检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
配置手机令牌登录 手机令牌是可用来生成动态口令的手机客户端软件,堡垒机系统支持通过手机令牌动态密码对用户登录身份进行认证。配置手机令牌认证后,登录系统需同时输入静态密码和6位手机令牌动态密码,才能通过身份认证。 admin账户若要使用多因子认证方式登录,需先配置手机令牌,否则ad
手机短信 通过“手机短信”方式同时验证登录名、密码和短信验证码,认证登录用户身份。 用户账号需先配置可使用手机号码,再由管理员配置用户登录认证方式,选择“手机短信”多因子认证。 用户手机号码修改操作请参见修改基本信息。 详细操作请参见如何使用手机短信认证方式登录系统? USBKey 通过
可修改信息包括“策略名称”、“有效期”、“执行动作”、“时间限制”等。 查看和修改策略关联的规则集。 在“规则集”区域,单击“编辑”,弹出关联规则集窗口,可立即添加或移除关联的规则集。 在相应规则集行,单击“移除”,可立即删除该关联规则集。 查看和修改策略关联的用户。 在“用户”区域,单击“编辑”,弹出
系统用户类 在新建用户/资源时,为什么无法选择上级部门? 如何修改用户手机号码? 云堡垒机可新建多少个用户? 父主题: 系统用户、资源及策略配置
支持自定义命令集。 √ √ 数据库控制策略 用于控制用户或用户组执行规则或规则集的机制,将指定规则或规则集按照预设的执行机制绑定用户或用户组,用户在执行策略内的规则或规则集时将直接触发绑定的策略机制,同时也可绑定资源账户。 支持自定义规则集。 × √ 改密策略 用于为服务器资源的改密预设改密机
原因四: 若因安全组配置不合理导致异常,请先排查安全组规则,并根据CBH建议安全组规则,配置安全组规则,再重新登录云堡垒机系统。 原因五: 若因网络ACL配置不合理导致异常,请先排查网络ACL规则,并参考CBH安全组规则放开出/入方向端口,再重新登录云堡垒机系统。 若因云堡垒机
户组、修改关联资源账户或账户组、修改双人授权配置等。 修改策略配置,且策略状态为“已启用”时,策略规则才生效。 修改策略配置后,若关联用户已登录资源,需退出登录重新连接,相关策略规则在下一次运维操作时才会生效。 前提条件 已获取“访问控制策略”模块操作权限。 查看和修改策略配置 登录堡垒机系统。
修改关联用户或用户组、修改关联资源账户或账户组等。 修改策略配置,且策略状态为“已启用”时,策略规则才生效。 修改策略配置后,若关联用户已登录资源,需退出登录重新连接,相关策略规则在下一次运维操作时才会生效。 前提条件 已获取“命令控制策略”模块操作权限。 查看和修改策略配置 登录堡垒机系统。
不能触发策略规则。详细设置说明和示例,请参考如下说明: 支持单命令格式。 如设置拒绝执行查询命令,即设置关联命令为ls,执行单命令操作时触发策略规则。 支持命令路径格式。 如设置动态授权查询日志,即设置关联命令为ls /var/log/,执行命令参数操作时触发策略规则。此时若执行ls
如果在计费周期内不再使用包年/包月资源,您可以执行退订操作,系统将根据资源是否属于五天无理由退订、是否使用代金券和折扣券等条件返还一定金额到您的账户。详细的退订规则请参见云服务退订规则概览。 如果您已开启“自动续费”功能,为避免继续产生费用,请在自动续费扣款日(默认为到期前7日)之前关闭自动续费。 按需模式资源
全组和添加安全组规则。 也可在“安全组”选项框内选择合理配置的安全组。 单击“创建安全组”,创建一个新的安全组,详细指导请参见创建安全组。 单击“操作”列中的“配置规则”,为安全组添加安全组规则,详细指导请参见添加安全组规则。 选择“入方向”页签,单击“添加规则”。同理,可以添加出方向规则。
配置RDP资源客户端代理(3.3.26.0及以上版本) 使用了RDP协议的服务器在通过堡垒机使用RDP连接服务器时,会使用安全层的校验,可自行选择不同的安全层校验模式。 前提条件 用户已获取“系统”模块管理权限。 操作步骤 登录堡垒机系统。 选择“系统 > 系统配置 > 安全配置”,进入系统安全配置管理页面。
仅“认证类型”选择“本地”时,需要配置用户登录系统的密码。 姓名 自定义用户姓名。 用户账号使用人员的姓名,便于区分不同的用户。 手机 输入手机号码。 用户账号系统预留手机号码,用于手机短信登录或找回密码。 邮箱 输入邮箱地址。 用户账号系统预留邮箱地址,用于通过邮箱接收系统消息通知。 角色 选择用户的角色,一个用户仅能配置一个角色。
支持系统内License到期强提醒 系统内License到期通知,帮您及时了解实例到期状态,提醒您及时更新系统授权。 商用 续费 4 用户手机号码强绑定功能 用户首次登录必须绑定手机号码,以防密码丢失找回密码。 商用 找回密码 2019年11月 序号 功能名称 功能描述 阶段 相关文档 1 V3.2.22
通过SSH客户端登录资源进行运维 通过SSH客户端登录堡垒机纳管资源,在不改变用户原来使用SSH客户端习惯的前提下,对授权云主机资源进行运维管理,并且支持系统的命令拦截策略和运维审计功能。 本小节以Xshell登录SSH协议类型资源为例,介绍如何通过SSH客户端登录资源进行运维,以及如何下载登录资源的配置文件。
应及时删除或停用多余的、过期的账户,避免共享账户的存在; 应授予管理用户所需的最小权限,实现管理用户的权限分离; 应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则; 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计; 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
护需求,并相互信任的CBH与资源提供访问策略。当云堡垒机加入安全组后,即受到该安全组中访问规则的保护。详细介绍请参见安全组简介。 云堡垒机可与资源主机ECS等共用安全组,各自调用安全组规则互不影响。 如需修改安全组,请参见更改安全组章节。 在创建HA实例前,需要安全组在入方向中放
议按照CBH推荐端口,重新配置CBH安全组。 用户若通过Web浏览器方式登录资源,请手动添加安全组规则TCP协议443入方向。 检查云堡垒机所在内网关联的网络ACL ,排查ACL规则配置是否合理。 解除云堡垒机IP地址的访问限制,以及在“目的地址”中添加资源IP地址,允许云堡垒机访问资源。
Cloud,VPC)为CBH提供虚拟网络环境,用户通过配置安全组、子网、EIP等子服务,方便地管理、配置内部网络。以及通过自定义安全组内访问规则,加强安全保护。 与弹性云服务器的关系 弹性云服务器(Elastic Cloud Server,ECS)为CBH提供部署环境,同时CBH为ECS上资源提供安全管理服务。
表示系统新用户首次登录无需修改密码。 ,表示强制系统新用户首次登录必须修改密码。 密码相同校验 校验修改后新密码与前N次设置的密码重复性。 系统用户首次登录的密码不计算在内。 默认次数为5。 取值范围为1~30。 密码修改周期 校验系统用户密码的修改周期,密码超过修改周期后强制修改密码。 默认周期为30天。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
