检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
若用户选择导入到华为云平台时,可在“我的凭证”中管理自己的访问密钥。获取方法如下: 登录管理控制台,在右上角用户账号名内,单击“我的凭证 > 管理访问密钥”,进入访问密钥管理页面。详细管理操作说明请参见访问密钥 。
云资产委托授权 云堡垒机已统一对接云凭据管理服务 CSMS、密钥管理 KMS、弹性云服务器 ECS、关系型数据库 RDS,方便您在堡垒机上使用纳管的凭据。 在您开启CSMS凭据、KMS密钥、ECS、RDS委托授权后,需要等待10分钟左右,堡垒机才可以获取有委托权限的Token。
手动备份 通过手动导出/下载各功能模块数据文件保存在本地,可手动备份日志请参见表1。 系统内导出的csv文件,用Excel打开可能会乱码。若出现乱码情况,请先修改文件编码格式再打开文件,详细说明请参考为什么打开CBH系统数据文件显示乱码?
生成SSH Key 生成认证Key。 登录主机,执行以下命令,生成SSH Key。
如果在纳管主机资源时选择了密钥对自动登录方式,必须勾选“允许修改SSH key”选项,否则手动执行改密可能会失败。 单击“下一步”,关联资源账户或账户组。 当账户组关联策略后,新资源账户加入到账户组中会自动继承账户组的策略权限。 关联多个资源账户时,可批量修改资源账户密码。
勾选:当密钥、关联用户重复时,将覆盖令牌标识并更新现有令牌的标识信息,但不会删除令牌重新创建。 未勾选:当密钥、关联用户重复时,直接跳过密钥、关联用户重复的令牌。 单击“确定”,返回动态令牌列表,接口查看导入的动态令牌。 导出动态令牌 登录堡垒机系统。
密钥 动态令牌的厂商提供,与“令牌标识”一一对应的唯一“密钥”。 关联用户 选择已配置“动态令牌”多因子认证的用户。 单击“确定”,返回动态令牌列表,即可查看已签发令牌标识。
Access Key ID 输入访问密钥ID,用于验证访问OBS桶请求发送者的身份。 与私有访问密钥关联的唯一标识符;访问密钥ID和私有访问密钥一起使用,对请求进行加密签名。 获取访问密钥,请参见访问密钥。
“从文件导入”的Excel文件需配置内容,包括名称、IP地址/域名、协议类型、端口、系统类型、所属部门、标签、主机描述、主机账户、登录方式、特权账户等。 “从文件导入”方式的Excel文件,需严格按照表格配置要求填写主机信息,且上传的Excel文件可打开,不能加密。
AK(Access Key ID):访问密钥ID。与私有访问密钥关联的唯一标识符;访问密钥ID和私有访问密钥一起使用,对请求进行加密签名。 SK(Secret Access Key):与访问密钥ID结合使用的密钥,对请求进行加密签名,可标识发送方,并防止请求被修改。
在重启实例对话框,可选择“强制重启”,强制重启实例可能会造成数据丢失,请确保数据文件已全部保存,且云堡垒机系统无操作。 父主题: 实例
批量重置仅能生成相同用户密码,建议被批量重置密码的用户登录系统后及时修改个人密码。 批量重置密码仅能修改其他用户密码,不能修改个人密码。 用户密码不支持明文查看和导出。 远程认证用户不支持在系统修改密码,仅能在远程服务器上修改密码。 前提条件 已获取“用户”模块操作权限。
数据安全:敏感信息加密存储,系统根密钥独立动态生成。 应用安全:防SQL注入攻击、防CSV注入攻击、防XSS恶意攻击、API接口认证机制。 系统安全 系统全自动化安装,LUKS加密用户系统数据盘。 系统自带防火墙功能,防止常规网络攻击,例如暴力破解等。
资源账户文件包含资源账户的全部数据信息,包括资源账户名称、账户密码、登录方式、特权账户、关联资源名称、资源地址等信息。 登录云堡垒机系统。 选择“资源 > 资源账户”,单击“导出”。 图3 导出资源账户 设置资源账户文件的加密密码,加密导出的资源账户文件。
本地登录、客户端和浏览器均需要使用账号或密钥进行登录。 如果当前浏览器已通过任意方式登录,在登录其他账号时,需要将已登录的账号退出才可正常登录。 开放端口要求 为避免网络故障或网络配置问题影响登录系统,请管理员优先检查网络ACL配置是否允许访问堡垒机,并参考表1配置实例安全组。
认证共享密钥 输入RADIUS远程服务器的认证密钥。 认证超时 输入RADIUS远程认证超时时间。 用户名 输入RADIUS服务器上用户名,用于测试配置的RADIUS服务器信息是否正确。 密码 输入RADIUS服务器上用户密码,用于测试配置的RADIUS服务器信息是否正确。
通过FTP/SFTP客户端登录文件传输类资源 通过文件传输客户端登录堡垒机纳管资源,在不改变用户原来使用客户端习惯的前提下,对授权云主机资源进行远程文件传输管理。用户在主机上执行的所有操作,被堡垒机记录并生成审计数据。
可参考"IAM获取IAM用户Token"获取 表3 请求Body参数 参数 是否必选 参数类型 描述 authorization 是 AgencyAuthorizeInfo object 获取云堡垒机委托授权凭据管理、密钥管理服务权限列表返回对象。
HA群组验证密钥 系统自动生成,用于双机互相验证。 配置主节点HA参数时,需记录HA群组验证密钥,并配置到备节点。 取值范围是8~20位的数字或字母。 备节点IP地址 配置主节点HA参数时,输入作为备节点的堡垒机IP地址。
在“/etc/ssh/sshd_config”文件中,查找“PermitRootLogin”参数,确认参数值是否为“no”。 修改“/etc/ssh/sshd_config”文件。 查找“PermitRootLogin”参数,修改参数值为“yes”或注释掉参数所在行。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
