本文介绍私有Bucket回源功能的适用场景和配置说明。 功能介绍 天翼云全站加速域名的回源地址可以使用客户自有源站或者天翼云媒体存储或天翼云对象存储。若客户使用媒体存储/对象存储作为源站，在新建Bucket时，其权限属性支持以下三种模式： 【公共读】公共读权限可以通过匿名身份直接读取Bucket中的数据，存在较高的安全风险，不推荐，建议选择私有模式。 【公共读写】公共读写权限可以通过匿名身份直接读取/写/删除Bucket中的数据，存在较高的安全风险，不推荐，建议选择私有模式。 【私有】只有该Bucket的拥有者或被授权者可以对该存储空间内的文件进行读写操作。媒体存储/对象存储会校验Authorization请求头，只有鉴权通过的才允许访问。 当客户权限选择【私有】时，需要参考本文档配置私有Bucket回源功能。 适用场景 回源地址使用天翼云媒体存储/对象存储并且Bucket为私有模式的场景。 注意事项 1. 开启私有Buckt回源功能前，请确认您的私有Bucket内容是否适合作为全站加速的回源内容，如存在较为敏感的信息，请勿开启此功能，或单独为全站加速创建一个独立的AK/SK，仅授权全站加速必要目录的只读权限，避免源站敏感信息泄漏。 2. Bucket如为公有模式则无需配置私有Bucket回源，直接在源站配置中选择对的存储源站即可，详情请见：源站配置。 3. 开启私有Bucket回源功能后，全站节点回源站时，会携带Authorization请求头，值为基于AK/SK及Bucket等生成的对应存储私有Bucket鉴权签名信息。 4. 私有Bucket回源功能生效的前提：在【添加域名新增源站】或 【编辑域名修改源站】时，需要选择源站类型为【媒体存储源站】或者【对象存储源站】。否则功能将无效。

本文主要介绍了重点操作短信验证的验证规则。 短信验证规则 1.若您已开启短信验证，在您进行重点操作时，在点击最后一步"确认"时弹出二次认证窗口，进行短信验证，如下图所示。 2. 点击“获取验证码”，系统向绑定的天翼云手机号发送二次认证码，每间隔1分钟才能获取验证码。在您进行短信验证时，获取验证码单次有效时间5分钟，请在有效时间内完成验证，如下图所示。 注：请勿关闭弹窗并及时验证，关闭该弹窗验证码即失效。 3.点击”确认“按钮后，即可进行重点操作。短信验证功能一旦开启，所有重点操作统一开启，短信验证的有效期为15分钟，15分钟内做其他操作不需要重复验证。 4.若您超过五次以上获取验证码，该功能将被锁定20分钟，如下图所示。

检测与修复建议 天翼云企业主机安全服务对该漏洞的便捷检测与修复。 1. 检测并查看漏洞详情，如下图所示，详细的操作步骤请参见漏洞管理。 手动检测漏洞 2. 进行漏洞的修复与验证，详细的操作步骤请参见漏洞管理。 其他防护建议 若您暂时无法进行升级操作，也可以采用以下方式进行防护： 方式一：使用以下命令禁用credential helper git config unset credential.helper git config global unset credential.helper git config system unset credential.helper 方式二：提高警惕避免恶意URL 1. 使用git clone时，检查URL的主机名和用户名中是否存在编码的换行符（%0a）或者凭据协议注入的证据（例如：hostgithub.com）。 2. 避免将子模块与不受信任的仓库一起使用（不使用clone recursesubmodules；只有在检查gitmodules中找到url之后，才使用git submodule update）。 3. 请勿对不受信任的URL执行git clone。

适用场景 如视频网站使用HLS协议，且具备较强的版权保护和防盗链需求，可通过在源站对TS文件做加密，配合使用CDN的HLS标准加密改写功能，并结合严格的鉴权策略，实现HLS视频的版权保护。 配置说明 目前该功能暂不支持客户自助开启，如需使用，请通过提交工单向天翼云客服申请。 提交工单时，请您提供如下信息： 参数 说明及示例 加密算法 TS文件的加密算法，默认为AES128。 秘钥地址 TS文件的加密秘钥获取地址，一般为同个加速域名下的某个地址，如 秘钥地址的鉴权参数 TS文件的加密秘钥获取地址中的鉴权参数，默认为对应M3U8的鉴权参数；如M3U8存在多个参数名，需指定具体的参数名称。 TS文件是否改写 指M3U8中的TS文件列表是否需要添加鉴权参数，如是，请说明具体需要添加的鉴权参数key和value信息。

适用场景 如视频网站使用HLS协议，且具备较强的版权保护和防盗链需求，可通过在源站对TS文件做加密，配合使用CDN的HLS标准加密改写功能，并结合严格的鉴权策略，实现HLS视频的版权保护。 配置说明 目前该功能暂不支持客户自助开启，如需使用，请通过提交工单向天翼云客服申请。 提交工单时，请您提供如下信息： 参数 说明及示例 加密算法 TS文件的加密算法，默认为AES128。 秘钥地址 TS文件的加密秘钥获取地址，一般为同个加速域名下的某个地址，如 秘钥地址的鉴权参数 TS文件的加密秘钥获取地址中的鉴权参数，默认为对应M3U8的鉴权参数；如M3U8存在多个参数名，需指定具体的参数名称。 TS文件是否改写 指M3U8中的TS文件列表是否需要添加鉴权参数，如是，请说明具体需要添加的鉴权参数key和value信息。

本章节主要介绍翼MapReduce服务如何绑定/解绑弹性IP。 背景信息 创建的翼MapReduce集群中所有的节点都会默认被分配内网IP，外网IP需要用户自己去创建。 绑定弹性IP操作步骤 1. 登录翼MapReduce控制台，在我的集群页面，点击集群具体名称，进入集群详情页。 2. 在“节点管理”页面点击“节点组名称”列的下拉按钮，展开对应的节点信息，点击“操作”列的“更多”。 3. 点击“绑定弹性IP”，在“绑定弹性IP”的弹框中，如果您账号下没有可用的弹性公网IP，需要点击“+创建弹性公网IP”按钮跳转至新页面进行创建；如果您账号下有可用的弹性公网IP，可以通过下拉“弹性IP”的选择框选择IP后，点击“确认”进行绑定。 解绑弹性IP操作步骤 1. 登录翼MapReduce控制台，在我的集群页面，点击集群具体名称，进入集群详情页。 2. 在“节点管理”页面点击“节点组名称”列的下拉按钮，展开对应的节点信息，点击“操作”列的“更多”中的“解绑弹性IP”，并在弹窗内进行二次确认，即可完成解绑。

本节主要介绍在OOS资源池所属地域内，如何实现客户内网访问OOS。 应用场景 企业存在大量的业务数据，并且随着数据增长，硬盘已无法满足大量的图片、视频等数据存取需求。希望使用天翼云海量、弹性的云存储服务OOS为数据存储资源池，以减轻服务器负担。 天翼云支持通过公网和内网两种网络访问OOS。当有存取对象数据的需求时，公网方式响应速度会因为网络质量而受到影响，读取数据还将收取一定的流量费用。为最大化的优化性能、节省开支，企业管理者希望通过内网的方式访问OOS。 说明 当通过内网访问OOS时，需要确保待访问的OOS资源池和客户的数据所在服务器处于同地域且已经通过专线互连，否则将采用公网访问。 前提条件 开通对象存储（经典版）Ⅰ型服务。 具体操作 1. 联系天翼云客服，咨询OOS资源池的专线网络打通情况，在确认存在内网访问的前提下，获取OOS资源池对应的内网地址。 2. 配置客户数据所在的服务器配置文件，将OOS的域名指向到该IP地址。以对象存储网络为例: Linux：在host文件（vim /etc/hosts ）添加一条映射： 192.x.x.x ooscn.ctyunapi.cn Windows:在host文件（C:WindowsSystem32driversetchosts）添加一条映射： 192.x.x.x ooscn.ctyunapi.cn 3. 在进行数据访问的时候，使用该OOS域名作为endpint地址，即可确保存取对象数据时通过内网访问，并且无需承担数据下载产生的流量费用。

本文主要介绍了账号安全设置的一些建议。 账号安全的重要性 云时代中，越来越多的业务选择上云，然而云账号面临各种各样的安全威胁，密码泄露、账号共享、数据丢失、外部攻击等等。 一旦出现这类安全威胁，可能会导致数据丢失，严重情况甚至导致高额财产损失。 安全设置最佳实践 1、加强账号密码管理 安全性高的密码可以使帐号更安全。请尽量避免使用弱密码，建议密码长度超过14个字符，不使用键盘排列字符( 如qwert，asdf等) ，避免使用电话号码、身份证号、邮箱等与个人信息有明显联系的数据做密码。 避免在多个平台使用相同密码：为不同应用场合设置不同密码，避免其中一个账户密码被盗，其它帐户密码也被轻易破解。 定期或者不定期修改密码，避免长期使用固定密码，安全更有保障。 不要把明文密码保存在电脑、笔记本上，避免保存不当带来安全隐患。 2、请勿多人共享账号密码 如有多人协同业务的需要，可以通过主子账号、企业管理的方式，使用子用户（用户组）管理和策略管理的方式来控制其他用户使用天翼云资源的权限。 子用户（用户组）管理：主账号可在用户中心创建，子账号的用户名、密码统一由主账号创建管理。子账号同样可以登录访问天翼云控制台，登录入口与主账号相同，受主账号赋予的权限限制。如有使用需求，请您提交工单，由我侧专项工程师协助您开通主子账号权限。

本页为您介绍IAM相关概念及权限管理。 数据传输服务DTS已对接天翼云统一身份认证服务（IAM），可实现控制台功能、OpenAPI维度对用户访问、操作资源的权限控制等， 以达到用户权限的精细管理，保证访问的安全性。 IAM简介 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。目前天翼云提供对应专有的CTIAM服务，用户可申请开通后免费使用，您只需要为您帐号中的云服务和资源进行付费。具体IAM使用说明详情见：统一身份认证。 IAM涉及主要概念 主用户 ：用户在天翼云注册后自动创建，该用户对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，为了确保账号安全，建议创建子用户来进行日常管理工作。 子用户 ：由拥有IAM权限的用户，在用户中心创建的子用户。子用户的用户名、密码由拥有IAM权限的用户控制。子用户同样可以登录访问天翼云控制台，登录入口与主用户相同，受赋予的权限限制。 用户组 ：用户组是用户的集合，IAM通过用户组功能实现用户的授权。您创建的IAM用户，需要加入特定用户组后，才具备对应的权限，否则IAM用户无法访问您帐号中的任何资源或者云服务。 系统策略 ：由产品团队维护，系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对DTS的只读权限、对 DTS的管理员权限等；系统策略在IAM控制台中只能用于授权，不能编辑和修改。 自定义策略 ：由用户自己在IAM控制台创建和管理的权限集，是用户可以自由定义的权限，是对系统策略的扩展和补充。 企业项目 ：企业项目权限是实现细粒度控制的基础。将云资源、企业成员按企业项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用企业项目内云资源的权限受用户组的授权限制。

本文介绍Redis主子账号和IAM权限管理 分布式缓存服务Redis版已对接天翼云统一身份认证服务（IAM），可实现控制台按钮、菜单功能、OpenAPI等维度对用户访问、操作资源的权限控制等， 以达到用户权限的精细管理，保证访问的安全性。 IAM简介 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。目前天翼云提供对应专有的CTIAM服务，用户可申请开通后免费使用，您只需要为您帐号中的云服务和资源进行付费。具体IAM使用说明详情见：统一身份认证。 IAM涉及主要概念 主用户：用户在天翼云注册后自动创建，该用户对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，为了确保账号安全，建议创建子用户来进行日常管理工作。 子用户：由拥有IAM权限的用户，在用户中心创建的子用户。子用户的用户名、密码由拥有IAM权限的用户控制。子用户同样可以登录访问天翼云控制台，登录入口与主用户相同，受赋予的权限限制。 用户组：用户组是用户的集合，IAM通过用户组功能实现用户的授权。您创建的IAM用户，需要加入特定用户组后，才具备对应的权限，否则IAM用户无法访问您帐号中的任何资源或者云服务。 系统策略：由产品团队维护，系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对 ECS 的只读权限、对 ECS 的管理员权限等；系统策略在IAM控制台中只能用于授权，不能编辑和修改。 自定义策略：由用户自己在IAM控制台创建和管理的权限集，是用户可以自由定义的权限，是对系统策略的扩展和补充。 企业项目：企业项目权限实现细粒度控制的基础。将云资源、企业成员按企业项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用企业项目内云资源的权限受用户组的授权限制。

关系数据库SQL Server版已对接天翼云统一身份认证服务（IAM），可实现控制台按钮、菜单功能、OpenAPI等维度对用户访问、操作资源的权限控制等， 以达到用户权限的精细管理，保证访问的安全性。 IAM简介 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。目前天翼云提供对应专有的CTIAM服务，用户可申请开通后免费使用，您只需要为您帐号中的云服务和资源进行付费。具体IAM使用说明详情见：统一身份认证。 IAM涉及主要概念 主用户：用户在天翼云注册后自动创建，该用户对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，为了确保账号安全，建议创建子用户来进行日常管理工作。 子用户：由拥有IAM权限的用户，在用户中心创建的子用户。子用户的用户名、密码由拥有IAM权限的用户控制。子用户同样可以登录访问天翼云控制台，登录入口与主用户相同，受赋予的权限限制。 用户组：用户组是用户的集合，IAM通过用户组功能实现用户的授权。您创建的IAM用户，需要加入特定用户组后，才具备对应的权限，否则IAM用户无法访问您帐号中的任何资源或者云服务。 系统策略 ：由产品团队维护，系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对SQL Server的只读权限、对SQL Server的管理员权限等；系统策略在IAM控制台中只能用于授权，不能编辑和修改。 自定义策略：由用户自己在IAM控制台创建和管理的权限集，是用户可以自由定义的权限，是对系统策略的扩展和补充。 企业项目：企业项目权限实现细粒度控制的基础。将云资源、企业成员按企业项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用企业项目内云资源的权限受用户组的授权限制。

本节主要介绍分布式消息服务Kafka主子账号和IAM权限管理 分布式消息服务Kafka已对接天翼云统一身份认证服务（IAM），可实现控制台按钮、菜单功能、OpenAPI等维度对用户访问、操作资源的权限控制等， 以达到用户权限的精细管理，保证访问的安全性。 IAM简介 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。目前天翼云提供对应专有的CTIAM服务，用户可申请开通后免费使用，您只需要为您帐号中的云服务和资源进行付费。具体IAM使用说明详情见：统一身份认证。 IAM涉及主要概念 主用户：用户在天翼云注册后自动创建，该用户对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，为了确保账号安全，建议创建子用户来进行日常管理工作。 子用户：由拥有IAM权限的用户，在用户中心创建的子用户。子用户的用户名、密码由拥有IAM权限的用户控制。子用户同样可以登录访问天翼云控制台，登录入口与主用户相同，受赋予的权限限制。 用户组：用户组是用户的集合，IAM通过用户组功能实现用户的授权。您创建的IAM用户，需要加入特定用户组后，才具备对应的权限，否则IAM用户无法访问您帐号中的任何资源或者云服务。 系统策略：由产品团队维护，系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对 ECS 的只读权限、对 ECS 的管理员权限等；系统策略在IAM控制台中只能用于授权，不能编辑和修改。 自定义策略：由用户自己在IAM控制台创建和管理的权限集，是用户可以自由定义的权限，是对系统策略的扩展和补充。 企业项目：企业项目权限实现细粒度控制的基础。将云资源、企业成员按企业项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用企业项目内云资源的权限受用户组的授权限制。

本页介绍分布式融合数据库HTAP的主子账号和IAM权限管理功能。 操作场景 分布式融合数据库HTAP产品已对接天翼云统一身份认证服务（IAM），可实现在控制台按钮、菜单功能、OpenAPI等维度上对用户访问、操作资源的权限控制， 以达到用户权限的精细管理，保证访问的安全性。 IAM简介 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。目前天翼云提供对应专有的CTIAM服务，用户可申请开通后免费使用，您只需要为您帐号中的云服务和资源进行付费。具体IAM使用说明请参见：统一身份认证。 IAM涉及主要概念 主用户 ：用户在天翼云注册后自动创建，该用户对其所拥有的资源具有完全的访问权限，可以重置用户密码、分配用户权限等。如果需要多人共同使用天翼云资源，为了确保账号安全，建议创建子用户来进行日常管理工作。 子用户 ：由拥有IAM权限的用户，在用户中心创建的子用户。子用户的用户名、密码由拥有IAM权限的用户控制。子用户同样可以登录访问天翼云控制台，登录入口与主用户相同，受赋予的权限限制。 用户组 ：用户组是用户的集合，IAM通过用户组功能实现用户的授权。您创建的IAM用户，需要加入特定用户组后，才具备对应的权限，否则IAM用户无法访问您帐号中的任何资源或者云服务。 系统策略 ：由产品团队维护，系统预置的常用权限集，主要针对不同云服务的只读权限或管理员权限，比如对 ECS 的只读权限、对 ECS 的管理员权限等；系统策略在IAM控制台中只能用于授权，不能编辑和修改。 自定义策略 ：由用户自己在IAM控制台创建和管理的权限集，是用户可以自由定义的权限，是对系统策略的扩展和补充。 企业项目 ：企业项目权限实现细粒度控制的基础。将云资源、企业成员按企业项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用企业项目内云资源的权限受用户组的授权限制。

本章节主要介绍翼MapReduce集群组件使用规则。 Kafka支持四种协议类型的访问，分别为：PLAINTEXT、SSL、SASLPLAINTEXT、SASLSSL。当前，翼MR集群默认采用Kerberos安全验证服务，Kafka协议类型建议使用SASLPLAINTEXT、SASLSSL这两种。

本章节主要介绍翼MapReduce集群Hive组件使用规则。 Hive 3.1版本与Hive 1.2版本相比不兼容内容主要如下： 字段类型约束：Hive 3.1不支持String转成int。 UDF不兼容：Hive 3.1版本UDF内的Date类型改为Hive内置。 索引功能废弃。 时间函数问题：Hive 3.1版本为UTC时间，Hive 1.2版本为当地时区时间。 驱动不兼容：Hive 3.1和Hive 1.2版本的JDBC驱动不兼容。 Hive 3.1对ORC文件列名大小写，下划线敏感。 Hive 3.1版本列中不能有名为time的列。 当前，翼MR集群提供的是高稳定、高性能的3.1版本Hive组件能力，建议客户在开通翼MR集群后，优先考虑完成业务上Hive使用版本的升级适配。

进入IAM管理页面： 登录天翼云官网，鼠标悬浮至右上角个人信息，点击“个人信息”进入账号中心页面 在帐号中心页面中，点击“统一认证服务”进入IAM管理页面 创建用户组： 在IAM管理页面中，点击左侧菜单栏中“用户组”进入用户组管理页面 在用户组管理页面中，点击“创建用户组”按钮，在弹出框中填写用户组名称与描述，点击确定即可 创建子用户： 在IAM管理页面中，点击左侧菜单栏中“用户”进入用户管理页面 在用户管理页面中，点击“创建用户”按钮，进入创建页面 在创建页面中，首先需要配置用户基本信息。填写用户名称、手机号、邮箱和密码等信息，点击下一步加入用户组 在加入用户组页面，选择对应的用户组，点击“添加”按钮加入已选用户组，点击下一步即可 创建策略： 在IAM管理页面中，点击左侧菜单栏中“策略管理”进入用户组管理页面 在策略管理页面中，点击“创建自定义策略”，进入创建页面 在创建页面中，填写策略名称与策略描述，点击下一步 进入设置策略内容页面，可选择可视化视图和JSON视图。可视化视图中支持选择效果，云服务，操作，资源等信息，操作更灵活。JSON视图支持手动配置权限组，权限展示更加清晰。点击保存即成功创建自定义策略

启动开发机并登录VNC远程桌面 步骤1：购买完成后，可以看见开发机状态显示为【启动中】，等待新创建的开发机状态进入到【运行中】，然后点击右侧操作栏【打开】； 步骤2：点击【打开】跳转到开发机，成功进入到VNC远程桌面页面中，如下图所示，可看见在桌面中有 Dify 应用图标； 步骤3：点击启动 Dify 图标，将自动部署 Dify 服务，需等待1分钟左右。启动完成后将自动弹出 Dify 页面。 在科研助手开发机中通过Dify使用DeepSeek模型搭建知识库 对话DeepSeek 步骤1：镜像中已经预置，直接点击图中 deepseekr1 选项卡； 步骤2：进入到 deepseekr1 聊天助手中，可以在页面中设置提示词、上下文、聊天等； 步骤3：可以尝试与 DeepSeek 模型对话； 对话输出结果如下：

本文介绍在AOne零信任如何进行客户端设置。 背景说明 企业可根据不同的安全要求和合规标准设置不同的客户端策略。 功能说明 超时注销登录 用户账号长时间连接内网，存在账号盗用、占用会话导致并发超过上限等风险，管理员可自定义配置超时注销策略。变更配置后续重新登录客户端才可生效。 根据企业场景配置账号超时注销方式，企业可分别对桌面端和移动端设置不同的超时规则，当客户端连接内网或无内网访问流量达到设定时间（桌面端默认 5 小时、移动端默认 3 小时 ），就会自动注销登录状态，再次访问内网时需重新登录，这样能有效保障内网访问安全 。 注意 移动端暂未发版本，有需要可以 客户端限速 可根据企业场景进行单客户端访问限速，限速仅针对内网访问进行，若您订购的是“带宽计费”，则带宽超量达到阈值后则会进行自动限速，配置详情见客户端限速。 客户端自保护 支持客户端防卸载能力，适用于企业强管控合规要求，配置详情见客户端自保护。 开机自动启用AOne 开机自动启用（自启动）是指设备开机或用户登录系统后，应用程序或系统服务无需手动触发，即可自动在前台或后台运行的功能，配置详情见开机自动启用AOne。

本节介绍云电脑高可用的产品简介，以便您了解云电脑高可用。 AI云电脑高可用功能可在AI云电脑出现不可预见的故障时，为用户提供持续可用的桌面服务，保障业务连续性。 跨资源池灾备 AI云电脑所在资源池出现异常故障时，可自动切换使用备资源池的灾备AI云电脑。 业务连续性 提供一致的AI云电脑的服务，用户可持续开展业务工作。

处理失败任务 失败任务建议记录： 当前步骤。 最近一次截图。 关键输入参数。 错误码和错误信息。 文件输出情况。 对于可重试任务，应在重试前确认当前桌面状态，避免重复提交或重复写入。 上线检查 上线前建议确认： AccessKey 权限范围最小化。 云电脑资源数量满足并发需求。 会话关闭逻辑可靠。 关键操作有截图或状态校验。 错误码已映射到业务告警或人工处理流程。 任务日志已脱敏。

处理失败任务 失败任务建议记录： 当前步骤。 最近一次截图。 关键输入参数。 错误码和错误信息。 文件输出情况。 对于可重试任务，应在重试前确认当前桌面状态，避免重复提交或重复写入。 上线检查 上线前建议确认： AccessKey 权限范围最小化。 云电脑资源数量满足并发需求。 会话关闭逻辑可靠。 关键操作有截图或状态校验。 错误码已映射到业务告警或人工处理流程。 任务日志已脱敏。

审计建议 建议记录以下审计信息： 调用时间。 调用方系统或任务 ID。 脱敏后的 AccessKey ID。 桌面编码。 会话 ID。 调用工具名称。 结果状态和错误码。 审计日志中不应包含完整 Secret、敏感文件正文或未脱敏截图。 合规说明 如需对外提供合规材料，建议由产品、安全和法务共同确认以下内容： 数据存储位置。 日志保存周期。 临时文件清理周期。 权限模型和审计能力。 适用的企业安全认证或合规声明。

该工具提供将其他对象存储迁移至对象存储ZOS的迁移服务。 工具介绍： 对象存储（CTZOS，Zettabyte Object Storage）数据迁移工具是一款用于将存储在其他对象存储服务中的数据，迁移至天翼云 ZOS 的命令行迁移工具。 主要功能： 适配多源端：支持多种数据源端，包括：亚马逊 S3、阿里云 OSS、华为云 OBS（包含合营的OBS）、腾讯云 COS、天翼云 ZOS、天翼云 OOS 和 其他遵循标准 S3 协议的对象存储服务。 源端配置 源端整桶迁移：支持整桶文件迁移。 源端过滤规则：支持指定源端文件夹、文件、前缀进行迁移；支持通过对象列表文件（.txt格式）指定源端迁移对象。 源端指定时间区间：支持迁移源桶内指定时间区间内的文件。 目的端配置 目的端指定前缀：支持指定迁移至目的端的对象统一新增前缀，若为目录前缀则会将数据迁移至该目录下。 目的端存储类型及访问控制：支持设置迁移至目的端的对象的存储类型和访问控制；支持设置对象迁移到ZOS为归档存储。 高级配置 同名文件处理策略：支持处理同名文件的策略配置。 流量控制：支持对任务进行限流。 自定义分片：支持自定义分片大小。 数据一致性校验：支持迁移过程中的一致性校验（按最后修改时间和 size）。 失败记录及重试：支持记录迁移失败对象以及重试失败对象的迁移；支持记录对象迁移失败原因。 并行传输和续传：支持对象并行下载和上传，支持断点续传。 迁移进度与日志：支持实时查询迁移进度，支持日志记录。 多任务迁移：支持自动按序执行迁移任务。您可一次创建多个任务配置文件，让工具自动执行这些任务。 注意 各源端厂商可能基于标准S3协议进行定制化改动，而非完全遵循标准S3协议，因此，非以上厂商的对象存储服务，请您以实际支持情况为准。 为避免您的损失，迁移前我们建议您尝试进行小部分数据迁移进行测试。

本节为您介绍如何续订云安全中心。 为避免云安全中心实例到期后，服务自动停止，需要在实例到期前进行手动续费，或设置到期自动续费。 到期说明 服务到期后，如果没有按时续费，平台会冻结服务，但用户配置信息会提供15天的保留期。 保留期内，平台会冻结云安全中心的服务，用户配置的各类数据会继续生效，但用户无法访问云安全中心。 保留期满，用户若仍未续费，平台会清除实例资源，用户原有的配置信息将会被删除，同时云安全中心将不再获取第三方日志、用户云上资产等信息。 续订说明 在购买云安全中心时，支持勾选并同意“自动续订”，则在服务到期前，系统会自动按照默认的续费周期生成续费订单并进行续费，无须用户手动续费。 若购买云安全中心时勾选了“自动续订”，系统将会默认设置续费周期：按月购买，自动续费周期默认为3个月；按年购买，自动续费周期默认为1年。如需要修改自动续费周期，可进入天翼云“费用中心”，进入“订单管理 > 续订管理”页面，在资源页面找到待修改自动续订的资源，单击操作列的“修改自动续订”，拖动“续订周期”可修改自动续订周期。 手动续订 1. 登录天翼云控制中心。 2. 在控制台列表页，选择“安全 > 云安全中心”。 3. 在左侧导航栏，选择“已购资源”。 4. 在当前实例信息展示界面，点击“续订”。 5. 在“续订管理”操作界面，可以根据需要进行“手动续订”或者“开通自动续订”。 6. 点击“手动续订”后，进入手动续订页面。 7. 选择续订时长，确认续订时长、续订金额后，单击“确定提交”提交续订订单。 8. 在订单页完成订单确认并支付，付费成功后，续订生效。

本文为您介绍密钥管理服务KMS（Key Management Service）的续订规则及续订流程。 若您购买了包周期版KMS服务，为避免KMS服务到期后停服导致您的业务无法使用密钥等资源，需要在服务到期前为实例手动续订，或设置到期自动续订策略。 到期说明 服务即将到期前，系统会以短信或邮件的形式提醒服务即将到期，并提醒用户续订。 服务到期后，如果没有按时续订，平台会冻结服务，但用户的资源及配置信息会提供15天的保留期。 说明 保留期内，平台会冻结KMS服务，用户购买包周期版本后所创建的密钥等资源不可用，即无法正常进行加解密等运算操作。保留期满，用户若仍未续订，平台会清除服务资源，用户所创建的密钥等资源及其所有配置将会被删除且不可恢复。 如果您仍需继续使用KMS服务中的密钥等资源，请提前进行续订。 续订说明 服务支持手动续订，需要在服务到期前进入KMS产品控制台或天翼云续订管理页面操作。续订规则可参考续订规则说明。 在购买KMS服务时，支持勾选并同意“自动续订”，则在服务到期前，系统会自动按照默认的续订周期生成续费订单并进行续费，无须用户手动续订。自动续订规则可参考自动续订。 说明 若购买KMS服务时勾选了“自动续订”，系统将会默认设置续费周期： 按月购买，自动续订周期默认为1个月。 按年购买，自动续订周期默认为1年。 如需要修改自动续费周期，可进入天翼云“费用中心 > 订单管理 > 续订管理”页面，在资源页面找到待修改自动续订的资源，单击操作列的“修改自动续订”，拖动“续订周期”可修改自动续订周期，当自动续订周期达1年或以上时，将可享受包年折扣。

本章节主要介绍翼MapReduce服务的计费方式。 计费项 购买翼MapReduce集群的费用包含两个部分： 翼MapReduce服务管理费用 IaaS基础设施资源费用（云主机、物理机、云硬盘） 计费方式 翼MapReduce当前支持包年包月与按需两种计费方式。 • 包年/包月：根据集群购买时长，一次性支付集群费用。最短时长为1个月，实际可订购时长以页面显示为准。适用于需要长期稳定运行的服务。 • 按需：是一种更灵活的计费模式，适用于需要灵活调整资源、业务不稳定或资金有限的场景。在选择计费模式时，应结合业务需求和实际情况来做出合适的选择。 注意 若选择按需模式，请确保现金账户余额不低于100元。 到期 • 包年/包月：集群到期后进入保留期，此时无法在翼MapReduce管理控制台进行该集群的操作，无法调用相关接口，自动化监控或告警等运维也会停止。如果在保留期结束时您没有续费，集群将终止服务，系统中的数据也将被永久删除。 • 按需：不涉及到期问题，无需担心服务到期。 欠费 • 包年/包月：如果您选择使用云日志服务、对象存储等按需计费产品，余额欠费后，将会导致相关功能无法继续使用，请及时续费。 • 按需：集群按小时进行扣费，当余额不足，无法对上一个小时的费用进行支付时，会导致集群欠费并暂停服务。对于欠费导致暂停的集群，您可以在7天内充值，对相关集群进行续费。续费后，被冻结的集群可继续正常使用。请注意，冻结期进行的续费，是以冻结开始时间作为生效时间，您应当支付从进入冻结期开始到续费时的服务费用。

本文主要介绍云日志服务的计费模式概述。 天翼云云日志服务支持按需付费和资源包两种计费方式。 默认为按需计费（后付费）方式，即先使用再付费，按照实际使用的日志存储量、读写流量等计费项结算费用，在每个结算周期生成账单并从账户中扣除相应费用。同时支持资源包的计费方式。两种方式说明如下： 按需计费：在按需计费模式下，您可根据实际业务需求地调整资源使用，计费更为灵活，无需提前购买预留资源，从而降低预置过多或不足的风险。详情请见按需计费说明。 资源包：您可以预先购买日志资源包，在进行费用抵扣时，优先从资源包中抵扣用量。先购买，后抵扣。因此适用于业务用量相对稳定的场景。详情请见资源包说明。

本文介绍使用专属云（计算独享型）过程中涉及相关产品的基本概念，方便您查询和了解相关概念。 云主机 专属云（计算独享型）产品提供物理隔离的公有云虚拟化环境，在已购买的专属云中可创建云主机来部署应用服务。 云硬盘 专属云（计算独享型）产品中，云主机使用的云硬盘为公有云中的云硬盘，类型包括普通IO、高IO、超高IO三种类型。这三种类型跟公有云云硬盘产品规格参数保持一致。若您同时购买了专属云（存储独享型）产品，创建的云硬盘为物理独享的云硬盘，具体云硬盘类型取决于购买类型。 虚拟私有云 虚拟私有云是通过逻辑方式为您提供一个完全隔离的网络环境。您可以在VPC中定义与传统网络无差别的子网，同时提供弹性IP、安全组、带宽、VPN等网络服务。

本页主要首先介绍备份恢复相关openAPIv1接口下线和旧版本的备份架构升级的原因、影响和建议。 原因 由于旧版本的备份恢复架构不能适应组件发展，且在功能使用方面有一定的局限性。天翼云决定于2024年8月5日起更新I 类型资源池的备份恢复列表接口，以v2接口替换具体的接口调用可参考"建议”。同时也将对旧的备份恢复架构进行升级。 影响 下线接口范围：下线旧的备份恢复openAPI接口（I 类型资源池备份v1的13个接口）。 恢复时间点功能：升级后，新的备份文件继续支持恢复到时间点功能，但不支持将升级前的备份文件恢复到时间点。 注意 备份策略：升级后，新的备份策略为默认保留3天，可能部分用户的备份文件会按照新的备份策略被清理掉，敬请谅解，如有问题可提单咨询。 涉及资源池：北京5、晋中、辽阳1、内蒙古6、石家庄20、雄安2、杭州2、合肥2、九江、南京3、上海7等I 类型资源池。 注：涉及的资源池将分批下线，届时可能存在部分资源池依然沿用旧接口，将会在8月底之前全部更新完毕，敬请谅解！ 建议 请用户确认升级后的备份策略保留天数是否符合业务预期，有问题可以提单咨询。 新版本的API接口地址可参见API使用说明，其中I 类型资源池备份恢复模块已替换为v2接口。

本文介绍CDN回源的流量为什么按照公网下行流量计费了。 媒体存储CDN回源流出流量是指数据从媒体存储传输到天翼云CDN所产生的回源流量，这部分流量将按照CDN回源流出流量计费。具体可参考：计费项。 如您发现CDN回源流量按照公网流量计费，可参考一下原因并根据指引进行操作： 如您的CDN为其他云厂商的产品，则产生的回源流量会按照公网下行流量计算。 如您使用天翼云CDN，需要在源站配置中，选择【媒体存储源站】，此配置下产生的回源流量会按照CDN回源流量进行计费。如您选择【IP或域名】，产生的回源流量将按照公网下行流量计费。 CDN回源流量计费模式说明： CDN回源流量支持按需+资源抵扣包计费，如您为按需计费模式，且源站配置正确，则回源流量会按照CDN回源流量资费进行计费，如您需订购资源抵扣包，可联系您的客户经理或致电服务热线：4008109889。 目前包周期（用量封顶模式）不支持CDN回源量流量计费，如您为包周期计费模式，则所有下行流量（包括CDN回源）均会按照公网下行流量计费，如您需转换计费方式，可联系您的客户经理或致电服务热线：4008109889。 关于您服务具体的计费模式查询，可参考：订购管理。

操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 全局防护配置”，进入全局防护配置页面。 5. 定位到“全局Web核心防护”模块，可以选择开启/关闭防护。 6. 单击防护规则右侧的“前去配置”，进入全局Web核心防护管理页面。 7. 单击“新建规则组”，配置全局Web核心防护规则组。 参数说明如下： 配置项 说明 新增规则是否默认开启 配置完成规则组后，确认是否默认开启，默认选择为“关闭”。 规则组名称 设置规则的名称。 规则组名称用于标识当前防护规则组，建议您使用有明确含义的名称。 规则组描述 对规则组的用途进行描述。 规则 选择需要启用的内置规则及规则的使用状态，可勾选或全量启用所有规则； 使用状态说明： 观察：设置为观察状态时，只产生日志信息。 拦截：拦截此类规则的攻击。 企业项目 选择规则组生效的防护对象所在企业项目。 关联防护对象 选择规则组生效的防护对象，可多选。 规则组状态 选择规则模版整体状态。 当设置为观察状态时，所有开启的规则都只产生日志，不产生拦截。 当设置为防护状态时，按照具体的规则动作生效。 8. 单击“保存”，规则组创建成功。您可以在规则组列表中查看该规则组。

本章介绍Windows内核特权提升漏洞。 Windows内核处理内存中对象的方式中存在特权提升漏洞，成功利用此漏洞的攻击者可能会利用提升的特权执行代码。 为了利用此漏洞，在本地经过身份验证的攻击者可能会运行经特殊设计应用程序。 漏洞编号 CVE20201027 漏洞名称 Windows内核特权提升漏洞 漏洞描述 Windows内核处理内存中对象的方式中存在特权提升漏洞，成功利用此漏洞的攻击者可能会利用提升的特权执行代码。 影响范围 所有Windows系统 官方解决方案 官方建议受影响的用户尽快安装最新的漏洞补丁。 详情请参见< 检测与修复建议 天翼云企业主机安全服务支持对该漏洞的便捷检测与修复。 1. 检测并查看漏洞详情，详细的操作步骤请参见漏洞管理。 手动检测漏洞 2. 漏洞修复与验证，详细的操作步骤请参见漏洞管理。