华为云用户手册

脚本示例 用户属性 在脚本中可以使用用户(user)这个对象，这个对象中包含了用户的所有属性，具体的属性以属性定义中的属性代码为准。用户属性定义可参考用户属性定义，账号属性定义可参考9。 示例1：映射用户注册时间： var createdAt = user.createdAt; var date =new Date(createdAt); date.toISOString(); 示例2：映射用户的手机号，并隐藏中间4位： var mobile = user.mobile; var result = ""; if(mobile.length == 15) { result = mobile.slice(0,7) + "****" + mobile.slice(-4); } result; 示例3：根据用户名生成用户邮箱： var username = user.userName; username.toLowerCase()+"@huaweicloud.com"; 组织属性 在脚本中可以使用组织（organization）这个对象，这个对象中包含了组织的所有属性。 示例1：映射组织名称： var orgName = organization.name; orgName.toString(); 示例2：映射组织编码： var orgCode = organization.code; orgCode.toString(); 示例3：映射组织id： var id= organization.id; id.toString(); 系统属性 获取系统属性，如日期。 示例：映射明天的当天时间： var date =new Date(); date.setDate(date.getDate()+1); date.toISOString();

密文解密过程 对密文进行BASE64解码。 byte[] encryptStr = Base64.getDecoder().decode(data); 使用AESKey进行解密。 Cipher cipher = Cipher.getInstance("AES/GCM/NoPadding"); SecretKeySpec secretKey = new SecretKeySpec(加密密钥.getBytes(StandardCharsets.UTF_8), "AES"); cipher.init(2, secretKey); byte[] bytes = cipher.doFinal(encryptStr); 去掉rand_msg头部的16个随机字节，剩余的部分即为明文内容msg。 String dataStr = StringUtils.split(new String(bytes, StandardCharsets.UTF_8), "&")[1];

明文加密过程 拼接明文字符串。明文字符串由16个字节的随机字符串、明文msg拼接组成，中间使用&进行连接。以下为Java语言示例： String dataStr = RandomStringUtils.random(16, true, false) + "&" + data; 对拼接后的明文字符串使用AESkey加密后，再进行Base64编码，获得密文encrypt_msg。以下为Java语言示例： Cipher cipher = Cipher.getInstance("AES/GCM/NoPadding"); SecretKeySpec secretKey = new SecretKeySpec(加密密钥.getBytes(StandardCharsets.UTF_8), "AES"); cipher.init(1, secretKey); byte[] bytes = dataStr.getBytes(StandardCharsets.UTF_8); String ecnryptStr = Base64.getEncoder().encodeToString(cipher.doFinal(bytes));

签名校验/加解密术语 表1 术语 术语 说明 signature 消息签名，用于验证请求是否来自 OneAccess ，以防攻击者伪造。签名算法为HMAC-SHA256 + Base64。 AESKey AES算法的密钥，加密算法为AES/GCM/NoPadding + Base64。 msg 明文消息体，格式为JSON。 encrypt _msg 明文消息msg加密处理并进行Base64编码后的密文。

签名校验 为了让企业应用确认事件推送来自OneAccess，OneAccess将事件推送给企业应用回调服务时，请求body体中包含请求签名并以参数signature标识，企业应用需要验证此参数的正确性后再解密，验证步骤如下： 计算签名。 计算签名由签名密钥、Nonce值（nonce）、时间戳（timestamp）、事件类型（eventType）、消息体（data）5部分组成，中间使用&进行连接。采用HMAC-SHA256 + Base64算法进行加密。以下为Java语言签名示例： String message = nonce + "&" + timestamp + "&" + eventType + "&" + data; Mac mac = Mac.getInstance("HmacSHA256"); SecretKeySpec secretKey = new SecretKeySpec(签名密钥.getBytes(StandardCharsets.UTF_8), "HmacSHA256"); mac.init(secretKey); String newSignature = Base64.getEncoder().encodeToString(mac.doFinal(message.getBytes(StandardCharsets.UTF_8))); 比较计算的签名cal_signature与请求参数signature是否相等，相等则表示验证通过。 企业应用按照要求返回响应消息格式。

使用规则 代金券规格 活动类代金券 适用范围 适用产品 代金券对商品的类别有限制。每张代金券都标注了其适用的商品类别（如适用于联营商品、通用商品其中之一）。 如果商品类别变更，则原商品类别上的代金券自动失效。例如用户领取代金券时，适用商品类别为通用商品，当该商品类别变更为联营商品时，该代金券自动失效。 计费类型 代金券对产品的计费模式有限制。每张代金券都标注了其适用的计费模式，可支持的计费模式包含按次、包周期（支持包月、1年及以上包年产品）。 如包月代金券仅可在购买包月产品时使用；包年代金券仅可在购买包年产品时使用；按次代金券仅可在购买按次产品时使用；按需产品不能使用云商店代金券。 使用规则 有效期 代金券存在有效期。若代金券还未到生效日期，请耐心等待代金券生效后再使用。若代金券已过期，则无法再使用。 使用条件 代金券可能对订单的应付金额有限制，如：满100元可用，待支付订单必须满足： 1.订单中存在满足代金券使用限制的产品。 2.这些产品的应付金额之和大于100元。 3.对于组合类商品如镜像类商品，只有云商店镜像订单行可以使用云商店代金券支付。 订购类型 代金券可能会限制指定订购类型才能使用。订购类型包括新购、续订。如果代金券限制仅订购时使用，则续订订单时，无法使用该代金券。 互斥规则 云商店代金券与如下折扣互斥： 1. 与促销折扣、商务授权折扣以及渠道授予折扣互斥。 2. 与折扣券互斥。 失效规则 有效期不超过6个月。 数量限制 1次支付只能用1张代金券，不支持多次使用。 转赠规则 不可转赠。 退订规则 退订时符合5天无理由退订条件的，代金券可退；其他情况，代金券使用后不可退。 开票规则 代金券使用金额不开票。 提现规则 代金券不可提现。 核销欠费 代金券不可核销欠款。 其他规则 伙伴代付不可用代金券。

商品升级和扩容费用计费规则 1、升级费用= 新配置价格*剩余天数*折扣-老配置价格*剩余天数*折扣 ① 新配置价格：目标产品按照剩余时长匹配到该产品的当前价格。 ② 老配置价格：当前产品按照购买时长匹配到该产品的当前价格。 2、扩容费用 原计费规则（2023年6月12日前）： 线性 定价 、Step阶梯定价、Tier阶梯定价：扩容费用= 扩容累计用户数所在价格区间单价*扩容累计用户数*剩余周期*折扣-原扩容前价格*剩余周期*折扣 现计费规则（2023年6月12日后）： ①线性定价、Step阶梯定价：扩容费用= 扩容累计用户数所在价格区间单价*扩容累计用户数*剩余周期*折扣-原扩容前价格*剩余周期*折扣 ②Tier阶梯定价：扩容费用= 新配置累计用户数所在价格区间单价*扩容增量数*剩余天数*折扣

模板配置开通 在控制台页面，勾选相关确认协议后，点击“模板配置开通”按钮，进入立即创建资源栈页面； 在部署页面，配置资源信息； 核对模板信息后，点击“下一步”； 在配置页面设置相关云服务密码，也可根据实际需求更改相关配置，配置完成后，点击“下一步”，页面弹窗提示“开启加密”，点击“确定”进入资源栈设置页面； 在“资源栈设置”页面配置 IAM 委托，设置完成后，点击“下一步”进入配置确认页面； 如果是首次创建委托，请参见如何创建委托。 如不选择委托，可直接点击“下一步”进行确认，系统将默认采用当前登录用户的权限进行部署。 在“配置确认”页面，检查已经配置的参数，确认无误后点击“创建执行计划”，页面弹窗提示确认“创建执行计划”，点击“确定”进入执行计划页面； 在执行计划页面，确保账户余额充足后，点击“部署”，开始进行资源部署。 点击“查看费用明细”，可查询资源费用明细。如选择的是包年或包月的计费模式，资源创建成功后自动扣费（请确保账号余额充足，否则资源将创建失败）。 部署成功后，查看输出界面，若是网站页面开发软件包，将生成网站访问地址。 部署成功后，若服务器不再需要访问外网，可在资源服务平台关闭绑定的eip。 如部署失败，请联系商家。 部署成功后，请根据商家提供的使用指南开始使用产品。 用户根据商家提供的使用指南开始使用。

快捷开通 点击购买后，进入控制台； 如需选择自定义开通，可在该页面点击“自定义开通”切换至自定义开通页面。 首次使用云商店快捷开通方式的情况下，页面会先弹框提示您需要将创建云资源的权限委托给云商店，点击“确定”即可。 在控制台页面完成以下内容的配置： 勾选对应的E CS 实例，完成ECS实例配置； 选择网络和安全组配置，完成网络配置； 安全组：可以下拉选择商家推荐的安全组，也可以点击“新建安全组”创建安全组。 填写登陆凭证，即ECS登陆密码； 勾选“协议及授权”。 云资源配置费用及镜像费用可在页面底部栏查看。 如选择的是包年或包月的计费模式，资源创建成功后自动扣费（请确保账号余额充足，否则资源将创建失败）。 点击“启动部署”，即可完成镜像类商品的部署。此时页面会跳转到ECS管理台，可以查看创建成功的ECS实例。

操作步骤 在我的云商店页面，点击左侧导航栏的“已购买的服务”，找到已购买的目标License商品，点击右侧操作列的“启动部署”，进入部署页面。 在部署页面，配置资源信息。 在部署区域弹框中，选择需要部署的目标区域，并选择软件版本、部署模板后，点击“确定并同意授权”。 进入配置页，核对模板信息后，点击“下一步”。 在配置页面设置相关云服务密码，也可根据实际需求更改相关配置，配置完成后，点击“下一步”。 配置IAM委托，资源栈设置完成后，点击“下一步”。 如果是首次创建委托，请参见如何创建委托。 配置确认后，点击“创建执行计划”。 进入执行计划页面，确保账户余额充足后，点击“部署”，开始进行资源部署。 点击“查看费用明细”，可查询资源费用明细。如选择的是包年或包月的计费模式，资源创建成功后自动扣费（请确保账号余额充足，否则资源将创建失败）。 部署成功后，查看输出界面，若是网站页面开发软件包，将生成网站访问地址。 部署成功后，若服务器不再需要访问外网，可在资源服务平台关闭绑定的eip。 如部署失败或部署成功后无法使用产品，请您联系商家提供支持。

操作步骤 进入云商店买家中心，点击左侧导航栏“我的发票”下的“说明函”菜单； 选择相应订单的发票申请ID，并点击操作列“提交申请”按钮； 如列表没有该订单数据，请确认发票电子流为已开票状态。 说明函申请提交后，用印盖章时间约5分钟左右完成。 下载已完成盖章的电子说明函。 支持已开具发票的订单开具说明函。 说明函本身不具备法律效应，仅作为用户在云商店平台上进行商品购买的证明。 说明函呈现的开票金额与用户购买商品后开具发票的金额一致。 说明函保留有效期为6个月，超过6个月后需重新提交申请。

邀请管理员 创建者可以邀请他人来进行企业管理：维护部门、群组及进行授权等。 邀请的管理员手机账号必须为已开通华为云服务的华为账号。 受邀管理员根据接收到邮件里的邀请链接，登录到联营买家页面，即可成功成为该企业的管理员，管理员状态为：“已激活”。 已选择“给客户用”的角色账号，不能被邀请成为管理员。 一旦有人接受邀请成为管理员，代理商就无法解散企业，仅管理员可以解散。 父主题： 联营账号常用操作流程

联营账号开通场景 本文汇总了基于联营服务新人应用使用场景的操作实践，为每个实践提供详细操作指导，帮助用户在不同场景下使用联营服务 联营服务为用户提供2种场景：自用场景、转售场景，详细说明如下： 表1 使用场景 使用子场景 说明 自用场景 快捷使用流程 适用于自己快速上手使用，简化使用流程，无需提前管理组织部门和企业成员的场景。 标准开通流程 适用于多企业成员使用，需完成企业、成员的创建管理，并将购买的商品授权给对应的企业成员使用。 转售场景 转售给其他企业使用 适用于将自己购买的商品转售给其他客户使用，选择转售后将无法管理企业，可代您的客户创建企业，创建完成后将企业转让给您的客户，并将商品授权给您客户的企业。

操作步骤 进入华为云云商店首页，点击页面上的“免费试用”，进入 云商店试用中心 。 在云商店试用中心选择需要试用的商品，点击商品卡片进入该商品详情页。 点击“全部试用商品”进入免费试用商品搜索页； 在该页面可以根据商品分类、交付方式等条件筛选并选择需要的商品。 在商品详情页查看商品信息，“购买方式”选择使用版本后，点击“立即购买”。 勾选协议及授权后，点击“立即开通”，进入付款页面。 确认付款金额为0元，点击“确认付款”。 付款成功即完成试用商品购买，“云商店订单支付成功通知”将以短信或邮件的形式发送至用户账号绑定的联系方式。

委托策略权限详情 api_product_repurchase_policy { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "bss:enterpriseProjectGroup:view", "bss:coupon:view", "bss:discount:view", "bss:order:pay", "bss:order:update" ] } ] } mkp_deployment_policy { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "kms:cmk:create", "kms:cmk:get", "kms:dek:create" ] }, { "Effect": "Allow", "Action": [ "rf:stack:listStacks", "rf:stack:listStackResources", "rf:stack:listStackOutputs", "rf:stack:createStack", "rf:stack:getStackMetadata", "rf:stack:updateStack" ] } ] } mkp_rfs_deployment_policy { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "kms:cmk:get", "kms:dek:decrypt" ] }, { "Effect": "Allow", "Action": [ "ecs:diskConfigs:use", "ecs:servers:create", "ecs:cloudServers:showServer", "ecs:cloudServers:get", "ecs:serverInterfaces:get", "ecs:serverKeypairs:get", "ecs:flavors:get", "ecs:serverVolumes:use", "ecs:cloudServers:createServers", "ecs:cloudServers:create", "ecs:cloudServers:deleteServers", "ecs:cloudServers:delete", "ecs:servers:get", "ecs:serverInterfaces:use", "ecs:securityGroups:use" ] }, { "Effect": "Allow", "Action": [ "evs:volumes:list", "evs:volumes:create", "evs:volumes:manage", "evs:backups:get", "evs:volumes:attach", "evs:volumes:get", "evs:snapshots:get" ] }, { "Effect": "Allow", "Action": [ "ims:images:get", "ims:images:list" ] }, { "Effect": "Allow", "Action": [ "vpc:securityGroups:create", "vpc:subnets:update", "vpc:routers:update", "vpc:networks:get", "vpc:ports:get", "vpc:ports:update", "vpc:ports:create", "vpc:securityGroupRules:get", "vpc:subnets:create", "vpc:subnets:get", "vpc:securityGroups:update", "vpc:routers:get", "vpc:securityGroups:get", "vpc:networks:create", "vpc:networks:update" ] } ] }

使用AppCode调用API接口失败了怎么办？ 请参见APIG-为建议认证添加AppCode文档。 使用AppCode认证调试API商品接口的注意点: 先确认购买的API商品已经开启简易认证，如果不清楚是否开启，可咨询商家。 在云商店购买的API商品时，系统会为您在“API网关控制台-调用API-应用管理”自动创建应用 MARKETPLACE_APP。您需要在该应用下手动添加AppCode，无需手动绑定API，系统已默认为您绑定。 当前，您也可以手动创建新的应用，在新应用下添加AppCode，并绑定API。 请注意，由用户自主创建的应用需要手动绑定API，才能正常使用该应用下的AppCode。 如果您在“API网关控制台-调用API-已购买API”没有找到您购买的API商品，不要着急，请先确认您选择的区域是否正确，如果不确定你购买的API商品所属的区域，请联系商家咨询。 如果以上操作都已经尝试，在header添加“X-Apig-AppCode：XXX”调用接口仍然失败的话，请确保您使用了https协议。

为什么订单有效期时间和实际交付的不一致 涉及服务监管的包周期商品，商家若未在实施服务完成时填写服务实际开通时间，则该订单将以客户线上点击确认验收的时间为订单有效期开始时间；商家若在实施服务完成时填写了服务实际开通时间，则订单闭环后将以商家填写的服务实际开通时间作为订单有效期开始时间。 举例：用户购买涉及服务监管商品A，于1月1日购买1个月并于同日开通完成，投入使用。2月1日用户在系统点击确认验收。 场景一：商家实施服务完成时未填写服务实际开通时间 用户实际的使用周期为1月1日到2月1日，云商店订单系统显示有效期则为2月1日至3月1日。 场景二：商家实施服务完成时填写了服务实际开通时间，填写的时间为1月1日 用户实际的使用周期为1月1日到2月1日，云商店订单系统显示有效期则为1月1日至2月1日。 如商家填写了服务实际开通时间，请用户在确认验收节点检查商家填写的服务实际开通时间是否与实际开通一致。 如商家未填写服务实际开通时间，用户可驳回商家的确认订单请求。如用户已确认订单，当有相关争议时，以实际使用日期为准。 父主题： 交付与售后

云商店提供哪些软件和服务 云商店销售的商品是由“华为云服务”和“合作伙伴”通过合作在华为云云商店平台发布的镜像类商品、人工服务类商品、SaaS类商品、API类商品、License类商品、硬件类商品、AI资产类商品、数据资产、应用资产类商品等，包括但不限于： 操作系统、数据库与缓存、应用运行环境、管理与监控、开发语言环境等基础软件商品。 建站系统、电子商务、建站模板、APP定制、小程序建站等网站建设商品。 人力资源、商业智能、协同办公、销售管理、财务管理、存储与备份等企业应用商品。 数据迁移、环境配置、故障排查、咨询与培训、专线接入、代维服务等专业服务商品。 监控工具、源代码控制、问题和缺陷跟踪、 日志分析 、测试工具等 开发者工具 商品。 主机安全、应用安全、数据安全、网络安全、安全管理、安全服务等安全市场商品。 泛金融、智能制造、医疗、教育、电商、游戏、物流云、售电云、交通、政府类、智能环保等解决方案商品。 智慧城市、车联网、智能家居、模组开发等物联网商品。 视频与通信、企业服务、人工智能、生活服务等API商品。 用户可以在此找到适合自己业务的软件和服务。 父主题： 关于云商店

华为云云商店是什么 华为云云商店是一个在线商店。华为与商家合作，提供从应用、运行环境、带宽以及云主机资源的一站式应用商品，用户可以在云商店快速购买到合适的应用商品（包括运行的全套环境），然后立即开始使用应用软件和服务来发布商品和运行自己的业务。 华为云云商店在云服务的生态系统中，整合了上游的应用服务，与合作伙伴一起为用户提供更优质和便捷的应用解决方案，从而促使行业生态链健康成长。 对应用商品有需求的用户在云商店通过一键开通的简单操作，就能获得一套云主机资源和已经部署好的应用软件。系统会自动启动预配置的软件，您只需要聚焦自己的业务，无需在资源采购、软件部署等方面浪费时间、精力和成本，您只需按您的需要支付相应的费用，您可以选择按小时、按月或按年付费，非常节约开支。 对应用服务有需求的客户，可以在云商店搜索所需服务，联系商家咨询服务具体内容，不需要单独购买软件应用，只需下单后由商家直接提供专业服务。 父主题： 关于云商店

售后支持 通用商品的售后支持 通用商品的交付和售后支持由商家对客户直接提供。客户购买通用商品后，如需售后支持，请在该商品详情页查找商家联系方式，联系商家提供技术支撑。如商家提供的联系方式无法接通或无回复，可通过联系华为云4000-955-988或950808按1转3或发邮件至partner@huaweicloud.com，由云商店运营经理协助联系。 联营商品的售后支持 联营商品由华为云销售团队或华为云经销商伙伴提供售前咨询相关服务。客户购买联营商品后，如需售后支持，请在该商品详情页查找商家联系方式，联系商家提供技术支撑。如商家提供的联系方式无法接通或无回复，可通过联系华为云4000-955-988或950808按1转3或发邮件至partner@huaweicloud.com，由云商店运营经理协助联系 华为商品的售后支持 华为商品由华为云销售团队或华为云经销商伙伴提供售前咨询相关服务。客户购买华为商品后，由华为云按照订单中约定的范围，为客户提供售后支持服务。 父主题： 售后服务

操作步骤 登录华为云云商店主页。 选择商品。 在页面顶端搜索栏搜索您需要的商品。 选择云商店商品分类，进入分类页面通过筛选条件选择您需要的商品。 进入推荐应用或推荐商品模块选择您需要的商品。 点击具体商品名称，进入商品详情页面。 查看商品信息、设置服务选型后，点击“立即购买”。 镜像类应用 若购买页面无可用的虚拟私有云，请点击“创建虚拟私有云”，按照界面提示创建虚拟私有云后再进行购买。 镜像类应用包含镜像费用和云服务器费用。 请记住在订单确认页面设置的云主机登录账号和密码。 开通了企业项目功能的企业账号在购买云商店镜像类商品时，可下拉并选择对应的企业项目。如未开通企业项目功能，则不显示该参数。 SaaS类应用 若购买页面显示“授权将当前账号下的联系方式（xxx）用于创建应用管理账号，便于商品的开通与使用”，则必须选择才能购买。“xxx”为当前账号的手机号码、邮箱或IAM用户名。 若需购买按需套餐包，则必须先开通按需服务。 核对订单详情，勾选“协议及授权”，点击“去支付”。 如该商品有优惠折扣，支付页面会显示【折扣】栏，下拉选择对应的折扣后再进行支付。 通用商品、联营商品、华为商品在订单页面需勾选的用户协议不同。 图1 通用商品订单页面 图2 联营商品订单页面 图3 华为商品订单页面 确认付款并支付订单，付款成功即完成商品购买流程。 用户可以在云商店快速购买人工服务、硬件、SaaS或License类商品。支付成功后，需要进入“服务监管”页面提交需求，并及时跟踪订单服务的进度。 服务监管操作指导，请参见人工服务类商品服务监管、SaaS类商品服务监管、License类商品服务监管、硬件类商品服务监管。

约束与限制 数据库安全服务不支持跨区域（Region）使用。待审计的数据库必须和购买的数据库安全审计实例在同一区域。 购买数据库安全审计实例配置VPC参数，必须与Agent安装节点（应用端或数据库端）所在的VPC保持一致。否则，将导致Agent与审计实例之间的网络不通，无法使用数据库安全审计。创建共享VPC请参见共享VPC。 数据库安全审计的Agent安装节点，请参见：如何选择数据库安全审计的Agent安装节点？。

前提条件 请参见DBSS权限管理确认实例账号具有相关权限。 请确认购买实例的账号具有“DBSS System Administrator”、“VPC Administrator”、“ECS Administrator”和“DBSS Administrator”角色。 VPC Administrator：对虚拟私有云的所有执行权限。项目级角色，在同项目中勾选。 DBSS Administrator：对账号中心、费用中心、资源中心中的所有菜单项执行任意操作。项目级角色，在同项目中勾选。 ECS Administrator：对弹性云服务器的所有执行权限。项目级角色，在同项目中勾选。

报表类型 数据库安全审计为用户提供了8种报表模板，各报表名称如表1所示。用户可根据实际业务情况生成报表、设置报表的执行任务。 表1 报表说明 报表模板名称 报表类型 说明 数据库安全综合报表 综合报表 提供数据库整体审计状况，主要从风险分布、会话分布和登录状况等几个维度进行审计分析，为数据库管理提供整体审计状况依据。 数据库安全合规报表 合规报表 根据《中国国家信息安全保护检验标准》和国家等级保护的检测要求对数据库进行数据统计。帮助数据库管理人员、审计人员及时发现各种异常行为和违规操作，并为快速定位分析、整体信息管理提供决策依据。 SOX-萨班斯报表 合规报表 参考《萨班斯法案》针对用户全面把控数据库内部活动的要求，对数据库进行数据统计。帮助数据库管理人员、 审计人员及时发现各种异常行为和违规操作，并为快速定位分析、整体信息管理提供决策依据。 数据库服务器分析报表 数据库专项报表 分别为数据库活动用户统计、访问数据库来源IP数量统计、数据库登录及请求统计分析和使用数据库操作时间判断数据库服务器性能。 客户端IP分析报表 客户端专项报表 统计源IP中客户端应用程序、数据库用户数量和SQL语句数量。 DML命令报表 数据库操作专项报表 通过DML命令分析用户与特权操作。 DDL命令报表 数据库操作专项报表 通过DDL命令分析用户与特权操作。 DCL命令报表 数据库操作专项报表 通过DCL命令分析用户与特权操作。

常见场景 请您根据数据库类型以及数据库部署场景，为待审计的数据库添加Agent。数据库常见的部署场景说明如下： ECS/BMS自建数据库的常见部署场景如图1和图2所示。 图1 一个应用端连接多个ECS/BMS自建数据库 图2 多个应用端连接同一个ECS/BMS自建数据库 RDS关系型数据库的常见部署场景如图3和图4所示。 图3 一个应用端连接多个RDS 图4 多个应用端连接同一个RDS 添加Agent方式的详细说明如表1所示。 当您的应用端和数据库（ECS/BMS自建数据库）都部署在同一个节点上时，Agent需在数据库端添加。 数据库安全审计还支持批量部署流量采集Agent，针对大规模业务场景（容器化部署应用、数据库（RDS关系型数据库）数量大），能够显著提升产品配置的效率，降低配置的复杂度，减少运维人员的日常维护压力。详细操作步骤，请参见容器化部署数据库安全审计Agent。 表1 添加Agent方式说明 使用场景 Agent安装节点 审计功能说明 注意事项 ECS/BMS自建数据库 数据库端或应用端 可以审计所有访问该数据库的应用端的所有访问记录。 在数据库端添加Agent。 当某个应用端连接多个ECS/BMS自建数据库时，所有连接该应用端的数据库都需要添加Agent。 RDS关系型数据库 应用端 （应用端部署在云上） 可以审计该应用端与其连接的所有数据库的访问记录。 在应用端添加Agent。 当某个应用端连接多个RDS关系型数据库时，所有连接该应用端的RDS关系型数据库都需要添加Agent。当其中一个RDS关系型数据库选择“创建Agent”后，其余RDS关系型数据库添加Agent时，只能选择“选择已有Agent”添加方式。详细操作请参见•“添加方式”选择“选择已有Agent”。 当多个应用端连接同一个RDS关系型数据库时，所有连接该RDS关系型数据库的应用端都需要添加Agent。 代理端（应用端部署在云下） 只能审计代理端与后端数据库之间的访问记录，无法审计应用端与后端数据库的访问记录。 在应用端添加Agent。 “安装节点IP”需要配置为代理端的IP地址。

监控指标 表1 数据库安全服务支持的监控指标 指标ID 指标名称 指标含义 取值范围 单位 进制 测量对象 监控周期（原始指标） cpu_util CPU使用率 该指标用于统计测量对象的CPU利用率。 单位：百分比 采集方式：100%减去空闲CPU占比 0～100 % 值类型：Float % 不涉及 数据库审计实例 1分钟 mem_util 内存使用率 该指标用于统计测量对象的内存利用率。 单位：百分比 采集方式：100%减去空闲内存占比 0～100 % 值类型：Float % 不涉及 数据库审计实例 1分钟 disk_util 磁盘使用率 该指标用于统计测量对象的磁盘利用率。 单位：百分比 采集方式：100%减去空闲磁盘占比 0～100 % 值类型：Float % 不涉及 数据库审计实例 1分钟 hx_process_status 防护实例进程状态 该指标用于展示防护实例的进程状态。 说明： 该防护实例已不再维护。 0/1 0：进程状态异常 1：进程状态正常 不涉及 不涉及 数据库审计实例 1分钟 hx_port_stats 防护实例端口状态 该指标用于展示防护实例的端口状态。 说明： 该防护实例已不再维护。 0/1 0：端口状态异常 1：端口状态正常 不涉及 不涉及 数据库审计实例 1分钟 hx_proxy_num 防护实例代理数量 该指标用于展示防护实例的代理数量。 说明： 该防护实例已不再维护。 ≥0 Count 不涉及 数据库审计实例 1分钟 hx_proxy_status 防护实例代理状态 该指标用于展示防护实例的代理状态。 说明： 该防护实例已不再维护。 0/1 0：代理状态异常 1：代理状态正常 不涉及 不涉及 数据库审计实例 1分钟 hx_qps 防护实例每秒查询数 该指标用于展示防护实例的每秒查询数。 说明： 该防护实例已不再维护。 ≥0 Count/s 不涉及 数据库审计实例 1分钟 hx_rps 防护实例每秒请求数 该指标用于展示防护实例的每秒请求数。 说明： 该防护实例已不再维护。 ≥0 Count/s 不涉及 数据库审计实例 1分钟 hx_active_connections_num 防护实例活跃连接数 该指标用于展示防护实例的活跃连接数。 说明： 该防护实例已不再维护。 ≥0 Count 不涉及 数据库审计实例 1分钟

安装Agent 请参见步骤二添加Agent。 在Windows主机安装“Npcap”软件。 如果该Windows主机已安装“Npcap”，请执行4。 如果该Windows主机未安装“Npcap”，请执行以下步骤： 请先下载Npcap获取最新软件安装包。 图5 下载npcap 将下载好的npcap-xxxx.exe软件安装包上传至需要安装agent的虚拟机。 双击npcap软件安装包。 在弹出的对话框中，单击“I Agree”，如图6所示。 图6 同意安装“Npcap” 在弹出的对话框中，单击“Install”，不勾选安装选项，如图7所示。 图7 安装“Npcap” 在弹出的对话框中，单击“Next”。 单击“Finish”，完成安装。 请参见下载Agent获取Windows操作系统Agent安装包。 以“Administrator”用户登录到Windows主机，将下载的Agent安装包“xxx.zip”复制到该主机任意一个目录下。 图8 Agent安装包 进入Agent安装包所在目录，并解压缩安装包。 进入解压后的文件夹，双击“install.bat”执行文件。 图9 双击install.bat 安装成功，界面如图10所示，按任意键结束安装。 图10 Agent安装成功 安装完成后，在Windows任务管理器中查看“dbss_audit_agent”进程，如下图图11所示。 图11 查看dbss_audit_agent进程 如果进程不存在，说明Agent安装失败，请尝试重新安装Agent。

常见安装场景 请您根据数据库的类型以及部署场景，在数据库端或应用端安装Agent。数据库常见的部署场景说明如下： ECS/BMS自建数据库的常见部署场景如图1和图2所示。 图1 一个应用端连接多个ECS/BMS自建数据库 图2 多个应用端连接同一个ECS/BMS自建数据库 RDS关系型数据库的常见部署场景如图3和图4所示。 图3 一个应用端连接多个RDS 图4 多个应用端连接同一个RDS 安装Agent节点的详细说明如表1所示。 当您的应用端和数据库（ECS/BMS自建数据库）都部署在同一个节点上时，Agent需在数据库端安装。 表1 安装Agent场景说明 使用场景 Agent安装节点 审计功能说明 注意事项 ECS/BMS自建数据库 数据库端 可以审计所有访问该数据库的应用端的所有访问记录。 在数据库端安装Agent。 当某个应用端连接多个ECS/BMS自建数据库时，需要在所有连接该应用端的数据库端安装Agent。 RDS关系型数据库 应用端（应用端部署在云上） 可以审计该应用端与其连接的所有数据库的访问记录。 在应用端安装Agent。 当多个应用端连接同一个RDS时，所有连接该RDS的应用端都需要安装Agent。 RDS关系型数据库 代理端（应用端部署在云下） 只能审计代理端与后端数据库之间的访问记录，无法审计应用端与后端数据库的访问记录。 在代理端安装Agent。

前提条件 请参见DBSS权限管理确认实例账号具有相关权限。 请确认购买实例的账号具有“DBSS System Administrator”、“VPC Administrator”、“ECS Administrator”和“DBSS Administrator”角色。 VPC Administrator：对虚拟私有云的所有执行权限。项目级角色，在同项目中勾选。 DBSS Administrator：对账号中心、费用中心、资源中心中的所有菜单项执行任意操作。项目级角色，在同项目中勾选。 ECS Administrator：对弹性云服务器的所有执行权限。项目级角色，在同项目中勾选。

与 消息通知 服务的关系 消息通知服务（Simple Message Notification，简称 SMN ），是一个可拓展的高性能消息处理服务。 开启消息通知前，您需先配置“消息通知服务”。 开启消息通知服务后，当数据库设置的告警事件发生或生成报表时，您可以收到告警或报表生成的消息通知。 在“告警通知”界面，您可以根据运维计划开启告警消息通知或关闭告警消息通知。 在“报表管理”界面，您可以根据运维计划开启报表生成消息通知或关闭报表生成消息通知。 关于SMN的详细内容，请参见《消息通知服务用户指南》。