D CS 是否支持哨兵模式接入？ Redis 4.0及以上版本： 单机、主备、Cluster集群实例不支持哨兵模式接入。 读写分离支持哨兵模式和集群模式接入。 Proxy集群实例默认支持集群模式接入，开启cluster-sentinel-enabled和sentinel-without-auth参数（将参数配置为yes）后，支持哨兵模式接入。配置参数的操作，请参考修改DCS实例配置参数。 sentinel-without-auth参数目前为白名单控制，Proxy集群实例默认不显示该参数，如需配置该参数请联系客服添加白名单。 Redis 3.0实例不支持哨兵模式接入。 父主题： 安全性

数据保护技术 OBS通过多种数据保护手段和特性，保障存储在OBS中的数据安全可靠。 表1 OBS的数据保护手段和特性 数据保护手段 简要说明 详细介绍 传输加密（HTTPS） OBS支持HTTP和HTTPS两种传输协议，为保证数据传输的安全性，推荐您使用更加安全的HTTPS协议。 构造请求 数据冗余存储 OBS采用Erasure Code（EC，纠删码）算法做数据冗余，不是以副本的形式存储。在满足同等可靠性要求的前提下，EC的空间利用率优于多副本。 OBS创建桶时支持选择数据冗余存储策略，选择多AZ存储时，数据冗余存储在同区域的多个AZ。当某个AZ不可用时，仍然能够从其他AZ正常访问数据，适用于对可靠性要求较高的数据存储场景。 创建多AZ桶 数据完整性校验（MD5） 对象数据在上传下载过程中，有可能会因为网络劫持、数据缓存等原因，存在数据不一致的问题。OBS提供通过计算MD5值的方式对上传下载的数据进行一致性校验。 数据一致性校验 服务端加密 当启用服务端加密功能后，用户上传对象时，数据会在服务端加密成密文后存储。用户下载加密对象时，存储的密文会先在服务端解密为明文，再提供给用户。 服务端加密介绍和配置方法 跨区域复制 跨区域复制是指通过创建跨区域复制规则，将一个桶（源桶）中的数据自动、异步地复制到不同区域的另外一个桶（目标桶）中。跨区域复制能够为用户提供跨区域数据容灾的能力，满足用户数据复制到异地进行备份的需求。 跨区域复制介绍和配置方法 多版本控制 您可以在一个桶中保留多个版本的对象，使您更方便地检索和还原各个版本，在意外操作或应用程序故障时快速恢复数据。 多版本控制介绍和配置方法 敏感操作保护 OBS控制台支持敏感操作保护，开启后执行删除桶等敏感操作时，系统会进行身份验证，进一步保证OBS配置和数据的安全性。 敏感操作保护介绍 父主题： 安全

关于通用漏洞披露（CVE） CVE（Common Vulnerabilities and Exposures）是已公开披露的各种计算机安全漏洞，所发现的每个漏洞都有一个专属的CVE编号。HCE为保障系统安全性，紧密关注业界发布的CVE信息，并会及时修复系统内各类软件漏洞，增强系统的安全性。您可在HCE的安全公告中查看安全更新记录。 Huawei Cloud EulerOS 1.1安全公告 Huawei Cloud EulerOS 2.0安全公告 根据CVSS（Common Vulnerability Scoring System）评分，HCE将安全更新分为四个等级： Critical（高风险，必须安装） Important（较高风险，强烈建议安装） Moderate（中等风险，推荐安装） Low（低风险，可选安装） 若您目前已安装HCE 1.1及以上版本，您可以根据以下操作查询并安装安全更新，修复系统漏洞。本章节以HCE 2.0为例举例说明。 HCE版本不同，部分显示可能与本文档存在差异，以实际显示为准。 父主题： 对HCE进行安全更新

数据保密性 MRS 分布式文件系统在Apache Hadoop版本基础上提供对文件内容的加密存储功能，避免敏感数据明文存储，提升数据安全性。 业务应用只需对指定的敏感数据进行加密，加解密过程业务完全不感知。在文件系统 数据加密 基础上，Hive服务支持列加密（参见使用Hive列加密功能），可以在创建表时指定加密算法实现对敏感数据的加密存储。HBase支持加密HFile和WAL内容，用户可以配置AES和SM4（也称为 SMS 4）算法进行数据的加密存储（参见加密HFile和WAL内容）。

数据完整性 通过数据校验，保证数据在存储、传输过程中的数据完整性。 MRS的用户数据保存在HDFS中，HDFS默认采用CRC32C算法校验数据的正确性，同时也支持CRC32校验算法，CRC32C校验速度快于CRC32。HDFS的DataNode节点负责存储校验数据，如果发现客户端传递过来的数据有异常（不完整）就上报给客户端，让客户端重新写入数据。客户端从DataNode读数据的时候也一样要检查数据是否完整，如果发现数据不完整，会尝试从其他的DataNode节点上读取数据。

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的 云安全 挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 类云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、 虚拟主机 和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

响应消息 正常响应要素说明 表2 要素说明 名称 参数类型 说明 cert_info_list Array 证书列表。详情请参见表3。 表3 cert_info_list字段数据结构说明 名称 参数类型 说明 download_link String 下载链接。 category String 证书类型。枚举值： international national 正常响应样例 { "cert_info_list": [ { "category": "international", "download_link": "https://{region}.huaweicloud.com/rds/Certificate_Download.zip" } ] } 异常响应 请参见异常请求结果。

我的数据存在OBS中，如何保证安全性？ OBS是非常安全的，提供端到端的安全服务。 保证数据正确性：系统会定期对数据做扫描，仅限于判断数据块是否存在和被损坏（如有损坏，会启动修复），且不会读取数据的具体内容。 防止数据被盗用： 访问桶或对象时，如果桶或对象未公开，只有桶或对象的拥有者才能够访问，访问时需要提供访问密钥（AK/SK）。即使是后台工程师，也无法导出您存储在OBS的数据。 您还可以使用各种访问控制机制，例如桶策略和访问控制列表（ACL），选择性地向您的用户和用户组授予权限。 数据传输和访问加密：传输数据时，OBS支持HTTPS/SSL协议；如果您需要更高安全性，可以开启服务端加密功能。 防止误删等操作：OBS控制台支持敏感操作保护，开启后执行删除桶等敏感操作时，系统会进行身份验证，进一步保证OBS配置和数据的安全性。OBS敏感操作清单请参见敏感操作。 父主题： 数据安全、迁移和备份

如何防止任意源连接 GaussDB数据库 数据库开放EIP后，如果公网上的恶意人员获取到您的EIP DNS和数据库端口，那么便可尝试破解您的数据库并进行进一步破坏。因此，强烈建议您保护好EIP DNS、数据库端口、数据库账号和密码等信息，并通过云数据库 GaussDB 实例的安全组限定源IP，保障只允许可信源连接数据库。 为避免恶意人员轻易破解您的数据库密码，请按照云数据库GaussDB实例的密码策略设置足够复杂度密码，并定期修改。 父主题： 网络安全

配置流程 配置流程图如图1所示。 图1 DSC配置流程图 使用 数据安全中心 前，须先开通并使用OBS或RDS云产品中任意一种，确保有可供数据安全中心扫描的数据。 开通数据安全中心后，数据安全中心服务将自动检测用户的云上授权资产，并应用敏感规则对其进行风险等级的评价。您可以在数据安全中心控制台资产地图页面查看文件风险概况和文件详情。 （可选）如需保护OBS自有桶数据，则需要开通华为云 对象存储服务 （OBS）/关系型数据库（RDS）服务。 如果已开通，请跳过该步骤，直接执行2。 如果未开通，请先开通后再执行2。 开通对象存储服务请参见OBS帮助文档，开通关系型数据库服务请参见RDS帮助文档。 （可选）开通后，还需要在对象存储服务中创建一个桶并上传需要存储的文件或在关系型数据库中创建实例数据库。 如果已创建，请跳过该步骤，直接执行6。 如果未创建，请先创建后再执行6。 OBS：创建桶详细操作请参见创建桶，上传文件详细操作请参见上传对象。 RDS：创建数据库详细操作请参见创建数据库。 （可选）如需保护OBS其他桶，则需要将OBS其他桶的“桶权限”设置为“公共”。 （可选）如需保护自建数据库资产，则需要获取自建数据库的引擎、版本、主机等相关信息。 （可选）如需保护自建数据库资产，则需要获取其他自建数据源的引擎、版本、主机等相关信息。 完成资产委托授权并授权资产。 授权的具体操作请参见云资源委托授权/停止授权。 添加OBS资产的具体操作请参见添加OBS资产。 授权数据库资产的具体操作请参见授权数据库资产。 授权大数据资产的具体操作请参见授权大数据资产。 授权LTS资产的具体操作请参见添加日志流。 配置敏感数据识别规则。 配置敏感规则详细操作请参见敏感数据识别。 查看检测到的敏感数据或文件及其统计数据。 检测结果具体查看方法请参见识别结果。 针对检测出的结果，对异常事件处理或对敏感数据进行脱敏。 异常事件处理详细操作请参见处理异常事件。 敏感数据脱敏详细操作请参见数据脱敏。 针对异常事件设置告警通知。 配置告警通知的详细操作请参见告警通知。

条件（Condition） 条件键（Condition）是SCP生效的特定条件，包括条件键和运算符。 条件键表示SCP的Condition元素中的键值。根据适用范围，分为全局级条件键和服务级条件键。 全局级条件键（前缀为g:）适用于所有操作，在鉴权过程中，云服务不需要提供用户身份信息，组织将自动获取并鉴权。详情请参见：全局条件键。 服务级条件键（前缀通常为服务缩写，如DEW:）仅适用于对应服务的操作，详情请参见表 DEW支持的服务级条件键。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值，多值条件键在API调用时请求可以包含多个值。例如：g:SourceVpce是单值条件键，表示仅允许通过某个 VPC终端节点 发起请求访问某资源，一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键，表示请求中携带的所有标签的key组成的列表，当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句，当请求信息满足该条件时，SCP才能生效。支持的运算符请参见：运算符。 DEW定义了以下可以在SCP的Condition元素中使用的条件键，您可以使用这些条件键进一步细化SCP语句应用的条件。 KPS服务不支持在身份策略中的条件键中配置服务级的条件键。 表10 DEW支持的服务级条件键 服务级条件键 类型 单值/多值 说明 kms:EncryptionAlgorithm string 单值 根据请求中的加解密算法的值过滤对加解密操作的访问。 kms:GranteePrincipalType string 单值 根据请求中的授权主体类型约束过滤对CreateGrant操作的访问。 kms:GrantOperations string 多值 根据需要授权的操作过滤对CreateGrant操作的访问权限。 kms:GranteePrincipal string 单值 根据授权中的被授权方主体过滤对CreateGrant操作的访问权限。 kms:KeyOrigin string 单值 根据创建或使用操作KMS密钥的origin属性过滤对API操作的访问。 kms:KeySpec string 单值 根据创建或使用操作KMS密钥的key_spec属性过滤对API操作的访问。 kms:KeyUsage string 单值 根据创建或使用操作KMS密钥的key_usage属性过滤对API操作的访问。 kms:MessageType string 单值 根据请求中的message_type参数的值过滤对签名和验证签名操作的访问。 kms:RetiringPrincipal string 单值 根据授权中的retiring_principal筛选对CreateGrant操作的访问。 kms:SigningAlgorithm string 单值 根据请求中的signing_algorithm过滤对签名和验证操作的访问。 kms:ExpirationTime date 单值 根据请求中的expiration_time参数的值过滤对ImportKeyMaterial操作的访问。 kms:WrappingAlgorithm string 单值 根据请求中的wrapping_algorithm参数的值过滤对CreateParametersForImport操作的访问。 kms:RecipientAttestation string 单值 根据请求中证明文档的平台配置寄存器（PCR）值控制CreateDatakey、DecryptData、DecryptDatakey和CreateRandom操作的访问。 kms:MacAlgorithm string 单值 根据请求中的mac_algorithm过滤对生成/校验消息验证码操作的访问。 kms:RequestAlias string 单值 根据请求中的key_id属性过滤对API操作的访问。 kms:ResourceAliases string 多值 根据使用操作KMS密钥的alias属性过滤对API操作的访问。 kms:MultiRegionKeyType string 单值 根据使用操作KMS密钥的多区域密钥类型属性过滤对API操作的访问。 kms:PrimaryRegion string 单值 根据请求中的primary_region属性过滤对API操作的访问。 kms:EncryptionContext string 单值 根据请求中的additional_authenticated_data属性过滤对API操作的访问。 kms:ScheduleKeyDeletionPendingWindowInDays numeric 单值 根据请求中的pending_days属性过滤对API操作的访问。 csms:Type string 单值 根据凭据的类型筛选访问权限。 csms:KmsKeyId string 单值 根据KMS密钥ID筛选访问权限。 csms:VersionId string 单值 根据凭据版本ID筛选访问权限。 csms:VersionStage string 单值 根据凭据版本状态筛选访问权限。 csms:RecoveryWindowInDays numeric 单值 根据凭据删除等待时间筛选访问权限。 kps:KmsKeyId string 单值 根据请求中的kms密钥的ID过滤访问权限。 kps:Algorithm string 单值 根据请求中的SSH密钥对密钥算法过滤访问权限。

上传SSL证书 上传前准备：① 域名 需要先完成备案；②需要设置自有域名作为 企业邮箱 登录地址。 上传入口：安全管理-SSL证书管理-添加SSL证书 2. 添加SSL证书：在指定输入框，输出或上传证书、证书链、秘钥后，点击上传即可。 3. 证书类型选择 购买SSL证书一般会提供Apache、Nginx、Tomcat等多种类型证书，建议使用Nginx或Apache类型证书。 （1） Nginx类型证书，需要上传证书和私钥，将xxxx_server.crt的文件添加到证书，xxxx_server.key的文件添加到私钥，点击上传按钮即可； （2） Apache类型证书，需要上传证书、证书链和私钥，将xxxx_server.crt的文件添加到证书，将xxxx_ca.crt的文件添加到证书链，xxxx_server.key的文件添加到私钥，点击上传按钮即可。 父主题： 安全管理

ECS规格要求 安装采集器（isap-agent + Logstash）的租户云服务器（ECS）规格要求如下表： 表1 ECS规格 CPU内核数 内存大小 系统磁盘存储大小 数据磁盘存储大小 采集器参考处理能力 4核 8G 50G 100G 4000 EPS @ 500B 8核 16G 50G 100G 10000 EPS @ 500B 16核 32G 50G 100G 20000 EPS @ 500B 32核 64G 50G 100G 40000 EPS @ 500B 64核 128G 50G 100G 80000 EPS @ 500B 规格说明： 4000 EPS @ 500B：日志采集器每秒可以处理4000次数据。条件：单个数据大小为500字节（500B）情况下。 ECS规格最低要求：CPU2核，内存4 GB，系统磁盘50 GB，数据磁盘100 GB。 架构要求：当前日志采集组件控制器（isap-agent）仅支持运行在Linux系统X86和ARM架构的ECS主机上，后续更多环境适配持续更新中。 操作系统（镜像）：无限制，建议Huawei Cloud EulerOS。 日志量应当与机器规格成比例放大，建议按表中规格比例进行放大。如果机器压力较大，建议部署多台采集器，通过采集通道来统一管理，分摊单机日志中转压力。

密码设置策略 图1 密码设置策略 密码至少包含字符种类（大写字母、小写字母、数字、特殊字符）默认为2种，可以在2~4种之间设置。 密码最小长度默认为8个字符，可以在8~32个字符之间设置。 （可选）开启“设置密码时同一字符不能连续出现”，设置密码中允许同一字符连续出现的最大次数。例如设置为1，表示密码中不允许出现相同字符。 （可选）开启“新密码不能与最近的历史密码相同”，设置新密码不能与最近几次的历史密码相同。例如设置为3，表示不能使用最近三次的历史密码，用户在设置新密码时，如果新密码与历史密码相同，系统将会提示用户不能使用最近三次的历史密码，需要重新设置密码。 修改密码设置策略，将对后续新增 IAM 用户和后续修改密码的账号以及账号下的IAM用户生效。

问题定位 远程登录采集节点所在的ECS。 您可以登录弹性云服务器控制台，在“弹性云服务器”列表中，单击“远程登录”登录主机，详细操作请参见在云服务器控制台上登录主机。 如果您的主机已经绑定了弹性IP，您也可以使用远程管理工具（例如：PuTTY、Xshell等）登录主机，并使用root账号在主机中安装组件控制器。 执行如下命令，命令查看当前系统的运行状态： top 当显示如下图所示时，则表示ECS中Java进程占用了大量CPU资源。 图3 运行状态 执行如下命令，查看采集器运行日志： docker logs isap-logstash -f 通过查看日志，定位到当前采集通道filter部分（解析器）配置有误，如下图所示： 图4 采集器运行日志 执行以下命令，进入采集通道配置文件所在路径。 cd /opt/cloud/logstash/config/files 执行以下命令，查看filter部分是否存在异常。 cat 配置文件名 当出现如下图所示内容时，则表示当前filter部分存在异常： 图5 filter部分存在异常