检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
数据库授权工单管理 堡垒机支持对数据库操作进行“动态授权”管理,加强对数据库关键操作的限制管理。 当运维用户登录数据库进行运维操作时,触发“动态授权”数据库控制策略的操作命令,系统会自动拦截操作命令,生成数据库授权工单。管理员将会收到工单审批申请。当管理员用户批准工单后,运维用户
通过Web浏览器登录资源进行运维 通过Web浏览器登录主机,提供“协同分享”、“文件传输”、“文件管理”和“预置命令”等功能。用户在主机上执行的所有操作,被堡垒机记录并生成审计数据。 “协同分享”指会话创建者将当前会话链接发送给协助者,协助者通过链接登录创建者的会话中参与运维,实现运维协同操作。
配置远程备份至OBS桶 为加强对系统数据的容灾管理,堡垒机支持配置日志备份,提高审计数据安全性和系统可扩展性。 本小节主要介绍如何在系统配置OBS桶参数,将日志远程备份至OBS桶。 注意事项 开启远程备份后,系统默认在每天零点备份前一天的系统数据。 以天为单位自动备份,生成日志文件,并上传到OBS桶相应文件夹。
云堡垒机实例绑定公网的弹性IP的ID,UUID格式表示。 private_ip String 云堡垒机实例私有ip。 vpc_id String 云堡垒机实例所在虚拟私有云ID。 subnet_id String 云堡垒机实例所在子网ID。 security_group_id String 云堡垒机实例所属的安全组ID。
备份系统数据 为避免因变更规格失败而导致系统数据丢失,变更规格前请务必备份重要系统数据,包括系统配置、资源账户、审计日志等重要数据。 其他系统数据可选择性备份,可备份数据请参见云堡垒机支持备份哪些系统数据? 备份系统配置 通过备份和还原系统配置数据,可复用变更规格前系统配置数据。
配置Azure AD远程认证 堡垒机与Azure AD平台对接,认证登录系统的用户身份。 前提条件 用户已获取“系统”模块管理权限。 已在Azure AD创建用户和添加企业应用程序,并获取Azure AD平台配置的相关信息。 Azure AD相关操作及配置需在Azure页面进行,
策略概述 堡垒机实例提供了控制策略的功能,可在堡垒机实例中提前配置部分策略,实现快速运维。 堡垒机支持访问控制、命令控制、数据库控制、改密和账户同步策略的预设。 表1 堡垒机支持预设的策略说明 支持预设的策略类型 策略说明 访问控制策略 访问控制策略用于控制用户访问资源的权限。 命令控制策略
云堡垒机可提供哪些审计日志? 云堡垒机分别提供实例和系统审计日志。 实例审计 云堡垒机实例审计,需开启云审计服务(Cloud Trace Service,简称CTS),实现对CBH实例的操作的记录,CTS管理控制台将保存最近7天的操作记录。 实例审计日志操作和说明,请参见CBH云审计。
配置工单模式 系统工单模式是指用户在申请资源访问权限时,可通过工单申请资源的范围,以及提交工单的方式。 “基本模式”通过选择资源范围,简单限定访问控制工单申请范围;同时通过选择工单提交方式,可指定命令控制工单的提交方式。 “高级模式”针对访问授权工单,从用户部门、用户角色、资源部门多维度限定用户可访问资源的范围。
系统配置备份与还原 为确保系统配置数据不丢失,可开启系统配置自动备份,或定期备份系统配置,维护系统配置。 本小节主要介绍如何备份系统配置、还原系统配置,以及如何管理备份列表。 备份数据会备份在堡垒机本地,会占用一定的空间,具体可以在备份列表查看不同日期备份的文件大小。 约束限制
配置LTS日志外发服务 LTS采集日志为堡垒机系统的操作日志。 前提条件 已获取“系统”模块管理权限。 已开通云日志服务(LTS) 已绑定弹性公网IP。 限制条件 堡垒机安装Agent时必须绑定弹性公网IP。 必须先开通云日志服务(LTS)才可在堡垒机中进行配置。 操作步骤 登录堡垒机系统。
云堡垒机系统有哪些安全加固措施? 云堡垒机有完整的安全生命周期管理,从系统开发过程的安全编码规范,到经过严格安全漏洞扫描、渗透测试等安全性测试,并通过了公安部门的安全检测,符合“网络安全法”等法律法规,满足合规性规范审查要求,达到信息安全等级评定Ⅲ级标准。 系统数据安全 登录安全
(可选)重置用户密码 变更规格成功后,为确保用户密码的安全性和可用性,加强系统登录安全,建议重置系统用户密码。 密码重置方式可选择批量重置和手动重置两种。 登录云堡垒机系统。 选择“用户 > 用户管理”,进入用户列表页面。 批量重置,请执行3。 手动重置,请执行4。 批量重置,统一生成相同的用户登录密码。
云堡垒机支持哪些登录资源方式? 云堡垒机支持设置“自动登录”、“手动登录”或“提权登录”三种登录方式访问目标资源,此外还支持批量登录资源功能。 自动登录 在新建资源时选择“自动登录”方式,并配置资源账户名和密码,托管主机或应用资源的账户和密码。 运维人员访问资源时,无需输入资源的
导出系统日志 运维人员登录堡垒机系统,执行配置权限、审计管理等操作后,审计管理员将会收到系统日志记录。通过系统日志记录,可查询详细的系统登录和操作记录,在线审计系统日志。系统日志包括系统登录日志和系统操作日志两部分。 前提条件 已获取“系统登录日志”或“系统操作日志”模块管理权限。
DBeaver配置自定义驱动连接GaussDB数据库 支持通过DBeaver自定义配置驱动连接Gaussdb数据库。 版本要求 3.3.52.0及以上版本。 网络要求 PC端到堡垒机:18000 堡垒机到GaussDB数据库:对应的数据库端口,默认8000 堡垒机侧配置 登录堡垒
修改单机堡垒机实例类型 功能介绍 修改单机堡垒机实例类型。 调用方法 请参见如何调用API。 URI PUT /v2/{project_id}/cbs/instance/type 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID。
启用HA 堡垒机支持双机HA热备功能。启用HA备份后,用户登录系统,使用HA热备机功能,此时主节点断开,备节点也可提供服务。 约束限制 必须先配置主节点。主节点配置生效后,再配置备节点,并需确保主备节点使用内网进行HA同步配置。 备节点HA配置生效后,无论备节点上是否已有配置数据
变更堡垒机实例 功能介绍 变更云堡垒机实例。 调用方法 请参见如何调用API。 URI PUT /v2/{project_id}/cbs/instance 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID。 获取方法详见API参考,附录"获取项目ID"
查看历史会话 运维人员通过堡垒机登录资源运维结束后,审计管理员将会收到历史会话记录。通过历史会话记录,可查询详细的操作记录,在线审计历史会话。 约束限制 通过Web运维支持文本和视频审计。 通过SSH客户端运维、客户端文件传输和数据库运维仅支持文本审计,不支持视频审计。 不支持记录资源账户自动巡检的登录资源数据。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
