检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
成长地图 由浅入深,带您玩转CBH 01 了解 了解云堡垒机功能特性、使用场景和产品优势,助您快速熟悉云堡垒机业务范围,实现对运维资源的4A安全管控。 产品介绍 什么是CBH 功能特性 使用场景 服务版本差异 03 入门 系统管理员admin首次登录后,需要依次创建用户、资源、访问
动态令牌管理 用户账号需配置了“动态令牌”多因子认证,才能为用户账号签发动态令牌。 动态令牌需要提前申购。目前堡垒机支持坚石诚信ETZ201/203型号。 前提条件 已申购硬件令牌。 已获取“用户”模块管理权限。 已获取“动态令牌”模块管理权限。 签发动态令牌 一个动态令牌只能签发给一个用户使用。
配置动态令牌登录 动态口令是基于事件同步的令牌实现的OTP动态密码技术。配置动态令牌认证后,登录系统时需输入静态密码和6位硬件令牌动态密码,才能通过身份认证。 若您不慎遗失硬件令牌导致无法登录,可选择重置admin登录方式,详情请参见重置admin登录方式。 约束限制 目前堡垒机
通过Web运维支持“文件传输”功能,在Web浏览器会话窗口上传/下载文件。不仅可实现本地与主机之间文件的传输,同时可实现不同主机资源之间文件的相互传输。CBH系统详细记录传输文件的全过程,可实现对文件上传/下载的审计。 “主机网盘”是为CBH用户定义的系统个人网盘,可作为不同主
请在本地测试VNC连接正常之后再使用云堡垒机纳管,云堡垒机不负责第三方VNC软件的兼容性问题。 云堡垒机支持纳管VNC协议类型的资源,并通过Web浏览器登录资源,实现Linux主机的图形化运维。 您需要在添加主机资源时,将“协议类型”选择为“VNC”。详细添加主机说明,请参见添加主机资源。 父主题: 运维管理
新建命令控制策略 命令控制策略用于控制用户访问资源的关键操作权限,实现Linux主机运维操作的细粒度控制。 针对SSH和Telnet字符协议主机,根据管理员配置的策略限制,Guacd代理对用户运维过程中执行的命令进行审计和过滤,并返回审计的命令、过滤结果和命令返回的内容,用于会话操作记录、动态授权、断开连接等动作。
dit)管理服务。 通过购买云堡垒机,使用admin账号添加资源和策略即可实现对资源的运维和审计,同时可通过admin账号创建不同角色进行权限划分管理。 本文以购买10资产量的标准版单机实例类型为例,实现快速对Linux主机资源的运维和审计。 购买版本:标准版 性能规格:10资产量
资源的账户和密码。 运维人员访问资源时,无需输入资源的账户和密码,在“主机运维”或“应用运维”页面单击“登录”,即可成功自动登录到目标资源实现运维。 Edge类型应用资源不支持配置“自动登录”。 SSH协议类型主机资源配置SSH Key后,需优先使用SSH Key登录。 手动登录
维精准化和效率化。自动化运维主要包括资源账户同步、脚本线上管理、多资源快速运维,以及多步骤自动运维。 资源账户同步:通过账户同步功能,可以实现对主机上资源账户的有效监管,及时发现僵尸账户或未纳管账户,加强对资产的管控。 详细操作请参见账户同步策略。 脚本线上管理:支持管理Pyth
云堡垒机分别提供实例和系统审计日志。 实例审计 云堡垒机实例审计,需开启云审计服务(Cloud Trace Service,简称CTS),实现对CBH实例的操作的记录,CTS管理控制台将保存最近7天的操作记录。 实例审计日志操作和说明,请参见CBH云审计。 系统审计 云堡垒机系统
操作指令准确拦截 针对资源敏感操作进行二次复核,系统预置标准Linux字符命令库或自定义命令,对运维操作指令和脚本的准确拦截,并可通过异步“动态授权”,实现对敏感操作的动态管控,防止误操作或恶意操作的发生。 核心资源二次授权 借鉴银行金库授权机制,针对重要资源的运维权限设置多人授权,若需登录此
命令控制策略 命令控制策略用于控制用户访问资源的关键操作权限,实现Linux主机运维操作的细粒度控制。 数据库控制策略 数据库控制策略是用于拦截数据库会话敏感操作,实现数据库运维操作的细粒度控制。授权用户登录策略关联的数据库资源,当数据库运维会话触发规则,将会拦截数据库会话操作。
配置用户登录限制 背景介绍 为加强用户账号登录管理,堡垒机支持通过配置登录开启或关闭多因子认证、设置账号使用有效期、设置登录时段限制、设置登录IP地址限制、设置登录MAC地址限制,管理用户账号登录权限,有效降低用户账号泄露等导致的安全风险。 多因子认证:指开启多因子认证后,用户登
新建数据库控制策略 数据库控制策略是用于拦截数据库会话敏感操作,实现数据库运维操作的细粒度控制。授权用户登录策略关联的数据库资源,当数据库运维会话触发规则,将会拦截数据库会话操作。 数据库控制策略支持以下功能项: 支持按策略列表页策略排序区分优先级,排序越靠前优先级越高。 支持控
通过SSO单点客户端登录和运维数据库资源 通过SSO单点客户端调用本地数据库工具,登录和运维数据库资源,实现对数据库的运维审计。用户需先在本地安装SSO单点登录工具和数据库客户端工具,然后配置数据库客户端工具路径。 本小节主要介绍如何配置SSO单点客户端,以及如何通过SSO单点客户端登录数据库资源。
文件传输 通过Web运维支持“文件传输”功能,在Web浏览器会话窗口上传/下载文件。不仅可实现本地与主机之间文件的传输,同时可实现不同主机资源之间文件的相互传输。CBH系统详细记录传输文件的全过程,可实现对文件上传/下载的审计。 “主机网盘”是为CBH用户定义的系统个人网盘,可作为不同主
库敏感信息的安全,避免关键信息的丢失和泄露,本文针对运维用户访问和运维数据库关键信息,详细介绍了如何设置数据库高危操作的复核审批,以及如何实现关键信息的重点监控。 本文以管理员admin_A授权运维用户User_A,针对MySQL数据库资源RDS_A高危操作的二次授权为例。 应用场景
先创建应用服务器后,再通过文件导入、新建实现对应用资源的纳管,纳管后可对应用资源所有信息进行查看,以实现对资源的运维。 √ √ 云服务资源管理 先创建Kubernetes服务器后,再通过新建实现对容器节点资源的纳管,纳管后可对容器资源所有信息进行查看,以实现对资源的运维。 × √ 资源系统类型管理
配置USBKey登录 uToken是基于USBKey实现的OTP动态密码技术。配置USBKey认证后,登录系统时需接入USBKey,登录页面自动识别唯一关联USBKey,输入相应PIN码,才能通过身份认证。 若您不慎卸载USBkey驱动导致无法登录,可选择重置admin登录方式,详情请参见重置admin登录方式。
不同网络环境或专有网络环境资源:通过在堡垒机实例创建代理服务器实现纳管,目前仅支持SOCKS5代理。 应用资源 通过在堡垒机实例新建应用服务器,实现应用客户端与堡垒机实例的对接,随后在堡垒机实例新建应用资源实现纳管。 数据库资源 在堡垒机实例通过新建、导入、自动发现进行连接纳管。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
