在AppStage开发中心进行代码安全检视 开发代码完成后,需要进行安全编码TOP问题的信息统计和检查结果录入,对代码安全相关过程进行审视和记录。组织管理员添加版本代码安全检视检查项后,创建的版本会继承检查项配置。 前提条件 已创建版本。 已获取项目经理或开发人员角色权限,权限申请方法请参见申请权限。
grep -v "^[ \t]*ssl\.certificate"|grep " /opt/huawei/openresty/"|grep -v " /opt/huawei/openresty/nginx/conf/ssl/" grep "ssl_certificate" /op
选择需要申请的账户、申请周期,单击“确定”。 申请成功后在“我的导出”页面下载并查看已申请的密码。 查看密码申请记录 进入AppStage运维中心。 在顶部导航栏选择服务。 单击,选择“运维 > 主机管理服务(VMS)”。 选择左侧导航栏的“安全管理 > 密码管理”,进入“密码管理”页面。 单击需要查看密码申请记录的主机所在行后的“申请记录”。
密码修改记录。 (可选)可以单击列表上方的“导出”,导出全量记录或筛选的修改记录,然后在“我的导出”页面,单击文件名下载并查看密码修改记录。 父主题: 管理主机安全
申请sudo权限。 申请sudo权限 进入AppStage运维中心。 单击,选择“运维 > 主机管理服务(VMS)”。 选择左侧导航栏的“安全管理 > sudo权限”进入“sudo权限”页面。 单击需要申请sudo权限的主机所在行后的“sudo权限申请”。 也可以勾选需要申请su
String 否 域名,多个域名不可重复,只允许数字、字母、下划线、“.”和“*”。 certificate String 否 证书名,需为领域下已录入证书。 listeners List<PortConfig> 是 监听端口列表。 config GereralAndAdvancedConfigBean
如何从ENS找到服务容器绑定的安全组? 前提条件 已通过部署服务创建容器。 已完成隔离域规划。 操作步骤 进入AppStage运维中心。 在顶部导航栏选择服务。 单击,选择“运维 > 弹性网络服务(ENS)”。 选择左侧导航栏的“隔离域”,默认显示“隔离域配置”页签。 单击“隔离域规划”,切换至“隔离域规划”页签。
前提条件 已获取服务运维岗位权限或运维管理员权限,权限申请操作请参见申请权限。 重置密码 进入AppStage运维中心。 在顶部导航栏选择服务。 单击,选择“运维 > 主机管理服务(VMS)”。 选择左侧导航栏的“安全管理 > 密码管理”进入“密码管理”页面。 单击需要申请密码的主机所在行后的“密码重置”,单击“确定”。
障账号安全,建议定期更新密码。 登录AI原生应用引擎,鼠标光标移至右上角登录的用户名,弹出“账户信息”页面。 在“账户信息”页面,单击“修改密码”。 为确认是本人操作需进行身份验证,可选择手机短信验证码方式或邮件验证码方式。 如果该账号已同时绑定手机号码和邮箱,则可使用手机短信验证码方式或邮件验证码两种方式。
使用该认证凭据,进行STS认证。 为了让微服务可以安全地获取到STS认证凭据,STS给每个接入的微服务颁发了一张身份证书,该证书中包含了微服务的名称等信息。该证书在微服务部署时,安装到微服务所在的虚拟机或容器里。微服务使用该证书,就可以到STS-Server上获取认证凭据。 两个
签发的证书进行HTTPS双向认证,或者仅使用了敏感配置项管理的功能,则不需要配置ACL。 前提条件 需要具备AppStage服务运维岗位权限或运维管理员权限,权限申请操作请参见申请权限。 配置ACL 进入AppStage运维中心。 在顶部导航栏选择服务。 单击,选择“安全 > 访问凭据管理服务”。
签发的证书进行HTTPS双向认证,或者仅使用了敏感配置项管理的功能,则不需要配置ACL。 前提条件 需要具备AppStage服务运维岗位权限或运维管理员权限,权限申请操作请参见申请权限。 配置ACL 进入AppStage运维中心。 在顶部导航栏选择服务。 单击,选择“安全 > 访问凭据管理服务”。
使用该认证凭据,进行STS认证。 为了让微服务可以安全地获取到STS认证凭据,STS给每个接入的微服务颁发了一张身份证书,该证书中包含了微服务的名称等信息。该证书在微服务部署时,安装到微服务所在的虚拟机或容器里。微服务使用该证书,就可以到STS-Server上获取认证凭据。 两个
装,为具有相同安全保护需求并相互信任的服务提供访问策略的安全分组。当服务器加入到隔离域后,即受到这些访问规则的保护。访问规则继承自选定的安全区域(安全域),并根据租户声明的服务依赖关系自动生成。 图1 ENS与原有模式差异 隔离域内部是在虚机子网或者容器网段上加安全域包装在一起的
部署服务或者NUWARutime获取敏感配置项时,请求要获取的敏感配置项的列表中有值为空。 管理台上服务下无法选到相应的微服务。 在安全管理台上配置敏感配置项、证书时,服务下只显示已经在相应环境下在STS上注册过的微服务。需要让站点的业务SRE在运维管理台上进行微服务注册。 KeyStoreException: empty
访问控制 选择访问控制类型。 安全组:使用安全组来控制网络互通策略,一般容器场景下使用。 ACL:使用网络ACL来控制网络互通策略,仅支持虚拟机场景下使用。 所属安全区域 选择所属安全区域,即隔离域被安全划分到哪个安全区域,请与基础运维角色确认该业务隔离域所属的安全区域。 用途 选择隔离域配置用途。
e/xxxMicroService/xxxMicroService.ini #STS微服务证书路径,基础设施即代码(Infrastructure as Code,简称IaC)会将证书放在固定路径下,格式为/opt/huawei/certs/服务名/微服务名/微服务名.ini 初始化STS
概述 STS SDK服务软件开发工具包是对AppStage运维中心访问凭据管理服务(ACMS)提供的REST API进行的封装,以简化用户的开发工作。 STS SDK封装了业务微服务读取ACMS身份证书、到ACMS-Server上获取密钥、认证凭据、解密敏感数据、微服务间通信认证加密等功能,用户直接调用STS
DB/DRDS全流程设计、开发、发布、运维(管理、治理、诊断)方案。 可信build-in:过程可信,结果可信,接入安全(无人工接入密码),操作(资源高危操作)安全。 父主题: Rainbow SDK
然后在“更改安全组”页面将该安全组规则增加至堡垒机实例安全组中。 在使用堡垒机登录业务主机前,需在华为云弹性云服务器确认待登录主机安全组规则是否已包含堡垒机实例私网IP,入方向规则,协议端口为22(ssh登录端口),源地址IP为堡垒机实例私网IP。如果未配置该安全组规则,请参考配置安全组规则进行配置。
您即将访问非华为云网站,请注意账号财产安全