本节为您介绍数据安全中心如何保护您的个人数据。 数据安全中心DSC通过控制个人数据访问权限，以及记录操作日志等方法防止个人数据泄露，可以使您的个人数据（如用户名、密码、手机号码等）不被未经过认证、授权的实体或者个人获取，保证您的个人数据安全。 个人信息收集范围 数据安全中心DSC收集及产生的个人数据如下： 类型 收集方式 是否可以修改 是否必须 用户ID 在控制台进行任何操作时Token中的用户ID 在调用API接口时Token中的用户ID 否 是，用户ID是用户的身份标识信息。 数据库密码 用户在控制台自行填入 是 是，对数据库数据进行扫描、脱敏和注入水印时，DSC需使用数据库密码联通数据库，获取数据。 数据存储方式 租户ID不属于敏感数据，明文存储。 数据库密码：加密存储。 数据访问权限 用户只能查看自己业务的相关日志。 审计日志记录 用户个人数据的所有操作，包括修改、查询和删除等，数据安全中心DSC都会记录审计日志并上传至云审计服务（CTS），用户可以并且仅可以查看自己的审计日志。

本章节主要介绍数据治理中心DataArts Studio与其他服务的关系。 统一身份认证服务 DataArts Studio使用统一身份认证服务（Identity and Access Management，简称IAM）实现认证和鉴权功能。 云审计服务 DataArts Studio使用云审计服务（Cloud Trace Service，简称CTS）审计用户在管理控制台页面的操作，可用于检视是否存在非法或越权操作，完善服务安全管理。 弹性云主机服务 DataArts Studio使用弹性云主机（Elastic Cloud Server，简称ECS）进行CDM集群和数据服务集群的创建，另外DataArts Studio可以通过主机连接在ECS上执行Shell或Python脚本。 虚拟私有云服务 DataArts Studio使用虚拟私有云服务（Virtual Private Cloud，简称VPC）的创建隔离的网络环境。 弹性公网IP服务 DataArts Studio使用弹性公网IP服务（Elastic IP，简称EIP）打通与公网间的网络通信。 对象存储服务 DataArts Studio使用对象存储服务（Object Storage Service，简称OBS）的桶存储日志信息。 消息通知服务 DataArts Studio使用消息通知服务（Simple Message Notification，简称SMN）依据用户的订阅需求主动推送通知消息，使用户可以在触发告警（如质量监控）时能立即接收到通知。 云专线服务 DataArts Studio使用云专线服务（Direct Connect，简称DC）打通与第三方数据中心的网络通信。 API网关服务 DataArts Studio通过API网关服务（API Gateway，简称APIG）对外开放各组件的API接口。 数据湖探索服务 DataArts Studio支持将数据湖探索服务（Data Lake Insight，简称DLI）作为数据湖底座，进行数据集成、开发、治理与开放。

天翼云为您提供天翼云企业中心财务托管协议，请您点击查看。 天翼云企业中心财务托管协议

仪表板是将日志审计(原生版)获取到的数据源数据按事件分类,通过不同的维度和统计方式展示分析结果。 操作步骤 1. 登录日志审计（原生版）控制台。 2. 在左侧导航栏选择“审计报表 > 仪表板”，进入“仪表板”页面。 3. 选择事件。 4. 在右上角选择时间范围。 说明 时间选择器中的“自定义”仅能选择最近30天内。 5. 单击时间选择器右侧的刷新按钮。 系统将根据筛选条件获取数据并更新视图。 说明 内置的仪表板视图不能修改。 相关操作 刷新：触发数据更新，系统会重新获取数据并更新视图，同时保持当前时间范围设置不变。 重置：时间选择器恢复至默认的"最近1周"状态，并自动刷新数据视图。

本页为您介绍数据库专家服务的退订。 退订操作 在服务单列表中，选择您想要退订的服务单，点击服务单操作列的“退订”按钮，在弹窗中点击“确定”按钮确认退订。注意：只有符合天翼云允许的退订条件、满足天翼云规定的时限的订单，客户才能进行退订操作。 关于订单退订条件 基础服务和保驾护航服务 客户在天翼云数据库专家团队进行服务实施前均可发起退订，天翼云无条件退还全部费用（现阶段退订暂不能在页面发起，如需退订请联系客服）。 一旦已进入服务实施阶段不允许退订，不退还费用。 若在评估阶段因天翼云原因评估未通过的，由天翼云通知客户并处理退订。 数据库增值服务包 客户在服务完成前均可发起退订，天翼云按服务订购时间和订购的时长计算剩余的服务天数，按天折算退还剩余费用。

本节介绍了DDoS高防（边缘云版）的主要产品优势。 针对天翼云云内或云外用户业务，在遭受大流量 DDoS 攻击后，导致服务不可用时，都可以使用天翼云DDoS高防（边缘云版）服务。 与传统DDoS防护方案相比，天翼云DDoS高防（边缘云版）具有全场景支持、超强清洗能力、AI大数据协调、极简管理等优势，保障业务稳定、安全运行。 全场景支持 支持从网络层/传输层（L3/4）到应用层（L7）DDoS攻击的防护 支持IPv4/IPv6双栈协议 支持网站和非网站业务，覆盖金融、电商、游戏、政府等各类业务，充分满足用户不同业务的安全防护需求 依托天翼云攻防对抗实战经验，可为客户提供DDoS攻击演练服务，帮助用户提前发现内部潜在安全威胁，提升应急响应能力 超强清洗能力 海量边缘节点能力升级，防御总带宽超过12T 百G抗D节点支持大区粒度覆盖，根据攻击情况进行智能调度 分布式架构，减少单点故障概率，结合云原生、智能调度能力，实现资源动态扩容，有效应对业务突发和大流量攻击 根据用户需求进行规划资源，提供属地+三网的防护节点，就近接入，减少服务延迟，提高访问速度

本小节介绍如何新增事件过滤规则。 事件过滤规则是对采集到的日志进行过滤，将不需要审计的日志条件填入规则，不再审计过滤的日志。可对事件过滤规则进行新增、查看、编辑、删除操作。 新增事件过滤规则 1. 登录日志审计（原生版）控制台。 2. 在左侧导航栏选择“风险分析 > 事件策略 > 事件过滤规则”。 3. 单击“新增规则”，弹出新增规则窗口。 4. 配置过滤规则，填写完成后单击“提交”。 参数 参数说明 取值样例 规则名称 自定义过滤规则名称。 Test 相关采集器 选择日志采集器，目前仅可选择“logp” logp 过滤规则 根据业务实际情况填写过滤规则。 目标端口等于8080 相关操作 规则配置完成后，在规则列表，支持查询规则、查看规则详情、编辑规则、删除规则。 查询规则：在查询栏中，填写需要查询的条件，点击搜索图标，列表展示过滤后的规则。 查看规则详情：单击规则列表操作列的“查看”按钮，查看事件过滤规则详情。 修改规则：单击规则列表操作列的“修改”按钮，弹出修改界面，修改事件过滤规则。 删除规则：单击规则列表操作列的“更多 > 删除”按钮，在弹出的提示框中，单击“确定”。

本文为您介绍如何使用自建Beats向天翼云云搜索服务Elasticsearch实例导入数据。 Beats是轻量级的数据收集器，专门用于将各种日志、指标、网络数据发送到Elasticsearch。常用的Beats包括 Filebeat、Metricbeat、Packetbeat等。 Filebeat是一种轻量级日志收集器，通常用于将文件系统中的日志文件或事件日志发送到Elasticsearch或Logstash。它适合简单的日志采集场景，能够有效处理系统、应用程序日志等。本文将以Filebeat为例，导入数据至Elasticsearch实例。 适用场景 轻量数据收集：适用于需要从大量分布式系统、服务器、容器中收集日志、监控指标等情况。 实时日志监控：Beats 能够实时收集日志并传送到 Elasticsearch，是实时日志分析场景的理想选择。 低延迟要求的场景：Beats设计为轻量级工具，占用资源少，适合资源受限的环境。 前提条件 已经开通天翼云云搜索Elasticsearch实例。 已经部署Filebeat且打通和Elasticsearch实例之间的网络。 Filebeat配置 Filebeat采集日志，需要配置Filebeat的配置文件，设置具体需要采集的日志路径。 具体根据实际的部署路径配置filebeat.yml。 采集日志 filebeat.inputs: type: log 采集的日志文件的路径。替换为自己日志的路径，可以使用通配符。 paths: /yourpath/.log output.elasticsearch: ip替换为Elasticsearch实例的地址。 hosts: [" 传入Elasticsearch实例的用户名和密码 username: "" password: ""

实践 描述 云防火墙提供了“标准版”供您使用，包括访问控制、入侵防御、流量分析以及日志审计等功能，本实践介绍如何进行防火墙使用。 本实践以配置IP地址组和服务组为例，说明如何批量配置IP地址和服务访问控制策略。

配置流程 开启云防火墙（原生版）多账号管理功能分为以下四步： 1. 开启可信服务。 2. 将本账号设置为委托管理员。 3. 将云防火墙设置为可信服务。 4. 在防火墙添加成员账号，开启多账号管理。 启用可信服务 可信服务是指⽀持与企业组织组合使⽤的其他天翼云服务，用户在企业组织中配置开启的可信服务，可以访问企业组织中的账号信息并进⾏管理操作。 在开启可信服务前，不同主账号需要分别开通一套云防火墙（原生版），且不同主账号间的被防护资产互不可见；开启可信服务后，仅需一个委托管理员账号开通一套云防火墙（原生版），通过资产同步获取并管理企业组织中其他成员账号的资产，进行统一的公网资产和VPC资产统一引流保护、策略配置、流量分析、入侵防御、日志审计分析。 1. 使用主账号登录天翼云控制台。 2. 在左上角账户处选择“总览”，进入账号“账号中心”页面。 3. 在左侧导航栏选择“企业中心”，跳转至“企业中心”页面后选择“可信服务”进入“可信服务”模块。 4. 在云防火墙服务行，选择“操作”列的“设置委托管理员”。 5. 随后进入云防火墙（原生版）控制台，在左侧导航栏选择“设置中心 > 多账号管理”，在对应页面单击“开启可信服务”。

本页主要介绍临时关闭对象存储备份类型的原因、影响和建议。 原因 为了给您提供更好更完善的备份服务，备份类型为对象存储的备份架构需要进行升级，关系数据库PostgreSQL版将于2025年4月30日至备份架构完成升级期间，暂时关闭部分资源池订购备份类型为对象存储的选项。 影响 影响资源池：华东1、华北2、西南1、华南2、长沙42、南昌5资源池。 影响实例： 2025年4月30日至备份架构完成升级期间，新订购的实例将临时无法选择对象存储备份类型，您可选择云硬盘备份类型。 2025年4月30日之前订购的存量实例，可以继续使用对象存储实例相关功能。 影响功能： 由于暂时无法新订购对象存储实例，2025年4月30日至备份架构完成升级期间新订购的实例将暂时无法享受依赖对象存储相关功能，例如跨域备份恢复、审计日志下载等功能。 存量的对象存储备份实例依然可以使用跨域备份恢复、审计日志下载等相关功能。 建议 建议客户在新订购实例时，选择云硬盘的备份类型，备份的磁盘类型支持选择普通IO，高IO，超高IO（具体以界面显示为准），客户可以根据自身的业务需要进行选择。

如果您需要查看SDWAN组网拓扑，可以参考以下步骤。 操作场景 用户查看天翼云SDWAN组网拓扑。 操作步骤 1. 登录天翼云SDWAN控制台； 2. 选择“天翼云SDWAN”，单击目标SDWAN名称； 3. 单击“网络拓扑”，可查看天翼云SDWAN互联链路。

操作 DDS FullAccess DDS ReadOnlyAccess DDS ManageAccess DDS Administrator 创建实例 √ x √ √ 查询实例列表 √ √ √ √ 删除实例 √ x x √ 重启实例 √ x √ √ 主备倒换 √ x √ √ 修改端口 √ x √ √ 重置密码 √ x √ √ 修改SSL √ x √ √ 修改安全组 √ x √ √ 绑定/解绑公网IP √ x √ √ 磁盘扩容 √ x √ √ 规格变更 √ x √ √ 节点扩容 √ x √ √ 删除扩容失败节点 √ x × √ 修改备份策略 √ x √ √ 重命名实例 √ x √ √ 修改内网IP地址 √ x √ √ 变更实例下节点绑定的参数模板 √ x √ √ 切换慢日志明文显示开关 √ x √ √ 切换审计日志开关 √ x √ √ 下载审计日志 √ x √ √ 删除审计日志 √ x × √ 下载备份文件 √ x √ √ 创建手动备份 √ x √ √ 查询备份列表 √ √ √ √ 恢复到新实例 √ x √ √ 恢复到已有实例 √ x √ √ 删除备份 √ x × √ 创建参数模板 √ x √ √ 查询参数模板列表 √ √ √ √ 修改参数模板 √ x √ √ 删除参数模板 √ x × √ 任务中心列表 √ x √ √

配置日志外发 日志外送提供Kafka外送功能，Kafka外送模块是 APIG 系统的通用外发功能，支持配置外发接口以及外发任务来管理通过Kafka方式外发，有固定模板供客户选择。通过Kafka外送发送日志的格式可以根据实际的情况进行调整。 1.登录API安全网关。 2.在左侧导航栏选择“通知外送 > 日志外送”，进入Kafka页签。 3.在“外送接口”区域，单击“新增”按钮，开始新增Kafka外送接口。 配置项 说明 名称 日志外送接口的名称。必须为中文字符、字母、数字、“”、“.”或“”，长度不超过 64 字符。 Kafka节点地址 Kafka服务器的IP（域名）及端口号。例如：192.168.0.1:9200。 Kafka主题 消息投放到Kafka服务器的主题。 Kafka分区 消息投放到的Kafka服务器的分区。Kafka服务器通过主题（topic）、分区（partition）和消费组（consumergroup）三个概念灵活适应各种消息场合，通过提升硬件资源利用率提高系统吞吐量。 以上Kafka相关配置与服务器端保持一致即可。 审计日志模板 设置发送审计日志的模板，具体字段请依据填写说明编辑。 操作日志模板 设置发送操作日志的模板，具体字段请依据填写说明编辑。 告警日志模板 设置发送告警日志的模板，具体字段请依据填写说明编辑。 流量控制日志模板 设置发送流量控制日志的模板，具体字段请依据填写说明编辑。 4.配置完成后，选择“外送任务”，开始新增Kafka外送任务。 配置项 说明 任务名称 日志外送任务的名称。必须为中文字符、字母、数字、“”、“.”或“”，长度不超过 64 字符。 日志类型 审计日志、操作日志、告警日志、流量控制日志 外送接口 选择维护好的外送接口 满足条件协议 默认全部

本文介绍了虚拟私有云的权限内容。 如果您需要对天翼云上创建的VPC资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制天翼云资源的访问。 通过IAM，您可以在天翼云账号中给员工创建IAM用户，并授权来控制员工对天翼云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望员工拥有VPC的使用权限，但是不希望员工拥有删除VPC等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用VPC，但是不允许删除VPC的权限，控制员工对VPC资源的使用范围。 如果天翼云账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可忽略本章节，不影响您使用VPC服务的其他功能。 VPC权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 VPC部署时通过物理区域划分。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问VPC时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于天翼云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对VPC服务，管理员能够控制IAM用户仅能对某一类网络资源进行指定的管理操作。 下表是VPC的所有系统权限。 策略名称 描述 策略类别 依赖关系 VPC FullAccess 虚拟私有云的所有执行权限。 系统策略 如果您需要使用VPC流日志功能，则依赖云日志服务的只读权限LTS ReadOnlyAccess。 VPC ReadOnlyAccess 虚拟私有云的只读权限。 系统策略 无 VPC Administrator 虚拟私有云的大部分操作权限，不包括创建、修改、删除、查看安全组以及安全组规则。 拥有该权限的用户必须同时拥有Tenant Guest权限。 系统角色 依赖Tenant Guest策略，在同项目中勾选依赖的策略。 下表是VPC常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 操作 VPC ReadOnlyAccess VPC Administrator VPC FullAccess 创建VPC × √ √ 修改VPC × √ √ 删除VPC × √ √ 查看VPC √ √ √ 创建子网 × √ √ 查看子网 √ √ √ 修改子网 × √ √ 删除子网 × √ √ 创建安全组 × × √ 查看安全组 √ × √ 修改安全组 × × √ 删除安全组 × × √ 添加安全组规则 × × √ 查看安全组规则 √ × √ 修改安全组规则 × × √ 删除安全组规则 × × √ 创建网络ACL × √ √ 查看网络ACL √ √ √ 修改网络ACL × √ √ 删除网络ACL × √ √ 添加网络ACL规则 × √ √ 修改网络ACL规则 × √ √ 删除网络ACL规则 × √ √ 创建对等连接 × √ √ 修改对等连接 × √ √ 删除对等连接 × √ √ 查询对等连接 √ √ √ 接受对等连接 × √ √ 拒绝对等连接 × √ √ 创建路由表 × √ √ 删除路由表 × √ √ 修改路由表 × √ √ 将路由表关联至子网 × √ √ 添加路由 × √ √ 修改路由 × √ √ 删除路由 × √ √ 创建VPC流日志 × √ √ 查看VPC流日志 √ √ √ 开启/关闭VPC流日志 × √ √ 删除VPC流日志 × √ √ 创建IP地址组 × √ √ 将IP地址组关联至资源 × √ √ 将IP地址组和资源解除关联 × √ √ 在IP地址组内添加IP地址条目 × √ √ 删除IP地址组内的IP地址条目 × √ √ 修改IP地址组 × √ √ 删除IP地址组 × √ √ 说明 对于企业项目用户，您可以对属于该企业项目的资源进行权限范围内的操作。

本教程为您介绍如何从华为云OBS迁移至天翼云ZOS。 操作场景 对象存储迁移服务（ZOS Migration Service，简称：ZMS）可以将您其它云厂商存储的对象存储数据，通过云端控制台的操作，迁移到天翼云对象存储（ZOS）。 注意 若您在迁移前，还不了解您的源端对象存储的数据情况，您可进行迁移前的源端数据评估。或者，从您的源端云服务的控制中心了解源端数据的情况。 使用须知 对象存储迁移服务（ZMS）入口请参见产品能力地图，服务支持全国不同资源池之间的迁移，迁移目的端支持填入全国各地的ZOS资源池地址。 为完成评估任务和迁移任务，您在使用迁移服务过程中，需要授权天翼云临时收集和使用您的部分个人信息，如用于鉴权的访问密钥（AK/SK）等信息。 迁移过程中会产生公网流出流量费用及对象存储服务请求费用，该费用由源端的存储服务提供商向您收取。 您通过互联网进行数据迁移传输时，应遵从当地适用法律法规的要求，天翼云只为您提供数据迁移服务，并不对您使用本服务的合法合规性负责，不承担传输后的法律风险和后果。 操作流程

本教程为您介绍如何从华为云OBS迁移至天翼云ZOS。 操作场景 对象存储迁移服务（ZOS Migration Service，简称：ZMS）可以将您其它云厂商存储的对象存储数据，通过云端控制台的操作，迁移到天翼云对象存储（ZOS）。 注意 若您在迁移前，还不了解您的源端对象存储的数据情况，您可进行迁移前的源端数据评估。或者，从您的源端云服务的控制中心了解源端数据的情况。 使用须知 对象存储迁移服务（ZMS）入口请参见产品能力地图，服务支持全国不同资源池之间的迁移，迁移目的端支持填入全国各地的ZOS资源池地址。 为完成评估任务和迁移任务，您在使用迁移服务过程中，需要授权天翼云临时收集和使用您的部分个人信息，如用于鉴权的访问密钥（AK/SK）等信息。 迁移过程中会产生公网流出流量费用及对象存储服务请求费用，该费用由源端的存储服务提供商向您收取。 您通过互联网进行数据迁移传输时，应遵从当地适用法律法规的要求，天翼云只为您提供数据迁移服务，并不对您使用本服务的合法合规性负责，不承担传输后的法律风险和后果。 操作流程

本教程为您介绍如何从腾讯云COS迁移至天翼云ZOS。 操作场景 对象存储迁移服务（ZOS Migration Service，简称：ZMS）可以将您其它云厂商存储的对象存储数据，通过云端控制台的操作，迁移到天翼云对象存储（ZOS）。 注意 若您在迁移前，还不了解您的源端对象存储的数据情况，您可进行迁移前的源端数据评估。或者，从您的源端云服务的控制中心了解源端数据的情况。 使用须知 对象存储迁移服务（ZMS）入口请参见产品能力地图，服务支持全国不同资源池之间的迁移，迁移目的端支持填入全国各地的ZOS资源池地址。 为完成评估任务和迁移任务，您在使用迁移服务过程中，需要授权天翼云临时收集和使用您的部分个人信息，如用于鉴权的访问密钥（AK/SK）等信息。 迁移过程中会产生公网流出流量费用及对象存储服务请求费用，该费用由源端的存储服务提供商向您收取。 您通过互联网进行数据迁移传输时，应遵从当地适用法律法规的要求，天翼云只为您提供数据迁移服务，并不对您使用本服务的合法合规性负责，不承担传输后的法律风险和后果。 操作流程

介绍获取媒体存储密钥步骤。 功能说明 媒体存储支持普通密钥管理、方便用户进行密钥的分发以及查看。 注意 媒体存储控制台仅展示存量密钥以及天翼云统一身份认证的AccessKey信息，如需新增或删除AccessKey，请点击前往：统一身份认证服务 。 应安全合规要求，为进一步降低密钥泄漏风险，自2025年12月1日起，媒体存储将对用户控制台密钥管理展示做出以下调整： 自2025年12月1日后订购媒体存储的新用户，请在统一身份认证服务留存信息。媒体存储控制台不提供SecurityKey信息查询。 对于历史用户，则于2026年1月1日起，媒体存储控制台将不再提供SecurityKey查询。请及时到控制台留存存量的SecurityKey信息。 子用户的密钥展示规则跟其所属的主账号展示规则一致。 使用说明 名词说明： 存量密钥：指原在媒体存储控制台创建的密钥对。 CTIAM新增密钥：指通过天翼云统一身份认证创建的密钥对。 媒体存储自2024年11月13日起，已与天翼云统一身份认证（简称CTIAM）子账号体系互通，媒体存储控制台仅展示天翼云统一身份认证的AccessKey信息。 如需新增、禁用、启用、删除CTIAM新增密钥的AccessKey，请点击前往：统一身份认证服务 。 存量密钥可在媒体存储控制台查看，不会同步至CTIAM展示，但不影响存量AK/SK使用；存量密钥仍可通过媒体存储控制台进行启用、禁用、删除操作。 密钥禁用后将无法继续使用通过AWS S3标准API或媒体存储SDK进行访问访问对象存储。 媒体存储支持用户同时使用多个区域，密钥操作也是在所有区域均会生效，当某个区域操作失败时可以通过页面右上角【刷新】功能进行重试，直至所有区域均同步成功。

修改用户信息 1.登录日志审计（原生版）控制台。 2.在左侧导航栏选择“系统配置 > 用户管理”。 3.单击待修改角色的“操作”列的“修改”按钮，在弹出对话框中修改用户的相关参数。 4.修改完成后单击“提交”，完成角色修改。 删除用户 1.登录日志审计（原生版）控制台。 2.在左侧导航栏选择“系统配置 > 用户管理”。 3.选择待删除角色的“操作”列的“更多 > 删除”，在弹出对话框中单击“确定”完成删除操作。

功能 功能描述 企业路由器 您可以将企业路由器看作一个支持路由学习的高性能集中路由器，创建企业路由器时，您可以设置部署区域、可用区、名称等参数。 企业路由器创建完成后，您可以根据业务使用情况灵活调整部分参数。 连接 为企业路由器添加网络实例对应的连接，即表示将网络实例接入企业路由器中。 路由表 路由表是企业路由器发送报文的依据，包含连接的关联关系、传播关系以及路由信息。 一个企业路由器可以拥有多个路由表，您可以将连接关联至不同的路由表，从而实现网络实例的灵活互通或者隔离。 关联 关联是将连接关联至ER路由表中，您可以通过以下方法创建关联： 手动创建：选择任意路由表，并在路由表中为连接创建关联。 自动创建：开启“默认路由表关联”功能，指定默认路由表，系统会自动为连接在默认路由表中创建关联。 传播 传播是企业路由器和连接的路由学习关系，您可以通过以下方法创建传播： 手动创建：选择任意路由表，并在路由表中为连接创建传播。 自动创建：开启“默认路由表传播”功能，指定默认路由表，系统会自动为连接在默认路由表中创建传播。 路由 路由是目的地址、下一跳以及路由类型等信息组成。路由分为两种： 自动学习的传播路由。 手动添加的静态路由。 企业路由器支持IPv4和IPv6路由。 共享 所有者可以将自己的企业路由器同时共享给多个其他帐号，称为接受者。 接受者可以在共享企业路由器中添加连接，将自己名下的网络实例加入该企业路由器中，实现多个帐号内的网络实例接入同一个企业路由器构建组网的需求。 对于“虚拟私有云（VPC）”连接，通过共享功能，可以在同一个企业路由器中接入不同帐号下的虚拟私有云，构建云上同区域组网。 流日志 通过流日志功能可以实时记录企业路由器中连接的流量日志信息。通过这些日志信息，您可以监控连接的网络流量、进行网络攻击分析等，帮助您实现高效的网络运维。 监控 通过云监控服务，您可以监控企业路由器实例以及企业路由器连接的网络情况。 审计 通过云审计服务，您可以记录与企业路由器相关的操作事件，便于日后的查询、审计和回溯。 权限 针对位于云上的企业路由器资源，您可以通过IAM进行精细的权限管理，为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，从而实现资源的安全管控。 标签 标签用于标识云资源，可通过标签实现对云资源的分类和搜索。你可以为企业路由器和路由表添加标签。 配额 为防止资源滥用，平台限定了各服务资源的配额，对用户的资源数量和容量做了限制。如您最多可以创建多少个企业路由器、每个企业路由器添加多少个连接、每个路由表可以添加多少条路由等。

本节为您介绍云迁移平台功能。 成本评估（TCO） 云迁移（Cloud Migration Service）提供全面的企业上云成本分析，包括自建IDC上云与从其他云厂商迁移至天翼云场景。此功能旨在帮助用户或企业快速进行天翼云产品映射与成本分析比较，通过成本角度比较不同云服务提供商之间的优势和劣势，进而辅助用户做出符合其需求的上云选择。 异构评估 云迁移（Cloud Migration Service）提供上云异构工具可用性评估，主要评估组件或应用程序是否能够使用异构迁移套件Devkit与二进制指令动态翻译软件。通过平台指引进行前项评估确认，进而辅助选出符合其需求的上云工具。 资源规划 云迁移（Cloud Migration Service）提供全面的企业上云资源规划管理，提供资源发现，新建资源详单，支持在线与离线采集，创建迁移组与迁移计划获取资源信息，便于简单高效管理资源。 迁移管理 云迁移（Cloud Migration Service）提供全面迁移管理包括工具中心、调度管理、进度大盘、迁移报告，用户能够一站式了解迁移动态，监控所有迁移任务。 服务器迁移服务 服务器迁移服务（CMSSMS，Server Migration Service）是天翼云自主研发的一种P2V/V2V迁移平台，可将物理服务器、私有云、公有云平台上的单台或多台源主机迁移到天翼云，从而帮助客户解决上云成本高、操作复杂、迁移周期长、业务中断等迁移难题。

灵活易操作 提供用户自服务页面进行灵活简单操作，客户仅需进行简单的配置，即可调整迁移模式、选择迁移对象等功能。 智能监控、高可靠性 数据库迁移过程中对任务进行实时监控，包括展示任务总进度、阶段进度、预计完成时间等信息。针对任务过程中出现的问题进行告警处理。 日志与审计功能 数据库迁移工具提供完善的日志与审计功能，记录了每一次迁移任务的操作记录、数据传输情况，帮助管理员对迁移过程进行全面监控和审计，确保数据迁移的可靠性和安全性。

本章节主要介绍翼MapReduce服务的计费方式。 计费项 购买翼MapReduce集群的费用包含两个部分： 翼MapReduce服务管理费用 IaaS基础设施资源费用（云主机、物理机、云硬盘） 计费方式 翼MapReduce当前支持包年包月与按需两种计费方式。 • 包年/包月：根据集群购买时长，一次性支付集群费用。最短时长为1个月，实际可订购时长以页面显示为准。适用于需要长期稳定运行的服务。 • 按需：是一种更灵活的计费模式，适用于需要灵活调整资源、业务不稳定或资金有限的场景。在选择计费模式时，应结合业务需求和实际情况来做出合适的选择。 注意 若选择按需模式，请确保现金账户余额不低于100元。 到期 • 包年/包月：集群到期后进入保留期，此时无法在翼MapReduce管理控制台进行该集群的操作，无法调用相关接口，自动化监控或告警等运维也会停止。如果在保留期结束时您没有续费，集群将终止服务，系统中的数据也将被永久删除。 • 按需：不涉及到期问题，无需担心服务到期。 欠费 • 包年/包月：如果您选择使用云日志服务、对象存储等按需计费产品，余额欠费后，将会导致相关功能无法继续使用，请及时续费。 • 按需：集群按小时进行扣费，当余额不足，无法对上一个小时的费用进行支付时，会导致集群欠费并暂停服务。对于欠费导致暂停的集群，您可以在7天内充值，对相关集群进行续费。续费后，被冻结的集群可继续正常使用。请注意，冻结期进行的续费，是以冻结开始时间作为生效时间，您应当支付从进入冻结期开始到续费时的服务费用。

第4章 服务申请 客户可通过页面“立即咨询”按钮提交咨询工单，或拨打天翼云客服电话4008109889进行咨询，并发起服务申请，天翼云客户经理会与客户联系，沟通详细需求细节，并组织专家团队评估迁移可行性。 该服务需要客户经理协助下单。 第5章 服务范围 天翼云迁移专家服务的服务范围包含：云迁移专家服务（天翼云云主机迁移和数据库迁移）和存储数据迁移专家服务（天翼云对象存储数据迁移）。 服务提供： 1. 结合客户需求及实际场景提供迁移咨询服务，分析可行性，输出迁移方案，与客户共同完成迁移前准备环境搭建。 2. 根据客户业务场景及迁移相关要求，完成迁移实施服务。 第6章 服务地点 根据客户与天翼云双方约定的交付方式提供交付服务，现场服务确定交付地点，远程交付确定接入方式、沟通渠道等内容。 第7章 服务流程 项目申请 > 项目调研 >规划设计 >迁移实施 > 项目验收 第8章 服务内容 服务1：云迁移专家迁移服务（远程/现场支持） 云迁移咨询规划 云迁移专家服务（Clold Migration Expert Services）将提供客户其他场景下主机、数据库迁移至天翼云的咨询与规划，结合客户当前网络、软硬件、数据库环境等内容，评估上云迁移可行性，组织资源规划，提供上云迁移方案，为客户提供更便捷的迁移需求咨询与分析服务。

本章节为您介绍日志备份相关的功能说明。 日志备份功能通过自动化归档、多副本存储及生命周期管理，确保业务连续性与合规性，优化存储资源并支持长期追溯分析。 注意 仅V3.0.0版本及以上的日志审计实例支持日志备份功能。 新增日志备份任务 1.登录日志审计（原生版）实例。 2.在左侧导航栏选择“系统配置 > 日志备份”，进入“日志备份”页面。 3.单击页面左上方的“新增”按钮，开始新增新的日志备份任务。 参数 参数说明 填写示例 任务名称 自定义任务名称 Test 备份方式 可选择“原始日志”、“索引快照”。 原始日志：只备份原始日志。 索引快照：包括格式规范化后的数据以及原始日志。 原始日志 备份任务类型 可选择“单次执行”或“周期执行”。 单次执行：选择执行日志备份的时间、日志备份的日期范围。 周期执行：选择每天或每周为周期，选取每次执行的时间。 单次执行 单文件大小 备份过程中生成的文件大小设置，范围在1001000M，默认500M。 500M 远端服务器地址 填写远端服务器合法的IP地址。 192.168.0.1 保存目录 以根目录/开头，且拥有远端机器创建目录的权限，保存目录不能包含特殊字符~!@

本教程为您介绍如何从阿里云OSS迁移至天翼云ZOS。 操作场景 对象存储迁移服务（ZOS Migration Service，简称：ZMS）可以将您其它云厂商存储的对象存储数据，通过云端控制台的操作，迁移到天翼云对象存储（ZOS）。 注意 若您在迁移前，还不了解您的源端对象存储的数据情况，您可进行迁移前的源端数据评估。或者，从您的源端云服务的控制中心了解源端数据的情况。 使用须知 对象存储迁移服务（ZMS）入口请参见产品能力地图，服务支持全国不同资源池之间的迁移，迁移目的端支持填入全国各地的ZOS资源池地址。 为完成评估任务和迁移任务，您在使用迁移服务过程中，需要授权天翼云临时收集和使用您的部分个人信息，如用于鉴权的访问密钥（AK/SK）等信息。 迁移过程中会产生公网流出流量费用及对象存储服务请求费用，该费用由源端的存储服务提供商向您收取。 您通过互联网进行数据迁移传输时，应遵从当地适用法律法规的要求，天翼云只为您提供数据迁移服务，并不对您使用本服务的合法合规性负责，不承担传输后的法律风险和后果。 操作流程

本文介绍非天翼云用户数据如何迁移至云上弹性文件服务。 应用场景 在第三方云厂商存储大量数据的用户，如果想要将数据迁移至天翼云弹性文件服务，若使用传统的方法，需要先将存储在第三方云厂商上的数据下载到本地，再手动将数据上传到弹性文件服务，整个过程耗时又耗力，容易存在漏传、误传等问题。 本文推荐您配置一个弹性云主机实例挂载文件系统作为数据传输的中转节点，然后通过迁移工具迁移数据至天翼云弹性文件服务，迁移工具可以选择SFTP客户端。仅需简单配置，即可把数据从第三方云厂商轻松、平滑地迁移至SFS。 工具介绍 本实践以FileZilla作为SFTP客户端作为指导示例。 迁移工具 特点 应用场景 SFTP客户端 支持众多操作系统平台，提供图形化操作界面。 少量文件需要一次性上传至NFS文件系统。 将NFS文件系统内的数据下载到本地。 前提条件 具备一个NFS协议弹性文件系统，且务必确认文件系统容量高于待迁移的数据总量。若此时未购买弹性文件服务，则需新购。 具备一台与文件系统在同一VPC网络下的Linux弹性云主机，上传下载文件数据需要占用弹性云主机公网带宽，因此需要为弹性云主机配置弹性IP。 准备工作 下载安装迁移客户端工具，根据页面提示安装即可。 文件系统为接收数据的目标文件系统，应根据实际需求选择容量规格，具体操作参考创建文件系统。 本次操作实践中，需要创建弹性云主机作为非天翼云数据迁移至天翼云弹性文件服务的中转节点。建议配置如下： 说明 本操作中的云主机仅作为数据迁移的“中转站”，而非用于业务实际使用，为节省成本，建议订购按量付费的弹性云主机和弹性IP进行数据中转，计费说明参见 高规格高带宽的云主机迁移速率更快，相应的费用也略高，请根据实际情况酌情选择。整体迁移速率同时受文件系统性能影响，详见 参数 说明 付费方式 按量付费。 规格 通用型。高规格的云主机迁移速率较快，例如4C8G的迁移速率大于1C1G的迁移速率，根据实际情况选择即可。 镜像 CentOS 7.8 弹性IP 自动分配 IP版本 IPv4 带宽 5M。高带宽的迁移速率较快，例如10M的迁移速率大于5M的迁移速率，根据实际情况选择即可。 登录方式 密码>立即创建

本节介绍如何查看基线检查结果。 操作场景 检查计划设置完成后，如果需尽快查看检查结果，可以在基线检查页面，执行立即检查。执行完成后，约10分钟后将可以在检查结果页面进行查看，立即检查相关操作请参见立即执行基线检查。 如果未执行立即检查，系统将按照已设置的检查计划，在指定时间内执行检查，例如，默认每隔3天检查一次，每次在00:00~06:00执行。检查完成后，将可以在检查结果页面中进行查看。 前提条件 已进行云服务基线扫描。 仅态势感知（专业版）专业版支持“操作系统配置基线”、“经典弱口令检测”、“口令复杂度策略检测”遵从包，需要提前在态势感知（专业版）接入企业主机安全HSS的“主机安全基线”日志且打开“主机安全基线”日志对应的“自动转告警”按钮。接入日志数据详细操作请参见接入日志数据。 操作步骤 查看某工作空间中所有检查项的检查结果。 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. （可选）在左侧导航栏选择“日志审计> 云服务接入”，进入云服务日志接入成页面后，在态势感知（专业版）所在行的“审计相关日志”列，开启合规基线日志设置。 每个Region的首个工作空间可自动加载当前Region所有数据，无需手动处理。后续新增的用于自定义运营的工作空间，不会自动加载数据，需要用户自定义接入。 本步骤介绍手动接入操作指导。 设置完成后，如果需尽快查看检查结果，可以在基线检查页面，执行立即检查。执行完成后，约10分钟后将可以在检查结果页面进行查看，立即检查相关操作请参见立即执行基线检查。 如果未执行立即检查，系统将按照已设置的检查计划，在指定时间内执行检查，例如，默认每隔3天检查一次，每次在00:00~06:00执行。检查完成后，将可以在检查结果页面中进行查看。 5. 在左侧导航栏选择“风险预防> 基线检查”，默认进入检查结果页面。 6. 在检查结果页面中，查看检查项的检查结果，参数说明如下所示： 参数名称 参数说明 风险资源及风险等级 最近一次支持基线检查的检查结果中，风险资源总数、不同风险等级的不合格检查项目数据和对应的风险资源的数量。 风险等级分为：致命、高危、中危、低危、提示几个级别。 策略扫描情况 对各个云服务的资产扫描后，合格、不合格以及检查失败数据信息。 安全包遵从状态 最近一次执行基线检查后，各个安全遵从包中合格、不合格以及检查失败数据和不合格检查项目所占比例。 检查结果合格率 最近一次执行基线检查的基线合格率。 检查结果合格率 基线检查合格项 / (合格项 + 不合格项 + 检查失败项) 100%，不涉及的检查项将不会计算在内。 安全遵从包及检查结果列表 展示所有遵从包以及检查结果列表。 如果需要查看某个遵从包的检查结果，可以在左侧选择需要查看的检查规范，右侧列表中将会展示该遵从包中的检查项的检查结果详情。 单击检查结果列表右上角的设置按钮，可以对列表展示（例如，是否换行、是否固定操作列等）进行设置。 如需查看某个基线检查项详情，可以单击待查看检查项名称，进入检查项目详情页面。 在检查项目详情页面，查看检查项目的详细描述、检查过程、检查结果和对应的检查资源等详细信息。

云安全中心支持AI智能分析，通过接入天翼云息壤智算平台deepseek满血版，对日志告警AI分析，生成处置建议并还原攻击事件。 该功能为公测功能，新购用户可限时免费体验。 注意事项 智能分析内容为AI生成，可对单条告警刷新多次查询，每次返回的回答会略有差异，处置建议仅供参考，请您仔细甄别。 向AI输入的信息已进行敏感信息过滤。 约束限制 每日查询（含重新生成）上限为100次。 操作步骤 1. 进入告警列表，点击操作进入告警详情。 2. 点击右上角“智能分析”。 3. 等待AI生成回答，该过程耗时约为30秒至60秒，您可收起弹框稍后查看。

本文主要介绍云日志服务的计费模式概述。 天翼云云日志服务支持按需付费和资源包两种计费方式。 默认为按需计费（后付费）方式，即先使用再付费，按照实际使用的日志存储量、读写流量等计费项结算费用，在每个结算周期生成账单并从账户中扣除相应费用。同时支持资源包的计费方式。两种方式说明如下： 按需计费：在按需计费模式下，您可根据实际业务需求地调整资源使用，计费更为灵活，无需提前购买预留资源，从而降低预置过多或不足的风险。详情请见按需计费说明。 资源包：您可以预先购买日志资源包，在进行费用抵扣时，优先从资源包中抵扣用量。先购买，后抵扣。因此适用于业务用量相对稳定的场景。详情请见资源包说明。

本页介绍天翼云TeleDB数据库安全配置手册概述。 数据库是指用于存储和管理大量结构化数据的软件系统，其中包括大量重要信息或机密数据，如企业的核心业务或客户的隐私信息等。当您完成数据库安装时，建议您对数据库安全进行配置。数据库安全配置是指通过一系列安全措施加强对数据库安全进行防护。数据库安全配置核心在对数据库进行访问控制、数据加密、审计、数据脱敏和数据库备份与恢复等安全管理策略，确保数据的完整性、机密性、可用性、可控性和可审查性。 说明 数据完整性：‌保证数据的正确性、‌有效性和一致性，‌防止合法用户加入不合语义的数据。‌ 数据机密性：‌通过加密、‌访问控制和权限管理，‌保护数据不被未授权访问和泄露。‌ 数据可用性：‌确保数据在需要时能够被授权用户访问和使用。‌ 数据可控性：‌通过审计和监控，‌确保数据的使用符合安全策略。‌ 可审查性：‌通过审计日志等机制，‌使得数据的使用和变更可以被追溯和审查。 安全配置功能简介 安全功能 说明 访问控制 TeleDB支持通过设有用户权限控制和强制访问控制，对不同对象有不同的访问来控制权限，确保数据安全。 数据加密 TeleDB支持通过数据加密来确保只有授权的用户才能访问敏感信息，防止个人信息泄露。 审计 TeleDB支持通过有效的审计，组织可以及时发现和解决数据库相关的问题，降低风险，并提高数据库的整体管理水平。 数据脱敏 TelDB支持通过数据脱敏，对非授权用户隐去了部分敏感信息，又尽量保持了数据整体有效。 数据备份与恢复 ‌数据库备份与‌恢复来确保数据安全的关键措施，TeleDB支持通过定期备份数据库可以防止数据丢失或损坏。 ‌‌