检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
身份认证与访问控制 身份认证 用户访问CBH实例的方式有Web Console和SSH两种方式,其中,Web Console可以对堡垒机实例进行相关的资源配置和命令下发等完整功能,而SSH只能对堡垒机纳管的实例进行运维操作。 用户登录Web Console和SSH使用的账号和口令均为创建堡垒机时设置的账号和口令,此外,Web
中断实时会话 运维人员通过堡垒机登录资源后,审计管理员将会实时收到会话记录。当监控到有违规或高危运维操作时,可通过实时会话阻断会话,阻止运维人员的进一步操作。 前提条件 已获取“实时会话”模块管理权限。 有正在进行中运维会话。 操作步骤 登录堡垒机系统。 选择“审计 > 实时会话”,进入实时会话列表页面。
需先将Linux主机配置为FTP、SFTP协议主机资源。 通过客户端工具登录目标Linux主机,可在会话窗口执行rz/sz命令传输文件。 Windows主机 Windows主机上传/下载文件,仅可选择Web运维方式。 需先将Windows主机配置为RDP协议主机资源。 通过Web浏览器登录目标Wi
导出历史会话 运维人员通过堡垒机登录资源运维结束后,审计管理员将会收到历史会话记录,并可导出全部历史会话记录,离线审计历史会话。 前提条件 已获取“历史会话”模块管理权限。 已结束运维会话。 操作步骤 登录堡垒机系统。 选择“审计 > 历史会话”,进入历史会话列表页面。 图1 历史会话列表
在欧洲地区有业务的用户,可以选择“欧洲-巴黎”区域。 资源的价格 不同区域的资源价格可能有差异,请参见华为云服务价格详情。 如何选择可用区? 是否将资源放在同一可用区内,主要取决于您对容灾能力和网络时延的要求。 如果您的应用需要较高的容灾能力,建议您将资源部署在同一区域的不同可用区内。 如果您的
配置系统运维端口 系统运维端口是登录SSH、SFTP、FTP类型资源的端口,包括通过SSH客户端登录堡垒机的端口,默认端口号2222。 默认端口修改后,需同时修改实例安全组配置。 本小节主要介绍如何管理系统运维端口。 前提条件 已获取“系统”模块管理权限。 操作步骤 登录堡垒机系统。
应用运维调用PL/SQL客户端,文本乱码了怎么办? 问题现象 应用发布纳管Oracle Tool应用客户端PL/SQL Developer,通过Web浏览器登录应用资源,PL/SQL客户端乱码。 可能原因 PL/SQL客户端为英文编码,Oracle数据库的编码格式与PL/SQL客户端的编码格式不统一,使得PL/SQL客户端不兼容,导致乱码。
后续管理 命令控制策略创建完成后,可在策略列表页面,管理已创建策略,包括管理关联用户或资源、删除策略、启停策略、策略排序等。 若需补充关联用户或资源,可单击“关联”,快速关联用户、用户组、资源账户、账户组。 若需删除策略,可选择目标策略,单击“删除”,立即删除策略。 若需禁用策略
统。 云堡垒机所在安全组已放开相应数据库访问端口,数据库与云堡垒机之间网络连接畅通。 资源RDS_A已被纳管为主机运维方式资源,详情请参见如何创建数据库运维?。 运维用户User_A已获取资源RDS_A的访问控制权限,详情请参见创建访问控制策略。 配置二次审核策略 为实现高危操作
CBH最佳实践汇总 本文汇总了云堡垒机(CBH)服务的常见应用场景的操作实践,并为每个场景提供详细的方案描述和操作指南,以帮助您使用CBH快速管理资源。 CBH最佳实践 表1 CBH最佳实践 分类 相关文档 变更规格 变更云堡垒机规格 高危操作的复核审批 数据库运维高危操作的复核审批 等保合规
机纳管资源。 不支持跨VPC直接使用。 云堡垒机实例与系统资源必须在同一个VPC的子网内,才能直接连接访问。 跨VPC情况下,可通过对等连接打通两个VPC之间网络。 云堡垒机实例与系统资源的安全组,必须允许相互访问。 系统资源必须处于实例所属安全组允许访问的范围内,且资源所属安全组必须允许实例私有IP访问。
用户可以登录管理控制台,选择“安全与合规 > 云堡垒机”,然后在云堡垒机管理控制台申请和管理实例。 云堡垒机系统是云堡垒机实际运维功能核心,后台采用欧拉操作系统,包含用户管理、资源管理、策略、审计和工单等功能模块,支持对Windows或Linux等操作系统的主机提供安全管控保护。 父主题: 产品咨询
为加强对系统数据的容灾管理,堡垒机支持配置日志备份,提高审计数据安全性和系统可扩展性。 本小节主要介绍如何创建系统本地备份。 注意事项 支持系统本地备份的日志包括系统登录日志、资源登录日志、命令操作日志、文件操作日志、双人授权日志。 系统本地备份创建成功后,会在系统数据盘生成一个日志文件。 前提条件 用户已获取“系统”模块管理权限。
限及授权项。 目前华为云支持以下两种方式创建自定义策略: 可视化视图创建自定义策略:无需了解策略语法,按可视化视图导航栏选择云服务、操作、资源、条件等策略内容,可自动生成策略。 JSON视图创建自定义策略:可以在选择策略模板后,根据具体需求编辑策略内容;也可以直接在编辑框内编写JSON格式的策略内容。
后续管理 数据库控制策略创建完成后,可在策略列表页面,管理已创建策略,包括管理关联用户或资源、删除策略、启停策略、策略排序等。 若需补充关联用户或资源,可单击“关联”,快速关联用户、用户组、资源账户、账户组。 若需删除策略,可选择目标策略,单击“删除”,立即删除策略。 若需禁用策略
Key)加密调用请求。推荐使用AK/SK认证,其安全性比Token认证要高。 Token认证 Token的有效期为24小时,需要使用一个Token鉴权时,可以先缓存起来,避免频繁调用。 Token在计算机系统中代表令牌(临时)的意思,拥有Token就代表拥有某种权限。Token认证就是在调用API的时
若选择TCP,可以单击“测试连通性”确认服务器是否可达。 备份内容 选择需备份的日志类型,至少需勾选一个类型。 系统登录日志:所有登录实例的操作记录日志。 资源登录日志:在当前实例登录已纳管资源的所有操作记录日志。 命令操作日志:在当前实例中执行的所有命令记录日志。 文件操作日志:对实例中文件的操作日志,包括上传、下载等。
计费示例 以包年/包月计费模式为例,假设您在2023/03/08 15:50:04购买了一台包年/包月云堡垒机(规格:20资产专业版),计费资源只包含性能规格。购买时长为1个月,并在到期前手动续费1个月,则: 第一个计费周期为:2023/03/08 15:50:04 ~ 2023/04/08
Web浏览器方式登录,为用户提供全量云堡垒机系统配置和管理功能。SSH客户端方式登录在不改变用户原来使用SSH客户端习惯的前提下,对授权云主机资源进行运维管理,并支持多种快捷操作命令。建议管理员优先在Web浏览器为运维员完成授权配置后,运维员再在SSH客户端登录系统进行运维操作。 详
使用堡垒机时需要配置哪些端口? 为了能正常使用堡垒机,实例和资源安全组端口配置可参考表1。 堡垒机跨版本升级会自动开放80、8080、443、2222共四个端口,升级完成后若不需要使用请第一时间关闭。 堡垒机主备实例跨版本升级还会自动开放22、31036、31679、31873共
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
