，在 CDN与视频 分类下，点击 边缘安全加速平台； 通过控制台链接直接进入。 后续步骤 安全与加速 安全与加速快速入门 零信任服务 零信任服务快速入门 终端管理 终端管理快速入门 边缘接入服务 零基础使用边缘接入服务 边缘函数 零基础使用边缘函数 服务变更相关操作 具体参见： 开通资源包指引 续订套餐指引 变更套餐指引 退订套餐指引 到期与欠费说明

本节将介绍工作空间的定义、类型和基本操作等内容。 什么是工作空间？ 工作空间（Workspace）属于态势感知（专业版）顶层工作台。 空间管理： 单个工作空间可绑定普通项目，可支撑不同场景下的工作空间运营模式。 空间托管： 工作空间数据委托：单租所有工作空间按照租户实际运营汇聚到某一个工作空间做集中安全运营，跨租汇聚安全运营。 工作空间委托：跨账号安全运营，可实现工作空间委托集中安全运营查看统一资产风险、告警和事件等。 什么是数据空间？ 数据空间是进行数据分组、负载、流控单元。同一数据空间的数据共享同一载均衡策略。 什么是数据管道？ 数据传输消息主题和存储索引组合为数据管道。 工作空间通用规则 单账号单Region内最多创建5个工作空间。 一个工作空间中最多可创建5个数据空间。 一个数据空间中最多可创建20个数据管道。

本节为您介绍云迁移服务CMS服务器迁移任务增量同步及后续操作。 若您迁移时启用了增量，迁移程序会在全量迁移完成后，自动进入循环增量模式。每5分钟向目标机同步上一个时间段内的增量文件。 停止增量 1. 在“操作”选项卡单击“停止增量”，进行最后一次增量同步，同步完毕后，进入后续的迁移步骤（注：务必在点击停止增量前停止源机上还在写文件的服务）。 2. 此时需要停止所有源机应用程序、数据库后，再点击“确定”，进行最后一次增量同步；例如源机是数据库服务器，如果在点击增量时未停止数据库服务，数据库服务还是写文件，迁移服务只能迁移文件的中间态到目标机，目标机启动后打开的是文件的中间态，就会出现数据库无法启动或者启动后数据不一致的情况。 3. 源机处若存在运行Oracle、MySQL、MariaDB、SQL Server、Redis、Docker应用程序时，CMS控制台的停止增量检测功能会展示如下提示： 4. 点击查看需要关闭的应用，进行对应的应用关闭: 5. 点击查看需要关闭的应用，进行对应的应用关闭：

Web应用防火墙（边缘云版）智能负载均衡技术能够自动分配访问流量，保障业务的高可用性和自动容灾能力，开通智能负载均衡能力后，可以自助配置静态文件缓存在云安全节点，实现低延时的访问，达到对网站的一个加速效果。 glmoscodeexplain 如何开通智能负载均衡功能？ 当前仅支持通过单击变更访问链接，进入变更访问链接后，单击【实例】，可按需在【全部产品】下拉框中过滤出【Web应用防火墙(边缘云版)】。 如何使用智能负载均衡功能？ 具体功能介绍和使用请参考配置缓存功能介绍：配置缓存 注意 暂时不支持单独退订智能负载均衡，如果需要单独退订，请

本节介绍如何接入产品日志。 打开云安全中心的设置>集成配置，在集成配置中选择需要接入的日志类型。部分日志支持直接转告警，可以直接打开转告警开关，云安全中心会根据内置转告警规则进行转告警配置。 接入流程如下： 1. 登录云安全中心控制台。 2. 选择“设置 > 数据源监控”，打开数据源监控页面。 3. 在操作列点击“启用”，确保数据源监控处于启用状态。 4. 选择“设置 > 集成配置”，打开数据集成配置页面。 5. 选择需要接入的日志，并打开日志接入开关。 6. 选择需要转告警的日志，并打开自动转告警的开关。 说明 系统默认会接入部分日志，用户如有需要，可以自行关闭。 需要先在数据源监控页面启用开关后，才可以在集成配置页面中开启日志和告警配置。 选择需要接入的日志时，只能针对您已经购买的云产品。 选择需要转告警的日志，只能针对已经选择接入的日志进行。

本章节会介绍关系型数据库如何将按需计费转为包周期计费 操作场景 关系型数据库服务支持单个按需实例转为包周期（包年/包月）实例。由于按需资源费用较高，需要长期使用资源的按需用户可以选择对按需资源进行转包周期，继续使用这些资源的同时，享受包周期的优惠资费。 说明 运行状态为冻结、创建失败、规格变更中、扩容中的实例不支持按需实例转包周期。 专属云RDS目前仅支持按需计费。 操作步骤 1、登录管理控制台。 2、单击管理控制台左上角的，选择区域和项目。 3、选择“数据库> 关系型数据库”。进入关系型数据库信息页面。 4、在“实例管理”页面，选择目标实例，单击“操作”列的“转包周期”，进入“按需转包周期”页面。 您也可以单击目标实例名称，进入实例的“基本信息”页面，在“计费信息”模块的“计费模式”处，单击“转包周期”，进入“按需转包周期”页面。 5、选择续费规格，以月为单位，最小包周期时长为一个月。 如果订单确认无误，单击“提交”，进入“支付”页面。 6、选择支付方式，单击“确认付款”。 7、按需转包周期创建成功后，用户可以在“实例管理”页面对其进行查看和管理。 8、在实例列表的右上角，单击刷新列表，可查看到按需转包周期完成后，实例状态显示为“正常”。“计费模式”显示为“包年/包月”。

问题现象 请求KMS报错或使用云服务加密功能报错。 报错信息为：httpcode401,codeAPIGW.0301,MsgIncorrect IAM authentication information: current ip:xx.xx.xx.xx refused。 可能原因 用户在IAM服务中设置了访问控制。 IAM控制策略默认范围为全地址访问，若用户设置了允许访问的IP地址或者网段，则未允许的IP地址/网段均无法访问KMS，或无法使用云服务加密特性。 解决方法 通过云服务控制台访问KMS（如OBS加密）：需要开放10.0.0.0/8、11.0.0.0/8、26.0.0.0/8网段。 通过API调用KMS接口：根据访问的源IP地址设置开放。 开放IP地址操作步骤 步骤 1 登录管理控制台。 步骤 2 单击页面左侧，选择“管理与监督 > 统一身份认证服务 IAM”，默认进入“用户”界面。 步骤 3 选择“安全设置 > 访问控制”，查看“允许访问的IP地址区间”和“允许访问的IP地址或网段”是否包含请求的源IP地址。 说明 需在“控制台访问”和“API访问”中都包含请求的源IP地址。

本文介绍私有Bucket回源功能的适用场景和配置说明。 功能介绍 天翼云AOne安全与加速的域名的回源地址可以使用客户自有源站或者天翼云媒体存储【即对象存储（融合版）】或天翼云对象存储。若客户使用媒体存储【即对象存储（融合版）】作为源站，在新建Bucket时，其权限属性支持以下三种模式： 【公共读】公共读权限可以通过匿名身份直接读取Bucket中的数据，存在较高的安全风险，不推荐，建议选择私有模式。 【公共读写】公共读写权限可以通过匿名身份直接读取/写/删除Bucket中的数据，存在较高的安全风险，不推荐，建议选择私有模式。 【私有】只有该Bucket的拥有者或被授权者可以对该存储空间内的文件进行读写操作。媒体存储/对象存储会校验Authorization请求头，只有鉴权通过的才允许访问。 当客户权限选择【私有】时，需要参考本文档配置私有Bucket回源功能。 适用场景 回源地址使用天翼云媒体存储/对象存储并且Bucket为私有模式的场景。 注意事项 1. 开启私有Buckt回源功能前，请确认您的私有Bucket内容是否适合作为AOne安全与加速的回源内容，如存在较为敏感的信息，请勿开启此功能，或单独为AOne安全与加速创建一个独立的AK/SK，仅授权AOne安全与加速必要目录的只读权限，避免源站敏感信息泄漏。 2. Bucket如为公有模式则无需配置私有Bucket回源，直接在源站配置中选择对的存储源站即可，详情请见：源站配置。 3. 开启私有Bucket回源功能后，边缘节点回源站时，会携带Authorization请求头，值为基于AK/SK及Bucket等生成的对应存储私有Bucket鉴权签名信息。 4. 私有Bucket回源功能生效的前提：在【添加域名新增源站】或 【编辑域名修改源站】时，需要选择源站类型为【媒体存储源站】或者【对象存储源站】。否则功能将无效。 5. 私有Bucket回源功能生效的前提：在【配置源站】时，需要选择源站类型为【媒体存储源站】。否则功能将无效。

数据完整性检查 采用完整性检查机制，确保存储在媒体存储中的数据在传输和存储过程中没有被篡改或损坏。天翼云媒体存储提供了数据一致性校验功能，可以避免因为网络劫持、数据缓存等原因导致的数据不一致问题。详情参考：校验上传对象的数据一致性。 建立安全审计和监控机制，通过及时检测和响应潜在的安全威胁来保护数据的安全性。天翼云媒体存储提供事件通知能力，当对象存储资源发生变动（如新对象上传、删除对象）时，可通过事件通知配置及时收到通知消息。另外，我们还提供用量统计，您可以实时查询和掌握桶中所产生的存储空间、流量与请求次数用量信息。详情参考：事件通知和用量统计。 安全审计和监控 建立安全审计和监控机制，通过及时检测和响应潜在的安全威胁来保护数据的安全性。 天翼云媒体存储提供事件通知能力，当对象存储资源发生变动（如新对象上传、删除对象）时，可通过事件通知配置及时收到通知消息。另外，我们还提供用量统计，您可以实时查询和掌握桶中所产生的存储空间、流量与请求次数用量信息。详情参考：事件通知和用量统计。 天翼云媒体存储还提供了日志存储和告警管理功能来为您的数据安全性保驾护航。其中日志存储功能可以帮您把对桶的各类访问请求记录日志进行存储，方便对桶请求的分析和审计。告警管理功能可以对使用过程中产生的响应状态码，读写请求，流量等进行监控和告警，当这些监控数据达到你自定义的告警阀值，就会发送告警信息。详情参考：日志存储和告警管理。

此小节介绍避免勒索 事前举措 由于勒索攻击高强度加密算法的难破解性和数字货币交易方式的隐蔽性， 解决勒索攻击的首要是构建“安全能力前置”，提升自身的“免疫力” 。 建议按照如下加固方式开展事前勒索防护： 收敛互联网暴露面： 定期扫描外部端口，保证公开范围最小化。 减少系统风险入口： 定期开展漏洞扫描及系统风险配置参数扫描，第一时间修复漏洞及风险项，减小系统风险等级。同时，应关注软件厂商发布的安全漏洞信息和补丁信息，及时做好漏洞管理和修复工作。 加强网络访问控制： 各企业应具有明确的网络安全区域划分、访问限制规则，最小化开放访问权限，及时更新访问控制规则。 关键数据备份： 加强重要数据备份工作，可靠的数据备份可以最小化勒索软件带来的损失。需要主动加密存储和定期备份关键业务数据，并合理设置备份保留策略，确保被勒索攻击后存在有效副本可以恢复数据。 加强帐号权限管控： 通过身份管理、细粒度权限控制等访问控制规则为企业不同角色分配帐号并授权，同时应提升特权账户的安全性。在另一方面，企业关键业务资产，需要妥善设置并保存帐号及口令信息。关键资产上，配置双因素认证鉴别登录人员身份，可有效防范系统爆破风险。 搭建高可靠业务架构： 采用集群模式的云服务部署模式。当某一个节点发生紧急问题，业务切换至备用节点，提升业务系统可靠性能力，也可防止数据丢失。在资源允许的条件下，企业或组织可以搭建同城或异地容灾备份系统，当主系统出现发生勒索事件后，可以快速切换到备份系统，从而保证业务的连续性。 制定安全事件应急预案： 建立应对勒索病毒攻击等网络安全突发事件的应急组织体系和管理机制，明确工作原则、职责分工、应急流程、关键措施等。一旦发生勒索病毒攻击事件，立即启动内部网络安全应急预案，标准化开展应急处置工作来减轻、消除勒索病毒攻击影响。 加强企业员工安全意识： 通过培训、演练等方式提高员工网络安全意识，明确国家网络安全法令及公司网络安全规范，能够识别网络钓鱼等常见的网络安全攻击，具备一定的事件处理能力，知晓安全事件带来的后果和影响。

约束限制 账户余额大于等于0元，才可进行扩容。 实例状态为“正常”和“存储空间满”时可以进行扩容。 云数据库 RDS MySQL磁盘最大可扩容至4000GB，扩容次数没有限制。 磁盘扩容期间，实例状态为“扩容中”备份业务不受影响。 如果是主备实例，针对主实例扩容时，会同时对其备实例进行扩容。 磁盘扩容的过程中，不需要重启数据库实例。 扩容过程中，该实例不可重启和删除。 磁盘容量变更只允许扩容，不能缩容。 选择磁盘加密的实例，新扩容的磁盘空间依然会使用原加密密钥进行加密。 主实例扩容 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择目标实例，单击“操作”列的“更多 > 磁盘扩容”，进入“磁盘扩容”页面。 步骤 5 在“磁盘扩容”页面，选择空间大小，单击“立即申请”。 每次扩容最小容量为10GB，实例所选容量大小必须为10的整数倍，最大磁盘容量为4000GB。 步骤 6 规格确认。 重新选择：单击“上一步”，回到上个页面，修改新增大小。 确认无误：按需实例单击“提交”，包周期实例单击“提交订单”，提交扩容。 步骤 7 查看扩容结果。 在实例管理页面，可看到实例状态为“扩容中”，稍后单击实例名称，在“基本信息”页面，查看磁盘大小，检查扩容是否成功。此过程需要3～5分钟。 结束

本文详细介绍IP应用加速接入模块的功能。 功能介绍 在IP应用加速接入模块，您可以进行新增接入、域名/实例状态查询、查看/编辑/停用/启用/删除等操作。 新增接入 详情请查看：添加域名/实例。 IP应用加速接入列表 查看接入列表，可以查看已添加的域名/实例信息，包括域名、实例名称、接入方式、CNAME、加速区域、状态、IPv6解析、操作等。 IPv6解析可以开启IPv6解析或者关闭IPv6解析。 操作列包含加速配置、安全防护、停用、删除、启用、区域变更。 【加速配置】可以查看当前加速域名的加速配置信息，也可以编辑当前加速域名的配置信息。 【安全防护】可以查看当前加速域名的安全防护配置，也可以修改当前加速域名的安全防护配置。 【停用】停止当前域名解析，停止域名加速服务。 【启用】恢复当前域名解析，启用域名加速服务。 【删除】可以删除已停用状态的域名。 当域名状态为【已启用】且无在途工单时，可以对域名配置进行【查看】、【编辑】、【停用】操作。 当域名状态为【配置中】时，仅可以对域名配置进行【查看】操作。 当域名状态为【已停用】且无在途工单时，可以对域名配置进行【查看】、【启用】、【删除】操作。 当域名有在途工单时，无论域名是什么状态，都只能对域名配置进行【查看】操作。 【区域变更】可修改当前加速域名的加速区域。

开源对比 相较于开源自建RocketMQ，分布式消息服务RocketMQ在自动化部署、运维监控、增强能力、延迟消息/定时消息、ACL访问控制等方面更具优势。更多信息请参见开源对比。 支持的消息类型 分布式消息服务RocketMQ支持的消息类型包括普通消息、顺序消息、事务消息与延时消息。 普通消息：RocketMQ中无特性的消息，普通消息主要包含同步消息和异步消息两种。 顺序消息：指消费消息的顺序要同发送消息的顺序一致，在RocketMQ中，主要有两种有序消息：全局有序消息和局部有序消息（又叫普通有序消息、分区有序消息）。 事务消息：提供类似X/Open XA的分布式事务功能来确保业务发送方和MQ消息的最终一致性，其本质是通过半消息(prepare消息和commit消息)的方式把分布式事务放在MQ端来处理。 延时消息：生产者将消息发送到消息队列RocketMQ服务端，设计消费时延，在预设的时间后才可以被消费者消费。 更多信息请参见功能特性。 功能特性 分布式消息服务RocketMQ的功能特性主要体现在以下几个方面： 访问接口 支持通过API调用，创建队列、查询消息监控指标、查询消息内容等。 队列能力 支持多种消息类型，包括普通队列（高并发场景）、FIFO有序队列（顺序消息场景）、严格有序队列。 消息能力 支持消息过滤、消息复用、消息重试、消息回溯、消息数据主动删除以及消息广播等能力。 安全防护 提供云审计进行租户管理操作的记录。 运维监控 提供主题、订阅组、生产者、消费者、队列的管理；同时支持集群、主题、队列多维度指标监控。 更多信息请参见功能特性。

本文介绍使用Rediscli迁移自建Redis(AOF文件) 迁移介绍 Rediscli 是 Redis 自带的命令行客户端工具，它允许用户通过命令行与 Redis 服务器进行交互。 在本章节中，我们将重点介绍如何使用 Rediscli 工具以 AOF 文件的方式，将自建的 Redis 数据迁移到 DCS 缓存实例。 说明 进行迁移操作前，建议暂停相关业务，以避免数据丢失或不完整。 建议业务空闲时间进行迁移操作。 步骤1：生成AOF文件 使用以下命令来开启缓存持久化并生成 AOF 持久化文件： ./rediscli h {redisaddress} p {redisport} a {password} config set appendonly yes 如果 AOF 文件的大小不再变化，说明AOF文件为全量缓存数据。 说明 使用 Rediscli 工具登录 Redis 实例，输入命令“config get dir”可以查找生成的AOF文件保存路径。 如果没有进行特殊指定，该文件的文件名默认为 appendonly.aof。 如果需要关闭同步，可以使用 Rediscli 工具登录 Redis 实例，并输入命令 “config set appendonly no” 来关闭同步。 步骤2：上传AOF文件至天翼云ECS 为节省传输时间，请先压缩AOF文件再传输。 将压缩文件（如以SFTP/SCP等方式）上传到天翼云ECS。 说明 ECS需保证有足够的磁盘空间，供数据文件存储，同时需要与缓存实例网络互通，通常要求相同VPC和相同子网，且安全组规则不限制访问端口。 步骤3：导入数据 ./rediscli h {redisaddress} p {redisport} a {password} pipe < appendonly.aof 步骤4：迁移后验证 数据导入成功后，连接DCS缓存实例，通过dbsize命令，确认数据是否导入成功 如果导入不成功，需要分析原因，修正导入语句，然后使用flushall或者flushdb命令清理实例中的缓存数据，并重新导入。

配置Nginx 1.Nginx安装后，需要配置请求转发规则，告诉Nginx哪个端口收到的请求，应该转发到后端哪个Redis实例。 修改配置文件。 cd /etc/nginx vi nginx.conf 配置示例如下，如果有多个redis实例需要公网连接，可以配置多个server，在proxypass中配置Redis实例连接地址。 stream { server { listen 8080; proxypass 192.168.0.5:6379; } server { listen 8081; proxypass 192.168.0.6:6379; } } 说明 proxypass参数配置值为同一vpc下的Redis实例的IP地址，具体可从缓存实例详情页面的“连接信息”区域获取。 图 Nginx配置 2.重启Nginx服务。 service nginx restart 3.验证启动是否成功。 netstat angrep 808 图 启动Nginx及验证 通过Nginx访问Redis 1. 登录虚拟私有云控制台，确认跳板机的安全组规则是否放开，如果没有，则需要为安全组放开8080和8081两个端口。 2. 在公网环境中打开Redis命令行界面，输入如下命令，登录与查询都正常，大功告成。 说明 公网环境已参考Rediscli连接中相关步骤，安装Rediscli客户端。 ./rediscli h {myeip} p {port} 其中，命令中的{myeip}为主机连接地址，需要填写ECS的弹性IP，端口需要填写ECS上Nginx的监听端口。 如果Redis实例设置了密码访问，则执行本步骤输入密码，校验通过后才可进行缓存数据读写。 auth 其中“ ”为创建Redis实例时自定义的密码，请按实际情况修改后执行。 密码访问回显示例，及登录查询如下：

本节介绍如何查看VPC边界防护情况。 在VPC边界防火墙开关页面上方，用户可以查看VPC边界流量监控信息、防护状态、配额状态和流量拓扑。 VPC边界流量监控：展示最近7天内所有已开启防护资产的VPC边界流量峰值带宽；以及当前已购买的带宽规格和带宽占用情况。 防护状态：统计了您已开启和未开启防护的资产数量，支持防护对等连接、云专线、云间高速资产。 配额状态：展示已经购买的VPC边界防火墙未使用和已使用的配额数，以及VPC边界防护配额总量。1个防护实例，消耗1个防护配额。 流量拓扑可视：展示VPC边界的网络资产互访关系和防护情况，便于您梳理VPC边界访问拓扑并直观掌握整体网络安全防护态势。 操作步骤 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“防火墙开关 > VPC边界防火墙开关”。 3. 查看当前账号下对等连接、云专线、云间高速的防护情况。

本页为您介绍从本地数据库迁移/同步数据到天翼云数据库,本地数据库通过公网网络接入到天翼云的方法。 本地数据库接入天翼云，需要通过公网网络进行网络打通，包括本地数据库具备公网IP，天翼云DTS实例具备公网IP。 以下从网络通信方式，DTS实例的配置流程和本地数据库的配置流程等3个方面分别进行描述。 网络通信方式 网络通信方式，如下图所示： DTS实例的配置流程 1. 订购公网IP 如果在天翼云已有可用的公网IP，则可以直接使用，否则需要先购买一个公网IP用于实现DTS实例的公网访问。 2. 订购DTS实例 在管理控制台点击“创建实例”进入订购页面，根据业务情况选择对应参数配置，在“网络配置”>"直接指定VPC"时，用户可选择“使用IPv4地址连接”或“使用IPv6地址连接”，下单成功后，在管理控制台点击“数据迁移”或“数据同步”进入实例列表页面，看到新增的“待配置”任务。 3. 为DTS实例开启公网接入能力 （1）选择对应实例ID的操作“实例配置”，进入【配置源库及目标库信息】页面，“数据库来源”选择“公网IP”时，【打通网络配置】中可看到“连接方式”，使用“IPv4地址”打通公网时，可以点击“绑定弹性IP”按钮，在“绑定弹性IP”弹框中选择IP地址为DTS实例绑定公网EIP，具体操作如下： （2）订购页选择IPv6地址创建DTS实例后，进入对应实例ID的操作“实例配置”，进入【配置源库及目标库信息】页面，【打通网络配置】中可看到“连接方式”，使用“IPv6地址”打通公网时，可以点击“绑定带宽”按钮，在“绑定IPv6带宽”弹框中选择带宽为DTS实例地址绑定的IPv6带宽，具体操作如下：

本页主要介绍关系数据库MySQL版产品的API使用说明。 OpenAPI门户提供了产品的API 文档、API调试、SDK中心等。 API文档 关于用户如何使用关系数据库MySQL版产品API的详细介绍，请参见使用API。您可以在OpenAPI门户可以了解到具体的调用前必知、API概览、如何调用API以及具体的API的接口详细说明。 API调试 您可以使用在线工具调用 API，进行API调试，可进入API调试页面，选择具体资源池，具体的API进行调试。 注意 关系数据库MySQL版提供的OpenAPI在两种类型的资源池使用方式有所差别。用户需要根据所在资源池的分类去查看对应调用方式。 具体资源池的分类可见资源池说明。

本节主要介绍访问控制的功能特性、应用场景、涉及的基本概念（根用户、IAM用户、用户组、MFA、授权、策略）及服务限制。 用户身份管理和访问控制（Identity and Access Management，简称IAM）是OOS为用户提供的用户身份与权限管理服务，您可以使用IAM创建、管理用户账号，并对这些账号进行权限分配，方便资源管理。 您只需为您在天翼云账户中的资源付费，无需为IAM单独付费。 注意 OOS的IAM能力和天翼云官网的IAM能力不互通。 功能特性 只要您拥有一个天翼云账号，即可拥有IAM功能，天翼云账号管理员可以： 创建、管理子用户账号。 控制子用户账号内资源具有的操作权限。 按需为用户分配不同权限，从而避免与其他用户共享资源使用、访问密钥的使用等，降低账号的信息安全风险。 多重身份认证：通过多因子操作认证（MFA）,在进行IAM相关操作时，可以使用MFA，为操作增加一份安全保障。 应用场景 用户管理与分权 企业中有不同的员工，各自职责不同，权限不同。有的员工需要进行上传下载文件的操作，有的员工只需要查看统计信息，有的员工只需要查看日志信息。通过IAM，可以为不同的员工分配不同的操作权限。 基本概念 根用户 ：用户首次创建CTYUN账户时，最初使用的是一个对账户中所有服务和资源有完全访问权限的登录身份，此身份称为根用户。 IAM用户： IAM用户是OOS中的一个实体，该实体代表使用它与OOS进行交互的人员或应用程序，由CTYUN账户在OOS中创建的用户，也称为子用户。默认情况下，全新的IAM用户没有执行任何操作的权限，新用户无权执行任何OOS操作或访问任何OOS资源。 用户组 ：用户组是用户的集合，IAM可以将IAM用户添加到对应的用户组，通过对用户组进行授权管理IAM用户，用户组的权限会影响用户组内的IAM用户。建议具备相同权限的IAM用户添加到同一用户组，方便管理。同一个IAM用户可以同时加入多个用户组。 访问密钥（AK/SK） OOS通过访问密钥（AK/SK）认证方式进行认证鉴权，即使用AccessKeyID（AK）/SecretAccessKey（SK）加密的方法来验证某个请求发送者身份。 访问密钥包含两部分：访问密钥 ID（AccessKeyID）和秘密访问密钥（Secret Access Key）。必须同时使用访问密钥 ID 和秘密访问密钥对请求执行身份验证。 OOS支持使用永久AK/SK鉴权，也支持通过临时AK/SK和securitytoken进行认证鉴权，通过使用临时AK，SK和securitytoken，可以为第三方应用或IAM用户颁发一个自定义时效和权限的访问凭证，降低了帐号泄露带来的安全风险。 MFA ：多因子认证（MultiFactor Authentication，简称MFA）是一种简单安全的二次认证方式，为用户增加了一层安全保护。仅子用户支持MFA。 授权 ：通过给用户组和用户添加策略，用户就能获得策略中定义的权限，这一过程称为授权。 策略 ：策略是以JSON格式描述权限信息的集合，可以精确地描述被授权的资源集、操作集以及授权条件。支持系统策略和自定义策略： 系统策略：OOS预先创建好的策略，用户可以根据自身需求，直接引用。对于系统策略，用户只能使用，不能修改。 自定义策略：用户自己创建的策略，用户可以对该类型策略进行修改和删除。

本文简述天翼云边缘安全加速平台—安全与加速服务支持的压缩算法及配置方式。 基本概念介绍 针对文本类文件、图片等内容采用压缩的方式进行传输，一方面可节省边缘节点内部传输流量和最后一公里的用户流量，另一方面可节省传输时间，提升性能。当前行业内常用的两种压缩算法如下： Gzip 压缩算法：Gzip基于DEFLATE算法，它是LZ77和霍夫曼编码的组合，最早用于UNIX系统的文件压缩。HTTP协议上的Gzip编码是一种用来增进 Web应用程序性能的技术，Web服务器和客户（浏览器）必须共同支持Gzip。当下主流的浏览器都是支持Gzip压缩，包括IE6、IE7、IE8、IE9、FireFox、Google Chrome、Opera等。 Brotli压缩算法：Brotli通过变种的LZ77算法、Huffman编码以及二阶文本建模等方式进行数据压缩，特别侧重于HTTP压缩。与其他压缩算法相比，通常可以获得更高的压缩效率。 功能介绍 天翼云边缘安全加速平台—安全与加速服务提供压缩功能，开启压缩功能后，可以减少网络中传输的内容，能够带来两个明显的好处，一是减少存储空间，二是通过网络传输文件时，可以减少传输的时间。 支持Gzip压缩和Brotli压缩两种压缩算法。 注意事项 Gzip压缩兼容所有浏览器，Brotli压缩不兼容较老版本的浏览器，您可以根据业务需要选择适合的压缩算法。 安全与加速服务对文件压缩时，会改变文件的MD5值，若源站配置了MD5校验机制，需要关闭压缩功能。 页面优化功能和文件压缩功能不允许同时开启，同时开启时，压缩功能会失效。 如果域名同时配置Brotli压缩和Gzip压缩，若客户端两种压缩算法都支持，则仅Brotli压缩生效。 常见的视频文件（MP4、WMV、AVI等）以及图片文件（JPEG、JPG、PNG等）通常已经做了压缩处理，开启压缩后一般没有效果，建议您关闭压缩功能。

本小节介绍镜像基线检查。 基线检查功能自动检测您私有镜像仓库中存在的配置风险，针对所发现的问题为您提供加固建议，帮助您正确地处理镜像内的各种风险配置信息，降低入侵风险并满足安全合规要求。 检测周期 企业主机安全每天凌晨自动进行一次全面的检查。 前提条件 已开启容器节点防护。 约束限制 仅支持检测Linux镜像存在的配置风险。 检测项 确保系统中不存在账号名或UID相同的账号 UID为0的非root账号检查 代码中的口令检查 确保系统中不存在相同密码哈希值的账号 禁止使用弱密码哈希算法 确保帐户密码不为空 确保系统中不存在相同组名或GID 确保没有非特权账号加入特权组 确保/etc/passwd中不存在旧的"+"条目 确保/etc/shadow中不存在旧的"+"条目 确保/etc/group中不存在旧的"+"条目 确保/etc/passwd中的所有组都存在于/etc/group中 确保配置了密码有效期 确保所有用户的密码更改日期都是过去日期 禁用建立host信任 禁止建立预置的root级别的信任关系 确保root帐户的默认组为GID 0 确保shadow组为空 操作步骤 1、登录管理控制台。 2、在弹窗界面单击“体验新版”，切换至企业主机安全页面。 说明 切换至新版后，在总览页左上角单击“返回旧版”，可切换至企业主机安全（旧版） 3、 在左侧导航树中，选择“风险预防 > 容器镜像安全”。 4、 选择“镜像基线检查”页签，查看镜像中存在的配置风险。 5、单击检测项前的，查看该检测项的详情、存在的问题及加固建议，并根据加固建议修复有风险的配置信息。

本小节介绍镜像基线检查。 基线检查功能自动检测您私有镜像仓库中存在的配置风险，针对所发现的问题为您提供加固建议，帮助您正确地处理镜像内的各种风险配置信息，降低入侵风险并满足安全合规要求。 检测周期 企业主机安全每天凌晨自动进行一次全面的检查。 前提条件 已开启容器节点防护。 约束限制 仅支持检测Linux镜像存在的配置风险。 检测项 确保系统中不存在账号名或UID相同的账号 UID为0的非root账号检查 代码中的口令检查 确保系统中不存在相同密码哈希值的账号 禁止使用弱密码哈希算法 确保帐户密码不为空 确保系统中不存在相同组名或GID 确保没有非特权账号加入特权组 确保/etc/passwd中不存在旧的"+"条目 确保/etc/shadow中不存在旧的"+"条目 确保/etc/group中不存在旧的"+"条目 确保/etc/passwd中的所有组都存在于/etc/group中 确保配置了密码有效期 确保所有用户的密码更改日期都是过去日期 禁用建立host信任 禁止建立预置的root级别的信任关系 确保root帐户的默认组为GID 0 确保shadow组为空 操作步骤 1、登录管理控制台。 2、在弹窗界面单击“体验新版”，切换至企业主机安全页面。 说明 切换至新版后，在总览页左上角单击“返回旧版”，可切换至企业主机安全（旧版） 3、 在左侧导航树中，选择“风险预防 > 容器镜像安全”。 4、 选择“镜像基线检查”页签，查看镜像中存在的配置风险。 5、单击检测项前的，查看该检测项的详情、存在的问题及加固建议，并根据加固建议修复有风险的配置信息。

本节介绍了字符集问题与处理方法。 TaurusDB的“utf8”只支持每个字符最多三个字节，而真正的UTF8是每个字符最多四个字节。包括Emoji表情（Emoji是一种特殊的Unicode编码，常见于手机上)，和很多不常用的汉字，以及任何新增的Unicode字符等都无法使用Mysql的utf8字符集存储。在2010年MySQL发布了“utf8mb4”的字符集。MySQL在5.5.3之后增加了utf8mb4的编码，兼容四字节的unicode。utf8mb4是utf8的超集，除了将编码改为utf8mb4外不需要做其他转换。 数据管理服务（Data Admin Service，简称DAS）是一款专业的简化数据库管理工具，您可以通过数据管理服务（Data Admin Service，简称DAS）SQL控制台查看数据库和系统的字符集。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择Region。 步骤 3 在页面左上角单击，选择“数据库 > 云数据库TaurusDB”。 步骤 4 在“实例管理”页面，选择目标实例，单击操作列的“登录”，进入数据管理服务数据库登录界面。 您也可以在“实例管理”页面，单击目标实例名称，在页面右上角，单击“登录”，进入数据管理服务数据库登录界面。 步骤 5 输入数据库用户名和密码，单击“登录”，即可进入您的数据库并进行管理。 步骤 6 在顶部菜单栏选择“SQL操作”>“SQL查询”，打开一个SQL窗口。 步骤 7 在“SQL查询”执行如下SQL查看数据库字符集。 show variables like '%character%'; 图 SQL执行结果 步骤 8 在“SQL查询”执行如下SQL查看数据库的编码。 show variables like 'collation%'; 图 SQL执行结果 步骤 8 修改字符集为utf8mb4。 1. 执行如下SQL更改数据库字符集。 ALTER DATABASE DATABASENAME DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4generalci; 2. 执行如下SQL更改表字符集。 ALTER TABLE TABLENAMEDEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4generalci; 说明 SQL语句修改的是表的字符集，表里面字段的字符集并没有被修改。 3. 执行如下SQL更改表中所有字段的字符集。 ALTER TABLE TABLENAME CONVERT TO CHARACTER SET utf8mb4 COLLATE utf8mb4generalci; 说明 charactersetclient、charactersetconnection以及charactersetresults是客户端的设置。 charactersetsystem、charactersetserver以及charactersetdatabase是服务器端的设置。 服务器端的参数优先级是：charactersetdatabase>charactersetserver>charactersetsystem。

创建DRDS实例后,您可以根据实际情况设置备份策略,系统将按照您设置的备份策略对实例进行备份与备份清理。 注意事项 由于开启备份会损耗数据库读写性能，建议您选择业务低峰时间段设置自动备份。设置自动备份策略后，会按照策略中的备份时间段和备份周期进行备份。 DRDS的备份策略将覆盖其关联的MySQL的备份策略。设置完成后请勿在MySQL控制台修改备份策略，避免备份失败。 保留天数限制取决于底层MySQL的限制，MySQL实例备份类型为对象存储的实例最多支持保留180天，MySQL实例备份类型为云硬盘的实例最多支持保留7天。详情参考MySQL官网文档。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择【产品 > 数据库 > 关系型数据库 > 分布式关系型数据库】，进入分布式关系型数据库产品页面。然后单击【管理控制台】，进入【概览】页面。 2. 在左侧导航栏，选择【DRDS > 实例管理】，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，找到目标实例，然后单击【操作】列的【管理】，进入实例【基本信息】页面。 4. 单击【备份恢复】，进入【备份列表】页面。 5. 单击【备份策略】页签，然后单击备份策略右侧的【编辑】。 6. 在备份策略面板中，设置如下备份参数。 【备份方式】：选择【快速备份】或【一致性备份】。 【备份周期】：选择周一至周日任意天数，可重复勾选。 【数据备份保留天数】：数据备份的保留天数。 【备份开始时间】：选择备份开始时间，支持设置的范围为00:00~24:00。 7. 勾选【此备份策略将覆盖其关联的RDS的备份策略。设置完成后，请勿修改RDS上的备份策略，避免备份失败】，然后单击【确定】。 您可以在【备份策略】页签下，查看当前实例的备份策略。

本文介绍了RDSPostgreSQL的跨域恢复。 如果您已完成跨地域备份数据，可以使用备份文件将数据恢复到跨地域备份所在地域的新实例上。例如：您在华东1的实例设置跨域备份至西南1的备份策略，切已有全量备份同步至西南2，那么您可以使用这个备份恢复到西南1的新实例。 前提条件 已完成跨地域备份策略设置。具体操作，请参见设置跨域备份策略。 跨域备份列表中存在跨域备份记录。 恢复到新实例 1. 点击控制中心，进入控制中心后，选择目标资源池。 2. 在产品列表页面中找到【数据库】→【关系数据库PostgreSQL版】，点击进入控制台。 3. 在左侧菜单中点击【PostgreSQL】→【实例管理】，点击进入产品实例管理页。 4. 在【实例管理】的实例列表中选择目标实例，点击指定的实例，进入单个实例管理详情页。 5. 点击“备份恢复”页签，进入备份恢复功能页面。 6. 点击【跨域备份列表】进入跨域备份列表页，在备份列表中，选择想要恢复的目标备份，点击“恢复”按钮。 7. 恢复的目标实例选择“新实例”，恢复地域选择跨域备份时的地域。 8. 点击确定即可。 注意 不同资源池因IaaS资源能力等原因，加载版本有所差异，操作步骤有细微差异，请以实际界面为准，功能加载情况详见 如需使用跨域恢复功能，请提交工单申请。

本章节主要介绍修改OMS数据库数据访问用户密码。 操作场景 该任务指导用户定期修改OMS数据库访问用户的密码，以提升系统运维安全性。 对系统的影响 修改密码需要重启OMS服务，服务在重启时无法访问。 操作步骤 在MRS Manager单击“系统设置”。 1. 在“权限配置”区域下，单击“OMS数据库密码修改”。 2. 在omm用户所在行，单击“操作”列下的“修改密码”，修改OMS数据库密码。 密码复杂度要求： 密码字符长度为8～32位。 至少需要包含大写字母、小写字母、数字、特殊字符~!@$%^&()+[{}];:", /?中的3种类型字符。 不能与用户名或倒序的用户名相同。 不可与前20个历史密码相同。 3. 单击“确定”，等待界面提示“操作成功”后单击“完成”。 4. 在omm用户所在行，单击“操作”列下的“重启OMS服务”，重启OMS数据库。 说明 如果修改了密码但未重启OMS数据库，则omm用户的状态变为“Waiting to restart”且无法再修改密码，直到重启OMS数据库 5. 在弹出的对话框中，勾选“我已阅读此信息并了解其影响。”，单击“确定”，重新启动OMS服务。

本文介绍HTTPS定义及配置方法。 功能介绍 HTTP协议以明文方式发送内容，不提供任何方式的数据加密。HTTPS协议是以安全为目标的HTTP通道，简单来说，HTTPS是HTTP的安全版，即将HTTP用SSL/TLS协议进行封装，HTTPS的安全基础是SSL/TLS协议。 在天翼云直播控制台开启HTTPS协议，将实现客户端和天翼云直播加速节点之间请求的HTTPS加密。如果想要实现全链路HTTPS传输，则需要在直播加速节点配置HTTPS协议回源（源站服务器需支持HTTPS协议）。 HTTPS请求的基本流程： 1. 客户端以HTTPS协议请求直播加速节点。 2. 直播加速节点将相应的SSL证书公钥发送给客户端。 3. 客户端验证对应证书公钥是否正确，如果正确则生成一个密钥，并使用公钥进行加密，再发送给直播加速节点。 4. 直播加速节点使用对应私钥进行解密，得到密钥。 5. 直播加速节点使用对应密钥对传输的数据加密。 6. 客户端使用对应密钥对直播加速节点传输的加密数据进行解密，从而获取相应数据。 注意事项 域名进行HTTPS配置前，需已在直播控制台上传域名对应的SSL证书。证书上传路径请参见：新增证书。 只有拉流域名支持配置HTTPS。 配置说明 以推拉流场景下的拉流域名为例，操作步骤如下。 1. 登录直播控制台。 2. 在域名列表页面，单击域名操作列表中的【编辑】。 3. 单击【HTTPS配置】。 4. 开启【Https开关】。 5. 选择域名对应的有效证书，并单击页面右下方的【提交保存】。 参数 说明 Https开关 停用：即关闭HTTPS。启用：即开启HTTPS，需要上传HTTPS证书。 证书备注名 选定正确的证书与所配置的域名进行关联。说明：需要先上传相关证书。 HTTPS证书上传 可单击【证书备注名】下拉框下方的【点击上传】按钮，自助添加证书。 支持的tls协议 支持自助配置tls协议。如果未配置，则默认支持所有选项中的协议。

监控指标 说明 证书到期预警 按证书到期时间统计域名证书： 已到期证书 到期时间<30天 到期时间>30天 证书未知：统计未绑定证书的域名、域名信息配置错误的域名数量。 SSL漏洞扫描 支持统计如下类型的漏洞： 高风险漏洞 中风险漏洞 低风险漏洞 合规检测 统计ATS和PCI DSS合规情况： ATS（应用程序安全传输，App Transport Security）为Apple ATS规范，是苹果在iOS 9中首次推出的隐私安全保护功能。从2017年1月1日起，所有提交到App Store的App必须强制开启ATS。启用ATS后，它会屏蔽明文HTTP资源加载，强制App通过HTTPS连接网络服务，对传输数据进行加密，保障用户数据安全。 PCI DSS（支付卡协会数据安全标准，Payment Card Industry Data Security Standard）为支付卡行业安全标准，是目前广受国际认可的数据安全标准。PCI DSS要求在开放的公共网络上传输持卡人数据，需使用高强度加密算法对数据进行保护。 域名安全等级分布 共支持如下9个等级，A+为最高级。

本文介绍边缘接入服务里的DDoS与安全与加速服务里的DDoS高防的区别。 边缘接入服务中的DDoS防护，是通过四层接入，因此DDoS防护支持TCP、UDP、ICMP网络协议防护，如SYN Flood、ACK Flood、空连接等；但不提供七层防护能力，如CC防护。 而安全与加速服务中的DDoS防护，是通过七层接入，因此DDoS防护支持L37层防护能力。

对比项 OBS 自建存储服务器 数据存储量 提供海量的存储服务，所有业务、存储节点采用分布式集群方式部署，各节点、集群都可以独立扩容，用户永远不必担心存储容量不够。 数据存储量受限于搭建存储服务器时使用的硬件设备，存储量不够时需要重新购买存储硬盘，进行人工扩容。 安全性 支持HTTPS/SSL安全协议。同时OBS通过访问密钥（AK/SK）对访问用户的身份进行鉴权，结合IAM策略、桶策略、ACL、防盗链等多种方式和技术确保数据传输与访问的安全。 需自行承担网络信息安全、技术漏洞、误操作等各方面的数据安全风险。 成本 即开即用，免去了自建存储服务器前期的资金、时间以及人力成本的投入，后期设备的维护交由OBS处理。 前期安装难、设备成本高、初始投资大、自建周期长、后期运维成本高，无法匹配快速变更的企业业务，安全保障的费用还需额外考虑。

本节介绍了下载实例级备份文件的相关内容。 操作场景 用户可以下载手动和自动备份文件，用于本地存储备份或者恢复数据库。 云数据库 RDS for PostgreSQL支持用户下载全量备份文件。 约束限制 若备份文件大于400MB，建议您使用OBS Browser+下载。 方式1：使用OBS Browser+下载 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的 ，选择区域。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“备份管理”页面，选择需要下载的可用备份，单击操作列中的“下载”。 您也可进入目标实例的“基本信息”页面，在左侧导航栏选择“备份恢复”，在“全量备份”页签下，单击操作列中的“下载”。 步骤 5 在弹出框中，单击“OBS Browser+下载”，根据界面提示，通过OBS Browser+客户端下载RDS备份文件。 1. 下载客户端工具OBS Browser+。 2. 解压并安装OBS Browser+。 3. 登录客户端工具OBS Browser+。 登录对象存储客户端相关操作，请参见界面提示。 4. 配置OBS Browser+不启用证书校验。 说明 由于关系型数据库“下载备份文件”页面提供的桶名称不支持证书校验，需要在挂载外部桶之前关闭OBS Browser+证书校验，待备份文件下载完成后再启用。 5. 挂载外部桶。 挂载外部桶相关操作，请参见界面提示。 6. 下载备份文件。 在OBS Browser+界面，单击添加成功的外部桶的桶名，进入对象列表页面，在右侧搜索栏，输入关系型数据库“下载备份文件”页面中提示的下载备份存储文件名称并检索，选中待下载的文件后，单击“下载”。 7. 备份文件下载完成后，配置OBS Browser+启用证书校验。 步骤 6 您可根据业务需要，参考通过全量备份文件恢复到自建PostgreSQL数据库，在本地进行数据恢复。 结束

准备工作 购买智算安全专区大模型安全测评实例 准备好待测大模型 操作流程 编号 操作 相关文档 1 配置测评对象 新增测评对象 2 下发测评任务 创建测评任务 查看测评记录