检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
解决远程运维资产信息暴露问题。同时提供全面的运维日志,为审计运维和代运维人员的操作行为,提供有效监控,减少网上安全事故,助力企业长久稳定发展。 大量资产和人员管理场景 随着民生政务和传统企业集团的上云管理,云上人员账户数量不断增加,以及云上服务器、网络设备等资产数量也成倍增长。同
标资源,此外还支持批量登录资源功能。 自动登录 在新建资源时选择“自动登录”方式,并配置资源账户名和密码,托管主机或应用资源的账户和密码。 运维人员访问资源时,无需输入资源的账户和密码,在“主机运维”或“应用运维”页面单击“登录”,即可成功自动登录到目标资源实现运维。 Edge类型应用资源不支持配置“自动登录”。
由账号在IAM中创建的用户,是云服务的使用人员,具有身份凭证(密码和访问密钥)。 在我的凭证下,您可以查看账号ID和用户ID。通常在调用API的鉴权过程中,您需要用到账号、用户和密码等信息。 区域(Region) 从地理位置和网络时延维度划分,同一个Region内共享弹性计算、块存储、对象存储、V
作 参考配置邮件外发章节设置一个外发邮箱,并确保邮件可以正常发送。 参考配置告警等级章节,在“工单”页签将需要通知的操作设置为“高”告警等级。 审批形式 选择审批形式,可选择“多人审批”和“会签审批”。 默认为多人审批形式。 多人审批:同级节点仅需一个审批人进行批准,即可通过审批
命令控制策略用于控制用户访问资源的关键操作权限,实现Linux主机运维操作的细粒度控制。 针对SSH和Telnet字符协议主机,根据管理员配置的策略限制,Guacd代理对用户运维过程中执行的命令进行审计和过滤,并返回审计的命令、过滤结果和命令返回的内容,用于会话操作记录、动态授权、断开连接等动作。 命令控制策略支持以下功能项:
安全区域边界:安全审计 等保条例:应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计; 本条款主要考察:是否有进行安全审计。云堡垒机支持对云服务器运维操作进行监控和审计。 使用有审计模块权限的账号登录云堡垒机,单击“审计 > 历史会话”,进入“历史会话”页面。
实时会话 查看实时会话 监控实时会话 中断实时会话 父主题: 运维审计
新建运维任务 堡垒机支持自动运维任务功能,用户可按步骤自动执行命令和脚本方式运维多个目标资源,并可设置自动执行步骤将系统磁盘文件或本地文件快速上传到多个目标主机路径。此外,可设置执行周期和时间定期执行任务,并可同时执行多种任务步骤类型,实现多台资源设备自动化运维,提高运维效率。
果等信息。 图4 异常登录趋势图 会话控制 呈现用户中断和监控会话的次数,默认按小时呈现当天系统数据变化趋势。 在“详细数据”区域,可查看用户登录时间、用户登录名、来源IP、操作、操作结果等信息。 用户状态 呈现僵尸账户和密码强度的用户账号数量。 僵尸账户是当前未登录时间超过14天的已生效用户,按未登录天数统计。
运维人员通过堡垒机登录资源运维结束后,审计管理员将会收到历史会话记录。通过历史会话记录,可查询详细的操作记录,在线审计历史会话。 约束限制 通过Web运维支持文本和视频审计。 通过SSH客户端运维、客户端文件传输和数据库运维仅支持文本审计,不支持视频审计。 不支持记录资源账户自动巡检的登录资源数据。 视
运维人员登录堡垒机系统,执行配置权限、审计管理等操作后,审计管理员将会收到系统日志记录。通过系统日志记录,可查询详细的系统登录和操作记录,在线审计系统日志。系统日志包括系统登录日志和系统操作日志两部分。 前提条件 已获取“系统登录日志”或“系统操作日志”模块管理权限。 导出系统登录日志 登录堡垒机系统。
源实例过滤条件。 目前TMS调用时只包含一个tag结构体。 key:_sys_enterprise_project_id value:企业项目id列表 目前TMS调用时,key下面只包含一个value。0表示默认企业项目 sys_tags和租户标签过滤条件(without_any_tag
资产量表示当前购买的云堡垒机支持的最大可纳管的资源数和最大并发数,同时不同资产量对应的处理器、数据盘、系统盘大小都将会不同,资产量规格详情请参见服务版本差异。 示例:选择100资产量表示可纳管资源数和最大并发数都为100个。 版本选择 标准版 云堡垒机提供“标准版”和“专业版”两个版本,专业版支持对
“复制/粘贴”文本快捷键“Ctrl+C”和“Ctrl+V”,因Linux或Windows主机系统不同,操作方式有所差异。 VNC协议主机资源,不支持文本的复制/粘贴。 仅SSH、RDP、TELNET协议主机资源,支持“Ctrl+C”和“Ctrl+V”复制/粘贴文本。 云堡垒机“
格的标准版或专业版,扩大系统数据盘容量、最大并发数、最大资产数、CPU、内存等配置。云堡垒机系统盘默认为100G,变更规格不影响系统盘规格和系统软件版本。 变更规格前后注意事项: 变更规格前 用户必须在变更规格前备份数据,因变更规格有失败风险,以防因变更规格失败而影响使用,备份说
可用区是购买的堡垒机部署的位置。 说明: 主备实例会将主设备和备用设备分别部署在不同可用区,因此需要分别选择主可用区和备可用区,同样保持默认值即可。 实例名称 自定义实例名称。 性能规格 选择实例版本规格。 云堡垒机提供“标准版”和“专业版”两个功能版本,每个版本配备10/20/50/
适用计费项 云堡垒机CBH由实例类型和性能规格组成。以下计费项支持包年/包月。 表1 适用计费项 计费项 说明 性能规格 包括资产数及堡垒机版本。 计费周期 包年/包月CBH资源的计费周期是根据您购买的时长来确定的(以UTC+8时间为准)。一个计费周期的起点是您开通或续费资源的时
统一包年/包月资源的到期日 如果您持有多套到期日不同的云堡垒机,或者您的云防火墙和其上挂载的云硬盘到期日不同,可以将到期日统一设置到一个日期,便于日常管理和续费。 图2展示了用户将两个不同时间到期的资源,同时续费一个月,并设置“统一到期日”后的效果对比。 图2 统一到期日 更多关于统一到期日的规则请参见如何设置统一到期日。
为查看方便,在每个具体API的URI部分,只给出resource-path部分,并将请求方法写在一起。这是因为URI-scheme都是HTTPS,同一个服务的Endpoint在同一个区域也相同,所以简洁起见将这两部分省略。 请求方法 HTTP请求方法(也称为操作或动词),它告诉服务你正在请求什么类型的操作。
] } 示例2:拒绝用户重启CBH实例 拒绝策略需要同时配合其他策略使用,否则没有实际作用。用户被授予的策略中,一个授权项的作用如果同时存在Allow和Deny,则遵循Deny优先原则。 如果您给用户授予“CBH FullAccess”的系统策略,但不希望用户拥有“CBH
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
