参数名 说明 国密加密回源 国密算法，即国家商用密码算法，是由国家密码管理局认定和公布的密码算法标准及其应用规范。国密加密回源，即回源时的HTTPS协议采用国密加密算法。 国际加密回源 国际加密回源，即采用国际标准的密码算法回源，如果没有特殊配置，我们通常回源时使用的加密算法都是国际加密算法。 跟随客户端加密算法回源 若客户端使用国际加密算法接入CDN加速平台，则回源时也使用国际加密算法回源；若客户端使用国密加密算法接入CDN加速平台，则回源时也使用国密加密算法回源。

本节介绍服务器安全卫士（原生版）如何快速掌握服务器安全态势。 服务器安全卫士（原生版）是一个用于保障主机整体安全的安全服务，能实时监测主机中的风险并阻止非法入侵行为、一键核查漏洞及基线、全面识别主机中的信息资产，帮助您管理主机的安全状态。 查看风险统计数据 在左侧导航栏选择“安全概览”，进入安全概览界面，可查看已开启防护的服务器风险统计，包括最近7日待处理风险、防护状态、风险趋势和实时动态，帮助您实时了解云主机的安全状态和存在的安全风险。 风险统计 说明 最近7日待处理风险 您可以查看入侵检测、病毒文件、漏洞风险、安全基线、网页防篡改及对应的风险主机情况。 防护状态 您可以查看用户资产情况，包括主机总数、企业版防护、基础版防护、防护中、已关闭、已离线、未安装客户端的云主机台数。 风险趋势 您可以查看近7天、14天、30天的风险趋势图。 实时动态 您可以查看当前最新发现的风险事件详情。

本文带您了解如何查看正在告警记录。 操作场景 正在告警可以展示当前处于告警状态的记录，帮助您快速定位当前正在告警的资源。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“告警服务”下“告警记录”，默认进入“正在告警”界面。 说明 界面默认展示当前处于告警中的告警记录，如果告警已经恢复，会归档到”历史告警“页签下。

本文介绍CDN域名操作日志页面信息。 功能介绍 域名操作日志，是用于跟踪和记录由客户操作发起的域名新增及域名配置变更任务信息，方便跟进操作的进度以及追溯操作历史，辅助管理客户业务。当您在域名管理操作中，新增域名或对某个域名的配置进行变更，编辑完成后，每提交一次任务，平台都会生成一条域名操作工单（编号唯一），该工单编号作为平台对本次变更任务的跟踪管理和结果管理，且平台会实时更新工单的处理状态（进行中、成功、失败），通过【CDN控制台】 【域名管理】【操作日志】展示出来，方便用户及时感知。 工单状态及处理建议： 1. 工单【状态】【成功】：常规域名变更任务，一般会在5~10分钟内部署完成，每当重新进入【工单列表】页签控制台会自动更新工单状态，可以看到工单【状态】变化，从【进行中】变更为【成功】，此时说明配置已全局部署并生效，工单闭环。 2. 工单【状态】【进行中】：如果等待10分钟以上，重新刷新【工单列表】其状态依然是【进行中】，而又比较着急的话，请通过提交工单联系天翼云客服，由其帮您定位域名操作日志中的工单处理进展，直至闭环。 3. 工单【状态】【失败】：如果工单显示失败，请通过提交工单联系天翼云客服，由其帮您定位域名操作日志中工单失败原因，直至闭环。

本文为您介绍统一身份认证IAM。 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，缩小不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素“Action”“Effect”等，更多信息，请参见“第2步：创建自定义策略”。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略: 系统策略 ：预置的系统策略，您只能使用不能修改。云硬盘备份VBS相关的系统策略包含如下： VBS Admin：云硬盘备份服务的管理者权限，包含云硬盘备份所有控制权限（不含订单类权限）； VBS Viewer：云硬盘备份服务的观察者权限，包含云硬盘备份服务的列表页与详情页面权限； 自定义策略 ：您按需自行创建和维护的权限策略，关于自定义策略的操作和示例，请参见“[第2步：创建自定义策略](

本文主要介绍弹性负载均衡后端云主机常见问题。 为什么后端主机组上收到的健康检查报文间隔和设置的间隔时间不一致？ ELB的每个lvs、nginx节点都会探测后端云主机组，每个节点的间隔时间与设置的间隔时间保持一致。后端云主机收到的是多个节点的探测报文，故在间隔时间内会收到多个检查报文。 使用负载均衡器后，后端云主机能否访问公网？ 后端云主机能否访问公网和负载均衡器没有关系，如果后端云主机本身可以访问公网，使用了负载均衡器以后仍可以访问，如果云主机本身不可以访问公网，使用负载均衡器之后仍不可以。 负载均衡器是否支持非天翼云的云主机/服务器？ 共享型负载均衡不支持，必须是天翼云后端云主机。 独享型负载均衡实例支持混合负载均衡的能力，后端主机组不仅支持添加天翼云上VPC内的云主机，还支持添加云下数据中心的服务器。 为什么100开头的IP在频繁访问后端云主机？ 100开头的IP为弹性负载均衡服务与后端云主机通信所使用的内部IP，所属网段为100.125.0.0/16网段。负载均衡实例以该网段IP作为源地址，向后端云主机转发前端业务流量及健康检查探测（假设您已启用健康探测）。 因此，为了保证您所配置的负载均衡实例可正常提供服务，请确保后端云主机的安全策略已放通100.125.0.0/16网段。

本小节介绍态势感知功能特性。 基础版及通用功能 资产发现 通过主被动两种资产探测方式，实时精准地持续监控资产变化情况，可自动识别网络设备、主机、安全设备、操作系统、数据库、Web应用等。 资产管理 资产组件信息、变化趋势、端口分布、归属、操作系统分布自动化统计。可根据IP、操作系统、应用组件/服务、归属部门、硬件信息等进行资产高级检索，快速统计资产信息、根据资产特征排查安全隐患。 脆弱性检测 通过漏洞扫描完成资产脆弱性评估，漏洞库可覆盖当前网络环境中主流的操作系统、数据库、Web中间件、网络设备漏洞，同时，对接国家安全监测平台的漏洞预警、安全事件通报及漏洞检测规则，完成检测规则的更新，有效应对突发安全事件，支持以资产存在漏洞及漏洞影响资产两个维度展示脆弱性资产。 网络威胁检测 根据网络流量可识别丰富的网络应用层协议，通过协议分析、内容萃取等报告对应的异常事件，可检测勒索软件、恶意软件、信息泄露、C&C通信、扫描探测、暴力破解、系统提权、Web攻击等网络威胁。同步国家能力中心下发的恶意URL、域名等信誉数据，完成新型威胁及高级持续威胁的检测。 高级版功能

支持的加密算法 天翼云证书管理服务签发的SSL证书支持RSA、ECC、SM2三种加密算法： RSA是目前应用最广泛的非对称加密算法。在三种算法中兼容性最佳，支持主流浏览器及各类操作系统平台。 ECC是基于椭圆曲线结构的非对称加密算法。相较于 RSA，ECC 加密速度更快、效率更高、服务器资源消耗更低，已在主流浏览器中广泛推广，正逐渐成为新一代主流算法。 SM2是中国国家密码管理局发布的商用密码算法，基于椭圆曲线密码（ECC）体系，是中国商用密码体系中用于替代RSA的国产算法。 不同类型的证书支持的加密算法如下： 证书版本 证书种类 域名类型 支持的加密算法 标准版 域名型DV 通配符、单域名、多域名 国际标准：RSA/ECC 国密标准：SM2 标准版 企业型OV 通配符、单域名 国际标准：RSA/ECC 国密标准：SM2 国际+国密：SM2、RSA/ECC 标准版 企业型OV 单IP 国际标准：RSA/ECC 标准版 企业型OV 多域名 国际标准：RSA/ECC 国密标准：SM2 标准版 增强型EV 单域名、多域名 国际标准：RSA/ECC SecureSite 企业型证书（OV） 通配符、单域名、多域名、单IP 国际标准：RSA/ECC SecureSite 企业型专业版（OVPro） 单域名、多域名、单IP 国际标准：RSA/ECC GeoTrust 企业型证书（OV） 通配符、单域名、多域名、单IP 国际标准：RSA/ECC GeoTrust 增强型证书（EV） 单域名、多域名 国际标准：RSA/ECC GlobalSign 域名型证书（DV） 通配符、单域名 国际标准：RSA/ECC GlobalSign 企业型证书（OV） 通配符、单域名、多域名、单IP 国际标准：RSA/ECC GlobalSign 增强型证书（EV） 单域名、多域名 国际标准：RSA/ECC CFCA 企业型证书（OV） 通配符、单域名、多域名 国际标准：RSA 国密标准：SM2 CFCA 企业型证书（OV） 单IP 国际标准：RSA CFCA 企业型基础版（OVBasic） 通配符、单域名、多域名、单IP 国际标准：RSA CFCA 增强型证书（EV） 单域名、多域名 国际标准：RSA CFCA 增强型基础版（EVBasic） 单域名、多域名 国际标准：RSA TrustAsia 域名型证书（DV） 通配符、单域名、多域名 国际标准：RSA/ECC 国密标准：SM2 TrustAsia 企业型证书（OV） 通配符、单域名、多域名 国际标准：RSA 国密标准：SM2 TrustAsia 企业型证书（OV） 单IP 国际标准：RSA TrustAsia 增强型证书（EV） 单域名、多域名 国际标准：RSA

本节介绍了云硬盘的续订规则。 续订规则详情请见天翼云帮助中心费用中心续订管理（< 自动续订规则详情请见天翼云帮助中心费用中心续订管理自动续订（<

本文介绍分布式消息服务RocketMQ的实例列表操作内容。 订购前准备 在创建天翼云分布式消息服务RocketMQ实例之前，您需要做一些准备工作。 首先，您需要设置一个虚拟私有云（VPC），这是一个隔离的网络环境，用于托管RocketMQ实例。 接下来，您需要创建一个子网，它是VPC内部的一个子网络，用于划分不同的部分和区域。 最后，您需要配置一个安全组，用于控制入站和出站的流量规则，以保证RocketMQ实例的安全性。 每个分布式消息服务RocketMQ实例都会被部署在特定的VPC中，并与特定的子网和安全组相关联。这种方式可以让您自主配置和管理RocketMQ实例的网络环境，并提供安全保护策略。如果您已经有了现成的VPC、子网和安全组，可以重复使用它们，无需重复创建。这样可以节省时间和资源，并确保一致性和可靠性。 VPC和子网 VPC和子网可重复使用，您也可以使用不同的VPC和子网来配置RocketMQ实例，您可根据实际需要进行配置。在创建VPC和子网时应注意如下要求： VPC与使用的天翼云分布式消息服务RocketMQ服务应在相同的区域。 如无特殊需求，创建VPC和子网的配置参数使用默认配置即可。 创建VPC和子网的操作请参考虚拟私有云创建VPC、子网搭建私有网络。 若需要在已有VPC上创建和使用新的子网，请参考虚拟私有云子网管理创建子网。 要注意的是： 如果用户需要创建ipv4实例，则VPC子网只需配置ipv4子网。 如果用户需要创建ipv6实例，则vpc子网只需配置ipv4/ipv6双栈子网。

本文介绍云下MySQL迁移至DRDS实例的迁移方案，同样适用于其他场景的MySQL。 使用场景 用户当前使用云下自建MySQL作为数据存储中心，希望能迁移至天翼云DRDS。另外除了自建MySQL适用外，其他场景MySQL也适用，比如从其他云厂商的MySQL迁移，本方法同样适用，只需要确保“中间机器”网络能连通您的MySQL即可。 约束限制 为了保证数据完整性，需要先停止业务再进行数据迁移。 不支持以自动新建库或新建表的方式导入数据，因此，导入数据前务必先在DRDS控制台创建好相同名称的逻辑schema、逻辑表，然后再连接DRDS进行数据导入。 导入数据到DRDS之前，务必创建用户并分配schema权限给用户。 迁移前准备 1. 准备可以访问云下MySQL的主机（假设为中间机器1）。 1. 确保该主机与云下MySQL所在主机网络联通。也可以直接复用MySQL主机，即同一台机器。 2. 该主机必须安装MySQL官方客户端，MySQL客户端版本建议为5.7。 1. Redhat系列Linux安装命令：yum install mysql mysqldevel。 2. Debian系列Linux安装命令：apt install mysqlclient5.7 mysqlclientcore5.7。 3. 该主机的磁盘空间必须足够存放临时转储文件（SQL文件）。 2. 开通DRDS 实例，并创建数据库用户、逻辑schema、逻辑表等，配置DRDS相分组属性等。 1. 通过开通DRDS 实例。 2. 开通MySQL实例，根据业务需求决定开通一个或多个。 3. 通过DRDS控制台，关联上述开通的一个或多个MySQL实例到DRDS 实例。关联后，需要重启所有节点。 4. 通过DRDS控制台创建数据库用户。 5. 配置DRDS分组属性。设置prohibitCrossTransaction为false，表示允许执行跨节点update/delete语句。 3. 准备可以访问云上DRDS的主机（假设为中间机器2）。 1. 确保该主机与云上DRDS所在主机网络联通（比如同VPC下的ECS，或者DRDS绑定弹性公网IP，机器能访问该弹性公网IP）。 2. 该主机必须安装MySQL官方客户端，MySQL客户端版本建议为5.7。 1. Redhat系列Linux安装命令：yum install mysql mysqldevel。 2. Debian系列Linux安装命令：apt install mysqlclient5.7 mysqlclientcore5.7。 说明 中间机器1和中间机器2可以是同一台机器，也可以是不同机器。如果是同一台机器，则该机器的网络务必既能连通云下MySQL，也要能连通DRDS实例。如果不是同一台机器，则两台中间机器务必保证网络互通（用于SQL文件传输）。

如何开通函数计算？ 进入天翼云函数计算产品首页，点击【服务开通】根据页面指引进行开通即可；更多详情请参考新手入门。 如何停止函数计算服务？ 当您需要停止函数计算服务时，您可以直接删除函数；具体请参考删除函数。 账号欠费了不想继续使用函数计算服务，如何退订服务？ 如您不需要再使用函数计算，可以直接删除函数，删除所有函数后将不再进行计费，无需退订服务。 函数已经没有任何请求了，为什么仍然在扣费？ 检查您是否使用了预留模式的实例。若您使用了预留模式下，函数执行时长的计量是从函数计算系统启动预留函数实例开始，到您主动释放为止。因此，如您无需再使用，请及时删除预留模式的实例。另外，您还需要排查一下账号下面是否存在其他云产品的实例导致扣费。

违规内容管控快速解封 针对一般违规内容您可参考以下步骤操作： 彻底清理违规内容 根据通知要求提供解封材料，并提交工单进行申诉解封 工作人员将在13个工作日完成审核，并将审核结果通知您。 针对存储产品的一般违规行为（冻结文件）可根据整改通知查询违规记录后自行删除文件，删除文件后即视为解除。 注意 若您删除文件后重复上传违规内容，对应文件将被再次封禁并视情进行升级处置，若您对封禁存在异议，请通过工单提交反馈，天翼云将在13个工作日内完成处理。 欺诈类违规管控快速处理 如您收到天翼云发出的欺诈整改、处置通知，您可根据通知要求进行整改，整改完成后前往工单提交相关解封材料进行申诉。 天翼云将在13个工作日内完成处理。 违规管控解封常见问题 我提交解封申请后，天翼云基于什么决定是否解封？ 针对您提交的解封申请内容，若审核未发现违规内容，则进行解封。 针对对象存储 OSS 的一般违规行为（冻结文件），删除违规文件后默认视为解封。 针对通过工单++入口++提交的解封申请，天翼云会根据您的设备或服务是否还存在违规信息或行为，结合您提交的资质、业务说明综合判定，对于严重、特别严重的违规行为，若您无法说明业务的合规性，根据相关协议无法为您解封。 注意 针对上级主管部门要求处理的违规情况，天翼云将会直接根据上级主管的解封意见进行处理。 什么是一般违规行为，什么是严重、特别严重违规行为？ 请参见《安全违规处罚等级说明》。

本节介绍天翼AI云电脑移动终端的功能使用说明。 拖动工具栏 进入AI云电脑后，可在桌面顶部看到工具栏，点击“拖动”图标，支持工具栏任意位置移动，支持隐藏在桌面顶部和左右两侧屏幕边。 锁定/解锁工具栏 进入AI云电脑后，可在桌面顶部看到工具栏，支持锁定和解锁工具栏。 自动收起工具栏 工具栏在不使用时会自动收起吸附在屏幕边缘，点击可快速展开 。 退出/重启/关机 工具栏“退出”模块，包含以下操作： 退出：点击“退出“，断开AI云电脑连接，退出到AI云电脑列表页。 重启：点击“重启”，将对AI云电脑进行重启，同时退出到AI云电脑列表页。 关机：点击“关机”，仅对AI云电脑进行关机（而非终端关机），同时退出到AI云电脑列表页。 网络状态 工具栏点击“网络状态”，可查看详细的网络状态，包括往返时延，网速上下行。 当AI云电脑遇到卡顿情况时，可点击“一键优化”开启智能检测，优化程序。

操作场景 在您启用预案阶段完毕时，可以通过多活容灾服务控制台进行停用预案阶段操作。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏“预案编排”“预案阶段”，进入预案阶段列表页。 5. 在列表上方下拉菜单中选择需要进行预案阶段操作的命名空间。 6. 点击预案阶段列表操作列中的“停用”按钮，弹出停用预案阶段弹窗。 7. 确认停用该预案阶段后，点击“确定”按钮，完成预案阶段停用。

本文介绍了购买备案管家服务流程。 1、访问“备案管家”页面，点击“立即订购”。 2、进入备案管家订购页面，选择购买的管家规格与备案网站个数，填写联系人信息等，并勾选我已阅读并接受《天翼云备案管家服务协议》，点击“立即订购”。 3、进入支付页面，选择优惠券、代金券相关信息，点击“立即支付”。 4、在超级收银台页面，选择支付方式，点击“确认支付”，完成支付。 5、支付完成后，可在订单中心查看开通进度，开通完成即可享受备案管家服务。

本节介绍天翼云手机在网络流量方面的常见问题。 云手机网络连接失败怎么办？ (1) 请检查您的手机设备的网络是否正常 (2) 尝试重启云手机：请在“云手机管理”页面，点击“重启”按钮，重启完成后，再尝试连接。 如何查看网络状态？ 可以根据云手机悬浮球的颜色判断当前的网络状态： (1) 当时延在060ms时，悬浮球显示为绿色，代表网络流畅； (2) 当时延在61200ms时，悬浮球显示为黄色，使用可能会有卡顿出现； (3) 当时延在201ms以上时，悬浮球显示为红色，云手机卡顿严重，可能会出现无响应的情况，建议您检查本地手机的网络状况，或尝试退出后重新进入云手机。 在云手机内下载和看视频消耗自己手机流量吗？ 在云手机内下载和看视频消耗少量本地流量，仅消耗使用云手机客户端时图像、声音等数据传输所需的流量。

无法通过SSH的方式登录弹性云主机有可能是由于未对云主机的sshd服务进行配置，以下将对SSH的服务配置步骤进行说明。 操作步骤 1. 进入天翼云弹性云主机控制台，选中要操作的云主机。 2. 通过VNC的登录方式链接到云主机控制台。 3. 进入命令行操作界面，输入root用户名及设置的登录密码。 4. 输入以下命令。 vim /etc/ssh/sshdconfig 5. 修改以下配置项。 PermitRootLogin yes PasswordAuthentication yes AllowUsers root（无则添加） 6. 完成修改够，退出保存。 :Wq！ 7. 重启sshd服务，使修改项生效。 service sshd restart 至此，已完成SSH服务配置的修改，用户可再次尝试远程登录操作。

本文为您介绍如何设置天翼云关系数据库MySQL版产品的参数。 背景信息 天翼云关系数据库MySQL版服务开放了部分参数。您可根据业务情况，对实例中的参数值进行调整，确保服务发挥出最优性能，更好的满足您的业务需求。 说明 您也可以根据业务场景将不同的参数设置保存为不同的参数模板，然后根据业务情况，快速批量应用到实例上。关于参数模板的信息，请参见参数模板简介。 注意事项 部分参数值修改之后，需要重启实例，请仔细评估修改操作对业务的的影响。 当实例运行状态异常时，不允许修改实例的参数值。 修改参数值不会立即生效，请稍后刷新页面查看修改结果，或者参数列表上方单击历史记录，查看参数修改结果。 部分参数，例如字符集参数，区分大小写参数等，仅主实例可修改，只读实例跟随主实例同步变更。 操作步骤 修改参数 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 单击参数设置，查看您可以修改的参数列表，界面上展示了每个参数的参数名、修改后是否需要重启、当前值、允许值、描述。 5. 根据业务需求修改相关参数，单击参数列表上方的保存。 6. 单击确定，提交修改参数任务。 您可以参数列表上方单击更多 > 历史修改记录 ，查看参数修改结果。修改参数是否成功，以历史修改记录页面显示结果为准。

本文介绍如何进入应用加速控制台。 1.打开天翼云官网 2.右上角选择“控制中心”。 3.在【CDN与视频】下拉选择【应用加速服务】，点击进入客户控制台。

本文向您介绍一站式智算服务平台计费相关常见问题。 一站式智算服务平台支持哪些计费方式？ 一站式智算服务平台支持包周期计费模式、按需计费模式卡时和按需计费模式Tokens三种计费方式。 一站式智算服务平台支持退订吗？ 服务开通后7天内如未使用则支持退订，退订后即可关闭。退订地址：我的—费用中心—订单管理—退订管理。

本文为您介绍分布式消息服务MQTT的操作指南认证授权。 创建用户名和密码 终端设备连接MQTT队列需要先创建用户密码。 1、 天翼云官网点击控制中心，选择产品分布式消息服务MQTT。 2、 登录分布式消息服务MQTT控制台，点击右上角地域选择对应资源池。 3、 进入实例列表，点击【管理】按钮进入管理菜单。 4、 进入认证授权菜单，点击【新增】按钮，在弹出框输入认证用户名、用户密码、确认密码等信息。 主题授权 对用户名进行主题授权，客户端方可正常收发。 1、 选择需要授权的用户，点击【授权】按钮。 2、 在弹出框填写已创建的主题名称，主题权限包含3种：pub、sub、pubsub，支持通配符，代表所有主题。

本文介绍如何进行身份管理。 为确保您的天翼云账号及云资源使用安全，如非必要都应避免直接使用天翼云账号（即主账号）来访问ECI。推荐的做法是使用IAM身份（即IAM用户）来访问ECI。 IAM用户 IAM用户需要由天翼云账号（即主账号）或拥有管理员权限的IAM用户来创建，且必须在获得授权后才能登录控制台或使用API访问天翼云账号下的资源。 对于IAM用户的使用，建议您： 使用天翼云账号创建一个IAM用户，并为IAM用户授予管理员权限，后续使用有管理员权限的IAM用户创建并管理其他IAM用户。 将人员用户和程序用户分离。 创建IAM用户时，支持设置控制台访问和OpenAPI调用访问两种访问方式。控制台用户使用账号密码访问云产品控制台，API用户使用访问密钥AK（AccessKey）调用API访问云资源。建议您将两个不同的使用场景分离，避免误操作导致服务受到影响。 按需为IAM用户分配最小权限。 最小权限是指授予用户执行某项任务所需的权限，不授予其他无需用到的权限。最小授权可以避免用户操作权限过大，提高数据安全性，减少因权限滥用导致的安全风险。 不要把IAM用户的AccessKey ID和AccessKey Secret保存在工程代码中，否则可能导致AK泄露，威胁您账号下所有资源的安全。 IAM用户相关操作 创建用户 查看用户详情 重置密码

适用于：企业类用户、教育类用户、医疗类用户、政府类用户等。 （1）企业类用户 企业需要一个门户网站进行信息宣传，翼建站提供多种pc+手机网站模式，可嵌入微信公众号，进行多渠道宣传，安全性要求相对低。 （2）教育类用户 根据达标校考核标准，各教育机构有要求需要一个门户网站。目前很多学校都是较为老旧的网站系统，安全性，页面样式较为落后。目前我们提供最新的安全框架，新的页面风格。网安经常会进行扫描，安全性要求高。 （3）医疗类行业 大部分的医院都有网站，但存在安全隐患及系统老旧问题。网安经常会进行扫描，安全性要求高。 （4）政府类用户 政府类用户目前有些用户会选择将网站迁移到数办，现今独立建站的用户较少。政府类用户安全性要求极高，需要不断更新网站系统。

本章节主要介绍翼MapReduce的锁定用户操作。 操作场景 由于业务变化，用户可能长期暂停使用，为了保证安全，管理员可以锁定用户。 锁定用户的方法包含以下两种方式： 自动锁定：通过设置密码策略中的“密码连续错误次数”，将超过登录失败次数的用户自动锁定。具体操作请参见配置密码策略。 手动锁定：由管理员通过手动的方式将用户锁定。 以下将具体介绍手动锁定。不支持锁定“机机”用户。 对系统的影响 用户被锁定后，不能在FusionInsight Manager重新登录或在集群中重新进行身份认证。锁定后的用户需要管理员手动解锁或者等待锁定时间结束才能恢复使用。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“系统 > 权限 > 用户”。 3. 在要锁定用户所在行，单击“锁定”。 4. 在弹出的窗口勾选“我已阅读此信息并了解其影响。”，单击“确定”完成锁定操作。

本文将为您介绍VPN连接统一身份认证与权限管理。 基本介绍 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限，具体介绍说明详见：产品定义。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，缩小不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素左作用（Effect）、权限集（Action）等。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略： 1、系统策略 ：预置的系统策略，您只能使用不能修改。VPN连接相关的系统策略包含如下： vpn admin：VPN连接服务的管理者权限，包含VPN连接产品的所有控制权限； vpn viewer：VPN连接服务的观察者权限，包含VPN连接产品的列表页与详情页面权限； 2、自定义策略 ：您按需自行创建和维护的权限策略，关于自定义策略的操作和示例，具体配置说明详见：创建自定义策略。

操作场景 本章节指导用户查看主机监控指标，监控指标分为Agent插件采集的细颗粒度的操作系统级别监控指标和ECS自带的监控指标。 前提条件 已完成Agent插件的安装。安装请参考在ECS/BMS中安装配置Agent（Linux）、安装配置Agent（Windows）进行安装。 操作步骤 1. 登录管理控制台。 2. 单击“服务列表 > 云监控服务”。 3. 查看ECS或BMS的监控指标： 查看ECS操作系统监控指标的方法：单击左侧导航栏的“弹性云主机”，再单击ECS实例所在行的“查看监控指标”。 查看ECS基础监控指标的方法：单击左侧导航栏的“弹性云主机”，再单击ECS实例所在行的“查看监控指标”，最后单击“操作系统监控”右侧的“基础监控”。 查看BMS操作系统监控指标的方法：单击右侧导航栏的“物理机”，再单击BMS实例所在行的“查看监控指标”。 4. 查看监控指标。 在“操作系统监控”页面上方，分为CPU、内存、磁盘等不同类型的监控指标。 可查看不同监控指标“近1小时”、“近3小时”、“近12小时”、“近24小时”、“近7天”和“近30天”的原始监控数据曲线图。您可以选择是否开启“自动刷新”功能，云监控服务提供了“60秒”自动刷新周期。 5. 在监控指标视图右上角，单击可查看监控指标视图详情。 页面左上方提供查看“近1小时”、“近3小时”、“近12小时”、“近24小时”、“近7天”和“近30天”6个固定时长的监控周期，同时也支持以通过“自定义时间段”选择查看近六个月内任意时间段的历史监控数据。 6. 选择页面左上方的“设置”按钮，进入“聚合”设置页面，对监控数据的聚合方法进行更改。 近1小时”、“近3小时”、“近12小时”、“近24小时”的监控数据：系统默认显示原始数据。 “近7天”、“近30天”的监控数据：系统默认显示聚合后的数据。 “近1小时”、“近3小时”、“近12小时”、“近24小时”GPU 指标数据均为指标采集周期的原始数据。 单击监控大图右侧的放大按钮后，可拖动鼠标选择自定义时间段。

前提条件 1.已创建公网NAT网关。 2.已开通云日志服务。 3.NAT 网关实例需要与创建的云日志服务在同一地域。 操作步骤 1.登录天翼云控制中心，选择目标区域节点。选择“网络>NAT网关>公网NAT网关”，进入NAT网关页面。 2.点击需要开启会话日志的公网NAT网关名称，进入公网NAT网关详情页，下拉至会话日志标签页。 3.若未进行角色授权，请点击“去授权”，完成授权操作。 4.完成授权后，根据页面提示开启会话日志，开启后，日志数据将会收集至云日志服务指定的日志单元中。 5.登录云日志服务控制台，在指定的会话日志单元下，即可进行日志查询、分析与告警配置操作。

HTTP 2.0业务接入WAF防护是否会对源站有影响？ HTTP 2.0业务接入WAF防护对源站有影响。HTTP 2.0业务接入WAF防护表示WAF可以处理客户端的HTTP 2.0请求，而WAF目前仅支持以HTTP 1.0/1.1协议转发回源请求，即WAF与源站间暂不支持HTTP 2.0。因此，如果您将HTTP 2.0业务接入WAF防护，则源站的HTTP 2.0特性将会受到影响，例如，源站HTTP 2.0的多路复用特性可能失效，造成源站业务带宽上升。 Web应用防火墙支持哪些Web服务框架/协议？ Web应用防火墙部署在云端，与Web服务框架没有关系。 WAF通过对HTTP/HTTPS请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 WAF支持防护的协议类型说明如下： WebSocket/WebSockets协议，且默认为开启状态 “对外协议”选择“HTTP”时，默认支持WebSocket “对外协议”选择“HTTPS”时，默认支持WebSockets HTTP/HTTPS协议 WAF可以防护使用HSTS策略/NTLM代理认证访问的网站吗？ 可以。WAF支持防护HTTP/HTTPS协议业务。 网站选择使用HSTS（HTTP Strict Transport Security，HTTP严格传输安全协议）策略后，会强制要求客户端（如浏览器）使用HTTPS协议与网站进行通信，以减少会话劫持风险。配置HSTS策略的网站使用的是HTTPS协议，WAF可以防护。 NTLM（New Technology LAN Manager，Windows NT LAN管理器）代理是Windows平台下HTTP代理的一种认证方式，其认证方式与Windows远程登录的认证方式是一样的，客户端（如浏览器）和代理之前需要三次握手才开始传递信息。 对于客户端（如浏览器）和代理之前使用NTLM认证的业务，WAF可以防护。

本文介绍如何使用AOne添加极狐（GitLab）认证源并进行登录。 功能介绍 极狐（GitLab）是一体化 DevOps 平台，以 极狐（GitLab） 为上游，专门为中国用户提供企业级 DevOps 服务，具有组织以及员工的身份信息，AOne支持极狐（GitLab）身份信息接入并采用极狐（GitLab）进行登录认证。 前置条件 请提前开通极狐（GitLab）账号，如未开通，请先前往极狐（GitLab）进行注册。 注意 目前该能力暂未全面开放至控制台，若想要进行该能力配置，可 操作步骤 管理员创建极狐（GitLab）应用 1、访问极狐（GitLab）控制台，在左侧菜单应用，点击“新建应用”创建一个极狐（GitLab）应用。 2、填写完成应用参数后，申请创建应用。 3、应用创建完成后，在详情中获取应用的应用程序ID和密码并记录下来用于后续创建极狐（GitLab）认证源。 注意： 极狐（GitLab）账号注册一定要绑定手机号，否则无法获取userinfo。 极狐（GitLab）应用配置回调地址时，登录和绑定的都需要配置。

本节介绍了为业务同时部署DDoS高防（边缘云版）和Web应用防火墙（边缘云版）的操作步骤。 使用场景 如果您的网站既需要进行流量型DDoS攻击的防护，同时也需要对精巧的Web应用层攻击时进行防御。使用单一的防护产品可能无法起到全面的防护效果，您可以在DDoS高防（边缘云版）的基础上，叠加Web应用防火墙（边缘云版）进行联合防御。 Web应用防火墙（边缘云版）依托天翼云的云安全节点形成云安全网络，结合云端大数据分析平台，为用户提供应对Web 攻击、入侵、漏洞利用、挂马、篡改、后门、爬虫等防护。 配置前提 已分别开通DDoS高防（边缘云版）及Web应用防火墙（边缘云版）。 网站域名需完成ICP备案，并需要持续维护其有效性。 说明 若您抗DDoS攻击的重要性显著高于加速需求，请先在DDoS高防（边缘云版）控制台新增域名，再到Web应用防火墙（边缘云版）新增域名，该添加顺序会优先使用天翼云高防DDoS节点进行域名防护。 业务流程 由于DDoS高防（边缘云版）及Web应用防火墙（边缘云版）采用统一的边缘云网络架构和底座，无需重复进行网站接入配置，并且也无需考虑不同产品串联时网络层转发的顺序问题，需注意防护配置的生效顺序：DDoS高防（边缘云版）优先于Web应用防火墙（边缘云版）。 （非统一架构的产品叠加，需确定不同产品之间网络层转发顺序，如先经过DDoS高防再经过Web应用防火墙，那么DDoS的高防的回源地址需与Web应用防火墙的接入地址相匹配，而不能直接配置为源站地址。非统一架构的产品叠加会增加网络配置复杂度。）

本小节介绍日志审计(原生版)新增资产。 日志审计（原生版）提供集中化的统一管理平台，将所有的需要审计的设备统一纳管入平台中，进行信息资产的统一日志管理。 在使用日志审计（原生版）之前，您需要先纳管资产，以便服务可以进行日志管理。 新增资产组 1. 登录日志审计（原生版）控制台。 2. 在左侧导航栏选择“资产 > 资产管理”。 3. 单击页面上的“新增组”。 4. 在弹出的对窗口中填写“资产组名称”，填写完成后单击“确认”即可新增资产组。 参数 参数说明 父资产组 不可选择，系统默认填写。 资产组名称 填写您需要创建的资产组名称，最大长度不超过64个字符。 新增资产 1. 登录日志审计（原生版）控制台。 2. 在左侧导航栏选择“资产 > 资产管理”。 3. 选择需要新增资产的资产组，进入资产组页面后，单击“新增资产”。 下图以选择默认的资产组为例，实际请根据业务情况自行选择资产组。 4. 进入“新增”页面，填写待新增的资产内容（下表仅展示必填项，完整的填写内容请参考新增资产）。 注意 日志采集方式、资产类型和IP需要根据实际情况选择。 参数 参数说明 取值样例 基本属性 资产名称 填写您的资产名称，最大长度不超过64个字符。 资产示例 基本属性 管理IP 填写待纳管设备的主识别IP，请确保IP真实有效。 0.0.0.0 基本属性 资产大类 在下拉框中选择待纳管资产的设备类别。 主机 基本属性 资产小类 在下拉框中选择待纳管资产的具体设备类型。 服务器/其他 基本属性 SyslogUdp采集 选择是否开始SyslogUdp采集，默认开启，建议选择开启。 开启 安全属性 机密性 选择待纳管资产的机密等级，可选110级，默认选择1级。 1级 安全属性 完整性 选择待纳管资产的完整等级，可选110级，默认选择1级。 1级 安全属性 可用性 选择待纳管资产的可用等级，可选110级，默认选择1级。 1级 安全属性 资产价值 选择待纳管资产的资产价值，可选“低”、“中”、“高”，默认为“低”。 低 安全属性 等保级别 选择待纳管资产的等保等级，可选110级，默认选择1级。 1级 接口 IP 与“管理IP”一致，请确保IP真实有效。 0.0.0.0 接口 IP类型 选择纳管资产的IP类型，请如实选择。 公网