检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
图1 实例列表 表1 实例的信息参数说明 参数 说明 实例名称 您自定义实例的名称,创建后不可编辑修改。 运行状态 实例当前的运行状态,包含备机的运行状态。 实例类型 您选择的实例类型。 登录地址 当前实例的内网IP地址。 弹性IP 当前实例的公网IP地址。
单击“账户加入的组”区域右侧的“编辑”,在弹窗中可对资源账户加入的组进行加入或移除。 单击已加入的目标账户组名称或“操作”列的“查看”,可查看该资源账户组的全部信息。 单击已加入的目标账户组“操作”列的“移除该组”,可将目标资源账户组与当前资源账户取消关联关系。
因此,根据地理区域的不同将全国划分成不同的区域。选择区域时通常根据就近原则进行选择。例如您或者您的客户在北京,那么您可以选择华北服务区,这样可以减少访问服务的网络时延,提高访问速度。 云堡垒机支持直接管理同一区域同一VPC下资源,同一区域同一VPC下资源可以直接访问。
可能原因 云堡垒机使用过程中的流量带宽,超过绑定的EIP的共享带宽或独享带宽的最大限制。 解决办法 登录管理控制台,排查EIP带宽受限原因,详情请参见如何排查带宽超过限制? 重新配置云堡垒机绑定EIP的带宽,建议配置5Mbit/s以上带宽,详细带宽说明请参见VPC共享带宽。
代理服务器管理 堡垒机除了能纳管在公网环境的资源外,还可通过创建代理服务器的方式纳管不同网络环境或专有网络环境中的资源,通过代理服务器实现对这里资源的运维。 前提条件 已获取“主机管理”模块操作权限。 目前仅支持SSH、RDP协议的主机资源。 新建代理服务器 登录堡垒机系统。
如果配置了用户角色,则用户池中只有相应角色的用户才能申请资源池中的资源。 用户池指根据用户部门、用户角色限制的用户范围。关联部门或角色后,该部门或角色的用户能够申请资源池内资源。 资源池指根据资源部门限定的资源范围。关联的部门之后,该部门的资源能够被用户池内的用户申请。
实例类型 您选择的实例类型。 登录地址 当前实例的内网IP地址。 弹性IP 当前实例的公网IP地址。 计费模式 当前实例的计费模式。 企业项目 实例所属的企业项目。 在需要重置密码的实例所在行,单击“操作”列中的“更多 > 重置 > 重置Admin登录方式”。
因每月5号、15号、25号的凌晨一点,后台启动“自动巡检”,通过登录所有纳管的主机验证资源账户的连通性。验证完成后,系统管理员admin将收到登录资源的验证结果消息。 但“自动巡检”登录资源过程不生成任务,故历史会话无登录记录。 父主题: 审计运维日志
基于用户身份系统唯一标识,从用户登录系统开始,全程记录用户在系统的操作行为,监控和审计用户对目标资源的所有操作,实现对安全事件的实时发现与预警: 表1 云堡垒机审计功能特性 功能特性 功能详情 系统行为审计 系统操作行为全纪录,针对操作失误、恶意操作、越权操作等行为告警通知。
在需要查看的记录左侧,单击展开该记录的详细信息。 在需要查看的记录右侧,单击“查看事件”,查看该操作事件结构的详细信息。 父主题: 审计实例关键操作
Token认证就是在调用API的时候将Token加到请求消息头,从而通过身份认证,获得操作API的权限。
云堡垒机自动巡检: 在每月的5号、15号和25号凌晨一点,对纳管的资源账户进行账号巡检,通过检测资源账户的连通性,标记资源账户状态。 连通性良好,能正常登录的账户显示为“正常”。 不能连接,无法正常登录的账户显示为“异常”。 父主题: 资源添加类
可能原因 现象一的原因:用户主机为非RDP协议类型的,但开启了RDP强制登录(admin console配置)。 现象二的原因: 用户使用了RDP协议类型的主机,Windows远程桌面连接数超过最大限制。 主机运维Windows资源时,登录堡垒机用户不是admin。
单击页面左侧“我的共享 > 共享管理”,进入“共享管理”页面。 在共享管理列表中选择需要更新的共享,单击“操作”列的“编辑”。 进入“指定共享资源”页面,您可根据需要更新共享的名称、描述、标签以及增加或删除共享的资源。 更新完成后,单击页面右下角的“下一步:权限配置”。
应用发布服务器简介 针对Windows系统和特殊的Linux系统,在堡垒机控制台无法直接进行资源运维,需创建应用发布服务器,通过应用发布服务器来实现对资源的运维。 规格选型 在申请发布服务器时,建议根据需要运维的资源数量来选择发布服务器的内存规格,以确保能正常运维所有资源。
不设置,下载的改密日志为未加密的CSV格式文件;设置密码,下载的改密日志为加密的ZIP格式文件。 (必选)用户密码:输入当前用户的账号登录密码,验证通过才允许下载改密日志,确保资源账户密码安全。 单击“确定”,即可下载CSV格式文件或加密的ZIP格式文件保存到本地。
应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现 应对登录的用户分配账户和权限; 应重命名或删除默认账户,修改默认账户的默认口令; 应及时删除或停用多余的、过期的账户,避免共享账户的存在; 应授予管理用户所需的最小权限
约束限制 下级部门拥有“用户”模块管理权限的用户,查看用户组详情时,只能查看到用户组内上级部门用户成员列表,不能查看上级部门用户的详情信息。 下级部门拥有“用户”模块管理权限的用户,将当前用户组中的上级部门成员移除后,不能再添加移除的上级部门用户。
设置完成后,符合部门和角色要求的用户自动成为节点审批人。如果没有符合部门和角色要求的用户,则自动向上级部门内寻找,直到找到“总部”为止。 部门属性:“用户所属部门”为工单申请人所属部门的管理员;“资源所属部门”为工单申请资源所属部门的管理员。
资源授权的“访问控制策略”被禁用,用户失去该资源访问控制权限。 资源授权的“访问控制策略”被删除,用户失去该资源访问控制权限。 解决办法 查看资源授权的“访问控制策略”详情,根据实际情况重新配置或新建访问控制策略。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
