云服务器内容精选
-
应用示例 连接数据库。 具体步骤参见使用gsql命令行客户端连接集群。 创建表student,有id、name和score三个字段。使用哈希函数加密保存name,使用对称密码算法保存score。 1 2 3 4 5 CREATE TABLE student (id int, name text, score text, subject text); INSERT INTO student VALUES (1, gs_hash('alice', 'sha256'), gs_encrypt('95', '12345', 'aes128', 'cbc', 'sha256'),gs_encrypt_aes128('math', '1234')); INSERT INTO student VALUES (2, gs_hash('bob', 'sha256'), gs_encrypt('92', '12345', 'aes128', 'cbc', 'sha256'),gs_encrypt_aes128('english', '1234')); INSERT INTO student VALUES (3, gs_hash('peter', 'sha256'), gs_encrypt('98', '12345', 'aes128', 'cbc', 'sha256'),gs_encrypt_aes128('science', '1234')); 不使用密钥查询表student,通过查询结果可知:没有密钥的用户即使拥有了SELECT权限也无法看到name和score这两列加密数据。 1 2 3 4 5 6 7 8 9 10 11 12 SELECT * FROM student; id | name | score | subject ----+------------------------------------------------------------------+--------------------------------------------------------------------------------------------------------------------------+----------- ----------------------------------------------------------------------------------- 1 | 2bd806c97f0e00af1a1fc3328fa763a9269723c8db8fac4f93af71db186d6e90 | AAAAAAAAAABAuUC3VQ+MvPCDAaTUySl1e2gGLr4/ATdCUjTEvova3cb/Ba3ZKqIn1yNVGEFBvJnTq/3sLF4//Gm8qG7AyfNbbqdW3aYErLVpbE/QWFX9Ig== | aFEWQR2gkj iu6sfsAad+dHzfFDHePZ6xd44zyekh+qVFlh9FODZ0DoaFAJXctwUsiqaiitTxW8cCSEaNjS/E7Ke1ruY= 2 | 81b637d8fcd2c6da6359e6963113a1170de795e4b725b84d1e0b4cfd9ec58ce9 | AAAAAAAAAABAuUC3VQ+MvPCDAaTUySl1taXxAoDqE793hgyCJvC0ESdAX5Mtgdq2LXI1f5ZxraQ73WIJVtIBX8oe3gTDxoXGlHbHht4kzM4U8dOwr5rjgg== | aFEWQR2gkj iu6sfsAad+dM8tPTDo/Pds6ZmqdmjGiKxf39+Wzx5NoQ6c8FrzihnRzgc0fycWSu5YGWNOKYWhRsE84Ac= 3 | 026ad9b14a7453b7488daa0c6acbc258b1506f52c441c7c465474c1a564394ff | AAAAAAAAAACnyusORPeApqMUgh56ucQu3uso/Llw5MbPFMkOXuspEzhhnc9vErwOFe6cuGtx8muEyHCX7V5yXs+8FxhNh3n5L3419LDWJJLY2O4merHpSg== | zomphRfHV4 H32hTtgkio1PyrobVO8N+hN7kAKwtygKP2E7Aaf1vsjmtLHcL88jyeJNe1lxe0fAvodzPJAxAuV3UJN4M= (3 rows) 使用密钥查询表student,通过查询结果可知:拥有密钥的用户通过使用gs_encrypt对应的解密函数gs_decrypt解密后,可以查看加密数据。 1 2 3 4 5 6 7 SELECT id, gs_decrypt(score, '12345', 'aes128', 'cbc', 'sha256'),gs_decrypt_aes128(subject, '1234') FROM student; id | gs_decrypt | gs_decrypt_aes128 ----+------------+------------------- 1 | 95 | math 2 | 92 | english 3 | 98 | science (3 rows)
-
技术背景 哈希函数 哈希函数又称为摘要算法,对于数据data,Hash函数会生成固定长度的数据,即Hash(data)=result。这个过程是不可逆的,即Hash函数不存在反函数,无法由result得到data。在不应保存明文场景(比如口令password属于敏感信息),系统管理员用户也不应该知道用户的明文口令,就应该使用哈希算法存储口令的单向哈希值。 实际使用中会加入盐值和迭代次数,避免相同口令生成相同的哈希值,以防止彩虹表攻击。 图1 哈希函数 对称密码算法 对称密码算法使用相同的密钥来加密和解密数据。对称密码算法分为分组密码算法和流密码算法。 分组密码算法将明文分成固定长度的分组,用密钥对每个分组加密。由于分组长度固定,当明文长度不是分组长度的整数倍时,会对明文做填充处理。由于填充的存在,分组密码算法得到的密文长度会大于明文长度。 流加密算法是指加密和解密双方使用相同伪随机加密数据流作为密钥,明文数据依次与密钥数据流顺次对应加密,得到密文数据流。实践中数据通常是一个位(bit)并用异或(xor)操作加密。流密码算法不需要填充,得到的密文长度等于明文长度。 图2 对称密码算法
-
技术实现 GaussDB(DWS)主要提供了哈希函数和对称密码算法来实现对数据列的加解密。哈希函数支持sha256,sha384,sha512和国密sm3。对称密码算法支持aes128,aes192,aes256和国密sm4。 哈希函数 md5(string) 将string使用MD5加密,并以16进制数作为返回值。MD5的安全性较低,不建议使用。 gs_hash(hashstr, hashmethod) 以hashmethod算法对hashstr字符串进行信息摘要,返回信息摘要字符串。支持的hashmethod:sha256,sha384,sha512,sm3。 对称密码算法 gs_encrypt(encryptstr, keystr, cryptotype, cryptomode, hashmethod) 采用cryptotype和cryptomode组成的加密算法以及hashmethod指定的HMAC算法,以keystr为密钥对encryptstr字符串进行加密,返回加密后的字符串。 gs_decrypt(decryptstr, keystr, cryptotype, cryptomode, hashmethod) 采用cryptotype和cryptomode组成的加密算法以及hashmethod指定的HMAC算法,以keystr为密钥对decryptstr字符串进行解密,返回解密后的字符串。解密使用的keystr必须保证与加密时使用的keystr一致才能正常解密。 gs_encrypt_aes128(encryptstr, keystr) 以keystr为密钥对encryptstr字符串进行加密,返回加密后的字符串。keystr的长度范围为1~16字节。 gs_decrypt_aes128(decryptstr, keystr) 以keystr为密钥对decryptstr字符串进行解密,返回解密后的字符串。解密使用的keystr必须保证与加密时使用的keystr一致才能正常解密。keystr不得为空。 有关函数的更多内容,请参见使用函数加解密。
-
开启操作保护 操作保护默认关闭,您可以参考以下步骤开启操作保护。 登录GaussDB(DWS)管理控制台。 在“控制台”页面,鼠标移动至右上方的用户名,在下拉列表中单击“安全设置”。 在“安全设置”页面中,切换至“敏感操作”页签,单击“操作保护”区域的“立即启用”。 图1 敏感操作 在“操作保护设置”页面中,选择“开启”,单击“确定”后,开启操作保护。 用户如果进行敏感操作,将进入“操作保护”页面,选择认证方式,包括邮箱、手机和虚拟MFA三种认证方式。 如果用户只绑定了手机,则认证方式只能选择手机。 如果用户只绑定了邮箱,则认证方式只能选择邮件。 如果用户未绑定邮箱、手机和虚拟MFA,进行敏感操作时,华为云将提示用户绑定邮箱、手机或虚拟MFA。 如需修改验证手机号、邮件地址,请在账户中心修改。详情请参见IAM基本信息。 当您开启操作保护,在进行敏感操作时,系统会先进行敏感操作保护。 例如在您进行删除集群操作时,会弹出敏感操作保护验证框,需要选择一种验证方式进行验证,避免误操作带来的风险和损失。
-
监控看板查看 进入智能监控页面 点击右上角 图标切换到“监控看板”(默认展示监控看板模式,退出再进入默认显示上次退出模式) 查看设备状态信息,页面支持进入时默认选中上次已选择的设备 左下角可设置分屏数量,例如“3X3”表示一屏展示9个 图1 智能安监监控看板模式 表1 监控看板模式操作说明 操作 说明 展开、收起左侧菜单栏 左侧侧边栏默认收起,以便查看列表信息。此处支持展开查看设备树信息, 展开、收起头部菜单栏 左侧侧边栏支持折叠收起,以便查看列表信息 离线设备不能操作,设备在线则显示“呼叫”, 点击可呼叫设备实时视频 频在线则显示“接入视频” 点击可进入视频页面查看设备实时视频 点击后通过消息接入该视频直播会议;可实现双方语音实时对话沟通 点击“…”图标,显示悬浮菜单“锁定、置顶、左转、右转、关视频” 锁定:该设备窗口固定在此位置 置顶:该设备窗口显示在非锁定窗口的最前排位置 左转、右转:控制窗口方向 关视频:不显示视频内容(虚拟设备无此选项) 选择锁定后,出现“图钉” 点击“取消锁定”,该窗格解除锁定 选择悬浮后,出现“置顶” 点击“取消置项”,该窗格解除置顶 重置布局 点击后,分屏设置初始到3*3模式,当有摄像头时初始化为2*2 点击时取消举手、取消SOS、取消AI告警 调整面板一屏显示视频的数量,可选样式如下:1X1,1X2,1X3,2X1,2X2,3X2,3X3,3X4,4X4
-
前提条件 已获取证书,并下载签发证书。 推荐您通过云证书管理服务(Cloud Certificate Manager,CCM)购买签发证书,CCM证书申请流程请参见CCM快速入门,下载签发证书后,并转换证书格式为jks格式,具体的操作请参见转换证书格式。 该证书文件大小不超过20KB,且证书文件包含证书密码。 上传证书绑定的域名已解析到绑定云堡垒机实例的弹性公网IP,具体的操作请参见增加A类型记录集。 用户已获取“系统”模块管理权限。
-
操作步骤–电脑端分享视频直播 进入智能监控页面 点击右上角 “接入”或“呼叫”进入直播页面 点击“分享给他人”弹出框选择人员后点“确定”即完成视频的分享功能 接收分享的用户登录ISDP+平台,在消息中心找到分享消息,点击“点此进入”文字链接即可进入直播观看 图1 视频直播分享入口 图2 视频直播选择接收分享的人 图3 接收分享的人通过消息进入 步骤5:接收分享的用户,登录ISDP+ APP消息中心,在视频邀请消息找到“分享视频直播”消息卡片,即可进入直播观看。 图4 消息中心 图5 视频邀请消息 图6 接收分享的人通过消息,进入直播画面
-
操作步骤 登录记录仪,首页可查看到待办问题。 图1 旭信记录仪首页 问题处理人/协同人,通过设备右上角“轻触切换”物理按键,切换选中一个待办问题,再“长按确认”可进入问题详情页; 图2 协同人问题详情页 图3 处理人问题详情页 处理人/协同人,在问题详情页时,必须采集一张视频、照片、音频附件才可提交(采集视频、照片、音频时,问题创建采集一致,详见11.25章) 图4 未采集附件时提示 当处理人/协同人采集完视频、照片、音频附件,即可提交。 图5 反馈进展提交 作为问题处理人,采集完视频、照片、音频附件,还可申请关闭问题。 图6 申请关闭
-
背景信息 如果您需要对华为云上的GaussDB(DWS)资源,为企业中的员工设置不同的访问权限,以达到不同员工之间的权限隔离,您可以使用统一身份认证服务(Identity and Access Management,简称IAM)进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全的控制云资源的访问。通过IAM,您可以在云账号中给员工创建IAM用户,并授权控制他们对云资源的访问范围。 场景一:您的员工中有负责软件开发的人员,您希望他们拥有GaussDB(DWS)的使用权限,但是不希望他们拥有删除集群等高危操作的权限,那么您可以使用IAM为开发人员创建用户,通过授予仅能使用GaussDB(DWS),但是不允许删除集群的权限,控制他们对GaussDB(DWS)资源的使用范围。 场景二:您希望您的员工只有GaussDB(DWS)的资源使用权限,不希望拥有其他云资源的权限,以防止资源滥用。例如只开通GaussDB(DWS)的操作权限,不能使用其他云服务。 通过IAM权限控制,有效达到云资源访问控制,避免云资源误操作。本文将指导如何配置只读权限的IAM用户。
-
教程一:IAM项目视图下的只读操作 创建用户组并授权。 使用华为云账号登录IAM控制台,创建用户组,并授予数据仓库服务的只读权限“DWS ReadOnlyAccess”。 创建用户并加入用户组。 在IAM控制台创建用户,并将其加入步骤1中创建的用户组。 用户登录并验证权限。 使用新创建的用户登录控制台,切换至授权区域,验证权限: 在“服务列表”中选择数据仓库服务,进入DWS主界面,单击右上角“创建数据仓库集群”,尝试创建数据仓库集群,如果无法创建(假设当前权限仅包含DWS ReadOnlyAccess),表示“DWS ReadOnlyAccess”已生效。 在“服务列表”中选择除数据仓库服务之外(假设当前策略仅包含DWS ReadOnlyAccess)的任一服务,若提示权限不足,表示“DWS ReadOnlyAccess”已生效。
-
教程二:企业项目下的只读操作 创建用户组并授权。 使用华为云账号登录IAM控制台,创建用户组,并授予数据仓库服务的只读权限“DWS ReadOnlyAccess”。 企业项目视图下,跟资源无关的只读操作细粒度权限依旧会提示无权限访问。如事件、告警等相关接口的细粒度。 配置IAM项目视图下相关的事件与告警等只读权限。 创建如下自定义策略readonly_event_alarm: { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "dws:alarm*:list*", "dws:cluster*:list*", "dws:dms*:get*", "dws:event*:list*" ] } ] } 登录IAM控制台,创建用户组并授权刚创建的自定义策略: 创建用户并加入用户组。 在IAM控制台创建用户,并将其加入步骤1中创建的用户组。 用户登录并验证权限。 使用新创建的用户登录控制台,切换至授权区域,验证权限: 在“服务列表”中选择数据仓库服务,进入DWS主界面,单击右上角“创建数据仓库集群”,尝试创建数据仓库集群,如果无法创建(假设当前权限仅包含DWS ReadOnlyAccess),表示“DWS ReadOnlyAccess”已生效。 在“服务列表”中选择除数据仓库服务之外(假设当前策略仅包含DWS ReadOnlyAccess)的任一服务,若提示权限不足,表示“DWS ReadOnlyAccess”已生效。
-
约束与限制 开启“获取客户端IP”之后,不支持同一台服务器既作为后端服务器又作为客户端的场景。 如果后端服务器和客户端使用同一台服务器,且开启“获取客户端IP”,则后端服务器会根据报文源IP为本地IP判定该报文为本机发出的报文,无法将应答报文返回给ELB,最终导致回程流量不通。 开启此功能后,执行后端服务器迁移任务时,可能出现流量中断(例如单向下载、推送类型的流量)。所以后端服务器迁移完成后,需要通过报文重传来恢复流量。 通过跨VPC后端功能添加的后端服务器,默认开启的获取客户端IP功能会失效。请使用TOA模块获取客户端IP地址。
-
安全策略差异说明 表2 安全策略差异说明 安全策略 tls-1-0 tls-1-1 tls-1-2 tls-1-0-inherit tls-1-2-strict tls-1-0-with-1-3 tls-1-2-fs-with-1-3 tls-1-2-fs hybrid-policy-1-0 TLS 协议 Protocol-TLS 1.3 - - - - - √ √ √ - Protocol-TLS 1.2 √ √ √ √ √ √ √ √ √ Protocol-TLS 1.1 √ √ - √ - √ - - √ Protocol-TLS 1.0 √ - - √ - √ - - - 加密套件 EDHE-RSA-AES128-GCM-SHA256 √ √ √ - √ - - - - ECDHE-RSA-AES256-GCM-SHA384 √ √ √ √ √ √ √ √ √ ECDHE-RSA-AES128-SHA256 √ √ √ √ √ √ √ √ √ ECDHE-RSA-AES256-SHA384 √ √ √ √ √ √ √ √ √ AES128-GCM-SHA256 √ √ √ √ √ √ - - √ AES256-GCM-SHA384 √ √ √ √ √ √ - - √ AES128-SHA256 √ √ √ √ √ √ - - √ AES256-SHA256 √ √ √ √ √ √ - - √ ECDHE-RSA-AES128-SHA √ √ √ √ - √ - - √ ECDHE-RSA-AES256-SHA √ √ √ √ - √ - - √ AES128-SHA √ √ √ √ - √ - - √ AES256-SHA √ √ √ √ - √ - - √ ECDHE-ECDSA-AES128-GCM-SHA256 √ √ √ √ √ √ √ √ √ ECDHE-ECDSA-AES128-SHA256 √ √ √ √ √ √ √ √ √ ECDHE-ECDSA-AES128-SHA √ √ √ √ - √ - - √ ECDHE-ECDSA-AES256-GCM-SHA384 √ √ √ √ √ √ √ √ √ ECDHE-ECDSA-AES256-SHA384 √ √ √ √ √ √ √ √ √ ECDHE-ECDSA-AES256-SHA √ √ √ √ - √ - - √ ECDHE-RSA-AES128-GCM-SHA256 - - - √ - √ √ √ √ TLS_AES_256_GCM_SHA384 - - - - - √ √ √ - TLS_CHACHA20_POLY1305_SHA256 - - - - - √ √ √ - TLS_AES_128_GCM_SHA256 - - - - - √ √ √ - TLS_AES_128_CCM_8_SHA256 - - - - - √ √ √ - TLS_AES_128_CCM_SHA256 - - - - - √ √ √ - DHE-RSA-AES128-SHA - - - √ - - - - - DHE-DSS-AES128-SHA - - - √ - - - - - CAMELLIA128-SHA - - - √ - - - - - EDH-RSA-DES-CBC3-SHA - - - √ - - - - - DES-CBC3-SHA - - - √ - - - - - ECDHE-RSA-RC4-SHA - - - √ - - - - - RC4-SHA - - - √ - - - - - DHE-RSA-AES256-SHA - - - √ - - - - - DHE-DSS-AES256-SHA - - - √ - - - - - DHE-RSA-CAMELLIA256-SHA - - - √ - - - - - ECC-SM4-SM3 - - - - - - - - √ ECDHE-SM4-SM3 - - - - - - - - √
-
收发限制 收发限制:为保护企业信息安全,避免机密外泄,管理员可限制具体成员或某域名下的所有成员仅于组织内收信/发信,或仅于站内收信/发信(站内范围指仅限于所有在华为云企业邮箱上开通邮箱的组织成员可互通邮件) 创建收发限制:可选择限制收发的范围(仅于组织内发信、仅于组织内收信、仅于站内发信、仅于站内收信)、限制的用户(某域名下的所有用户、自定义组织内用户) 限制用户:若发信人或收件人被限制收发件时,则发送时,则提示如下: 父主题: 安全管理
-
实现方式 通过创建视图实现上述场景中的需求,具体操作步骤如下: dbadmin用户连接集群后,在dbadmin模式下为省份1和省份2分别创建视图v1和视图v2。 使用CREATE VIEW语句创建查询省份1数据的视图v1: 1 2 CREATE VIEW v1 AS SELECT * FROM customer WHERE province_id=1; 使用CREATE VIEW语句创建查询省份2数据的视图v2: 1 2 CREATE VIEW v2 AS SELECT * FROM customer WHERE province_id=2; 创建用户u1和u2。 1 2 CREATE USER u1 PASSWORD '*********'; CREATE USER u2 PASSWORD '*********'; 使用GRANT语句将对应的数据查询权限授予目标用户。 授予u1和u2对应视图schema的权限。 1 GRANT USAGE ON schema dbadmin TO u1,u2; 授予u1通过v1视图查询省份1数据的权限: 1 GRANT SELECT ON v1 TO u1; 授予u2通过v2视图查询省份2数据的权限: 1 GRANT SELECT ON v2 TO u2;
更多精彩内容
CDN加速
GaussDB
文字转换成语音
免费的服务器
如何创建网站
域名网站购买
私有云桌面
云主机哪个好
域名怎么备案
手机云电脑
SSL证书申请
云点播服务器
免费OCR是什么
电脑云桌面
域名备案怎么弄
语音转文字
文字图片识别
云桌面是什么
网址安全检测
网站建设搭建
国外CDN加速
SSL免费证书申请
短信批量发送
图片OCR识别
云数据库MySQL
个人域名购买
录音转文字
扫描图片识别文字
OCR图片识别
行驶证识别
虚拟电话号码
电话呼叫中心软件
怎么制作一个网站
Email注册网站
华为VNC
图像文字识别
企业网站制作
个人网站搭建
华为云计算
免费租用云托管
云桌面云服务器
ocr文字识别免费版
HTTPS证书申请
图片文字识别转换
国外域名注册商
使用免费虚拟主机
云电脑主机多少钱
鲲鹏云手机
短信验证码平台
OCR图片文字识别
SSL证书是什么
申请企业邮箱步骤
免费的企业用邮箱
云免流搭建教程
域名价格