检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
Management,IAM)进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全的控制华为云资源的访问。 通过IAM,您可以在华为云账号中给员工创建IAM用户,并使用策略来控制对华为云资源的访问范围。例如您的员工中有负责软件开发的人员,您希望员工拥有云堡垒机(Cloud Bastion
根据企业的业务组织,在您的华为云账号中,给企业中不同职能部门的员工创建IAM用户,让员工拥有唯一安全凭证,并使用CBH服务资源。 根据企业用户的职能,设置不同的访问权限,以达到用户之间的权限隔离。 将CBH服务资源委托给更专业、高效的其他华为云账号或者云服务,这些账号或者云服务可以根据权限进行代运维。
什么是云堡垒机 云堡垒机(Cloud Bastion Host,CBH)是华为云的一款统一安全管控平台,为企业提供集中的账号(Account)、授权(Authorization)、认证(Authentication)和审计(Audit)管理服务。 云堡垒机提供云计算安全管控的系统
使用前必读 概述 欢迎使用云堡垒机(Cloud Bastion Host,CBH),云堡垒机是华为云的一款4A统一安全管控平台,为企业提供集中的账号(Account)、授权(Authorization)、认证(Authentication)和审计(Audit)管理服务。 在调用云
中的多个AZ间通过高速光纤相连,以满足用户跨AZ构建高可用性系统的需求。 图1阐明了区域和可用区之间的关系。 图1 区域和可用区 目前,华为云已在全球多个地域开放云服务,您可以根据需求选择适合自己的区域和可用区。 如何选择区域? 选择区域时,您需要考虑以下几个因素: 地理位置 一
资产识别与管理 CBH服务已对接RMS服务,在华为云控制台右上角单击资源-我的资源便可查看用户所拥有的资源,例如弹性云服务器(ECS)、虚拟私有云(VPC)、对象存储服务(OBS)以及云堡垒机服务(CBH)等服务,通过RMS,可以查看各资源的详情,例如ECS的状态、规格等等。 云
统通过AK识别访问用户的身份,通过SK进行签名验证,通过加密签名验证可以确保请求的机密性、完整性和请求者身份的正确性。 若用户选择导入到华为云平台时,可在“我的凭证”中管理自己的访问密钥。获取方法如下: 登录管理控制台,在右上角用户账号名内,单击“我的凭证 > 管理访问密钥”,进
支持批量创建用户、批量导入资源、批量授权运维、批量登录资源等高效运维管理方式。 操作指令准确拦截 针对资源敏感操作进行二次复核,系统预置标准Linux字符命令库或自定义命令,对运维操作指令和脚本的准确拦截,并可通过异步“动态授权”,实现对敏感操作的动态管控,防止误操作或恶意操作的发生。
支持的登录方式包括静态密码、手机短信、手机令牌、USBKey、动态令牌、邮箱认证。 所有用户首次登录堡垒机系统时,请务必根据提示绑定手机号,以便忘记密码后重置密码。 若您通过华为云控制台登录堡垒机,可以选择“本地登录”、“IAM登录”(堡垒机版本V3.3.44.0及以上支持)、“Admin登录”(堡垒机版本V3.3.52
云堡垒机支持IAM细粒度管理吗? 支持。 统一身份认证(Identity and Access Management,IAM)是华为云提供权限管理的基础服务。默认情况下,新建的IAM用户没有任何权限,您需要授权IAM用户后,IAM用户才可以基于已有权限对云服务进行操作。CBH服务
is_auto_pay 否 Integer 是否自动支付,下单订购后,是否自动从客户的华为云账户中支付,而不需要客户手动去进行支付。 1:是(会自动选择折扣和优惠券进行优惠,然后自动从客户华为云账户中支付),自动支付失败后会生成订单成功(该订单应付金额是优惠后金额)、但订单状态为
漏洞扫描、渗透测试等安全性测试,并通过了公安部门的安全检测,符合“网络安全法”等法律法规,满足合规性规范审查要求,达到信息安全等级评定Ⅲ级标准。 系统数据安全 登录安全:镜像加密,SSH远程登录安全加固,内核参数安全加固,系统账户口令使用强密码并且默认登录失败超过3次将锁定登录。
Host,CBH)服务进行精细的权限管理,您可以使用统一身份认证服务(Identity and Access Management,IAM),如果华为云账号已经能满足您的要求,不需要创建独立的IAM用户,您可以跳过本章节,不影响您使用CBH实例的其它功能。 默认情况下,新建的IAM用户没有
is_auto_pay 否 Integer 是否自动支付,下单订购后,是否自动从客户的华为云账户中支付,而不需要客户手动去进行支付。 1:是(会自动选择折扣和优惠券进行优惠,然后自动从客户华为云账户中支付),自动支付失败后会生成订单成功(该订单应付金额是优惠后金额)、但订单状态为
云审计支持的CBH实例操作 云审计服务(Cloud Trace Service,简称CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 开启了云审计服务后,系统开始记
证书文件上传成功之后,输入keystore密码,证书密码验证文件。 单击“确定”,返回安全配置管理页面,查看当前系统Web证书信息。 证书信息更新之后,为了使证书有效,通过华为云控制台或者堡垒机系统工具重启堡垒机系统。 查看证书信息无误,更新完成。 父主题: 运维故障
如果系统预置的CBH服务权限,不满足您的授权要求,可以创建自定义策略。自定义策略中可以添加的授权项(Action)请参考CBH实例权限及授权项。 目前华为云支持以下两种方式创建自定义策略: 可视化视图创建自定义策略:无需了解策略语法,按可视化视图导航栏选择云服务、操作、资源、条件等策略内容,可自动生成策略。
实例当前的运行状态,包含备机的运行状态。 实例类型 您选择的实例类型。 登录地址 当前实例的内网IP地址。 弹性IP 当前实例的公网IP地址。 计费模式 当前实例的计费模式。 企业项目 实例所属的企业项目。 在需要升级服务版本的实例所在行,单击“操作”列中的“更多 > 升级 > 版本升级”。 升级
通过堡垒机访问PGSQL数据库 入方向 TCP 15432 通过堡垒机访问PGSQL数据库 出方向 TCP 5432 支持管理的资源 您购买的非华为云或者云下服务器,只要与华为云云堡垒机网络互通并且协议互相支持,就可以通过云堡垒机纳管相应服务器。 支持的主机类型 支持SSH、RDP、VNC、TELNE
题,为您的事件追溯提供了便利性。当然您也可以使用会话回放功能,通过播放运维视频,来查看具体的操作情况,具体操作步骤请参见管理会话视频。 华为云堡垒机还为您提供实时会话监控功能,让您可以实时查看高危操作的运维界面,如果出现危险指令可立即切断运维人员的操作,确保业务的安全。具体请参见云堡垒机实时会话章节。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
