华为云用户手册

约束限制 账户余额大于等于0元，才可恢复到新实例。新实例将作为用户新创建的实例进行收费。 恢复到当前实例的限制： 如需恢复到当前实例，请提交工单联系客服人员开通权限。 如果备份所在的数据库实例已被删除，则不可恢复到当前实例。 请确保原实例及目标实例的时区配置完全一致，否则会有数据不一致风险。 若目标数据库已存在，恢复到当前实例会导致目标数据库的全部数据被覆盖，并且正在恢复过程中的数据库不可用。 恢复到已有实例的限制： 恢复到已有实例会导致实例数据被覆盖，且恢复过程中实例将不可用。 只可选择与原实例相同VPC，相同引擎，相同版本或高版本的实例。 请确保目标实例的存储空间大于或等于当前实例的存储空间，否则会导致任务下发失败。 请确保原实例及目标实例的时区配置完全一致，否则会有数据不一致风险。 如果原实例开启TDE，不允许恢复到已有实例。

操作场景 华为云关系型数据库服务支持使用已有的自动备份，恢复实例数据到指定时间点。 当用户在某个时间点删除了某个数据库，或者修改了某个数据库的一些记录时，用户需要只对该实例数据库进行恢复，而不需要将整个实例进行恢复。您可以根据需要恢复库到指定时间点。 实例恢复到指定时间点，会从OBS备份空间中选择一个该时间点最近的全量备份下载到实例上进行全量恢复，再重放增量备份到指定时间点，恢复时长和实例的数据量有关，平均恢复速率为30MB/s。

约束限制 账户余额大于等于0元，才可恢复到指定时间点。新实例将作为用户新创建的实例进行收费。 恢复到当前实例的限制： 如需恢复到当前实例，请提交工单联系客服人员开通权限。 请确保原实例及目标实例的时区配置完全一致，否则会有数据不一致风险。 若目标数据库已存在，恢复到当前实例会导致目标数据库的全部数据被覆盖，并且正在恢复过程中的数据库不可用。 恢复到已有实例的限制： 恢复到已有实例会导致实例数据被覆盖，且恢复过程中实例将不可用。 只可选择与原实例相同VPC，相同引擎，相同版本或高版本的实例。 请确保目标实例的存储空间大于或等于当前实例的存储空间，否则会导致任务下发失败。 请确保原实例及目标实例的时区配置完全一致，否则会有数据不一致风险。 如果原实例开启TDE，不允许恢复到已有实例。

常见问题 如果执行存储过程发生报错，报错信息为“文件正在使用中”，则请稍后再执行存储过程。 如果执行存储过程后，日志文件大小未改变，请在目标数据库环境下，执行以下SQL，验证文件是否有足够的可用空间。 SELECT name, size/128.0 - CAST(FILEPROPERTY(name, 'SpaceUsed') AS int)/128.0 AS AvailableSpaceInMB FROM sys.database_files WHERE type_desc=' LOG ';

示例 执行以下命令，对dbtest2数据库进行收缩。 EXEC [master].[dbo].[rds_shrink_database] @DBName = 'dbtest2'; 执行结果如下图所示： 执行以下命令，对所有数据库进行收缩。 EXEC [master].[dbo].[rds_shrink_database]; 执行以下命令，收缩数据库testdb的日志文件。 EXEC [master].[dbo].[rds_shrink_database_log]@dbname='dbtest3';

收缩数据库 执行以下命令，进行数据库收缩。 EXEC [master].[dbo].[rds_shrink_database] @DBName='myDbName'; 表1 参数说明 参数 说明 myDbName 收缩指定数据库的数据库名称。如果未指定，默认收缩所有数据库。 执行成功后，系统会显示执行进度，并最终进行如下提示： HW_RDS_Process_Successful: Shrink Database Done.

前提条件 已购买七层独享型负载均衡。有关ELB类型的详细介绍，请参见共享型弹性负载均衡与独享型负载均衡的功能区别。 2023年4月之前的独享引擎版本，不支持与独享ELB网络型配合使用。因此，如果您使用了独享ELB网络型（TCP/UDP）负载均衡，在目标独享引擎实例列表中的“版本”列查看WAF实例版本，确认已升级到最新版本（2023年4月及之后的版本）。 在该独享引擎实例所在安全组中已放开了相关端口。 安全组建议配置以下访问规则： 入方向规则 根据业务需求添加指定端口入方向规则，放通指定端口入方向网络流量。例如，需要放通“80”端口时，您可以添加“策略”为“允许”的“TCP”、“80”协议端口规则。 出方向规则 默认。放通全部出方向网络流量。 有关添加安全组规则的详细操作，请参见添加安全组规则。

防护效果 假如已添加域名“www.example.com”，且配置了如图1所示“阻断”防护动作的CC防护规则。可参照以下步骤验证防护效果： 清理浏览器缓存，在浏览器中输入防护域名，测试网站域名是否能正常访问。 不能正常访问，参照网站设置章节重新完成域名接入。 能正常访问，执行2。 清理浏览器缓存，在浏览器中访问满足Cookie条件的“http://www.example.com/admin”页面，在60秒内刷新页面10次，正常情况下，在第11次访问该页面时，返回自定义的拦截页面；60秒后刷新目标页面，页面访问正常。 如果您设置了“人机验证”防护动作，当用户访问超过限制后需要输入验证码才能继续访问。 返回 Web应用防火墙 控制界面，在左侧导航树中，单击“防护事件”，进入“防护事件”页面，查看防护域名拦截日志，您也可以下载防护事件数据。

配置示例-人机验证 假如防护域名“www.example.com”已接入WAF，您可以参照以下操作步骤验证人机验证防护效果。 添加防护动作为“人机验证”CC防护规则。 图2 添加“人机验证”防护规则 开启CC攻击防护。 图3 开启CC防护 清理浏览器缓存，在浏览器中访问“http://www.example.com/admin/”页面。 当您在60秒内访问页面10次，在第11次访问该页面时，页面弹出验证码。此时，您需要输入验证码才能继续访问。 返回Web应用防火墙管理控制台，在左侧导航树中，单击“防护事件”，进入“防护事件”页面，您可以查看该防护事件。

WAF通信安全授权 如果业务使用WAF独享模式部署方式，直接访问VPC内的数据需要开通相应的安全组规则，而开通相应的安全组规则需要获取用户授权，此授权过程称为通信安全授权。 成功购买WAF独享引擎后，WAF默认开启通信安全授权，即开通如表2所示的安全组规则。 表2 WAF通信安全授权安全组规则 协议端口 类型 源地址 描述 入方向规则 TCP: 22 IPv4 100.64.0.0/10 WAF远程运维 出方向规则 TCP: 9011 IPV4 100.125.0.0/16 WAF事件日志上报 TCP: 9012 IPV4 100.125.0.0/16 WAF事件日志上报 TCP: 9013 IPV4 100.125.0.0/16 WAF事件日志上报 TCP: 9018 IPV4 100.125.0.0/16 WAF策略同步 TCP: 9019 IPV4 100.125.0.0/16 WAF心跳日志上报 TCP: 4505 IPV4 100.125.0.0/16 WAF策略同步 TCP: 4506 IPV4 100.125.0.0/16 WAF策略同步 TCP: 50051 IPV4 100.125.0.0/16 WAF性能日志上报 TCP: 443 IPV4 100.125.0.0/16 WAF策略同步

约束条件 如果WAF独享引擎实例与源站不在同一个VPC中，可通过对等连接打通两个VPC之间网络，但受限于网络的不稳定性，建议WAF独享引擎实例与源站在同一个VPC中。 有关支持购买WAF的区域说明，请参见Web应用防火墙支持防护哪些区域？。 原则上，在任何一个区域购买的WAF支持防护所有区域的Web业务。但是为了提高WAF的转发效率，建议您在购买WAF时，根据防护业务的所在区域就近选择购买的WAF区域。 开启“反亲和”后，最多只能创建5个独享引擎实例。

前提条件 登录WAF控制台的账号必须具有“WAF Administrator”或者“WAF FullAccess”权限。 建议您使用租户账号购买WAF独享模式。如果您需要使用 IAM 用户购买WAF独享模式，需要为该IAM用户创建 统一身份认证 服务管理权限。 首次购买，需要授予IAM系统角色权限“Security Administrator”。 非首次购买，需要授予IAM系统策略权限“IAM ReadOnlyAccess”或授予自定义权限，具体权限如下： iam:agencies:listAgencies iam:agencies:getAgency iam:permissions:listRolesForAgency iam:permissions:listRolesForAgencyOnProject iam:permissions:listRolesForAgencyOnDomain 具体操作请参见创建用户组并授权使用WAF。 已成功创建 虚拟私有云VPC 。 当前Organizations服务正在公测中，使用组织合规规则功能需先申请Organizations服务公测。

导入新证书 当“对外协议”设置为“HTTPS”时，可以导入新证书。 单击“导入新证书”，打开“导入新证书”对话框。然后输入“证书名称”，并将证书内容和私钥内容粘贴到对应的文本框中，如图5所示。 图5 导入新证书 Web应用防火墙将对私钥进行加密保存，保障证书私钥的安全性。 WAF当前仅支持PEM格式证书。如果证书为非PEM格式，请参考表3在本地将证书转换为PEM格式，再上传。 表3 证书转换命令 格式类型 转换方式 CER/CRT 将“cert.crt”证书文件直接重命名为“cert.pem”。 PFX 提取私钥命令，以“cert.pfx”转换为“key.pem”为例。 openssl pkcs12 -in cert.pfx -nocerts -out key.pem -nodes 提取证书命令，以“cert.pfx”转换为“cert.pem”为例。 openssl pkcs12 -in cert.pfx -nokeys -out cert.pem P7B 证书转换，以“cert.p7b”转换为“cert.cer”为例。 openssl pkcs7 -print_certs -in cert.p7b -out cert.cer 将“cert.cer”证书文件直接重命名为“cert.pem”。 DER 提取私钥命令，以“privatekey.der”转换为“privatekey.pem”为例。 openssl rsa -inform DER -outform PEM -in privatekey.der -out privatekey.pem 提取证书命令，以“cert.cer”转换为“cert.pem”为例。 openssl x509 -inform der -in cert.cer -out cert.pem 执行openssl命令前，请确保本地已安装openssl。 如果本地为Windows操作系统，请进入“命令提示符”对话框后，再执行证书转换命令。 单击“确认”，上传证书。

约束条件 限制项 限制条件 域名限制 WAF支持防护多级别单域名（例如，一级域名example.com，二级域名www.example.com等）和泛域名（例如，*.example.com）。 须知： WAF支持添加“*”的泛域名，域名配置为“*”时，只能防护除80、443端口以外的非标端口。 泛域名添加说明如下： 如果各子域名对应的服务器IP地址相同：输入防护的泛域名。例如：子域名a.example.com，b.example.com和c.example.com对应的服务器IP地址相同，可以直接添加泛域名*.example.com。 如果各子域名对应的服务器IP地址不相同：请将子域名按“单域名”方式逐条添加。 同一防护域名不能重复添加到WAF云模式。 同一个域名对应不同非标准端口视为不同的防护对象，例如www.example.com:8080和www.example.com:8081为两个不同的防护对象，且占用两个域名防护配额。如果您需要防护同一域名的多个端口，您需要将该域名和端口逐一添加到WAF。 请确保域名经过ICP备案，WAF会检查域名备案情况，未备案域名将无法添加。 服务版本限制 入门版不支持添加泛域名。 仅专业版和铂金版支持IPv6防护、HTTP2协议、负载均衡算法。 入门版、标准版“策略配置”只能选择“系统自动生成策略”。 证书限制 WAF当前仅支持PEM格式证书。 目前华为云SCM证书只能推送到“default”企业项目下。如果您使用其他企业项目，则不能选择使用SCM推送的SSL证书。 拥有“SCM Administrator”和“SCM FullAccess”权限的账号才能选择SCM证书。 WebSocket协议限制 WAF支持WebSocket协议，且默认为开启状态。 “对外协议”选择“HTTP”时，默认支持WebSocket “对外协议”选择“HTTPS”时，默认支持WebSockets HTTP2协议限制 HTTP2协议仅适用于客户端到WAF之间的访问，且“对外协议”必须包含HTTPS才支持使用。 “服务器配置”中至少有一条源站地址的“对外协议”配置为HTTPS，开启后才会生效。 当客户端最大支持TLS 1.2时，HTTP2才生效。 账号限制 主账号可以查看子账号添加的域名，但子账号不能查看主账号添加的域名。 其他限制 将网站接入WAF后，网站的文件上传请求限制为10G。

配置示例-静态页面防篡改 假如防护域名“www.example.com”已接入WAF，需要防止“/admin”静态页面被篡改，您可以参照以下操作步骤验证防护效果。 添加一条网页防篡改规则。 图2 添加网页防篡改规则 开启网页防篡改。 图3 网页防篡改配置框 模拟篡改“http://www.example.com/admin”网页。 在浏览器中访问“http://www.example.com/admin”， 等待WAF缓存静态页面。 在浏览器中访问篡改后的页面。 此时，显示的是被篡改前的页面。

工作原理 当WAF接收到正常的访问请求时，直接将缓存的网页返回给Web访问者，加速请求响应。 如果攻击者篡改了网站的静态网页，WAF将缓存的未被篡改的网页返回给Web访问者，保证Web访问者访问的是正确的页面。 WAF将对页面路径下的所有相关资源进行防护。例如，对“www.example.com/index.html”静态页面配置了网页防篡改规则，则WAF将防护“/index.html”的网页以及这个网页关联的相关资源。 即若请求中Referer请求头的值中的URL路径与您配置的防篡改路径一致，如“/index.html” ，则该请求命中的资源（结尾为png、jpg、 jpeg、gif、bmp、css、js的所有资源）也会同时被缓存下来。 同时，WAF支持缓存自定义的Header字段。在网页防篡改页面上方，单击“修改字段”可配置需要通过WAF缓存的Header字段。

应用场景 加速请求的响应 配置网页防篡改规则后，Web应用防火墙将对服务端的静态网页进行缓存。当Web应用防火墙接收到Web访问者的请求时，直接将缓存的网页返回给Web访问者。 网页防篡改 攻击者将服务端的静态网页篡改后，Web应用防火墙将缓存的未被篡改的网页返回给Web访问者，以保证Web访问者访问的是正确的页面。 Web应用防火墙具有如下功能：随机抽取Web访问者的一个请求，将请求的页面与服务端页面进行对比，若发现页面被篡改，您将接收到告警通知（通知方式由您设置），告警通知的设置请参考开启告警通知。

约束条件 准备以独享模式接入WAF的网站已经使用独享型ELB（Elastic Load Balance）作为负载均衡。有关ELB类型的详细介绍，请参见共享型弹性负载均衡与独享型负载均衡的功能区别。 2023年4月之前的独享引擎版本，不支持与独享ELB网络型配合使用。因此，如果您使用了独享ELB网络型（TCP/UDP）负载均衡，请确认独享WAF实例已升级到最新版本（2023年4月及之后的版本），独享引擎版本详情请参见独享引擎版本迭代。 如果WAF前有使用CDN、云加速等七层代理服务器，“是否已使用代理”务必选择“七层代理”，选择“七层代理”后，WAF将从配置的Header头中字段中获取用户真实访问IP，详见配置攻击惩罚的流量标识。 证书限制： WAF当前仅支持PEM格式证书。 目前华为云SCM证书只能推送到“default”企业项目下。如果您使用其他企业项目，则不能选择使用SCM推送的SSL证书。 拥有“SCM Administrator”和“SCM FullAccess”权限的账号才能选择SCM证书。 “防护对象”配置为“*”时，只能防护除80、443端口以外的非标端口。

导入新证书 当“对外协议”设置为“HTTPS”时，可以导入新证书。 单击“导入新证书”，打开“导入新证书”对话框。然后输入“证书名称”，并将证书内容和私钥内容粘贴到对应的文本框中。 图4 导入新证书 Web应用防火墙将对私钥进行加密保存，保障证书私钥的安全性。 WAF当前仅支持PEM格式证书。如果证书为非PEM格式，请参考表2在本地将证书转换为PEM格式，再上传。 表2 证书转换命令 格式类型 转换方式 CER/CRT 将“cert.crt”证书文件直接重命名为“cert.pem”。 PFX 提取私钥命令，以“cert.pfx”转换为“key.pem”为例。 openssl pkcs12 -in cert.pfx -nocerts -out key.pem -nodes 提取证书命令，以“cert.pfx”转换为“cert.pem”为例。 openssl pkcs12 -in cert.pfx -nokeys -out cert.pem P7B 证书转换，以“cert.p7b”转换为“cert.cer”为例。 openssl pkcs7 -print_certs -in cert.p7b -out cert.cer 将“cert.cer”证书文件直接重命名为“cert.pem”。 DER 提取私钥命令，以“privatekey.der”转换为“privatekey.pem”为例。 openssl rsa -inform DER -outform PEM -in privatekey.der -out privatekey.pem 提取证书命令，以“cert.cer”转换为“cert.pem”为例。 openssl x509 -inform der -in cert.cer -out cert.pem 执行openssl命令前，请确保本地已安装openssl。 如果本地为Windows操作系统，请进入“命令提示符”对话框后，再执行证书转换命令。 单击“确认”，上传证书。

约束条件 域名和证书需要一一对应，泛域名只能使用泛域名证书。如果您没有泛域名证书，只有单域名对应的证书，则只能在WAF中按照单域名的方式逐条添加域名进行防护。 WAF当前仅支持PEM格式证书。如果证书为非PEM格式，请参考6将证书转换为PEM格式，再上传。 拥有“SCM Administrator”和“SCM FullAccess”权限的账号才能选择SCM证书。 更新证书前，请确认WAF和更新的证书在同一账号下。

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的 云安全 挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 类云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、 虚拟主机 和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

与统一身份认证服务的关系 统一身份认证服务（Identity and Access Management, IAM）为 数据加密 服务供了权限管理的功能。 需要拥有KMS Administrator权限的用户才能使用DEW服务。 需要同时拥有KMS Administrator和Server Administrator权限的用户才能使用密钥对管理功能。 如需开通该权限，请联系拥有Security Administrator权限的用户，详细内容请参考《统一身份认证服务用户指南》。

与弹性云服务器的关系 弹性云服务器（Elastic Cloud Server，E CS ）是由CPU、内存、操作系统、云硬盘组成的基础的计算组件。弹性云服务器创建成功后，您就可以像使用自己的本地PC或物理服务器一样，在云上使用弹性云服务器。 KPS为ECS提供密钥对的管理控制能力，应用于用户登录弹性云服务器时，对用户身份认证的功能。 Dedicated HSM提供的专属加密实例可以为部署在弹性云服务器内的业务系统加密敏感数据，用户可完全控制密钥的生成、存储和访问授权，保证数据在传输、存储过程中的完整性、保密性。

与 云审计 服务的关系 云审计服务（Cloud Trace Service， CTS ）记录数据加密服务相关的操作事件，方便用户日后的查询、审计和回溯，具体请参见《云审计服务用户指南》。 表1 云审计服务支持的KMS操作列表 操作名称 资源类型 事件名称 创建密钥 cmk createKey 创建数据密钥 cmk createDataKey 创建不含明文数据密钥 cmk createDataKeyWithoutPlaintext 启用密钥 cmk enableKey 禁用密钥 cmk disableKey 加密数据密钥 cmk encryptDatakey 解密数据密钥 cmk decryptDatakey 计划删除密钥 cmk scheduleKeyDeletion 取消计划删除密钥 cmk cancelKeyDeletion 创建随机数 rng genRandom 修改密钥别名 cmk updateKeyAlias 修改密钥描述 cmk updateKeyDescription 密钥删除风险提示 cmk deleteKeyRiskTips 导入密钥材料 cmk importKeyMaterial 删除密钥材料 cmk deleteImportedKeyMaterial 创建授权 cmk createGrant 退役授权 cmk retireGrant 撤销授权 cmk revokeGrant 加密数据 cmk encryptData 解密数据 cmk decryptData 添加标签 cmk createKeyTag 删除标签 cmk deleteKeyTag 批量添加标签 cmk batchCreateKeyTags 批量删除标签 cmk batchDeleteKeyTags 开启密钥轮换 cmk enableKeyRotation 修改密钥轮换周期 cmk updateKeyRotationInterval 表2 云审计服务支持的C SMS 操作列表 操作名称 资源类型 事件名称 创建凭据 secret createSecret 更新凭据 secret updateSecret 删除凭据 secret forceDeleteSecret 计划删除凭据 secret scheduleDelSecret 取消计划删除凭据 secret restoreSecretFromDeletedStatus 创建凭据状态 secret createSecretStage 更新凭据状态 secret updateSecretStage 删除凭据状态 secret deleteSecretStage 创建凭据版本 secret createSecretVersion 下载凭据备份 secret backupSecret 恢复凭证备份 secret restoreSecretFromBackupBlob 更新凭据版本 secret putSecretVersion 凭据轮转 secret rotateSecret 创建凭据事件 secret createSecretEvent 更新凭据事件 secret updateSecretEvent 删除凭据事件 secret deleteSecretEvent 创建资源标签 secret createResourceTag 删除资源标签 secret deleteResourceTag 表3 云审计服务支持的KPS操作列表 操作名称 资源类型 事件名称 创建或导入SSH密钥对 keypair createOrImportKeypair 删除SSH密钥对 keypair deleteKeypair 导入私钥 keypair importPrivateKey 导出私钥 keypair exportPrivateKey 绑定SSH密钥对 keypair bindKeypair 解绑SSH密钥对 keypair unbindKeypair 清除私钥 keypair clearPrivateKey 表4 云审计服务支持的DHSM操作列表 操作名称 资源类型 事件名称 购买云加密实例 hsm purchaseHsm 实例化云加密实例 hsm createHsm 删除云加密实例 hsm deleteHsm

约束条件 如果用户未设置登录弹性云服务器的密码，或者忘记登录密码，可以到弹性云服务器管理控制台重置该弹性云服务器的登录密码，详细信息请参见《弹性云服务器用户指南》。 当用户创建弹性云服务器使用的是“密钥对方式”登录时，用户解绑密钥对后，如果需要重新绑定密钥对，需要关机重新绑定密钥对。 为了能正常登录弹性云服务器，解绑密钥对后，请在弹性云服务器界面及时重置密码，详细信息请参见《弹性云服务器用户指南》。

约束条件 标准版专属加密实例仅支持包年/包月付费方式，购买后不能直接删除。 为了保障业务的高可靠性，您需要至少购买两个及以上专属加密实例，一个专属加密实例仅适用于测试，如需购买一个专属加密实例请联系华为云安全专家。 购买专属加密实例时，需要通过提交工单的方式设置“UKey接收信息”。 购买成功后，华为云将按照您提供的Ukey收件地址将规划的Ukey邮寄给您，您可以使用Ukey初始化并授权您的业务APP访问专属加密实例。 同时，您需要激活专属加密实例，激活后，系统会为您分配符合您业务需求的专属加密实例。

约束条件 购买专属加密实例时，需要通过提交工单的方式设置“UKey接收信息”。只有拥有“Ticket Administrator”权限的账号才可以提交工单。 购买购买铂金版（国内）专属加密实例成功后，华为云安全专家会联系您。您可以提供Ukey收件地址，华为云会通过您提供的地址将配套的Uke邮寄给您。 铂金版（国内）专属加密实例仅支持包年/包月付费方式，购买后不能直接删除。 为了保障业务的高可靠性，您需要至少购买两个及以上专属加密实例，一个专属加密实例仅适用于测试，如需购买一个专属加密实例请联系华为云安全专家。

支持云审计的操作列表 云审计服务记录数据加密服务相关的操作事件，如表 云审计服务支持的KMS操作列表、表 云审计服务支持的CSMS操作列表、表 云审计服务支持的KPS操作列表、表 云审计服务支持的DHSM操作列表所示。 表1 云审计服务支持的KMS操作列表 操作名称 资源类型 事件名称 创建密钥 cmk createKey 创建数据密钥 cmk createDataKey 创建不含明文数据密钥 cmk createDataKeyWithoutPlaintext 启用密钥 cmk enableKey 禁用密钥 cmk disableKey 加密数据密钥 cmk encryptDatakey 解密数据密钥 cmk decryptDatakey 计划删除密钥 cmk scheduleKeyDeletion 取消计划删除密钥 cmk cancelKeyDeletion 创建随机数 rng genRandom 修改密钥别名 cmk updateKeyAlias 修改密钥描述 cmk updateKeyDescription 密钥删除风险提示 cmk deleteKeyRiskTips 导入密钥材料 cmk importKeyMaterial 删除密钥材料 cmk deleteImportedKeyMaterial 创建授权 cmk createGrant 退役授权 cmk retireGrant 撤销授权 cmk revokeGrant 加密数据 cmk encryptData 解密数据 cmk decryptData 添加标签 cmk createKeyTag 删除标签 cmk deleteKeyTag 批量添加标签 cmk batchCreateKeyTags 批量删除标签 cmk batchDeleteKeyTags 开启密钥轮换 cmk enableKeyRotation 修改密钥轮换周期 cmk updateKeyRotationInterval 表2 云审计服务支持的CSMS操作列表 操作名称 资源类型 事件名称 创建凭据 secret createSecret 更新凭据 secret updateSecret 删除凭据 secret forceDeleteSecret 计划删除凭据 secret scheduleDelSecret 取消计划删除凭据 secret restoreSecretFromDeletedStatus 创建凭据状态 secret createSecretStage 更新凭据状态 secret updateSecretStage 删除凭据状态 secret deleteSecretStage 创建凭据版本 secret createSecretVersion 下载凭据备份 secret backupSecret 恢复凭证备份 secret restoreSecretFromBackupBlob 更新凭据版本 secret putSecretVersion 凭据轮转 secret rotateSecret 创建凭据事件 secret createSecretEvent 更新凭据事件 secret updateSecretEvent 删除凭据事件 secret deleteSecretEvent 创建资源标签 secret createResourceTag 删除资源标签 secret deleteResourceTag 表3 云审计服务支持的KPS操作列表 操作名称 资源类型 事件名称 创建或导入SSH密钥对 keypair createOrImportKeypair 删除SSH密钥对 keypair deleteKeypair 导入私钥 keypair importPrivateKey 导出私钥 keypair exportPrivateKey 绑定SSH密钥对 keypair bindKeypair 解绑SSH密钥对 keypair unbindKeypair 清除私钥 keypair clearPrivateKey 表4 云审计服务支持的DHSM操作列表 操作名称 资源类型 事件名称 购买云加密实例 hsm purchaseHsm 实例化云加密实例 hsm createHsm 删除云加密实例 hsm deleteHsm 父主题： 审计日志

ICAgent和UniAgent是同一个插件吗？ ICAgent属于插件，UniAgent不属于插件，二者不是同一个含义。 UniAgent：UniAgent的全称是统一数据采集Agent，主要是作为云服务运维系统的底座，为 AOM 提供指令下发，如脚本下发和执行，用于插件集成（ICAgent、 CES 、telescope等）并维护其状态。UniAgent对外功能主要是为AOM服务提供中间件指标采集和自定义指标采集的能力，为COC和CAST服务提供作业通道。 UniAgent本身不提供数据采集能力，运维数据由不同的插件分工采集。 ICAgent：ICAgent插件主要是作为AOM和LTS的采集端，用于指标采集和日志采集。 图1 ICAgent和UniAgent概述图 父主题： 采集管理

创建委托 登录IAM控制台。 在左侧导航栏，单击“委托”，进入委托页面。 单击右上角“创建委托”，进入创建委托页面。 参考表1设置创建委托的参数。 表1 创建委托 名称 说明 样例 委托名称 标识该委托代理的名称。 须知： 委托名称必须为apm_admin_trust。 - 委托类型 选择“云服务”。 云服务 云服务 请选择“ 应用运维管理 AOM”。 - 持续时间 选择“永久”。 永久 描述 可选参数，用于补充说明该委托代理的详细信息。 - 在“权限选择”区域，单击“配置权限”。 配置以下权限： DMS UserAccess，并在“项目[所属区域]”选定生效区域。 单击“确定”，委托关系创建成功。