检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
不同部门的用户,仅同部门和上级部门管理员可管理用户。 仅系统管理员admin或拥有“部门”模块权限的用户,可管理系统部门组织结构,包括新建部门、编辑部门、删除部门、查询部门用户和查询部门资源等。 图1 部门管理 父主题: 系统部门
授权用户若需继续执行操作,需管理员批准工单。 以命令控制策略的动态授权为例。 管理员用户登录云堡垒机,选择“策略 > 命令控制策略”,新建字符(SSH或Telnet)命令集和命令控制策略。 命令控制策略“执行动作”需选择“动态授权”。
缺省情况下,系统角色包括部门管理员、策略管理员、审计管理员和运维员。 部门管理员:负责部门管理,除“用户管理”和“角色管理”模块之外,部门管理员拥有其他全部模块的配置权限。 策略管理员:负责策略权限的配置,拥有“用户组管理”、“资源组管理”和“访问策略管理”等模块的配置权限。
仅管理员“批准”工单后,运维用户才能继续执行被拦截的高危操作。 图11 审批工单
大队管理员User A和User B均拥有审批权,只要任意一人批准,则该环节审批通过,任意一人驳回,则该环节审批不通过。大队管理员审批通过后,下一环节将由村管理员User C进行审批。以此类推,直到镇管理员User D审批通过后,用户即可获得相应的权限。
系统管理员admin默认保持“已启用”状态,不支持禁用admin用户。 启用 默认为启用,用户状态为“已启用”,用户在权限范围内可正常使用。 禁用 用户状态为“已禁用”。用户账号被禁用后,将被禁止登录系统,失去系统所有操作权限;已登录的用户将被强制退出。
管理员用户修改Web登录超时时间,详细配置说明请参见Web登录配置。 管理员用户重新设置个人网盘空间。 排查客户端使用的协议和上传工具是否与云堡垒机兼容 云堡垒机暂不支持debian+rdp协议和zoc工具上传/下载文件。
约束限制 仅系统管理员admin可查看和修改系统角色。 系统默认角色不支持修改角色的管理权限。 系统默认角色支持一键恢复默认权限范围。 操作步骤 登录堡垒机系统。 在左侧导航树中,选择“用户 > 角色”,进入角色列表页面。 查询角色。
约束限制 系统管理员admin的密码不能被其他任何用户重置,可在admin的个人中心修改。 批量重置仅能生成相同用户密码,建议被批量重置密码的用户登录系统后及时修改个人密码。 批量重置密码仅能修改其他用户密码,不能修改个人密码。 用户密码不支持明文查看和导出。
修改组策略 前提条件 已获取服务器管理员账号与密码。 打开本地组策略编辑器 打开CMD运行窗口,输入gpedit.msc,打开本地组策略编辑器。
动态授权:当会话执行策略生效的命令时,直接拒绝命令的执行,需要向管理员提交审批,管理员通过之后才能执行。 允许执行:当会话执行策略生效的命令时,允许执行。 有效期 策略生效时间和策略的失效时间。 时段限制 限制策略的生效时间段。 单击“下一步”,关联命令或命令集。
查看系统报表 运维用户登录堡垒机系统,以及在系统内进行操作后,审计管理员可查看系统详细报表,主要涵盖“用户控制”、“用户与资源操作”、“用户源IP数”、“用户登录方式”、“异常登录”、“会话控制”、“用户状态”等趋势图和详细数据。
修改组策略 前提条件 已获取服务器管理员账号与密码。 打开本地组策略编辑器 打开CMD运行窗口,输入gpedit.msc,打开本地组策略编辑器。
仅系统管理员admin或拥有“用户”模块权限用户,可管理用户组,包括新建用户组、维护用户组成员,管理用户组信息、删除用户组等。
变更流程 本文涵盖系统管理员admin变更云堡垒机规格的详细过程,包括变更规格前备份系统数据、变更版本规格、变更规格后恢复系统配置,以及验证变更规格后系统配置等过程。
约束限制 上级部门管理员向下级部门账户组添加资源账户时,可将上级部门的资源账户添加到下级部门账户组。 下级部门拥有“资源账户”模块管理权限的用户,将当前账户组中的上级部门资源账户移除后,不能再添加移除的上级部门资源账户。 一个资源账户可加入多个账户组。
其他任何用户都不能重置系统管理员admin的密码。 批量重置密码仅能修改其他用户密码,不能修改个人密码。 用户密码重置后不能明文查看和导出。 更多用户账户管理说明,请参见用户管理。 父主题: 登录方式及密码类
例如运维人员登录堡垒机系统,执行配置权限、审计管理等操作后,审计管理员将会收到系统日志记录。通过系统日志记录,可查询详细的系统登录和操作记录,在线审计系统日志。 前提条件 已获取“系统登录日志”或“系统操作日志”模块管理权限。 查看系统登录日志 登录堡垒机系统。
查看运维报表 运维用户通过堡垒机登录资源,以及进行运维操作后,审计管理员可查看运维详细报表,主要涵盖“运维时间分布”、“资源访问次数”、“会话时长”、“来源IP访问数”、“会话协同”、“双人授权”、“命令拦截”、“字符命令数”和“传输文件数”等趋势图和详细数据。
查看实时会话 运维人员通过堡垒机登录资源后,审计管理员将会实时收到会话记录,通过实时会话查看正在进行的运维会话,以免运维违规操作造成损失。 前提条件 已获取“实时会话”模块管理权限。 有正在进行中运维会话。 操作步骤 登录堡垒机系统。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
