云服务器内容精选

  • 背景介绍 为加强用户账号登录管理, 堡垒机 支持通过配置登录开启或关闭多因子认证、设置账号使用有效期、设置登录时段限制、设置登录IP地址限制、设置登录MAC地址限制,管理用户账号登录权限,有效降低用户账号泄露等导致的安全风险。 多因子认证:指开启多因子认证后,用户登录时通过发送短信口令、动态令牌、USBKey等二次认证用户身份。 有效期:指用户账号的使用有效期,仅在限定时间内可登录。 登录时段限制:指用户账号限定登录星期和时刻。 登录IP地址限制:指限制指定来源IP地址的用户登录。 登录MAC地址限制:指在局域网内限制指定MAC地址的用户登录。
  • 约束限制 为正常使用“手机令牌”多因子认证,需确保系统时间与绑定手机时间一致,精确到秒。否则使用手机令牌登录时,口令将验证失败。 系统默认内置短信网关有短信发送频率和条数限制,为避免对“手机短信”多因子认证登录造成影响,可设置“自定义”短信网关,详情请参见短信网关配置。 由于MAC地址属于数据链路层,用于局域网寻址。MAC地址在传输过程中经过路由或主机,地址会发生变化,因此“登录MAC地址限制”仅在局域网生效。 若admin用户配置了多因子认证,无法登录系统取消多因子认证配置,请联系技术支持。
  • 查看动态用户组详情 在用户组列表中,单击动态用户组名称,可以查看动态用户组详情,包括用户组信息、匹配成员、已授权应用和审计日志。 用户组信息,可查看动态用户组的基本信息(如名称、所属组织、描述、使用场景)和成员规则(如成员匹配范围、匹配规则、运算规则、黑白名单)。 匹配成员,可查看动态用户组中匹配到的用户的信息,如用户名、手机号、邮箱等。 单击用户组成员列表右上方“成员计算”,可以将符合成员规则的用户自动添加到动态用户组中。 已授权应用,用户组在已授权应用中的信息,包括应用图标、应用名称等。 单击应用操作列的“删除”后,应用中应用账号的授权策略会同步删除该用户组。对该用户组添加、删除成员操作将自动同步至应用中。 审计日志,通过审计日志可以查看管理员对该用户组的操作,如新增、计算等。可根据时间、管理员用户名或姓名进行筛选。
  • 用户管理介绍 EIHealth 平台支持两种类型的用户管理,可以帮助您安全地控制平台的访问和使用权限。 表1 用户管理类型 类型 说明 系统级别用户管理 系统级的角色配置,可创建平台的子用户,并为其分配权限。 项目级别用户管理 资源级的角色配置,以项目为粒度对数据、分析作业、开发环境和镜像进行分组,以便用户通过项目进行资源的访问、共享和协作。详细介绍请参见项目管理,项目级用户不同角色对应的权限请参考成员角色和权限。 图1 系统级别用户管理 图2 项目级别用户管理 购买平台的账号是资源的归属以及使用计费的主体,对其所拥有的资源具有完全控制权限。 在您购买了平台后,所属账户即为平台的管理员账户。可以使用“用户管理”功能,创建子用户,并给子用户分配管理员或操作员权限。不同用户权限如表 用户权限所示。 表2 用户权限 用户角色 权限说明 管理员 拥有平台所有的权限,并进行用户管理,在平台添加子用户,以及对资源管理权限,包含有存储计算资源的购买和删除,自动扩缩容的策略配置权限。 操作员 拥有除用户管理、系统设置、设置商标、购买系统资源之外的所有权限。 购买平台的账户为管理员账户,该账户不可被删除。 管理员可以创建子用户,并将子用户授权为管理员。子管理员同样具备“用户管理”功能。 对于系统级别的管理员用户(购买平台的账户),可以在平台右上角用户名中选择“用户管理”,在“操作”列中选择“安全设置”,重置其他用户的邮箱、手机和密码信息。 单击“重置邮箱”后,可以选择清除邮箱或绑定新邮箱。 单击“重置手机号”后,可以选择清除手机号或绑定新手机号。 单击“重置密码”后,输入新密码和确认密码。用户密码重置成功后,首次登录成功需要再次修改密码。 父主题: 用户管理
  • 响应参数 状态码: 202 表5 响应Body参数 参数 参数类型 描述 job_id String 删除数据库用户的数据库权限任务ID。 状态码: 400 表6 响应Body参数 参数 参数类型 描述 error_code String 错误码。 error_msg String 错误消息。 状态码: 500 表7 响应Body参数 参数 参数类型 描述 error_code String 错误码。 error_msg String 错误消息。
  • 请求示例 删除数据库用户"gaussdb_mysql_user1"的数据库权限。 DELETE https://{endpoint}/v3/054e292c9880d4992f02c0196d3ea468/instances/a23fb62bd61e4e9e9636fd2225f395bein07/db-users/privilege { "users" : [ { "name" : "gaussdb_mysql_user1", "host" : "127.0.0.1", "databases" : [ "test" ] } ] }
  • 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token。 通过调用 IAM 服务获取用户Token接口获取。 请求响应成功后在响应消息头中包含的“X-Subject-Token”的值即为Token值。 X-Language 否 String 请求语言类型。默认en-us。 取值范围: en-us zh-cn 表3 请求Body参数 参数 是否必选 参数类型 描述 users 是 Array of DeleteDatabasePermission objects 数据库用户列表,列表最大长度为50。 表4 DeleteDatabasePermission 参数 是否必选 参数类型 描述 name 是 String 数据库用户名。 host 是 String 主机地址。 databases 是 Array of strings 数据库列表。
  • 背景信息 本示例中创建了3种业务用户的业务权限,主要是在AstroZero预置的Portal User Profile权限基础上,进行自定义业务用户权限配置和拓展实现的。在AstroZero的权限配置功能中,基于某个权限配置的新创建的Profile,将会继承原Profile的全部权限。 在后续有新的业务用户注册时,只需要将业务用户添加到对应的权限配置中,即可获取该权限配置中的权限。 权限配置创建的大致流程:
  • 响应消息 响应参数 返回状态码为 200: 查询成功。 表2 响应Body参数列表 名称 类型 描述 user_group VpnUserGroup object VPN用户组对象 request_id String 请求ID 表3 VpnUserGroup 名称 类型 描述 id String 功能描述:VPN用户组ID 格式:36位UUID name String 用户组名称 description String 用户组描述 type String 功能说明:用户组类型 取值范围: Default:默认用户组 Custom:用户创建用户组 user_number Integer 用户数量 created_at String 功能说明:创建时间 UTC时间格式:yyyy-MM-ddTHH:mm:ssZ updated_at String 功能说明:更新时间 UTC时间格式:yyyy-MM-ddTHH:mm:ssZ 响应样例 { "user_group": { "id": "7625fd92-2e20-4e4d-8c56-66f110fbfaa8", "name": "user-group1", "description": "用户组1", "type": "Custom", "user_number": 0, "created_at": "2024-06-17T09:48:27.548Z", "updated_at": "2024-06-17T09:48:27.548Z" }, "request_id": "6735d32bb3e35e9154caba1dbc6c2dc6" }
  • URI GET /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/groups/{group_id} 表1 参数说明 名称 类型 是否必选 描述 project_id String 是 项目ID,可以通过获取项目ID获取项目ID。 vpn_server_id String 是 VPN服务端ID group_id String 是 用户组ID
  • 用户组排班 排班即为按事件将用户组的成员轮流值班,当产生生成事件的时候,值班人默认为事件的响应人,需要响应事件并处理事件。 支持用户组的owner对用户组成员排班,默认用户组的创建人为该用户组的owner,即用户组的管理员,详情请参考Owner管理。 快速排班 快速排班是选择排班人员和轮班时长即可快速排好轮流值班表 轮班:所有值班人先后轮流单独各值班一个轮班时长; 共同值班:则为所有值班人一起值班一个轮班时长。 图5 用户组排班入口 图6 设置排班信息 图7 值班预览 精细排班 精细排班可以指定每个班次的起止时间和班次的值班人。以早晚班为例。 配置班次的基本信息。 可以设置排班模板,模板设置好后,会自动生成实际排班表,可以继续对实际排班表进行设置,后续排班是根据实际排班表进行的,模板的作用只是能快速生成多天的实际排班表。 表1 排班信息 字段 说明 循环周期 单位是天,指排班表是几天一个循环,也是模板生成实际排班表的天数 自定义班次 指该班次的起止时间,各班次的起止时间不能重叠和缺失,并且总和要是24小时 循环值班表 该班次的值班人员,可多选,多选即为多人共同值班 图8 精细排班 排班预览 图9 排班预览
  • 用户组授权 支持用户组owner给用户组授权,将用户组与具体的服务和管理策略进行关联绑定,以便该服务的事件等内容可以同步到该用户组成员。默认用户组的创建人为该用户组的owner,即用户组的管理员,详情请参考Owner管理。 在用户组列表右侧点击【授权】; 图2 用户组授权入口 选择该用户组的策略; 客户策略:项目级策略,支持创建、查看事件工单; 运维工程师策略:服务级策略,支持新增集成配置、创建流转规则、处理事件工单等; 运维管理员策略:项目级策略,支持新增服务、新增集成配置、创建流转规则、创建SLA规则、创建运维用户组等。 图3 选择授权策略 选择该用户组关联的服务,支持关联多个。 图4 选择服务
  • 响应示例 状态码: 200 OK 用户操作结果。 { "data" : { "user_name" : "test_user", "user_id" : "f528b3337a724e0b9d7************", "result_code" : "SUC CES S", "result_description" : "success" }, "total" : 0, "error_code" : null, "error_msg" : null }
  • 请求示例 添加连接器用户。 POST https://{endpoint}/v1/{project_id}/eds/instances/{instance_id}/connectors/{connector_id}/users { "role_list" : [ "ROLE_CONNECTOR_ADMINISTRATOR", "ROLE_DATA_SENDER" ], "user_id" : "57125ads46e7cbcfa201************" }
  • 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token,通过调用IAM服务“获取用户Token”接口获取(响应消息头中X-Subject-Token的值)。 表3 请求Body参数 参数 是否必选 参数类型 描述 user_id 是 String IAM用户ID。 role_list 是 Array of strings 角色列表: ROLE_SYSTEM_ADMINISTRATOR: 系统管理员 ROLE_CONNECTOR_ADMINISTRATOR: 连接器管理员 ROLE_BUSINESS_AUDIT: 连接器审计员 ROLE_DATA_APPROVER: 数据审批人 ROLE_RESOURCE_APPROVER: 资源审批人 ROLE_AGRT_APPROVER: 合约审批人 ROLE_TEAM_CREATOR: 团队创建人 ROLE_DATA_SENDER: 数据发送人 ROLE_RESOURCE_ADMINISTRATOR: 资源管理员 ROLE_DATA_CONSUMER: 数据消费者 ROLE_CONTRACT_ADMINISTRATOR: 合约管理员 ROLE_DATA_SOURCE_ADMINISTRATOR: 数据源管理员 枚举值: ROLE_SYSTEM_ADMINISTRATOR ROLE_CONNECTOR_ADMINISTRATOR ROLE_BUSINESS_AUDIT ROLE_DATA_APPROVER ROLE_RESOURCE_APPROVER ROLE_AGRT_APPROVER ROLE_TEAM_CREATOR ROLE_DATA_SENDER ROLE_RESOURCE_ADMINISTRATOR ROLE_DATA_CONSUMER ROLE_CONTRACT_ADMINISTRATOR ROLE_DATA_SOURCE_ADMINISTRATOR