检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
命令控制策略用于控制用户访问资源的关键操作权限,实现Linux主机运维操作的细粒度控制。 针对SSH和Telnet字符协议主机,根据管理员配置的策略限制,Guacd代理对用户运维过程中执行的命令进行审计和过滤,并返回审计的命令、过滤结果和命令返回的内容,用于会话操作记录、动态授权、断开连接等动作。
使用指定许可证服务器 隐藏有关影响RD会话主机服务器的RD授权问题的通知 选择“计算机配置 > 管理模板 > Windows组件 > 远程桌面服务 > 远程桌面会话主机 > 授权”,进入服务器授权许可设置页面。 双击“隐藏有关影响RD会话主机服务器的RD授权问题的通知”,打开设置窗口。 勾选“已启
可根据需求选择一次性续费和自动续费。 前提条件 已“一键放通”云堡垒机网络限制。 当收到网络限制提示时,请先“一键放通”网络限制,确保续费更新授权成功。 您可以在安全组和防火墙ACL中查看相应规则。 云堡垒机所在安全组允许访问出方向9443端口。 云堡垒机所在子网未关联防火墙ACL,或关联的防火墙
行,务必谨慎操作。 切换虚拟私有云过程中,请勿操作云服务器的弹性公网IP,或对云服务器做其它操作。 子网 当期实例配置的VPC网络环境的子网。 Vip 当前实例的浮动IP。 私有IP 当前实例的私有IP地址,包括备机的IP地址。 安全组 用户配置的虚拟网络环境安全规则。 父主题:
文件管理”和“预置命令”等功能。用户在主机上执行的所有操作,被堡垒机记录并生成审计数据。 约束限制 FTP、SFTP、SCP、DB2、MySQL、Oracle、SQL Server协议类型资源,不支持批量登录。 手动登录账户和双人授权账户,不支持批量登录。 批量登录的多运维会话窗口,不支持“协同分享”功能。
用户账号需配置了“USBKey”多因子认证,才能为用户账号签发USBKey。 签发授权USBkey前,需提前申购USBKey,并在本地安装对应的USBKey驱动。 不同的厂商USBKey不能相互识别登录认证,用户根据申购的USBKey配置USBKey厂商。 前提条件 已申购USBKey。 已获取“用户”模块管理权限。
对运维操作指令和脚本的准确拦截,并可通过异步“动态授权”,实现对敏感操作的动态管控,防止误操作或恶意操作的发生。 核心资源二次授权 借鉴银行金库授权机制,针对重要资源的运维权限设置多人授权,若需登录此类资源,需多位授权候选人进行“二次授权”,加强对核心资源数据的保护,提升数据安
单击“文件传输”,即可查看到主机网盘或云主机上文件。 云主机是CBH纳管的资源,用户可管理资源中文件或文件夹。 主机网盘是一个系统用户的个人网盘,用户可将个人网盘作为不同主机资源间的文件“中转站”,实现纳管资源间文件的传输。 授权了“上传”或“下载”权限的资源,单击或标识,可对文件进行上传或下载操作。
实例审计日志操作和说明,请参见CBH云审计。 系统审计 云堡垒机系统能集中管理用户登录系统,提供系统日志和系统报表。此外,CBH系统授权用户登录被纳管的资源,并进行运维操作,云堡垒机提供用户对系统和资源的运维记录,包括历史会话和运维报表。系统审计日志详细内容,请参见表1。 表1 CBH系统审计日志说明 日志类型 日志内容
户端习惯的前提下,对授权云主机资源进行远程文件传输管理。用户在主机上执行的所有操作,被堡垒机记录并生成审计数据。 本小节主要介绍如何获取客户端登录信息,并登录文件传输类资源。 约束限制 仅FTP、SFTP、SCP协议主机支持通过Web浏览器登录,且登录资源的客户端工具的版本要求如下:
区域和可用区 什么是区域和可用区? 云堡垒机可以跨账号管理资源吗? 云堡垒机可以跨区域或跨VPC网络管理主机吗? 云堡垒机支持在专属云上使用吗?
系统运维 跨云跨VPC线上线下统一运维 针对您的服务器资源分布在跨VPC、线下IDC机房、非华为云等跨网络域的场景,华为云堡垒机提供了通过网络代理服务器进行运维的方案,便于您在没有搭建网络专线的情况下,纳管各网络域的各类服务器资源,从而通过华为云堡垒机统一管理、运维您的各类工作负载。
权限管理 创建用户并授权使用CBH实例 CBH实例自定义策略 CBH实例权限及授权项 父主题: 实例
户登录名等信息。 双人授权 呈现用户或资源所属会话通过双人授权的数量,默认按小时呈现当天运维数据变化趋势。 在“详细数据”区域,可查看授权时间、用户登录名、资源名称、协议类型、资源账户、双人授权用户登录名等信息。 命令拦截 呈现用户或资源所属会话触发的拦截的命令数量,默认按小时呈现当天运维数据变化趋势。
单后,才能继续操作。 主机运维方式不支持生成和下载数据库运维历史会话视频。 应用运维方式 只要数据库与应用发布服务器网络连接通畅,且应用发布服务器与云堡垒机网络连接通畅,应用运维方式可以Web运维所有类型数据库,支持代填数据库的账户和密码。 管理员创建数据库应用资源。 选择“资源
使用Web浏览器登录堡垒机 堡垒机基于Web浏览器登录系统的方式,可通过各大主流浏览器登录,并可使用系统管理和资源运维功能。建议系统管理员admin或管理员使用Web浏览器登录进行系统管理和授权审计。 支持的登录方式包括静态密码、手机短信、手机令牌、USBKey、动态令牌、邮箱认证。
Management,IAM)是华为云提供权限管理的基础服务。默认情况下,新建的IAM用户没有任何权限,您需要授权IAM用户后,IAM用户才可以基于已有权限对云服务进行操作。CBH服务已开通IAM细粒度权限管理功能,通过IAM权限管理,可对CBH实例的购买、升级、变更规格等关键操作进行细粒度授权。 此外,CBH系
加或移除关联的规则集。 在相应规则集行,单击“移除”,可立即删除该关联规则集。 查看和修改策略关联的用户。 在“用户”区域,单击“编辑”,弹出关联用户窗口,可立即添加或移除关联的用户。 在相应用户行,单击“移除”,可立即删除该关联用户,取消授权。 查看和修改策略关联的用户组。 在
在相应用户行,单击“移除”,可立即删除该关联用户,取消授权。 查看和修改策略关联的用户组。 在“用户组”区域,单击“编辑”,弹出关联用户组窗口,可立即添加或移除关联的用户组。 在相应用户组行,单击“移除”,可立即删除该关联用户组,取消授权。 查看和修改策略关联的资源账户。 在“资源账户”区域,单击
表示关闭备份日志至Syslog服务器。 发送者标识符 自定义堡垒机到Syslog服务器的标识符。用于在Syslog日志服务器,区分所接收的日志来自于相应的堡垒机。 服务器IP 输入Syslog服务器的IP地址。 端口 输入Syslog服务器的端口。 协议 选择Syslog服务器协议类型。 可选择TCP或UDP。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
