检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
置空表示备份内容存放到FTP/SFTP服务器用户的主目录下,例如绝对路径/home/用户名。 测试连通性 用于测试配置的FTP或SFTP服务器是否可达。 只检测堡垒机到FTP/SFTP服务器的网络状况,不验证服务器的用户账号。 备份内容 选择需备份的日志类型,至少需勾选一个类型。 系统配置 会话回放日志
为什么收到登录资源提示,但历史会话无登录记录? 因每月5号、15号、25号的凌晨一点,后台启动“自动巡检”,通过登录所有纳管的主机验证资源账户的连通性。验证完成后,系统管理员admin将收到登录资源的验证结果消息。 但“自动巡检”登录资源过程不生成任务,故历史会话无登录记录。 父主题: 审计运维日志
用户被授予的策略中,一个授权项的作用如果同时存在Allow和Deny,则遵循Deny优先原则。 如果您给用户授予“CBH FullAccess”的系统策略,但不希望用户拥有“CBH FullAccess”中定义的重启云堡垒机的权限,您可以创建一条拒绝重启云堡垒机的自定义策略,然后同时将“CBH
如何获取企业协议号码? 用户在配置云堡垒机安装远程桌面服务,创建一个应用发布服务器时,需要输入企业协议号码授权,企业协议号非免费提供套件。 云堡垒机不提供企业协议号,应用发布服务器为第三方管理插件,企业协议号需要客户自行申购。类似于客户申购了Windows系统,但Office套件并非免费提供,需要客户单独申购。
安装对应的USBKey驱动。 不同的厂商USBKey不能相互识别登录认证,用户根据申购的USBKey配置USBKey厂商。 前提条件 已申购USBKey。 已获取“用户”模块管理权限。 已获取“USBKey”模块管理权限。 签发USBKey 一个USBKey只能签发给一个用户使用。
文件传输到目标主机资源的绝对路径。 执行账户 “选择”已创建的SSH协议类型资源账户或账户组。 “重置”已选择的资源账户或账户组。 说明: 每个资源的执行账户最多一个。 更多选项 (可选) 提权执行:用户对资源账户执行任务权限不够时,需勾选上“提权执行”,用户需在该主机资源的Sudoers文件下执行任务。
/var/log/secure 执行以下命令,编辑“/etc/hosts.deny”文件,删除云堡垒机的IP。 vim /etc/hosts.deny (可选)将CBH的IP加入白名单。 执行以下命令,编辑Linux主机的“/etc/hosts.allow”文件,允许所有IP地址登录,避免影响云堡垒机正常使用。
CBH同一账户可以在同一台PC上的不同浏览器登录。 云堡垒机不支持同时登录同一用户账号。当同时登录同一用户账号时,“来源IP”将被锁定。 CBH目标是限制多人使用同一账号,同一账号专人使用,应该做到一个账号一人使用。 现象 为保障云堡垒机系统登录安全,在登录云堡垒机输入密码超过系统设置的次数限制后,
可查看下级部门的所有账户组信息,反之不能,同级之间的账户组可相互查看。 上级部门管理员为下级部门账户组添加资源账户时,可将上级部门的资源账户添加到下级部门的账户组,但是下级部门拥有“账户组”管理权限用户操作账户组时,只能查看资源账户列表,不能查看上级部门资源账户的详情信息。 下级
Windows系统的远程桌面服务,接入ERP生产系统、ERP容灾系统、SAP生产系统、SAP开发/测试系统、SAP Router、SAP Hybris等典型场景的应用、数据库或网页,将ERP和SAP上云业务作为一个网页或应用来审计和录屏操作,实现对企业上云业务的统一管理。 父主题:
用户组与部门挂钩,不属于个人,当前登录用户新建的用户组默认放在登录用户部门下,不支持修改部门,上级部门有用户组权限的用户可以查看下级部门的所有用户组信息,反之不能,同级之间的用户组都能查看。 上级部门管理员向下级部门用户组添加用户时,可将上级部门的用户添加到下级部门用户组。 下级部门拥有“用户”模块管理权限的用户,查
本章节指导您如何将用户加入到用户组,一个用户可加入多个用户组。 约束限制 上级部门管理员向下级部门用户组添加用户时,可将上级部门的用户添加到下级部门用户组。 下级部门拥有“用户”模块管理权限的用户,将当前用户组中的上级部门成员移除后,不能再添加移除的上级部门用户。 前提条件 已获取“用户”模块操作权限。
并给用户组授予策略或角色,才能使用户组中的用户获得相应的权限,这一过程称为授权。授权后,用户就可以基于已有权限对云服务进行操作。 权限根据授权的精细程度,分为角色和策略。角色以服务为粒度,是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。策略授权更加精细,可以精确
云服务的Region;专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 可用区(AZ,Availability Zone):一个AZ是一个或多个物理数据中心的集合,有独立的风火水电,AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Reg
表示关闭备份日志至Syslog服务器。 发送者标识符 自定义堡垒机到Syslog服务器的标识符。用于在Syslog日志服务器,区分所接收的日志来自于相应的堡垒机。 服务器IP 输入Syslog服务器的IP地址。 端口 输入Syslog服务器的端口。 协议 选择Syslog服务器协议类型。 可选择TCP或UDP。
理,加强对敏感操作的限制管理。 当运维用户登录Linux主机进行运维操作时,触发“动态授权”命令控制策略的操作命令,系统会自动拦截操作命令,生成命令授权工单。管理员将会收到工单审批申请。当管理员用户批准工单后,运维用户才有执行该Linux“动态授权”操作命令的权限。 图1 命令被拦截示例
不仅可实现本地与主机之间文件的传输,同时可实现不同主机资源之间文件的相互传输。CBH系统详细记录传输文件的全过程,可实现对文件上传/下载的审计。 “主机网盘”是为CBH用户定义的系统个人网盘,可作为不同主机资源间文件的“中转站”,暂存用户上传/下载的文件,且个人网盘中文件内容对其他用户不可见。
数据库控制策略 新建数据库控制策略 查询和修改数据库控制策略 管理规则集 父主题: 系统策略
登录云堡垒机系统。 选择“资源 > 主机管理”,新建已生成SSH Key的主机资源。 已被纳管的目标主机,可单击“管理”,在主机信息详情页“添加”资源账户。 单击“新建”配置SSH主机资源,配置“主机账户”和“密码”。 复制生成的私钥id_rsa文件内容和私钥密码,配置“SSH Key”和“passphrase”。
在目标历史会话“操作”列,单击“更多 > 生成视频”,系统后台立即启动生成历史会话视频。 “任务中心”提醒有正在执行的任务。当“任务中心”任务执行完成,“消息中心”收到生成会话视频提醒后,会话视频生成完成。 在系统存储空间充足条件下,不限制生成视频的时长和大小。 当系统存储空间不足时,生成视频可能失败,建
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
