检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
“删除标签”将去除所选资源上的所有标签。 当创建标签不被任何资源使用时,将会自动被删除。 主机或应用标签的单个删除,可单击主机或应用资源列表的“管理”,在资源基本信息编辑页面,对已有标签单个删除。 更多CBH资源标签介绍请参见如何使用云堡垒机资源标签? 父主题: 资源添加类
全景图 立即使用 成长地图 由浅入深,带您玩转CBH 01 了解 了解云堡垒机功能特性、使用场景和产品优势,助您快速熟悉云堡垒机业务范围,实现对运维资源的4A安全管控。 产品介绍 什么是CBH 功能特性 使用场景 服务版本差异 03 入门 系统管理员admin首次登录后,需要依次创建
仅能通过“文件传输”操作上传/下载文件。 Linux主机资源支持在客户端执行命令方式传输文件,例如在SSH客户端执行rz/sz命令上传/下载文件。但该方式不能被CBH系统记录上传/下载的具体文件,不能达到对全程安全审计的目的。 支持下载一个或多个文件,不支持下载文件夹。 不支持
仅能通过“文件传输”操作上传/下载文件。 Linux主机资源支持在客户端执行命令方式传输文件,例如在SSH客户端执行rz/sz命令上传/下载文件。但该方式不能被CBH系统记录上传/下载的具体文件,不能达到对全程安全审计的目的。 支持下载一个或多个文件,不支持下载文件夹。 不支持
y-data”参数值,并将“certificate-authority-data”参数值base64解码后填入。 服务器描述 (可选)输入对该服务器的描述。 单击“确定”,完成Kubernetes服务器的创建。 父主题: 云服务管理(通过堡垒机纳管容器资源)
拒绝,无法调用配置的应用程序,提示“无法启用此初始程序”错误。 图1 应用发布程序无法启用 可能原因 Windows病毒和威胁防护更新后,对执行程序进行病毒检查时,Windows Defender会禁止启用所有名称中含有“administrator”字样的exe程序,例如默认支持
原剪切板功能改为上行、下行剪切板。 支持对国产操作系统(统信UOS V20和麒麟V10)的安全运维。 新增僵尸用户策略功能,支持对僵尸用户的判断进行自定义。 Windows应用发布类型增加Navicat for PostgreSQL。 Linux应用发布类型增加达梦数据库,支持的客户端为达梦管理工具V8,数据库版本是V8
倍增长。同时很多企业为解决人力不足的问题选择把系统运维转交给系统供应商或第三方代维商进行,由于涉及提供商、代维商过多,人员复杂流动性又大,对操作行为缺少监控带来的风险日益凸显。 云堡垒机针对大量用户和大量资产,可海量容纳庞大人员和资源数据,运维人员单点登录,解决运维人员维护多台资
进行代运维。 如果华为云账号已经能满足您的要求,不需要创建独立的IAM用户,您可以跳过本章节,不影响您使用服务的其它功能。 本章节为您介绍对用户授权的方法,操作流程如图1所示。 前提条件 给用户组授权之前,请您了解用户组可以添加的CBH服务权限,并结合实际需求进行选择,CBH服务
Windows服务器文件存放的默认路径在G盘,Linux服务器文件存放的默认路径在根目录。 Windows服务器上传下载文件,需打开服务器的磁盘目录,对NetDisk的G盘上文件复制/粘贴,实现对文件的上传/下载。 通过文件管理,可对云主机或主机网盘中文件或文件夹进行管理。 单击“文件传输”,展开文件传输界面。
剪切板:仅RDP协议类型主机可配置。 X11转发:仅SSH协议类型主机可配置。 所属部门 选择主机所属部门。 标签 (可选)自定义标签或选择已有标签。 主机描述 (可选)对主机的简要描述。 单击“下一步”,纳管主机资源的账号信息。 表2 纳管主机账户信息说明 参数 说明 添加账户 选择立即添加账户,或以后再添加账户。
配置令牌标识信息。 图1 签发动态令牌 表1 签发动态令牌参数说明 参数 说明 令牌标识 动态令牌条形码。 密钥 动态令牌的厂商提供,与“令牌标识”一一对应的唯一“密钥”。 关联用户 选择已配置“动态令牌”多因子认证的用户账号。 单击“确定”,返回动态令牌列表,即可查看已签发令牌标识。 关联用
“选择”已创建的SSH协议类型资源账户或账户组。 “重置”已选择的资源账户或账户组。 说明: 每个资源的执行账户最多一个。 更多选项 (可选) 提权执行:用户对资源账户执行任务权限不够时,需勾选上“提权执行”,用户需在该主机资源的Sudoers文件下执行任务。 覆盖重名文件:若上传主机路径下有同名文件,将覆盖原有文件,保留新上传文件。
> 系统维护 > 配置备份与还原”,进入系统配置备份管理页面。 启动自动备份。 在“备份列表”区域,开启“自动备份”,系统将在每天零点自动对系统配置备份。 立即启动备份。 在“备份列表”区域,单击“新建”,弹出新建备份弹窗。 输入备注信息来区分备份文件。 单击“确定”开始备份,备份成功后,可在备份列表查看已备份文件。
针对SSH协议类型主机,选择已配置SSH主机资源账户,将该账户提权为特权账户。 切换命令 针对SSH协议类型主机,配置相应切换命令,例如su root。 账户描述 对资源账户的简要描述。 单击“确定”,返回资源账户列表页面,看到新建的账户。 批量导入资源账户 文件导入方式上传的文件类型需为csv、xls或xlsx格式的表格文件。
cn-north-4 cbh.cn-north-4.myhuaweicloud.com HTTPS 基本概念 账号 用户注册时的账号,账号对其所拥有的资源及云服务具有完全的访问权限,可以重置用户密码、分配用户权限等。由于账号是付费主体,为了确保账号安全,建议您不要直接使用账号进行
授权。授权后,用户就可以基于已有权限对云服务进行操作。 权限根据授权的精细程度,分为角色和策略。角色以服务为粒度,是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。策略授权更加精细,可以精确到某个操作、资源和条件,能够满足企业对权限最小化的安全管控要求。 支持的授权项
用户源IP数趋势图 用户登录方式 呈现用户登录系统的不同登录方式的数量,默认呈现当天系统数据变化趋势。 登录方式包括Web页面、SSH客户端、FTP客户端、SFTP客户端。 在“详细数据”区域,可查看用户登录时间、用户登录名、来源IP、操作、操作结果等信息。 图3 用户登录方式趋势图 异常登录
如果有容灾能力的需求,建议在选择主可用区和备可用区时选择不同的可用区。 示例:“主可用区”选择“可用区2”,“备可用区”选择“可用区3”。 如果对网络时延有较高要求,主可用区和备可用区可选择在同一可用区,堡垒机将会部署在同一可用区的不同节点。 示例:“主可用区”和“备可用区”都选择“可用区2”。
运维用户执行高危操作,触发拦截,申请操作权限。管理员通过对高危操作的二次审核,加强对数据库核心资产的管控力度。 运维用户User_A登录资源RDS_A。 登录云堡垒机系统。 选择“运维 > 主机运维”。 单击“登录”,通过SSO单点登录工具调用数据库客户端,登录数据库资源RDS_A。 图8 登录数据库资源
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
