检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
获取创建堡垒机实例所需ECS资源配额 功能介绍 获取当前租户所选择的可用分区里的堡垒机ECS规格是否可用。 调用方法 请参见如何调用API。 URI GET /v2/{project_id}/cbs/instance/ecs-quota 表1 路径参数 参数 是否必选 参数类型 描述
创建用户并授权使用CBH实例 如果您需要对您所拥有的云堡垒机(Cloud Bastion Host,CBH)服务进行精细的权限管理,您可以使用统一身份认证服务(Identity and Access Management,IAM),通过IAM,您可以: 根据企业的业务组织,在您的
配置RADIUS远程认证 堡垒机与RADIUS服务器对接,认证登录系统的用户身份。 本小节主要介绍如何配置RADIUS域认证模式,并可对配置的RADIUS认证进行用户有效性测试。 前提条件 用户已获取“系统”模块管理权限。 已获取RADIUS服务器相关信息。 操作步骤 登录堡垒机系统。
云堡垒机系统的一个用户代表一个可登录自然人,支持新建本地用户,批量导入用户,以及同步AD域用户。 系统管理员admin是系统最高权限用户,也是系统第一个可登录用户。 如何新建用户,详细操作可参考新建用户章节。 父主题: 系统用户类
云堡垒机可提供哪些审计日志? 云堡垒机分别提供实例和系统审计日志。 实例审计 云堡垒机实例审计,需开启云审计服务(Cloud Trace Service,简称CTS),实现对CBH实例的操作的记录,CTS管理控制台将保存最近7天的操作记录。 实例审计日志操作和说明,请参见CBH云审计。
Web控制台端口是通过Web浏览器登录堡垒机的访问端口,默认端口号443。 默认端口修改后,需同时修改实例安全组配置的端口。 本小节主要介绍如何管理系统Web控制台端口。 前提条件 已获取“系统”模块管理权限。 操作步骤 登录堡垒机系统。 选择“系统 > 系统配置 > 端口配置”,进入系统端口配置页面。
SSH控制台端口是通过SSH客户端登录堡垒机的访问端口,默认端口号22。 默认端口修改后,需同时修改实例安全组配置的端口。 本小节主要介绍如何管理系统SSH控制台端口。 前提条件 已获取“系统”模块管理权限。 操作步骤 登录堡垒机系统。 选择“系统 > 系统配置 > 端口配置”,进入系统端口配置页面。
下载中心 下载中心提供客户端工具下载链接,包括数据库客户端等工具包,同时提供下载或导出任务的查看。 下载中心仅自己可见,生成的文件也仅自己可以下载。 操作步骤 登录堡垒机系统。 单击右上角,进入“下载中心”选择“常用工具”页签。 单击,即可跳转到第三方工具页面,根据实际需求下载工具。
云审计支持的CBH实例操作 云审计服务(Cloud Trace Service,简称CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 开启了云审计服务后,系统开始记
配置Azure AD远程认证 堡垒机与Azure AD平台对接,认证登录系统的用户身份。 本小节主要介绍如何配置Azure AD认证模式。 前提条件 用户已获取“系统”模块管理权限。 已在Azure AD创建用户和添加企业应用程序,并获取Azure AD平台配置的相关信息。 操作步骤
配置USB Key厂商 本小节主要介绍如何配置系统USB Key厂商。 约束限制 目前堡垒机支持的有龙脉科技(GM3000)、龙脉科技-国密(GM3000)、吉大正元和飞天诚信(ePass3000GM)厂商的USBKey, 更改USBKey厂商配置后,已签发的其他厂商USB Key将不能被识别。
接入ERP生产系统、ERP容灾系统、SAP生产系统、SAP开发/测试系统、SAP Router、SAP Hybris等典型场景的应用、数据库或网页,将ERP和SAP上云业务作为一个网页或应用来审计和录屏操作,实现对企业上云业务的统一管理。 父主题: 产品咨询
支持生成运维视频,并支持一键下载和删除视频管理。 约束限制 通过Web运维支持文本和视频审计。 通过SSH客户端运维、客户端文件传输和数据库运维仅支持文本审计,不支持视频审计。 视频仅可回放有效会话记录,即登录资源到最后一次会话操作的这一段记录。 生成视频后,视频将缓存在系统空
CBH实例权限及授权项 如果您需要对您所拥有的云堡垒机(Cloud Bastion Host,CBH)服务进行精细的权限管理,您可以使用统一身份认证服务(Identity and Access Management,IAM),如果华为云账号已经能满足您的要求,不需要创建独立的IA
新建Kubernetes服务器 堡垒机支持您将Kubernetes服务器添加至堡垒机上进行管理。本小节介绍如何将Kubernetes服务器添加至堡垒机上。 约束限制 纳管的Kubernetes服务器数量受堡垒机的License限制。 新建Kubernetes服务器需要“Kubernetes服务器”模块操作权限。
新建容器 堡垒机支持您将容器添加至堡垒机上进行管理。本小节介绍如何将容器添加至堡垒机上。 约束限制 对容器的操作需要“容器列表”模块操作权限。 已将容器所在的Kubernetes服务器添加至堡垒机进行管理,详情操作请参见新建Kubernetes服务器。 使用此功能需要V3.3.48
新建访问控制策略并关联用户和资源账户 访问控制策略用于控制用户访问资源的权限。 访问控制策略支持以下功能项: 支持策略的批量导入。 支持按策略列表页策略排序区分优先级,排序越靠前优先级越高。 策略基本限制和授权功能,包括使用有效期、登录时段限制、用户IP限制、文件传输权限、文件管理权限、RDP剪切板功能、键盘审计
权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。 CBH实例部署时通过物理区域划分,为项目级服务。授权时,“作用范围”需要选择“区域级项目”,然后在指定区域(如华北-北京1)对应的项目(cn-north-1)中设置相关权限,并且该权限仅对此项目生效;如
加入用户组 本章节指导您如何将用户加入到用户组,一个用户可加入多个用户组。 约束限制 上级部门管理员向下级部门用户组添加用户时,可将上级部门的用户添加到下级部门用户组。 下级部门拥有“用户”模块管理权限的用户,将当前用户组中的上级部门成员移除后,不能再添加移除的上级部门用户。 前提条件
自定义角色 系统中的默认角色包括部门管理员、策略管理员、审计管理员和运维员。本章节指导您如何自定义创建角色。 约束限制 仅系统管理员admin可新建系统角色。 系统用户组和账户组模块权限无需单独配置,通过配置用户和资源账户模块即可获取权限。 新建角色 登录堡垒机系统。 在左侧导航树中,选择“用户
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
