检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
登录系统概述 登录堡垒机时支持本地登录、IAM登录、admin三种登录方式,可根据需求使用账号选择对应的本地登录或IAM登录方式进行登录,admin可直接登录。 如果当前浏览器已通过任意方式登录,在登录其他账号时,需要将已登录的账号退出才可正常登录。 开放端口要求 为避免网络故障
操作堡垒机实例资源标签 功能介绍 操作堡垒机实例资源标签。 调用方法 请参见如何调用API。 URI POST /v2/{project_id}/cbs/instance/{resource_id}/tags/action 表1 路径参数 参数 是否必选 参数类型 描述 project_id
新建访问控制策略并关联用户和资源账户 访问控制策略用于控制用户访问资源的权限。 访问控制策略支持以下功能项: 支持策略的批量导入。 支持按策略列表页策略排序区分优先级,排序越靠前优先级越高。 策略基本限制和授权功能,包括使用有效期、登录时段限制、用户IP限制、文件传输权限、文件管
设置双人授权 双人授权即金库授权模式。配置双人授权后,运维人员若需访问核心资源,要求管理员现场授权认证,通过认证后才能访问核心资源。即使运维人员账号丢失,也不会泄露核心资源信息,降低运维风险,保障核心资产安全。 约束限制 授权候选人仅可选择本部门及上级部门的部门管理员,包括系统管理员admin。
云堡垒机系统有哪些安全加固措施? 云堡垒机有完整的安全生命周期管理,从系统开发过程的安全编码规范,到经过严格安全漏洞扫描、渗透测试等安全性测试,并通过了公安部门的安全检测,符合“网络安全法”等法律法规,满足合规性规范审查要求,达到信息安全等级评定Ⅲ级标准。 系统数据安全 登录安全
创建堡垒机实例 功能介绍 创建云堡垒机实例。 调用方法 请参见如何调用API。 URI POST /v2/{project_id}/cbs/instance 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID。 获取方法详见API参考,附录"获取项目ID"
使用客户端登录堡垒机 客户端登录是在不改变用户原使用客户端习惯的条件下,可对授权资源进行运维管理。运维人员可选择使用SSH客户端和MSTSC客户端直接登录运维资源。 通过SSH客户端登录支持的登录方式包括静态密码、公钥登录、手机短信、手机令牌、动态令牌等。 通过MSTSC客户端登录仅支持静态密码的登录方式。
自动化运维包括哪些内容? 云堡垒机“专业版”支持自动化运维功能,可将复杂运维精准化和效率化。自动化运维主要包括资源账户同步、脚本线上管理、多资源快速运维,以及多步骤自动运维。 资源账户同步:通过账户同步功能,可以实现对主机上资源账户的有效监管,及时发现僵尸账户或未纳管账户,加强对资产的管控。
启用HA 堡垒机支持双机HA热备功能。启用HA备份后,用户登录系统,使用HA热备机功能,此时主节点断开,备节点也可提供服务。 本小节主要介绍如何启用双机HA备份。 约束限制 必须先配置主节点。主节点配置生效后,再配置备节点,并需确保主备节点使用内网进行HA同步配置。 备节点HA配
资源运维过程有哪些常见报错? 通过云堡垒机登录资源,运维过程系统发出请求后,若遇到错误,会在响应中包含响应的错误码,以及描述错误信息。 CBH系统的常见错误码,以及错误排查方法,请参见表1。 表1 常见运维错误码 错误码 错误提示 排查方法 ERROR_CLIENT_514 Code:C_514
SSH协议主机,如何使用FTP/SFTP传输文件? 运维员admin_A需要利用FTP/SFTP客户端,向云堡垒机已纳管的SSH协议主机HOST_A传输文件。 前提条件 系统要求:目标设备支持SFTP/FTP协议。 防火墙要求:开放2222(堡垒机SFTP协议)端口、2121(堡垒机FTP协议)端口。
通过Web浏览器登录资源进行运维 通过Web浏览器登录主机,提供“协同分享”、“文件传输”、“文件管理”和“预置命令”等功能。用户在主机上执行的所有操作,被堡垒机记录并生成审计数据。 “协同分享”指会话创建者将当前会话链接发送给协助者,协助者通过链接登录创建者的会话中参与运维,实现运维协同操作。
删除系统数据 当系统数据盘使用率高于95%后,可能导致系统故障无法使用。为确保系统数据盘的正常使用,您可参考本小节配置自动删除或定期手动删除系统数据。 通过自动或手动删除的系统数据,主要为数据盘暂存的文件,包括历史会话视频大文件、本地备份的日志文件、本地备份的系统配置文件等。 系
查看应用运维列表并设置资源标签 运维用户获取应用发布资源访问操作权限后,即可在应用运维列表查看已授权资源,并设置资源标签。 本小节主要介绍如何查看已授权资源,以及如何设置资源标签。 约束限制 每个用户可自定义资源标签,资源标签仅能个人账号使用,不能与系统内用户共用。 前提条件 已获取“应用运维”模块管理权限。
服务版本差异 目前云堡垒机提供标准版和专业版两个功能版本,标准版版本配备10、20、50、100、200、500、1000、2000、5000、10000资产规格,专业版配备10、20、50、100、200、500、1000、2000、5000、10000资产规格。 更多版本规格说明,请参见云堡垒机规格版本。
查看主机运维列表并设置资源标签 运维用户获取主机资源访问操作权限后,即可在主机运维列表查看已授权资源,并设置资源标签。 本小节主要介绍如何查看已授权资源,以及如何设置资源标签。 约束限制 每个用户可自定义资源标签,资源标签仅能个人账号使用,不能与系统内用户共用。 “登录配置下载”仅支持SSH运维的资源。
续费 为保证用户正常使用云堡垒机服务,在云堡垒机许可证到期前或使用许可到期后,用户可通过“续费”操作增加授权使用期限。 在云堡垒机到期前,可以通过“续费”操作延长到期时间。 在云堡垒机到期后,可以通过“续费”操作继续使用云堡垒机。若未及时续费,则进入“保留期”,将冻结云堡垒机,不
配置远程备份至Syslog服务器 为加强对系统数据的容灾管理,堡垒机支持配置日志备份,提高审计数据安全性和系统可扩展性。 本小节主要介绍如何在系统配置Syslog服务器参数,将日志远程备份至Syslog服务器。 注意事项 开启远程备份后,系统默认在每天零点备份前一天的系统数据。
认证鉴权 调用接口有如下两种认证方式,您可以选择其中一种进行认证鉴权。 Token认证:通过Token认证调用请求。 AK/SK认证:通过AK(Access Key ID)/SK(Secret Access Key)加密调用请求。推荐使用AK/SK认证,其安全性比Token认证要高。
查看云服务运维列表并设置资源标签 运维用户获取云服务资源访问操作权限后,即可在云服务运维列表查看已授权资源,并设置资源标签。 本小节主要介绍如何查看已授权资源,以及如何设置资源标签。 约束限制 每个用户可自定义资源标签,资源标签仅能个人账号使用,不能与系统内用户共用。 前提条件 已获取“云服务运维”模块管理权限。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
