本节介绍漏洞扫描服务的权限管理。 系统默认提供两种权限：用户管理权限和资源管理权限。 用户管理权限可以管理用户、用户组及用户组的权限。 资源管理权限可以控制用户对云服务资源执行的操作。 如果您需要对您所拥有的VSS进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的云帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用VSS资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 如果云帐号已经能满足您的要求，则不需要创建独立的IAM用户，不影响您使用VSS服务的其它功能。

删除黑/白名单 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“访问控制> 访问策略管理”，进入“访问策略管理”界面。切换防护对象页签后，选择“黑名单”或“白名单”页签。 5. 在需要删除的规则所在行的“操作”列，单击“删除”。 6. 在弹出的“删除黑名单”或“删除白名单”界面，确认删除的信息无误后，输入“DELETE”，单击“确定”，完成删除。 注意 删除名单后无法恢复，请谨慎操作。

本文介绍了可用性检查的支持计划级别和提供场景。 可用性检查服务是结合云上重点事件或问题的实践经验总结而提供的风险检查和优化建议，解决或规避客户云上业务隐患，达到业务云上运行的最佳状态。可用性检查包括容量评估、特性评估、高可用和容灾评估、运维策略评估、安全评估、各产品部署要求等内容，随着天翼云产品丰富和优化，将不断完善可用性检查内容。 支持计划级别 提供场景 :: 轻量级 一类提供场景 · 加入“轻量级支持计划”，主动提供 商业级 三类提供场景 · 加入“商业级支持计划”，主动提供 · 重大活动保障，可申请提供 · 重大变更，可申请提供 企业级 四类提供场景 · 加入“企业级支持计划”，主动提供 · 重大活动保障，主动提供 · 重大变更，主动提供 · 每年一次，主动提供

在态势感知（专业版）的已购资源中可统一呈现当前账号已经申请的资源，方便统一管理已购资源。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“已购资源”，进入已购资源管理页面。 4. 在已购资源页面查看详细信息。 总览： 已开通区域/总区域：当前账号已开通态势感知（专业版）的区域。 可升级：当前账号的所有已购版本中，可以升级的资源数量。 将到期版本：即将到期的规格及增值包数量。 总配额：当前账号已购买的总配额数量。 各区域具体购买态势感知（专业版）资源的详细情况。

本文介绍全站加速设置跨域资源共享CORS的方法。 跨域资源共享（CrossOrigin Resource Sharing，简写为CORS）简称跨域访问，是HTML5提供的标准跨域解决方案，允许Web应用服务器进行跨域访问控制，实现跨域数据的安全传输。 网站接入全站加速后，文件的首次请求会因为全站加速节点上没有缓存而回源。如果源站响应了一个未包含CORS头的文件，全站加速会将此文件缓存下来直至缓存失效。在此期间如果客户端发起跨域请求，全站加速将响应不包含CORS头的文件给客户端，客户端将出现“缺少AccessControlAllowOrigin”之类的异常报错。为解决此类问题，全站加速需要配置添加CORS响应头来进行适配，具体配置过程，详情请见：跨域资源共享。

如果您需要对云上购买的CTS资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制资源的访问。 通过IAM，您可以在账号中给员工创建IAM用户，并使用策略来控制他们对资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有CTS的使用权限，但是不希望他们拥有删除CTS等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用CTS，但是不允许删除CTS的权限策略，控制他们对CTS资源的使用范围。 如果账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用CTS服务的其它功能。 IAM提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。 CTS权限 默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 CTS部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问CTS时，需要先切换至授权区域。 权限根据授权精细程度分为角色和策略，策略是角色的升级版。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对ECS服务，CTS管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分。 如表1所示，包括了CTS的所有系统权限。 表 1 CTS系统权限 系统角色/策略名称 描述 类别 依赖关系 CTS FullAccess 云审计服务的所有权限。 系统策略 无 CTS ReadOnlyAccess 云审计服务的只读权限。 系统策略 无 CTS Administrator 云审计服务的管理员权限，拥有CTS的所有权限。 拥有该权限的用户拥有除IAM外，其他所有服务的只读权限。 系统角色 该角色有依赖，需要在同项目中勾选依赖的角色：Tenant Guest、OBS Administrator和Security Administrator。 表2列出了CTS常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表 2 常用操作与系统权限的关系 操作 CTS FullAccess CTS ReadOnlyAccess CTS Administrator 查询事件列表 √ √ √ 查询配额 √ √ √ 创建追踪器 √ × √ 修改追踪器 √ × √ 停用追踪器 √ × √ 启用追踪器 √ × √ 查询追踪器 √ √ √ 删除追踪器 √ × √ 创建关键操作通知 √ × √ 修改关键操作通知 √ × √ 停用关键操作通知 √ × √ 启用关键操作通知 √ × √ 查询关键操作通知 √ √ √ 删除关键操作通知 √ × √

本节主要介绍产品优势 立体运维 提供覆盖应用性能、应用状态、基础设施状态、云资源使用情况的一站式立体运维平台 智能分析 以应用为中心，覆盖组件、实例、主机等多维度关联分析，快速定位异常根因 健康检查 实时监控应用健康状态，通过告警事件及日志分析分钟级追踪到异常业务代码 开箱即用 无需修改业务代码即可接入使用， 非侵入式数据采集，安全无忧 海量日志管理 高性能搜索和业务分析，自动将关联的日志聚类，可按应用、主机、文件名称、实例等维度快速过滤 关联分析 应用和资源层层自动关联，通过应用、组件、实例、主机和事务等多视角分析关联指标和告警数据，直击异常 生态开放 开放了运营、运维数据查询接口和采集标准，支持自主开发

本章节主要介绍锁定用户 。 该任务指导管理员用户将MRS集群中的用户锁定。用户被锁定后，不能在MRS Manager重新登录或在集群中重新进行安全认证。 可通过以下两种方式锁定用户，锁定后的用户需要管理员手动解锁或者等待锁定时间结束才能恢复使用： 自动锁定：通过设置密码策略中的“允许输入错误次数”，将超过登录失败次数的用户自动锁定。具体操作请参见修改密码策略。 手动锁定：由管理员通过手动的方式将用户锁定。 以下将具体介绍手动锁定。不支持锁定“机机”用户。 操作步骤 在MRS Manager，单击“系统设置”。 1. 在“权限配置”区域，单击“用户管理”。 2. 在要锁定用户所在行，单击“锁定用户”，锁定用户。 3. 在弹出的提示窗口，单击“确定”完成锁定操作。

参数 说明 实例名称 RocketMQ实例名称是指在RocketMQ中创建的一个特定实例的名称。它可以用来唯一标识和区分不同的RocketMQ实例。根据RocketMQ的设计，实例名称通常由字母、数字和下划线组成，并且长度通常不超过255个字符。实例名称应该具有描述性，以便在多个RocketMQ实例存在时进行区分和管理。 实例ID RocketMQ实例ID是指在RocketMQ中创建的一个实例的唯一标识符。它是由系统自动生成的，用于区分不同的RocketMQ实例。实例ID可以用来管理和操作RocketMQ实例，例如创建、删除和修改实例等。实例ID通常由一串数字和字母组成，并且在RocketMQ集群中必须保持唯一性。 引擎类型 提供RocketMQ和CTGMQ两类引擎。 磁盘大小 购买实例选择的磁盘大小，通常为100G的整数倍。 磁盘类型 购买实例选择的磁盘类型，默认为SAS，也可选择更高的IO磁盘。 主机规格 购买实例选择的主机规格，主要展示CPU核数和内存大小，更多主机规格请参见产品规格。 broker节点数 RocketMQ的broker节点数是指在一个RocketMQ集群中扮演broker角色的节点数量。每个broker节点负责存储消息、处理消息的传输和消费者的请求等功能。 实例描述 用户根据需要可填写实例备注。 运行状态 实例当前运行状态，各状态描述见上文表格实例状态说明。 付费类型 创建实例时选择的付费类型，有包周期/按需两个选项。 创建时间 实例创建时间。 到期时间 包周期的实例到期时间，按需付费类型不展示。 专用网络 创建实例时绑定的VPC名称，详见订购前准备。 子网 创建实例时绑定的子网名称，详见订购前准备。 安全组 创建实例时绑定的安全组名称，详见订购前准备。 网络 VPC专用网络。 接入点 接入点具体VPC内网IP。 TPS监控 标识该集群所有Broker下，所有Topic的生产、消费TPS（2min）的时间变化曲线。 流量监控 标识该集群下，所有Topic的消费堆积情况，列表按倒序排列了堆积量最大的前20个Topic的堆积情况。 全局堆积 全局堆积是指消息在整个消息队列系统中的积压情况。 全局消息 标识该集群，所有Topic的生产情况，按现有消息量倒序排列。

本文介绍了WAF的Web攻击防护最佳实践，主要从应用场景、防护策略、防护效果三个方面进行介绍。 应用场景 Web应用防火墙（Web Application Firewall，WAF），通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域或项目。 步骤 3 选择“安全 > Web应用防火墙（独享版）”。 步骤 4 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。 步骤 5 在目标域名所在行的“防护策略”栏中，单击“已开启N项防护”，进入“防护策略”页面。 步骤6 在“Web基础防护”配置框中，查看Web应用攻击防护的防护状态。 Web基础防护功能默认为开启状态，并使用“仅记录”模式的防护规则策略。 状态 ：表示WAF的Web基础防护的防护模块已开启。 ：表示该防护模块处理关闭状态。 模式：分为拦截和仅记录两种模式。 “拦截”模式表示当遭受Web攻击时，WAF立即拦截攻击请求，并在后台记录攻击日志。 “仅记录”模式表示当遭受Web攻击时，WAF不会拦截攻击请求，仅在后台记录攻击日志。 步骤 7 单击“高级设置”，进入“Web基础防护”界面。 “防护等级”：分为宽松、中等、严格三种模式，默认为“中等”防护模式。 防护等级说明 防护等级 说明 宽松 防护粒度较粗，只拦截攻击特征比较明显的请求。 当误报情况较多的场景下，建议选择“宽松”模式。 中等 默认为“中等”防护模式，满足大多数场景下的Web防护需求。 严格 防护粒度最精细，可以拦截具有复杂的绕过特征的攻击请求。 当需要更严格地防护SQL注入、跨站脚本、命令注入等攻击行为时，建议使用“严格”模式。 灵活设置防护检测类型。 WAF默认开启“常规检测”防护检测，用户可根据业务需要，开启其他需要防护的检测类型。

创建发布 步骤 1 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页面。 步骤 2 在左侧导航栏选择“发布订阅”。 步骤 3 在“发布”页签下，单击“创建发布”。 步骤 4 在创建发布页面，设置发布信息后，单击“确认”。 填写发布名称、选择发布数据库，以及发布数据。 设置发布表/字段的筛选器：单击“设置筛选器”，设置筛选条件，将按照筛选条件发布表/字段。 全量快照：选择立即创建，发布创建完成后，将会在分发服务器上立即触发一次全量快照。若不选择立即创建，则当添加新订阅时自动生成全量快照。订阅服务器必须等待快照代理完成，才能实现同步。 增量快照策略：支持按天、按周、按月自定义策略，在分发服务器生成增量快照。 步骤 5 查看已创建的发布。 添加订阅功能，请参见添加订阅服务器。 单击“查看监控”，查看“数据更改延迟后时长”和“事务数”监控数据。 选择“更多 > 修改发布”，可以重新选择发布表/字段，以及增量快照策略。 选择“更多 > 删除”，删除发布。 添加订阅服务器 步骤 3 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页面。 步骤 12 在左侧导航栏选择“发布订阅”。 步骤 13 在“发布”页签下，在已创建的发布上，单击“添加订阅”。 步骤 14 单击“添加订阅服务器”。 步骤 15 在弹出页面，设置订阅服务器信息后，单击“确定”。 服务器来源：云数据库RDS for SQL Server。 目标数据库：勾选1个或多个RDS for SQL Server订阅实例及目标数据库，单击同步到右侧，即从当前实例同步数据到已勾选的目标数据库。 当前实例作为发布实例，发布实例与订阅实例需要在同一VPC或建立了对等连接的不同VPC，若不在同一安全组则需配置安全组规则。 订阅方式：推送订阅 同步策略：选择数据订阅的同步方式，支持按天、按周、按月自定义策略。 服务器来源：其他服务器。 填写服务器名称、IP、端口号、登录用户名及密码，以及目标数据库。 订阅方式：推送订阅 同步策略：选择数据订阅的同步方式，支持按天、按周、按月自定义策略。 步骤 16 在已创建的发布上，单击订阅数据库列的个数，查看订阅详情。 创建订阅

本章介绍函数工作流如何给不同的用户做权限隔离。 如果您需要对FunctionGraph的函数资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制公有云资源的访问。 通过IAM，您可以在帐号中给员工创建IAM用户，并使用策略来控制他们对云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有FunctionGraph的使用权限，但是不希望他们拥有删除等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用FunctionGraph，但是不允许删除的权限策略，控制他们对FunctionGraph资源的使用范围。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用FunctionGraph服务的其它功能。 FunctionGraph权限 默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略，才能使得用户组中的用户获得策略定义的权限，这一过程称为授权。授权后，用户就可以基于策略对云服务进行操作。 FunctionGraph资源通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在各区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问FunctionGraph时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。 如下表所示，包括了FunctionGraph的所有系统权限。 系统角色/策略名称 描述 类别 依赖关系 FunctionGraph FullAccess 函数工作流服务所有权限 系统策略 无 FunctionGraph ReadOnlyAccess 函数工作流服务只读权限 系统策略 无 FunctionGraph CommonOperations 函数工作流（FunctionGraph）调用者，具有查询函数和触发器，以及调用函数的权限 系统策略 无 说明 当添加了FunctionGraph FullAccess权限的子帐号在创建触发器或使用其他功能时仍没有操作权限，是因为该服务或功能不支持细粒度鉴权，因此需要您单独添加对应服务或功能的Admin权限。具体详情如下： APIG、当前不支持细粒度鉴权，需要添加对应admin权限。 更多触发器及相关功能需要的权限，请参见下表所示。 表 触发器及相关功能的权限 触发器/服务功能 权限 APIG专享版 apig:instances:get apig:instances:create apig:instances:update apig:instances:list apig:sharedInstance:operate DDS dds:instance:get dds:instance:list DMS/Kafka dms:instance:get dms:instance:list LTS lts:groups:create lts:groups:get lts:groups:list lts:groups:put lts:logstreams:delete lts:logstreams:list lts:topics:get lts:subscriptions:create lts:subscriptions:delete lts:subscriptions:put lts:structConfig:create lts:structConfig:get 下表列出了FunctionGraph常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 操作 FunctionGraph ReadOnlyAccess FunctionGraph CommonOperations FunctionGraph FullAccess 创建函数 × × √ 查询函数 √ √ √ 修改函数 × × √ 删除函数 × × √ 调用函数 × √ √ 查看函数日志 √ √ √ 查看函数指标数据 √ √ √

本节主要介绍智能视图服务产品的应用场景。 智慧城市 适用于对城市安全、应急管理、交通调度有迫切需求的城市。一方面可以进行实时的智能监管，从而及时发现问题；另一方面，可以快速协同调度资源，进行视频数据、结构化数据等多维度大数据的统一管理和应用，实现高效的城市治理。智能视图服务具备以下优势： 大规模部署推流接入点，就近接入，保证各场合稳定推流。 提供AI内容审核增值服务，如人脸识别，人员聚集检测、车辆牌号检索等。 支持多种播流格式，支持全网加速分发。 整合多渠道数据信息，智能统计与分析，丰富数据资产，助力城市管理数字化转型。 智慧教育 适用于校园内及多校园间多摄像头统一纳管的场景，通过实时预览、录像回溯方便管理校园内视频点位，提供安全隐患识别、人员管理分析等一站式智能管理服务，实现平安智慧校园。智能视图服务具备以下优势： 建设周期短，成本低廉，适合需要快速上云的学校或者教育机构。 支持设备接入、存储和分发一体化解决方案，按需扩容，提升资源利用率。 支持AI算法仓库统一管理，GPU算力智能调度，AI算法统一编排。 教育监管机构、学生家长等多方可便捷的通过 APP和PC客户端实时观看视频。

本章节主要介绍翼MapReduce服务的产品优势。 MRS服务拥有强大的Hadoop内核团队，基于FusionInsight大数据企业级平台构筑。历经行业数万节点部署量的考验，提供多级用户SLA保障。 MRS具有如下优势： 高性能 MRS支持自研的CarbonData存储技术。CarbonData是一种高性能大数据存储方案，以一份数据同时支持多种应用场景，并通过多级索引、字典编码、预聚合、动态Partition、准实时数据查询等特性提升了IO扫描和计算性能，实现万亿数据分析秒级响应。同时MRS支持自研增强型调度器Superior，突破单集群规模瓶颈，单集群调度能力超10000节点。 低成本 基于多样化的云基础设施，提供了丰富的计算、存储设施的选择，同时计算存储分离，提供了低成本海量数据存储方案。MRS可以按业务峰谷，自动弹性伸缩，帮助客户节省大数据平台闲时资源。MRS集群可以用时再创建、用时再扩容，用完就可以销毁、缩容，确保成本最优。 高安全 MRS服务拥有企业级的大数据多租户权限管理能力，拥有企业级的大数据安全管理特性，支持按照表/按列控制访问权限，支持数据按照表/按列加密。 易运维 MRS提供可视化大数据集群管理平台，提高运维效率。并支持滚动补丁升级，可视化补丁发布信息，一键式补丁安装，无需人工干预，不停业务，保障用户集群长期稳定。

接口描述：调用本接口修改域名的频率控制规则配置内容 请求方式：post 请求路径：/waf/accessratelimit/updateaccessratelimit 使用说明： 您需要先开通安全加速产品； 需要先配置频率控制策略 单个用户一分钟限制调用10000次，并发不超过100； 请求参数说明（json）： 参数名 类型 是否必填 名称 说明 domain string 是 域名 单次调用支持新增一个域名 mod string 否 总开关 开启 ON；关闭 CLOSE accessRateLimitInfoList list 是 访问限速 1)accessRateLimitInfoList参数 参数名 类型 是否必传 名称及描述 mod string 否 开关状态 1、开启：ON 2、关闭:CLOSE ruleId string 是 priority int 否 act string 否 modON时为必填； 处理动作 1、告警：LOG 2、拦截：BLOCK 3、人机跳转：CC 4、丢弃：DROP ruleName string 否 规则名 ruleDesc string 否 规则描述 accessRateLimitCondition List 否 防护条件 countGranularity List 否 统计粒度 noKey string 否 粒度缺失限速 limitTime int 否 触发条件时间，单位s maxNumber int 否 统计周期内，最多允许多少个请求 durationTime int 否 处理动作持续时间，单位s

本页介绍了关系数据库MySQL版重置账号密码和root帐号权限的设置方法。 注意 重置root账号权限功能仅II类型资源池支持，具体支持情况以控制台页面展示为准。更多资源池信息，请参见功能概览。 操作场景 关系数据库MySQL版支持运行中的实例重置管理员密码，重置后立即生效。 在使用MySQL过程中，如果忘记管理员帐号root的密码，可在管理控制台重新设置密码。 注意 1. 如果您提供的密码被系统视为弱密码，您将收到错误提示，请提供更高强度的密码（密码必须为826位需为字母（区分大小写）、数字和特殊字符（~!@$%^+{[]}:,.?/ ）的组合）。 2. 当您修改数据库主实例的密码时，如果该实例中存在备实例或只读实例，则会被同步修改。 3. 重置密码生效时间取决于该主实例当前执行的业务数据量。 4. 请定期修改用户密码，以提高系统安全性，防止出现密码被暴力破解等安全风险。 重置管理员密码 方式一 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，找到目标实例，然后在操作 列选择更多 > 修改密码。 4. 在修改密码 对话框中，输入新密码和确认密码，然后单击确定。 注意 请妥善管理您的密码，因为系统将无法获取您的密码信息。

本节介绍如何通过漏洞扫描服务为Linux系统的主机配置跳板机。 操作场景 该任务指导用户通过漏洞扫描服务为Linux系统的主机配置跳板机。 说明 当前仅支持添加Linux系统跳板机。 前提条件 已获取管理控制台的登录账号和密码。 已添加Linux系统的主机。 操作步骤 1. 登录管理控制台。 2. 选择“安全 > 漏洞扫描（专业版）”，进入漏洞扫描服务管理控制台。 3. 在左侧导航栏，选择“资产列表 > 主机”，进入主机列表入口。 4. 批量选择需要配置的主机，单击“批量操作 > 编辑”，进入批量授权入口，如下图所示。 说明 用户也可以单台主机授权，在目标主机所在行的“操作”列，单击“编辑”。 5. 在主机授权页面，批量选择需要添加跳板机的主机，单击“批量配置跳板机”。 说明 用户也可以单台主机添加跳板机，在目标主机所在行的“操作”列，单击“配置跳板机”。 如果需要修改主机名称，单击编辑按钮，在弹出的对话框中，进行修改。 6. 在“配置跳板机”对话框中，选择已有跳板机，或者单击“添加新的跳板机”，添加跳板机，如下图所示。 说明 如果需要修改已有跳板机，单击“编辑”，进行修改。 如果需要删除已有跳板机，单击“删除”，删除跳板机。 如果需要添加新的跳板机，请执行以下操作步骤。 1. 单击“新增跳板机”。 2. 在“添加跳板机”对话框中，设置配置参数，配置说明如下表所示。 参数名称 参数说明 主机名称 添加的跳板机的主机名称。 公网IP 添加的跳板机的公网IP。 登录端口 添加的跳板机的登录端口。 选择登录方式 “密码登录”和“密钥登录”。 选择密码登录时，需要添加跳板机的用户名和密码。 选择密钥登录时，需要添加跳板机的用户名、私钥和私钥密码。 选择加密密钥 为了保护主机登录密码或密钥安全，请您必须使用加密密钥，以避免登录密码或密钥明文存储和泄露风险。 您可以选择已有的加密密钥，如果没有可选的加密密钥，请单击“创建密钥”，创建VSS专用的默认主密钥。 3. 单击“确认”。 7. 单击“确定”，跳板机配置成功。 如果需要解除绑定主机的跳板机，在目标主机的“操作”列，单击“更多 > 解除跳板机”，解除跳板机。

本章节介绍如何查看AI网关的实例详情。 操作步骤 1. 登录AI网关控制台，并在顶部菜单栏选择地域。 2. 在左侧导航栏，选择AI网关实例，点击目标实例名称或实例id，进入实例详情。 3. 跳转至实例概览页，查看实例信息、接入点、可观测信息、消费者认证等。 实例信息 基本信息 查看实例ID、名称、付费类型、创建时间、更新时间等信息。 运行信息 查看实例的业务状态、运行状态、实例规格等信息。 网络信息 查看实例的可访问端口、地区、可用区、VPC、子网、安全组等信息。 实例节点 查看实例节点列表，包括VPC的IPv4、IPv6、http端口、https端口、分布可用区等信息。 接入点 可查看当前实例绑定的弹性负载均衡ELB实例列表。 可观测信息 查看实例的链路追踪、日志投递配置项。 消费者认证 查看实例授权的消费者列表。

ACL支持删除,本文帮助您快速熟悉ACL的删除。 使用场景 当您不在需要使用网络ACL去进行安全防护时，您可以选择删除ACL。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“访问控制ACL”选项。 5. 在网络ACL列表页面，点击目标ACL操作列，点击“删除”，在二次确认弹窗中点击“确定”即可删除ACL。 注意 1、对于可用区资源池来说，您需要先解绑子网与ACL的关联关系后，才可执行删除ACL的操作。 2、对于地域资源池来说，您无需解绑子网与ACL，可直接删除ACL。ACL在删除后会自动解除与子网的关联关系。

本文介绍如何购买客户端加密模块。 1. 进入天翼云门户并登录，在产品导航栏，定位到“安全与管理”分类，找到密钥管理，点击进入。 2. 进入密钥管理产品详情页，点击“立即开通”。 3. 进入到密钥管理服务订购页面，服务名称选择“客户端加密模块”，选择服务数量（单次最多可购买 1000 个License）。 4. 阅读《天翼云密钥管理服务协议》，并勾选“我已阅读并同意《天翼云密钥管理服务协议》”，点击 “立即购买”。 5. 进入“订单详情”页面，确认支付金额，点击“立即支付”。 6. 完成订单支付，可在“订单详情”页查看订单状态，状态更新为“已完成”后代表服务已开通。 7. 服务开通后，您可在官网帮助文档下载SDK安装包并配置使用。

本文介绍如何购买客户端加密模块。 1. 进入天翼云门户并登录，在产品导航栏，定位到“安全与管理”分类，找到密钥管理，点击进入。 2. 进入密钥管理产品详情页，点击“立即开通”。 3. 进入到密钥管理服务订购页面，服务名称选择“客户端加密模块”，选择服务数量（单次最多可购买 1000 个License）。 4. 阅读《天翼云密钥管理服务协议》，并勾选“我已阅读并同意《天翼云密钥管理服务协议》”，点击 “立即购买”。 5. 进入“订单详情”页面，确认支付金额，点击“立即支付”。 6. 完成订单支付，可在“订单详情”页查看订单状态，状态更新为“已完成”后代表服务已开通。 7. 服务开通后，您可在官网帮助文档下载SDK安装包并配置使用。

对等连接产品为您提供灵活快捷的云上多VPC私网互联服务,本文带您了解对等连接的产品优势。 使用灵活，支持同账号、不同账号建连 支持在同一资源池内的同一用户不同VPC之间、不同用户VPC之间以及公有云与专属云的VPC之间创建对等连接。 安全可控，自主授权 不同用户之间的VPC创建对等连接时，需要用户提供对端账户名和VPC ID，且需要对端用户接受才可建立连接。 简单易用，配置灵活 天翼云提供Web管理平台，用户可登陆Web页面轻松实现对等连接创建、修改、删除以及路由策略配置等操作。 内网可达，无公网费用 使用对等连接的两个VPC通信时，通过资源池内部网络进行互通，不会绕行公网，也不产生公网费用。

操作名称 资源类型 事件名称 创建实例 instance NoSQLCreateInstance 删除实例 instance NoSQLDeleteInstance 扩容节点 instance NoSQLEnlargeInstance 缩容节点 instance NoSQLReduceInstance 重启实例 instance NoSQLRestartInstance 恢复到新实例 instance NoSQLRestoreNewInstance 磁盘扩容 instance NoSQLExtendInstanceVolume 重置密码 instance NoSQLResetPassword 修改实例名称 instance NoSQLRenameInstance 规格变更 instance NoSQLResizeInstance 绑定弹性公网IP instance NoSQLBindEIP 解绑弹性公网IP instance NoSQLUnBindEIP 实例冻结 instance NoSQLFreezeInstance 实例解冻 instance NoSQLUnfreezeInstance 创建备份 backup NoSQLCreateBackup 删除备份 backup NoSQLDeleteBackup 设置备份策略 backup NoSQLSetBackupPolicy 添加实例标签 tag NoSQLAddTags 修改实例标签 tag NoSQLModifyInstanceTag 删除实例标签 tag NoSQLDeleteInstanceTag 创建参数模板 parameterGroup NoSQLCreateConfigurations 修改参数模板 parameterGroup NoSQLUpdateConfigurations 修改实例参数 parameterGroup NoSQLUpdateInstanceConfigurations 复制参数模板 parameterGroup NoSQLCopyConfigurations 重置参数模板 parameterGroup NoSQLResetConfigurations 应用参数模板 parameterGroup NoSQLApplyConfigurations 删除参数模板 parameterGroup NoSQLDeleteConfigurations 删除扩容失败的节点 instance NoSQLDeleteEnlargeFailNode 切换SSL instance NoSQLSwitchSSL 修改实例安全组 instance NoSQLModifySecurityGroup 实例导出参数模板 instance NoSQLSaveConfigurations 回收站策略 instance NoSQLModifyRecyclePolicy

本节介绍如何查看云SaaS型产品信息。 您可以在产品信息页面查看已购买实例的版本、规格等信息。 前提条件 已购买WAF云SaaS型实例。 查看云SaaS型产品信息 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“系统管理 > 查看产品信息”，选择“云SAAS型”页签。 5. 在产品信息页面，可以查看实例版本、到期时间、实例规格等信息，并支持对实例进行管理。 相关操作 升级实例规格和扩展包 续订云SaaS型实例 退订云SaaS型实例

本节主要介绍与其他云服务的关系 弹性云主机（Elastic Cloud Server，ECS） 将源端服务器的系统、应用和文件等数据迁移到天翼云弹性云主机。 弹性IP（Elastic IP，EIP） 创建迁移任务过程中支持采用公网迁移，要求目的端服务器配置有“弹性IP”。 虚拟私有云（Virtual Private Cloud，VPC） 在创建迁移任务前，通过虚拟私有云设置目的端弹性云服务器所在VPC的安全组。 云硬盘服务（Elastic Volume Service，EVS） 迁移任务创建并启动后，主机迁移服务会创建一块临时按需计费EVS卷，迁移完成删除该临时卷。 云审计服务（Cloud Trace Service，CTS） 通过云审计服务收集主机迁移服务操作记录，便于日后的查询、审计和回溯。 对象存储服务（Object Storage Service，OBS） 将源端对象数据迁移至天翼云创建的OBS桶中。

本文为您介绍分布式消息服务MQTT 的入门指引。 本章节将为您介绍分布式消息服务MQTT入门的基本流程，主要包括环境准备、创建实例、连接实例及消息收发，帮助您快速上手MQTT。 操作流程 步骤说明 1.环境准备 创建MQTT实例先要准备好虚拟私有云、子网和安全组，可选弹性公网IP。 2.创建实例 在订购分布式消息MQTT填写和确认实例名称、计费模式等信息，确认费用后点击下一步，等待开通流程结果通知成功后完成创建实例。 3.连接实例 创建用户密码、父主题等管理信息，对用户进行主题授权，绑定弹性IP，终端设备和云端应用通过MQTT客户端接入。 4.消息收发 使用MQTT SDK接入终端连接地址进行消息生产消费。

第5章 前提条件 客户需提前至少20个工作日申请驻场运维服务，天翼云解决方案架构师评估需求可行性，确定是否提供驻场运维服务。 购买驻场运维服务，客户须提供安全的办公环境，并保障天翼云驻场人员的人身安全。 驻场运维服务，客户需签署驻场运维服务进场和离场报告或签到表。 客户需在天翼云提供驻场运维服务后，提供必要的协助配合天翼云开展驻场运维工作。 客户需审核天翼云制定的驻场运维服务计划和服务方案，以书面形式（包括但不限于电子邮件）确认。如无正当技术理由，不能否定双方已确认的服务计划和服务方案。 客户需授权天翼云对云上资源进行监控和分析。 第6章 服务地点 驻场运维服务，客户需提供驻场地址。 第7章 服务内容 服务内容 服务描述 交付物 专属运维专家 专属运维专家作为统一服务接口，保障天翼云的稳定性 专属运维专家 运维群 为客户提供微信、企业微信或钉钉群中的一种，驻场运维服务响应时间小于5分钟 《运维群》 日常巡检 每天执行日常巡检，提前发现问题，按需提供巡检报告。5 8规格每工作日巡检一次，7 24规格每天巡检一次 《巡检报告》 风险处理 对巡检发现的容量、性能、安全、稳定性等风险，给出风险修复方案并通知客户执行实施优化 《风险处理清单》 故障处理 协调各方资源，快速进行故障定位并按需输出故障报告 《故障报告》 技术支持 提供云产品的使用支持，包括资源开通、配置、问题处理等 《常见问题列表》 监控告警 帮助客户监控云上资源，设置告警阈值，及时了解告警事件，快速处理告警事件 《告警事件清单》 备份管理 帮助客户按需设计备份方案，定期备份和检查备份可用性 《备份方案》 变更管理 云产品的升级、扩容、变更方案等的评审、协调、测试工作 《变更清单》 需求管理 提交客户需求，合理的需求排期进行研发 《需求清单》 成本优化 分析客户资源使用率并给出优化建议，降低客户成本 《成本优化》 运维月报 每月输出平台运维月报，汇报当月运维情况和优化建议 《运维月报》 服务说明： 专属运维专家作为天翼云驻场运维服务的统一接口，对接客户的运维工作。 天翼云为客户提供驻场运维服务群，可按客户习惯提供微信群、企业微信群或钉钉群中的一种，并承诺响应时间SLA。 专属运维专家定期向客户负责人汇报云上资源运行情况、风险修复情况、问题处理进展、资源使用情况等，并给出相应的优化建议。 故障处理，包括故障上报、资源协调、汇报进展、输出故障报告等，原则上只对重大级别的故障（影响关键业务运行）输出《故障处理报告》，其他情况由客户和专属运维专家协商是否输出《故障处理报告》。 天翼云不负责非天翼云平台和产品（如第三方软件、应用）的运维工作。 因客户自身原因导致的故障，不属于天翼云驻场运维服务范围。

数据库安全审计支持对云上的RDS关系型数据库、ECS/BMS自建数据库进行审计。 购买数据库安全审计实例后，您需要将待审计的数据库添加至数据库安全审计实例中。 前提条件 已成功购买数据库安全审计实例，且实例的状态为“运行中”。 添加数据库 1. 登录管理控制台。 2. 单击右上角的，选择区域。 3. 选择“安全 > 数据库安全服务”，进入数据库安全防护实例列表界面。 4. 在左侧导航树中，选择“数据库安全审计 > 数据库列表”，进入数据库列表界面。 5. 在“选择实例”下拉列表框中，选择需要添加数据库的实例。 6. 在数据库列表框左上方，单击“添加数据库”。 7. 在弹出的对话框中，设置数据库的信息，如图所示，相关数据库参数说明所示，添加数据库对话框。 8. 单击“确定”，数据库列表中将新增一条“审计状态”为“已关闭”的数据库。 注意 数据库添加完成后，请您确认添加的数据库信息正确。如果数据库信息不正确，请您在数据库所在行单击“删除”，删除数据库后，再重新添加数据库。 数据库参数说明 参数名称 说明 取值样例 数据库名称 您可以自定义添加的数据库的名称。 test1 IP地址 添加的数据库的IP地址。IP必须为内网IP地址，支持IPv4和IPv6格式。 IPv4：192.168.1.1 IPv6：fe80:0000:0000:0000:0000:0000:0000:0000 数据库类型 支持的数据库类型，您可以选择以下类型： MYSQL ORACEL POSTGRESQL SQLSERVER DWS TAURUS GaussDB DAMENG KINGBASE MongoDB Hbase SHENTONG GBase 8a GBase XDM Custer Greenpum HighGo Mariadb说明当数据库类型选择ORACE时，待审计的应用程序需重启，重新登录数据库。 MySQL 端口 添加的数据库的端口。 3306 数据库版本 支持的数据库版本。 当“数据库类型”选择“MYSQL”时，您可以选择以下版本： 当“数据库类型”选择“ORACEL”时，您可以选择以下版本：− 11g − 12c − 19c 当“数据库类型”选择“POSTGRESQL”时，您可以选择以下版本：− 7.4 − 8.0 8.0、8.1、8.2、8.3、8.4 − 9.0 9.0、9.1、9.2、9.3、9.4、9.5、9.6 − 10.0 10.0、10.1、10.2、10.3、10.4、10.5 − 11.0 − 12.0 − 13.0 当“数据库类型”选择“SQLSERVER”时，您可以选择以下版本：− 2008 − 2012 − 2014 − 2016 − 2017
安全审计将审计数据库中所有的实例。 如果填写实例名，数据库安全审计将审计填写的实例，最多可填写5个实例名，且实例名以“;”分隔。 选择字符集 支持的数据库字符集的编码格式，您可以选择以下编码格式： UTF8 GBK UTF8 操作系统 添加的数据库运行的操作系统，您可以选择以下操作系统： INUX64 WINDOWS64 INUX64 数据库类别 选择添加的数据库类别，“RDS数据库”或“自建数据库”。 RDS数据库

查看昨日及近期的调用统计与风险趋势。 总览页面展示账号下大模型安全护栏的整体使用情况，帮助管理员快速掌握服务运行状态与风险态势。 核心指标 页面顶部展示以下昨日关键数据指标： 指标名称 说明 昨日调用次数 昨日所有检测服务的总调用次数。 昨日调用失败次数 昨日因参数错误或服务异常导致的失败次数。 昨日风险次数 昨日检测结果为“拦截”的总次数。 昨日输入风险次数 昨日文本输入检测中命中风险的次数。 昨日输出风险次数 昨日文本输出检测中命中风险的次数。 近期趋势图 页面下方提供两张趋势折线图，默认展示“最近7天”的数据，支持切换时间维度： 调用趋势图：展示每日调用次数与风险比例（%）的变化趋势，帮助识别异常流量。 输入/输出调用趋势图：分别展示文本输入调用次数与文本输出调用次数，便于对各检测服务的用量进行精细化分析。 使用建议：建议运维人员定期关注风险比例趋势，若风险比例突然显著上升，需排查是否存在业务异常或攻击行为。

查看昨日及近期的调用统计与风险趋势。 总览页面展示账号下大模型安全护栏的整体使用情况，帮助管理员快速掌握服务运行状态与风险态势。 核心指标 页面顶部展示以下昨日关键数据指标： 指标名称 说明 昨日调用次数 昨日所有检测服务的总调用次数。 昨日调用失败次数 昨日因参数错误或服务异常导致的失败次数。 昨日风险次数 昨日检测结果为“拦截”的总次数。 昨日输入风险次数 昨日文本输入检测中命中风险的次数。 昨日输出风险次数 昨日文本输出检测中命中风险的次数。 近期趋势图 页面下方提供两张趋势折线图，默认展示“最近7天”的数据，支持切换时间维度： 调用趋势图：展示每日调用次数与风险比例（%）的变化趋势，帮助识别异常流量。 输入/输出调用趋势图：分别展示文本输入调用次数与文本输出调用次数，便于对各检测服务的用量进行精细化分析。 使用建议：建议运维人员定期关注风险比例趋势，若风险比例突然显著上升，需排查是否存在业务异常或攻击行为。

本文主要介绍抗D功能。 DDoS防护 支持TCP、UDP网络协议防护，如syn flood ，ack flood，空连接等，通过对数据报文的实时检测和分析，过滤畸形包、判断报文合法性、进行丢弃异常请求，进而高效阻断攻击。 CC防护 CC防护根据访问者的URL、频率、行为等访问特征，快速且智能识别CC攻击并进行拦截，在大规模CC攻击时可以避免源站资源耗尽，保证企业网站的正常访问。 访问控制 可针对IP，IP段，URI，CI，METHOD，请求地区，请求参数，请求头部，请求协议等维度进行组合，设置白名单和黑名单，对请求进行拦截和放行，保证客户网站不受未知访问。 可视化报表 提供可视化报表展示、定时报表服务，可获取攻击事件的攻击趋势图、防护带宽、攻击类型、TOP攻击IP等数据，实时掌握网站安全情况。 告警通知 可设置CC攻击、网络层攻击不同维度攻击的告警，灵活设置攻击告警的阈值、通知地址，告警内容包含攻击事件详情，让客户对攻击事件了如指掌。

本节主要介绍IAM用户绑定MFA。 对于IAM用户，点击“访问控制”>“安全凭证”>“MFA”，可以绑定MFA。 注意 MFA认证仅IAM用户支持，但是如果没有授权使用MFA认证，则IAM用户无法进行MFA认证。 点击“绑定”，进行MFA绑定，步骤如下： 1. 安装应用 在手机端下载安装基于时间的一次性密码（TOTP）口令认证工具。 2. 绑定MFA 可以使用扫码获取和手动获取两种方式获取验证码。 注意 输入的“第一组验证码”和“第二组验证码”必须是连续的。 3. 完成 注意 如果您后续不再使用 MFA ，并希望卸载已安装的动态口令工具，请先解绑已绑定的MFA设备。如果您在未解绑MFA的情况下卸载动态口令工具，可能会造成相关用户不可用，请慎重操作。