华为云用户手册

语法格式 增加列DDL语法接口： 1 2 ALTER TABLE [ IF EXISTS ] { table_name [*] | ONLY table_name | ONLY ( table_name ) } action [, ... ]; 其中具体表操作action可以是以下子句之一： add column用于给时序表新增列： 1 ADD COLUMN column_name data_type [ kv_type ] [ compress_mode ] 其中时序表仅只能有一个TSTIME列，如果新增TSTIME列则会报错。 drop_column用于给时序表删除列： 1 |DROP COLUMN [ IF EXISTS ] column_name [RESTRICT | CASCADE ] drop column包含索引列时，会使用剩余的索引列重建索引。如果索引列都被剔除，则会使用前10列tag列重建索引。 修改时序表存储参数： 1 |SET ( { storage_parameter = value } [, ...] ) 重命名表中指定的列： 1 RENAME [ COLUMN ] column_name to new_column_name; 将时序表的属主改变成指定的用户： 1 OWNER TO new_owner 此语法主要针对时序表扩容时使用，一般不建议使用： 1 ADD NODE ( nodename [, ...] ) 给时序表添加分区： 1 ADD PARTITION part_new_name partition_less_than_item 删除分区表中的指定分区： 1 DROP PARTITION { partition_name } 清空时序表指定分区： 1 TRUNCATE PARTITION { partition_name }

注意事项 只有时序表的所有者有权限执行ALTER TABLE命令，系统管理员默认拥有此权限。 不能修改分区表的tablespace，但可以修改分区的tablespace。 不支持修改存储参数ORIENTATION。 SET SCHEMA操作不支持修改为系统内部模式，当前仅支持用户模式之间的修改。 修改时序表存储参数enable_delta时，不能与其他ALTER操作同时进行。 Storage_parameter存储参数中的orientation和sub_partition_count不支持修改。 增加列必须有kvtype属性，且只能是tstag或者tsfiled两者之一。 删除的列不能是tstime类型，因为是分区列。 将delta表开关打开，将会创建delta表及自动写回任务；将delta表开关关闭，将会触发delta表强制delta表数据写入CU。

步骤五：准备DWS对接Flink工具dws-connector-flink dws-connector-flink是一款基于DWS JDBC接口实现对接Flink的一个工具。在配置 DLI 作业阶段，将该工具及依赖放入Flink类加载目录，提升Flink作业入库DWS的能力。 浏览器访问https://mvnrepository.com/artifact/com.huaweicloud.dws。 在软件列表中选择最新版本的DWS Connectors Flink，本实践选择DWS Connector Flink 2 12 1 12。 单击“1.0.4”分支，实际请以官网发布的新分支为准。 单击“View ALL”。 单击dws-connector-flink_2.12_1.12-1.0.4-jar-with-dependencies.jar，下载到本地。 创建OBS桶，本实践桶名设置为obs-flink-dws，并将此文件上传到OBS桶下，注意桶也保持与DLI在一个区域下，本实践为“ 华北-北京四”。 图15 上传jar包到OBS桶

步骤二：创建绑定ELB的DWS集群和目标表 创建独享型弹性负载均衡服务ELB，网络类型选择IPv4私网即可，区域、VPC选择与Kafka实例保持一致，本实践为“华北-北京四”。 创建集群，为 GaussDB (DWS)绑定弹性负载均衡 ELB，同时为确保网络连通，GaussDB(DWS)集群的区域、VPC选择与Kafka实例保持一致，本实践为“华北-北京四”，虚拟私有云与上面创建Kafka的虚拟私有云保持一致。 在GaussDB(DWS)控制台的集群管理页面，单击指定集群所在行操作列的“登录”按钮。 本实践以8.1.3.x版本为例，8.1.2及以前版本不支持此登录方式，可以使用Data Studio连接集群。 登录用户名为dbadmin，数据库名称为gaussdb，密码为创建GaussDB(DWS)集群时设置的dbadmin用户密码，勾选“记住密码”，打开“定时采集”，“SQL执行记录”，单击“登录”。 图4 登录DWS 单击“gaussdb”库名，再单击右上角的“SQL窗口”，进入SQL编辑器。 复制如下SQL语句，在SQL窗口中，单击“执行SQL”，创建目标表user_dws。 1 2 3 4 5 6 CREATE TABLE user_dws ( id int, name varchar(50), age int, PRIMARY KEY (id) );

更多操作 连接创建完成后，您可以执行如表3的操作。 表3 相关操作 操作 说明 查看连接信息 在连接列表中，单击连接名称。可以查看连接的基本信息、关联的流，也可以对关联的流进行操作。 查看连接所属连接器信息 在连接列表中，单击连接器名称。可以查看连接器详情、连接器关联的流模板。 编辑连接 在连接列表中，单击“操作”列的“编辑”。 说明： 修改连接后，正在使用该连接的流将在下一次运行时自动使用最新的连接，请确保该连接的正确性。 复制连接 在连接列表中，单击“操作”列的“复制”。 删除连接 在连接列表中，单击“操作”列的“删除”。 说明： 在执行删除操作前，请确保将云服务器上的数据已完成备份或者迁移，删除数据后，数据无法找回，请谨慎操作。 如果该连接正在被使用时，系统会自动提示“该连接正在被使用，请先删除正在使用的资源”，单击当前正在使用的引用资源的名称，进入资源界面进行处理，处理完毕后在进行删除。 查询连接 在连接列表右上方，搜索框中输入连接名称，单击。 控制列隐藏或显示 在连接列表右上方，单击，勾选需要显示的列，或去勾选不需要显示的列。 刷新连接列表 在连接列表右上方，单击。 筛选连接列表 在连接列表中，通过对“类型”“状态”列进行筛选。

管理索引 支持属性、特征、关系的搜索项配置以及过滤项配置，并支持对已配置的索引进行编辑、删除操作，具体操作说明见表5。 表5 索引配置说明 操作 说明 添加搜索项/过滤项 包含添加属性/特征/关系的搜索项以及过滤项。 在架构设计的左侧菜单栏，选择索引下的属性/特征/关系索引，在搜索项/过滤项右侧单击，在弹框中配置搜索项/过滤项信息，单击“确定”，搜索项/过滤项配置完成。 具体参数说明如下： 名称：搜索项/过滤项名称，用户自定义，名称包含英文字母、数字、下划线、中文以及空格，并且只能以中文和英文开头。 编码：搜索项/过滤项编码，用户自定义。 描述：对搜索项/过滤项的描述说明。 是否启用：当启用时，配置项生效。 设置属性/特征/关系搜索项 在架构设计的左侧菜单栏，选择索引下的属性/特征/关系索引，单击已经创建好的属性/特征/关系搜索项名称，设置搜索项的基础信息以及属性/特征/关系路径。 具体参数说明如下： 搜索项：选择已添加的搜索项。 属性配置项在Elasticsearch会映射为一个逻辑字段，帮助用户按照实体属性的值进行关键词匹配从而搜索到实体。 特征配置项在Elasticsearch会映射为一个逻辑字段，此字段帮助用户按照特征属性的值进行关键词匹配从而搜索到与该特征关联的实体。 关系配置项在Elasticsearch会映射为一个逻辑字段，此字段帮助用户按照关系路径的属性值进行关键词匹配从而搜索到与该关系路径属性关联的实体。 属性/特征/关系路径：由搜索的实体开始，并以要作为搜索项的属性结束，单击，选择属性/特征/关系路径。 设置属性/特征/关系过滤项 在架构设计的左侧菜单栏，选择索引下的属性/特征/关系索引，单击已经创建好的属性/特征/关系过滤项名称，设置过滤项的基础信息以及属性/特征/关系路径。 具体参数说明如下： 过滤项：选择已添加的过滤项。 属性配置项在Elasticsearch会映射为一个逻辑字段，此字段帮助用户按照实体属性的值进行聚合以从搜索结果中过滤相关实体。 特征配置项在Elasticsearch会映射为一个逻辑字段，此字段帮助用户按照特征属性的值进行聚合以从搜索结果中过滤与此特征关联的实体。 关系配置项在Elasticsearch会映射为一个逻辑字段，此字段帮助用户按照关系路径的属性值进行聚合以从搜索结果中过滤与此关系路径属性关联的实体。 属性/特征/关系路径：由过滤的实体开始，并以要作为过滤项的属性结束，单击，选择属性/特征/关系路径。 修改搜索项/过滤项 包含修改属性/特征/关系的搜索项以及过滤项。 在架构设计的左侧菜单栏，选择索引下的属性/特征/关系索引，在搜索项/过滤项名称右侧单击，在弹框中修改搜索项/过滤项信息，单击“确定”，搜索项/过滤项修改完成。 删除搜索项/过滤项 包含删除属性/特征/关系的搜索项以及过滤项。 在架构设计的左侧菜单栏，选择索引下的属性/特征/关系索引，在搜索项/过滤项名称右侧单击，在弹框中单击“确定”，搜索项/过滤项删除。

更多操作 边缘节点注册完成后，您可以执行如表4的操作。 表4 相关操作 操作 说明 删除边缘节点 删除节点会同步在边缘创建的节点下部署的应用、模块、函数、证书。删除操作无法恢复，请谨慎操作。 如果确认删除，请确保您已完成节点删除前的以下必要步骤： 卸载节点上的边缘软件。卸载前请先做好备份工作。 以root用户登录边缘节点，执行如下命令删除已纳管的边缘节点上的软件和配置文件。 sh /opt/IoTEdge-Installer/uninstall.sh 在连接列表中，单击“操作”列的“删除”。

安装边缘节点 在边缘节点列表，选择您需要安装的节点，在“操作”列单击“安装”，弹出如图1所示的提示信息。 图1 安装提示 安装命令30分钟内有效，如果超出时间，请重新获取安装命令。 选择边缘节点设备类型，并设置安装目录，然后单击复制安装命令。 请选择支持架构，输入安装目录，并复制安装命令，然后到边缘节点设备上执行命令，完成边缘软件部署。 使用SSH工具以root用户登录边缘节点服务器的shell控制台，执行安装命令。 图2 执行安装 图3 安装命令执行成功 单击“我知道了”，等待边缘节点的状态变为在线（安装完成后约等待半分钟），表示该节点已安装并连接成功。

管理索引 支持属性、特征、关系的搜索项配置以及过滤项配置，并支持对已配置的索引进行编辑、删除操作，具体操作说明见表5。 表5 索引配置说明 操作 说明 添加搜索项/过滤项 包含添加属性/特征/关系的搜索项以及过滤项。 在架构设计的左侧菜单栏，选择索引下的属性/特征/关系索引，在搜索项/过滤项右侧单击，在弹框中配置搜索项/过滤项信息，单击“确定”，搜索项/过滤项配置完成。 具体参数说明如下： 名称：搜索项/过滤项名称，用户自定义，名称包含英文字母、数字、下划线、中文以及空格，并且只能以中文和英文开头。 编码：搜索项/过滤项编码，用户自定义。 描述：对搜索项/过滤项的描述说明。 是否启用：当启用时，配置项生效。 设置属性/特征/关系搜索项 在架构设计的左侧菜单栏，选择索引下的属性/特征/关系索引，单击已经创建好的属性/特征/关系搜索项名称，设置搜索项的基础信息以及属性/特征/关系路径。 具体参数说明如下： 搜索项：选择已添加的搜索项。 属性配置项在Elasticsearch会映射为一个逻辑字段，帮助用户按照实体属性的值进行关键词匹配从而搜索到实体。 特征配置项在Elasticsearch会映射为一个逻辑字段，此字段帮助用户按照特征属性的值进行关键词匹配从而搜索到与该特征关联的实体。 关系配置项在Elasticsearch会映射为一个逻辑字段，此字段帮助用户按照关系路径的属性值进行关键词匹配从而搜索到与该关系路径属性关联的实体。 属性/特征/关系路径：由搜索的实体开始，并以要作为搜索项的属性结束，单击，选择属性/特征/关系路径。 设置属性/特征/关系过滤项 在架构设计的左侧菜单栏，选择索引下的属性/特征/关系索引，单击已经创建好的属性/特征/关系过滤项名称，设置过滤项的基础信息以及属性/特征/关系路径。 具体参数说明如下： 过滤项：选择已添加的过滤项。 属性配置项在Elasticsearch会映射为一个逻辑字段，此字段帮助用户按照实体属性的值进行聚合以从搜索结果中过滤相关实体。 特征配置项在Elasticsearch会映射为一个逻辑字段，此字段帮助用户按照特征属性的值进行聚合以从搜索结果中过滤与此特征关联的实体。 关系配置项在Elasticsearch会映射为一个逻辑字段，此字段帮助用户按照关系路径的属性值进行聚合以从搜索结果中过滤与此关系路径属性关联的实体。 属性/特征/关系路径：由过滤的实体开始，并以要作为过滤项的属性结束，单击，选择属性/特征/关系路径。 修改搜索项/过滤项 包含修改属性/特征/关系的搜索项以及过滤项。 在架构设计的左侧菜单栏，选择索引下的属性/特征/关系索引，在搜索项/过滤项名称右侧单击，在弹框中修改搜索项/过滤项信息，单击“确定”，搜索项/过滤项修改完成。 删除搜索项/过滤项 包含删除属性/特征/关系的搜索项以及过滤项。 在架构设计的左侧菜单栏，选择索引下的属性/特征/关系索引，在搜索项/过滤项名称右侧单击，在弹框中单击“确定”，搜索项/过滤项删除。

内置函数 开天 集成工作台 除了支持用户创建自定义函数，同时也内置了八种函数供用户在流编排时使用。内置函数的介绍如表1所示。 表1 内置函数介绍 类型 名称 说明 示例 数学函数 add 返回两个及以上数字相加的结果。 使用示例：add(1, 1.5) 结果示例：2.5 使用示例：add(1, 1) 结果示例：2 subtract 返回第一个数字减去第二个数字得到的结果。 使用示例：subtract(1.5, 1) 结果示例：0.5 使用示例：subtract(2, 1) 结果示例：1 multiply 返回将两个数字相乘得到的乘积。 使用示例：multiply(1.5, 1) 结果示例：1.5 使用示例：multiply(1.5, 2) 结果示例：3 division 返回第一个数字除以第二个数字的结果。 使用示例：division(10, 5) 结果示例：2 使用示例：division(11, 5) 结果示例：2.2 mod 返回第一个数字除以第二个数字的余数。 使用示例：mod(1, 3) 结果示例：1 使用梳理：mod(4, 2) 结果示例：0 roundingToNearest 按照指定的小数位数四舍五入。 使用示例：roundingToNearest(2.54,1) 结果示例：2.5 使用示例：roundingToNearest(2.55,1) 结果示例：2.6 roundingUp 按照指定的小数位数进位。 使用示例：roundingUp(2.54,1) 结果示例：2.6 使用示例：roundingUp(2.54,0) 结果示例：3 roundingDown 按照指定的小数位数舍弃。 使用示例：roundingDown(2.59,1) 结果示例：2.5 使用示例：roundingDown(2.599,2) 结果示例：2.59 操作函数 addProperty 将属性及其值添加到JSON对象，并返回更新的对象。将color属性添加到JSON对象，可通过jsonToBean ()函数将其从字符串转换为JSON。当前对象已包含brand、quantity两个属性。该函数将指定的值复制给指定的新属性，并返回更新后的对象。 使用示例：addProperty(jsonToBean({"brand":"huawei","quantity":"1000"}), color, red) 结果示例： { “brand”: “huawei”， “quantity”: “1000”， “color”: “red” } getProperty 获取Map对象属性值。 获取quantity属性对应的值，可通过jsonToBean ()函数将其从字符串转换为JSON。当前对象已包含brand、quantity两个属性。该函数返回指定属性对应的值，如果不存在，则返回指定的默认值。 使用示例：addProperty(jsonToBean({"brand":"huawei","quantity":"1000"}), ‘quantity, ‘500’) 结果示例：1000 对象函数 isEmpty 判断对象是否为空。 object代表一个JSON对象。 使用示例：isEmpty(object) 结果示例：false/true jsonQuery JSON对象查找。 object代表一个JSON对象。 使用示例：jsonQuery(object,/ItemCode) 结果示例：A0001 jsonToBean JSON字符串转对象。 使用示例：jsonToBean(jsonstring) 结果示例：object 字符串函数 beanToJson 对象转JSON字符串。 使用示例：beanToJson(object) jsonQueryToText JSON对象查找，返回String，查找对象中的ItemCode属性的值。 使用示例：jsonQuery(object,/ItemCode) 结果示例：A0001 length 返回字符串长度或数组中的项数。 使用示例：length("abcdef") 结果示例：6 日期函数 formatDateTime 以日期格式返回字符串。 使用示例：formatDateTime(1234,yyyy-MM-dd HH:mm:ss,GMT+8) 结果示例：1970-01-01 08:00:01 getSystemTime 获取当前系统时间。 使用示例：getSystemTime(yyyy-MM-dd HH:mm:ss,0) 结果示例：2023-11-03 15:12:48 getSystemTimestamp 获取当前系统时间戳。 使用示例：getSystemTimestamp(0) 结果示例：1.69900E+12 系统函数 getDomainId 获取当前登录用户的租户ID。 使用示例：getDomainId() 结果示例：d562d0bdc8************0048ad6702 getDomainName 获取当前登录用户的租户名称。 使用示例：getDomainName() 结果示例：zhangsan getProjectId 获取当前登录用户的项目ID。 使用示例：getProjectId() 结果示例：5d73148959************7ed5d88f1b 转换函数 parseInt 将String类型的参数转换为Int类型的数字。 使用示例：parseInt(12) 结果示例：12 parseBoolean 将字符串类型的参数转换为Boolean类型。 使用示例：parseBoolean(safdaf) 结果示例：FALSE SQL语句校验函数 sqlFormat 将SQL语句校验并格式化之后，输出原始SQL语句。 使用示例：sqlFormat(sql) 结果示例：sql sqlFormatToUppercase 将SQL语句校验并格式化之后，可以输出原始SQL语句，也可以输出关键字全大写语句。 使用示例：sqlFormat(sql,true) 结果示例：sql 父主题： 函数

更多操作 通道创建成功后，您可以执行如表2所示操作。 表2 相关操作 操作 说明 测试通道连接 在通道列表中，选择需要测试的通道，单击“操作”列的“测试连接”，检测通道与第三方系统之间是否能够连通。 如果测试结果为“测试连接成功！”，则继续下一步。 如果测试结果为“测试连接失败！”，则检查第三方系统状态和通道参数配置，然后单击“测试连接”，直到连接成功为止。 编辑通道 在通道列表中，选择需要编辑的通道，单击“操作”列的“编辑”，在通道配置界面中，参考表1修改配置，单击“保存”，完成通道编辑。 删除通道 在通道列表中，选择需要删除的通道，单击“操作”列的“删除”，在弹出的“是否删除该数据源”对话框中，单击“确认”，完成通道删除。

语音合成 将文本转换成逼真语音的服务。用户通过实时访问和调用API获取语音合成结果，将用户输入的文字合成为音频。通过音色选择、自定义音量、语速，为企业和个人提供个性化的发音服务。该接口的使用限制请参见约束与限制，详细使用指导请参见SIS服务使用简介章节。是一种将文本转换成逼真语音的服务。用户通过实时访问和调用API获取语音合成结果，将用户输入的文字合成为音频。通过音色选择、自定义音量、语速，为企业和个人提供个性化的发音服务。该接口的使用限制请参见约束与限制，详细使用指导请参见SIS服务使用简介章节。

获取录音文件识别结果 该接口用于获取录音文件识别结果及识别状态 输入参数 用户配置获取录音文件识别结果执行动作，相关参数说明如表15所示。 表15 获取录音文件识别结果输入参数说明 参数 必填 说明 录音文件识别任务ID 是 录音文件识别任务标识符。 输出参数 用户可以在之后的执行动作中调用该输出参数，输出参数说明请参考表16。 表16 提交录音文件识别任务输出参数说明 参数 说明 当前识别状态 当前识别状态。 任务创建时间 所使用的模型特征串，有下拉框和输入框模式。默认为“采样率8k的中文普通话 语音识别 ”。 开始识别时间 存放录音文件地址，推荐使用OBS地址。 识别完成时间 是否在识别结果中添加标点，有下拉框和输入框模式。默认为“是”。 segments 识别结果。 起始时间戳 起始时间戳，ms。 结束时间戳 结束时间戳，ms。 识别结果文本 文本显示识别后的结果信息。 word_info 分词信息列表。 起始时间 识别动作的起始时间。 结束时间 识别动作的结束时间。 分词 显示文本分词。 角色类型 角色类型，目前仅支持。 情绪类型 情绪类型，目前仅支持NOMAL（正常），ANGRY（愤怒），UNKNOWN（未知）。 语速类型 语速信息单位是每秒字数。

提交录音文件识别任务 录音文件识别接口，用于识别长录音文件，录音文件放在华为云OBS（ 对象存储服务 ）上，由于录音文件识别通常会需要较长的时间，因此识别是异步的，也即接口分为创建识别任务和查询任务状态两个接口，创建识别任务接口创建任务完成后返回，然后用户通过调用查询任务状态接口来获得转写状态和结果。 该接口用于提交录音文件识别任务，其中录音文件保存在用户的OBS桶中。用户开通 录音识别 服务时，需授权录音文件引擎读取用户OBS桶权限。录音时长不超过5小时，文件大小不超过300M，识别结果保存72小时（从识别完成的时间算起），72小时后如果再访问，将会返回错误 。当前仅支持识别中文普通话的录音文件。 输入参数 用户配置提交录音文件识别任务执行动作，相关参数说明如表13所示。 表13 提交录音文件识别任务输入参数说明 参数 必填 说明 选择语音格式 否 支持的语音格式。有下拉框和输入框模式，默认为自动判断。 选择语种_采样率_领域 否 所使用的模型特征串，有下拉框和输入框模式。默认为“采样率8k的中文普通话语音识别”。 录音文件地址 否 存放录音文件地址，推荐使用OBS地址。 识别结果使用标点 否 是否在识别结果中添加标点，有下拉框和输入框模式。默认为“是”。 是否输出分词结果信息 否 是否输出分词结果信息，有下拉框和输入框模式，默认为“是”。

一句话识别 用于短语音的同步识别。一次性上传1min以内音频，能快速返回识别结果。该接口的使用限制请参见约束与限制，详细使用指导请参见SIS服务使用简介章节。 接口功能及调用方法请参考一句话识别。 输入参数 用户配置一句话识别执行动作，相关参数说明如表2所示。 表2 一句话识别输入参数说明 参数 必填 说明 选择语音格式 是 支持语音的格式，有下拉框和输入框模式。有多种语音格式供选择。 选择语种_采样率_领域 否 所使用的模型特征串，有下拉框和输入框模式，提供多种语言类型选择。 识别结果允许使用标点 否 是否在识别结果中添加标点，有下拉框和输入框模式，默认为“是”。 识别结果输出分词 否 是否在识别结果中输出分词结果信息，有下拉框和输入框模式，默认为“是”。 语音数据 否 语音数据Base64编码字符串。 输出参数 用户可以在之后的执行动作中调用该输出参数，输出参数说明请参考表3。 表3 一句话识别输出参数说明 参数 说明 内容 内容。 置信度 置信度。 word_info 分词信息列表。 起始时间 识别动作的起始时间。 结束时间 识别动作的结束时间。 分词 显示文本分词。

概述 配置审计 服务提供合规规则包的示例模板，帮助用户通过示例模板快速创建合规规则包，每个合规规则包的示例模板中包含都多个合规规则，也就是配置审计服务的预设策略，每个预设策略的具体说明请参见系统内置预设策略。您可以通过列举预定义合规规则包模板接口查看所有的合规规则包示例模板。 配置审计服务控制台当前提供如下合规规则包的示例模板： 等保三级2.0规范检查的标准合规包 适用于金融行业的合规实践 华为云网络安全合规实践 适用于 统一身份认证 服务（ IAM ）的最佳实践 适用于 云监控服务 （ CES ）的最佳实践 适用于计算服务的最佳实践 适用于弹性云服务器（E CS ）的最佳实践 适用于弹性负载均衡（ELB）的最佳实践 适用于管理与监管服务的最佳实践 适用于云数据库（RDS）的最佳实践 适用于弹性伸缩（AS）的最佳实践 适用于 云审计 服务（ CTS ）的最佳实践 适用于人工智能与机器学习场景的合规实践 适用于自动驾驶场景的合规实践 资源开启公网访问最佳实践 适用于日志和监控的最佳实践 适用于空闲资产管理的最佳实践 华为云架构可靠性最佳实践 适用于中国香港金融管理局的标准合规包 适用于中小企业的ENISA的标准合规包 适用于SWIFT CSP的标准合规包 适用于德国云计算合规标准目录的标准合规包 适用于PCI-DSS的标准合规包 适用于医疗行业的合规实践 网络及数据安全最佳实践 适用于Landing Zone基础场景的最佳实践 父主题： 合规规则包示例模板

合规策略 合规策略是一个可以用于评估资源是否合规的逻辑表达式。将合规策略应用到资源上时，可以评估出这个资源是否符合合规策略中的要求。 合规策略本身只是一个静态的逻辑，如果想要让其生效，必须将合规策略指定到一个具体的范围（如：通过设置过滤器来指定具体的资源范围）上，即生成一个具体的合规规则。 使用JSON表达式来表示一个合规策略定义，如表1所示。 表1 合规策略的定义-JSON表达式格式 参数 定义 说明 id 合规策略的唯一标识符 - name 合规策略的名称 name最大长度为64个字符。 display_name 合规策略的展示名 display_name最大长度为64个字符。 description 合规策略的描述 description最大长度为512个字符。 parameters 合规策略的规则参数，即每个合规策略下包含的参数。 具有如下属性： name description type default_value allowed_values minimum maximum min_items max_items min_length max_length pattern 合规策略中包含的参数名称保持不变，您可以根据需要设置不同的值。 name：规则参数的名称。 description：规则参数的描述。 type：规则参数值的类型，包括String，Array，Boolean，Integer，Float。 default_value：规则参数的默认值。如果指定了默认值，用户可以不输入规则参数值，创建合规规则时将使用此默认值。 allowed_values：规则参数值允许的值列表。如果指定了allowed_values，那么参数的值只能够从这些值中选择。 minimum：策略参数的最小值，当参数类型为Integer或Float时生效。 maximum： 策略参数的最大值，当参数类型为Integer或Float时生效。 min_items：策略参数的最小项数，当参数类型为Array时生效。 max_items： 策略参数的最大项数，当参数类型为Array时生效。 min_length：策略参数的最小字符串长度或每项的最小字符串长度，当参数类型为String或Array时生效。 max_length： 策略参数的最大字符串长度或每项的最大字符串长度，当参数类型为String或Array时生效。 pattern：策略参数的字符串正则要求或每项的字符串正则要求，当参数类型为String或Array时生效。 keywords 合规策略关键词 一般为与合规策略相关的产品简称。 policy_type 合规策略的类型。 主要有以下类型： builtin custom builtin：系统内置策略，这些合规策略定义由Config服务提供和维护。详见系统内置预设策略。 custom: 用户自定义策略，用户创建的所有合规策略定义都具有此值。 policy_rule_type 合规策略的语法类型 DSL：一种Config服务提供的合规策略描述语言，用户可以根据此语法，将合规判断逻辑描述为一个具体的合规策略。 policy_rule 合规策略语法的逻辑表达式 关于如何使用DSL来编写合规策略的具体逻辑请参阅DSL语法。 trigger_type 触发类型。 有以下类型： resource period resource：在指定的资源发生更改时运行。 period：按照您设定的频率运行。 default_resource_types 合规策略评估的资源类型 大部分合规策略只评估部分的资源类型。创建合规规则时，建议只评估“default_resource_types”中的资源类型。 如下JSON表示了一个用于检查ECS实例的镜像ID是否在指定范围内的合规策略： { "id": "5fa265c0aa1e6afc05a0ff07", "name": "allowed-images-by-id", "description": "指定允许的镜像ID列表，ECS实例的镜像ID不在指定的范围内，视为“不合规”", "parameters": { "listOfAllowedImages": { "name": "null", "description": "The list of allowed image IDs", "type": "Array" "allowed_values": null, "default_value": null, } }, "keywords": [ "ecs", "ims" ], "policy_type": "builtin", "policy_rule_type": "dsl", "trigger_type": "resource", "policy_rule": { "allOf": [ { "value": "${resource().provider}", "comparator": "equals", "pattern": "ecs" }, { "value": "${resource().type}", "comparator": "equals", "pattern": "cloudservers" }, { "value": "${resource().properties.metadata.meteringImageId}", "comparator": "notIn", "pattern": "${parameters('listOfAllowedImages')}" } ] }, } 更多样例详见自定义合规规则样例。 父主题： 合规规则概念详解

高级查询概述 配置审计服务提供高级查询能力，通过使用ResourceQL自定义查询用户当前的单个或多个区域的资源配置状态。 高级查询支持用户自定义查询和浏览云服务资源，用户可以通过ResourceQL在查询编辑器中编辑和查询。 ResourceQL是结构化的查询语言(SQL)SELECT语法的一部分，它可以对当前资源数据执行基于属性的查询和聚合。查询的复杂程度不同，既可以是简单的标签或资源标识符匹配，也可以是更复杂的查询，例如查看指定具体OS版本的云服务器。 您可以使用高级查询来实现： 库存管理。例如检索特定规格的云服务器实例的列表。 安全合规检查。例如检索已启用或禁用特定配置属性（公网IP，加密磁盘）的资源的列表。 成本优化。例如检索未挂载到任何云服务器实例的云磁盘的列表，避免产生不必要的费用。 高级查询仅支持用户自定义查询、浏览、导出云服务资源，如果要对资源进行修改、删除等管理类的操作，请前往资源所属的服务页面进行操作。 父主题： 高级查询

基本概念 示例模板： 配置审计服务提供给用户的合规规则包模板，合规规则包示例模板旨在帮助用户快速创建合规规则包，其中包含适合用户场景的合规规则和输入参数。 预定义合规规则包： 通过“示例模板”创建的合规规则包，用户只需要填入所需的规则参数即可完成合规规则包的部署流程。 自定义合规规则包： 用户根据自身需求编写合规规则包的模板文件，在模板文件中填入适合自身使用场景的预设规则或自定义规则，然后通过“上传模板”或“OBS存储桶”方式完成合规规则包的部署流程。自定义模板文件格式和文件内容格式均为JSON，不支持tf格式和zip格式的文件内容。 合规性数据： 一个合规规则包包含一个或多个合规规则，而每一条合规规则会评估一个或多个资源的合规结果，配置审计服务提供了如下的合规性数据，供您了解合规规则包的评估结果概览： 合规规则包的合规性评估：代表合规规则包中的所有合规规则是否评估到不合规的资源。若存在不合规资源，则合规评估结果为“不合规”；若不存在不合规资源，则合规评估结果为“合规”。 合规规则的合规性评估：代表合规规则包中的单个合规规则是否评估到不合规的资源。若存在不合规资源，则合规评估结果为“不合规”；若不存在不合规资源，则合规评估结果为“合规”。 合规规则包的合规分数：代表合规规则包中所有规则的合规资源数之和与所有规则的评估资源数之和的百分比。若该值为100，则代表合规规则包中所有的合规评估结果均为合规；若该值为0，则代表合规规则包中所有的合规评估结果均为不合规；若该值为“--”，则代表合规规则包未评估到任何资源。 图1 合规分数计算公式 资源栈： 合规规则包下发的合规规则的创建与删除行为最终是通过资源栈来实现的。资源栈是 资源编排 服务的概念，详见资源栈。 状态： 合规规则包的部署状态。包括以下几种情况： 已部署：合规规则包已部署成功，合规规则均创建成功。 部署中：合规规则包正在部署中，合规规则正在创建中。 部署异常：合规规则包部署失败。 回滚成功：合规规则包下发的合规规则创建失败，触发合规规则的回滚行为，已创建的合规规则删除成功。 回滚中：合规规则包下发的合规规则创建失败，触发合规规则的回滚行为，已创建的合规规则正在删除中。 回滚失败：合规规则包下发的合规规则创建失败，触发合规规则的回滚行为，回滚行为失败，需在 RFS 服务查看失败原因。 删除中：合规规则包正在删除中，合规规则正在删除中。 删除异常：合规规则包删除失败。 更新成功：合规规则包修改并更新成功。 更新中：合规规则包修改更新中。 更新失败：合规规则包修改更新失败。 合规规则包的授权： 通过资源编排服务的资源栈创建和删除合规规则时，需要拥有合规规则的创建和删除的权限。因此，部署合规规则包时，需要提供一个具有相应权限的委托，供配置审计服务的合规规则包下发时使用。 快速授权：快速授权将为您快速创建一个名为“rms_conformance_pack_agency”的委托，该权限是可以让合规规则包创建和删除的委托，该委托的权限包含授权资源编排服务（RFS）创建、更新和删除合规规则的权限。 自定义授权：您可自行在统一身份认证服务（IAM）中创建委托权限，并进行自定义授权，但必须包含可以让合规规则包正常工作的权限（授权资源编排服务创建、更新和删除合规规则的权限），创建委托详见创建委托（委托方操作）。

适用于统一身份认证服务（IAM）的最佳实践 该示例模板中对应的合规规则的说明和修复项指导如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 说明指导 规则描述 修复项指导 access-keys-rotated IAM用户的AccessKey在指定时间内轮换 iam 企业用户通常都会使用访问密钥（AK/SK）的方式对云上资源的进行API访问，但是访问密钥需要做到定期的自动轮换，以降低密钥泄露等潜在的安全风险。 IAM用户的访问密钥未在指定天数内轮转，视为“不合规”. 用户可以通过使用API调用的方式轮换访问密钥。 iam-group-has-users-check IAM用户组添加了IAM用户 iam 管理员创建用户组并授权后，将用户加入用户组中，使用户具备用户组的权限，实现用户的授权。给已授权的用户组中添加或者移除用户，快速实现用户的权限变更。确保IAM组至少有一个用户，帮助您将最小权限和职责分离的原则与访问权限和授权结合起来。 IAM用户组未添加任意IAM用户，视为“不合规” 管理员在用户组列表中，单击新建的用户组，选择“用户组管理”，在“可选用户”中选择需要添加至用户组中的用户。 iam-password-policy IAM用户密码策略符合要求 iam 确保IAM用户密码强度满足密码强度要求。 IAM用户密码强度不满足密码强度要求，视为“不合规” 用户可以根据提示修改密码达到需要的密码强度。 iam-root-access-key-check IAM账号存在可使用的访问密钥 iam 确保根访问密钥已删除。 账号存在可使用的访问密钥，视为“不合规” 用户可以根据规则评估结果删除账号可使用的访问密钥。 iam-user-console-and-api-access-at-creation IAM用户创建时设置AccessKey iam 访问密钥即AK/SK（Access Key ID/Secret Access Key），是您通过开发工具（API、CLI、SDK）访问华为云时的身份凭证，不能登录控制台。 对于从Console侧访问的IAM用户，其创建时设置访问密钥，视为“不合规” 用户可以根据规则评估结果删除或停用访问密钥。 iam-user-group-membership-check IAM用户归属用户组 iam 管理员创建用户组并授权后，将用户加入用户组中，使用户具备用户组的权限，实现用户的授权。给已授权的用户组中添加或者移除用户，快速实现用户的权限变更。 IAM用户不属于任意一个IAM用户组，视为“不合规” 可以选择一个用户组，以管理员的身份，将不合规的IAM用户添加到用户组中。 iam-user-last-login-check IAM用户在指定时间内有登录行为 iam 管理员创建IAM用户后，这个新建的IAM用户可以登录华为云。避免IAM用户资源闲置。 IAM用户在指定时间范围内无登录行为，视为“不合规” 您可以在华为云登录页面或者打开IAM用户专属链接，输入用户名和密码的方式登录IAM用户。 iam-user-mfa-enabled IAM用户开启MFA iam 确保为所有IAM用户通过MFA方式进行多因素认证。MFA在用户名和密码的基础上增加了一层额外的保护，通过要求对用户进行MFA来减少账号被盗用的事件。 IAM用户未开启MFA认证，视为“不合规” 您需要在智能设备上安装一个虚拟MFA应用程序后（例如：华为云App、Google Authenticator或Microsoft Authenticator），才能绑定虚拟MFA设备。 iam-user-single-access-key IAM用户单访问密钥 iam 账号和IAM用户的访问密钥是单独的身份凭证，即账号和IAM用户仅能使用自己的访问密钥进行API调用。 IAM用户拥有多个处于“active”状态的访问密钥，视为“不合规” 用户可以根据规则评估结果删除或停用多余的访问密钥。 mfa-enabled-for-iam-console-access Console侧密码登录的IAM用户开启MFA认证 iam 确保为所有能通过控制台登录的IAM用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA 在用户名和密码的基础上增加了一层额外的保护。通过要求对用户进行 MFA，您可以减少账号被盗用的事件，并防止敏感数据被未经授权的用户访问。 通过Console密码登录的IAM用户未开启MFA认证，视为“不合规” 您需要在智能设备上安装一个虚拟MFA应用程序后（例如：华为云App、Google Authenticator或Microsoft Authenticator），才能绑定虚拟MFA设备。 root-account-mfa-enabled 根账号开启MFA认证 iam 确保为root用户启用多因素认证（MFA），管理对华为云中资源的访问。多因素认证Multi-Factor Authentication（MFA）是一种非常简单的安全实践方法，它能够在用户名称和密码之外再额外增加一层保护。启用多因素认证后，用户进行操作时，除了需要提供用户名和密码外（第一次身份验证），还需要提供验证码（第二次身份验证），多因素身份认证结合起来将为您的账号和资源提供更高的安全保护。 根账号未开启MFA认证，视为“不合规” 您需要在智能设备上安装一个虚拟MFA应用程序后（例如：华为云App、Google Authenticator或Microsoft Authenticator），才能绑定虚拟MFA设备。 父主题： 合规规则包示例模板

与云审计服务的关系 云审计服务（Cloud Trace Service，CTS）记录了 数据安全中心 相关的操作事件，方便用户日后的查询、审计和回溯。 表1 云审计服务支持的DSC操作列表 操作名称 资源类型 事件名称 授权或者取消对DSC的授权 dscGrant grantOrRevokeTodsc 添加OBS桶资产 dscObsAsset addBuckets 删除OBS桶资产 dscObsAsset deleteBucket 添加数据库资产 dscDatabaseAsset addDatabase 修改数据库资产 dscDatabaseAsset updateDatabase 删除数据库资产 dscDatabaseAsset deleteDatabase 添加大数据资产 dscBigdataAsset addBigdata 修改大数据资产 dscBigdataAsset updateBigdata 删除大数据资产 dscBigdataAsset deleteBigdata 更新对象名称 dscAsset updateAssetName 下载批量添加模板 dscBatchImportTemplate downloadBatchImportTemplate 批量添加数据库 dscAsset batchAddDatabase 批量添加资产 dscAsset batchAddAssets 展示异常事件 dscExceptionEvent listExceptionEventInfo 获取异常事件详细信息 dscExceptionEvent getExceptionEventDetail 添加告警配置 dscAlarmConfig addAlarmConfig 修改告警配置 dscAlarmConfig updateAlarmConfig 下载报表 dscReport downloadReport 删除报表 dscReport deleteReport 添加扫描规则 dscRule addRule 修改扫描规则 dscRule editRule 删除扫描规则 dscRule deleteRule 添加扫描规则组 dscRuleGroup addRuleGroup 修改扫描规则组 dscRuleGroup editRuleGroup 删除扫描规则组 dscRuleGroup deleteRuleGroup 添加扫描任务 dscScanTask addScanJob 修改扫描任务 dscScanTask updateScanJob 删除扫描子任务 dscScanTask deleteScanTask 删除扫描任务 dscScanTask deleteScanJob 启动扫描任务 dscScanTask startJob 停止扫描任务 dscScanTask stopJob 启动扫描子任务 dscScanTask startTask 停止扫描子任务 dscScanTask stopTask 启用/停用ES脱敏 dscBigDataMaskSwitch switchBigDataMaskStatus 获取ElasticSearch field信息 dscBigDataMetaData getESField 添加ES脱敏模板 dscBigDataMaskTemplate addBigDataTemplate 编辑ES脱敏模板 dscBigDataMaskTemplate editBigDataTemplate 删除ES脱敏模板 dscBigDataMaskTemplate deleteBigDataTemplate 查询ES脱敏模板列表 dscBigDataMaskTemplate showBigDataTemplates 启动/停止ES脱敏模板 dscBigDataMaskTemplate operateBigDataTemplate 切换ES脱敏模板状态 dscBigDataMaskTemplate switchBigDataTemplate 启用/停用数据库脱敏 dscDBMaskSwitch switchDBMaskStatus 获取数据库字段信息 dscDBMetaData getColumn 添加数据库脱敏模板 dscDBMaskTemplate addDBTemplate 修改数据库脱敏模板 dscDBMaskTemplate editDBTemplate 删除数据库脱敏模板 dscDBMaskTemplate deleteDBTemplate 查询数据库脱敏模板列表 dscDBMaskTemplate showDBTemplates 启动/停止数据库脱敏模板 dscDBMaskTemplate operateDBTemplate 切换数据库脱敏模板状态 dscDBMaskTemplate switchDBTemplate 添加脱敏算法 dscMaskAlgorithm addMaskAlgorithm 编辑脱敏算法 dscMaskAlgorithm editMaskAlgorithm 删除脱敏算法 dscMaskAlgorithm deleteMaskAlgorithm 测试脱敏算法 dscMaskAlgorithm testMaskAlgorithm 获取字段与脱敏算法的映射关系 dscMaskAlgorithm getFieldAlgorithms 添加加密算法配置 dscEncryptMaskConfig addEncryptConfig 修改加密算法配置 dscEncryptMaskConfig editEncryptConfig 删除加密算法配置 dscEncryptMaskConfig deleteEncryptConfig

DSC权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 DSC部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问DSC时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对DSC服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。 如表1所示，包括了DSC下所有的系统角色。 表1 DSC系统权限 角色名称 描述 类别 依赖关系 DSC DashboardReadOnlyAccess 数据安全中心服务大屏服务只读权限。 系统策略 无 DSC FullAccess 数据安全中心服务所有权限。 系统策略 购买RDS包周期实例需要配置授权项： bss:order:update bss:order:pay DSC ReadOnlyAccess 数据安全中心服务只读权限。 系统策略 无 用户在执行云资源委托授权/停止授权时必须拥有IAM的管理员权限（“Security Administrator”权限）。

身份认证和访问控制 身份认证 用户访问DSC的方式有多种，包括DSC控制台、API、SDK，无论访问方式封装成何种形式，其本质都是通过DSC提供的REST风格的API接口进行请求。 DSC的接口需要经过认证请求后才可以访问成功。DSC支持两种认证方式： Token认证：通过Token认证调用请求，访问DSC控制台默认使用Token认证机制。 AK/SK认证：通过AK（Access Key ID）/SK（Secret Access Key）加密调用请求。推荐使用AK/SK认证，其安全性比Token认证要高。 关于认证鉴权的详细介绍及获取方式，请参见认证鉴权。 访问控制 DSC支持通过权限控制（IAM权限）进行访问控制。 表1 DSC访问控制 访问控制方式 简要说明 详细介绍 权限控制 IAM权限 IAM权限是作用于云资源的，IAM权限定义了允许和拒绝的访问操作，以此实现云资源权限访问控制。管理员创建IAM用户后，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限。 IAM产品介绍 DSC权限管理 DSC权限管理（细粒度） 父主题： 安全

计费项 表1 计费项信息 计费模式 计费项目 计费说明 包周期（包年/包月） 服务版本（必须） 按购买的版本规格（标准版、专业版）计费。 各服务版本支持的业务规格和功能，请参见规格版本差异。 数据库扩展包（可选） 按购买个数计费。 OBS扩展包（可选） 按购买个数计费。 购买时长 提供包月和包年的购买模式。 按需计费 API接口（数据脱敏和水印API调用） 仅专业版支持，且默认支持每月100W次的调用额度，不累计，月末清零。超出部分按照调用次数收费，详情请参见产品价格详情。

资产识别与管理 DSC是新一代的云化数据安全平台，支持管理用户的OBS、数据库、大数据和 MRS 数字资产，帮助用户的云上资产进行风险识别，呈现云上数据安全态势。 表1 DSC的资产管理 资产管理方式 简要说明 详细介绍 资产地图 数据资产地图可以通过可视化的手段，从资产概况、分类分级、权限配置、数据存储、敏感数据以及数据出口分析等多种维度查看资产的安全状况。可协助您快速发现风险资产并进行快速风险处理操作。 资产地图 资产管理 DSC提供资产管理的功能，对云上资产进行数据探索、分组管理等。 资产管理 敏感数据识别 敏感数据自动识别分类，从海量数据中自动发现并分析敏感数据使用情况，基于数据识别引擎，对其储存结构化数据（RDS）和非结构化数据（OBS）进行扫描、分类、分级，解决数据“盲点”，以此做进一步安全防护。 新建敏感数据识别任务 数据脱敏 DSC的数据脱敏支持静态脱敏和动态脱敏。您可以对指定数据配置脱敏规则实现敏感数据静态脱敏，同时，您也可以使用数据动态脱敏的API接口实现数据的动态脱敏，全方位确保敏感信息不被泄露。 数据脱敏 父主题： 安全

数据保护技术 DSC通过多种数据保护手段和特性，保证通过DSC的数据安全可靠。 表1 DSC的数据保护手段和特性 数据保护手段 简要说明 详细介绍 传输加密（HTTPS） DSC支持HTTP和HTTPS两种传输协议，为保证数据传输的安全性，推荐您使用更加安全的HTTPS协议。 构造请求 个人数据保护 DSC通过控制个人数据访问权限以及记录操作日志等方法防止个人数据泄露，保证您的个人数据安全。 个人数据保护机制 隐私数据保护 涉及到用户的数据库账号信息需要存储时，DSC提供敏感 数据加密 存储，支持加密密钥轮换更新。 涉及到用户数据检测时，数据不落盘，只在内存中处理，处理后原始数据及时删除。 - 数据备份 DSC支持用户数据备份。 - 数据销毁 用户主动删除业务数据或销户的情况下，DSC会物理删除对应的业务数据和用户数据。 - 数据脱敏 DSC支持在不影响原始用户数据的情况下对敏感数据进行脱敏，包括静态脱敏和动态脱敏。 配置脱敏规则 数据水印 DSC提供数据水印能力，针对用户的PDF、PPT、Word、Excel格式文件提供添加和提取水印的功能，帮助用户文件烙上专属水印，保证资产唯一归属。 水印注入 父主题： 安全

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的 云安全 挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 类云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、 虚拟主机 和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

审计与日志 审计 云审计服务（Cloud Trace Service，CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 用户开通云审计服务并创建和配置追踪器后，CTS可记录DSC的管理事件和数据事件用于审计。 CTS的详细介绍和开通配置方法，请参见CTS快速入门。 CTS支持追踪的DSC操作列表，请参见支持云审计的操作列表。 日志 出于分析或审计等目的，用户开启了云审计服务后，系统开始记录DSC资源的操作。云审计服务管理控制台保存最近7天的操作记录。 关于DSC云审计日志的查看，请参见查看审计日志。 父主题： 安全

应用场景 敏感数据识别 OBS中存储了大量的数据与文件，但无法准确获知这些OBS数据中是否包含敏感信息以及敏感数据所在的位置。 您可以使用DSC内置算法规则，或根据其行业特点自定义规则，对其存储在OBS中的数据进行整体扫描、分类、分级，并根据结果做进一步的安全防护，如利用OBS的访问控制和加密功能等。 异常检测和审计 DSC可检测敏感数据相关的访问、操作、管理等异常，并提供告警提示信息，用户可以对异常事件进行确认和处理。通常情况下，以下行为均被视为异常事件： 非法用户在未经授权的情况下对敏感数据进行了访问、下载。 合法用户对敏感数据进行了访问、下载、修改、权限更改、权限删除。 合法用户对敏感数据的桶进行权限更改、权限删除。 访问敏感数据的用户登录终端异常等情况。

背景信息 敏感数据主要包括个人隐私信息、密码、密钥、敏感图片等高价值数据，这些数据通常会以不同的格式存储在您的OBS桶中，一旦发生泄漏，会给企业带来重大的经济和名誉损失。 DSC在您完成数据源识别授权后，从您存储在OBS的海量数据中快速发现和定位敏感数据，对敏感数据分类分级并统一展示，同时追踪敏感数据的使用情况，并根据预先定义的安全策略，对数据进行保护和审计，以便您随时了解OBS数据资产的安全状态。