本节介绍数据加密的权限管理说明。 如果您需要对云服务平台上购买的数据加密（以下简称DEW）资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全地控制云服务资源的访问。 通过IAM，您可以在帐号中给员工创建IAM用户，并使用策略来控制员工对云服务资源的访问范围。例如您的员工中有负责软件开发的人员，您希望这些开发人员拥有DEW的使用权限，但是不希望开发人员拥有删除DEW等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用DEW，但是不允许删除DEW的权限策略，控制员工对云资源的使用范围。 如果系统帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用DEW的其它功能。 数据加密权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 DEW部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问KMS时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云服务平台各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对KMS服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分，权限的最小粒度为API授权项（action）。 DEW系统权限 系统角色/策略名称 描述 类别 KMS Administrator 加密密钥的管理员权限。 系统角色 KMS CMKFullAccess 加密密钥所有权限。 系统策略 下表列出了DEW常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 常用操作与系统权限的关系 操作 KMS Administrator KMS CMKFullAccess 创建密钥 √ √ 启用密钥 √ √ 禁用密钥 √ √ 计划删除密钥 √ √ 取消计划删除密钥 √ √ 修改密钥别名 √ √ 修改密钥描述 √ √ 创建随机数 √ √ 创建数据密钥 √ √ 创建不含明文数据密钥 √ √ 加密数据密钥 √ √ 解密数据密钥 √ √ 获取密钥导入参数 √ √ 导入密钥材料 √ √ 删除密钥材料 √ √ 创建授权 √ √ 撤销授权 √ √ 退役授权 √ √ 查询授权列表 √ √ 查询可退役授权列表 √ √ 加密数据 √ √ 解密数据 √ √ 查询密钥实例 √ √ 查询密钥标签 √ √ 查询项目标签 √ √ 批量添加删除密钥标签 √ √ 添加密钥标签 √ √ 删除密钥标签 √ √ 查询密钥列表 √ √ 查询密钥信息 √ √ 查询实例数 √ √ 查询配额 √ √ 系统默认提供两种权限策略：系统策略和自定义策略。系统策略是IAM预置的策略，用户只能使用不能修改。若系统策略不满足授权要求，用户可以创建自定义策略，自由搭配需要授予的权限集。 用户组配置权限策略后，将用户加入用户组中，可以使该用户获得权限策略中定义的操作权限。

本节为您介绍如何创建智能网关APP实例。 操作场景 SDWAN服务支持接入客户端，用户可以通过在客户端登录APP的方式访问特定的SDWAN网络，使用之前请您先创建智能网关APP实例。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“智能网关APP”，单击“创建APP实例”。 5. 在创建APP实例页面，根据页面提示填写配置参数。参数可参考如下： 参数 说明 实例名称 长度232字符，支持英文大小写、数字、“.”、“”、“”。 带宽大小 带宽值的大小，例如：10Mbps。 购买时长 根据实际情况购买。 企业项目 default 6. 勾选服务协议，单击“确认下单”按钮。

请求状态码 正常状态码 描述 :: 200 服务器返回成功，该操作是幂等的 400 用户请求错误，该操作是幂等的 401 用户无权限（用户名或者密码错误等） 403 访问受限，被禁止 404 用户请求路径不存在 429 Too many Request 500 服务端异常 502 网关错误 503 服务不可用

本文简述请求协议的配置方法。 功能介绍 配置请求协议，即配置允许客户端使用何种协议访问域名。 HTTP协议以明文方式发送内容，不提供任何方式的数据加密。 HTTPS协议是以安全为目标的HTTP通道，简单来说，HTTPS是HTTP的安全版，即将HTTP用SSL/TLS协议进行封装，HTTPS的安全基础是SSL/TLS协议。 在天翼云客户控制台开启HTTPS协议，将实现客户端和天翼云边缘节点之间请求的HTTPS加密。如果需要实现全链路HTTPS加密，还需要配置边缘节点以HTTPS协议回源到源站服务器（源站服务器需要支持HTTPS协议）。 开启HTTPS后，HTTPS请求的基本流程： 1.客户端以HTTPS协议请求边缘节点。 2.边缘节点将相应的SSL证书公钥传送给客户端。 3.客户端解析SSL证书公钥的正确性，如果SSL证书公钥正确，则会生成一个随机数（密钥），并用公钥进行加密，并传输给边缘节点。 4.边缘节点用之前的私钥进行解密，得到随机数（密钥）。 5.边缘节点用随机数（密钥）对传输的数据进行加密。 6.客户端用随机数（密钥）对边缘节点的加密数据进行解密，拿到相应的数据。 注意事项 域名配置HTTPS前，需要提前准备好域名的证书文件。 配置说明 1.登录边缘安全加速平台控制台。 2.进入域名基础配置页面，点击“新增域名”。 3.进入请求协议中勾选，需要支持客户端访问的协议HTTP/HTTPS。支持单选、多选。 4.若勾选HTTPS，需要关联对应的证书备注名或上传证书。 配置 说明 关联证书 1.选择有效的证书 上传证书 1.若未找到目标证书，可点击上传。 2.证书备注名，是指在添加自有证书时，为了方便识别和记忆，可以支持客户自定义所上传证书的名称，方便选择时，选定正确的证书与所配置的域名进行关联。 域名新增完成后，编辑请求协议： 1.登录客户控制台。 2.在域名基础配置页面，点击目标域名。 3.在请求协议页面，单击“配置编辑”。 4.在请求协议中可勾选/取消勾选，调整请求协议。 5.若勾选HTTPS，可编辑域名关联的证书，或重新上传证书。

简要介绍合规保留。 OOS提供合规保留功能，即开启Bucket合规保留功能后，任何用户（包括根用户）都不能对此Bucket内处于合规保留期的文件进行修改和删除。 可以根据需求，对Bucket级别开启合规保留功能，以天（Days）或者以年（Years）为单位设置合规保留时长，1年365天。 注意 合规保留一旦开启，不能关闭，不能缩短合规保留时长，但可以延长合规保留时长。 合规保留的时间精确到秒，例如对Bucket A设置合规保留时长为10天，文件A1属于Bucket A，A1的最后更新时间为201931 12:00:00，该文件会在2019311 12:00:01过合规保留期。 任何用户（包括根用户）都不能修改、覆盖、删除处于合规保留期的文件。 处于合规保留期的文件，无法通过调用API、控制台修改文件的存储类型，只能通过设置的生命周期规则修改存储类型。 文件处于合规保留期：如果生命周期规则为修改文件存储类型，则生命周期规则可以生效；如果生命周期规则为到期删除文件，则文件必须过了合规保留期后，生命周期规则才能生效。

本文主要介绍账号登录相关的常见问题。 官网在多长时间无操作情况下会自动退出？ 为了安全着想，官网页面默认3小时无操作情况下会自动退出，可在“账号中心>安全设置>登录保持时间”修改时长。 天翼云官网账号密码如何修改？ 有2个途径可以更改官网账号密码： 忘记密码的情况，可以点击登录界面下方的忘记密码进行密码重置。 已知密码的情况，可以在登录成功后进入管理中心，在 “账号中心>安全设置>登录密码” 界面中进行密码修改。 没有开启短信登录，可以使用短信登录吗？ 可以使用，但需要在使用短信登录时，选择相应账号后开启短信登录功能。 天翼云门户账号支持几人同时登录？ 没有人数限制规则。 没有设置短信二次验证，为什么登录时要求二次验证？ 为了保障您的账号安全，天翼云账号若长期未登录或登录IP发生变动，登录时系统会要求进行短信验证，详细规则请参考账号登录安全策略说明。

本文介绍如何停用域名和删除域名。 背景说明 如果客户的网站因业务变更需要停止加速服务，客户可以通过边缘安全加速控制台对域名进行停用或者删除操作。 停用域名和删除域名的区别： 操作 说明 停用域名 对域名进行停用操作后，控制台上域名状态将变更为“已停止”。3天内，天翼云将加速域名的CNAME解析至客户源站地址。 注意：对域名进行停用操作后，边缘节点会立即删除配置，但仍会在系统数据库中保留原来的配置记录，可再次对域名进行"启用"操作。 删除域名 对域名进行删除操作后，天翼云边缘节点会直接删除加速域名在边缘节点的配置，域名对应CNAME入口地址失效，此时域名请求如果仍访问至边缘节点，则会响应403。 注意事项 停用加速域名前，为了避免停用导致业务中断，客户需要确保已将域名DNS解析记录由原来CNAME至天翼云CDN入口，调整为解析至其他CNAME或A记录。该调整完成后，客户可以通过边缘安全加速控制台统计分析模块确认域名是否还有流量。如果域名已经没有流量，可以开始操作停用流程。 域名需先停用后才能进行删除操作，域名删除后将无法再启用。

本文介绍模型推理服务使用前的准备工作。 注册天翼云账号 在开通和使用模型推理服务平台之前，您需要先注册天翼云账号。 1. 注册账号，请参考账号中心注册账号 2. 如需实名认证，请参考账号中心实名认证。 充值主账户 使用息壤模型推理服务平台之前，请保证您的账户有充足的余额，账户余额需要大于100元。 请前往费用充值为账户充值。 平台支持按卡时后计费、包周期预付费和按tokens用量计费。

本文主要介绍如何设置天翼云账号的“收件地址”。 操作步骤 1、在天翼云官网首页点击“我的账号中心”进入账号中心的“基本信息“页面，点击详细资料； 2、点击“基本信息”页面的“地址管理”页签； 3、在“地址管理”页面，点击“新增收货地址”按钮，填写“收件人姓名”、“所在地区”、“详细地址”、“邮政编码”、“手机号码”等信息，点击“保存”； 4、支持在列表中修改、删除地址，以及将地址设置为默认收件地址。

限制项 默认限制 能否修改 API分组数量 每个用户最多创建50个API分组。 √ API数量 每个用户最多创建200个API。 √ 后端策略数量 每个用户最多创建5个后端策略。 √ 应用数量 每个用户最多创建50个应用。应用配额包括用户自行创建的应用和API市场购买API生成的应用。 √ 流控策略数量 每个用户最多创建30个流控策略。 用户流量限制不超过API流量限制。 应用流量限制不超过用户流量限制。 源IP流量限制不超过API流量限制。 √ 环境数量 每个用户最多创建10个环境。 √ 签名密钥数量 每个用户最多创建30个签名密钥。 √ 访问控制策略数量 每个用户最多可以创建100个访问控制策略。 √ VPC通道数量 每个用户最多创建30个VPC通道。 √ 变量数量 每个分组在任意一个环境中，最多创建50个变量。 √ 独立域名数量 每个分组最多可以绑定5个独立域名。 √ 云服务器数量 每个VPC通道最多添加200个云服务器。 √ 参数数量 每个API最多创建50个参数。 √ 发布历史数量 同一个API在每个环境中最多记录10条最新的发布历史。 √ 每个API的访问频率 不超过200次/秒。 √ 特殊应用 每个流控策略最多可创建30个特殊应用。 √ 特殊租户 每个流控策略最多可创建30个特殊租户。 √ 子域名访问次数 每个子域名每天最多可以访问1000次。 x 调用请求包的大小 API每次最大可以调用12M的请求包 x TLS协议 支持TLS1.1和TLS1.2，推荐使用TLS1.2。 x 实名认证 未实名认证的用户，无法进行任何的创建操作。 x

本文介绍VPC终端节点统一身份认证与权限管理相关配置 1.统一身份认证IAM介绍 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。 1.1 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，缩小不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 1.2 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素“Action”“Effect”等，更多信息，请参见“2.1.2 创建自定义策略“。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略: 系统策略 ：预置的系统策略，您只能使用不能修改。VPC终端节点相关的系统策略包含如下： vpcep admin：VPC终端节点服务的管理者权限，包含VPC终端节点所有控制权限（不含订单类权限）； vpcep viewer: VPC终端节点服务的观察者权限，包含VPC终端节点服务的列表页与详情页面权限； 自定义策略 ：您按需自行创建和维护的权限策略，关于自定义策略的操作和示例，请参见“2.1.2 创建自定义策略“。

本文为您介绍统一身份认证服务的权限配置管理方式 基本介绍 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限，具体介绍说明详见：产品定义。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，缩小不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素左作用（Effect）、权限集（Action）等。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略： 系统策略 ：预置的系统策略，您只能使用不能修改。云间高速EC相关的系统策略包含如下： EC Admin：云间高速服务的管理者权限，包含云间高速所有控制权限； EC Viewer：云间高速服务的观察者权限，包含云间高速服务的列表页与详情页面权限； 自定义策略 ：您按需自行创建和维护的权限策略，关于自定义策略的操作和示例，具体配置说明详见：创建自定义策略。

本文介绍对等连接服务统一身份认证与权限管理。 1.统一身份认证IAM介绍 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。 1.1 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，缩小不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 1.2 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素“Action”“Effect”等，更多信息，请参见“2.1.2 创建自定义策略“。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略: 系统策略 ：预置的系统策略，您只能使用不能修改。对等连接相关的系统策略包含如下： peering admin：对等连接服务的管理者权限，包含对等连接服务所有控制权限（不含订单类权限）； peering viewer: 对等连接服务的观察者权限，包含对等连接服务的列表页与详情页面权限； 自定义策略 ：您按需自行创建和维护的权限策略，关于自定义策略的操作和示例，请参见“2.1.2 创建自定义策略“。

事件类型 告警名称 告警说明 企业版 旗舰版 网页防篡改版 加入告警白名单 隔离查杀 恶意软件 恶意程序 恶意程序可能是黑客入侵成功之后植入的木马、后门等，用于窃取数据或攫取不当利益。 例如：黑客入侵之后植入木马，将受害主机作为挖矿、DDoS肉鸡使用，这类程序会大量占用主机的CPU资源或者网络资源，破坏用户业务的稳定性。 通过程序特征、行为检测，结合AI图像指纹算法以及云查杀，有效识别后门、木马、挖矿软件、蠕虫和病毒等恶意程序，也可检测出主机中未知的恶意程序和病毒变种，并提供一键隔离查杀能力。 √ √ √ √ √ 恶意软件 勒索软件 检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。 勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产，并以此作为向您勒索钱财的筹码。 × √ √ √ ×（部分支持） 恶意软件 Webshell 检测云服务器上web目录中的文件，判断是否为Webshell木马文件，支持检测常见的PHP、JSP等后门文件类型。 您可以在“策略管理”的“Webshell检测”中配置Webshell检测，HSS会实时检测执行的可疑指令，主机被远程控制执行任意命令等。 × √ √ √ × 恶意软件 反弹Shell 实时监控用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。 支持对TCP、UDP、ICMP等协议的检测。 您可以在“策略管理”的“恶意文件检测”中配置反弹Shell检测，HSS会实时检测执行的可疑指令，主机被远程控制执行任意命令等。 × √ √ √ × 漏洞利用 一般漏洞利用 实时检测利用漏洞入侵主机的行为，对发现的入侵行为进行告警上报。 √ √ √ √ × 系统异常行为 文件提权 当黑客成功入侵主机后，会尝试利用漏洞进行root提权或者文件提权，从而达到非法创建和修改系统帐号的权限或者篡改文件的目的。 HSS检测当前系统的“进程提权”和“文件提权”操作。 检测以下异常提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 对文件的提权。 √ √ √ √ × 系统异常行为 进程提权 检测以下进程提权操作并进行告警： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 √ √ √ √ × 系统异常行为 关键文件变更 篡改系统关键文件，通常是黑客入侵成功后进行身份隐藏或者发起下一步攻击的准备工作。 对系统关键文件（例如：ls、ps、login、top等）及目录进行监控，一旦文件被修改就进行告警，提醒用户关键文件存在被篡改的可能。监控的关键文件的路径请参见关键文件变更监控路径。 关键文件变更信息包括“被更改的关键文件路径”、“文件最后修改时间”以及配置文件所在的“服务器名称”。 文件/目录变更信息包括“文件别名”、“被更改的关键文件路径”以及配置文件所在的“服务器名称”。 添加关键文件指纹库，收集关键文件信息，便于清点合法文件信息，检测异常文件。 对于关键文件变更，HSS只检测目录或文件是否被修改，不关注是人为或者某个进程修改的。 √ √ √ √ × 系统异常行为 文件/目录变更 实时监控系统文件/目录，对创建、删除、移动、修改属性或修改内容的操作进行告警，提醒用户文件/目录可能被篡改。 √ √ √ √ × 系统异常行为 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 √ √ √ √（部分支持） × 系统异常行为 高危命令执行 您可以在“策略管理”的“高危命令检测”中预置高危命令。 HSS实时检测当前系统中执行的高危命令，当发生高危命令执行时，及时触发告警。 √ √ √ √ × 系统异常行为 异常Shell 检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。 您可以在“策略管理”的“恶意文件检测”中配置异常Shell检测，HSS会实时检测执行的可疑指令，主机被远程控制执行任意命令等。 √ √ √ √ × 系统异常行为 Crontab可疑任务 检测并列出当前所有主机系统中自启动服务、定时任务、预加载动态库、Run注册表键或者开机启动文件夹的汇总信息。 帮助用户通过自启动变更情况，及时发现异常自启动项，快速定位木马程序的问题。 × × √ √ × 用户异常行为 暴力破解 黑客通过帐户暴力破解成功登录主机后，便可获得主机的控制权限，进而窃取用户数据、植入挖矿程序，DDoS木马攻击等恶意操作，严重危害主机的安全。 检测SSH、RDP、FTP、SQL Server、MySQL等帐户遭受的口令破解攻击。 如果30秒内，帐户暴力破解次数（连续输入错误密码）达到5次及以上，HSS就会拦截该源IP，禁止其再次登录，防止主机因帐户破解被入侵。 SSH类型攻击默认拦截12小时，其他类型攻击默认拦截24小时。 根据帐户暴力破解告警详情，如“攻击源IP”、“攻击类型”和“拦截次数”，您能够快速识别出该源IP是否为可信IP，如果为可信IP，您可以通过手动解除拦截的方式，解除拦截的可信IP。 √ √ √ √ × 用户异常行为 异常登录 检测“异地登录”和“帐户暴力破解成功”等异常登录。若发生异常登录，则说明您的主机可能被黑客入侵成功。 检测主机异地登录行为并进行告警，用户可根据实际情况采取相应措施（例如：忽略、修改密码等）。 异地登录检测信息包括被拦截的“登录源IP”、“登录时间”，攻击者尝试登录主机时使用的“用户名”和“云服务器名称”。 若在非常用登录地登录，则触发安全事件告警。 若帐户暴力破解成功，登录到云主机，则触发安全事件告警。 √ √ √ √ × 用户异常行为 非法系统帐号 黑客可能通过风险帐号入侵主机，以达到控制主机的目的，需要您及时排查系统中的帐户。 HSS检查系统中存在的可疑隐藏帐号、克隆帐号；若存在可疑帐号、克隆帐号等，则触发告警。 √ √ √ √ ×

本节介绍网络的用户指南：LoadBalancer类型Service 云容器引擎支持将Service通过负载均衡ELB向外暴露， 云容器引擎集群内置CCM（Cloud Controller Manager）插件，当Service的类型为LoadBalancer时，CCM插件会为Service配置负载均衡，并根据Service信息配置好负载均衡的后端服务器组、健康检查和监听规则等，使得用户可以通过负载均衡访问该Service。以下是使用负载均衡的步骤指引。 使用已有负载均衡暴露服务 前提条件 用户已提前在负载均衡控制台创建ELB实例，ELB实例需要与Service所在的容器集群在同一个VPC网络下。 注意事项 不同Service可以同时复用同一个负载均衡实例，复用同一个负载均衡实例需要避免不同Service使用相同的服务端口，否则存在监听配置被覆盖的情况 不能复用由CCM自动创建的或集群ApiServer使用的负载均衡实例 当Service删除时，使用已有的负载均衡不会被删除 集群Master节点不作为负载均衡实例的后端 操作步骤 1. 登录 云容器引擎 控制台，点击进入想要操作的集群，在左侧菜单选择“网络” “服务”； 2. 如下图，点击“新建”按钮新建服务，按照参数说明配置相关的参数； 服务访问方式：选择负载均衡 负载均衡：可根据业务需要选择私网访问或公网访问，集群内或同一VPC内访问建议选择私网访问即可；选择“使用已有负载均衡”；负载均衡实例列表会根据选择的私网/公网访问方式显示出对应的实例，选择想要使用的负载均衡实例即可 标签：根据需要可以为服务配置标签 注解：根据需要可以为服务配置注解 外部流量策略：Cluster或Local。Cluster策略下，集群所有可用工作节点都会挂载到负载均衡实例；Local策略下，只有Service对应的Pod所在节点会挂载到负载均衡实例 端口映射：配置好协议、容器端口及服务端口，其中容器端口为应用本身暴露的端口，服务端口则会作为负载均衡实例的监听端口 工作负载绑定：选择服务要关联的工作负载，也可以配置自定义标签关联 3. 创建服务后，在服务列表可以看到该服务，通过服务的集群外访问地址即可以访问该服务。

本节介绍了第三方镜像仓库导入的用户指南。 概述 对于已使用第三方镜像仓库（Harbor、华为SWR，阿里云ACR、腾讯云企业版）的客户，可以参照本章节将第三方镜像仓库迁移至企业版服务。 前置条件 已开通并使用容器镜像服务企业版实例 已使用第三方镜像仓库 如果第三方镜像仓库是自建Harbor，必须通公网 操作步骤 创建第三方镜像仓库导入规则 1. 进入容器镜像服务控制台 。 2. 点击已开通的企业版实例名称。 3. 左侧导航栏点击 "实例管理" "镜像导入"，并点击页面中的创建导入规则按钮。 4. 根据下表填写导入规则名称、规则描述、第三方镜像仓库信息、源命名空间、目标命名空间、触发方式并点击确定。 参数 说明 名称 规则名称 描述 规则描述 来源 Harbor｜ 华为SWR ｜ 阿里云ACR ｜ 腾讯云企业版 服务地址 第三方镜像仓库服务地址，例如: Access Key ID 第三方镜像仓库Access Key Secret Access Key 第三方镜像仓库Secret Key 用户名字 第三方Harbor镜像仓库用户名字 密码 第三方Harbor镜像仓库密码 Tag 导入镜像tag匹配规则，使用示例如下： 匹配全部: 匹配多个版本: {v1,v2,v3} 匹配前缀: v1 源命名空间 源实例命名空间 目的命名空间 目的实例命名空间 触发方式 定时触发 ｜ 手动触发 首次触发时间 首次触发时间 触发频率 触发频率，可以按天或小时

路由表配置说明 VPCA的路由表（RouterA）的配置： 对等连接创建完成后，为了确保VPCA将能够正确地将流量传递给相应的目标（弹性云主机B02），并避免同一子网内不同服务器的冲突。有如下两种配置方案供您选择： 在VPCA的路由表（RouterA）中，添加目的地址为弹性云主机B02的私有IP地址，下一跳为PeeringAB的路由规则。根据最长匹配原则，确保VPCA将响应流量正确地送达弹性云主机B02。 路由表 目的地址 下一跳 路由类型 路由说明 RouterA（VPCA） 10.0.1.0/24 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterA（VPCA） 192.168.1.130 (弹性云主机B02) PeeringAB 自定义路由 在VPCA的路由表RouterA中，添加一条路由规则，使其目的地址为弹性云主机B02的私有IP地址，下一跳为PeeringAB。 RouterA（VPCA） 192.168.1.128/25 (SubnetC02) PeeringAC 自定义路由 在VPCA的路由表RouterA中，添加一条路由规则，使其目的地址为SubnetC02的网段，下一跳为PeeringAC。 在VPCA的路由表中，需要添加两条自定义路由规则，一条规则的目的地址为VPCB的子网SubnetB02网段，下一跳为PeeringAB；另一条规则的目的地址为VPCC的子网SubnetC01网段，下一跳为PeeringAC。通过如上设置以确保VPCA能够将响应流量返回到VPCB的子网SubnetB02。 路由表 目的地址 下一跳 路由类型 路由说明 RouterA（VPCA） 10.0.1.0/24 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterA（VPCA） 192.168.1.128/25(SubnetB02) PeeringAB 自定义路由 在VPCA的路由表RouterA中，添加一条路由规则，使其目的地址为SubnetB02的网段，下一跳为PeeringAB。 RouterA（VPCA） 192.168.1.0/25 (SubnetC01) PeeringAC 自定义路由 在VPCA的路由表RouterA中，添加一条路由规则，使其目的地址为SubnetC01的网段，下一跳为PeeringAC。 VPCB的路由表（RouterB）和VPCC的路由表（RouterC）配置如下： 路由表 目的地址 下一跳 路由类型 路由说明 RouterB（VPCB） 192.168.1.0/25 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterB（VPCB） 192.168.1.128/25 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterB（VPCB） 10.0.0.0/16(VPCA) PeeringAB 自定义路由 在VPCB的路由表RouterB中，添加一条路由规则，使其目的地址为VPCA的网段，下一跳为PeeringAB。 RouterC（VPCC） 192.168.1.0/25 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterC（VPCC） 192.168.1.128/25 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterC（VPCC） 10.0.0.0/16 (VPCA) PeeringAC 自定义路由 在VPCC的路由表RouterC中，添加一条路由规则，使其目的地址为VPCA的网段，下一跳为PeeringAC。 通过以上配置，VPCA 将能够正确地将流量传递给相应的目标，VPCB和VPCC将能够正确地将流量传递给VPCA的网段，并避免了路由冲突问题。

本页面介绍云数据库ClickHouse如何通过HTTP接口进行连接。 HTTP接口使您可以通过任何编程语言在任何平台上使用云数据库ClickHouse，您将其用于Java和Perl以及Shell脚本，Perl、Python和Go也可以使用HTTP接口。HTTP接口比本机接口受到更多限制，但是具有更好的兼容性。clickhouseserver 侦听的HTTP端口默认情况下是8123。 如果进行不带参数的GET请求，它将返回200响应代码和httpserverdefaultresponse默认值“ Ok”中定义的字符串，末尾有换行符。参数可以URL参数query发送或者以POST请求方式发送，或在“ query”参数中发送查询的开头，然后在POST中发送其余查询（在后面解释为什么这样做的必要性）。在发送大型查询时，请注意URL的大小限制为16 KB。如果成功，您将在响应正文中收到200响应代码和结果。 如果发生错误，您将在响应正文中收到响应代码500和一个错误描述文本。 使用GET方法时，设置为“只读”。换句话说，对于修改数据的查询，只能使用POST方法。可以在POST正文或URL参数中发送查询本身。默认情况下，服务器设置中注册的数据库用作默认数据库即default，可以在表名称之前使用点来指定数据库。 身份验证 可以通过以下三种方式之一指定用户名和密码进行登录验证： 使用HTTP基本身份验证。 ​​$ echo 'SELECT 1' curl ' d @ 在URL参数中使用user 和password指定，使用database参数指定数据库。 ​​$ echo 'SELECT 1' curl ' d @ 在HTTP请求头中通过“ XClickHouseUser”和“ XClickHouseKey”指定用户名和密码。 ​​$ echo 'SELECT 1' curl H 'XClickHouseUser: user' H 'XClickHouseKey: yourpassword' ' d @

本页介绍天翼云TeleDB数据库开发者选项相关参数。 下面的参数目的是用在源代码上的，在某些情况下可以帮助恢复严重损坏了的数据库。一定不要在生产数据库中去使用。同样，不要在配置文件中进行设置。 allowsystemtablemods (boolean) 允许对系统表结构的修改。它可以被initdb使用。这个参数只能在服务器启动时设置。该参数仅用于系统表或索引损坏时的修复工作。 debugdeadlocks (boolean) 如果设置，当死锁超时发生时，转储所有当前锁的信息。 只有在编译时定义了LOCKDEBUG宏，这个参数才可用。 ignorechecksumfailure (boolean) 只有当data checksums被启用时才有效。 在读取过程中检测到一次校验码失败通常会导致数据库报告一个错误。设置ignorechecksumfailure为打开会导致系统忽略失败（但是仍然报告一个警告），并且继续执行。这种行为可能导致崩溃、传播或隐藏损坏或者其他严重的问题。但是，它允许你绕过错误并且在块头部仍然健全的情况下从表中检索未损坏的元组。如果头部被损坏，即便这个选项被启用系统也将报告一个错误。默认设置是off，并且只能被超级用户改变。 ignoresystemindexes (boolean) 读取系统表时忽略系统索引（但是修改系统表时依然同时更新索引）。这在从被破坏的系统索引中恢复数据的时有用。这个参数在会话开始之后不能被更改。 logbtreebuildstats (boolean) 如果设置，会记录B 树操作上的系统资源使用情况统计（内存和 CPU）。 只有在编译时定义了BTREEBUILDSTATS宏，这个参数才可用。

本章主要介绍翼MapReduce的 配置受信任IP访问LDAP功能。 操作场景 默认情况下，部署在OMS和集群中的LDAP服务允许任意IP访问。如果需要只允许受信任的IP地址访问LDAP服务，可以配置iptables过滤列表的INPUT策略。 对系统的影响 配置受信任IP访问LDAP以后，未配置的IP无法访问LDAP。扩容前，新增加的IP需要配置为受信任的IP。 前提条件 根据安装规划，收集集群内全部节点的管理平面IP、业务平面IP和所有浮动IP。 获取集群内节点的root用户和密码。 操作步骤 配置OMS LDAP信任的IP地址 1.确定管理节点IP地址，请参见登录管理节点。 2.登录FusionInsight Manager，请参见登录管理系统。 3.选择“系统 > OMS”，在“服务”选择“oldap > 修改配置”，查看OMS LDAP端口号，即“Ldap服务监听端口”参数值。默认为“21750”。 4.以root用户通过主管理节点的IP地址登录主管理节点。 5.执行以下命令，查看iptables过滤列表中INPUT策略。 iptables L 例如未配置任何规则时，INPUT策略显示如下： Chain INPUT (policy ACCEPT) target prot opt source destination 6.执行以下命令，将集群使用的所有IP地址配置为受信任的IP。每个IP需要添加一次。 iptables A INPUT s 受信任IP地址 p tcp dport 端口号 j ACCEPT 例如，将10.0.0.1配置为受信任的IP，可以访问端口21750，执行： iptables A INPUT s 10.0.0.1 p tcp dport 21750 j ACCEPT 7.执行以下命令，将全部IP地址配置为不受信任的IP。已配置为信任IP不受此规则影响。 iptables A INPUT p tcp dport 端口号 j DROP 例如，配置全部IP不能访问端口21750，执行： iptables A INPUT p tcp dport 21750 j DROP 8.执行以下命令，查看iptables过滤列表中修改后INPUT策略。 iptables L 例如配置一个受信任IP后，INPUT策略显示如下： Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT tcp 10.0.0.1 anywhere tcp dpt:21750 DROP tcp anywhere anywhere tcp dpt:21750 9.执行以下命令，查看iptables过滤列表中存在的规则及相对应的编号。 iptables L n linenumber Chain INPUT (policy ACCEPT) num target prot opt source destination 1 DROP tcp 0.0.0.0/0 0.0.0.0/0 tcp dpt:21750 10.根据实际需求，可执行以下命令，删除iptables过滤列表中的规则。 iptables D INPUT 待删除的编号 例如，删除编号为1的规则，执行： iptables D INPUT 1 11.以root用户通过备管理节点的IP地址登录备管理节点，并重复5到10。

新增接入流程 新增接入是指对于已经获得备案号的主体以及本次备案的已经获得了网站备案号的域名（该网站未在天翼云有接入服务），用户需要在天翼云办理新IP接入服务，这就是新增接入操作。 系统会自动区分非天翼云主体与天翼云主体。非天翼云主体是指此次备案的主办单位之前没有在本次备案的接入商做过任何备案，我们统称之为非天翼云主体。反之，天翼云主体就是指此次备案的主办单位之前已经在本次备案的接入商处做过备案并获得了备案号。 新增接入是指您本次接入的域名和主体都获得了管局下发的备案号，且该备案号是在其他isp商获得的。而且域名所在网站的备案号与主体备案号相关联。用户可以通过工信部网站提供的公共查询功能（ 针对三证合一或五证合一的企业单位，在进行新增接入操作时，如果之前是使用三证合一前的证件即旧证件备案并获得备案号的（但在证件三证合一后未及时进行备案变更的），那么在进行备案订单创建时，需要使用旧证件号码进行录入。因为备案订单的创建是调用管局的已备案信息库。 部分企业三证合一前的证号可通过全国企业信用信息查询网站www.gsxt.gov.cn查询获得（即工商注册号），或全国组织机构代码管理中心网站www.cods.org.cn查询。 在同一个接入商内，在同一条订单内可填写多条网站信息（多个网站备案号）。 流程如下 新增接入备案的完整流程及流程简图如下图所示： 1 创建新增接入订单 通过备案类型的自动匹配（主办单位证件号码已经获得备案号，域名也获得备案号且与主体相关），在系统无其他冲突数据的前提下创建订单任务，点击“查看”进入新增接入流程。 2 填写主办单位信息 填写主办单位信息，请按照页面提示，完善您本次备案的主办单位信息和单位负责人信息。所有必填项信息填写完毕后，点击“保存”或“下一步，填写网站信息”按钮保存所填写的主体信息。 注意：新增接入时，主体信息不提交管局审核，仅做天翼云系统内部留存之用。 3 填写网站及接入信息 填写网站信息，按照页面提示内容进行内容填写。填写您本次备案的网站信息和接入信息，域名录入请录入一级域名或单个专线IP地址，不支持二三级域名或ip段的录入。录入域名信息时，必须保证所录入的域名为该网站备案号下的已备案域名，不能填写未备案域名或其他网站备案号下的域名。此处录入的域名表示天翼云接入，如该网站备案号下有个别域名不需要天翼云接入，请勿填写。 注意：网站负责人信息、网站名称不提交管局审核，仅提交域名、网站接入信息。如果您本次备案的主办单位需要连续增加多个网站接入，请点击“继续新增接入”来进行操作。点击“继续新增接入”，打开弹框，如下图所示： 录入网站域名，系统会自动校验该域名的网站备案号，该网站备案号必须与主体备案号相关，否则无法继续操作。 4 资料上传 系统支持通过小程序采集上传和本地图片上传两种方式。 材料上传只支持jpg、png格式的图片，请勿上传其他格式的图片。系统限定每个图片类型最多上传3张图片，如位置不够可以传至其他空白位置。 5 本地上传图片 用户需要按照页面指引，上传各类证件彩色图片。 6 APP电子化方式上传图片 通过微信小程序扫描二维码后，在小程序端按照系统所提示采集需要图片，完成图片采集完成后会自动生成18位验证码，需将验证码填报至上图指定位置后，点击“确定”按钮，系统会自动将图片对应到合适位置。 预览填写的信息，并准确核对所填写的信息，并对有需更正的地方返回上一步修改。 信息预览无误后，点击“提交审核”，备案信息将提交至管理员进行审核。 7 天翼云/管局审核 提交预审核，天翼云备案专员将会尽快审核您的信息是否符合备案要求。审核符合要求的，天翼云会尽快代您将备案信息提交至管局进行备案终审，提交管局后，请主体和网站负责人收到验证短信后，在24小时内按照短信指引完成，否则会被管局退单。 管理员将根据真实性验信息和图片信息情况填写审核意见，如所备案信息和证件等信息无误，审核通过并提交管局；反之，审核拒绝，退回备案信息给备案发起人进行修改，或退回至待核验环节或待预审核环节由相关人员处理。 信息提交管局后，请耐心等待管局的审核，管局审核拒绝或接口自动退回后，会在订单中获得退回的意见，管理员或用户需根据退回意见进行修改后重新进行备案流程。 备案通过后，管局会给主办单位负责人发送备案通过通知，同时，经过管局审核的备案信息会同步给天翼云侧备案系统，您所已经备案通过的信息可以通过“已备案信息管理”进行查看管理。 去备案

本节将接入如何快速为日志设置告警模型。 操作场景 态势感知（专业版）支持将查询分析结果设置告警模型，并在满足条件时触发告警。 前提条件 已完成数据接入，详细操作请参见云服务接入。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计 > 安全数据”，进入安全分析页面。 5. 在左侧数据空间导航栏中，单击数据空间名称，展开数据管道列后，再单击管道名称，右侧将显示管道数据的检索页面。 6. 输入查询分析语句，设置时间范围，并单击“查询分析”，显示查询分析结果。 更多查询分析详细操作请参见查询与分析日志。 7. 单击页面右上角“添加告警”，进入新建告警模型页面。 8. 配置告警基础信息，参数说明如下表所示。 参数名称 参数说明 管道名称 该告警模型的执行管道，系统默认生成。 模型名称 自定义该条告警模型的名称。 严重程度 设置该告警模型的严重程度。可以设置致命、高危、中危、低危、提示级别。 告警类型 选择该条告警模型触发后，提示的告警类型。 模型类型 默认为规则模型。 描述 填写该告警模型的描述信息。 启用状态 设置该告警模型的启用状态。 此处设置的状态，可在整个告警模型设置成功后进行更改。 9. 设置完成后，单击页面右下角“下一步”，进入设置模型逻辑页面。 10. 设置模型逻辑，参数说明如下表所示。 参数名称 参数说明 查询规则 设置告警的查询规则，设置完成后可以单击“运行”，查看当前运行结果。 说明 如果筛留字段为text类型时，默认会使用MATCHQUERY进行分词查询。 查询计划 设置告警查询计划。 运行查询间隔：xx分钟/小时/天。 当运行查询间隔为分钟时，可设置为559分钟；当运行查询为小时时，可设置为123小时；当运行查询为天时，可设置为114天。 时间窗口：xx分钟/小时/天。 当时间窗口为分钟时，可设置为559分钟；当时间窗口为小时时，可设置为123小时；当时间窗口为天时，可设置为114天。 延迟执行时间：xx分钟，可以设置为05分钟。 告警扩充 自定义信息：自定义告警扩充信息。 单击“添加”，并设置key+value信息，完成新增。 告警详细信息：自定义填写告警名称、描述和处置建议。 触发条件 设置告警触发条件。可设置为：大于/等于/不等于/小于xx时，触发告警。 如有多条触发条件，可以单击“添加”按钮进行添加，最多可添加5个触发条件。 当设置了多个触发条件时，在日志数据扫描检测中，系统将按照从上到下的校验逻辑，如果有满足此处设置的触发条件被检测到时，系统都将展示不同类型的告警。 告警分组 配置将规则查询结果分组到告警的方式。可选择以下方式： 将所有查询结果分组到一个告警中 将每条查询结果独立触发告警 调试模式 设置是否生成调试类告警。 抑制 设置生产告警后是否停止运行查询。 如果设置为抑制，即生成告警后停止运行查询。 如果设置为不抑制，即生成告警后不停止运行查询。 11. 设置完成后，单击页面右下角“下一步”，进入模型详情预览页面。 12. 预览确认无误后，单击页面右下角“确定”。

本文介绍海量文件服务的监控基本情况,包括监控指标等。 概述 云监控服务是天翼云针对云网资源的一项监控服务，海量文件服务通过云监控服务提供监控和告警能力。通过查看文件系统的监控数据，您可以了解到文件系统的使用情况。通过设置告警规则可以监控文件系统实例异常情况，保障业务正常进行。 海量文件服务自动接入云监控，无需开通。通过云监控查看文件系统的监控数据，您可以了解到文件系统的使用情况。 支持的地域 华北2 监控指标 容量监控 序号 监控项 英文名称 说明 单位 1 总容量 fscapacitytotal 文件系统总容量。 可选MB、GB、TB 2 已使用容量 fscapacityused 文件系统已使用容量。 可选MB、GB、TB 3 容量使用率 fscapacityutilization 文件系统容量使用率。 % 性能监控 注意 若文件系统1分钟之内请求次数小于60，则显示为0。 若图表显示“暂无数据”表示文件系统未收到客户端请求。 若读操作命中缓存，读带宽和读IOPS数值无变化。 序号 监控项 英文名称 说明 单位 1 读带宽 fsreadbw 文件系统在周期内的读数据量。 KB/s 2 写带宽 fswritebw 文件系统在周期内的写数据量。 KB/s 3 读IOPS fsreadiops 文件系统在周期内每秒平均读IOPS次数。 次 4 写IOPS fswriteiops 文件系统在周期内每秒平均写IOPS次数。 次 相关文档 云监控服务更多功能特性。

您可以根据需要设置并行文件的告警，本文帮助您了解HPFS的监控告警相关操作。 操作场景 通过使用云监控的告警功能，用户可以对并行文件服务的核心监控指标设置告警规则，当监控指标触发用户设置的告警条件时，支持以邮箱、短信等方式通知用户，让用户在第一时间得知云服务发生异常，迅速处理故障，避免因资源问题造成业务损失。更多信息，请参考使用告警功能云监控服务用户指南。 操作步骤 方式一：通过云监控服务控制台创建告警规则 1. 登录天翼云控制中心，单击管理控制台左上角的，选择地域。 2. 单击“管理与部署>云监控服务”，进入云监控控制台页面。 3. 单击“云服务监控”下拉菜单，选择"告警服务>告警规则"，进入告警规则控制台页面。 4. 可通过以下三个入口，创建告警规则： 入口一：您可以选择在“云服务监控>并行文件监控”页，在目标文件系统的“操作”栏下点击“创建告警规则”，选择需要告警服务的监控指标创建规则，包括监控阈值、通知频率、通知方式等。 入口二：在“云服务监控>并行文件监控”页面，在目标文件系统的“操作”栏下点击“查看监控图表”，进入文件系统的监控详情页，目标监控项图表右上方，点击“+”创建此监控项的告警规则。 入口三：单击“云服务监控”下拉菜单，选择"告警服务>告警规则"，进入告警规则控制台页面，页面右上方点击“创建告警规则”，选择“监控服务：并行文件”，然后选择文件系统名称、监控维度、实例、指标等参数，创建相应的告警规则。 5. 根据界面提示，选择了并行文件系统为监控对象后，配置告警规则的相关指标，配置参数参见[创建告警规则](

本小节介绍数据库安全审计ECS自建数据库最佳实践。 数据库安全审计采用旁路部署模式，通过在数据库或应用系统服务器上部署数据库安全审计Agent，获取访问数据库流量、将流量数据上传到审计系统、接收审计系统配置命令和上报数据库状态监控数据，实现对ECS/BMS自建数据库的安全审计。 审计ECS/BMS自建数据库架构图如所示。 场景说明 假设您在的弹性云服务器（Elastic Cloud Server ，以下简称ECS）上自建了一个数据库，数据库的详细信息如表所示，您需要对该数据库内部违规和不正当操作进行定位追责，满足等保测评数据库审计需求。本章节详细介绍该场景下，在数据库端安装 Agent ，开启数据库安全审计功能和验证审计结果的操作。 数据库类型 MySQL 数据库版本 5.7 数据库IP地址 192.168.1.5 端口 3306 操作系统 LINUX64 约束与限制 使用数据库安全审计需要关闭数据库的SSL。 待审计数据库与数据库安全审计需要在同一区域。 购买数据库安全审计配置“VPC”参数时，需与Agent安装节点所在VPC相同。 数据库安全审计的Agent安装节点，请参见：如何选择数据库安全审计的Agent安装节点？。 步骤一：购买数据库安全审计 您需要根据您的业务需求购买数据库安全审计规格并配置数据库安全审计参数，详细操作请参见购买数据库安全审计。 为保证审计功能的正常使用，购买数据库安全审计配置“VPC”参数时，请与Agent安装节点所在VPC相同。 数据库安全审计的Agent安装节点，请参见：如何选择数据库安全审计的Agent安装节点？。

本文为您介绍开通多活容灾服务MDR的操作。 1. 登录天翼云账号。 2. 打开多活容灾服务开通页面。 3. 勾选“授权产品使用本账号的AccessKey和SecurityKey”、“我已阅读并同意相关协议《天翼云多活容灾服务平台服务协议》《天翼云多活容灾服务平台等级条款》”。点击“立即开通”，即可开通多活容灾服务。 4. 完成开通后，登录天翼云控制台，选择华东1资源池，可在产品列表中“计算”目录下看到多活容灾服务控制台入口。

开启防护后，云防火墙默认放行所有流量，您可以配置防护规则，实现流量的拦截/放行。 防护规则支持防护以下几种场景： 防护互联网边界中公网资产的流量，请参见“互联网边界防护规则”。 防护互联网边界中私网资产的场景，请参见“NAT流量防护规则”。 防护VPC与VPC之间、VPC与线下IDC之间的访问流量，请参见“VPC边界防护规则”。 注意 如果IP为Web应用防火墙（WAF）的回源IP，建议配置放行的防护规则或白名单，请谨慎配置阻断的防护规则，否则可能会影响您的业务。 回源IP的相关信息请参见《Web应用防火墙用户指南》中《放行WAF回源IP》。 配置白名单请参见“通过添加黑白名单拦截/放行流量”。 规格限制 仅“专业版”支持VPC边界防护和NAT流量（私网IP）防护。 约束条件 CFW不支持应用层网关(Application Level Gateway，ALG)。ALG能够对应用层数据载荷中的字段进行分析，并针对在载荷中会包含端口和IP地址的多通道协议（例如FTP、SIP等）动态调整策略。但CFW的防护策略仅支持对端口设置静态策略。如果需要允许多通道协议通信，建议配置一条放通所有端口的规则。 CFW长连接业务场景限制，配置策略的时候需要同时开启双向放通的安全策略，如果只开启单向策略，部分场景（开启和关闭防护）需要客户端重新发起连接。 配额限制： 最多添加20000条防护规则。 单条防护规则最大限制如下： 最多添加20条IP地址（源和目的各20条）。 最多关联2条“IP地址组”（源和目的各2条）。 最多关联5条服务组。 域名防护限制： 域名防护时不支持添加中文域名格式。 网络型域名组最多只能保存1000个地址解析结果，超出时，可能导致无法正常访问对应的域名；对于解析结果较多或变化频繁的域名，如果防护流量是HTTP、HTTPS协议，建议优先使用应用型域名组添加策略。 域名防护依赖于用户配置的域名服务器。默认域名服务器可能存在域名解析对应的IP地址不全，建议有访问自身业务相关域名场景时配置“DNS服务器配置”。 仅入方向规则（“方向”配置为“外内”）的“源”地址支持配置“预定义地址组”。

本节主要介绍OOS合规保留功能。 OOS提供合规保留功能，即开启Bucket合规保留功能后，任何用户（包括根用户）都不能对此Bucket内处于合规保留期的文件进行修改和删除。 可以根据需求，对Bucket级别开启合规保留功能，以天（Days）或者以年（Years）为单位设置合规保留时长，1年365天。 注意 合规保留一旦开启，不能关闭，不能缩短合规保留时长，但可以延长合规保留时长。 合规保留的时间精确到秒，例如对Bucket A设置合规保留时长为10天，文件A1属于Bucket A，A1的最后更新时间为201931 12:00:00，该文件会在2019311 12:00:01过合规保留期。 任何用户（包括根用户）都不能修改、覆盖、删除处于合规保留期的文件。 处于合规保留期的文件，无法通过调用API、控制台修改文件的存储类型，只能通过设置的生命周期规则修改存储类型。 文件处于合规保留期：如果生命周期规则为修改文件存储类型，则生命周期规则可以生效；如果生命周期规则为到期删除文件，则文件必须过了合规保留期后，生命周期规则才能生效。

个人用户可通过“身份证认证”（扫码认证）的方式快速完成个人实名认证。 个人用户可通过“身份证认证”的方式快速完成个人实名认证。同一证件最多可以认证5个天翼云账号（含已注销3个月内的账号）。 注意事项 请提前准备好您的个人证件（仅支持大陆居民身份证）。 使用手机扫码进行实名认证。 操作步骤 1、登录天翼云官网，进入实名认证页面。 2、选择“个人认证”。 3、选择“身份证认证”，系统会弹出二维码对话窗。 4、使用天翼云APP或手机微信扫描二维码（请扫描页面实时弹出的“身份证认证”对话框中的二维码，若过期请刷新）。 5、根据手机端页面提示，填写个人证件信息，上传本人身份证，并进行活体验证，完成实名认证。 说明 在手机端实名认证成功后，PC端刷新页面即可查看最新认证结果 如果扫码认证失败，系统支持重新实名认证且重新认证信息直接覆盖原来的信息。

本文为您介绍数据库审计的权限管理能力,支持通过IAM实现对数据库审计的访问控制、权限分配。 天翼云提供统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。通过IAM服务定义企业项目、创建子用户，轻松实现IAM子用户对数据库审计资源的访问控制、权限分配等。 默认情况下，天翼云主账号拥有管理员权限，而主账号创建的IAM用户没有任何权限。IAM用户需要加入用户组，并给用户组授权相应策略后，IAM用户才能获得策略对应的权限，才可以基于被授予的权限对云服务进行操作。 数据库审计支持企业项目管理，若您需要对数据库审计资源进行分组和管理，形成逻辑隔离，您可以创建企业项目，并将资源划分至不同的企业项目中，不同的企业项目可以绑定不同的用户组，并给用户组授予数据库审计产品的权限策略（包括系统策略和自定义策略），从而实现对特定资源的授权。 说明 仅“一类节点”区域的实例支持企业项目管理。 IAM应用场景 IAM策略主要面向同一主账号下，对不同IAM用户授权的场景： 您可以为不同操作人员或应用程序创建不同IAM用户，并授予IAM用户刚好能完成工作所需的权限，比如查看权限，进行最小粒度授权管理。 新创建的IAM用户可以使用自己的登录名和密码登录控制台，实现多用户协同操作时无需分享账号密码的安全要求。 数据库审计IAM策略说明 天翼云为数据库审计提供如下系统策略 。如果系统策略不满足授权要求，可以创建自定义策略 ，自定义策略是对系统策略的扩展和补充，详情请参见创建自定义策略。 策略名称 策略描述 类别 授权范围 数据库审计admin策略 数据库审计admin策略，拥有产品所有操作权限。 系统策略 全局级 数据库审计系统管理员策略 数据库审计系统管理员策略。 系统策略 全局级 数据库审计审计员策略 数据库审计审计员策略，只具备查看权限。 系统策略 全局级 数据库审计安全员策略 数据库审计安全员策略。 系统策略 全局级 数据库审计业务管理员策略 数据库审计业务员管理员策略，仅支持使用数据库审计实例，不支持订购相关操作。 系统策略 全局级

本章节针对不同规模团队给到用户权限管理的最佳实践 概述 微服务云应用平台权限管理是由统一身份认证（IAM）纳管。子账号登陆并访问微服务云应用平台前需要被管理员授权对应的微服务云应用平台系统权限后才可以正常使用。 小团队使用微服务云应用平台 建议小团队用户使用IAM权限鉴权，简单易上手。 1. 登陆天翼云官网并访问IAM控制台，选择需要授权的子账号。 2. 查看用户，选择所属用户组，添加用户组。如未创建所需用户组，请参考系统管理主子账号创建用户组并给用户组授权微服务云应用平台权限策略。 3. 选择目标用户组，点击确定即可。 IAM场景1 租户是小团队，只区分功能权限（常用场景） 1. 进入IAM控制台 2. 创建自定义策略 选择策略管理，创建自定义策略。 测试策略内容，仅供参考，MSAP1.6后支持通配符策略。 { "Version": "1.1", "Statement": [ { "Action": [ "msap:inst:" ], "Resource": [ "" ], "Effect": "Allow" } ] } 3. 选择用户组，创建用户组。 4. 选择用户，查看需要授权子账号，在所属用户组TAB栏，添加目标用户组。 完成以上配置后，即完成了IAM策略授权操作了！

操作步骤 1. 登录媒体存储控制台，进入【对象存储Bucket列表】菜单。 2. 选择需要设置合规保留的Bucket，进入【基础配置】标签页。 3. 找到【合规保留】设置项，点击【添加规则】。 4. 在规则弹窗填写【保留时间】，单位为“天”。保留时间支持1~3650天。 注意 规则创建后，默认未启用，仍可延长、缩短保留时间，或删除规则。 5. 规则创建后，如需启用，在操作列点击【启用】，在确认弹窗点击【确定】后，规则立即生效。 注意 规则启用后，规则不可禁用、不可删除，且无法缩短保护时间，只可延长保护时间。