本节主要介绍如何查看实例信息 本节介绍如何在管理控制台查看分布式缓存Redis实例的详细信息。 操作步骤 1. 登录 Redis管理控制台。 2. 在管理控制台左上角选择实例所在的区域。 3. 查询分布式缓存Redis实例。支持通过实例名称搜索对应的Redis缓存实例。直接在搜索栏输入关键字即可。 4. 在实例列表页，单击目标实例名称进入实例详情管理。 说明 在实例列表中可以查看租户当前地域所有实例。 实例详情页面具体内容说明如下： 信息类型 参数 说明 基本信息 实例名称 实例的名称。单击“名称”后的【修改】按钮可以修改实例名称。 基本信息 实例ID 实例的ID。 基本信息 维护时间 运维操作时间。单击参数后的【变更按钮】可以修改时间窗。 基本信息 实例类型 实例的类型，包括：标准版单机、标准版主备、集群版单机、集群版主备等类型。 基本信息 实例规格 实例的规格。 基本信息 引擎版本 实例引擎的内核版本。 基本信息 实例项目 实例所属的项目。 基本信息 部署模式 实例的部署模式，包括：标准等模式。 基本信息 CPU 架构 实例的CPU架构，包括：x86、arm等类型。 基本信息 主机类型 实例主机的类型。 基本信息 磁盘类型 实例磁盘的类型。 基本信息 实例描述 实例描述信息。 实例状态 运行状态 实例运行状态，包括：运行中等。 实例状态 已用内存及配额 实例已使用的内存以及配额。 实例状态 创建时间 实例的创建时间。 实例状态 到期时间 实例的到期时间。 实例状态 计费模式 实例的计费模式，包含：按需计费等。 实例状态 实例退订保护 是否开启实例退订保护。 网络信息 可用区 实例可用区信息。 网络信息 虚拟私有云 实例所属虚拟私有云信息。 网络信息 子网 实例所属子网信息。 网络信息 安全组 实例所关联的安全组。单击“安全组”后的【修改】按钮可以修改安全组。 连接信息 IPv4连接地址 实例IPV4连接地址。点击修改端口可修改实例端口，点击连接诊断可进行实例连接诊断。 连接信息 IPv6连接地址 实例IPV6连接地址。点击设置可设置IPV6连接地址。 连接信息 内网域名 实例的内网域名。点击修改可修改内网域名。 连接信息 公网IP 实例绑定的弹性IP地址。点击公网IP后面的【绑定】按钮可以绑定弹性公网IP，若绑定了弹性IP，则可以通过公网连接实例。 连接信息 密码 实例的密码（不展示），点击密码后的【重置密码】按钮图标可修改实例密码。

智能边缘云的 API 使用指南 一、 前置步骤 如何获取 AK/SK Access Key：简写为AK，对http请求进行签名，签名机制是为了访问更加安全, access key为用户独有，并作为身份标识； Secret Key：简写为SK，用户私有的，请勿给他人。 调用智能边缘云 OpenAPI 需要 AK/SK 认证鉴权，下面为 AK/SK 获取方法： AK/SK 从 天翼云 IAM 申请，获取地址： 登录页面中选择【天翼云账号】登录，如下图所示： 登录后，在左侧【个人中心】下，选择【AccessKey管理】，点击【新增】，工作区选择【系统内置工作区】。 创建 AK 后，点击查看，验证后就可以获取到 SK。 充值与集群自助权限申请 调用 OpenAPI 开通资源前，需要确保账户下有集群自助权限，确认地址： ； 账号充值：按需开通资源时，要求可用现金余额最少100元； 如果在租户控制台创建资源时没有集群可选项(下图 ①)，请找售后或运营申请集群自助权限； 如果在租户控制台看到集群下没有配额(下图 ②)，请找售后或运营申请资源配额。

本文介绍如何安装与升级cstorcsi插件。 Serverless集群提供cstorcsi插件，基于Kubernetes容器存储接口（CSI），深度融合天翼云存储服务云硬盘、弹性文件存储、对象存储等。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 部分资源池不支持委托，插件安装需要配置用户AK、SK。安装前请首先到天翼云门户“用户”>“安全设置”>“用户AccessKey”中获取AK；SK可以在首次“创建AccessKey”时获取，也可提通过工单获取存量SK。若资源池支持委托，则不需要配置用户AK、SK。 插件安装 1. 登录云容器引擎管理控制台。 2. 在集群列表页点击进入指定集群。 3. 进入主菜单“插件”点击“插件市场”，选择cstorcsi，点击“安装”。 4. 在弹出的安装界面，点击“安装”。 5. 安装成功后将跳转到插件实例列表页，可以看到插件安装状态。如果插件安装失败，可以查看失败日志，通过工单反馈问题。 插件升级/更新 您可以在控制台看插件实例，并根据需要对插件进行升级或者更新。 1. 登录云容器引擎管理控制台。 2. 在集群列表页点击进入指定集群。 3. 进入主菜单“插件”点击“插件市场”，选择cstorcsi，点击进入查看详情。在插件详情页可以看到版本列表，在说明中可以获取各版本发布变更内容，根据需要确定升级版本。 4. 进入主菜单“插件”点击“插件市场”，选择cstorcsi，可以选择版本进行升级，也可以更新插件配置。 说明 如果当前插件版本已是最新版，插件实例列表页将不可见“升级”按钮。

如何获取分布式缓存Redis实例的连接地址和实例ID？ 在实例详情页中可以查询到以上信息，具体操作可参考查看连接地址。 可以通过rediscli连接Redis吗？ rediscli是原生Redis自带的命令行工具，您可以在CTECS实例或本地设备上通过rediscli连接分布式缓存Redis版，进行数据管理。 分布式缓存Redis版支持Jedis等通用的Redis客户端吗？ 支持。任何兼容Redis协议的客户端都可以访问分布式缓存Redis版，您可以根据应用特点选用Redis客户端。 关于Redis客户端的连接方法，请参见通过客户端连接Redis。 连接Redis实例需要在CTECS上安装Redis吗？ 不需要，只要有相应的Redis客户端即可从CTECS上连接Redis实例。 请参见通过客户端连接Redis。 缓存实例支持公网访问吗？ 支持通过绑定弹性IP进行公网访问，具体请参考公网连接Redis实例。 建议通过同一虚拟私有云下的弹性云主机来访问缓存实例，以确保缓存数据的安全。 缓存实例是否支持跨VPC访问？ 在一些情况下，由于实例未开启公网访问，不同虚拟私有云（VPC）间的网络通常是不互通的。这会导致无法直接访问分布式缓存服务（DCS）实例。为了解决这个问题，可以考虑创建VPC对等连接，以实现两个VPC之间的网络互通。 关于创建和使用VPC对等连接，请参考 VPC对等连接说明

本页介绍天翼云TeleDB数据库系统视图pgauditobjconfdetail的内容。 视图的作用：提供了关于数据库对象审计配置的详细信息。 名称 类型 定义 auditor name 创建或所有审计配置的用户的名称，通过pgcatalog.pggetuserbyid函数根据S.auditorid获取。 objectclass name 被审计对象的类别名称。 objectdesc text 被审计对象的描述，使用pgcatalog.pgdescribeobject函数生成。这个函数接受三个参数：classid、objectid和objectsubid，它们共同唯一确定一个数据库对象，并返回该对象的描述性信息。 actionname text 与审计配置相关联的审计动作的名称，通过pgcatalog.pggetauditactionname函数根据S.actionid获取。 actionmode text 审计动作的模式或类型，描述了在什么情况下触发审计动作。 actionison boolean 表示审计动作是否启用的状态。如果审计动作启用，这个字段将返回一个表示真值的指示（可能是true、1或其他表示启用的值）。

本章节介绍了云主机备份与其他云服务的关系。 弹性云主机（ECS） 云主机备份对弹性云主机中的云硬盘进行备份，支持将备份的数据恢复到弹性云主机的云硬盘中，以便于在弹性云主机数据丢失或损坏时自助快速恢复数据。 对象存储服务（OBS） 云主机备份通过云主机与对象存储服务的结合，将云主机的数据备份到对象存储中，高度保障用户的备份数据安全。 云审计服务（CTS） 云主机备份支持通过云审计服务对备份服务资源的操作进行记录，以便用户可以查询、审计和回溯。 云硬盘备份（VBS） 云主机备份和云硬盘备份均属于备份服务，为租户数据提供备份保护。

本章节为您介绍数据安全专区IAM权限的相关内容 本文为您介绍数据安全专区的权限管理能力，支持通过IAM实现对数据安全专区的访问控制、权限分配。 数据安全专区通过IAM（统一身份认证服务，Identity and Access Management）对用户权限进行管理，IAM可以帮助用户安全地控制数据安全专区服务的访问及操作权限。 默认情况下，天翼云主账号拥有管理员权限，而主账号创建的IAM用户没有任何权限。IAM用户需要加入用户组，并给用户组授权相应策略后，IAM用户才能获得策略对应的权限，才可以基于被授予的权限对云服务进行操作。 IAM应用场景 IAM策略主要面向同一主账号下，对不同IAM用户授权的场景： 您可以为不同操作人员或应用程序创建不同IAM用户，并授予IAM用户刚好能完成工作所需的权限，比如查看权限，进行最小粒度授权管理。 新创建的IAM用户可以使用自己的登录名和密码登录控制台，实现多用户协同操作时无需分享账号密码的安全要求。 数据安全专区IAM策略说明 天翼云为数据安全专区提供如下系统策略 。如果系统策略不满足授权要求，可以创建自定义策略 ，自定义策略是对系统策略的扩展和补充，详情请参见创建自定义策略。 策略名称 策略描述 类别 授权范围 dszSecAdmin 数据安全专区安全管理员策略，不支持订单相关操作。 系统策略 资源池 dszAudAdmin 数据安全专区审计管理员策略，不支持订单相关操作 系统策略 资源池 dszSysAdmin 数据安全专区系统管理员策略，不支持订单相关操作 系统策略 资源池 dszAuthAdmin 数据安全专区权限管理员策略，不支持订单相关操作 系统策略 资源池 dszApproveAdmin 数据安全专区审批管理员策略，不支持订单相关操作 系统策略 资源池 数据安全专区订单业务员 支持数据安全专区购买、续订、退订、升配、降配权限。 系统策略 全局级

本节主要描述Redis连接过程出现的问题，以及解决方法。 问题分类 当您发现与Redis实例连接出现异常时，可以根据本文的内容，从以下几个方面进行排查。 Redis和ECS之间的连接问题 密码问题 实例配置问题 客户端连接问题 带宽超限导致连接问题 性能问题导致连接超时 Redis和ECS之间的连接问题 客户端所在的ECS必须和Redis实例在同一个VPC内，并且需要确保ECS和Redis之间可以正常连接。 如果是Redis 3.0实例，Redis和ECS的安全组没有配置正确，连接失败。 解决方法：配置ECS和Redis实例所在安全组规则，允许Redis实例被访问。 如果是Redis 4.0/5.0/6.0实例，开启了白名单功能，连接失败。 如果实例开启了白名单，在使用客户端连接时，需要确保客户端IP是否在白名单内，如果不在白名单，会出现连接失败。客户端IP如果有变化，需要将变化后的IP加入白名单。 Redis实例和ECS不在同一个Region。 解决方法：不支持跨Region访问，可以在ECS所在的Region创建Redis实例，创建时注意选择与ECS相同VPC，创建之后，使用数据迁移进行迁移，将原有Redis实例数据迁移到新实例中。 Redis实例和ECS不在同一个VPC。 不同的VPC，网络是不相通的，不在同一VPC下的ECS无法访问Redis实例。可以通过创建VPC对等连接，将两个VPC的网络打通，实现跨VPC访问Redis实例。 关于创建和使用VPC对等连接，请参考《虚拟私有云用户指南》的“对等连接”文档说明。

远程零信任办公服务提供应用管理功能,本文将介绍如何将您的应用或资源添加平台进行管理。 在您要使用远程零信任办公服务访问您的应用或者系统资源之前，您需要将其添加到边缘安全加速平台进行管理。 背景说明 企业内部应用系统，例如内部WEB应用服务、服务器或数据库等IT资源，一般未暴露在公网，需要通过专有网络访问。在您添加这部分应用系统到平台后，您的员工登录远程零信任办公服务客户端完成身份认证后，便可以访问这部分局域网内的应用或系统资源。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在首页产品能力栏目，选择零信任进入工作台。 3. 左侧导航栏AOne零信任应用应用配置，查看应用列表。 4. 可根据业务需求进行相关配置。 应用列表 您可以查看应用的相关数据，包括应用总数，健康情况，无流量应用数，无生效策略应用数。并且可对应用进行相关配置操作，如权限自助申请、单点登录、配置无端访问及查看应用接入最佳实践和应用单点登录配置说明。 您可点击应用列表分页进行应用的管理，包括应用的添加、编辑、删除操作。

本节主要介绍按需计费。 按需计费是一种先使用再付费的计费模式，适用于无需任何预付款或长期承诺的用户。本文将介绍按需计费GaussDB数据库的计费规则。 适用场景 按需计费适用于具有不能中断的短期、突增或不可预测的应用或服务，例如电商抢购、临时测试、科学计算。 适用计费项 按需计费包含以下计费项。 表 使用计费项 计费项 说明 数据库实例 GaussDB实例对CN、DN节点进行收费；管理节点CMS、GTM不收费。 数据库存储（使用后扣费） 对数据库存储空间进行计费，按需计费的存储空间费用按照实际使用量每小时计费。 备份存储（使用后扣费） GaussDB提供了部分免费存储空间，用于存放您的备份数据，其总容量约为您购买存储容量的100%。备份存储用量超过数据库存储空间的100%，超出部分将按照备份计费标准收费，计费方式为按需计费（每小时扣费一次），不足一小时按照实际使用时长收费。 公网带宽（可选） GaussDB实例支持公网访问，公网访问会产生带宽流量费；GaussDB数据库实例在云内部网络产生的流量不计费。 假设您计划购买规格为通用增强Ⅱ型 8 vCPUs 64GB、1分片、3副本、1个协调节点，存储空间为160GB的分布式版云数据库GaussDB。在购买页面底部，您将看到所需费用，如 图 配置费用示例（不包含备份空间费用）所示。 图 配置费用示例 说明 备份空间费用，使用后按照统一标准计费，购买时不包含在配置费用中。

本章节主要介绍准备Flink作业数据。 创建Flink作业需要输入数据源和数据输出通道，即常说的Source和Sink。用户使用其他服务作为数据源或输出通道时，需要先开通相应服务。 Flink作业支持以下数据源和输出通道： OBS数据源 如果用户作业需要对象存储服务（OBS）作为数据源，则要先开通OBS服务，具体操作请参见对象存储用户指南中的有关开通OBS服务的章节。 开通OBS服务后，用户需要将本地文件通过Internet上传至OBS指定的位置，具体操作请参见对象存储用户指南中的“上传文件”章节。 RDS输出通道 如果用户作业需要RDS作为输出通道，需要创建RDS实例，具体操作请参见对应版本关系数据库产品《用户指南》中“创建实例”章节。 SMN输出通道 如果用户作业需要SMN作为输出通道，需要先在SMN中创建主题，获取URN资源标识，再添加订阅。 Kafka数据源和输出通道 如果用户作业需要Kafka作为数据源和输出通道，则必须要通过创建增强型跨源连接与Kafka进行对接，具体操作请参见增强型跨源连接。 如果Kafka服务端的端口监听在hostname上，则需要将Kafka Broker节点的hostname和ip的对应关系添加到跨源连接中。 CloudTable数据源和输出通道 如果用户作业需要CloudTable作为数据源和输出通道，需要先在CloudTable中创建集群，获取集群ID。 云搜索服务输出通道 如果用户作业需要云搜索服务作为输出通道，需要先在云搜索服务中创建集群，获取集群内网访问地址。具体操作请参见云搜索服务用户指南中的“快速入门”章节。 DCS输出通道 如果用户作业需要DCS作为输出通道，需要先在DCS中创建Redis类型的缓存实例，获取Redis实例连接地址。

本文介绍如何下载日志。 当日志超过热日志分析上限时，系统将自动对超出部分执行归档操作。 日志归档周期：每日凌晨2点自动归档一次。 归档日志存储时间：180天。 下载归档日志 说明 文件生成时间与文件中日志起始时间可能存在较大差异，若选择文件时间内未找到目标时间日志，可下载与目标时间相邻的文件。 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“系统管理 > 管理归档日志”。 5. 查询日志： 选择模式：支持选择“云SAAS模式”、独享型实例。 日志文件名称：支持模糊搜索文件名称。 归档时间：根据选择的时间范围过滤文件归档时间。 6. 查看日志文件列表。 参数 说明 日志文件名称 根据归档文件生成时间命名的文件。 日志时间 显示该归档文件内日志的起止时间。 归档时间 显示文件的归档时间。 日志条数 当前文件内归档的日志条数。 文件大小 显示文件的大小。 文件类型 显示文件的类型，攻击日志或访问日志。 7. 下载日志：单击操作列的“下载”，下载对应日志文件。 选择“云SAAS模式”，支持下载对应归档文件。 说明 归档日志文件类型目前仅有“攻击日志”提供下载。 选择独享型实例，仅支持查看日志归档记录，不支持下载归档文件。

使用流程 序号 操作项 说明 0 （可选）接入“企业主机安全HSS”的“主机安全基线”日志到态势感知（专业版） 仅态势感知（专业版）专业版且启用了“操作系统配置基线”、“经典弱口令检测”、“口令复杂度策略检测”遵从包场景需要执行该操作。 在目标工作空间左侧导航栏选择“日志审计> 云服务接入”，进入云服务日志接入页面，打开“企业主机安全HSS”服务的“主机安全基线”前的按钮以及“自动转告警”列对应的按钮，单击“保存”，并在弹出的配置保存框中，单击“确定”。 1 定时执行基线检查 态势感知（专业版）将使用默认检查计划对所有资产进行检查。 默认检查计划：默认每隔3天检查一次，每次在00:00~06:00对您账号下当前区域的“安全上云合规检查1.0”遵从包所涉及的资产进行检查。 自定义基线检查计划：根据您的需求自定义遵从包和检查时间。 2 立即执行基线检查 基线检查功能支持定期自动检查和立即检查。 定期自动检查：根据系统默认基线检查计划或您自定义的基线检查计划，定时自动执行基线检查。 立即检查：如果您新增或修改了自定义的基线检查计划，您可以在基线检查页面选择该基线检查计划，立即执行基线检查，实时查看服务器中是否存在对应的基线风险。 3 查看基线检查结果 自动/手动基线检查完成后，可以查看基线检查结果，了解基线检查项影响的资产、基线项目详情等信息。 4 处理基线检查结果 基线检查完后，可以根据修复建议对风险项目进行处理。 查看风险项的改进建议：根据检测结果修复风险检查项。 反馈检查结果：检查项中的手动检查项，您在线下执行检查后，需要在控制台上反馈检查结果，以便计算检查项合格率。 导入检查结果：将线下检查结果数据信息导入至态势感知（专业版）基线检查中。 导出检查结果：将线上检查结果导出至本地。

云主机备份和云硬盘备份有什么区别？ 两者的主要差异如下表所示。 对比维度 云主机备份 云硬盘备份 备份/恢复对象 服务器中的所有云硬盘（系统盘和数据盘） 指定的单个或多个磁盘（系统盘或数据盘） 推荐场景 需要对整个云主机进行保护 系统盘没有个人数据，因而只需要对部分的数据盘进行备份 优势 备份的同一个服务器下的所有磁盘数据具有一致性， 即同时对所有云硬盘进行备份， 不存在因备份创建时间差带来的数据不一致问题 保证数据安全的同时降低备份成本 什么是备份策略？ 备份策略指的是对备份对象执行备份操作时，预先设置的策略。包括备份策略的名称、开关、备份任务执行的时间、周期以及备份数据的保留规则。其中备份数据的保留规则包括保存时间或保存数量。通过将云主机绑定到备份策略，可以为云主机执行自动备份。 什么是云硬盘备份？ 云硬盘备份（Volume Backup Service）提供对公有云环境中云硬盘的基于快照技术的数据保护服务，简称VBS。 VBS使您的数据更加安全可靠。例如，当您的云硬盘出现故障或云硬盘中的数据发生逻辑错误时（如误删数据、遭遇黑客攻击或病毒危害等），可快速恢复数据。 VBS支持全量备份和增量备份。第一次做备份时，系统默认做全量备份，非第一次的备份，系统默认做增量备份。无论是全量还是增量都可以方便的将云硬盘恢复至备份时刻的状态。

本节将介绍如何对已添加的MRS资产进行删除的操作。删除已添加的MRS资产后，该资产在数据安全中心DSC服务里建立的相关内容都将被删除，包括任务模板以及扫描任务结果报告，且无法恢复。 前提要求 已完成MRS资产委托授权，参考云资源委托授权/停止授权进行操作。 待删除的数据资产未被应用在敏感数据检测任务中。 约束条件 如果需要删除的数据资产已被应用在敏感数据检测任务中，请先解绑资产或者删除任务，再参照本章节删除资产。 删除操作无法恢复，删除后，资产相关的任务模板、任务结果、报表都将被删除，请谨慎操作。 操作步骤 1.登录管理控制台。 2.单击左上角的，选择区域或项目。 3.在左侧导航树中，单击，选择“安全>数据安全中心”，进入数据安全中心总览界面。 4.在左侧导航树中选择“资产列表”，并选择“MRS > 待授权”，进入待授权MRS资产列表页面，如下图所示。 待授权MRS资产列表 5.在MRS资产列表中，在需要删除的MRS资产所在行的“操作”列，单击“删除”。 6.在弹出的删除资产提示框中，单击“确定”。

本章节介绍故障演练服务的委托授权相关功能。 概述 故障演练服务 需要与分布式缓存服务Redis版 、分布式消息服务Kafka 等其他云产品 协同工作。为实现这一目标，当您首次使用本服务时，系统会请求您授权创建一个服务内联委托 ，以便平台能够安全地访问和管理您在其他云产品中的相关资源。 权限说明 为完成故障注入 等功能，故障演练平台 需要获得访问其他云服务 的权限。为此，系统需要您授权创建一个名为 CtyunAssumeRoleForADTSChaos 的服务内联委托。 此委托将绑定一个名为 CtyunAssumeRolePolicyForADTSChaos 的系统权限策略，可在统一身份认证 中的策略管理查看到该策略的授权范围。 服务内联委托说明 当您首次登录故障演练平台 控制台时，系统会自动检查 CtyunAssumeRoleForADTSChaos 委托 是否存在。若不存在，系统会弹出授权提示。在您确认后，系统将自动为您创建该委托及关联的权限策略。 验证方法： 您可以在 IAM 控制台的角色管理 页面，或通过API/CLI调用 ListDelegates，查看已创建的服务内联委托。 一个更简单的验证方法是：刷新或重新登录故障演练平台 控制台，如果所有功能均可正常使用且不再弹出授权提示，则表示委托已成功创建。 注意 如果没有CtyunAssumeRoleForADTSChaos服务内联委托权限，可能会因为某个服务权限不足而影响系统功能的正常使用。 请不要自行删除或者修改CtyunAssumeRoleForADTSChaos 委托以及CtyunAssumeRolePolicyForADTSChaos策略，这可能导致故障演练服务无法正常工作。

本文为您介绍如何关闭重点操作短信验证。 重点操作验证，是天翼云平台为了保障安全，在用户进行重点操作前增加的二次认证，二次认证通过后系统才能执行用户操作。可避免因误操作引起严重后果，提供更高的安全性。您可以按照以下方式，关闭重点操作短信验证功能： 1. 登录天翼云账号，点击右上角头像下方的【个人中心】进入基本信息，下拉点击“安全设置”再点击“登录保护”如下图所示。 2. 点击【立即修改】跳转至概览/设置重点操作验证，如下图所示。 3. 选择关闭，如下图所示。 4. 点击【保存】，即可关闭重点操作保护。

本节介绍了操作审计的用户指南。 概述 容器镜像服务接入了云审计服务，支持将用户在容器镜像服务控制台的所有操作上报至云审计，以供用户在云审计控制台查看审计日志。 前置条件 已开通容器镜像服务企业版实例 已开通云审计服务 查看审计日志 1. 进入容器镜像服务控制台。 2. 点击已开通的企业版实例。 3. 点击左侧导航栏点击 "实例管理" "云审计"，即可跳转到云审计控制台。 4. 在云审计控制台可查看容器镜像服务的审计日志。 5. 云审计控制台默认保存最近7天的日志，若需要将日志长期存储，可参照云审计服务的帮助文档创建事件跟踪任务。 注意 老版本的容器镜像服务控制台内置了操作审计页面，用户仍可通过将链接 /audit?instanceId${instanceId} 中的${instanceId}替换为已开通的企业版实例ID进行访问，该链接将在后续版本中下线，用户应尽快迁移至云审计服务来查看审计日志。 当前已纳入云审计的关键操作列表 事件中文名称 事件英文名称 重置密码 resetPassword 更新实例对象存储配置 updateStorageConfig 创建容器镜像命名空间 createNamespace 更新容器镜像命名空间 updateNamespace 删除容器镜像命名空间 deleteNamespace 创建Helm Chart命名空间 createChartNamespace 更新Helm Chart命名空间 updateChartNamespace 删除Helm Chart命名空间 deleteChartNamespace 创建镜像仓库 createRepository 更新镜像仓库 updateRepository 删除镜像仓库 deleteRepository 创建Chart镜像仓库 createChartRepository 更新Chart镜像仓库 updateChartRepository 删除Chart镜像仓库 deleteChartRepository 登录实例 loginInstance 推送制品 pushArtifact 拉取制品 pullArtifact 删除制品 deleteArtifact 添加公网白名单 createInstanceEndpointAclPolicy 删除公网白名单 deleteInstanceEndpointAclPolicy 创建版本不可变规则 createImmutableTagRule 更新版本不可变规则 updateImmutableTagRule 删除版本不可变规则 deleteImmutableTagRule 创建版本保留策略 createRetentionPolicy 更新版本保留策略 updateRetentionPolicy 删除版本保留策略 deleteRetentionPolicy 创建镜像同步规则 createRepoSyncRule 更新镜像同步规则 updateRepoSyncRule 删除镜像同步规则 deleteRepoSyncRule 创建镜像迁移规则 createRepoMigrateRule 更新镜像迁移规则 updateRepoMigrateRule 删除镜像迁移规则 deleteRepoMigrateRule 创建定时清理策略 createGcScheduler 更新定时清理策略 updateGcScheduler 删除定时清理策略 deleteGcScheduler 立即执行清理 executeGc 创建镜像共享 createSharedRepository 更新镜像共享 updateSharedRepository 删除镜像共享 deleteSharedRepository 新增收藏镜像仓库 addStaredRepository 取消收藏镜像仓库 deleteStaredRepository 创建签名规则 createSigning 更新签名规则 updateSigning 删除签名规则 deleteSigning 创建事件通知规则 createEventRule 更新事件通知规则 updateEventRule 删除事件通知规则 deleteEventRule 创建触发器 createTrigger 更新触发器 updateTrigger 删除触发器 deleteTrigger 创建风险阻断策略 createVulnerabilityBlocker 更新风险阻断策略 updateVulnerabilityBlocker 删除风险阻断策略 deleteVulnerabilityBlocker 创建自定义域名 createCustomDomain 删除自定义域名 deleteCustomDomain 更新自定义域名 updateCustomDomain 创建安全扫描 createScan

本章节主要介绍如何创建MRS操作用户。 如果您需要对您所拥有的MapReduce服务（MapReduce Service）进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的云帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用MRS资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将MRS资源委托给更专业、高效的其他云帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。 如果云帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用MRS服务的其它功能。 本章节为您介绍对用户授权的方法，操作流程如下图所示。 前提条件 给用户组授权之前，请您了解用户组可以添加的MRS权限，并结合实际需求进行选择。 示例流程 详见下图： 给用户授权MRS权限流程 1.创建用户组并授权 在IAM控制台创建用户组，并授予MRS服务对应权限。 2.创建用户并加入用户组 在IAM控制台创建用户，并将其加入上述创建用户组并授权中创建的用户组。 3.用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限： −在“服务列表”中选择MRS服务，进入MRS主界面，单击右上角“创建集群”，尝试创建MRS集群，如果无法创建MRS集群（假设当前权限仅包含MRS ReadOnlyAccess），表示“MRS ReadOnlyAccess”已生效。 −在“服务列表”中选择除MRS服务外（假设当前策略仅包含MRS ReadOnlyAccess）的任一服务，若提示权限不足，表示“MRS ReadOnlyAccess”已生效。

服务质量稳定 依托天翼云平台，我们通过一系列的措施和技术手段，确保服务的稳定性和可用性，为用户提供可靠、高效的产品和服务。随着技术的不断进步和应用场景的不断拓展，我们将继续致力于提升产品的性能和服务品质。 部署方式灵活 可以提供公共云、私有云的部署方式，满足客户部署需求。 对于希望利用云服务优势、注重灵活性和扩展性的客户，我们提供公共云服务方式。通过提供印刷文字识别产品的公有云服务，客户可以快速接入服务。 对于注重数据安全和隐私保护的客户，我们提供私有云部署方式。通过将印刷文字识别产品部署在本地私有云平台上，客户可以在保证数据安全的同时，享有产品带来的便利。

本页面主要介绍性能自动缩容的相关步骤。 说明 当前仅华北2、西安7资源池支持性能自动缩容，具体支持情况以控制台页面展示为准。更多资源池信息，请参见功能概览。 前提条件 实例状态为运行中。 已设置可维护时间段。 注意 实例性能自动缩容将在可维护时间段内进行，默认可维护时间段为凌晨2点~6点，您可以根据实际情况进行修改。 性能自动缩容不会变更机器类型，仅做规格上的降级。 约束限制 当前实例为非最小规格，如果已经是最小规格，则无法进行性能自动缩容； 仅一主一备和一主两备的实例支持性能自动缩容，单机主实例不支持自动缩容； 主实例为一主一备或一主两备时，只读实例作为一个独立实例，需要单独为只读实例设置性能自动缩容。 性能自动缩容默认为停业扩容方式，请选择合适的时间段进行自动缩容。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 在配置信息 区域，单击性能自动缩容 参数右侧的设置。 5. 打开性能自动缩容开关。 6. 选择CPU缩容触发阈值 、缩容规格下限 和观察窗口。 CPU缩容触发阈值：取值范围为10%~50%，CPU降低到设定阈值将进行规格缩容。 缩容规格下限：选择缩容的规格下限，具体以控制台显示为准。 观察窗口：观察窗口用于统计实例观察窗口内的CPU使用率平均值是否超过阈值。 7. 单击确定。

天翼云根据不同性能,将云硬盘分为以下规格:XSSD3、XSSD2、XSSD1、XSSD0、极速型SSD、超高IO、通用型SSD、高IO、普通IO,用户在实际使用中可以选择符合自己业务需求与成本预算的规格进行购买。 云硬盘类型及对应性能介绍 衡量云硬盘性能的指标有很多种，例如IOPS，吞吐量，读写时延： IOPS：云硬盘每秒进行读写的操作次数，可以细分到单盘最大IOPS，基线IOPS，IOPS突发上限等等。 吞吐量：云硬盘每秒成功传送的数据量，即读取和写入的数据量，一般会衡量云硬盘最大吞吐量，每GB云硬盘的吞吐量。 读写时延：云硬盘处理一个读写IO需要的时间。 各类型云硬盘的性能比较如下表所示： 参数 新一代产品 极速型SSD 超高IO 通用型SSD 高IO 普通IO 参数 XSSD3 XSSD2 XSSD1 XSSD0 极速型SSD 超高IO 通用型SSD 高IO 普通IO 数据盘容量范围（GB） 1,024~65,536 512~65,536 20~65,536 10~65,536 10~32,768 10~32,768 10~32,768 10~32,768 10~32,768 单盘性能 性能组成 基准性能+预配置性能 基准性能 单盘性能 单盘最大IOPS （支持预配置的磁盘在叠加额外预配置性能之后可达到） 1,000,000 300,000 100,000 50,000 100,000 50,000 20,000 5,000 2,000 单盘性能 单盘最大吞吐量（MB/s） 4,000 4,000 750 350 750 350 250 200 150 基准性能 单盘IOPS性能计算公式（基准性能），公式中容量单位为GB min{3,000+50×容量， 1,000,000} min{1,800+50×容量，100,000} min{1,800+50×容量，50,000} min{1,800+12×容量，10,000} min{1,800+50×容量，100,000} min{1,800+50×容量，50,000} min{1,500+8×容量，20,000} min{1,800+8×容量，5,000} min{300+2×容量，2,000} 基准性能 IOPS突发上限 NA NA NA NA 32,000 16,000 8,000 5,000 2,000 基准性能 单盘吞吐量计算公式（基准性能，MB/s），公式中容量单位为GB min{150+0.5×容量， 4,000} min{120+0.5×容量，750} min{120+0.5×容量，350} min{100+0.25×容量，180} min{200+0.5×容量，750} min{120+0.5×容量，350} min{100+0.5×容量，250} min{130+0.1×容量，200} min{100+0.1×容量，150} 基准性能 单队列平均访问时延（ms） Block Size4K 0.2 0.2~0.4 0.2~0.4 0.3~0.5 亚毫秒级 1 1 1~3 5~10 预配置性能 （额外性能） 单盘IOPS配置范围（预配置性能），公式中容量单位为GB [ 0，min{500×容量，1,000,000} 基准IOPS] [ 0，min{500×容量，300,000} 基准IOPS] [ 0，min{500×容量，100,000} 基准IOPS] [ 0，min{500×容量，50,000} 基准IOPS] 不涉及 预配置性能 （额外性能） 单盘吞吐量计算公式（预配置性能，MB/s），公式中容量单位为GB min{预配置 IOPS ×16/1,024，min{8,000×容量/1,024，4,000} 基准吞吐量} min{预配置 IOPS ×16/1,024，min{8,000×容量/1,024，4,000} 基准吞吐量} min{预配置 IOPS ×16/1,024，min{8,000×容量/1,024，750} 基准吞吐量} min{预配置 IOPS ×16/1,024，min{8,000×容量/1,024，350} 基准吞吐量} 不涉及 特点 极高IOPS、超高吞吐量和极低时延 超高IOPS、超高吞吐量和超低时延 超高吞吐和超低时延的场景 高吞吐、低时延的场景 超高吞吐和低时延的场景 企业关键业务，高吞吐、低时延的工作负载 高吞吐、低时延的企业办公 一般访问量的工作负载 不常访问的工作负载 典型应用场景 超大型OLTP数据库 高负载、核心关键业务系统 超大型数据库 超大带宽的读写密集型场景 中大型数据库 系统盘 中型开发测试 Web应用 中小型数据库 大型开发测试 转码类业务 I/O密集型场景 转码类业务 系统盘 中型开发测试 企业办公 Web应用 普通开发测试 日常办公应用 轻载型开发测试 不建议用于系统盘 说明 1. X系列云硬盘的单盘性能 基准性能 + 预配置性能。预配置性能为用户自定义，您可以结合实际业务的需求，在容量不变的情况下，灵活配置云硬盘的IOPS。 2. 超高IO最大IOPS为50,000的资源池为：华东1、上海36、青岛20、武汉41、南宁23、华北2、南昌5、西南1、华南2、西安7、太原4、郑州5、西南2贵州、杭州7、长沙42（可用区1）。其他资源池支持的最大IOPS为33,000，单个云硬盘IOPS计算公式为：min{1,800+30×容量，33,000}。 3. 单个云硬盘的最大IOPS、IOPS突发上限、单个云硬盘的最大吞吐量三个参数的值均为读写总和。比如最大IOPSIOPS读+IOPS写。 4. 以单个超高IO云硬盘吞吐量计算公式为例说明：起步120MB/s，每GB增加0.5MB/s，上限为350MB/s。 5. 以单个通用型SSD云硬盘IOPS计算公式为例说明：起步1,500，每GB增加8，上限为20,000。 6. 单队列指队列深度为1，即并发度为1。单队列访问时延是所有IO请求串行处理时IO的时延，表格中数据是4KB数据块能达到的时延。X系列云硬盘性能测试方法请参见如何压测XSSD云硬盘的性能；其他类型云硬盘性能测试方法请参见如何测试云硬盘的性能。 7. 通用型SSD、超高IO云硬盘挂载至小规格云主机（如1vCPU、2vCPU等）时，可能达不到单盘最大IOPS指标。如果想要发挥出通用型SSD或超高IO云硬盘的磁盘最佳性能（如数万IOPS、数百MB/s吞吐），需要挂载至大规格云主机（16vCPU及以上）使用。 8. 不建议将超高IO云硬盘搭配国产化云主机使用，部分业务场景下可能达不到单盘最大IOPS指标。如果使用国产化云主机且对磁盘性能有要求，如数据库、在线交易系统、实时分析系统等场景，建议选择新一代X系列云硬盘搭配国产化云主机使用。X系列支持的国产化云主机规格请参见支持挂载主机规格族清单。 9. 普通IO、高IO类型的云硬盘由机械硬盘（HDD）提供支持，适合一般工作负载的应用场景；对于负载较高的应用场景，建议使用固态硬盘（SSD）提供支持的云硬盘，包括通用型SSD、超高IO、极速型SSD，或使用更高规格的XSSD系列云硬盘。 10. 当X系列云硬盘容量较小时，根据上述公式计算可能会出现以下情况：预配置性能中单盘预配置吞吐量为负，该情形下，预配置吞吐量以“预配置 IOPS ×16/1,024”为准。 11. XSSD2云硬盘于2026年01月08日0时进行了性能调整。2026年01月08日0时前创建的XSSD2云硬盘，性能仍然按照旧公式计算（含扩容、变配）；2026年01月08日0时后新订购的XSSD2云硬盘，性能按照新公式计算。

审计分析 对实时动态分析的日志进行归并处理和监测，可及时发现高危安全事件，如用户违规行为、数据泄露、攻击利用和主机通信异常。 关联分析策略是系统中的核心功能之一，主要关注各类日志之间的逻辑关联关系。它不仅支持以预定义规则进行事件关联，还能基于状态、时序和归并等方式发现关联。 系统可审计以下不同类型日志或事件（需结合相关设备，如防火墙和IPS等）：网络攻击、有害代码、漏洞、用户访问存取、系统运行、设备故障、配置状态、网络连接和数据库操作等。 关联事件的结果将在关联事件中显示，如果符合关联策略，将以告警形式在实时监控模块呈现给用户。用户可以对告警进行处理，以确保及时应对潜在的安全问题。 数据展示 提供可视化的总体概览，通过仪表板可以直观地展示日志数据的统计和分析结果，帮助用户快速了解系统的运行状态和问题。用户可以自定义展示安全事件以及各类审计分析信息，提供实时的审计分析可视化界面。 全局监视仪表板，可展示不同设备类型、不同安全区域的实时日志流曲线、统计图，以及网络整体运行态势、待处理告警信息等。 风险报表 用户可以根据自己的需求，自由选择需要包含在报表中的指标和数据，以便更好地满足特定的业务需求。系统还提供了对预置报表模板的选择和预览功能。用户可以浏览系统中已经存在的报表模板，并选择其中的一个进行生产。这有助于用户快速生成符合自己需求的报表，节省了手动设计和生成报表的时间和工作量。 在报表中，系统以柱状图、曲线图和饼状图的方式统计安全报警和原始日志情况。这种可视化的报表展示方式使得数据更加直观易懂，用户可以更轻松地分析和理解报表中的信息。报表格式方面，系统支持PDF、Word等文件格式的导出。用户可以根据需要选择合适的文件格式，以便将报表分享给其他人或保存到本地进行进一步分析。 此外，系统还支持周期性生成报表并通过邮件推送给用户。用户可以设置报表的生成周期，例如每天、每周或每月定期生成报表，并通过电子邮件将其发送给用户。这样，用户可以及时获得最新的安全报警和日志信息，以便及时采取相应的措施。

本节为您介绍物理机对云硬盘服务的支持情况。 云硬盘（CTEVS，Elastic Volume Service）是一种可弹性扩展的块存储设备，可以为物理机提供高性能、高可靠的块存储服务。天翼云硬盘规格丰富，满足不同场景的业务需求，适用于文件系统、数据库、开发测试等场景。 物理机服务中的部分物理机规格不支持挂载云硬盘。 部分物理机规格支持挂载使用的云硬盘类型，包括普通 IO（SATA）、高 IO（SAS）、超高 IO（SSD）、通用型SSD（SSD）四种类型的云硬盘，用户可根据物理机所承载的业务类型选配所需IO能力的数据盘。具体请参考云硬盘产品文档。 说明：所选规格对云硬盘挂载支持情况可在选配界面查看，如下图。 1. 物理机规格不支持挂载云硬盘，在选配界面挂载云硬盘时会提示“当前所选规格不支持挂载云硬盘”。见下图： 2. 物理机规格支持挂载云硬盘，在选配页面挂载云硬盘时，会展示云硬盘供用户选择。见下图：

本文介绍了云防火墙（原生版）产品的互联网边界规则统计功能、以及规则优先级。 约束限制 互联网边界防火墙最多支持10000条访问控制规则。 防护规则统计 对防护规则数量进行统计，包括：黑名单规则数、白名单规则数、入向规则数、出向规则数、已占用规格数/总规格。 其中，已占用规格数量入向规则数+出向规则数+黑名单规则数+白名单规则数。 规则类型 互联网边界防火墙支持如下防护规则，可以根据您的需要分别进行配置。 黑名单规则 白名单规则 入向规则 出向规则 防护规则优先级 优先级：黑名单规则 > 白名单规则 > 入向规则 > 出向规则 防护策略优先级判定顺序的设定为：优先过滤黑名单流量，其次为白名单流量，然后为访问控制策略，最后为入侵防御策略。 1. 为当用户设置黑名单后，此时系统认为黑名单流量即为垃圾流量，系统可根据用户设置的黑名单过滤掉恶意流量，以便系统后续处理非垃圾流量，保证系统处理的数据为用户的有效数据。 2. 当流量经过黑名单过滤后，剩余流量为用户可能关注的流量，在此基础上，通过用户设置的白名单规则，系统可以过滤出用户确定关注的白名单流量，以便对有效流量进行处理，过滤出白名单流量后，系统会直接放行白名单流量至入侵防御策略处进行安全检测，不再进行访问控制。 3. 对于非黑非白的流量，系统将对其进行访问控制检测，对于策略允许的流量进行放行，对于策略禁止的流量进行丢弃。放行后的流量依然需要进行安全检测。

关闭订阅 1、登录管理控制台。 2、在页面左上角单击，选择“区域”，选择“安全>企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、左侧选择“安全报告”进入安全报告概览页面。服务预设了按月（default monthly security report）和按周（default weekly security report）统计的两个安全报告模板，可直接使用。 5、单击目标报告的开关，使其状态为打开，表示目标报告订阅已关闭。 删除报告 注意 默认的按月（default monthly security report）和按周（default weekly security report）统计的两个安全报告模板不可删除。 1、登录管理控制台。 2、在页面左上角单击选择“区域”，选择“安全>企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、左侧选择“安全报告”进入安全报告概览页面。 查看安全报告 服务预设了按月（default monthly security report）和按周（default weekly security report）统计的两个安全报告模板，可直接使用。 5、单击目标报告的“删除”，对目标报告进行删除。

云等保的测评要求 等保工作是一个持续的工作，等保测评也是一个周期性的工作，三级系统要求每年做一次，四级系统每半年做一次，二级系统部分行业明确要求每两年做一次，没有明确要求的行业一般是建议两年做一次测评。 定期等保合规基线检查 合规基线覆盖等级保护二级、三级技术要求主机安全检查330项。涵盖系统基线、应用基线、等保合规检查和CIS合规检查。 使用合规基线功能，无需任何人工干预，全自动高效清点，一旦安全配置被修改迅速响应并可定位到具体的主机及负责人，最大限度减少风险暴露的同时有效降低员工再犯可能。 选择合规基线模版 点击某个基线任务，可查看该任务中的基线检查列表，也可对单个基线进行检查。 检查合规基线扫描结果 根据选定的基线检查任务，检查结果按照每个检查项的维度展示了该检查项的基本信息，和在主机范围内检查结果的通过率。

本章节为您介绍云安全态势感知基本功能 云安全态势感知页面默认为每天进行扫描并展示最新的扫描结果，其中包括通过率、已通过检查项、全部检查项。 策略管理 1. 登录云安全中心控制台。 2. 在左侧导航栏选择“风险管理 > 云安全态势管理”。 3. 在页面右上角中，选择“策略管理”。 4. 在页面右侧弹出的对话框中，根据业务需求选择策略管理内容。 5. 策略配置完成后，单击“保存”即可完成策略配置。 检查项扫描 您可以通过人工方式定期执行安全检查项，对云端资产进行全面安全扫描。 1. 登录云安全中心控制台。 2. 在左侧导航栏选择“风险管理 > 云安全态势管理”。 3. 选择需要执行的检查项，单击“操作”列的“扫描”按钮，在弹出的对话框中，单击“确定”即可开始扫描。 4. 开始扫描后，对应检查项的状态会变为“处理中”。 5. 扫描完成后，状态会变为“已通过”或“未通过”，可单击“操作”列的“详情”查看检查结果。

本章节介绍CNI插件的使用 背景 sidecar模式下，服务网格默认通过给业务pod注入一个istioinit容器配置iptabels规则，实现业务无感的流量拦截，但是这种配置方式需要较高的权限（NETADMIN 和 NETRAW），在对安全较为敏感的场景，这种配置方式可能带来安全风险。通过CNI插件方式，不需要用户提权的情况完成和istioinit相同的能力，实现容器流量拦截配置功能。CNI插件以DaemonSet方式部署在集群中，创建pod时完成容器网络配置。 操作 进入服务网格控制台 > sidecar管理 > 网格CNI插件 菜单，您可以选择对应的istio版本和相关配置，开启或关闭CNI插件，配置说明如下 配置 说明 版本 升级过程中可能同时存在多个版本，您可以选择一个版本开启CNI插件 排除的命名空间 排除的命名空间下的pod不会被CNI插件处理，一般配置为一些不希望注入网格sidecar的命名空间。请勿将需要注入sidecar的命名空间添加到CNI排除的命名空间列表中，可能导致pod启动失败。 使用CNI插件实现sidecar流量拦截配置 1. 进入服务网格控制台 > sidecar管理 > 网格CNI插件 菜单，开启网格CNI插件，完成后可以看到云容器引擎中已经部署了网格CNI 2. 部署应用服务，确保pod所在的命名空间及pod的标签满足sidecar注入规则，且pod所在的命名空间不在网格CNI插件的排除命名空间里；部署完成后可以看到pod注入了sidecar plaintext

本章节主要介绍RDSPostgreSQL实例使用规范。 实例可用性 建议开通产品实例时，充分考虑业务使用应用场景，保持实例服务器有一定的资源冗余，如磁盘、CPU、内存等，保证正常使用率不超过70%，防止因资源问题导致Out Of Memory、磁盘耗尽、CPU飙高等异常问题。 建议生产系统使用的数据库选用主备类型，保证高可用。 建议开启周期性全量+增量备份，保证备份机空间足够且不小于实例磁盘。 建议根据需要修改主备实例的数据同步模式，如要保证数据不丢失，可设置为同步模式；如要保证业务响应速度快，可以设置为异步模式。 建议根据资源使用情况，及时升级实例配置，如磁盘扩容、系列升配和CPU/内存升配，保证实例可用性。 实例运维 及时清理无用复制槽，防止复制槽阻塞影响日志回收。 及时VACUUM，尤其是在大批量数据操作场景下。 删除和修改记录时，需要先执行SELECT，确认无误才能提交执行。 及时清理无用的空闲连接，同时业务侧应该避免连接长时间不释放。 建议定期监控数据库事务ID的大小，以免数据库已使用的事务ID大小超过20亿，导致数据库强制关闭。 安全访问 尽量避免通过公网访问数据库，如需公网连接必须要先绑定公网EIP，并严格管理白名单。

密钥自动轮转周期的可设置范围是什么？ 对称密钥支持设置自动轮转周期，周期最短为7天，最长为730天（2年）。 对称密钥支持设置自动轮转，系统根据自动轮转周期自动生成新的密钥版本，并将最新的版本设置为主版本，原密钥版本作为非主版本保存在KMS中，KMS不会删除或禁用非主版本，它们需要被用作解密数据。 非对称密钥是否支持自动轮转？ 非对称密钥不支持设置自动轮转，可以手动创建新的版本。 由于公私钥使用场景的特殊性，KMS不支持对非对称的用户主密钥进行自动轮转。可在指定用户主密钥中人工创建新的密钥版本，生成全新的一对公钥和私钥。 除此之外，和对称类型的用户主密钥不同，非对称的用于主密钥没有主版本（PrimaryKeyVersion）的概念，因此使用非对称密码运算的接口除需指定用户主密钥标志符（或别名）之外，还需指定密钥版本。 什么情况下需要导入外部密钥？ 当用户拥有自己的密钥材料，需要继续使用该密钥材料实现数据加解密，比如用户需要将本地加密数据迁移到云上时，云上云下共用同一个密钥材料，此时可以将密钥材料导入至KMS中进行托管，便于后续使用。 当您选择密钥材料来源为外部，使用您自己导入的密钥材料时，需要注意以下几点： 请确保您使用了符合安全要求的随机源生成密钥材料； 在使用导入密钥时，需要对自己密钥材料的可靠性负责； 请保存密钥材料的原始备份，以便在意外删除密钥材料时，能及时将备份的密钥材料重新导入KMS。

本节为内核版本升级公告。 本节对关系数据库PostgreSQL版的内核版本的潜在风险进行了说明，如果您使用了下述版本，建议您尽快升级到最新内核版本。 涉及版本 15.015.7版本 建议升级原因 涉及版本存在自数据库启动后，当累计连接数量达到42亿后，数据库无法新建连接的问题。最新版本已经优化该问题，建议客户业务低峰期升级小版本到最新版本。 升级指导 请参考升级内核小版本。 预估业务影响时长 升级需要重启实例，业务中断时长约1min。 预估升级时长 正常业务负载下，升级时长约515min。 升级过程中的影响说明 1. 正常升级大概515min左右，业务量越大，总时间越长，请选择在业务低峰期进行升级，并确保您的应用有自动重连机制。如有只读实例，会同步升级小版本。 2.升级操作及影响参考升级内核小版本。