弹性加速计算实例EAIS的可用区安全、故障隔离、风险检测等安全性说明

弹性加速计算实例EAIS的云上安全性，是阿里云在面对当前的网络安全形势和挑战时所采取的措施，以及提高用户在资源和网络访问控制、EAIS资源操作、故障隔离和风险检测等方面的安全性所具备的能力。

说明

通过在ECS实例（非GPU实例）上绑定一个EAIS实例，即可生成一款新规格的GPU实例，该方式相比直接购买GPU实例，可以实现GPU资源的弹性使用，并为您降低部署成本和使用成本。因此，在使用EAIS前，您也需要关注ECS实例的安全性，更多信息，请参见云服务器ECS安全性。

访问控制

为确保您的阿里云账号及云资源使用安全，如非必要都应避免直接使用阿里云账号（即主账号）来访问弹性加速计算服务EAIS。推荐的做法是使用RAM身份（即RAM用户和RAM角色）来访问EAIS。

RAM用户需要由阿里云账号（即主账号）或拥有管理员权限的RAM用户、RAM角色来创建，且必须在获得授权后才能登录控制台或使用API访问阿里云账号下的资源。更多信息，请参见RAM用户概览和使用RAM进行访问控制。

弹性加速计算实例EAIS已与专有网络VPC集成，支持通过VPC（包括网络ACL）进行网络隔离和网络访问控制。
说明
- 专有网络VPC（Virtual Private Cloud）是客户基于阿里云构建的一个隔离的网络环境，专有网络之间逻辑上彻底隔离。更多信息，请参见什么是专有网络。
- 网络ACL（Network Access Control List）是专有网络VPC中的网络访问控制功能。客户可以自定义设置网络ACL规则，并将网络ACL与交换机绑定，实现对弹性加速计算实例EAIS实例流量的访问控制。更多信息，请参见网络ACL概述。
EAIS必须与云服务器ECS绑定后才能使用，且仅支持在ECS上通过私网访问EAIS服务，保障了资源间互访时的网络安全性。

EAIS在多个地域的多个可用区部署了服务，且可用区之间互相独立，各可用区之间可以实现故障隔离，确保EAIS服务更加稳定可靠。
可用区是指在同一地域内，电力和网络互相独立的物理区域。
在同一地域内，可用区与可用区之间内网互通。各可用区之间可以实现故障隔离，即如果一个可用区出现故障，不会影响其他可用区的正常运行。每个地域完全独立，不同地域的可用区完全隔离，但同一个地域内的可用区之间使用低时延链路相连。
EAIS默认检查云服务器资源池中云服务器的健康状态，自动隔离异常状态的云服务器。消除了单台云服务器的单点故障问题，可提高EAIS的整体安全能力。

弹性加速计算实例EAIS已接入阿里云操作审计（ActionTrail），可为您提供统一的云资源操作日志管理，记录云账号下用户登录及资源访问操作，实现安全分析、入侵检测、资源变更追踪以及合规性审计。

操作审计可记录通过阿里云控制台、OpenAPI、开发者工具访问和使用云上产品和服务的日志数据。具体支持的云服务审计事件，请参见弹性加速计算实例的审计事件。

操作审计默认为您追踪并记录最近90天的事件。如需保存更长时间的日志，则需要创建跟踪，将产生的时间记录到日志服务或对象存储OSS。详细操作，请参见创建跟踪。

当您将事件投递到SLS或OSS后，可以通过SLS或OSS查询或分析事件。详细操作，请参见通过SLS或OSS控制台查询事件。

如果需要跟踪历史事件，请提交工单申请开启相关权限。

EAIS对已绑定的ECS实例配置了较完善的基线检查，支持实时风险检测，并使用阿里云内部自研的已通过安全检查的容器镜像，针对系统漏洞和应用漏洞等进行全面和有效的管理，无需用户再进行额外的配置。