检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
资源池以及网络、管控多级隔离的综合解决方案。用户独享专属资源池,与公有云资源物理隔离,满足特定性能、应用及安全合规等要求。 父主题: 区域和可用区
源。跨账号情况下,可通过对等连接,打通不同账户下两个VPC之间网络。 但受限于跨VPC场景下网络的复杂性和网段冲突的可能性,不建议跨账号使用云堡垒机纳管资源。 父主题: 区域和可用区
通过SSO单点客户端登录和运维数据库资源 通过SSO单点客户端调用本地数据库工具,登录和运维数据库资源,实现对数据库的运维审计。用户需先在本地安装SSO单点登录工具和数据库客户端工具,然后配置数据库客户端工具路径。 本小节主要介绍如何配置SSO单点客户端,以及如何通过SSO单点客户端登录数据库资源。
堡垒机变更规格和升级是否会造成审计数据丢失? 堡垒机变更规格和升级软件版本,正常情况下,都不会造成审计数据丢失。 但是变更规格和升级有失败的风险,因此,在变更规格前必须备份数据,以防因变更规格/升级失败而影响数据的使用。 变更规格前后的注意事项 变更规格前 用户必须在变更规格前备
用户访问CBH实例的方式有Web Console和SSH两种方式,其中,Web Console可以对堡垒机实例进行相关的资源配置和命令下发等完整功能,而SSH只能对堡垒机纳管的实例进行运维操作。 用户登录Web Console和SSH使用的账号和口令均为创建堡垒机时设置的账号和口令,此外,Web Con
自定义角色 系统中的默认角色包括部门管理员、策略管理员、审计管理员和运维员。本章节指导您如何自定义创建角色。 约束限制 仅系统管理员admin可新建系统角色。 系统用户组和账户组模块权限无需单独配置,通过配置用户和资源账户模块即可获取权限。 新建角色 登录堡垒机系统。 在左侧导航树中,选择“用户
查询部门配置 堡垒机支持分别统计各部门的用户数和主机数,通过在部门管理页面,可查询部门的用户和主机资产配置。应用资源和应用发布服务器不纳入统计。 前提条件 已获取“部门”模块操作权限。 操作步骤 登录堡垒机系统。 选择“部门”,进入部门管理页面。 在搜索框内输入部门名称,即可查询到部门所归属的上级部门树结构。
系统工单应用示例 示例一:按用户所属部门申请资源,建立分级流程工单 前提条件 已完成部门、用户、角色和资源等项的规划和设置。部门设置请参考部门,用户和角色设置请参考用户,资源设置请参考资源。 工单审批流程设置如表1所示,具体操作请参考工单配置。 表1 工单配置参数说明 参数 值 审批流程
选择“部门”,进入部门管理页面。 单个删除。 鼠标悬停到要删除的部门所在行,显示快捷删除,单击快捷键删除该部门。 删除部门时,其下级部门和所有部门下的用户和资源会被同时删除。 图1 单个删除部门 批量删除。 同时勾选多个部门,然后单击列表下方的“删除”,可以批量删除多个部门。 图2 批量删除部门
通过开启资源和访问控制策略的“文件管理”权限,用户即可对资源文件进行增删改查操作。 若用户需要上传或下载文件,则需要堡垒机管理员(Admin)或者堡垒机策略管理员为该用户开启访问控制策略的“上传”或“下载”权限,实现文件上传和下载功能。 约束限制 目前仅SSH、RDP和VNC协议主机资源和应用资源支持“文件管理”。
确认变更规格后系统环境 变更规格后,请先确认“版本号”和“设备系统”信息,以及确认“授权资源数”和“授权资源并发连接数”是否与目标版本一致。 登录云堡垒机系统。 确认变更规格后系统版本。 选择“系统 > 关于系统”,查看系统版本信息。 确认变更规格后系统的“版本号”和“设备系统”信息。 图1 查看系统版本
在“标签”模块单击“添加标签”,在弹窗中填写标签键和值。 标签的键不能以_sys_开始,不能以空格开始或结束,只能包含UTF-8格式表示的字母(包含中文)、数字和空格,以及:_.:=+-@符号。 标签的值只能包含UTF-8格式表示的字母(包含中文)、数字和空格,以及:_.:=+-@符号。 如果
在变更规格前,需确认并记录当前系统版本信息和授权规格,包括“版本号”、“设备系统”、“授权资源数”和“授权资源并发连接数”。 登录云堡垒机系统。 确认和记录系统版本。 选择“系统 > 关于系统”,查看系统版本信息。 图1 查看系统版本 记录“版本号”和“设备系统”。 “设备系统”为V3.2
标资源,此外还支持批量登录资源功能。 自动登录 在新建资源时选择“自动登录”方式,并配置资源账户名和密码,托管主机或应用资源的账户和密码。 运维人员访问资源时,无需输入资源的账户和密码,在“主机运维”或“应用运维”页面单击“登录”,即可成功自动登录到目标资源实现运维。 Edge类型应用资源不支持配置“自动登录”。
命令控制策略用于控制用户访问资源的关键操作权限,实现Linux主机运维操作的细粒度控制。 针对SSH和Telnet字符协议主机,根据管理员配置的策略限制,Guacd代理对用户运维过程中执行的命令进行审计和过滤,并返回审计的命令、过滤结果和命令返回的内容,用于会话操作记录、动态授权、断开连接等动作。 命令控制策略支持以下功能项:
云堡垒机支持哪些计费方式? 云堡垒机服务提供包月和包年和按需的计费方式。 在购买云堡垒机实例时,需要使用弹性云服务器的弹性IP,弹性IP需单独计费。 按需的计费模式目前仅适用于政务云专区。 父主题: 计费FAQ
云堡垒机支持哪些计费方式? 云堡垒机服务提供包月和包年和按需的计费方式。 在购买云堡垒机实例时,需要使用弹性云服务器的弹性IP,弹性IP需单独计费。 按需的计费模式目前仅适用于政务云专区。 父主题: 计费、到期续费与退订
系统资源账户有哪些状态? 云堡垒机系统被纳管资源的账户状态,用于标识资源账户的密码是否被验证,且验证是否通过,不能手动修改,可通过实时验证和自动巡检更新。 资源账户共有“正常”、“异常”和“未知”三种状态,各状态详细说明请参见表1。 表1 资源账户状态说明 状态 说明 正常 经过“验证”,账号及密码正确
“部门”是用于划分组织结构,标识用户和资源的组织。系统默认有一个部门“总部”,仅可在“总部”基础上创建部门分支,且“总部”不可删除。 根据部门划分用户组织结构后,下级部门用户不能查看上级部门信息,包括上级部门组织结构、用户、主机资源、应用资源、应用发布服务器、资源账户,以及上级部门配置的策略信息和运维审计数据。
命令控制策略关联的自定义的命令,关联命令后,在执行相关命令或参数时,触发拦截和允许操作。 自定义关联命令大小写敏感,严格按照设置的关联命令进行审核和过滤,若执行命令与设置命令不一致,则不能触发策略规则。详细设置说明和示例,请参考如下说明: 支持单命令格式。 如设置拒绝执行查询命令,即设
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
