检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
SC客户端直接登录运维资源。 系统认证方式 云堡垒机采用多因子认证和远程认证技术,加强系统用户身份认证管理。 引用多因子认证技术,包括手机短信、手机令牌、USBKey、动态令牌等方式,安全认证登录用户身份,降低用户帐号密码风险。 对接第三方认证服务或平台,包括AD域、RADIUS、LDAP、Azure
导出用户信息 堡垒机支持批量导出用户信息,用于本地备份用户配置,以及便于快速修改用户基本信息。 约束限制 支持导出用户登录名、认证类型、认证服务器、用户姓名、手机号码、邮箱、角色、所属部门、用户组等基本信息。 为保障用户账号安全,账号登录密码不支持导出。 前提条件 已获取“用户”模块操作权限。
堡垒机运维审计。 安全计算环境:身份鉴别 等保条例:应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换; 本条款主要考察如下三点: 是否对登录用户进行身份识别和鉴别使用浏览器访问堡垒机页面,证明需要对用户身份进行鉴别之后才可正常使用产品功能。
单点登录(Single Sign On,SSO)是指在多个独立应用系统环境下,各个应用系统相互信任,在一个应用系统中将用户认证信息映射到其他系统中,多个系统共享用户认证数据。简言之,即用户通过登录一个应用系统,就可以访问其他所有相互信任的应用系统,实现用户单点多系统登录。 资产数 资产
常。 用户身份验证。 根据命令提示,在新建会话窗口,输入用户身份验证信息。 SSH客户端登录认证支持“密码登录”、“公钥登录”、“手机短信”、“手机令牌”和“动态令牌”方式。其中“手机短信”、“手机令牌”和“动态令牌”方式,需配置用户多因子认证,详情请参考配置多因子认证。 表1 SSH客户端登录验证说明
Host,CBH),云堡垒机是华为云的一款4A统一安全管控平台,为企业提供集中的账号(Account)、授权(Authorization)、认证(Authentication)和审计(Audit)管理服务。 在调用云堡垒机API之前,请确保已经充分了解云堡垒机相关概念,详细信息请参见产品介绍。
CTS记录CBH实例相关操作事件,方便用户日后的查询、审计和回溯,更多说明请参见云审计支持的CBH操作。 与统一身份认证服务的关系 统一身份认证服务(Identity and Access Management,IAM)为CBH实例提供用户身份鉴权、IAM用户权限设置等权限管理服务,更多详细说明请参见CBH权限管理。
户可继续使用历史版本规格的实例。 实例版本规格 表1 不同版本功能 功能版本 功能说明 标准版 基础功能:身份认证、权限控制、账号管理、安全审计 专业版 基础功能:身份认证、权限控制、账号管理、安全审计 增强功能:云服务运维、自动化运维、数据库运维审计 表2 不同规格配置说明 资产数
全码才能查看用户的手机、邮箱。但用户密码对所有人(包括本人)都不明文可见。 二次认证: 云堡垒机系统用户账号配置用户登录限制“多因子认证”后,用户在登录系统时开启登录验证功能,需要二次认证(二次认证方式支持“手机短信”、“手机令牌”、“USBKey”、“动态令牌”),有效保护用户敏感信息。
安全码才能查看用户的手机、邮箱。但用户密码对所有人(包括本人)都不明文可见。 二次认证 云堡垒机系统用户账号配置用户登录限制“多因子认证”后,用户在登录系统时开启登录验证功能,需要二次认证(二次认证方式支持“手机短信”、“手机令牌”、“USBKey”、“动态令牌”),有效保护用户敏感信息。
0系统版本新上线 新增Azure AD远程认证功能 优化更多系统运维管理功能。 商用 升级系统版本 2 Azure AD远程认证 通过配置Azure AD远程认证,支持复用Microsoft第三方服务用户帐号,远程认证登录云堡垒机系统。 商用 配置Azure AD认证 3 支持实例500资产规格
资产识别与管理 CBH服务已对接RMS服务,在华为云控制台右上角单击资源-我的资源便可查看用户所拥有的资源,例如弹性云服务器(ECS)、虚拟私有云(VPC)、对象存储服务(OBS)以及云堡垒机服务(CBH)等服务,通过RMS,可以查看各资源的详情,例如ECS的状态、规格等等。 云
云堡垒机有Navicat等第三方插件相关的功能,若用户通过Navicat等第三方插件进行数据库等资产管理,由于Navicat属第三方应用,云堡垒机不提供相应License认证,需要单独联系Navicat申请License。 父主题: License相关
云、完成实名认证、为账户充值。请保证账户有足够的资金,以免购买资源失败。 注册华为账号并开通华为云,完成实名认证。如果您已有一个华为账号,请跳到下一个任务。 如果您还没有华为账号,请执行以下操作。 注册华为账号并开通华为云。 参考实名认证,完成个人或企业账号实名认证。 为账户充值
Bastion Host,CBH)是华为云的一款统一安全管控平台,为企业提供集中的账号(Account)、授权(Authorization)、认证(Authentication)和审计(Audit)管理服务。 云堡垒机提供云计算安全管控的系统和组件,包含部门、用户、资源、策略、运维、
已登录的用户定期修改密码,请参见修改密码。 约束限制 云堡垒机用户账号被锁定期间不支持重置密码。用户可待锁定时间到期后,再进行重置密码操作。 配置了AD域认证或RADIUS认证的云堡垒机用户,需在AD域或RADIUS服务器上重置密码或修改密码,不能通过云堡垒机系统重置密码、设置密码期限等用户密码管理操作。
原因四:实例配置安全组不合理。 原因五:实例配置VPC内,网络ACL规则配置不合理,或登录IP被网络ACL限制。 原因六:配置AD域认证时,未禁用SSL加密认证。 原因七:堡垒机版本较低。 解决办法 原因一: 定期“手动删除”指定日期前的日志、视频等历史数据。设置磁盘空间满时日志“自动
端口配置,详情请参见系统端口配置。 外发配置,详情请参见系统外发配置。 用户有效期倒计时邮件:配置完成后在到期前5天才会发送邮件。 认证配置,详情请参见远程认证配置。 工单配置,主要介绍工单配置的基本模式、高级模式、审批流程等,详情请参考工单配置管理。 告警配置,详情请参见系统告警配置。 系统风格,详情请参见系统风格变更。
理控制台右上方的“工单”,填写工单信息反馈问题现象,联系技术支持。 更多云堡垒机手机短信登录介绍,请参见登录云堡垒机系统和如何使用手机短信认证方式登录系统? 更多重置密码介绍,请参见如何重置云堡垒机系统登录密码? 父主题: 运维故障
若用户信息有变更需求,可通过用户管理功能查看和修改,包括查看用户基本信息、查看用户登录配置、查看授权资源账户、修改用户组基本信息、修改用户登录限制、关闭或开启多因子认证、设置用户账号使用有效期等。 前提条件 已获取“用户”模块操作权限。 查询用户账号 登录堡垒机系统。 选择“用户 > 用户管理”,进入用户列表页面。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
