检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
根据企业用户的职能,设置不同的访问权限,以达到用户之间的权限隔离。 将CBH服务资源委托给更专业、高效的其他华为云账号或者云服务,这些账号或者云服务可以根据权限进行代运维。 如果华为云账号已经能满足您的要求,不需要创建独立的IAM用户,您可以跳过本章节,不影响您使用服务的其它功能。
命令控制策略用于控制用户访问资源的关键操作权限,实现Linux主机运维操作的细粒度控制。 针对SSH和Telnet字符协议主机,根据管理员配置的策略限制,Guacd代理对用户运维过程中执行的命令进行审计和过滤,并返回审计的命令、过滤结果和命令返回的内容,用于会话操作记录、动态授权、断开连接等动作。
勾选多个工单,单击列表左下角批准,即可批量通过 驳回工单。 单击目标工单“操作”列的“驳回”,即可取消申请的工单。 撤销工单。 工单被批准后,单击目标工单“操作”列的“撤销”,即可收回资源的授权。 父主题: 系统工单
云堡垒机实例浮动ip。(实例为主备模式时返回对应的值) web_port String 云堡垒机实例WEB界面访问的端口号。 public_ip String 云堡垒机实例弹性公网IP。 public_id String 云堡垒机实例绑定公网的弹性IP的ID,UUID格式表示。 private_ip
自动填写,默认为返回当前堡垒机的跳转链接。 当堡垒机IP或域名变更,需同时修改此链接中IP或域名。 应用联合元数据URL 输入在Microsoft Azure中配置SAML签名证书后生成的应用联合元数据URL。 登录URL 输入在Microsoft Azure中配置SAML单一登录后生成的登录URL。
可查询详细的操作记录,在线审计历史会话。 约束限制 通过Web运维支持文本和视频审计。 通过SSH客户端运维、客户端文件传输和数据库运维仅支持文本审计,不支持视频审计。 不支持记录资源账户自动巡检的登录资源数据。 视频仅可回放有效会话记录,即登录资源到最后一次会话操作的这一段记录。
约束限制 下级部门拥有“用户”模块管理权限的用户,查看用户组详情时,只能查看到用户组内上级部门用户成员列表,不能查看上级部门用户的详情信息。 下级部门拥有“用户”模块管理权限的用户,将当前用户组中的上级部门成员移除后,不能再添加移除的上级部门用户。 前提条件 已获取“用户”模块操作权限。
单击工单详情页面编辑,即可修改工单授权运维时间。 “审批中”状态的工单仅能查看工单详情信息,不能修改工单内容。“已撤回”和“待提交”状态的工单才能被修改。 删除工单。 单击指定工单“操作”列的“删除”,可以删除该工单。 同时勾选多个工单,单击列表下方的“删除”,批量删除多个工单。 删除后工单信息不能找回,请谨慎操作。
事件名称:选择具体的事件名称,例如createInstance。 资源ID:选择或者手动输入需要查看审计日志的CBH实例ID。 资源名称:选择或手动输入需要查看审计日志的CBH实例名称。 “操作用户”:在下拉框中选择某一具体的操作用户,此操作用户指用户级别,而非租户级别。 “事件级别
包年/包月计费模式的资源完成支付后,会实时上报一条账单到计费系统进行结算。 按需模式以小时为单位进行结算。 查看指定资源的账单 登录管理控制台。 单击管理控制台左上角的,选择区域。 在左侧导航树中,单击左上方的,选择“安全与合规 > 云堡垒机”。 在云堡垒机列表中的“实例名称”列单击实例ID,查看实例详情信息。
变更规格成功后,为确保用户密码的安全性和可用性,加强系统登录安全,建议重置系统用户密码。 密码重置方式可选择批量重置和手动重置两种。 登录云堡垒机系统。 选择“用户 > 用户管理”,进入用户列表页面。 批量重置,请执行3。 手动重置,请执行4。 批量重置,统一生成相同的用户登录密码。 勾选需改密的用户。
实例类型 您选择的实例类型。 登录地址 当前实例的内网IP地址。 弹性IP 当前实例的公网IP地址。 计费模式 当前实例的计费模式。 企业项目 实例所属的企业项目。 单击右上角的“云资产委托授权”。 在弹出的对话框中,切换“操作”列的开关至,打开资产模块的授权。 图2 云资产委托授权
(可选)设置加密密码:可选择设置。不设置,下载的改密日志为未加密的CSV格式文件;设置密码,下载的改密日志为加密的ZIP格式文件。 (必选)用户密码:输入当前用户的账号登录密码,验证通过才允许下载改密日志,确保资源账户密码安全。 单击“确定”,即可下载CSV格式文件或加密的ZIP格式文件保存到本地。
更新系统Web证书 堡垒机Web证书是验证系统网站身份和安全的SSL(Secure Sockets Layer)证书,遵守SSL协议的服务器数字证书,并由受信任的根证书颁发机构颁发。 堡垒机系统默认配置安全的自签发证书,但受限于自签发证书的认证保护范围和认证保护时间,用户可替换证书。 本小
实例列表 表1 实例的信息参数说明 参数 说明 实例名称 您自定义实例的名称,创建后不可编辑修改。 运行状态 实例当前的运行状态,包含备机的运行状态。 实例类型 您选择的实例类型。 登录地址 当前实例的内网IP地址。 弹性IP 当前实例的公网IP地址。 计费模式 当前实例的计费模式。 企业项目
在“基本信息”行的右侧单击“编辑”,在弹出的对话框中修改容器的相关信息,具体参数规则详见表1。 修改完参数信息后,单击“确定”,完成容器的信息修改。 删除容器 登录堡垒机系统。 选择“资源 > 云服务器管理”,进入云服务器管理页面。 在待删除容器所在的操作列单击“删除”。 在弹出的对话框中单击“确定”,完成删除容器。
跨云跨VPC线上线下统一运维 针对您的服务器资源分布在跨VPC、线下IDC机房、非华为云等跨网络域的场景,华为云堡垒机提供了通过网络代理服务器进行运维的方案,便于您在没有搭建网络专线的情况下,纳管各网络域的各类服务器资源,从而通过华为云堡垒机统一管理、运维您的各类工作负载。 运维审计 使用堡垒机对安全事故进行事后追溯
Kubernetes服务器相关操作 Kubernetes服务器纳入堡垒机管理后,您可以随时将纳入管理的服务器删除或者修改信息切换服务器。 约束限制 纳管的Kubernetes服务器数量受堡垒机的License限制。 对Kubernetes服务器操作需要“Kubernetes服务器”模块操作权限。
运维人员通过堡垒机登录资源后,审计管理员将会实时收到会话记录。通过实时会话,可监控正在进行的运维会话,实时监督用户正在进行的操作。 前提条件 已获取“实时会话”模块管理权限。 有正在进行中运维会话。 目前仅支持H5运维会话和SSH客户端的会话,其它会话暂不支持 。 操作步骤 登录堡垒机系统。 选择“审计
通过SSH客户端登录堡垒机纳管资源,在不改变用户原来使用SSH客户端习惯的前提下,对授权云主机资源进行运维管理,并且支持系统的命令拦截策略和运维审计功能。 本小节以Xshell登录SSH协议类型资源为例,介绍如何通过SSH客户端登录资源进行运维,以及如何下载登录资源的配置文件。 约束限制 仅SSH、TELNE
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
