路由视角下的授权应用 操作步骤 1. 进入微服务引擎MSE控制台； 2. 在顶部菜单栏选择资源池； 3. 单击左侧导航栏云原生网关 > 实例列表 ； 4. 选择实例进入 实例详情 >路由配置; 5. 选择 需要授权的路由 >点击路由名称>路由详情>授权信息页; 6. 点击“添加授权”，在可选的应用列表中添加一个或多个应用配置，点击确定开始对路由的授权； 7. 授权完成后，在路由的视角下可查看此路由已绑定应用授权信息，也可以在应用的视角下，可查看此应用已绑定路由信息。 路由视角下的授权信息 应用视角下的授权的路由信息 API视角下的授权应用 操作步骤 1. 进入微服务引擎MSE控制台； 2. 在顶部菜单栏选择资源池； 3. 单击左侧导航栏云原生网关 > 实例列表 ； 4. 选择实例进入 实例详情 >API托管>API列表; 5. 选择 需要授权的API >点击API名称>API详情页>授权信息页; 6. 点击“添加授权”，在可选的应用列表中添加一个或多个应用配置，点击确定开始对API的授权； 7. 授权完成后，在API的视角下可查看此API已绑定应用授权信息，也可以在应用的视角下，可查看此应用已绑定API信息 API视角下的授权信息 应用视角下的API授权信息 解除应用授权 用户可以根据业务需求，对路由进行授权解除，实现路由级别的安全管控。目前网关提供了两种视角下的解除操作，在路由/API视角下和在App视角下。同时也支持单个解除授权和批量解除授权。

介绍阻止公共访问功能。 适用场景 阻止公共访问是媒体存储提供的一键安全防护功能，旨在降低因公共访问权限导致的数据泄露或因恶意访问而产生大量外网下行流量的风险。 适用区域 2026年4月17日起天翼云媒体存储逐步上线阻止公共访问功能的通知，具体适用区域与上线时间如下： 资源池名称 上线阻止公共访问时间 北京资源池3区 2026年4月17日 注意 功能上线后，新建的Bucket将默认开启阻止公共访问且不允许修改该状态，Bucket 将不再允许匿名访问，并不允许创建公共访问的访问权限和策略，如：开启公共读/公共读写 ACL及包含公共访问语义的 Bucket Policy。 存量Bucket不受升级影响，即默认为不阻止公共访问状态。您可修改对其开启阻止公共访问，需要注意的是，开启后不允许关闭。 默认情况下您无法自行关闭阻止公共访问功能，如有需要，请联系天翼云媒体存储支撑团队。 访问控制效果 存储桶开启阻止公共访问后，访问控制效果如下： 该存储桶及桶内所有对象将不允许匿名访问。 媒体存储在对访问请求进行鉴权时，会忽略预设的公共读、公共读写ACL，以及含有公共访问语义的授权策略；未包含正确鉴权信息的请求，将无法获取数据。 无法对阻止公共访问的存储桶新增公共访问授权，包括： 无法将桶的ACL权限由私有修改为公共读或公共读写。 添加Policy权限时，无法将策略的适用用户设置为“所有用户”。 若桶内有对象的ACL为“公共读”，此时受到阻止公共访问功能的控制，仍将要求用户通过携带合法鉴权串的请求访问文件；在匿名访问该对象时，返回的body中会携带以下字段，标识公共访问已被阻止：

在协同使用资源的场景下，如果您需要根据实际的职责权限情况配置用户使用权限，可使用统一身份认证（Identity and Access Management，简称IAM）服务，创建多个IAM用户并为其授予不同的权限，实现不同IAM子用户可以分权管理不同的资源，从而提高管理效率，降低信息泄露风险。通过IAM可实现精细化权限管理、安全访问、批量管理用户权限、委托其他帐号管理资源等功能。您可以创建并为IAM用户或用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 IAM是天翼云提供的免费基础服务，您只需为购买资源进行付费。 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，限制不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素“Action”“Effect”等。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略: 系统策略：预置的系统策略，您只能使用不能修改。云服务器ECS相关的系统策略包含如下： Admin：弹性伸缩服务的管理者权限，包含弹性伸缩所有控制权限（不含订单类权限）。 Viewer:弹性伸缩服务的观察者权限，包含弹性伸缩服务的列表页与详情页面权限。 自定义策略：您按需自行创建和维护的权限策略。

VPC终端节点(VPC Endpoint)使您能够将 VPC 私密地连接到终端节点服务(天翼云服务、 用户私有服务) VPC终端节点（VPC Endpoint）使您能够将 VPC 私密地连接到终端节点服务（天翼云服务、 用户私有服务），该连接使用天翼云内部网络进行连接，不再绕行公网，为您提供性能更加强大、更加灵活的网络。 VPC终端节点为您提供“终端节点服务”和“终端节点”两种资源。 终端节点服务 终端节点服务（VPC Endpoint Service）指将云服务或用户私有服务配置为VPC终端节点支持的服务。分为“网关”和“接口”两种类型。 网关型：由系统配置的受VPC终端节点支持的云服务，用户可直接使用。 接口型：包括系统配置的云服务和用户自己创建的私有服务。 说明 云服务：指云平台上的一些服务被配置为终端节点服务，默认由系统直接配置。用户没有权限配置云服务，您在创建终端节点时可以根据区域直接选择系统中相应的云服务。 用户私有服务：指用户将自己VPC中的服务资源配置为终端节点服务，这些服务资源为增强型负载均衡或者云服务器。 终端节点服务通过专属网关，可以将 VPC 中的服务方便的提供给其它 VPC 中的资源使用，实现跨 VPC 的访问，而不必暴露服务端相关的网络信息，使您的访问更加安全、可靠。 终端节点 终端节点（VPC Endpoint）在VPC和终端节点服务之间提供连接通道。您可以在VPC中创建自己的应用程序并将其配置为终端节点服务，同一区域下的其他VPC可以通过创建在自己VPC内的终端节点访问终端节点服务。包括“接口终端节点”和“网关终端节点”两种类型。 接口终端节点：是指具备私有IP地址的弹性网络接口，作为接口型终端节点服务的通信入口。 网关终端节点：是一个网关，在其上配置路由，用于将流量指向网关型终端节点服务。

前期准备 构造请求 请求地址：{终端节点地址}+{对应接口URL}，详情查看构造请求； 终端节点地址： 对应接口URI：/v1/aiop/api/2hfksnibjaos/facefasaction/person/detectFasFromBase64。 认证鉴权 认证鉴权详细版本，点击查看认证鉴权。 1.信息的获取 登录云网门户，在“控制台”>“账号中心”>“安全设置”>“用户AccessKey”点击“查看”获取。 2.基本签名流程 待签字符串：使用规范请求和其他信息创建待签字符串； 计算密钥：使用header、ctyuneopsk、ctyuneopak来创建hmac算法的密钥； 计算签名：使用第三步的密钥和待签字符串在通过hmacsha256来计算签名； 签名应用：将生成的签名信息作为请求消息头添加到HTTP请求中。 3.创建待签名字符串 待签名字符串需要进行签名的header排序后的组合列表+ "n" + 排序的query + "n" + toHex(sha256(原封的body))； 假设你需要将ctyuneoprequestid、eopdate、host都要签名，则待签名的header构造出来是：ctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n； 如果你加入一个ccad的header，同时这个header也需要进行签名，则待签名的header组合：ccad:123nctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n。 4.构造动态密钥 发起请求时，需要构造一个eopdate的时间，这个时间的格式是yyyymmddTHHMMSSZ，言简意赅一些，就是年月日T时分秒Z； 先是用申请的ctyuneopsk作为密钥，eopdate作为数据，算出ktime； 用ktime作为密钥，申请的ctyuneopak作为数据，算出kAk； 用kAk作为密钥，eopdate的年月日值作为数据，算出kdate。 5.签名应用 由“构造动态密钥”和“创建待签名字符串”分别得出来的待签名字符串stringsignature、kdate生成出Signature； 得到EopAuthorization，然后将数据整合成header放在httpclient内，发出即可。

前期准备 构造请求 请求地址：{终端节点地址}+{对应接口URL}，详情查看构造请求； 终端节点地址： 对应接口URL：/v1/aiop/api/2f820wzpai9s/PictureIdentity/api/v1/imageporn.json。 认证鉴权 认证鉴权详细版本，点击查看认证鉴权。 1.信息的获取 登录云网门户，在“控制台”>“个人中心”>“安全设置”>“用户AccessKey”点击“查看”获取。 2.基本签名流程 待签字符串：使用规范请求和其他信息创建待签字符串； 计算密钥：使用header、ctyuneopsk、ctyuneopak来创建hmac算法的密钥； 计算签名：使用第三步的密钥和待签字符串在通过hmacsha256来计算签名； 签名应用：将生成的签名信息作为请求消息头添加到HTTP请求中。 3.创建待签名字符串 待签名字符串需要进行签名的header排序后的组合列表+ "n" + 排序的query + "n" + toHex(sha256(原封的body))； 假设你需要将ctyuneoprequestid、eopdate、host都要签名，则待签名的header构造出来是：ctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n； 如果你加入一个ccad的header，同时这个header也需要进行签名，则待签名的header组合：ccad:123nctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n。 4.构造动态密钥 发起请求时，需要构造一个eopdate的时间，这个时间的格式是yyyymmddTHHMMSSZ，言简意赅一些，就是年月日T时分秒Z； 先是用申请的ctyuneopsk作为密钥，eopdate作为数据，算出ktime； 用ktime作为密钥，申请的ctyuneopak作为数据，算出kAk； 用kAk作为密钥，eopdate的年月日值作为数据，算出kdate。 5.签名应用 由“构造动态密钥”和“创建待签名字符串”分别得出来的待签名字符串stringsigture、kdate生成出Signature； 得到EopAuthorization，然后将数据整合成header放在httpclient内，发出即可。

本文介绍我的团队功能，使用户可以快速熟悉我的团队的相关操作，以及如何申请加入团队 前提条件 具有进入我的团队页的菜单权限。菜单权限请参考权限说明。 注意事项 用户加入组织后，会自动加入到当前组织的公共团队当中。 如果用户没指定加入任何团队，进入我的团队 界面后，当前所在团队会默认为公共团队。 说明 每个组织都会有一个公共团队，用户在登录DMS后，会自动加入到当前组织的公共团队。 团队成员查看 在左侧导航栏，点击个人中心>我的团队 ，进入我的团队页面，可查看团队内所有成员信息，包括成员的用户名、团队内角色、系统角色等信息，同时可通过团队角色类型、用户名等条件搜索团队成员。 查看全部团队 在我的团队 界面，选中团队成员 页签，当前所在团队的下拉框旁有查看全部团队 按钮，点击该按钮可以查看当前组织内的全部团队信息，用户可以在弹窗中找到对应团队，点击申请加入 按钮加入团队，或点击退出团队按钮退出团队。 说明 公共团队为系统默认团队，不允许退出。 申请加入团队 1. 在左侧菜单栏依次点击个人中心 > 我的团队。 2. 点击团队成员 标签页，在页面上方点击查看全部团队按钮打开全部团队弹窗。 3. 选择目标团队，点击申请加入 按钮打开弹窗，在弹窗内选择团队角色后点击确定按钮后将提交团队工单，等待目标团队的团队管理员审批通过后即可加入该团队。 用户可在安全协作 > 工单列表 > 团队申请工单页面中查看该团队工单详细信息及工单的流程。 团队资产查看 在我的团队页面，点击团队资产页签，切换到团队资产界面。在团队资产界面，可查看团队内所有实例信息，包括实例名称、地址、数据库类型等信息，同时可通过实例名称、数据库类型等条件搜索团队内的实例；也可查询团队内的数据对象信息。

编辑策略 说明 策略新增成功后，不支持修改策略对象、策略类型、对象类型、和已经勾选的操作连接。 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“风险预防> 策略管理”，进入策略管理页面后选择“策略视图”页签，进入应急策略策略管理页面。 5. 在策略管理页面“策略视图”中，单击待修改策略所在行“操作”列的“编辑”，右侧弹出编辑策略页面。 6. 在编辑策略页面中，支持修改应急策略的标签和策略描述，支持修改自动过期策略，支持增加操作连接。 参数名称 参数说明 策略对象 策略对象。该参数不支持修改。 策略类型 策略类型。该参数不支持修改。 对象类型 策略的对象类型。该参数不支持修改。 策略生效范围 策略的生效范围。支持修改。 操作连接 策略的操作连接。已勾选的操作连接不支持取消，未勾选的操作连接支持继续勾选。 自动过期 确认新增的应急策略是否自动过期。支持修改。 如果选择是，请设置策略过期时间。 如果选择否，则该策略将一直有效。 标签（可选） 应急策略的标签，支持修改。 策略描述（可选） 应急策略的描述信息，支持修改。 若需要删除策略对象的操作连接，可单击“策略视图”页面应急策略列表中对应策略对象所在行前的按钮，展开该策略对象所有相关的操作连接，并单击待删除操作连接所在行操作列的“删除”，在弹出的删除信息确认页面确认信息无误后单击“确定”即可。 7. 单击“确定”。编辑完成后，可参考查看策略查看修改后的策略信息。

前期准备 构造请求 请求地址：{终端节点地址}+{对应接口URI}，详情查看构造请求； 终端节点地址： 对应接口URI：/v1/aiop/api/2f3os7qq79xc/IdentityCard/ocr/v1/idcard.json。 认证鉴权 认证鉴权详细版本，点击查看认证鉴权。 1.信息的获取 登录云网门户，在“控制台”>“账号中心”>“安全设置”>“用户AccessKey”点击“查看”获取。 2.基本签名流程 待签字符串：使用规范请求和其他信息创建待签字符串； 计算密钥：使用header、ctyuneopsk、ctyuneopak来创建hmac算法的密钥； 计算签名：使用第三步的密钥和待签字符串在通过hmacsha256来计算签名； 签名应用：将生成的签名信息作为请求消息头添加到HTTP请求中。 3.创建待签名字符串 待签名字符串需要进行签名的header排序后的组合列表+ "n" + 排序的query + "n" + toHex(sha256(原封的body))； 假设你需要将ctyuneoprequestid、eopdate、host都要签名，则待签名的header构造出来是：ctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n； 如果你加入一个ccad的header，同时这个header也需要进行签名，则待签名的header组合：ccad:123nctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n。 4.构造动态密钥 发起请求时，需要构造一个eopdate的时间，这个时间的格式是yyyymmddTHHMMSSZ，言简意赅一些，就是年月日T时分秒Z； 先是用申请的ctyuneopsk作为密钥，eopdate作为数据，算出ktime； 用ktime作为密钥，申请的ctyuneopak作为数据，算出kAk； 用kAk作为密钥，eopdate的年月日值作为数据，算出kdate。 5.签名应用 由“构造动态密钥”和“创建待签名字符串”分别得出来的待签名字符串stringsigture、kdate生成出Signature； 得到EopAuthorization，然后将数据整合成header放在httpclient内，发出即可。

前期准备 构造请求 请求地址：{终端节点地址}+{对应接口URI}，详情查看构造请求； 终端节点地址： 对应接口URI：/v1/aiop/api/2f3p1pnxpqm8/ocrdetect/ocr/v1/image.json。 认证鉴权 认证鉴权详细版本，点击查看认证鉴权。 1.信息的获取 登录云网门户，在“控制台”>“账号中心”>“安全设置”>“用户AccessKey”点击“查看”获取。 2.基本签名流程 待签字符串：使用规范请求和其他信息创建待签字符串； 计算密钥：使用header、ctyuneopsk、ctyuneopak来创建hmac算法的密钥； 计算签名：使用第三步的密钥和待签字符串在通过hmacsha256来计算签名； 签名应用：将生成的签名信息作为请求消息头添加到HTTP请求中。 3.创建待签名字符串 待签名字符串需要进行签名的header排序后的组合列表+ "n" + 排序的query + "n" + toHex(sha256(原封的body))； 假设你需要将ctyuneoprequestid、eopdate、host都要签名，则待签名的header构造出来是：ctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n； 如果你加入一个ccad的header，同时这个header也需要进行签名，则待签名的header组合：ccad:123nctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n。 4.构造动态密钥 发起请求时，需要构造一个eopdate的时间，这个时间的格式是yyyymmddTHHMMSSZ，言简意赅一些，就是年月日T时分秒Z； 先是用申请的ctyuneopsk作为密钥，eopdate作为数据，算出ktime； 用ktime作为密钥，申请的ctyuneopak作为数据，算出kAk； 用kAk作为密钥，eopdate的年月日值作为数据，算出kdate。 5.签名应用 由“构造动态密钥”和“创建待签名字符串”分别得出来的待签名字符串stringsigture、kdate生成出Signature； 得到EopAuthorization，然后将数据整合成header放在httpclient内，发出即可。

在删除密钥前，您需要确保该密钥没有被使用或将来也不会被使用。您可以通过以下方式确定密钥的使用情况。 前提条件 待删除的密钥需处于“启用”、“禁用”、“等待导入”或“冻结”状态。 约束条件 执行删除密钥操作后，密钥不会立即删除，密钥管理会将该操作按用户指定时间推迟执行，推迟时间范围为7天～1096天。 在推迟删除时间未到时，若需要重新使用该密钥，可以执行取消删除密钥操作。若超过推迟时间，密钥将被KMS彻底删除，使用该密钥加密的数据将无法解密，请谨慎操作。 默认密钥为服务自动创建，不支持删除操作。 计划删除的密钥是不计费的，但是，如果您在密钥被彻底删除前的等待期内取消删除密钥，该密钥将恢复计费，并收取从计划删除开始到取消删除期间的费用。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角，选择区域或项目。 步骤 3 单击“服务列表”，选择“安全> 数据加密服务”，默认进入“密钥管理”界面。 步骤 4 在需要删除的密钥所在行，单击“删除”。 步骤 5 在弹出的窗口中，填写“推迟删除”的时间。 说明 密钥管理会将该操作按用户指定时间推迟执行，推迟时间范围为7天～1096天。在推迟删除时间未到时，若需要重新使用该密钥，可以执行取消删除密钥操作。 计划删除的密钥是不计费的，但是，如果您在密钥被彻底删除前的等待期内取消删除密钥，该密钥将恢复计费，并收取从计划删除开始到取消删除期间的费用。 步骤 6 勾选“我已知晓删除以上密钥产生的影响”，单击“是”，完成删除单个密钥操作。 说明 如果您想批量计划删除密钥，可以勾选所有需要计划删除的密钥，然后在列表左上角，单击“删除”。

本文主要介绍视频直播确保内容安全的相关策略。 视频直播服务为您提供了Referer防盗链、IP黑/白名单、UA防盗链、URL鉴权和远程鉴权机制，对访问者的身份进行识别和过滤，符合规则的才可使用直播服务。 功能 描述 Referer防盗链 Referer防盗链，是基于HTTP请求头中Referer字段（例如：Referer黑白名单）来设置访问控制规则，实现对访客的身份识别和过滤，防止网站资源被非法盗用。 IP黑/白名单 通过识别客户端IP来过滤用户请求，拦截特定IP的访问或者允许特定IP的访问，可以用来解决恶意IP盗刷、攻击等问题。 UA防盗链 UserAgent（简称UA）是HTTP请求头的一部分，可体现用户使用的终端标识。通过识别HTTP请求头中的UA字段，可以识别特定终端，从而限制用户行为，拦截或允许某一类用户的访问，实现防盗链、防盗刷、防攻击的目的。 URL鉴权 为了防止站点资源被恶意下载或者非法盗用，避免产生不必要的带宽浪费，可配置URL鉴权功能。配置URL鉴权后，视频直播会对加密串及时间戳进行校验，从而有效地保护用户站点资源。 远程鉴权 支持远程同步鉴权和异步鉴权功能。 ● 同步鉴权：在直播节点收到用户请求后，将请求转发回提前设定的鉴权源站，在源站鉴权许可后，直播节点才给用户返回对应内容，从而实现用户鉴权规则由源站全权定义。 ● 异步鉴权：在直播节点收到用户请求后，直播节点先响应直播流，并同时将请求转发回提前设定的鉴权源站，鉴权源站响应鉴权结果后，视频直播依据鉴权源站结果允许或者拒绝用户访问。

本节介绍如何配置AntiDDoS流量清洗日志到云日志服务。 启用AntiDDoS防护功能后，您可以将攻击日志记录到云日志服务（Log Tank Service，简称LTS）中，通过LTS记录的AntiDDoS日志数据，快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。 前提条件 已开通云日志服务。 操作步骤 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表中，选择“安全 > AntiDDoS流量清洗”，进入AntiDDoS服务管理界面。 4. 选择“日志”页签，开启日志，并选择日志组和日志流。 日志参数说明： 参数 说明 选择日志组 选择已创建的日志组，或者单击“查看日志组”，跳转到LTS管理控制台创建新的日志组。 记录攻击日志 选择已创建的日志流，或者单击“查看日志流”，跳转到LTS管理控制台创建新的日志流。 攻击日志记录每一个攻击告警信息，包括攻击类型、防护的IP等信息。 5. 单击“确定”，日志配置成功。 您可以在云日志服务管理控制台查看AntiDDoS的防护日志。 日志字段说明 全量日志字段说明 字段 说明 logType 日志类型。默认为“ipattacksum”，攻击日志。 deviceType 上报日志的设备类型。默认为“CLEAN”，清洗设备。 inKbps 入流量（单位：kbps）。 maxPps 入流量峰值（单位：pps）。 dropPps 丢弃的流量均值（单位：pps）。 maxAttackInBps 攻击流量峰值时刻的入流量值（单位：bps）。 currentConn 当前连接数。 zoneIP 防护的IP。 logTime 日志产生的时间。 attackType 攻击类型。数值对应的攻击类型请参见攻击类型说明。 inPps 入流量（单位：pps）。 maxKbps 入流量峰值（单位：kbps）。 dropKbps 丢弃的流量均值（单位：kbps）。 startTime 攻击开始时间。 endTime 攻击结束时间，为空时则表示攻击还未结束。 maxAttackInConn 攻击流量峰值时刻的连接数。 newConn 新建连接数。

本文介绍如何配置边缘接入服务IP应用加速的CNAME。 成功添加边缘接入IP应用加速域名后，系统会为您分配一个CNAME。您需要将您的应用的DNS解析记录指向该CNAME，访问请求才能转发到IP应用加速节点上，实现IP应用加速。本文介绍如何配置CNAME。 1. 登录边缘安全加速控制台，进入边缘接入控制台的【域名】【IP应用加速接入】的页面列表中复制域名/实例对应的CNAME。 2. 前往您的域名解析(DNS)服务商(如万网、阿里云解析、DNSPod、新网、腾讯云解析、route 53、godaddy等)，添加该CNAME记录。配置CNAME完毕，CNAME配置生效后，IP应用加速服务也会立即生效。 注意 CNAME配置生效时间：新增CNAME记录会实时生效，而修改CNAME记录生效时间取决于客户设置的TTL时间。 3. 添加时如遇添加冲突，可考虑换一个加速域名，或参考以下“解析记录互斥规则” 调整记录。 在提示冲突的时候，说明已经有对应的记录，不允许重复添加或者说不能添加对应的记录，说明如下。 在RR值相同的情况下，同一条线路下，在几种不同类型的解析中不能共存(X为不允许)： X：在相同的RR值情况下，同一条线路下，不同类型的解析记录不允许共存。如：已经设置了www.ctyun.cn的A记录，则不允许再设置 www.ctyun.cn的CNAME记录。 无限制： 在相同的RR值情况下，同一条线路下，不同类型的解析记录可以共存。如：已经设置了www.ctyun.cn的A记录，则还可以再设置 www.ctyun.cn的MX记录。 可重复： 指在同一类型下，同一条线路下，可设置相同的多条RR值。如：已经设置了www.ctyun.cn的A记录，还可以再设置 www.ctyun.cn的A记录。 4. 验证边缘接入服务IP应用加速服务是否生效。 配置CNAME后，不同的服务商CNAME生效的时间也不同，一般新增的CNAME记录会立即生效，修改的CNAME记录生效时间取决于客户设置的TTL时间。 您可以ping或dig您所添加的加速域名，验证IP应用加速是否生效。

此小节介绍如何变更云堡垒机配置。 当云堡垒机的规格不能满足需求时，可对云堡垒机实例进行规格升级，购买更高规格的标准版或专业版 ，扩大系统数据盘容量、最大并发数、最大资产数等配置。 注意 用户必须在变更规格前备份数据，因变更规格有失败风险，以防因变更规格失败而影响使用； 变更规格过程约需要30min，变更规格期间云堡垒机系统不可用，业务中断，建议用户不要使用云堡垒机，以免数据丢失； 变更规格只对数据盘进行变更规格，不会影响系统盘。变更规格到新版本后，后台为用户变更规格CPU、内存、带宽等，不影响原有EIP的使用。 约束限制 云堡垒机提供标准版和专业版两个功能版本，每个版本配备7种资产规格。 当前仅支持版本规格变更规格，不支持版本规格缩容。 前提条件 已获取管理控制台的登录帐号与密码。 已备份系统数据。 变更规格有失败的风险，因此在变更规格前必须备份数据，以防因变更规格失败而影响数据的使用。 已升级当前版本。 变更规格到 专业版 ，需确保云堡垒机软件版本在3.2.16.0及以上。 已绑定EIP，且EIP可用。 操作步骤 1. 登录管理控制台。 2. 在页面左上角单击，选择区域，选择“安全 > 云堡垒机”，进入云堡垒机实例管理页面。 3. 单击左上角的，选择区域或项目。 4. 在左侧导航树中，单击，进入云堡垒机实例界面。 5. 选择需变更规格的实例，单击所在行“操作”列中“更多 > 变更规格”，跳转到“变更规格”页面。 6. 择需变更的“性能规格”，单击“立即购买”。 7. 进入“订单详情”页面，确认订单无误后，单击“提交订单”。 8. 在支付页面完成付款。 9. 后台自动进行变更规格操作，整个变更规格过程需30min左右，且实例的运行状态将会由“变更中”到“正在重启”。 10. 实例运行状态变为“运行”，即可正常使用云堡垒机。

本文主要介绍计算加速型P3v 概述 P3v型弹性云主机采用NVIDIA A800 GPU，在提供云主机灵活性的同时，提供超高性能计算能力。适用于AI深度学习、科学计算，在深度学习训练、科学计算、计算流体动力学、计算金融、地震分析、分子建模、基因组学等领域都能表现出巨大的计算优势。理论单精度浮点性能：FP32：19.5TFLOPS。Tensor核心浮点性能：TF32: 156TFLOPS，BFLOAT16: 312TFLOPS。 类型 CPU基频/睿频 CPU型号 P3v 2.6GHz/3.5GHz 第三代英特尔® 至强® 可扩展处理器 6348 规格 规格名称 vCPU 内存（GiB） 最大带宽/基准带宽（Gbps） 最大收发包能力（万PPS） 网卡多队列数 网卡个数个数上限 GPU GPU连接技术 显存（GiB） 虚拟化类型 p3v.3xlarge.8 12 96 17/5 200 4 4 1 × NVIDIA A800 80GB N/A 80 KVM p3v.24xlarge.8 96 768 40/36 850 32 8 8 × NVIDIA A800 80GB NVLink 640 KVM P3v型弹性云主机功能如下： 处理器：第三代英特尔® 至强® 可扩展处理器 6348，主频2.6GHz，睿频3.5GHz。 支持NVIDIA A800 GPU卡，每台云主机支持最大8张A800显卡。 支持NVIDIA CUDA并行计算，支持常见的深度学习框架Tensorflow、Caffe、PyTorch、MXNet等。 单精度能力19.5 TFLOPS，双精度能力9.7 TFLOPS。 支持NVIDIA Tensor Core能力，深度学习混合精度运算能力达到156 TFLOPS。 单实例最大网络带宽40Gb/s。 单卡 80GB HBM2显存，显存带宽2039Gb/s，支持多卡NVLINK互联技术。 完整的基础能力： 网络自定义，自由划分子网、设置网络访问策略。 海量存储，弹性扩容，支持备份与恢复，让数据更加安全。 弹性伸缩，快速增加或减少云主机数量。 灵活选择： 与普通云主机一样，P3v型云主机可以做到分钟级快速发放。 优秀的超算生态： 拥有完善的超算生态环境，用户可以构建灵活弹性、高性能、高性价比的计算平台。大量的HPC应用程序和深度学习框架已经可以运行在P3v实例上。

本节介绍了如何创建云数据库GaussDB 数据库的用户、以及如何授权。 如果您需要对您所拥有的云数据库GaussDB 进行精细的权限管理，您可以使用（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用云数据库GaussDB 资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将云数据库GaussDB 资源委托给更专业、高效的其他帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用云数据库GaussDB 服务的其它功能。 本章节为您介绍对用户授权的方法。 前提条件 给用户组授权之前，请您了解用户组可以添加的云数据库GaussDB 系统策略，并结合实际需求进行选择。 示例流程 给用户授权云数据库GaussDB 权限流程 1. 在IAM控制台创建用户组，并授予关系型数据库只读权限“云数据库GaussDB ReadOnlyAccess”。 2. 在IAM控制台创建用户，并将其加入1中创建的用户组。 3. 并验证权限 4. 新创建的用户登录控制台，切换至授权区域，验证权限： − 在“服务列表”中选择云数据库 云数据库GaussDB ，进入云数据库GaussDB 主界面，在左侧导航栏选择云数据库GaussDB > 实例管理。单击右上角“购买数据库实例”，尝试购买数据库实例，如果无法购买（假设当前权限仅包含云数据库GaussDB ReadOnlyAccess），表示“云数据库GaussDB ReadOnlyAccess”已生效。 − 在“服务列表”中选择除云数据库 云数据库GaussDB 外（假设当前策略仅包含云数据库GaussDB ReadOnlyAccess）的任一服务，若提示权限不足，表示“云数据库GaussDB ReadOnlyAccess”已生效。

本节主要介绍使用限制。 集群和节点 云容器引擎对单个用户的资源数量和容量限定了配额，默认情况下，您最多可以创建50个集群（每个Region下），每个集群中可以选择50节点、200节点、1000节点、2000节点几种规格。 非高可用模式的集群在控制节点故障后将不可用，影响业务功能，不适用于商用场景，建议您选择“高可用”模式。 集群创建时将默认创建名称带有“cce”标识的安全组规则，删除或修改后可能导致集群无法正常使用。 集群名称、集群规模、高可用开关、网络模型、网段配置、服务转发模式在集群创建后将无法修改，请谨慎选择。 CCE集群默认安装采集探针，方便您在Web界面查看集群资源的日志和监控信息。 集群一旦创建以后，不支持变更以下项： 变更集群的控制节点数量，例如非高可用集群（控制节点数量为1）变更为高可用集群（控制节点数量为3）。 变更控制节点可用区。 变更集群的网络配置，如所在的虚拟私有云VPC、子网、容器网段、服务网段、IPv6、kubeproxy代理（转发）模式。 变更网络模型，例如“容器隧道网络”更换为“VPC网络”。 CCE创建的ECS实例（节点）目前支持“按需计费”和“包年/包月”，其他资源（例如负载均衡）为按需计费。如果资源所属的服务支持将按需计费实例转换成包年/包月实例，您可以通过对应的控制台进行操作。 集群中纳管计费模式为“包年包月”的节点时，无法在CCE控制台为其续费，用户需前往ECS控制台单独续费。 由于ECS（节点）等CCE依赖的底层资源存在产品配额及库存限制，创建集群、扩容集群或者自动弹性扩容时，可能只有部分节点创建成功。 ECS（节点）规格要求：CPU ≥ 2核且内存 ≥ 4GB。 通过搭建VPN方式访问CCE集群，需要注意VPN网络和集群所在的VPC网段、容器使用网段不能冲突

绑定NAT网关限制 NAT网关的地域必须和EIP的地域相同。 绑定ELB实例限制 ELB实例的网络类型必须是专有网络。 ELB实例的地域必须和EIP的地域相同。 一个ELB实例仅支持绑定一个EIP。 绑定虚拟IP限制 虚拟IP实例的地域必须和EIP的地域相同。 虚拟IP实例必须处于可用或已分配状态。 虚拟IP实例仅支持绑定一个EIP。 通用使用限制 一个弹性IP只支持绑定一个云资源进行使用，且弹性IP和云资源必须在同一个资源池（Region），不支持跨资源池使用弹性IP。 仅正常未绑定状态的弹性IP支持绑定云资源，已冻结状态/已过期状态的弹性IP请先进行充值/续费后才可继续进行使用，已绑定状态弹性IP需先进行解绑才可绑定新资源。 弹性IP与云资源属于不同资源，与计费模式无关，不同计费方式均支持与云资源的绑定；对云资源进行退订/删除后，弹性IP将会继续计费，若您不再需要该弹性IP，请将该弹性IP进行释放。 若您的弹性IP因安全原因被冻结，该弹性IP不支持充值后恢复正常状态，此时将限制绑定、解绑及释放操作。 仅未绑定云资源的弹性IP支持释放，已绑定云资源的弹性IP请先将云资源解绑，后进行释放操作。 弹性IP被释放后，可能会被其他用户购买使用，此时无法找回。 弹性IP在按需计费模式下，收取IP保有费和带宽费用/流量费用，当该弹性IP与实例未绑定且未释放时，将收取IP保有费，若绑定实例则免收IP保有费，对于不需要使用的弹性IP，请及时进行释放。 弹性IP不支持跨帐号转移。 云主机/物理机通过弹性网卡与弹性IP绑定时，云主机/物理机与弹性网卡解绑时，弹性IP与被解绑的弹性网卡自动解绑。

函数计算默认情况下使用的是动态分配的出口IP地址，这意味着IP地址可能会发生变化，并没有一个固定的网段。在某些情况下，比如当您的函数需要访问特定的资源与服务时，您的函数有可能不在其白名单访问列表中导致对端服务拒绝访问。为了满足这种需求，函数计算提供了一个功能，允许您为函数绑定一个固定的公网IP地址。 注意 固定IP地址功能是与VPC中的公网NAT网关结合使用的。为了实现VPC内实例的公网访问，您需要创建一个公网NAT网关，并对其进行适当的配置。这个过程包括绑定一个弹性IP地址到NAT网关，并添加SNAT（源网络地址转换）条目，从而使得VPC内的实例可以通过这个弹性IP地址与互联网进行通信。具体操作步骤请参阅： 额外计费 在设置固定公网IP地址的过程中，您需要用到NAT网关和弹性IP服务，这将会带来额外的费用。有关详细的计费信息，请参阅NAT网关计费说明公网NAT网关计费说明和弹性IP计费说明计费概述。 配置固定公网IP地址 1. 登录函数计算控制台，在左侧导航栏，点击函数。 2. 在函数页面，点击目标函数，进入目标函数详情页。 3. 在目标函数详情页的上方导航栏，点击配置。 4. 在左侧导航栏，点击网络 选项卡，打开网络的具体配置页后，点击编辑，进行网络配置的修改。 5. 如果您希望配置目标函数固定公网IP，请： 1. 打开允许访问VPC的选项。 2. 依次配置您希望访问的专有网络、子网以及安全组。 3. 然后请打开固定公网IP的选项。 4. 最后设置允许函数默认网卡访问公网 为否。 5. 修改完毕后，点击下方的部署按钮，即可允许目标函数以固定公网IP的方式对外访问。

本文为您介绍对等连接产品的定义及其创建流程。 对等连接（VPC Peering Connection）是指两个同一资源池内的VPC之间的网络连接。用户可以使用私有IP地址在两个VPC之间进行内网通信，就像两个VPC在同一个网络中一样。用户可以在自己帐号的VPC之间创建对等连接，也可以在自己账号的VPC与同一资源池内其他帐号的VPC之间创建对等连接。 对等连接创建流程 无论是在同一帐户下还是不同帐户下，只要VPC位于同一个资源池，对等连接就能够为VPC之间的通信提供一种私有、安全且高效的解决方案，来实现资源的共享和数据的流动，满足了不同场景下的通信需求。 同一账户下VPC对等连接的创建流程： 1. 创建对等连接：选择本端VPC和对端VPC。 2. 添加对等连接路由：在本端VPC的路由表中添加指向对端VPC的路由规则，同时在对端VPC的路由表中添加指向本端VPC的路由规则。 3. 验证网络互通情况：确认对等连接已生效后，验证网络互通性。 不同帐户下VPC对等连接的创建流程: 1. 创建对等连接：选择本端VPC和对端VPC。 2. 判断是否接受连接：选择“否”则创建对等连接失败；选择“是”则进入下一步。 3. 添加对等连接路由：在本端VPC的路由表中添加指向对端VPC的路由规则，同时在对端VPC的路由表中添加指向本端VPC的路由规则。 4. 验证网络互通情况：确认对等连接已生效后，验证网络互通性。

前期准备 构造请求 请求地址：{终端节点地址}+{对应接口URL}，详情查看构造请求； 终端节点地址： 对应接口URL：/v1/aiop/api/2f7awxekgvls/face/compare/PERSON/person/compareFromBase64。 认证鉴权 认证鉴权详细版本，点击查看认证鉴权。 1.信息的获取 登录云网门户，在“控制台”>“账号中心”>“安全设置”>“用户AccessKey”点击“查看”获取。 2.基本签名流程 待签字符串：使用规范请求和其他信息创建待签字符串； 计算密钥：使用header、ctyuneopsk、ctyuneopak来创建hmac算法的密钥； 计算签名：使用第三步的密钥和待签字符串在通过hmacsha256来计算签名； 签名应用：将生成的签名信息作为请求消息头添加到HTTP请求中。 3.创建待签名字符串 待签名字符串需要进行签名的header排序后的组合列表+ "n" + 排序的query + "n" + toHex(sha256(原封的body))； 假设你需要将ctyuneoprequestid、eopdate、host都要签名，则待签名的header构造出来是：ctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n； 如果你加入一个ccad的header，同时这个header也需要进行签名，则待签名的header组合：ccad:123nctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n。 4.构造动态密钥 发起请求时，需要构造一个eopdate的时间，这个时间的格式是yyyymmddTHHMMSSZ，言简意赅一些，就是年月日T时分秒Z； 先是用申请的ctyuneopsk作为密钥，eopdate作为数据，算出ktime； 用ktime作为密钥，申请的ctyuneopak作为数据，算出kAk； 用kAk作为密钥，eopdate的年月日值作为数据，算出kdate。 5.签名应用 由“构造动态密钥”和“创建待签名字符串”分别得出来的待签名字符串stringsigture、kdate生成出Signature； 得到EopAuthorization，然后将数据整合成header放在httpclient内，发出即可。

本文介绍申请数据权限功能，使用户可以快速熟悉申请数据权限页面的相关操作，以及如何申请数据权限。 前提条件 用户需要具有进入申请数据权限页面的功能权限。 注意事项 申请数据权限功能仅限企业版。 用户仅限申请已加入团队内实例的相关数据权限。 每次申请仅限一种类型的资源粒度，资源粒度从大到小依次是实例、库/模式、表。 数据权限支持按资源粒度继承，即用户拥有大粒度资源的数据权限时，则默认拥有该大粒度资源下所有小粒度资源的数据权限。 用户多次申请同一资源、同一权限后，最后一次申请的结果会覆盖之前申请的结果。 操作步骤 用户可以在个人中心>我的权限 页面中点击“申请数据权限”按钮进入申请数据权限页面，也可以在安全协作>工单列表>数据权限工单页面中点击“申请数据权限”按钮进入申请数据权限页面。 申请数据权限的具体流程如下： 1. 选择资源的粒度。进入申请数据权限页面后，默认选择库/模式授权，也可以点击其他标签，切换到其他资源粒度，每次申请仅限一种类型的资源粒度。 2. 选择申请的资源。在左侧”请选择“框内勾选想要申请的资源的复选框，然后点击中间的”>“按钮，即可将当前页选中的资源加入到右侧”已选择“框内。如果想要删除右侧“已选择”框内的资源，可以勾选想要删除的资源的复选框，然后点击中间的“<”按钮，即可将右侧“已选择”框内的资源删除。每次申请可以同时选择多个资源。 3. 选择权限的类型，根据用户需要，勾选对应权限类型的复选框。每次申请可以同时选择多种权限。 4. 选择权限的有效期。权限有效期默认为1个月，根据用户需要，可以选择3个月、半年或者1年，也可以点击时间栏，直接指定权限的到期时间。 5. 确定信息无误后，点击页面右下角的“提交申请”按钮即可提交工单，并跳转到数据权限工单页面，查看当前工单的流程。

本节介绍如何查看告警列表。 通过查看“告警列表”，您可以了解近180天的告警威胁的统计信息列表，列表内容包括告警事件的名称、类型、等级和发生时间等。并可通过自定义过滤条件，如告警名称、告警等级和发生时间等，快速查询到相应告警事件的统计信息。 此外，您还可以通过及时处理告警事件，标记告警事件处理状态，并支持一键导出近180天的告警事件。 约束限制 仅专业版支持忽略和标记告警事件，基础版不支持。 仅支持导出近180天的全部告警事件，暂不支持筛选导出告警事件信息。 按过滤场景筛选告警，最多可呈现10000条告警。 查看告警详情 1. 登录管理控制台。 2. 在页面左上角单击，选择“安全 > 态势感知（专业版）”，进入态势感知管理页面。 3. 在左侧导航栏选择“威胁告警”，默认进入态势感知告警列表管理页面。 4. 筛选“告警名称”、“告警等级”、“发生时间”和“处理状态”条件选项，在列表栏查看显示符合过滤条件的告警事件列表。 告警名称：告警事件所属的分类。 告警等级：告警事件对应的等级，包括“致命”、“高危”、“中危”、“低危”、“提示”。 处理状态：用户对告警事件的处理标记，可选择“未处理”、“已忽略”、“已线下处理”。 发生时间：告警事件发生的时间范围，可选择“今天”、“昨天”、“近3天”、“近7天”、“近30天”和“近半年”。 5. 当过滤后的告警事件较多时，可以利用搜索功能快速找到指定告警事件。 在下拉框中选择“资产IP”、“来源IP”、“主机ID”，在搜索框中输入相应IP或ID，单击搜索图标，即可查看到指定资产相关的告警信息。 6. 查看告警事件详情。 单击列表中告警的“告警名称”，右侧滑出告警详情窗口，可查看与该告警相关的“基本信息”、“数据来源”、“攻击信息”、受影响的用户等信息，以及该告警的处理状态。

本节介绍如何修改拦截返回页面。当访问者触发WAF拦截时，默认返回WAF“系统默认”的拦截返回页面，您也可以根据自己的需要，配置“自定义”或者“重定向”的拦截返回页面。 前提条件 已添加防护网站。 约束条件 “自定义”的拦截返回页面支持配置text/html、text/xml和application/json三种页面类型的页面内容。 “重定向”地址的根域名必须和当前被防护的域名（包括泛域名）保持一致。例如，被防护的域名为www.example.com，端口为8080，则重定向URL可设置为“ 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域或项目。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。 步骤5 在目标网站所在行的“域名”列中，单击目标网站，进入网站基本信息页面。 步骤6 在“告警页面”所在行的页面模板名称后，单击编辑按钮，在弹出的“告警页面”对话框中，选择“页面模板”进行配置。 “页面模板”选择“系统默认”时，默认返回WAF内置的HTTP返回码为418的拦截页面。 “页面模板”选择“自定义”时，如图所示。 HTTP返回码：自定义页面配置的返回码。 页面类型：可选择text/html、text/xml和application/json三种类型。 页面内容：根据选择的“页面类型”配置对应的页面内容。 “页面模板”选择“重定向”时，根据界面提示配置重定向URL。 重定向URL的根域名必须和当前被防护的域名（包括泛域名）保持一致。例如，被防护的域名为www.example.com，端口为8080，则重定向URL可设置为“ 步骤7 单击“确定”，告警页面配置成功。

本文介绍CDN内容审核增值服务的计费规则、开通方式、违规内容的评定规则。 重要说明 当前天翼云支持CDN内容审核，该功能是CDN加速产品的一项增值服务，基于天翼云计算AI平台，能对加速内容进行快速智能检测。开通CDN内容审核功能后，系统会自动智能检测经过CDN加速的内容是否涉黄、涉暴恐，鉴定为违规内容的URL将会被记录下来供客户导出，同时支持对违规内容做封禁，实现“净网分发”。 计费规则 CDN内容审核的标准资费为1.3元/千张。 注意事项 目前内容审核主要针对图片是否涉黄、涉暴恐进行鉴定。 CDN内容审核为打分制，每一张审核图片均有一个01的分值。分值越大则越可能是违规内容，分值越低则证明内容越安全。内容审核结果按照分值大小，分为确定部分和不确定部分。确定部分是指确定为违规部分和确定为正常部分的内容，一般分值在0.6以下或0.9以上，这部分一般无需人工干预，可直接基于审核结果对内容进行封禁或相关删除操作；不确定部分是指疑似违规图片，系统无法区分是否实际违规，建议用户进行人工二次确认。目前对于不确定部分，CDN内容审核不收取费用。 目前天翼云CDN加速产品的增值服务支持CDN内容审核，使用CDN内容审核增值服务需完成如下两个步骤： 1. 开通CDN内容审核服务。目前开通天翼云CDN加速业务时，CDN内容审核增值服务默认开通，详情请见：CDN内容审核开通。 2. 线下配置开启。如需使用，请提交工单给天翼云客服，由其人工操作开启。详情请见：CDN内容审核。 该功能目前仅支持中国内地开通使用，全球（不含中国内地）暂不支持。

本章节主要介绍云搜索服务的备份与恢复索引操作。 为避免数据丢失，您可以将集群的索引数据进行备份，当数据发生丢失或者想找回某一时间段数据时，您可以通过恢复索引操作快速获得数据。索引的备份是通过创建集群快照实现。第一次备份时，建议将所有索引数据进行备份。 说明 备份与恢复索引功能上线之前（即2018年3月10日之前）创建的集群，无法创建快照。 管理自动创建快照：自动创建快照指按照设置的规则，每天在指定时间自动创建快照。您可以开启自动创建功能、设置自动创建的策略、和关闭自动创建功能。 手动创建快照：在任意时间，您通过手动创建快照的方式，针对当时的数据或某几个索引创建快照进行备份。 恢复数据：将已有的快照，通过恢复快照功能，将备份的索引数据恢复到指定的集群中。 删除快照：对于已失效的快照，建议删除以释放存储资源。 说明 创建快照之前，您需要进行基础配置，包含存储快照的OBS桶、快照的备份路径及安全认证使用的IAM委托。 集群快照存储的OBS桶，在首次设置后，不管自动创建快照还是手动创建快照，如果快照列表中已有可用的快照，则OBS桶将无法再变更，请谨慎选择存储OBS桶。 如果OBS桶已经存储了快照，OBS无法变更，您可以使用这个方法修改：首先关闭快照功能，然后再开启快照功能，指定新的OBS桶。一旦关闭快照功能，之前创建的快照将无法用于恢复集群。 当集群处于“不可用”状态时，快照功能中，除了恢复快照功能外，其他快照信息或功能只能查看，无法进行编辑。 备份与恢复过程中，支持集群扩容、访问Kibana、查看监控、删除其他快照的操作。不支持重启此集群、删除此集群、删除正在创建或恢复的快照、再次创建或恢复快照的操作。补充说明，当此集群正在进行创建快照或者恢复快照时，此时，自动创建快照任务将被取消。

前期准备 构造请求 请求地址：{终端节点地址}+{对应接口URL}，详情查看构造请求； 终端节点地址： 对应接口URI：/v1/aiop/api/2z0yhhrzgv0g/tts/predict。 认证鉴权 认证鉴权详细版本，点击查看认证鉴权。 1.信息的获取 登录云网门户，在“控制台”>“账号中心”>“安全设置”>“用户AccessKey”点击“查看”获取。 2.基本签名流程 待签字符串：使用规范请求和其他信息创建待签字符串； 计算密钥：使用header、ctyuneopsk、ctyuneopak来创建hmac算法的密钥； 计算签名：使用第三步的密钥和待签字符串在通过hmacsha256来计算签名； 签名应用：将生成的签名信息作为请求消息头添加到HTTP请求中。 3.创建待签名字符串 待签名字符串需要进行签名的header排序后的组合列表+ "n" + 排序的query + "n" + toHex(sha256(原封的body))； 假设你需要将ctyuneoprequestid、eopdate、host都要签名，则待签名的header构造出来是：ctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n； 如果你加入一个ccad的header，同时这个header也需要进行签名，则待签名的header组合：ccad:123nctyuneoprequestid:123456789neopdate:20210531T100101Znhost:1.1.1.1:9080n。 4.构造动态密钥 发起请求时，需要构造一个eopdate的时间，这个时间的格式是yyyymmddTHHMMSSZ，言简意赅一些，就是年月日T时分秒Z； 先是用申请的ctyuneopsk作为密钥，eopdate作为数据，算出ktime； 用ktime作为密钥，申请的ctyuneopak作为数据，算出kAk； 用kAk作为密钥，eopdate的年月日值作为数据，算出kdate。 5.签名应用 由“构造动态密钥”和“创建待签名字符串”分别得出来的待签名字符串stringsigture、kdate生成出Signature； 得到EopAuthorization，然后将数据整合成header放在httpclient内，发出即可。

参数 是否必选 参数说明 名称 是 伸缩组的名称，用户可自定义，也可以选择保持系统默认分配名称。 最大实例数（台） 是 伸缩组内包含的实例数量的最大值，伸缩组内执行的任何伸缩活动结果不得大于最大实例数。 若您修改了伸缩组的最大实例数使得伸缩组的当前实例数大于最大实例数，弹性伸缩服务会自动移出实例，保证伸缩组的当前实例数等于最大实例数。 最小实例数（台） 是 伸缩组内包含的实例数量的最小值，伸缩组内执行的任何伸缩活动结果不得小于最小实例数。 若您修改了伸缩组的最小实例数使得伸缩组的当前实例数小于伸缩最小实例数时，弹性伸缩服务会自动添加实例，保证伸缩组的当前实例数等于伸缩最小实例数。 开启期望实例数 否 伸缩组内是否开启期望实例数配置。期望实例数是伸缩组内包含的实例数量的稳态值。 若您为伸缩组开启并设置了期望实例数，当伸缩组内实例数不等于期望实例数时，弹性伸缩服务会自动进行扩缩容，确保伸缩组内始终保持该数量的实例数。 虚拟私有云 是 同一伸缩组内的弹性云主机的虚拟私有云是一致的。 网卡 是 一个伸缩组可以绑定多张网卡，默认第一张网卡为主网卡。 多可用区扩容策略 是 多可用区资源池伸缩组需指定扩容策略。 均衡策略：在伸缩组绑定的伸缩配置关联多个可用区时生效，支持在多个可用区之间均衡分布云主机实例。 优先级策略：伸缩组绑定的伸缩配置先选择的可用区优先级高。弹性伸缩优先在优先级最高的可用区尝试伸缩活动。若无法扩进行伸缩活动，则自动在优先级次之的可用区进行。 添加已有云主机实例 否 伸缩组创建完成后，支持将符合条件的已有云主机实例移入伸缩组，作为初始化实例，最大可选择添加10个实例。添加已有的云主机实例数量受到最小、最大、期望实例数限制。 安全组 是 安全组类似防火墙功能，是一个逻辑上的分组，用于设置网络访问控制。 负载均衡 否 选择启用负载均衡后，伸缩组中的云主机会自动挂载到您关联的负载均衡下。当选择使用弹性负载均衡时，需配置4个参数：负载均衡器、主机组、后端端口和权重。 访问流量将按照分发策略自动分发到伸缩组内的所有弹性云主机。 注意：一个伸缩组可最多关联10个负载均衡监听器。 实例移除策略 是 在对伸缩组进行缩容时，会采用此策略进行移除，共有以下四种方式： 较早创建的配置较早创建的实例：先筛选出较早创建的配置所创建出的实例，再筛选较早创建的实例移出。 较晚创建的配置较晚创建的实例：先筛选出较晚创建的配置所创建出的实例，再筛选较晚创建的实例移出。 较早创建的实例：根据时间筛选较早创建的实例，跟是否是伸缩配置创建的无关。 较晚创建的实例：根据时间筛选较晚创建的实例，跟是否是伸缩配置创建的无关。 实例回收模式 是 指伸缩组自动创建的实例被移出后的处理策略。 释放模式：将移出的伸缩组自动创建的云主机释放。 注意：对于手动移入伸缩组的云主机，如果被移出伸缩组，资源不会被释放，状态保持不变，不适用此策略。 健康检查方式 是 健康检查会将处于“异常”状态的云主机从伸缩组中移出，并替换同种规格的云主机来承载业务流量。有以下两种方式： 云主机健康检查：是指对云主机的运行状态进行检查，如关机、错误等人为或非人为状态都是云主机异常状态。 弹性负载均衡健康检查：是指根据负载均衡对云主机的健康检查结果进行的检查。所有监听器下检测到的云主机状态必须均为正常。 不启用：关闭伸缩组健康检查，伸缩组不会获取实例健康状态信息。 注意：只有开启负载均衡时您才可以选择弹性负载均衡健康检查，建议当伸缩组开启负载均衡时，使用弹性负载均衡健康检查。 健康检查间隔 是 执行健康检查的周期时间。您可以根据业务实际情况设置合理的健康检查间隔（5分钟、 15分钟、 1小时、 3小时），以确保其包含主机中应用程序的预期启动时间。 企业项目 是 支持为伸缩组选择企业项目。

本页面主要介绍为主帐号创建子帐号，创建用户组，并为子帐号授权的操作说明及步骤。（适用于I类型资源池） 用户在天翼云注册后自动创建，该用户对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，为了确保账号安全，建议创建子用户来进行日常管理工作。 子用户的用户名、密码由拥有IAM权限的用户控制。子用户同样可以登录访问天翼云控制台，登录入口与主用户相同，受赋予的权限限制。 注意 本文仅适用于内蒙6、重庆2、拉萨3这些Ⅰ类型资源池配置主子账号以及相关权限，具体支持情况以控制台页面展示为准。更多资源池信息，请参见功能概览。Ⅱ类型资源池的子账号配置请参见主子账号使用手册Ⅱ类型资源池。 操作步骤 创建子帐号以及为该子帐号授权相关企业项目的步骤总体分为： 创建子账户并加入用户组 在企业项目中为用户组授权 创建子账户并加入用户组 为主帐号添加子帐号以及将子帐号加入到用户组，步骤如下： 1. 进入天翼云官网，通过主账号登录，登入后，右上角选择“我的”，点击“个人中心”，进入个人中心界面。 2. 在左侧导航栏点击“统一身份认证”，进入统一认证服务IAM。 3. 选择“用户”页签，点击右上角创建用户。 4. 填写子账号的相关信息，包含用户名、邮箱、手机号等，并设置密码。设置完成点击右下角下一步。 5. 如无用户组请先创建用户组，如有可点击添加，添加进该用户组之后，会自动显示在右侧“已选用户组”窗口。如后续从用户组删除该用户，可点击移除。 admin用户组为拥有所有操作权限的用户组，您可根据需要加入此用户组或者加入自定义创建的用户组。 6. 加入用户组后，点击右下角下一步，将会显示创建成功。点击返回用户列表，可以看到创建的子账户。

参数 / 配置项 迁移后的云主机 备注 MAC地址 目标端云主机的MAC MAC地址属于网卡固有属性，创建目标端云主机时候已经确定。 DNS 可能变化（概率大）· DNS配置文件参数与迁移源端一致。· 目标端子网的DNS配置会影响目标端主机的DNS解析。 迁移完成后，可以在目标端修改。 EIP 迁移后绑定的目标端EIP地址 磁盘、分区大小 配置目标端时所选的目标端云主机磁盘和分区大小 如果选择了磁盘分区调整，迁移后的磁盘和分区大小取决于配置目标端时候设置的大小。 磁盘名称 根据目标端虚拟化类型决定 一般不会影响业务。 磁盘、分区的UUID和PARTUUID 目标端会重新生成UUID和PARTUUID 只针对Linux文件级迁移。 Grub配置文件 会根据目标端启动盘或者boot分区的UUID修改grub相关启动配置文件 · BIOS启动的云主机需要安装grub，会修改/boot/grub目录下grub配置文件。· UEFI启动的云主机会修改/boot/efi/和/boot/grub目录下grub配置文件的UUID。 启动的initrd或initramfs 注入相关驱动 注入驱动保证目标端云主机在天翼云能正常启动。 X11的xorg.conf配置文件 目标端会更新/etc/X11/xorg.conf配置文件 该文件影响图形化界面和显示相关参数。原文件备份为/etc/X11/xorg.conf.bak。 SElinux安全配置 会生成/.autorelabel文件，目的是重新标记 只针对Redhat/Centos/Oracle系统。 Motd 会修改/etc/motd文件为空 默认不设置开机启动logo。 Fstab启动项 根据新目标端UUID和挂载情况重新生成fstab。 目标端旧的/etc/fstab启动记录会被注释。 Cloudinit 目标端会禁用Cloudinit /etc/cloud/cloud.cfg文件会被删除。 网卡配置 删除/etc/udev/rules.d/目录下部分网络相关配置文件，根据不同系统备份并修改DHCP 修改网卡配置文件。比如：· Redhat/Centos/SUSE/Euleros等系统会修改ifcfgeth文件。· Debian/Ubuntu系统会修改yaml文件。

如果您需要对您所拥有的TMS进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的账号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用标签管理服务。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将TMS资源委托给更专业、高效的其他账号或者云服务，这些账号或者云服务可以根据权限进行代运维。 如果账号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用TMS服务的其它功能。 本章节为您介绍对用户授权的方法，操作流程如下图所示。 前提条件 给用户组授权之前，请您了解用户组可以添加的TMS权限，并结合实际需求进行选择，TMS支持的系统权限，请参见：TMS权限。若您需要对除TMS之外的其它服务授权，IAM支持服务的所有权限请参见系统权限。 示例流程 图给用户授权TMS权限流程 1. 创建用户组并授权 在IAM控制台创建用户组，授予标签管理服务只读权限“TMS ReadOnlyAccess”。 2. 创建用户并加入用户组 在IAM控制台创建用户，将其加入步骤1中创建的用户组。 3. 用户登录并验证权限 新创建的用户登录控制台，验证权限： 在“服务列表”中选择标签管理服务 TMS，进入标签管理服务界面，单击左侧的“预定义标签”，进入“预定义标签”页面，可以在预定义标签列表查看已存在的预定义标签，然后单击右上角的“创建标签”，尝试创建预定义标签，如果无法创建预定义标签（假设当前权限仅包含TMS ReadOnlyAccess），表示“TMS ReadOnlyAccess”已生效。 在“服务列表”中选择除标签管理服务外（假设当前权限仅包含TMS ReadOnlyAccess）的任一服务，若提示权限不足，表示“TMS ReadOnlyAccess”已生效。