 点击左侧导航窗格的“策略管理”，点击策略管理页面的“创建自定义策略”按钮，进入创建自定义策略页面。 3. 输入策略名称、策略描述等基本信息后，点击“下一步”。 4. 选择“可视化视图”。 5. 效果：选择“允许”或“拒绝”。 6. 云服务：选择需要进行权限控制的云服务。 说明 此处只能选择一个云服务，如需配置多个云服务的自定义策略，请在完成此条配置后，单击“添加权限”，创建多个服务的授权语句；或使用JSON视图配置自定义策略。 暂不支持一个自定义策略同时包含全局级云服务和资源池级云服务。如果需要同时设置全局级服务和资源池级服务的自定义策略，请创建两条自定义策略，便于授权时设置最小授权范围。 7. 选择“操作”，根据需求勾选产品权限。 8. （可选）配置特定资源，如选择“特定资源”，可以根据目前权限的关联资源路径模板，通过单击“添加资源”来指定需要授权的资源。 说明 支持为特定资源授权的云服务在资源选择中可以选择特定资源，否则代表当前服务不支持资源路径配置。 9. （可选）添加条件，单击“添加条件”，选择“条件键”，选择“运算符”，根据运算符类型填写相应的值。 10. （可选）在“策略配置方式”选择JSON视图，将可视化视图配置的策略内容转换为JSON语句进行检视和编辑，您可以在JSON视图中对策略内容进行修改。 说明 如果您修改后的JSON语句有语法错误，将无法创建策略，可以根据提示信息自行检查和修改内容。此外，如果将JSON语句重新转换到可视化视图时失败，一般是由于Statement下包含有多个不同云服务的Action，和可视化的映射规则不符合，这种情况不会影响策略的正常创建。 11. （可选）如需创建多个云服务的权限，请单击“添加权限”。 12. 单击“确定”，完成自定义策略的创建。

本节介绍计算机增强型云电脑的功能简介。 计算增强型AI云电脑，提供稳定可靠、弹性扩展、高性能的AI云电脑服务，支持X86/ARM架构，满足通用计算、高并发网络处理、AI推理、数字人直播等多场景需求，助力业务高效上云。

云存储网关产品服务协议生效，详情请参见这里。 天翼云存储网关服务协议 历史版本（20220419）。 天翼云存储网关服务协议 历史版本（20121111）。

本文为您介绍云监控IAM权限策略。 统一身份认证IAM介绍 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。 1、身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，缩小不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 2、权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素“Action”“Effect”等信息。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略: 系统策略 ： 预置的系统策略，您只能使用不能修改，具体说明请查看系统策略。 其中云监控服务相关的系统策略包含如下： 云监控管理者(admin) ：云监控服务的管理者权限，包含云监控服务的所有控制权限； 云监控查看者（viewer）:云监控服务的查看者权限，包含资源列表、告警规则列表查看等权限； 自定义策略 ： 您按需自行创建和维护的权限策略，关于自定义策略的操作和示例，请参见创建自定义策略。

本文介绍如何解绑混合备份客户端。 操作场景 当主机不再需要备份客户端时，在主机内卸载客户端后，您可以在云备份界面解绑该主机。 前提条件 主机中已卸载客户端。 操作步骤 1. 登录控制中心。 2. 在控制中心左上角选择地域，此处选择华东华东1。 3. 选择“存储>云备份”，进入云备份控制台。 4. 在云备份页面，单击左侧“混合备份（存储版）”按钮，进入混合备份控制台。 5. 找到待解绑客户端的主机，单击操作栏的“解绑”。

可信云服务可以通过IAM委托的方式访问其他云服务的资源。可信实体为天翼云服务的IAM委托，包括普通云服务委托和云服务关联委托。本文介绍事件总线EventBridge的服务内联委托。 什么是服务内联委托 在某些场景下，事件总线EventBridge为了完成自身的某个功能，需要获取其他云服务的访问权限，因此，事件总线EventBridge创建了与云服务内联委托，即服务内联委托CtyunAssumeRoleForEventBridge。 使用事件总线EventBridge，系统提供的服务内联委托及其包含的系统权限策略如下： 服务内联委托：CtyunAssumeRoleForEventBridge 系统权限策略：CtyunAssumePolicyForEventBridge CtyunAssumeRoleForEventBridge 服务内联委托CtyunAssumeRoleForEventBridge具有获取访函数列表、函数详情以及调用函数的权限；具有对分布式消息服务Kafka、分布式消息服务RocketMQ、分布式消息服务MQTT与分布式消息服务RabbitMQ的管理员权限；具有专有网络VPC、VPCE的管理员权限。 服务内联委托CtyunAssumeRoleForEventBridge被授予权限策略CtyunAssumePolicyForEventBridge，该权限策略的内容如下： plaintext { "Version": "1.1", "Statement": [ { "Action": [ "cf:inst:InvokeFunction", "cf:inst:GetFunction", "cf:inst:ListFunctions", "KAFKA::", "MQ2::", "mqtt::", "AMQP::", "vpce::", "vpc::" ], "Resource": [ "" ], "Effect": "Allow" } ] } 以下是使用事件总线EventBridge时，需要使用服务内联委托的场景： 建立函数计算规则时，需要委托事件总线EventBridge具有获取访函数列表、函数详情以及调用函数的权限。 建立消息中间件事件源与事件目标时，需要委托事件总线EventBridge具有对分布式消息服务Kafka、分布式消息服务RocketMQ、分布式消息服务MQTT与分布式消息服务RabbitMQ的管理员权限。 建立网络端点时，需要委托事件总线EventBridge具有专有网络VPC、VPCE的管理员权限。

本文汇总了云备份常见失败场景中的问题和处理方法。 如何处理Windows操作系统因安装了安全扫描类软件导致的备份客户端安装失败 问题可能原因 用户主机操作系统安装了安全卫士、病毒扫描等安全类软件，在云备份客户端安装过程中相关进程服务被安全类软件禁止，导致客户端安装失败。 处理方法 将云备份客户端安装目录（默认为C:Program FilesCSTORcbr）添加进安全类软件的信任区或白名单，再次执行云备份客户端安装步骤/程序。 如何处理天翼云云主机因未安装或未启动QEMU服务导致的备份客户端安装失败 问题可能原因 用户的天翼云云主机未安装或未启动“QEMUGuestAgent”，在云备份客户端安装过程中无法连接QEMU服务，导致客户端安装失败。 处理方法 1. 安装并启动“QEMUGuestAgent”服务。 Windows主机，需要安装并启动“QEMUGuestAgent”服务，请参考以下文档：安装VirtIO驱动、QEMUGuestAgent。 Linux主机，需要安装并启动“QEMUGuestAgent”服务，请参考以下文档：安装QEMUGuestAgent。 2. 在云备份“ECS备份”界面重新进行客户端安装操作。

本节介绍管理员可以根据实际情况对云手机上网所需的带宽进行管理，以及开通带宽的方式操作说明。 操作场景 管理员可以根据实际情况对云手机上网所需的带宽进行管理；目前开通上网带宽的方式支持开通新带宽（单独收费）。 说明：通过将上网带宽与业务子网建立绑定关系，来控制业务子网下云手机的最终可用带宽。 开通带宽 1.进入“云手机”控制台； 2.单击“网络管理”，选择“带宽管理”，进入带宽管理页面； 3.单击“开通带宽”，进入开通带宽页面； 4.填写带宽名称，根据实际情况选择“带宽大小”，并进行带宽的网络关联，选择绑定的“VPC”和“业务子网”； 5.根据实际情况选择“购买时长”； 6.确认相关的配置信息，单击“立即申请”，完成付款，即完成带宽开通。 变更VPC设置 管理员可以通过VPC设置，来更改带宽绑定的云手机VPC。 1.进入“云手机”控制台； 2.单击“网络管理”，选择“带宽管理”，进入带宽管理页面； 3.在需要变更VPC绑定的带宽所在行，单击“VPC设置”，打开“VPC设置”窗口； 4.根据实际情况进行配置，选择“VPC”和“业务子网”； 5.单击“确定”，即完成VPC设置。

前提条件 已购买DBSS实例。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“管理与监管 > 云监控服务 CES”。 3. 在左侧导航树栏，选择“告警 > 告警规则”，进入“告警规则”页面。 4. 在页面右上方，单击“创建告警规则”，进入“创建告警规则”界面。 5. 设置告警规则名称，选择告警规则“归属企业项目”。 6. 在“资源类型”下拉列表框中选择“数据库安全服务”，选择“维度”、“监控范围”，设置告警模板、是否发送通知，如图所示。 设置DBSS监控告警规则 7. 单击“立即创建”，在弹出的提示框中，单击“确定”， 告警规则创建成功。 查看监控指标 您可以通过管理控制台，查看DBSS的相关指标，及时了解数据库安全状况，并通过指标设置防护策略。 前提条件 DBSS已对接云监控，即已在云监控页面设置监控告警规则。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“管理与监管 > 云监控服务 CES”。 3. 在左侧导航树栏，选择“云服务监控 > 数据库安全服务”，进入“云服务监控”页面。 4. 在目标DBSS实例所在行的“操作”列中，单击“查看监控指标”，查看对象的指标详情。

项目 要求 Node.js 建议 Node.js 18 或以上 LTS 版本 npx 本地可执行 npx v MCP Client 支持本地 STDIO MCP Server AccessKey 已获取 AccessKey ID 和 AccessKey Secret 云电脑 已获取目标云电脑的 desktopCode ，且云电脑在线

参数 类型 是否必填 名称 说明 xosorigin[].origin string 是 云存储XOS源站 xosorigin[].ak string 否 云存储XOS源站加密ak ak与sk必须同时填写 xosorigin[].sk string 否 云存储XOS源站加密sk ak与sk必须同时填写

本页主要介绍云容器引擎产品的kubelet配置。 名称 类型 描述 示例值 cpuManagerPolicy String CPU 管理器策略。 none kubeAPIQPS Integer 与 API Server 通信的每秒查询个数。 100 kubeAPIBurst Integer 每秒发送到 API Server 的突发请求数量上限。 100 maxPods Integer 运行的 Pod 个数上限。 110 podPidsLimit Integer Pod 中可使用的 PID 个数上限。 1 eventRecordQPS Integer 每秒可生成的事件数量。 5 eventBurst Integer 事件记录的个数的突发峰值上限。 10 topologyManagerPolicy String 使用的拓扑管理器策略名称。 none topologyManagerScope String 拓扑管理策略的资源对齐粒度 container resolvConf String 容器指定DNS解析配置文件 runtimeRequestTimeout String 除长期运行的请求之外所有运行时请求的超时时长 120s serializeImagePulls Boolean 是否逐一拉取镜像。 FALSE registryPullQPS Integer 镜像仓库的 QPS 上限。 5 registryBurst Integer 突发性镜像拉取的个数上限。 10 containerLogMaxFiles Integer 每个容器可以存在的日志文件个数上限。 20 containerLogMaxSize String 日志文件被轮转之前可以到达的最大大小。 50Mi imageGCHighThresholdPercent Integer 镜像用量超过此阈值，则镜像垃圾回收会持续执行。 80 imageGCLowThresholdPercent Integer 镜像用量低于此阈值时不会执行镜像垃圾回收操作。 70 cpuCFSQuota Boolean CPU CFS 配额约束开关。 FALSE systemReservedMem String 系统内存预留 100Mi kubeReservedMem String Kubernetes组件内存预留 100Mi evictionHard:memory.available String 硬驱动逐配置项：节点可用内存值 100Mi evictionHard:nodefs.available String 硬驱动逐配置项：Kubelet使用的文件系统的可用容量的百分比 10% evictionHard:nodefs.inodesFree String 硬驱动逐配置项：Kubelet使用的文件系统的可用inodes数的百分比 5% evictionHard:imagefs.available String 硬驱动逐配置项：容器运行时存放镜像等资源的文件系统的可用容量的百分比 10% evictionHard:imagefs.inodesFree String 硬驱动逐配置项：容器运行时存放镜像等资源的文件系统的可用inodes数的百分比 10% evictionHard:pid.available String 硬驱动逐配置项：留给分配Pod使用的可用PID数的百分比 10% evictionSoft:memory.available String 软驱逐配置项：节点可用内存值 100Mi evictionSoft:nodefs.available String 软驱逐配置项：Kubelet使用的文件系统的可用容量的百分比 10% evictionSoft:nodefs.inodesFree String 软驱逐配置项：Kubelet使用的文件系统的可用inodes数的百分比 10% evictionSoft:imagefs.available String 软驱逐配置项：容器运行时存放镜像等资源的文件系统的可用容量的百分比 10% evictionSoft:imagefs.inodesFree String 软驱逐配置项：容器运行时存放镜像等资源的文件系统的可用inodes数的百分比 10% evictionSoft:pid.available String 软驱逐配置项：留给分配Pod使用的可用PID数的百分比 10% evictionSoftGracePeriod:memory.available String 驱逐周期 10s evictionSoftGracePeriod:nodefs.available String 驱逐周期 10s evictionSoftGracePeriod:nodefs.inodesFree String 驱逐周期 10s evictionSoftGracePeriod:imagefs.available String 驱逐周期 10s evictionSoftGracePeriod:imagefs.inodesFree String 驱逐周期 10s evictionSoftGracePeriod:pid.available String 驱逐周期 10s

本文介绍如何配置防火墙防护策略，包括配置入侵防御模式和配置访问控制策略。 云防火墙提供基础防御功能，可以针对访问流量进行检测与防护，覆盖多种常见的网络攻击，有效保护您的资产。 访问控制策略默认状态为放行，通过配置合适的策略调整防护能力，实现更有效的精细化管控，防止内部威胁扩散，增加安全战略纵深。 配置入侵防御模式操作步骤 在左侧导航栏中，选择“攻击防御 > 入侵防御” 。 功能名称 功能说明 :: 防护模式 观察模式：仅对攻击事件进行检测并记录到日志中。 拦截模式：在发生明确攻击类型的事件和检测到异常IP访问时，将实施自动拦截操作。 拦截模式宽松：防护粒度较粗。拦截可信度高且威胁程度高的攻击事件。 拦截模式中等：防护粒度中等。满足大多数场景下的防护需求。 拦截模式严格：防护粒度精细，全量拦截攻击请求。建议您等待业务运行一段时间后，根据防护效果配置误报屏蔽规则，再开启“严格”模式。 说明 选择防护模式后，可对基础防御规则库的单条防御规则进行修改。具体操作请参见修改基础防御规则动作。 基础防御 为您的资产提供基础的防护能力，默认为“开启”状态。防御功能包括： 检查威胁及漏洞扫描。 检测流量中是否含有网络钓鱼、特洛伊木马、蠕虫、黑客工具、间谍软件、密码攻击、漏洞攻击、SQL注入攻击、XSS跨站脚本攻击、Web攻击。 是否存在协议异常、缓冲区溢出、访问控制、可疑DNS活动及其他可疑行为。 虚拟补丁 在网络层级为IPS提供热补丁，实时拦截高危漏洞的远程攻击行为，同时避免修复漏洞时造成业务中断。 高级 敏感目录扫描防御 防御对用户主机敏感目录的扫描攻击。 “动作”： 观察模式：发现敏感目录扫描攻击后，CFW仅记录攻击日志，查看攻击日志请参见日志查询。 拦截Session：发现敏感目录扫描攻击后，拦截当次会话。 拦截IP：发现敏感目录扫描攻击后，CFW会阻断该攻击IP一段时间。 “持续时长”：“动作”选择“拦截IP”时，可设置阻断时间，范围为60~3600s。 “阈值”：对于单个敏感目录扫描频率达到设定的阈值后，CFW会采取相应“动作”。 高级 反弹Shell检测防御 防御网络上通过反弹shell方式进行的网络攻击。 “动作” ： 观察模式：发现反弹shell攻击后，仅记录攻击日志，查看攻击日志请参见日志查询。 拦截Session：发现反弹shell攻击后，拦截当次会话。 拦截IP：发现反弹shell攻击后，CFW会阻断该攻击IP一段时间。 “持续时长”：“动作”选择“拦截IP”时，可设置阻断时间，范围为60~3600s。 “模式 ”： 低误报：防护粒度较粗。观察或拦截频次较高的攻击，用于确保攻击处理没有误报。 高检测：防护粒度精细，确保攻击能够被发现并处理。

本章节主要介绍自定义词库使用示例。 场景说明 通过给集群配置自定义词库，将“智能手机”设置为主词，“是”设置为停词，“开心”和“高兴”设置为同义词。使用配置好的集群，对文本内容“智能手机是很好用”进行关键词搜索，查看关键词查询效果；对文本内容“我今天获奖了我很开心”进行同义词搜索，查看同义词查询效果。 配置自定义词库 1.准备词库文件（UTF8无BOM格式编码的文本文件），上传到对应OBS路径下。 主词词库文件中包含词语“智能手机”；停词词库文件中包含词语“是”；同义词词库文件中包含一组同义词“开心”和“高兴”。 说明 由于系统默认词库的停用词包含了“是”、“的”等常用词，此类停用词可以不用上传。 2.在云搜索服务管理控制台，单击左侧导航栏的“集群管理”。 3.在“集群管理”页面，单击需要配置自定义词库的集群名称，进入集群基本信息页面。 4.在左侧导航栏，选择“自定义词库”，参考配置自定义词库为集群配置1准备好的词库文件。 5.待词库配置信息生效后，返回集群列表。单击集群操作列的“Kibana”接入集群。 6.在Kibana界面，单击左侧导航栏的“Dev Tools”，进入操作页面。 7.执行如下命令，查看自定义词库的不同分词策略的分词效果。 −使用iksmart分词策略对文本内容“智能手机是很好用”进行分词。 示例代码： POST /analyze { "analyzer":"iksmart", "text":"智能手机是很好用" } 运行结束后，查看分词效果： { "tokens": [ { "token": "智能手机", "startoffset": 0, "endoffset": 4, "type": "CNWORD", "position": 0 }, { "token": "很好用", "startoffset": 5, "endoffset": 8, "type": "CNWORD", "position": 1 } ] } −使用ikmaxword分词策略对文本内容“智能手机是很好用”进行分词。 示例代码： POST /analyze { "analyzer":"ikmaxword", "text":"智能手机是很好用" } 运行结束后，查看分词效果： { "tokens" : [ { "token" : "智能手机", "startoffset" : 0, "endoffset" : 4, "type" : "CNWORD", "position" : 0 }, { "token" : "智能", "startoffset" : 0, "endoffset" : 2, "type" : "CNWORD", "position" : 1 }, { "token" : "智", "startoffset" : 0, "endoffset" : 1, "type" : "CNWORD", "position" : 2 }, { "token" : "能手", "startoffset" : 1, "endoffset" : 3, "type" : "CNWORD", "position" : 3 }, { "token" : "手机", "startoffset" : 2, "endoffset" : 4, "type" : "CNWORD", "position" : 4 }, { "token" : "机", "startoffset" : 3, "endoffset" : 4, "type" : "CNWORD", "position" : 5 }, { "token" : "很好用", "startoffset" : 5, "endoffset" : 8, "type" : "CNWORD", "position" : 6 }, { "token" : "很好", "startoffset" : 5, "endoffset" : 7, "type" : "CNWORD", "position" : 7 }, { "token" : "好用", "startoffset" : 6, "endoffset" : 8, "type" : "CNWORD", "position" : 8 }, { "token" : "用", "startoffset" : 7, "endoffset" : 8, "type" : "CNWORD", "position" : 9 } ] }