内容审核是天翼云自主研发的具有文本、图片等多媒体风险识别与拦截的审核能力，对网络中产生的文本、图片内容进行涉黄、涉政、涉暴恐等敏感内容进行识别，帮助用户控制业务的违规风险，并大幅降低人工审核的人力成本。用户订购文本审核和图片审核产品后，无需进行模型开发，仅需API接口对接，即可便捷、高效、准确地对文本和图片内容进行风险识别，大幅减少网络、云存储中出现的违法违规内容。 本说明提供了内容安全产品API的描述、语法、参数说明及示例等内容。

虚拟私有云支持单个ECS对外提供服务,本文带您快速了解通过单个ECS对外提供服务。 单个弹性云主机对外提供服务 如果您要在VPC中的单个弹性云主机实例上提供对外服务，您可申请一个弹性IP，绑定到弹性主机上，该弹性云主机即可连接公网提供服务。具体操作步骤如下： 1. 创建和配置弹性云主机实例：在天翼云管理控制台中创建弹性云主机实例，并选择合适的实例规格、操作系统和网络配置。确保为实例分配弹性IP（EIP）以使其能够与外部网络通信。 2. 配置安全组：安全组是一种虚拟防火墙，用于控制进出弹性云主机实例的流量。为该弹性云主机实例创建一个安全组，并根据应用程序的需求配置入站和出站规则。 3. 配置网络 ACL：ACL也可用于控制子网与外部网络之间的流量。确保对应的子网具有适当的入站和出站规则，以允许外部网络访问该实例提供的服务。 4. 配置路由策略：为了使外部网络能够访问该弹性云主机实例，需要相应的路由配置。 5. 配置DNS解析：将您使用的域名绑定到弹性云主机实例的弹性IP地址上，以便用户可以使用易记的域名访问您提供的服务。 通过弹性负载均衡进行流量分发 对于社交媒体热点事件、电商促销活动等高并发访问的场景，您可以通过弹性负载均衡ELB将访问流量均衡分发到多台弹性云主机上，能够应对大量用户同时访问的需求。天翼云弹性负载均衡无缝集成了弹性伸缩服务，能够根据业务流量自动扩容，保证业务稳定可靠。

边缘安全加速平台—安全与加速服务的计费项有哪些？ 边缘安全加速平台安全与加速计费由三个部分构成：基础套餐+套餐外超量费用+扩展服务。 基础套餐（必选）：您可以根据需求，购买不同规格套餐获得相应标准的安全与加速服务，具体请见安全与加速基础套餐资费。 套餐外超量费用（超量计费）：如果套餐内流量/带宽等用尽，可订购资源包或者开通按需，具体计费请参考安全与加速套餐超出资费。 扩展服务（可选）：如果套餐内包含的能力不能满足您的需求，如需要增加域名数等，您可以选择订购扩展服务，具体计费请参考安全与加速扩展服务资费。 如何申请免费试用边缘安全加速平台？ 边缘安全加速平台暂时不支持官网自助开通试用，如果您需要开通试用，请通过提交工单给天翼云客服，天翼云技术支持将会为您开通。 如何关闭边缘安全加速平台安全与加速服务或停止计费？ 开通边缘安全加速平台安全与加速服务后，只要不添加域名，就不会产生计费。 如果您已经添加了域名，您可以登录边缘安全加速控制台，进入接入管理域名接入域名管理页面，可参考以下方式停止计费： 停用域名：对域名进行停用操作后，天翼云接入层CNAME将立刻解析至不可访问地址。请参见停用域名。 删除域名：删除按钮只能在域名状态为“已停止”时可见，请参见删除域名。

使用限制条款 合规落地措施 违规风险 公网ELB 和后端云主机在不同子网 部署时通过控制台校验：公网ELB 选择 “公共子网”，后端 ECS 选择 “业务子网” 流量可能绕开云防火墙，导致防护失效；单点故障时影响范围扩大 绑定EIP 的 ECS 与 NAT 访问的 ECS 在不同子网 1. 绑定 EIP 的 ECS 仅部署在 “公共子网”，NAT 访问的 ECS 仅部署在 “业务子网”； 2. 通过 VPC 路由表隔离：公共子网无指向 NAT 网关的路由，业务子网无直接指向互联网的路由 出访流量路径混乱，无法通过NAT 网关或云防火墙统一管控与审计 子网专项需求（NAT 子网 28 位、公共子网按需、2 个引流子网 28 位） 1. 子网创建时严格按规格配置，禁止随意扩大 / 缩小网段； 2. 通过子网名称规范化标识（如 “NATGWSubnet10.0.1.0/28”“GWLBEInboundSubnet10.10.0.0/28”） 子网地址耗尽；引流子网规格不匹配导致GWLBE 无法正常接收流量 安全产品单独在一个子网 1. 安全产品（如等保专区）仅部署在 “安全产品子网”； 2. 安全产品子网的安全组仅开放与云防火墙的通信端口，禁止其他子网直接访问 安全产品被业务流量干扰；安全产品自身被攻击风险升高

资产清点是否调用系统命令？ Agent不会去调用系统命令，而是执行Server端下发的lua脚本。 业务不在天翼云上，是否可以使用服务器安全卫士？ 因为服务器安全卫士只是部署在天翼云，不分资源池，所以任何只要能连通服务器安全卫士的服务端的域名和端口的主机和虚拟机都可以使用服务器安全卫士。 购买什么版本的服务器安全卫士能够满足等保二级的整改要求？ 您需要购买企业版或旗舰版才能满足等保二级及以上的认证，基础版的功能无法满足整改要求。 Agent是否和其他安全软件有冲突？ 因为不同安全软件在保护计算机系统和数据方面采用不同的方法和技术。且安全软件的权限都会比较高，在某些情况下可能会与其他安全软件如火绒、360等产生冲突。如果使用多种安全软件，确保它们互不干扰，例如在一个软件完成扫描后再使用另一个软件进行监测。 服务器安全卫士到期后不续费，对主机和业务有影响吗？ 因为服务器安全卫士部署只是在主机上安装一个Agent程序用来收集数据上传到服务端，不续费只是会让Agent失效，不会对主机和业务有影响，只是服务器安全卫士的防护会失效。 退订重购服务器安全卫士后，是否需要重新安装Agent与配置主机防护信息？ 退订重购服务器安全卫士后，因为控制台ID已改变，所以需要重新安装Agent，服务器安全卫士的配置都是默认配置好的，所以不需要再对主机防护信息进行配置。

本节介绍了如何获取服务返回的CNAME，并将域名或者业务的DNS解析指向天翼云提供的CNAME，这样访问的请求才能转发到边缘云节点上，达到安全防护效果。 要启用Web应用防火墙（边缘云）服务，需要您将接入域名的DNS解析指向我们提供的CNAME，这样域名的请求才能转发到天翼云边缘节点上。 操作步骤 1. 在控制台【域名管理】—【域名列表】复制域名对应的CNAME。 2. 前往您的域名解析(DNS)服务商(如万网、阿里云解析、DNSPod、新网、腾讯云解析、route 53、godaddy等)，添加该CNAME记录。以DNSPod操作界面为例，配置如下： 3. 验证服务是否生效。配置CNAME后，不同的服务商CNAME生效的时间也不同，一般新增的CNAME记录会立即生效，修改的CNAME记录会需要较长时间生效；您可以 ping 或 dig 您所添加的加速域名，如果被指向.ctdns.cn，即表示CNAME配置已经生效，功能也已生效。

本文为您介绍其他云平台云主机迁移至天翼云CTECS的介绍说明和相关操作。 介绍说明 CMS支持将您在不同环境如各云服务平台等云主机、IDC机房、本地虚拟机迁移至天翼云，通过CMS可以实现相应业务需求。 实现逻辑 CMS采用整机迁移的方式，进行业务系统的迁移工作，通过整机迁移保证了业务系统具有良好的兼容性，同时也避免繁琐的重新配置、重新部署工作。 采用标准的技术与规范化的接口与协议，保证系统各组成部分的协同一致，构建可兼容、易移植的系统平台。 数据压缩处理方式上，为了使现有ZIP压缩方式兼容更多的压缩文件类型，多样化地适用于更多迁移场景，平台根据ZIP的特性，制定了私有的压缩协议，同时做到压缩不落盘，将整个过程放在内存中处理，实现无损压缩同时提高压缩效率。 信创支持方面，CMS针对多种信创平台及信创系统组合做出了相应适配，完美兼容ARM架构下如麒麟、统信、OpenEuler此类系统。 针对各种虚拟化云平台适配，CMS采用重新托管的方式，将源平台的架构平行迁移至目标平台；迁移前，自动判断源主机的操作系统版本；最大程度支持主机应用调用第三方服务接口进行切换；针对阿里云、天翼云、腾讯云等多家云计算厂商跨云迁移场景，具有良好的兼容性。

轻量型云主机与云主机就具有以下几点区别 1. 轻量型云主机更适合轻量级、小型化服务及业务。而云主机可选择规格较多，覆盖业务场景更加广泛。 2. 轻量型云主机集成了计算、存储、网络三类资源进行售卖，在原本各个资源的价格上进行了最大折扣，在满足性能需求的前提下，更加经济，性价比更高。 3. 轻量型云主机在服务配置流程上做减法，操作简化，门槛更低，入门和使用更简单。集成天翼云云盘、镜像等产品能力，无需跳转产品页面，实现真正一站式管理，后续将配套应用镜像、应用管理、内网互通、安全防护等功能，全方位护航，助力用户快速搭建应用服务。 类型 弹性云主机 轻量型云主机 轻量型云主机优势 应用场景 覆盖全量应用： 网站和应用程序托管 企业应用和业务系统 数据分析和大数据处理 游戏服务器和多媒体应用 图形渲染及高性能应用 适用于较轻量的应用： 开发和测试环境 小型网站和博客 个人项目和学习 云图、网盘等 适用于轻量型负载业务 计费方式 包年包月、按需计费 用户需分别选择实例类型规格，云盘类型规格，并单独购买弹性公网IP 包年包月 提供基础型、进阶型、随心购的资源套餐。 购买简单，价格更优惠 管理方式 以弹性云主机服务控制台为中心，提供对于实例的管理及操作功能，用户还可分别前往云硬盘、网络、安全、备份等产品控制台对其余配套资源及服务进行管理和操作。 集成了计算、存储、网络资源控制台管理界面，实现一站式管理服务，用户通过轻量型云主机服务控制台，可完成对多方资源的管理及操作。 操作流程及方式更简单。

本页为您介绍WPS云文档天翼云版的应用场景 多部门 50 人以上，使用场景复杂，数据交互性强，有强存储、强管理需求，人员流动性也会影响客户对于“企业数据安全”的重视。举例：多部门的文件分级管理需求；文档管理权限与组织架构打通；离职员工文档 交接。 单一部门 50 人以下，使用场景鲜明、单一，根据部门/团队属性挖掘使用场景，重点输出产品的企业级价值。举例：财务部门数据处理高频且大量。对效率、安全十分重视。 部门文件共享 对部门团队及部门文档编辑、上传、共享，可实现共享查看、文件夹策略授权。 多地协作、多部门协作 针对多地办公、多部门协作，可通过文档在线协同编辑，满足高响应、保持同步的需求。 上下游单位文件往来 针对上下游单位大量文件往来，可通过团队共享、权限控制，既能保障文档快速共享，又能实现文档安全可控。 高频类文档快速处理 对部门的日报、周报类、记录、汇报、会议纪要、工作汇报等高频处理文档，通过文档的协同编辑、在线汇总、云端保存、外链分享的方式，进行快速处理，及时方便领导查看及处理。 备份所有文档 针对勒索病毒、实现个人及部门文档批量上传备份同步，并通过文档增量备份,实现冗余文档梳理，有效文档存储空间 10:1 压缩。 文档安全管控 针对安全文件设置的繁琐密码难以记住的问题，通过文档账号加密和文档权限管控有效解决，不用记繁多的密码。

天翼云为您提供云间高速(标准版)产品服务协议,请您点击查看。 天翼云云间高速（标准版）服务协议

云硬盘支持加密功能,可确保数据安全,以防用户隐私数据泄露。 什么是云硬盘加密？ 当您的业务因为等保合规或安全要求等原因，需要对存储在云硬盘上的数据进行加密保护时，您可以在创建云硬盘时勾选加密选项，即可对新创建的云硬盘进行加密。 密钥管理 天翼云使用行业标准的AES256 算法，利用数据密钥加密您的云硬盘数据，加密云硬盘使用的密钥由天翼云自研密钥管理（KMS，Key Management Service）功能提供，用户可轻松创建并管理密钥，满足数据加解密及数字签名验签等需求，安全便捷。 KMS通过使用硬件安全模块HSM（Hardware Security Module）保护密钥的安全，所有的用户密钥都由HSM中的根密钥保护，避免密钥泄露。密钥管理可以轻松满足对小数据和大量数据的加解密。 工作原理 服务端加密支持选择默认密钥及用户自行创建的用户主密钥，具体可选择的密钥类型如下。 密钥创建者 密钥类型 密钥算法 服务版本 云产品 默认密钥 AES256（默认） 按需版&包周期版 用户自行创建 用户主密钥软件 AES256 按需版 用户自行创建 用户主密钥硬件 AES256 SM4 按需版 在了解云硬盘加密工作原理之前，首先需要了解两个概念： 默认密钥 系统为云产品自动创建的用于服务端加密的默认密钥，默认密钥与云产品对应，每个天翼云账号下的每个云产品，在每个资源支持创建1个默认密钥。 默认密钥的别名定义为alias ，例如aliasecs。 默认密钥的密钥材料由KMS生成，不支持导入外部密钥材料，同时不支持自动轮转、启用/禁用、删除等操作。 用户主密钥 用户主密钥云产品加密时，可选用户在KMS服务中自建的用户主密钥，密钥类型为对称密钥，算法支持AES256、SM4，保护级别可选软件保护、硬件保护。 用户主密钥按照KMS按需及包周期版的服务标准资费进行计费，请您确保账户余额充足、到期前及时续费，避免KMS服务冻结，冻结后云产品无法进行正常的加解密操作，云产品可能会出现异常。 用户主密钥支持计划删除，操作计划删除前请确保该密钥非云产品加密使用的密钥，避免误删除导致云产品无法正常加解密而出现异常。为避免误删，您可以为密钥开启删除保护功能。 注意 当前云硬盘加密仅支持选择按需版本中的自建用户主密钥，当前包周期版本中的用户主密钥暂不支持做云硬盘加密使用。 若您为2024年9月10日之后购买了KMS包周期服务，您可选择使用默认密钥进行云产品加密。 第一次使用加密云硬盘时，系统会自动创建一个用户主密钥（CMK），该密钥有且仅有一个，且是在KMS中的相应地域所创建，并将其存储在受严格的物理和逻辑安全控制保护的密钥管理服务上。查看如何通过KMS实现服务端加密。 每个地域的加密云硬盘，都需要通过256位数据密钥（DEK）进行加密，此数据密钥（DEK）具备地域唯一性，即每个地域都有且仅有一个。该密钥受 KMS 提供的密钥管理基础设施的保护，能有效防止未经授权的访问。云硬盘的数据密钥（DEK）仅在实例所在的宿主机的内存中使用，不会以明文形式存储在任何持久化介质（即使是云硬盘本身）上。 在创建加密云硬盘并将其挂载到实例后，以下数据都将关联此密钥并进行加密： 云硬盘中的静态数据 云硬盘和实例间传输的数据（实例操作系统内的数据不加密） 通过加密云硬盘创建的快照

云硬盘支持加密功能,可确保数据安全,以防用户隐私数据泄露。 什么是云硬盘加密？ 当您的业务因为等保合规或安全要求等原因，需要对存储在云硬盘上的数据进行加密保护时，您可以在创建云硬盘时勾选加密选项，即可对新创建的云硬盘进行加密。 密钥管理 天翼云使用行业标准的AES256 算法，利用数据密钥加密您的云硬盘数据，加密云硬盘使用的密钥由天翼云自研密钥管理（KMS，Key Management Service）功能提供，用户可轻松创建并管理密钥，满足数据加解密及数字签名验签等需求，安全便捷。 KMS通过使用硬件安全模块HSM（Hardware Security Module）保护密钥的安全，所有的用户密钥都由HSM中的根密钥保护，避免密钥泄露。密钥管理可以轻松满足对小数据和大量数据的加解密。 工作原理 服务端加密支持选择默认密钥及用户自行创建的用户主密钥，具体可选择的密钥类型如下。 密钥创建者 密钥类型 密钥算法 服务版本 云产品 默认密钥 AES256（默认） 按需版&包周期版 用户自行创建 用户主密钥软件 AES256 按需版 用户自行创建 用户主密钥硬件 AES256 SM4 按需版 在了解云硬盘加密工作原理之前，首先需要了解两个概念： 默认密钥 系统为云产品自动创建的用于服务端加密的默认密钥，默认密钥与云产品对应，每个天翼云账号下的每个云产品，在每个资源支持创建1个默认密钥。 默认密钥的别名定义为alias ，例如aliasecs。 默认密钥的密钥材料由KMS生成，不支持导入外部密钥材料，同时不支持自动轮转、启用/禁用、删除等操作。 用户主密钥 用户主密钥云产品加密时，可选用户在KMS服务中自建的用户主密钥，密钥类型为对称密钥，算法支持AES256、SM4，保护级别可选软件保护、硬件保护。 用户主密钥按照KMS按需及包周期版的服务标准资费进行计费，请您确保账户余额充足、到期前及时续费，避免KMS服务冻结，冻结后云产品无法进行正常的加解密操作，云产品可能会出现异常。 用户主密钥支持计划删除，操作计划删除前请确保该密钥非云产品加密使用的密钥，避免误删除导致云产品无法正常加解密而出现异常。为避免误删，您可以为密钥开启删除保护功能。 注意 当前云硬盘加密仅支持选择按需版本中的自建用户主密钥，当前包周期版本中的用户主密钥暂不支持做云硬盘加密使用。 若您为2024年9月10日之后购买了KMS包周期服务，您可选择使用默认密钥进行云产品加密。 第一次使用加密云硬盘时，系统会自动创建一个用户主密钥（CMK），该密钥有且仅有一个，且是在KMS中的相应地域所创建，并将其存储在受严格的物理和逻辑安全控制保护的密钥管理服务上。查看如何通过KMS实现服务端加密。 每个地域的加密云硬盘，都需要通过256位数据密钥（DEK）进行加密，此数据密钥（DEK）具备地域唯一性，即每个地域都有且仅有一个。该密钥受 KMS 提供的密钥管理基础设施的保护，能有效防止未经授权的访问。云硬盘的数据密钥（DEK）仅在实例所在的宿主机的内存中使用，不会以明文形式存储在任何持久化介质（即使是云硬盘本身）上。 在创建加密云硬盘并将其挂载到实例后，以下数据都将关联此密钥并进行加密： 云硬盘中的静态数据 云硬盘和实例间传输的数据（实例操作系统内的数据不加密） 通过加密云硬盘创建的快照

操作场景 购买了WAF（WEB应用防火墙）实例后，可为相应的HTTP/HTTPS监听器开启安全防护（以下安全防护和WAF防护同义）。对进入监听器的应用层流量进行检测，用户可根据自身应用需求设置相应的规则，如拦截、观察等。WEB应用防火墙的详细信息可参考WEB应用防火墙。 操作须知（限制/说明） 该功能当前处于试用阶段，如需试用可以通过天翼云控制台提工单进行申请。 当前只有集群模式的资源池支持 HTTP/HTTPS监听器开启WAF防护，主备模式资源池不支持，主备、集群模式资源池列表见 产品简介​>产品类型和规格, 实际情况以控制台展现为准。 用户已购买了WEB应用防火墙。 用户的负载均衡实例为性能保障型，不支持经典型开启安全防护。 只支持HTTP/HTTPS监听器开启安全防护。 WEB应用防火墙不参与流量的转发，证书配置能力不启用，负载均衡器将解密后的信息直接给WEB应用防火墙，WEB应用防火墙检测完成后直接回给负载均衡器，WEB应用防火墙不执行解密/回源等动作。 负载均衡开启安全防护后，负载均衡的黑白名单仍然生效。 计费说明 监听器支持安全防护功能不额外收取费用，用户需要购买负载均衡器和WEB应用防火墙，这两个产品单独计费。

定期的网络安全自我检测、评估 配备漏洞扫描系统，网络管理人员可以定期进行网络安全检测服务，安全检测可帮助客户最大可能地消除安全隐患，尽可能早地发现安全漏洞并进行修补，有效地利用已有系统，优化资源，提高网络运行效率。 网络建设和网络改造前后的安全规划评估和成效检验 网络建设者必须建立整体安全规划，以统领全局，高屋建瓴。在可以容忍的风险级别和可以接受的成本之间，取得恰当的平衡，在多种多样的安全产品和技术之间做出取舍。配备网络漏洞扫描/网络评估系统可以让您很方便地进行安全规划评估和成效检验。 网络承担重要任务前的安全性测试 网络承担重要任务前应该多采取主动防止出现事故的安全措施，从技术上和管理上加强对网络安全和信息安全的重视，形成立体防护，由被动修补变成主动的防范，最终把出现事故的概率降到最低。配备网络漏洞扫描/网络评估系统可以让您很方便地进行安全性测试。 满足合规性需求（网络安全法、等保） 定期开展漏洞扫描发现主机风险，主动防御风险也是公安局主推的等保要求以及网络安全法要求中的合规要求，其主要目的是：消除与降低安全隐患、周期性地评估和加固工作相结合，尽可能避免安全风险的发生。

本文介绍了虚拟私有云的权限内容。 如果您需要对天翼云上创建的VPC资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制天翼云资源的访问。 通过IAM，您可以在天翼云账号中给员工创建IAM用户，并授权来控制员工对天翼云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望员工拥有VPC的使用权限，但是不希望员工拥有删除VPC等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用VPC，但是不允许删除VPC的权限，控制员工对VPC资源的使用范围。 如果天翼云账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可忽略本章节，不影响您使用VPC服务的其他功能。 VPC权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 VPC部署时通过物理区域划分。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问VPC时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于天翼云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对VPC服务，管理员能够控制IAM用户仅能对某一类网络资源进行指定的管理操作。 下表是VPC的所有系统权限。 策略名称 描述 策略类别 依赖关系 VPC FullAccess 虚拟私有云的所有执行权限。 系统策略 如果您需要使用VPC流日志功能，则依赖云日志服务的只读权限LTS ReadOnlyAccess。 VPC ReadOnlyAccess 虚拟私有云的只读权限。 系统策略 无 VPC Administrator 虚拟私有云的大部分操作权限，不包括创建、修改、删除、查看安全组以及安全组规则。 拥有该权限的用户必须同时拥有Tenant Guest权限。 系统角色 依赖Tenant Guest策略，在同项目中勾选依赖的策略。 下表是VPC常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 操作 VPC ReadOnlyAccess VPC Administrator VPC FullAccess 创建VPC × √ √ 修改VPC × √ √ 删除VPC × √ √ 查看VPC √ √ √ 创建子网 × √ √ 查看子网 √ √ √ 修改子网 × √ √ 删除子网 × √ √ 创建安全组 × × √ 查看安全组 √ × √ 修改安全组 × × √ 删除安全组 × × √ 添加安全组规则 × × √ 查看安全组规则 √ × √ 修改安全组规则 × × √ 删除安全组规则 × × √ 创建网络ACL × √ √ 查看网络ACL √ √ √ 修改网络ACL × √ √ 删除网络ACL × √ √ 添加网络ACL规则 × √ √ 修改网络ACL规则 × √ √ 删除网络ACL规则 × √ √ 创建对等连接 × √ √ 修改对等连接 × √ √ 删除对等连接 × √ √ 查询对等连接 √ √ √ 接受对等连接 × √ √ 拒绝对等连接 × √ √ 创建路由表 × √ √ 删除路由表 × √ √ 修改路由表 × √ √ 将路由表关联至子网 × √ √ 添加路由 × √ √ 修改路由 × √ √ 删除路由 × √ √ 创建VPC流日志 × √ √ 查看VPC流日志 √ √ √ 开启/关闭VPC流日志 × √ √ 删除VPC流日志 × √ √ 创建IP地址组 × √ √ 将IP地址组关联至资源 × √ √ 将IP地址组和资源解除关联 × √ √ 在IP地址组内添加IP地址条目 × √ √ 删除IP地址组内的IP地址条目 × √ √ 修改IP地址组 × √ √ 删除IP地址组 × √ √ 说明 对于企业项目用户，您可以对属于该企业项目的资源进行权限范围内的操作。

天翼云为您提供云间高速(标准版)产品服务等级协议,请您点击查看。 天翼云云间高速（标准版）服务等级协议

本节介绍云安全中心关于等级保护测评解读。 云安全中心产品符合等级保护2.0标准体系主要标准。根据《网络安全等级保护基本要求》（GB/T 222392019），云安全中心满足第三级及以下安全要求： 等保标准章节 等保标准序号 云安全中心对应功能 功能解读 安全区域边界边界防护 8.1.3.1 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。同时能够对非授权设备私自联到内部网络的行为进行检查，通过处置功能实现对相关访问进行限制。 安全区域边界访问控制 8.1.3.2 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。同时能够对非授权设备私自联到内部网络的行为进行检查，通过处置功能实现对相关访问进行限制。 安全区域边界入侵防范 8.1.3.3 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，可在关键网络节点处检测、防止或限制从外部/内部发起的网络攻击行为，并对这些攻击行为进行分析、记录以及提供报警。 安全区域边界恶意代码和垃圾邮件防范 8.1.3.4 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，可在关键网络节点处对恶意代码进行检测、分析，并通过处置功能实现对相关机器访问进行限制。 安全区域边界安全审计 8.1.3.5 插件管理、威胁运营 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，可以在网络边界以及重要网络节点进行安全审计，记录包括相关告警事件的日期和时间、用户、告警类型、告警是否成功及其他与审计相关的信息，通过威胁运营，能将单独用户行为审计和数据分析。 安全计算环境安全审计 8.1.4.3 插件管理、威胁运营 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，可以在网络边界以及重要网络节点进行安全审计，记录包括相关告警事件的日期和时间、用户、告警类型、告警是否成功及其他与审计相关的信息。云安全中心日志通过多副本实时存储多分，保障用户日志在其存储周期内不丢失、可恢复。 安全计算环境入侵防范 8.1.4.4 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞，同时应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。 安全计算环境恶意代码防范 8.1.4.5 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，能够及时采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为。通过处置功能将其有效阻断。 安全区域边界集中管控 8.1.5.4 插件管理、威胁运营、编排响应 云安全中心通过获取WAF、防火墙以及安全卫士等日志数据，以及不同安全设备的处置集成，实现对分布在网络中的安全设备或安全组件进行管控。 通过内网建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理。 形成对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测。 通过实时的日志采集，对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求。 同时在应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理。 通过编排响应能对网络中发生的各类安全告警进行识别、报警和分析。

本文介绍弹性文件服务安全监控告警方面的内容。 云监控服务是天翼云针对云网资源的一项监控服务，弹性文件通过云监控服务提供监控和告警能力。通过查看文件系统的监控数据，您可以了解到文件系统的使用情况。通过设置告警规则可以监控文件系统实例异常情况，保障业务正常进行。 关于弹性文件服务支持的监控指标，以及如何创建监控告警规则等内容，请参见监控。

本文简述HSTS功能和配置方法。 功能介绍 HSTS（HTTP Strict Transport Security，HTTP 严格传输安全），是一种网站用来声明他们只能使用安全连接（HTTPS）访问的方法。网站可通过声明HSTS，来强制客户端（如浏览器）只能使用HTTPS与服务器连接，拒绝所有的HTTP连接并阻止用户接受不安全的SSL证书，降低第一次访问请求被拦截的风险。 例如： 未启用HSTS时，当您的域名在边缘安全加速平台安全与加速服务配置HTTPS时，在浏览器中输入HTTP协议的URL，用户访问到天翼云边缘节点时，如果配置了HTTP强制跳转HTTPS的功能，边缘节点会将该HTTP请求强制跳转到HTTPS，如果用户首次以HTTP协议访问边缘节点，HTTP请求可能会被拦截或者篡改，存在安全隐患。 启用HSTS后，当您的域名在边缘安全加速平台安全与加速服务配置HTTPS时，在浏览器中输入HTTP协议的URL，用户访问到天翼云边缘节点时，如果配置了HTTP强制跳转HTTPS的功能，边缘节点节点会将该HTTP请求强制跳转到HTTPS，此时边缘节点会响应一个强制HSTS的头给客户端，告诉客户端只能使用HTTPS协议访问边缘节点，此后浏览器将直接使用HTTPS协议访问边缘节点，不再需要HTTP协议强制跳转HTTPS协议了。 注意事项 配置HSTS功能前，请确保已成功配置HTTPS证书，操作方法请参见新增证书。 在HSTS生效前，可配置强制跳转功能，使用户首次以HTTP协议访问时，能够强制跳转到HTTPS协议发起访问。

12 隐私权保护 天翼云不收集客户在TeleDB数据库中存储的信息。为了更好地改进产品和服务，用户同意天翼云代理可以收集、维护、处理和使用客户在使用本产品过程中产生的诊断性、技术性、使用及相关信息， 包括但不限于定期搜集系统日志、独特的系统或硬件识别码（“诊断信息”）。为便于本公司和第三方开发商改善其设计配合本产品使用的产品、硬件和服务，本公司并可向任何此类伙伴或第三方开发商提供与该伙伴或第三方开发商的产品、硬件和/或服务有关的诊断信息子集。如根据有关法律法规的规定导致天翼云不得再按照上述方式处理诊断信息，天翼云将按照有关法律法规的规定变更数据处理方式，并将通过满足法律法规的要求且在商业上合理的方式通知您，并获得您的同意。 13 免责与责任限制 1. 本产品经过详细的测试，但不能保证与提供的技术清单外的，所有的软硬件系统完全兼容，不能保证本产品完全没有错误。 2. 使用本产品风险由用户自行承担，在适用法律允许的最大范围内，对因使用或不能使用本产品所产生的损害及风险，包括但不限于直接或间接的数据丢失、个人损害、商业赢利的丧失、贸易中断、商业信息的丢失或任何其它经济损失，本公司不承担任何责任。 3. 对于因电信系统或互联网网络故障、计算机故障或病毒、信息损坏或丢失、计算机系统问题或其它任何不可抗力原因而产生损失，本公司不承担任何责任。 4. 用户违反本协议规定，对本公司造成损害的。本公司有权采取包括但不限于中断使用许可、停止提供服务、限制使用、法律追究等措施。 5. 对于从非本公司指定站点下载的本产品以及从非本公司发行的介质上获得的本产品，本公司无法保证该产品是否感染计算机病毒、是否隐藏有伪装的木马程序或者黑客产品，使用此类产品，将可能导致不可预测的风险，建议用户不要轻易下载、安装、使用，本公司不承担任何由此产生的任何法律责任。 6. 本《协议》所述明示担保，为担保的全部内容。在适用法律所允许的最大范围内，天翼云及其供应商提供的本“产品”和支持服务（如有）均为按现状及包含所有瑕疵状况下提供，不允诺其它不论是明示的、暗示的还是法定的任何保证和担保：包括但不限于本“产品”对特殊应用目的适销性或适应性，反应的精确性，结果的完整性，不含病毒及疏忽，针对本“产品”提供或不提供支持服务。

本节主要介绍IAM用户密码。 对于IAM用户，点击“访问控制”>“安全凭证”>“密码”，可以修改登录密码。 注意 只有具有更改密码权限用户的子用户才能进行更改密码。根用户的密码通过天翼云页面修改。

本节主要介绍物理机或其他公有云主机迁移至天翼云ECS 当需要实现物理机的上云迁移，把物理机迁移至天翼云ECS；或者把其他公有云主机迁移至天翼云ECS时，可以采用RDA主机迁移服务实现源端服务器到天翼云ECS的快速迁移。本章节主要介绍将物理机或其他公有云主机迁移至天翼云ECS的迁移场景和操作步骤。 测试资源准备 开通相关资源，建立迁移链路并测试连通性。获取迁移目的端所在账号的AK/SK。 RDA工具安装和配置 参考用户指南完成RDA工具的安装和配置。 待迁移主机添加配置 在RDA控制台完成源端主机资源添加，完成性能采集（可选）。 数据迁移 配置目的端，推送agent并创建启动迁移任务。在线迁移，增量同步。 割接校验 停止源端应用并进行最后一次增量迁移，完成后进行业务割接校验。

云日志服务（CTLTS，Log Tank Service）提供一站式日志采集、秒级搜索、海量存储、结构化处理、转储等功能，满足应用运维、网络日志分析、等保合规和运营分析等应用场景。 云日志服务简介 云日志服务（Log Tank Service，简称LTS），用于收集来自主机和云服务的日志数据，通过海量日志数据的分析与处理，可以将云服务和应用程序的可用性和性能最大化，为您提供实时、高效、安全的日志处理能力，帮助您快速高效地进行实时决策分析、设备运维管理、用户业务趋势分析等。 日志采集与分析 云日志服务可以采集主机和云服务的日志数据，采集日志后，日志数据可以在云日志控制台以简单有序的方式展示、方便快捷的方式进行查询，并且可以长期存储。对采集的日志数据，可以通过关键字查询、模糊查询等方式简单快速地进行查询，适用于日志实时数据分析、安全诊断与分析、运营与客服系统等，例如云服务的访问量、点击量等，通过日志数据分析，可以输出详细的运营数据。 云日志服务基本功能 实时采集日志 云日志服务提供实时日志采集功能，采集到的日志数据可以在云日志控制台以简单有序的方式展示、方便快捷的方式进行查询，并且可以长期存储。 采集到日志数据按照结构化和非结构化进行分析。结构化日志是通过规则将日志流中的日志进行处理，提取出来有固定格式或者相似度高的日志内容做结构化的分类。

视频 云服务名称 区域 控制台 OpenAPI 系统策略 云服务名称 区域 支持IAM 支持企业项目 支持IAM 支持企业项目 系统策略 媒体存储 全局 是 否 是 否 有 安全及管理 云服务名称 区域 控制台 OpenAPI 系统策略 云服务名称 区域 支持IAM 支持企业项目 支持IAM 支持企业项目 系统策略 服务器安全卫士（原生版） 全局 是 是 是 否 有 Web应用防火墙 全局 是 是 是 否 有 云审计 全局 是 不涉及 是 否 有 云防火墙（原生版） 全局 是 是 是 否 有 云安全中心 全局 否 否 否 否 无 云等保专区 全局 是 是 否 否 有 密钥管理 全局 是 是 是 是 有 云堡垒机（原生版） 资源池 是 是 否 否 有 云密评专区 全局 是 是 是 是 有 数据库审计 全局 是 是 是 否 有 日志审计（原生版） 全局 是 是 否 否 有 证书管理服务 全局 是 是 是 是 有 数据安全专区 全局 是 是 否 否 有

公共命令是由天翼云提供给所有用户使用的云助手命令,适用于软件的安装或卸载、实例状态诊断等场景。本文为您介绍如何查看和执行云助手公共命令。 背景信息 公共命令是天翼云创建的云助手命令，对所有天翼云用户可见。通常包含一些比较复杂的服务器配置、健康或安全检测、文件处理、系统补丁安装、更改系统配置的脚本。 相比较普通命令，公共命令的内容、发布以及升级会由天翼云统一负责维护。公共命令发布后，您可以直接查看命令的详细内容，并可以在弹性云主机或物理机实例上执行命令及查看执行进度和结果。使用公共命令，可以快速地完成某些复杂配置，很大程度提升您的操作和运维效率。 备注：天翼云创建的公共命令按需陆续更新。 操作步骤 1. 登录 弹性云主机控制台 或 物理机控制台 ，选择左侧导航栏中的运维工具。 2. 展开运维工具下云助手标签页，选择公共命令标签页，如下图所示： 3. 可以根据命令名称了解命令的主要功能，选择想要查看的公共命令，点击右侧更多>查看详情 可以查看命令的详细信息。 4. 选择需要执行的公共命令，点击执行命令。 5. 选择需要执行命令的实例，点击执行命令即可实现免登录执行命令，如下图所示：

操作场景 查看重保支持、可用性检查、服务月报等服务权益的交付信息、状态等。当服务单完成后，可下载相关的交付件并进行评价。 查看服务单 1、登录天翼云管理中心，点击支持支持计划，进入“我的服务单”页面。 服务单列表展示了客户已申请的重保支持及天翼云交付的可用性检查、服务月报的所有服务单信息。 2、在服务单的“操作”栏点击“查看”，进入服务单的详情页面。 详情页面包含以下内容： 基础信息：服务单号、服务状态等。 服务权益专属信息：当前服务权益的个性化信息。 对于服务单的过程交付件，您可以在线“下载”。 评价服务单 1、登录天翼云管理中心，点击支持支持计划，进入“我的服务单”页面。 2、在状态为“已完成”的服务单的“操作”栏点击“评价”，进入服务单的评价页面。 在“服务评价”区域对各服务维度打星。 服务维度包括：响应速度、交付物质量。

自2021年11月11日起，新版云间高速服务协议生效，详情请参见这里。 天翼云云间高速服务协议 历史版本（20201111）

本节为您介绍迁移前的准备工作，包括账号注册认证、账户余额确认、迁移网络打通等。 使用或注册天翼云账号，并完成实名认证。 1. 打开天翼云门户网站，单击“免费注册”。 2. 在注册页面，请填写“邮箱地址”、“登录密码”、“手机号码”，并点击“同意协议并提交” 按钮，如1分钟内手机未收到验证码，请再次点击“免费获取短信验证码”按钮； 3. 注册成功后，可到邮箱激活您的账号，即可体验天翼云。 如需实名认证，请参考会员服务实名认证。 帐号余额不少于100元，避免迁移过程中欠费，导致迁移失败。主机迁移服务本身免费，但迁移过程中会创建按量付费资源并产生少量费用。具体请参见计费说明。 用户开通并使用CMSSMS服务。 1. 使用您的天翼云账号完成登录。 2. 在云迁移产品主页，单击“立即开通”按钮进入控制中心。 3. 在控制台选择您目标机资源所在区域，此处示例我们选择的是福州3。 确认迁移源是否满足操作系统要求。 需对CMSSMS迁移服务支持迁移的迁移源操作系统做确认，具体请见兼容性列表。 迁移网络打通。 迁移源 源机需要正常访问公网，访问CMSSMS控制台，注意安全组出方向放通情况，建议出方向安全组不限制； 若使用专线或VPN，需提前购买和配置正确的专线或VPN。 目标机 系统需要开放TCP的8000端口、8001端口。 若使用弹性IP连接，目标机需要提前购买和配置正确的EIP； 说明 目标机安全组放通8000、8001端口，其中8000端口建议指定为迁移源IP，避免端口脏数据注入，导致迁移失败，安全组开放端口与操作系统保持一致。

建议购买数据库的同时，购买对应的数据库安全服务。 数据库安全服务（Database Security Service，DBSS）是一个智能的数据库安全服务，基于机器学习机制和大数据分析技术，提供数据库审计，SQL注入攻击检测，风险操作识别等功能，保障云上数据库的安全。 建议使用DBSS来提供扩展的数据安全能力，详情请参考数据库安全服务。 优势 助力企业满足等保合规要求。 满足等保测评数据库审计需求。 满足国内外安全法案合规需求，提供满足数据安全标准（例如SarbanesOxley）的合规报告。 支持备份和恢复数据库审计日志，满足审计数据保存期限要求。 支持风险分布、会话统计、会话分布、SQL分布的实时监控能力。 提供风险行为和攻击行为实时告警能力，及时响应数据库攻击。 帮助您对内部违规和不正当操作进行定位追责，保障数据资产安全。 数据库安全审计采用数据库旁路部署方式，在不影响用户业务的提前下，可以对数据库进行灵活的审计。 基于数据库风险操作，监视数据库登录、操作类型（数据定义、数据操作和数据控制）和操作对象，有效对数据库进行审计。 从风险、会话、SQL注入等多个维度进行分析，帮助您及时了解数据库状况。 提供审计报表模板库，可以生成日报、周报或月报审计报表（可设置报表生成频率）。同时，支持发送报表生成的实时告警通知，帮助您及时获取审计报表。

虚拟IP 虚拟IP（Virtual IP Address，简称VIP）是一个未分配给真实弹性云主机网卡的IP地址。弹性云主机除了拥有私有IP地址外，还可以拥有虚拟IP地址，用户可以通过其中任意一个IP（私有IP/虚拟IP）访问此弹性云主机。同时，虚拟IP地址拥有私有IP地址同样的网络接入能力，包括VPC内二三层通信、VPC之间对等连接访问，以及弹性IP、VPN、云专线等网络接入。 您可以为多个主备部署的弹性云主机绑定同一个虚拟IP地址，然后为虚拟IP绑定一个弹性IP，搭配Keepalived，实现主服务器故障后，自动切换至备服务器，打造高可用容灾组网。 公网出入口管理 通过IPv4网关、IPv6网关进行公网出入口管理，弹性公网IP、共享带宽具备包周期、按需等多种灵活的计费方式，具备超大规格带宽能力，可以满足不同客户不同业务的公网访问需求。 云内互联互通 VPC内网络互通，VPC内的资源无论是云主机等计算服务，还是MySQL等数据库服务，均能实现内网相互联通。 通过内网DNS，客户还可以自定义内网域名，把域名解析到专有网络VPC内的云主机、负载均衡、对象存储等云资源，实现云资源在VPC内直接通过内网域名的互相访问。 云上云下互联互通，轻松实现混合云架构 天翼云支持云专线、VPN等多种方式实现云上私有网络和客户IDC的互联互通，进而轻松扩展实现混合云架构。支持云专线/VPN 高速网络打通云上和企业数据中心。云专线独占私有线路，高速，安全 ； VPN稳定，高性价比。用户业务和数据可以云上、线下灵活部署并迁移。

本文介绍边缘安全加速平台的产品优势。 随着全球在线业务的发展，企业拓展业务的趋势日益增长，这也为用户体验和数据资产安全带来了更为复杂的挑战。 AOne边缘安全加速平台提供了加速、计算和安全为一体的服务，为您的业务运营提供全方位的保障。 极致的加速体验 优质的资源覆盖： CN2 和 163 互备支撑，所有节点和 IDC 出口并行，避免峰值带宽拥堵。 智能高效：智能分离站点内容，实现网络智能加速。 传输优化：基于先进的内核技术及自研的私有协议，大幅提升传输效率。 多业务加速：支持 http / https 协议加速、上传加速、websocket 加速、IPv6 升级等。 37层一体化防护 DDoS 防护：提供分布式DDoS攻击清洗，超百G节点大区粒度覆盖，防护总带宽超过12T。结合云原生、智能调度能力，实现资源动态扩容，攻击调度，满足用户三网防护需求，保障业务可用性。 Web 安全防护：基于 AI+ 规则的 Web 攻击识别，有效防御 SQL 注入、XSS 跨站脚本攻击等 OWASP TOP 10的关键 Web 风险。 Bot管理：基于已知Bot情报、精准访问控制、客户端特性识别、人机交互验证、机器学习等智能识别与检测技术，对业务流量进行实时检测和分析，智能识别并区分真实用户流量与各类Bot流量。 API 安全防护：基于安全可靠的接入认证方式，保证 API 访问安全。 持续认证动态评估：持续认证过程引入RBAC（基于角色的访问控制）与ABAC（基于属性的访问控制）鉴权体系，能根据角色及用户属性、环境属性、资源属性等综合授予用户访问权限。 全链路HTTPS：支持全链路HTTPS安全传输方案，防劫持防篡改，保护数据安全。 基于全网的HTTPDNS防劫持：支持用户通过HTTPDNS协议访问天翼云服务器，绕过运营商的LocalDNS解析，避免域名在解析阶段被劫持。 全周期安全保护：基于可信授权、最小授权、持续认证、业务隐身、终端安全、应用安全、链路安全等核心能力，对访问过程进行持续的安全保护，实现在任意网络环境中安全访问企业资源。

本节介绍如何为下一代防火墙的网卡绑定虚拟IP。 前提条件 已为下一代防火墙资源绑定网卡。 绑定虚拟IP 1. 登录云等保专区控制台。 2. 在左侧导航栏，选择“下一代防火墙”，进入云等保专区的下一代防火墙资源页面。 3. 在目标资源的操作列，单击“更多 > 绑定虚拟IP”，为网卡绑定虚拟IP。 4. 弹出的“绑定虚拟IP”窗口中，在“选择网卡”下拉框中选择一个网卡，在下方列表中选择一个虚拟IP地址。 若没有可选的虚拟IP地址，单击“申请虚拟IP地址”，创建一个新的虚拟IP地址。 5. 选择完成后，单击“确定”，完成绑定。