配置项 说明 安全认证 可启用或禁用，默认禁用。 验证有效时间 有效值143200 分钟，默认5 分钟，验证通过后该时间段内访问数据库登录放行。 登录超时 可启用或禁用，默认禁用。 登录超时时间 有效值1120 分钟，默认10 分钟，当数据库访问账号超过设定时长对数据库无操作时默认阻断，再次操作需重新登录。 账号有效期 可启用或禁用，默认禁用。 账号有效期时间 有效值159999 天，默认值180 天，数据库访问账号新建时默认有有效期，若超过有效期则阻断。

本文介绍如何对天翼云APP进行登录验证。 开启APP安全防护功能后，当您打开天翼云APP时，需要通过验证才能正常访问并使用APP。 1、如已开启面容验证，优先使用面容验证 2、面容验证失败，可选择重试或取消 3、取消面容验证或希望使用其他验证方式，可选择手势密码或账号登录 注意 多次验证失败将触发账号锁定等风险控制措施，请谨慎操作。

本章节主要介绍运维调度的运维概览。 在“运维调度 > 运维概览”页面，用户可以通过图表的形式查看作业实例的统计数据，目前支持查看以下四种统计数据。 今日作业实例调度情况概览 近七天作业实例调度情况概览 近30天作业实例执行时长排行TOP 10 单击作业名称，跳转至“实例监控”页面，查看执行时间长的作业实例的详细运行记录。 近30天作业实例运行失败TOP 10 单击“运行失败次数”列的统计次数，跳转至“实例监控”页面，查看运行异常的作业实例的详细运行记录。

本页介绍天翼云TeleDB数据库术语表。 集群（Cluster）： 是由多台物理服务器（如果为虚拟机也视为物理服务器）组成的一个系统，他们通过网络互联，并作为一个整体来提供一系列服务。集群是物理资源的集合。 实例（instance） ：特指用户可以存取（一系列关联）数据对象的资源集合；即包括一套GTM/CN/DN的逻辑集合。实例是逻辑资源集合。 运维管理控制系统（OSSOperation and Maintenance Service）： 简称管控 数据库 ：称呼软件主体时是数据库； 库： 称呼create database的database为库；有时候语境原因，数据库可能替代库，请注意。 分表（Distributed）： 这里借用的DRDS概念，即在将一张逻辑上的表拆分到多个物理或逻辑独立的分片（sharding）上，使得数据“物理”分散的一种方案。与之对应的是分表键（Distributed key）。 分片（sharding） ：数据拆分的逻辑最小区块，与之对应的是分片键（shard key）。 注意： 基于上述定义可知，Distributed在逻辑上略等于sharding，一种是从表物理分布形式称呼，一种是从表的逻辑分布形式称呼。 分区(partition)： 大表的数据分成称为分区的许多小的子集，分区是一种在单机数据库中特有的方案，不应与分表、分片的意义重合。 逻辑表，表： 一个逻辑上统一的表，就create table语法创建的表，他可以是分表，单表。 注意： 在部分分布式数据库中，还有region（区）的概率，但这个region与公有云的物理位置地区region重复，原则上我们不使用区（region）或分区这个词。如确实需要描述，应先声明其中文： 逻辑分片（region）： 基于某一种分布式规则，负责维护集群的一段（逻辑上不再拆分）的连续数据区域。有一些分布式数据库是基于文件大小进行分区，有些着采用数据的属性（如字段区域、hash规则）等区域。 普通表、单表： 就create table语法创建的表，这里借用的DRDS概念，即仅在一个物理或逻辑的分片上存储的表。也就是传统单机数据库的表。 逻辑表【≥】分表【≥】分片【≥】分区。 广播表、复制表： 这里借用的DRDS概念，即在每个物理或逻辑的分片存放有相同表，并基于某种机制（通常是分布式事务）同时更新。 节点组（node group） ：通常是指物理上的一组节点，在teledb中，特指基于node group语法组成的节点。 一组DN节点： 默认情况下也指是基于主从架构则为一主多从结构的DN节点，请注意术语区别节点组功能。 节点（node）： 网络中，物理或逻辑上的一个实体。 逻辑节点： 是指这个实体是逻辑上独立的。通常是指CN或者DN的一个进程的集合就是一个逻辑节点。 物理节点： 是指这个实例是物理上独立的。通常是指一台独立的服务器（虚拟机）。由于当前虚拟化（含cgroup）技术，一台物理节点上可能存在多个逻辑节点。 注意： 一个节点组上可能承载一个或多个分片，但一个分片不能被多个节点组再进行拆分。 事务、普通事务、单机事务： 一个具有ACID特性的系列操作，通常一个事务有唯一的事务ID。若未特殊指明，事务通常是指单机事务或单机事务与分布式事务的统称。 分布式事务（distributed transaction）： 是指在分布式数据库上执行的，需要多个物理或逻辑上不同的数据协同的具有ACID特性的操作集合。在实际情况下，分布式事务可能被拆分为多个 子事务 。 只读节点【替换原来只读平面】 ，如果是CN节点只读，就称为 只读CN节点 。 读写节点【替换原来的读写平面】 主DN、主CN（主节点） ：即DN的负责读写的主节点 备DN、备CN（备节点） ：即DN负责同步数据，参与高可用切换（但不参与写）的节点。在mysql中，也称为 从节点 ，这里与备与从等义。 只读实例 ：是指参与数据同步但不参与高可用切换的逻辑上的节点组合（在读扩展场景较常见的概念） 灾备实例 ：是指参与数据同步，但参与主备之间高可用切换，但参与在主机房灾难情况下，切换过来的的逻辑上的节点组合（在异地容灾能力常见的概念） 注意 除非某个只读节点或灾备节点与主节点共享同一套GTM，否则均称为只读实例和灾备实例称为XX实例。例如，备DN若开启只读能力，可以叫做只读节点。 利用率（Utilization rate） ：是指有效利用资源（人力、物力、财力等）的百分比。它通常用于衡量资源的有效利用程度，反映在一定条件下，资源的投入与产出的比例关系。例如，办公区域的利用率、机器设备的利用率等。 使用率（Usage rate） ：是指使用资源的程度或频率。它通常用于衡量在一段时间内，资源被使用的次数或时间。例如，图书馆的使用率、健身房的使用率等。 占用率（Occupancy rate） ：是指占用资源的人或事物所占的比例。它通常用于衡量在一定时间内，资源被占用的程度。例如，房屋的占用率、车位的占用率等。 如上，一般说百分比的%就叫：CPU利用率、内存利用率，一般是长期占用的比例的%磁盘占用率，次/分这种单位的，就是使用率。 热备（在线备份） 在数据库运行时直接备份，即备份时对数据库操作没有任何影响的备份。 温备（在数据库运行时加全局读锁备份） 保证了备份数据的一致性，但对性能有影响。在当前技术下，热备和温备通常等意，原则上不称呼温备。 冷备（离线备份） 在数据库停止时进行备份。 全量备份（Full Backup） ：也称为完全备份，指对某个指定时间点的所有数据和对应的结构进行一个完全的备份。 增量备份（Incremental Backup） ：在上一次全备份或上一次增量备份后，以后每次的备份只需备份与前一次相比增加或者被修改的文件。 差异备份（Differential Backup）： 与增量备份类似，差异备份是备份的是自上一次完整备份以来的所有更改数据，而不是自上一次备份以来的所有更改。（通常不使用差异备份这个词）。 日志备份： 单独对数据库日志进行的一种备份。日志备份与增量备份主要是备份文件的差异，一个是log的集合；一个是文件系统文件的集合；但有些技术实现的时候可能重复。 区域Region ：是指地理的物理位置。 可用区（Availability zone，AZ） ：可用区是指在某一地域内，具有独立电力和网络的物理区域。同一可用区内实例之间的网络延时更小。 数据中心（Data Center，简称DC） 是指一种拥有完善的设备（包括高速互联网接入带宽、高性能局域网络、安全可靠的机房环境等）、专业化的管理、完善的应用服务平台。 机房： 存放相关互联网设备的一个房间 机架： 存放相关互联网设备的一个架子 宿主机、母机： 因为有虚拟化概念，所以宿主机、母机特指软件安装所在的物理服务器。 国密： 指符合中国国家标准的商用密码算法；通常简写为SM。 GTM： 全局事务管理器(Global Transaction Manager)（简称GTM），负责管理集群事务信息，同时管理集群的全局对象，比如序列等。 Coordinator ：协调节点（简称CN），对外提供接口，负责数据的分发和查询规划，多个节点位置对等，每个节点都提供相同的数据库视图；在功能上CN上只存储系统的全局元数据，并不存储实际的业务数据。 Datanode： 数据节点（简称DN），处理存储本节点相关的元数据，每个节点还存储业务数据的分片。在功能上，DN节点负责完成执行协调节点分发的执行请求。 MPP： 大规模并行处理（Massively Parallel Processing） OLAP： 联机分析处理（OnLine Analytical Processing） OLTP ：联机事务处理（Online Transaction Processing） HTAP： 混合事务/ 分析处理（Hybrid Transactional/Analytical Processing 行存： 数据按照逻辑顺序相同的方式来来进行文件存储，一行中的所有列数据按照顺序存储在物理磁盘上，这种格式的好处很明显，如果同时访问一行中的多列数据时，一般只需要一次磁盘IO，比较适合OLTP类型的负载。 列存： 表中的每列数据存储为一个独立的磁盘文件，比如例子中，“姓名”，“部门”，“薪酬”，“家庭信息”每列中的数据都为一个独立的数据文件，这中格式在一次需要访问表中少数列时相比行存能够节省大量的磁盘IO，在聚合类场景下尤其高效，因此多用在OLAP类系统中。 share nothing： 各个处理单元都有自己私有的CPU/内存/硬盘等，不共享资源的集群架构 Shard map： 存储在CN/DN节点中的记录数据块与shard之间映射关系的位图。 Xlog：TeleDB数据库中DN节点的WAL日志文件。 三权分立： 把传统数据库系统DBA的角色分解为三个相互独立的角色，安全管理员，审计管理员，数据管理员，这个三个角色之间相互制约，消除出系统中的超级权限，从系统角色设计上了解决了数据安全问题 列级加密： 针对指定列做单独的加密操作 文件加密： 以数据库内部标准块block为加密计算的最小单位 透明数据脱敏： 在用户无感知的情况下，对非授权用户返回被脱敏的数据。其中，无感知是指用户使用的查询操作变化，也无需增加额外的运算操作；非授权用户的解释为，以访问表为例，用户具备该表的查询权限，但需要限制对某些字段真实值的获得；脱敏是指通过某种运算法则，在真实数据返回给访问终端前，按照既定规则，将原始数据映射到另一种形式（可以支持多种变化），该映射规则对查询用户不可见，且转换后的形式不能做逆向操作（即转换为原始数据） 数据倾斜： 分布式系统中，数据集中存储在某些DN节点组中，而另外一些DN节点组数据较少，导致性能、容量在分布式系统中分布不均衡。 冷热分离： 对热数据和冷数据采用不同的存储设备，就可以大大降低业务的使用成本。 在线扩容： 通过先搬迁存量数据，再搬迁增量数据最后选择合适的时机切换路由的方式来扩容实例，将实例扩容对业务的影响降低在毫秒级。 灾难disaster、故障： 由于人为或自然的原因，造成信息系统严重故障、瘫痪或其数据严重受损，使信息系统支持的业务功能停顿或服务水平达到不可接受的程度，并持续特定时间的突发性事件。 灾难恢复disaster recovery、故障恢复： 为了将信息系统从灾难造成的不可运行状态或不可接受状态恢复到可正常运行状态，并将其支持的业务功能从灾难造成的不正常状态恢复到可接受的状态而设计的活动和流程。 灾难恢复能力disaster recovery capability、故障恢复能力 ：在灾难发生后利用灾难恢复资源和灾难恢复预案及时恢复和继续运作的能力。 灾难恢复预案disaster recovery plan： 定义信息系统灾难恢复过程中所需的任务、行动、数据和资源的文件。用于指导相关人员在预定的灾难恢复目标内恢复信息系统支撑的关键业务功能。 风险分析risk analysis： 确定影响信息系统正常运行的风险，评估对单位业务运营至关重要的功能，定义降低潜在危险控制手段的流程。 注：风险分析经常涉及对特殊事件发生可能性的评估。 业务影响分析business impact analysis： 分析业务功能及其相关信息系统资源，评估特定灾难对各业务功能的影响，确定信息系统可接受的RTO和RPO目标。 业务连续性business continuity： 在中断事件发生后，组织在预先确定的可接受的水平上连续交付产品或提供服务的能力。 恢复时间目标recovery time objective；RTO： 灾难发生后，信息系统从停顿到必须恢复的时间要求。 恢复点目标recovery point objective；RPO： 灾难发生后，数据必须恢复到的时间点要求。 系统可用性system availability： 在要求的外部资源得到保证的前提下，分布式事务数据库在规定的条件下和规定的时刻或时间区间内（不包括计划内服务中断时间）处于可执行规定功能状态的能力。 注：一般按允许计划外年服务中断时间、可用程度至少达到“n个九”来衡量。 生产系统production system： 正常情况下支持单位生产运行的信息系统。包括主数据、主数据处理系统和主网络。 生产中心production center： 生产系统所在的数据中心。 同城数据中心data center in the same city： 能够抵御因供电供水中断、水淹、火灾、网络故障、硬件损毁、交通中断等灾难同时影响的数据中心。 注意 一般情况下与生产中心距离为数十公里以内。 异地数据中心data center in the different city： 能够抵御因战争、洪水、海啸、台风、地震等大范围区域性灾害同时影响的数据中心。 说明 一般情况下与生产中心距离为数百公里以上。 演练exercise ： 基于灾难恢复预案进行的演习。 注意 形式包括桌面演练、模拟演练、实战演练等。 租户（Tenant） ：在云计算中，租户是一个逻辑概念，表示使用系统或计算资源的用户。在公有云平台上注册账户之后，每个人或企业就成为一个租户，云平台会以租户为基本单位来为其分配资源。比如在系统中创建的账户与统计信息，以及在系统中设置的各式数据和用户所设置的客户化应用程序环境等，都属于租户的范围。 用户（User） ：用户是指需要使用云计算服务的个人或组织。是客观存在的主体。 客户（Customer） ：客户是购买云服务的个人或组织，比如公司的雇员或者个人。 账号（Account） ：这可以是在云平台上注册的账户，例如在天翼云、华为云等平台上注册的账户。请注意，本文不区分“账号”与“帐号”，二者等义不做特殊区分。

本文介绍了企业交换机服务等级协议。 天翼云企业交换机服务等级协议详情请参见这里。

参数 参数类型 说明 示例 下级对象 snapshotPolicyOid String 快照策略ID。 sspgg7576hc59fkph1b3xe4y snapshotPolicyName String 快照策略名称。 测oName1005 snapshotType String 快照类型。枚举值范围：sys系统盘;data数据盘;all系统盘和数据盘。 sys snapshotTimePoints Array of Objects 快照时间点集合。使用UTC+8时间。时间点格式：HH:mm。 '00:00','01:00' snapshotTimePoints cycleType String 快照的周期类型。枚举值范围：Week按周;Day按天。 Day daysOfWeek Array of Objects 一个星期中需要快照的天。取值范围[1,7]。只有cycleType取值为Week时有实际意义。 '1', '7' daysOfWeek cycleDayCnt Integer 快照周期天数。只有cycleType取值为Day时有实际意义。 1 retentionRule String 保留规则。枚举值范围：Month按月;Day按天;Quantity按数量;Forever永久保留。 Quantity retentionMonthCnt Integer 保留月数。只有retentionRule取值为Month时有实际意义。 1 retentionDayCnt Integer 保留天数。只有retentionRule取值为Day时有实际意义。 1 retentionCnt Integer 保留数量。只有retentionRule取值为Quantity时有实际意义。 4 autoDelete Boolean 是否自动删除。只有retentionRule取值为Quantity时有实际意义。 false description String 描述。 createTime String 创建时间。以ISO 8601为标准，并使用UTC+0时间，格式为yyyyMMddTHH:mm:ssZ。 20230927T10:08:11Z

本章介绍天翼云关系型数据库包含哪些安全防护措施。 关系型数据库是天翼云提供的一款安全、可信的数据库服务。 RDS秉承天翼云对租户的安全承诺，尊重租户数据主权，坚持中立、客观的立场，恪守业务边界，不碰租户数据，不会利用租户数据谋取商业价值。RDS允许租户快速发放不同类型数据库，并可根据业务需要，对计算资源和存储资源进行弹性扩容。RDS提供自动备份、即时备份、数据库恢复等功能，以防止数据丢失。参数组功能，则允许租户根据业务需要进行数据库调优。 RDS还提供多个特性来保障租户数据库的可靠性和安全性，例如VPC、安全组、权限设置、SSL连接、自动备份、时间点恢复和跨可用区部署等。 网络隔离 VPC允许租户通过配置VPC入站IP范围，来控制连接数据库的IP地址段。RDS实例运行在租户独立的VPC内。租户可以创建一个跨可用区的子网组，之后可以根据业务需要，将部署RDS的高可用实例选择此子网完成，RDS在创建完实例后会为租户分配此子网的IP地址，用于连接数据库。RDS实例部署在租户VPC后，租户可通过VPN使其它VPC能够访问实例所在VPC，也可以在VPC内部创建ECS，通过私有IP连接数据库。租户可以综合运用子网和安全组的配置，来完成RDS实例的隔离，提升RDS实例的安全性。

本章节会介绍天翼云关系型数据库有哪些安全防护措施。 关系型数据库是天翼云提供的一款安全、可信的数据库服务。 RDS秉承天翼云对租户的安全承诺，尊重租户数据主权，坚持中立、客观的立场，恪守业务边界，不碰租户数据，不会利用租户数据谋取商业价值。RDS允许租户快速发放不同类型数据库，并可根据业务需要，对计算资源和存储资源进行弹性扩容。RDS提供自动备份、即时备份、数据库恢复等功能，以防止数据丢失。参数组功能，则允许租户根据业务需要进行数据库调优。 RDS还提供多个特性来保障租户数据库的可靠性和安全性，例如VPC、安全组、权限设置、SSL连接、自动备份、时间点恢复和跨可用区部署等。 网络隔离 VPC允许租户通过配置VPC入站IP范围，来控制连接数据库的IP地址段。RDS实例运行在租户独立的VPC内。租户可以创建一个跨可用区的子网组，之后可以根据业务需要，将部署RDS的高可用实例选择此子网完成，RDS在创建完实例后会为租户分配此子网的IP地址，用于连接数据库。RDS实例部署在租户VPC后，租户可通过VPN使其它VPC能够访问实例所在VPC，也可以在VPC内部创建ECS，通过私有IP连接数据库。租户可以综合运用子网和安全组的配置，来完成RDS实例的隔离，提升RDS实例的安全性。

本节介绍Web应用防火墙（独享版） 网站反爬虫类问题。 开启网站反爬虫后，为什么有些请求被WAF拦截但查不到拦截记录？ 当您开启网站反爬虫后，WAF将对该域名的第一个访问请求返回一个JavaScript代码，然后根据浏览器解析执行结果返回的数据来判断是否为合法的浏览器或爬虫工具。 网站反爬虫正常的检测流程如下： 1. 客户端访问网站，实际请求首先发送到WAF上。 2. WAF返回JavaScript代码到客户端。 3. 客户端解析JavaScript代码，并将执行结果返回给WAF。步骤3 WAF根据客户端返回的结果判断客户端是否为合法的浏览器。 1. 如果合法，则WAF将请求发送给源站服务器。 2. 如果非法，则WAF产生告警日志。 注意 开启网站反爬虫，要求客户端浏览器具有JavaScript的解析能力，并开启了Cookie。 如果客户端不满足以上要求，则只能完成步骤1和步骤2，此时： 对于客户端，请求没有成功获取到页面。 对于WAF，客户端并没有发送解析JavaScript代码的执行结果，因此没有拦截日志记录。 请您排查业务侧是否存在这种场景。如果您的网站有非浏览器访问的场景，建议您关闭网站反爬虫功能。

当证书过期或证书无效时，您可以删除该证书。本节介绍如何删除证书。 前提条件 证书没有被使用，即证书未绑定防护网站。 约束条件 如果证书已绑定防护网站，删除证书前需要解除该证书与域名绑定关系。 系统影响 删除证书不会影响业务。 证书删除后不可恢复，请谨慎删除证书。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角的，选择区域。 步骤 3 单击页面左上方的，选择“安全> Web应用防火墙（独享版）”。 步骤 4 在左侧导航树中，选择“对象管理> 证书管理”，进入“证书管理”页面。 步骤 5 在目标证书所在行的“操作”列中，单击“删除”。 步骤 6 在弹出的提示框中，单击“确认”，删除证书。 相关操作 如果证书已绑定防护网站，删除证书前需要解除该证书与域名绑定关系。请参考以下操作步骤，解除证书与域名绑定关系。 步骤 1 在目标证书所在行的“应用域名”列中，单击防护域名，进入域名基本信息页面。 步骤 2 在“证书名称”后单击编辑按钮，在弹出的对话框中，上传新证书或者选择其他已有证书。

您可以通过Web应用防火墙服务切换工作模式。Web应用防火墙提供开启防护和暂停防护两种工作模式。 前提条件 防护域名已接入WAF。 应用场景 开启防护：开启防护模式后，WAF会根据您配置的策略进行攻击检测。 暂停防护：如果大量的正常业务被拦截，比如大量返回418返回码，可以将“工作模式”切换为“暂停防护”。该模式下，WAF对所有的流量请求只转发不检测，日志也不会记录。该模式存在风险，建议您优先选择误报屏蔽规则处理正常业务拦截问题。 系统影响 切换为暂停模式后，WAF只转发流程请求，网站安全可能存在风险，建议您优先选择误报屏蔽规则处理正常业务拦截问题。 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域或项目。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。 步骤5 在目标域名所在行的“工作模式”列，选择工作模式。

本文介绍了客户支持计划不同工单的响应时间。 基于业务影响情况，天翼云定义了不同工单的响应时间。客户提交问题后，天翼云工程师会跟进客户反馈的工单情况参照不同的SLA 要求，及时响应。 工单说明： 紧急工单：客户业务重要功能不可用，需要立即处理；客户业务的重要功能受损或降级，非关键功能/系统异常；10分钟内响应。 一般工单：一般性问题咨询；30分钟内响应。

本节主要介绍修改/启用/停用企业项目。 操作场景 当您的业务发生变化时，可以对已存在的企业项目进行修改、启用、停用操作。 为了保证您的资源安全，目前暂不支持删除企业项目。如果您不再使用企业项目，您可以停用企业项目。 说明 已停用企业项目无法使用修改功能。 停用后的企业项目仍会占用企业项目配额，如果您的企业项目配额不足，建议您提交工单让后台运维人员为您提供企业项目删除功能，或提升企业项目数量配额。 企业项目停用后在云服务创建页的“企业项目”中将不可见，无法迁入资源和添加用户组，如需再次使用，请重新启用该企业项目。 默认企业项目（default）无法编辑和停用。 修改企业项目 步骤 1 企业管理员登录天翼云网门户，单击天翼云首页顶部右侧“控制台”。 步骤 2 在控制台首页顶部右侧，单击您的用户名后弹出下拉菜单，单击“企业管理”。 步骤 3 在企业项目管理页面，单击左侧功能菜单“项目管理”，进入企业项目列表页面，单击待修改企业项目右侧的“更多”，单击更多下拉菜单中的“修改”。 步骤 4 在修改企业项目信息弹出框中，输入新的“名称”和“描述”。 步骤 5 单击“确定”完成企业项目修改。 启用/停用企业项目 步骤 1 企业管理员登录天翼云网门户，单击天翼云首页顶部右侧“控制台”。 步骤 2 在控制台首页顶部右侧，单击您的用户名后弹出下拉菜单，单击“企业管理”。 步骤 3 在企业项目管理页面，单击左侧功能菜单“项目管理”，进入企业项目列表页面，单击待启用/停用企业项目右侧的“更多”，单击更多下拉菜单中的“启用”/“停用”。 步骤 4 在企业项目启用/停用确认框中，单击“是”完成企业项目启用/停用。

本文为您介绍统一身份认证服务的权限配置管理方式 基本介绍 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限，具体介绍说明详见：产品定义。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，缩小不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素左作用（Effect）、权限集（Action）等。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略： 系统策略 ：预置的系统策略，您只能使用不能修改。云间高速EC相关的系统策略包含如下： EC Admin：云间高速服务的管理者权限，包含云间高速所有控制权限； EC Viewer：云间高速服务的观察者权限，包含云间高速服务的列表页与详情页面权限； 自定义策略 ：您按需自行创建和维护的权限策略，关于自定义策略的操作和示例，具体配置说明详见：创建自定义策略。

本文介绍VPC终端节点统一身份认证与权限管理相关配置 1.统一身份认证IAM介绍 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。 1.1 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，缩小不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 1.2 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素“Action”“Effect”等，更多信息，请参见“2.1.2 创建自定义策略“。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略: 系统策略 ：预置的系统策略，您只能使用不能修改。VPC终端节点相关的系统策略包含如下： vpcep admin：VPC终端节点服务的管理者权限，包含VPC终端节点所有控制权限（不含订单类权限）； vpcep viewer: VPC终端节点服务的观察者权限，包含VPC终端节点服务的列表页与详情页面权限； 自定义策略 ：您按需自行创建和维护的权限策略，关于自定义策略的操作和示例，请参见“2.1.2 创建自定义策略“。

本文介绍对等连接服务统一身份认证与权限管理。 1.统一身份认证IAM介绍 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。 IAM为您提供的主要功能包括：精细的权限管理、安全访问、通过用户组批量管理用户权限、委托其他帐号管理资源等。 1.1 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，缩小不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 1.2 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素“Action”“Effect”等，更多信息，请参见“2.1.2 创建自定义策略“。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略: 系统策略 ：预置的系统策略，您只能使用不能修改。对等连接相关的系统策略包含如下： peering admin：对等连接服务的管理者权限，包含对等连接服务所有控制权限（不含订单类权限）； peering viewer: 对等连接服务的观察者权限，包含对等连接服务的列表页与详情页面权限； 自定义策略 ：您按需自行创建和维护的权限策略，关于自定义策略的操作和示例，请参见“2.1.2 创建自定义策略“。

本文介绍如何对算力专网站点的接入电路速率进行随选修改。 前提条件 订购算力专网前，请先确认已满足以下条件： 已经在“订购算力专网”页面完成算力专网站点的创建。 目标操作站点无“在途”订单。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域。 3. 单击选择“网络>算力专网”，进入算力专网控制台。 4. 在算力专网控制台页面里，单击目标站点所在操作列中的“速率随选变更”按钮。 5. 进入算力专网站点的速率随选变更页面，灰色字体展示当前站点的配置信息。 6. 用户根据需求选择“随选类型”、“随选开始时间”、“随选结束时间”和“随选速率”。 注意 在选择“即时生效”时：“随选结束时间”应和当前时间间隔7~90天。 在选择“预约生效”时：需要填写“随选开始时间”和“随选结束时间”，且“随选开始时间”和“随选结束时间”应间隔7~90天。 在选择“周期生效时”：需要选择随选周期，当随选周期为“日”时，“随选开始时间”和“随选结束时间”应间隔6~12小时；当随选周期为“月”时，“随选开始时间”和“随选结束时间”最小间隔为10天；当随选周期为“年”时，“随选开始时间”和“随选结束时间”最小间隔为120天。 7. 单击“确认下单”，完成接入电路速率在指定时间内的更改。

您可以根据实际需要对连接访问终端节点进行服务白名单管理。本文带您了解如何对终端节点服务白名单进行配置和管理。 操作场景 服务白名单可以控制允许访问服务资源的用户范围。创建终端节点服务后，系统自动将服务所有者的天翼云账号ID添加到服务白名单中。服务白名单中的用户可以查询到该终端节点服务，也可以创建与该终端节点服务连接的终端节点。如果您希望其他账号下的VPC访问服务，您需要将该天翼云账号ID添加到服务白名单中。 对连接访问终端节点进行服务白名单管理，具体分为添加至白名单内和从白名单内删除。 约束及限制 一次只能添加一个白名单。 删除白名单账号后，被删除账号创建终端节点时，无法搜索到此终端节点服务。 操作步骤 添加白名单 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择华东华东1。 3. 在系统首页，选择“网络>VPC终端节点”，进入“终端节点”页面。 4. 在左侧导航栏选择“终端节点服务”。 5. 选择相应的终端节点服务，点击其名称进入详情页面。 6. 在终端节点服务详情页面，选择“服务白名单”页签，点击“添加白名单”。 7. 根据提示配置参数，填写指定的天翼云账号邮箱，添加白名单。

本文主要介绍消费组问题。 Kafka实例是否需要创建消费组、生产者和消费者？ 不需要单独创建消费组、生产者和消费者，在使用时自动生成，实例创建后，直接使用即可。 连接Kafka实例后，生产消息和消费消息，请参考向Kafka实例生产消息和消费消息。 如果消息组中没有在线的消费者（如empty状态），是否14天后会自动被删除？ 消息组中没有在线的消费者（如empty状态），14天后是否会自动被删除与offsets.retention.minutes参数有关： 2020年6月16日前创建的实例，offsets.retention.minutes默认为2147483646分钟，约1491308天，消费组14天后不会被删除。 2020年6月16日以及之后创建的实例，offsets.retention.minutes默认为20160分钟，即14天，消费组14天后会自动被删除。 原因如下： Kafka通过offsets.retention.minutes参数控制消费组中offsets保留时间，在此时间内如果没有提交offset，offsets将会被删除。Kafka判定消息组中没有在线的消费者（如empty状态），且没有offsets时，将会删除此消费组。 客户端删除消费组后，在Kafka Manager中仍可以看到此消费组？ 客户端删除消费组后，此消费组已经被删除了。在Kafka Manager中仍可以看到此消费组，是因为Kafka Manager存在缓存。 通过以下任意一种方法解决此问题： 重启Kafka Manager。 Kafka Manager只显示14天内有消费记录的消费组，如果您不想重启Kafka Manager，可以等待14天后Kafka Manager自动清除此消费组。

天翼云密钥管理服务协议

天翼云AOne 安卓版本 第三方信息共享清单及SDK目录 名称 使用场景 使用目的 信息名称 信息类型 共享方式 开发者/公司 第三方隐私和信息处理规则/开发者协议链接 企业微信登录SDK 关联账号登录 企业微信账号授权登录 无 无 无 深圳市腾讯计算机系统有限公司 腾讯企业微信SDK隐私和信息处理规则 飞书登录SDK 关联账号登录 飞书账户授权登录 设备信息与日志信息：操作系统版本号、服务日志 个人常用设备信息 SDK本机采集 北京飞书科技有限公司 飞书登录 SDK 隐私政策 钉钉登录SDK 关联账号登录 钉钉账户授权登录 无 无 无 钉钉科技有限公司 钉钉登录SDK隐私政策 AndroidX 核心库 Android 应用开发基础库 提供Kotlin扩展功能，简化Android API调用,支持如保存文件、支持表情输入的功能调用 正在运行的应用安装列表、外部存储目录 个人设备信息 SDK本机采集 谷歌科技有限公司 AndroidX SDK隐私政策 OpenIm IM/通知号 IM通信和服务号通知 正在运行的应用安装列表、存储外部存储目录、 读取外部存储目录、存储目录管理、发送语音、拍照 个人设备信息 SDK本机采集 社区开源项目 OpenIM隐私政策 淘宝weexSDK 渲染h5页面 渲染部分使用h5开发的功能 无 无 SDK本机采集 数字天堂（北京）网络技术有限公司 淘宝WeexSDK隐私政策 MMKVsdk 本地存储 以keyvalue方式存储数据 无 无 SDK本机采集 深圳市腾讯计算机系统有限公司 MMKV隐私政策 Dcloud开发通用工具库 渲染h5页面 排查在不同情况下的性能和故障 设备信息（设备品牌及型号、CPU类型、屏幕参数、操作系统名称及版本、网络类型、IP地址、User Agent信息、设备语言、时区、设备是否为模拟器或已经被root、匿名设备标识符），应用信息（应用名、应用包名、版本、AppId、包含的SDK信息），报错时的堆栈信息，引擎启动时间和内存消耗 个人设备信息 SDK本机采集 数字天堂（北京）网络技术有限公司 Dcloud隐私政策 OKHTTP框架 和后端的接口交互 进行接口的数据请求 无 无 SDK本机采集 社区开源项目 Okhttp隐私政策 org.chromium框架 渲染h5页面 渲染部分使用h5开发的功能 无 无 SDK本机采集 谷歌科技有限公司 chrome框架隐私政策 ipcinvoker框架 ipc调用 创建子进程 无 无 无 社区开源项目 ipcinvoke隐私政策 JavaMail API 电子邮件的收发 通过POP3和IMAP协议接收邮件，通过SMTP协议发送邮件 发送文字、图片、拍照、文件 无 无 社区开源项目 < androidsvgaar svg图片展示 显示svg图片 用于图片显示兼容svg格式 无 无 社区开源项目 androidsvg隐私政策

本文介绍了客户支持计划的降配客户支持计划。 天翼云支持降低支持计划等级，如将企业级降配为商业级，并按订购周期实际未使用天数比例退还差价。但是客户不应频繁变更支持计划级别，天翼云保留拒绝客户频繁升降配支持计划的权力。 降配涉及支持费用变化：先计算剩余服务时间老支持计划结余费用，减去新支持计划所需费用，则为需要退还的费用。

枚举参数 无 请求示例 请求url GET '/v2/recordTemplates?PageNum1&PageSize10' 请求头header 无 请求体body 无 响应示例 {"statusCode": 200,"message": "请求成功","requestId": "813c0342f3754080ac18ee5f853ea1f0","returnObj": {"PageNum": 1,"PageSize": 10,"RecordTemplates": [{"TemplateName": "默认30天存储录像模板","Description": "默认30天存储录像模板","RecordModes": [{"RecordType": 1,"WeekTimeSections": [],"SpecTimeSections": [],"StorageTime": "2592000"}],"FileFormat": "m3u8","FileDuration": "1800","RecordTemplateId": "692447984830267392","CreatedTime": "20230323 10:52:50","TemplateType": 1}],"TotalPage": 1,"TotalNum": 1,"RequestId": "813c0342f3754080ac18ee5f853ea1f0"}} 状态码 请参考 状态码 错误码 请参考 错误码

本章节为您介绍API安全网关总览页面。 总览主要展示本系统统计到的数据信息，包括以下展示区域：数据统计 、流量分布 、访问趋势。 服务数量：当前API安全网关纳管的服务总数量。 API数量：当前API安全网关纳管的API总数量。 日访问量：当日内服务及API总访问量。 说明 当日API访问Top5支持切换展示API访问top5和API访问上游top5。 当日访问趋势支持切换查看最近 7 天、最近 14 天、最近 30 天。

NAT流量防护规则 1. 开启NAT流量防护，请参见“开启NAT网关流量防护”。 2. 在左侧导航栏中，选择“访问控制> 访问策略管理”，进入“访问策略管理”页面。 3. 添加新的防护规则。 单击“添加”，在弹出的“添加防护规则”中，填写新的防护信息。 DNAT场景填写规则请参见下表 参数名称 参数说明 规则类型 选择NAT规则： 防护NAT网关的流量，支持配置私网IP。 说明 NAT规则需满足： “专业版”防火墙。 已配置VPC边界防火墙。 名称 自定义安全策略规则的名称。 方向 选择“DNAT”。 源 设置会话发起方。 IP地址：填写私网IP地址，支持设置单个IP地址、多个连续IP地址、地址段。 单个IP地址，如：192.168.10.5 多个连续IP地址，中间使用“”隔开，如：192.168.0.2192.168.0.10 地址段，使用"/"隔开掩码，如：192.168.2.0/24 IP地址组：支持多个私网IP地址的集合，添加IP地址组请参见“添加自定义IP地址组和IP地址”。 地域：支持地理位置防护，通过指定大洲、国家、地区配置防护规则。 Any：任意源地址。 目的 设置会话接收方。 IP地址：填写私网IP地址，支持设置单个IP地址、多个连续IP地址、地址段。 单个IP地址，如：192.168.10.5 多个连续IP地址，中间使用“”隔开，如：192.168.0.2192.168.0.10 地址段，使用"/"隔开掩码，如：192.168.2.0/24 IP地址组：支持多个私网IP地址的集合，添加IP地址组请参见《云防火墙用户指南》中《添加IP地址组》。 Any：任意目的地址。 服务 服务：设置协议类型、源端口和目的端口。 协议类型：支持选择TCP、UDP、ICMP。 源/目的端口：“协议类型”选择“TCP”或“UDP”时，需要设置端口号。 说明 如您需设置该IP地址的全部端口，可配置“端口”为“165535”。 如您需设置某个端口，可填写为单个端口。例如设置22端口的访问，则配置“端口”为“22”。 如您需设置某个范围的端口，可填写为连续端口组，中间使用“”隔开。例如设置80443端口的访问，则配置“端口”为“80443”。 服务组：支持多个服务（协议、源端口、目的端口）的集合，添加自定义服务组请参见“添加自定义服务组和服务”，预定义服务组请参见“查看预定义服务组”。 Any：任意协议类型和端口号。 防护动作 设置流量经过防火墙时的处理动作。 放行：防火墙允许此流量转发。 阻断：防火墙禁止此流量转发。 启用状态 设置该策略是否立即启用。 ：表示立即启用，规则生效。 ：表示立即关闭，规则不生效。 策略优先级 设置该策略的优先级： 置顶：表示将该策略的优先级设置为最高。 移动至选中规则后：表示将该策略优先级设置到某一规则后。 说明 设置后，优先级数字越小，策略的优先级越高。 添加的第一条防护规则默认优先级是1，无需选择“策略优先级”。 时间计划管理 （可选）单击“时间计划管理”设置规则的生效时间段，选择已设置的时间计划或“新增时间计划”。 配置长连接 当前防护规则仅配置一个“服务”且“协议类型”选择“TCP”或“UDP”时，可配置业务会话老化时间。 是：设置长连接时长。 否：保留默认时长，各协议规则默认支持的连接时长如下： TCP协议：1800s。 UDP协议：60s。 说明 最大支持50条规则设置长连接。 长连接时长 “配置长连接”选择“是”时，需要配置此参数。 设置长连接时长。输入“时”、“分”、“秒”。 说明 支持时长设置为1秒~1000天。 标签 （可选）用于标识规则，可通过标签实现对安全策略的分类和搜索。 描述 （可选）标识该规则的使用场景和用途，以便后续运维时快速区分不同规则的作用。 SNAT场景填写规则请参见下表 参数名称 参数说明 规则类型 选择NAT规则： 防护NAT网关的流量，支持配置私网IP。 说明 NAT规则需满足： “专业版”防火墙。 已配置VPC边界防火墙。 名称 自定义安全策略规则的名称。 方向 选择“SNAT”。 源 设置会话发起方。 IP地址：填写私网IP地址，支持设置单个IP地址、多个连续IP地址、地址段。 单个IP地址，如：192.168.10.5 多个连续IP地址，中间使用“”隔开，如：192.168.0.2192.168.0.10 地址段，使用"/"隔开掩码，如：192.168.2.0/24 IP地址组：支持多个私网IP地址的集合，添加IP地址组请参见“添加自定义IP地址组和IP地址”。 地域：支持地理位置防护，通过指定大洲、国家、地区配置防护规则。 Any：任意源地址。 目的 设置会话接收方。 IP地址：填写私网IP地址，支持设置单个IP地址、多个连续IP地址、地址段。 单个IP地址，如：192.168.10.5 多个连续IP地址，中间使用“”隔开，如：192.168.0.2192.168.0.10 地址段，使用"/"隔开掩码，如：192.168.2.0/24 IP地址组：支持多个私网IP地址的集合，添加IP地址组请参见“添加自定义IP地址组和IP地址”。 地域：支持地理位置防护，通过指定大洲、国家、地区配置防护规则。 Any：任意目的地址。 服务 服务：设置协议类型、源端口和目的端口。 协议类型：支持选择TCP、UDP、ICMP。 源/目的端口：“协议类型”选择“TCP”或“UDP”时，需要设置端口号。 说明 如您需设置该IP地址的全部端口，可配置“端口”为“165535”。 如您需设置某个端口，可填写为单个端口。例如设置22端口的访问，则配置“端口”为“22”。 如您需设置某个范围的端口，可填写为连续端口组，中间使用“”隔开。例如设置80443端口的访问，则配置“端口”为“80443”。 服务组：支持多个服务（协议、源端口、目的端口）的集合，添加自定义服务组请参见“添加自定义服务组和服务”，预定义服务组请参见“查看预定义服务组”。 Any：任意协议类型和端口号。 防护动作 设置流量经过防火墙时的处理动作。 放行：防火墙允许此流量转发。 阻断：防火墙禁止此流量转发。 启用状态 设置该策略是否立即启用。 ：表示立即启用，规则生效。 ：表示立即关闭，规则不生效。 策略优先级 设置该策略的优先级： 置顶：表示将该策略的优先级设置为最高。 移动至选中规则后：表示将该策略优先级设置到某一规则后。 说明 设置后，优先级数字越小，策略的优先级越高。 添加的第一条防护规则默认优先级是1，无需选择“策略优先级”。 配置长连接 当前防护规则仅配置一个“服务”且“协议类型”选择“TCP”或“UDP”时，可配置业务会话老化时间。 是：设置长连接时长。 否：保留默认时长，各协议规则默认支持的连接时长如下： TCP协议：1800s。 UDP协议：60s。 说明 最大支持50条规则设置长连接。 长连接时长 “配置长连接”选择“是”时，需要配置此参数。 设置长连接时长。输入“时”、“分”、“秒”。 说明 支持时长设置为1秒~1000天。 标签 （可选）用于标识规则，可通过标签实现对安全策略的分类和搜索。 描述 （可选）标识该规则的使用场景和用途，以便后续运维时快速区分不同规则的作用。 4. 单击“确认”，完成配置防护规则。 说明 访问控制策略默认状态为放行。

本文介绍创建Redis自定义策略。 如果系统预置的Redis权限，不满足您的授权要求，可以创建自定义策略。自定义策略中可以添加的授权项请参考主子账号和IAM权限管理。 目前天翼云支持可视化视图和JSON视图两种方式设置策略内容，详细介绍请查看统一身份认证用户指南权限管理自定义策略 创建自定义策略。 可视化视图：通过可视化视图创建自定义策略，无需了解JSON语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图：通过JSON视图创建自定义策略，可以在选择策略模板后，根据具体需求编辑策略内容；也可以直接在编辑框内编写JSON格式的策略内容。 Redis自定义策略样例 以下策略样例表示：仅允许IAM用户使用redis启动、停止功能。 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "DCS2:inst:redisstart", "DCS2:inst:redisstop" ] } ] }

本文帮助您了解开通对象存储服务的操作步骤。 操作场景 对象存储（简称ZOS）需开通服务后才可以使用，服务开通后将根据资源使用量按需计费或可购买资源包，不使用不计费。 使用说明 对象存储服务在服务开通时选择地域节点，为了简化开通步骤，现将部分地域的开通操作和控制台管理合并，已合并地域支持“公共资源池”方式统一管理。 对象存储服务，每个资源池需要单独开通（公共资源池只需开通一次），若已开通服务会直接跳转至对象存储控制台。 关于公共资源池说明，可查看地域说明。 操作步骤 公共资源池开通 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在控制台上方单击，选择支持对象存储服务且未开通的地域。 3. 在控制台首页，选择“存储>对象存储”。 4. 在弹出的服务开通页面，地域选择“公共资源池”选项，并勾选“我已阅读并同意相关协议《天翼云对象存储系统服务协议》”。 5. 完成“公共资源池”的对象存储服务开通后，即视为对所有纳入“公共资源池”范围的对象存储ZOS资源池完成服务开通，进入ZOS控制台即可正常使用。 单个资源池开通 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在控制台上方单击，选择地域，以下操作选择西安西安7。 3. 在控制台首页，选择“存储>对象存储”。 4. 在弹出的服务开通页面，勾选“我已阅读并同意相关协议《天翼云对象存储系统服务协议》”。 5. 开通完成之后，即可进入ZOS控制台正常使用。

中国内地价格 基本描述：按流量阶梯价格计费，当月分别超额累进（以自然月为一个累计周期）。 流量阶梯 标准资费 单位 （0TB,10TB] 3 元/GB （10TB,50TB] 2.7 元/GB （50TB,+∞] 2.25 元/GB 注意事项 如果您对上传加速服务有突发带宽使用需求，请至少提前3个工作日（重大节日的突发，包括但不限于春晚，双十一等，需要提前至少1个月）联系天翼云申请突发带宽用量。若申请成功，在双方约定的突发量级内，可确保您的服务不受影响；若申请不成功或未申请的，天翼云有权采取限流等措施来保障全网用户的稳定性，由此导致的可用性问题，天翼云不承担责任 。符合以下情况之一的都属于“突发带宽”： a.带宽计费客户：本自然月（日）带宽增量超过100Gbp，或本自然月（日）的带宽增量超出上月（日）计费带宽的30%（另有约定的，从其约定）； b.流量计费客户：本自然月带宽峰值超过10Gbps。 带宽利用率 实际使用流量值(GB) /（带宽峰值Mbps x 10.54）；1Mbps带宽每日100%利用率产生的流量约为10.54GB。 上传加速计费的流量比日志中记录的流量多。因为上传加速日志中记录的流量数据是应用层日志统计出的流量，但是实际网络请求中存在TCP/IP包头的消耗和TCP重传消耗，要比应用层统计到的流量高出7%~15%，因此按照业界标准，应用于账单的计费数据会比基于访客日志计算得出的计费值上浮10%。 如果您的上传加速月消费金额大于10万元，天翼云可提供更灵活优惠的按月计费方式。您可以提交工单或拨打4008109889电话联系客服咨询。 上传加速计费按照1000进制换算，例如：1Gbps1000Mbps；1GB1000MB。

天翼云企业中心财务托管协议

本文为您介绍数据库审计的权限管理能力,支持通过IAM实现对数据库审计的访问控制、权限分配。 天翼云提供统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。通过IAM服务定义企业项目、创建子用户，轻松实现IAM子用户对数据库审计资源的访问控制、权限分配等。 默认情况下，天翼云主账号拥有管理员权限，而主账号创建的IAM用户没有任何权限。IAM用户需要加入用户组，并给用户组授权相应策略后，IAM用户才能获得策略对应的权限，才可以基于被授予的权限对云服务进行操作。 数据库审计支持企业项目管理，若您需要对数据库审计资源进行分组和管理，形成逻辑隔离，您可以创建企业项目，并将资源划分至不同的企业项目中，不同的企业项目可以绑定不同的用户组，并给用户组授予数据库审计产品的权限策略（包括系统策略和自定义策略），从而实现对特定资源的授权。 说明 仅“一类节点”区域的实例支持企业项目管理。 IAM应用场景 IAM策略主要面向同一主账号下，对不同IAM用户授权的场景： 您可以为不同操作人员或应用程序创建不同IAM用户，并授予IAM用户刚好能完成工作所需的权限，比如查看权限，进行最小粒度授权管理。 新创建的IAM用户可以使用自己的登录名和密码登录控制台，实现多用户协同操作时无需分享账号密码的安全要求。 数据库审计IAM策略说明 天翼云为数据库审计提供如下系统策略 。如果系统策略不满足授权要求，可以创建自定义策略 ，自定义策略是对系统策略的扩展和补充，详情请参见创建自定义策略。 策略名称 策略描述 类别 授权范围 数据库审计admin策略 数据库审计admin策略，拥有产品所有操作权限。 系统策略 全局级 数据库审计系统管理员策略 数据库审计系统管理员策略。 系统策略 全局级 数据库审计审计员策略 数据库审计审计员策略，只具备查看权限。 系统策略 全局级 数据库审计安全员策略 数据库审计安全员策略。 系统策略 全局级 数据库审计业务管理员策略 数据库审计业务员管理员策略，仅支持使用数据库审计实例，不支持订购相关操作。 系统策略 全局级

本章介绍如何通过IAM创建用户并授权的方法。 创建用户并授权使用SMS 本章节为您介绍对IAM用户授权的方法。 管理员帐号拥有SMS迁移所需要的所有权限，使用管理员帐号进行迁移时，不需要进行授权。如果您需要对您所拥有的SMS进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的天翼云帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用SMS。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将SMS委托给更专业、高效的其他天翼云帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。 前提条件 给用户组授权之前，请您了解用户组可以添加的SMS权限，并结合实际需求进行选择，SMS支持的系统权限，请参见：SMS系统权限。若您需要对除SMS之外的其它服务授权，IAM支持服务的所有权限请参见权限策略。 示例流程 操作步骤 1. 创建用户组并授权： 1. 系统策略：如果IAM用户需要主机迁移服务(SMS)的所有操作权限，则为IAM用户授予系统策略。在IAM控制台创建用户组，并授予“SMS FullAccess”、"OBS OperateAccess"、“ECS FullAccess”、“VPC FullAccess”。 2. 自定义策略：如果IAM用户只需要拥有主机迁移服务(SMS)的部分操作权限，则使用自定义策略。自定义策略相比于系统策略，粒度更细，更安全。 2. 创建用户并加入用户组，在IAM控制台创建用户，并将其加入步骤1中创建的用户组。 3. 用户登录并验证权限，新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择“迁移>主机迁移服务”，进入主机迁移服务界面，在迁移服务器列表页面找到待迁移的服务器，在“目的端”列下单击“设置目的端”，设置目的端服务器。若可以设置目的端服务器，表示授予的权限已生效。 在“服务列表”中选择除主机迁移服务和依赖服务外的任一服务，若提示权限不足，表示授予的权限已生效。

本章节为您介绍微服务引擎专享版的版本支持机制。 版本号说明 版本号格式为：{major}.{minor}.{patch}。 其中： {major}.{minor}为正式版本号。 {patch}为补丁版本号。 例如，v1.3.1。1.3为正式版本号，1为补丁版本号。 版本支持机制 微服务引擎创建 只能创建最新版本的微服务引擎，不支持创建指定版本微服务引擎。 微服务引擎维护 支持同时维护最新的3个正式版本。 微服务引擎版本升级 正式版本升级，支持当前最新的3个正式版本中的2个较低版本升级到最新版本。例如，当前最新的3个正式版本为1.3、1.2、1.1，则支持由1.1、1.2升级到1.3。 说明 当引擎升级已超出可支持升级的版本范围，例如由1.0升级到1.3，可能导致微服务引擎的管理功能不可用，请谨慎操作。 您可以通过联系技术支持工程师，进行升级前风险评估。 补丁版本升级，微服务引擎后台提供补丁版本自动升级，例如由1.3.0升级到1.3.1。 版本约束 微服务引擎版本升级后，不支持版本回滚。