正在生成
详细信息:
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
修改“访问控制策略”基本信息,重新配置“有效期”或“登录时段限制”。 启用被禁用的“访问控制策略”。 修改“访问控制策略”的详情,重新关联用户或资源。 若“访问控制策略”被删除,请新建策略关联用户和资源。 更多访问控制策略配置说明,请参见访问控制策略。 父主题: 登录资源故障
步骤二:授权用户“文件管理” 通过配置访问控制策略,将资源的运维操作权限授予用户,以运维用户User1获取ECS1文件管理权限为例。 选择“策略 > 访问控制策略”,单击“新建”,进入“新建访问控制策略”窗口。 配置“基本信息”,开启策略“文件管理”权限。
云堡垒机支持哪些计费方式? 云堡垒机服务提供包月和包年和按需的计费方式。 在购买云堡垒机实例时,需要使用弹性云服务器的弹性IP,弹性IP需单独计费。 按需的计费模式目前仅适用于政务云专区。 父主题: 计费、到期续费与退订
配置说明 表2 访问控制策略基本信息说明 参数 说明 策略名称 自定义的访问控制策略名称,系统内“策略名称”不能重复。 有效期 (可选)选择策略生效时间和策略的失效时间。 文件传输 (可选)在运维过程中,对资源中文件上传和下载权限。
详细操作请参见账户同步策略。 脚本线上管理:支持管理Python和Shell两种脚本格式,通过导入脚本文件或在线编辑脚本,在云堡垒机系统一体化管理和运行脚本。 详细操作请参见脚本管理。
策略 访问控制策略 验证访问控制策略个数、名称、状态、关联用户、关联资源账户等配置信息。 命令控制策略 验证策略个数、名称、执行动作、关联命令集等配置信息。 验证命令集个数、名称、命令、参数等配置信息。 改密策略 验证策略个数、名称、状态、执行方式、改密方式等配置信息。
查看监控指标 您可以通过管理控制台,查看CBH的相关指标,及时了解堡垒机防护状况,并通过指标设置防护策略。 前提条件 CBH已对接云监控,即已在云监控页面设置监控告警规则。有关设置监控告警规则的详细操作,请参见设置监控告警规则。 操作步骤 登录管理控制台。
关联模板 模板 从下拉框中选择模板“例如CBH告警模板” - 告警策略 编辑“告警策略”。 - 发送通知 配置是否发送邮件、短信、HTTP和HTTPS通知用户。 是 通知方式 可选择通知组或者主题订阅 主题订阅 通知对象 需要发送告警通知的对象,可选择云账号联系人或主题。
策略管理员 用户权限策略管理员,负责主机运维的权限策略管理。主要负责策略权限的配置,拥有用户组管理、资源组管理和访问策略管理等模块的配置权限。 审计管理员 运维结果审计管理员,查询管理系统审计数据。
登录成功后,可管理部门、用户、资源、策略、系统配置等系统数据,以及审批工单和下载日志。 不支持“主机运维”和“应用运维”登录。 父主题: 运维管理
云堡垒机提供云计算安全管控的系统和组件,包含部门、用户、资源、策略、运维、审计等功能模块,集单点登录、统一资产管理、多终端访问协议、文件传输、会话协同等功能于一体。
通过Web浏览器、SSH客户端登录云堡垒机系统,依次创建用户、添加资源、配置权限策略,授予用户运维资源权限。 用户获取资源管理权限后,通过云堡垒机登录资源。 审计用户运维会话,以及审计用户登录系统和系统操作。 云堡垒机基础使用流程如图1所示。
更改安全组 安全组是一个逻辑上的分组,为同一个虚拟私有云内具有相同安全保护需求并相互信任的弹性云服务器、云堡垒机等提供访问策略。 为了保障云堡垒机的安全性和稳定性,在使用云堡垒机之前,您需要设置安全组,开通需访问资源的IP地址和端口。
背景介绍 安全组是一个逻辑上的分组,为同一个虚拟私有云内具有相同安全保护需求并相互信任的弹性云服务器、云堡垒机等提供访问策略。 为了保障云堡垒机的安全性和稳定性,在使用云堡垒机之前,您需要设置安全组,开通需访问资源的IP地址和端口。
身份策略授权 用户-策略 系统策略 自定义身份策略 为主体授予身份策略 身份策略附加至主体 核心关系为“用户-策略”,管理员可根据业务需求定制不同的访问控制策略,能够做到更细粒度更灵活的权限控制,新增资源时,对比角色与策略授权,基于身份策略的授权模型可以更快速地直接给用户授权,灵活性更强
自定义角色 系统中的默认角色包括部门管理员、策略管理员、审计管理员和运维员。本章节指导您如何自定义创建角色。 约束限制 仅系统管理员admin可新建系统角色。 系统用户组和账户组模块权限无需单独配置,通过配置用户和资源账户模块即可获取权限。 新建角色 登录堡垒机系统。
图2 系统地址 管理系统时间 当系统时间不正确时,将影响策略和工单的生效,也会导致“手机令牌”、“动态令牌”的绑定验证不通过。 登录堡垒机系统。 选择“系统 > 系统维护 > 系统管理”,进入系统管理页面。 图3 系统管理 展开“系统时间”区域,可管理系统时间。
系统配置文件包括部门、用户、资源、策略、工单、运维、审计和系统模块的全部配置数据。 登录云堡垒机系统。 选择“系统 > 系统维护 > 配置备份与还原”。 单击“新建”创建备份,备份系统配置数据。 图1 创建备份 单击“下载”,导出系统配置文件保存于本地。
当运维用户登录Linux主机进行运维操作时,触发“动态授权”命令控制策略的操作命令,系统会自动拦截操作命令,生成命令授权工单。管理员将会收到工单审批申请。当管理员用户批准工单后,运维用户才有执行该Linux“动态授权”操作命令的权限。
为加强资源管控,可设置账户同步策略,自动发现并删除僵尸账户等。 如果通过上述解决办法,若仍提示超出许可限制,请单击管理控制台右上方的“工单”,填写工单信息反馈问题现象,联系技术支持。 父主题: 运维故障