-
通过云堡垒机纳管应用服务器 - 云堡垒机 CBH
服务器上,部署客户端软件和浏览器,应用发布是将服务器和应用账户纳入云堡垒机管理的功能。 用户获取应用发布访问权限后,通过应用账户的密码自动代填,访问客户端应用和Web应用,并以视频方式全程记录用户运维操作,实现对远程应用账户的安全管理和用户远程访问应用的操作审计。 云堡垒机支持添
-
系统工单应用示例 - 云堡垒机 CBH
驳回,则该工单审批不通过,用户不能获得相应的权限。 拥有admin管理员权限的账号可在任意节点审批或驳回任意工单,且结果为最终结果。 示例二:按资源所属部门申请资源,建立分级流程工单 前提条件 已完成部门、用户、角色和资源等项的规划和设置。部门设置请参考部门,用户和角色设置请参考用户,资源设置请参考资源。
-
新建命令控制策略 - 云堡垒机 CBH
命令控制策略用于控制用户访问资源的关键操作权限,实现Linux主机运维操作的细粒度控制。 针对SSH和Telnet字符协议主机,根据管理员配置的策略限制,Guacd代理对用户运维过程中执行的命令进行审计和过滤,并返回审计的命令、过滤结果和命令返回的内容,用于会话操作记录、动态授权、断开连接等动作。
-
如何配置文件管理权限? - 云堡垒机 CBH
通过开启资源和访问控制策略的“文件管理”权限,用户即可对资源文件进行增删改查操作。 若用户需要上传或下载文件,则需要堡垒机管理员(Admin)或者堡垒机策略管理员为该用户开启访问控制策略的“上传”或“下载”权限,实现文件上传和下载功能。 约束限制 目前仅SSH、RDP和VNC协议主机资源和应用资源支持“文件管理”。
-
系统资源账户有哪些状态? - 云堡垒机 CBH
经过“验证”,账号及密码正确,且能正常登录的资源账户,显示为“正常”状态。 异常 经过“验证”,账户或密码不正确,可能不能正常登录的资源账户,显示为“异常”状态。 未知 添加完资源账户后,未经过“验证”的资源账户,显示为“未知”状态。 云堡垒机自动巡检: 在每月的5号、15号和25号凌晨一点,对纳管的资源账户进
-
角色概述 - 云堡垒机 CBH
运维结果审计管理员,查询管理系统审计数据。主要负责查阅和管理系统的审计数据,拥有实时会话、历史会话和系统日志等模块的配置权限。 运维员 访问系统的普通用户和操作人员。主要负责资源的运维,拥有主机运维、应用运维和工单授权管理的权限。 父主题: 用户角色管理
-
部门概述 - 云堡垒机 CBH
“部门”是用于划分组织结构,标识用户和资源的组织。系统默认有一个部门“总部”,仅可在“总部”基础上创建部门分支,且“总部”不可删除。 根据部门划分用户组织结构后,下级部门用户不能查看上级部门信息,包括上级部门组织结构、用户、主机资源、应用资源、应用发布服务器、资源账户,以及上级部门配置的策略信息和运维审计数据。
-
CBH监控指标说明 - 云堡垒机 CBH
本节定义了云堡垒机上报云监控服务的监控指标的命名空间和监控指标列表,用户可以通过云监控服务提供管理控制台来检索云堡垒机产生的监控指标和告警信息。 堡垒机实例在V3.3.30及以上版本才支持对接云监控服务(CES)。 命名空间 SYS.CBH 命名空间是对一组资源和对象的抽象整合。在同一个集群
-
确认变更规格后系统环境 - 云堡垒机 CBH
确认变更规格后系统环境 变更规格后,请先确认“版本号”和“设备系统”信息,以及确认“授权资源数”和“授权资源并发连接数”是否与目标版本一致。 登录云堡垒机系统。 确认变更规格后系统版本。 选择“系统 > 关于系统”,查看系统版本信息。 确认变更规格后系统的“版本号”和“设备系统”信息。 图1 查看系统版本
-
更改安全组 - 云堡垒机 CBH
安全组是一个逻辑上的分组,为同一个虚拟私有云内具有相同安全保护需求并相互信任的弹性云服务器、云堡垒机等提供访问策略。 为了保障云堡垒机的安全性和稳定性,在使用云堡垒机之前,您需要设置安全组,开通需访问资源的IP地址和端口。但是若您在购买堡垒机的时候选择了不适用的安全组,也无法通过
-
自定义关联命令 - 云堡垒机 CBH
自定义关联命令 命令控制策略关联的自定义的命令,关联命令后,在执行相关命令或参数时,触发拦截和允许操作。 自定义关联命令大小写敏感,严格按照设置的关联命令进行审核和过滤,若执行命令与设置命令不一致,则不能触发策略规则。详细设置说明和示例,请参考如下说明: 支持单命令格式。 如设置
-
步骤三:添加系统资源 - 云堡垒机 CBH
因CBH管理同一VPC网络下的主机资源, 私有IP根据网络稳定性与就近优势, 不受对外安全策略和访问控制策略的限制。建议“主机地址”优先考虑配置同VPC网络下私有IP地址。 主机的EIP为独立的公网IP,对外访问的端口受网络安全限制,可能导致从云堡垒机无法跳转登录到主机。 端口 输入主机的端口号。 系统类型
-
云堡垒机 - 云堡垒机 CBH
Bastion Host,CBH)是华为云的一款统一安全管控平台,为企业提供集中的账号(Account)、授权(Authorization)、认证(Authentication)和审计(Audit)管理服务。 云堡垒机提供云计算安全管控的系统和组件,包含部门、用户、资源、策略、运维、
-
云堡垒机支持哪些登录资源方式? - 云堡垒机 CBH
标资源,此外还支持批量登录资源功能。 自动登录 在新建资源时选择“自动登录”方式,并配置资源账户名和密码,托管主机或应用资源的账户和密码。 运维人员访问资源时,无需输入资源的账户和密码,在“主机运维”或“应用运维”页面单击“登录”,即可成功自动登录到目标资源实现运维。 Edge类型应用资源不支持配置“自动登录”。
-
如何增加云堡垒机实例配额? - 云堡垒机 CBH
在“产品类”区域,单击“更多工单产品分类”,选择“安全与合规 > 云堡垒机”。 选择问题类型后,单击“新建工单”,根据您的需求,填写相关参数。 其中,“问题描述”请填写相关内容和申请原因,提供对应区域的“项目ID”和需要增加的CBH实例配额数。 “项目ID”获取方法请参考我的凭证。 填写完毕后,勾选协议并单击“提交”。
-
如何增加云堡垒机实例配额? - 云堡垒机 CBH
在“产品类”区域,单击“更多工单产品分类”,选择“安全与合规 > 云堡垒机”。 选择问题类型后,单击“新建工单”,根据您的需求,填写相关参数。 其中,“问题描述”请填写相关内容和申请原因,提供对应区域的“项目ID”和需要增加的CBH实例配额数。 “项目ID”获取方法请参考我的凭证。 填写完毕后,勾选协议并单击“提交”。
-
更新系统Web证书 - 云堡垒机 CBH
更新系统Web证书 云堡垒机Web证书是验证系统网站身份和安全的SSL(Secure Sockets Layer)证书,遵守SSL协议的服务器数字证书,并由受信任的根证书颁发机构颁发。 云堡垒机系统默认配置安全的自签发证书,但受限于自签发证书的认证保护范围和认证保护时间,用户可替换证书。 本小节主
-
步骤六:审计运维会话 - 云堡垒机 CBH
用户获取相应系统权限和运维权限后,可通过云堡垒机登录已授权的资源进行运维操作,以及在系统进行系统数据管理操作。 管理员可在系统Web页面审计用户系统登录和操作,以及审计用户运维会话。 操作步骤 表1 系统和运维审计说明 审计类型 审计内容 实时会话 实时监控当前运维会话,查看运维用户和资源的会话详情,中断有高危风险的会话。
-
云堡垒机可提供哪些审计日志? - 云堡垒机 CBH
实例审计日志操作和说明,请参见CBH云审计。 系统审计 云堡垒机系统能集中管理用户登录系统,提供系统日志和系统报表。此外,CBH系统授权用户登录被纳管的资源,并进行运维操作,云堡垒机提供用户对系统和资源的运维记录,包括历史会话和运维报表。系统审计日志详细内容,请参见表1。 表1 CBH系统审计日志说明 日志类型 日志内容
-
配置工单审批流程 - 云堡垒机 CBH
设置完成后,符合部门和角色要求的用户自动成为节点审批人。如果没有符合部门和角色要求的用户,则自动向上级部门内寻找,直到找到“总部”为止。 部门属性:“用户所属部门”为工单申请人所属部门的管理员;“资源所属部门”为工单申请资源所属部门的管理员。 角色属性:需要拥有管理员和工单审批权限的角色,默认为部门管理员。