检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
管理会话视频 运维人员通过堡垒机登录资源运维结束后,审计管理员将会收到历史会话记录。针对Linux命令审计、Windows操作审计全程录像记录,支持生成运维视频,并支持一键下载和删除视频管理。 约束限制 通过Web运维支持文本和视频审计。 通过SSH客户端运维、客户端文件传输和数据库运维仅支持文本审计
命令授权工单管理 堡垒机支持对Linux主机操作进行“动态授权”管理,加强对敏感操作的限制管理。 当运维用户登录Linux主机进行运维操作时,触发“动态授权”命令控制策略的操作命令,系统会自动拦截操作命令,生成命令授权工单。管理员将会收到工单审批申请。当管理员用户批准工单后,运维用户才有执行该
动态授权的作用及操作流程是什么? 动态授权是授权用户运维操作触发规则集,系统对字符命令或数据库会话操作进行拦截,自动生成授权工单。授权用户若需继续执行操作,需管理员批准工单。 以命令控制策略的动态授权为例。 管理员用户登录云堡垒机,选择“策略 > 命令控制策略”,新建字符(SSH或
管理登录手机令牌 手机令牌可用来生成动态口令的手机客户端软件。堡垒机系统支持通过绑定手机令牌对用户登录进行多因子身份认证,用户配置“手机令牌”多因子认证后,需同时输入用户密码和6位手机令牌验证码,才能登录堡垒机系统。更多详细说明,请参见配置手机令牌登录。 目前堡垒机系统可选择两种手机令牌绑定方式
配置手机令牌类型 手机令牌可用来生成动态口令的手机客户端软件。堡垒机系统支持通过绑定手机令牌,对用户登录进行多因子身份认证,用户配置“手机令牌”多因子认证后,需同时输入用户密码和6位手机令牌验证码,才能登录堡垒机系统。 本小节主要介绍如何设置系统手机令牌类型。 约束限制 目前仅支持两种手机令牌类型
配置远程备份至Syslog服务器 为加强对系统数据的容灾管理,堡垒机支持配置日志备份,提高审计数据安全性和系统可扩展性。 注意事项 开启远程备份后,系统默认实时备份系统数据。 以天为单位自动备份,生成日志文件,并上传到Syslog服务器相应路径。 支持备份至Syslog服务器的日志包括系统登录日志
创建数据本地备份 为加强对系统数据的容灾管理,堡垒机支持配置日志备份,提高审计数据安全性和系统可扩展性。 本小节主要介绍如何创建系统本地备份。 注意事项 支持系统本地备份的日志包括系统登录日志、资源登录日志、命令操作日志、文件操作日志、双人授权日志。 系统本地备份创建成功后,会在系统数据盘生成一个日志文件
CBH实例自定义策略 如果系统预置的CBH服务权限,不满足您的授权要求,可以创建自定义策略。自定义策略中可以添加的授权项(Action)请参考CBH实例权限及授权项。 目前华为云支持以下两种方式创建自定义策略: 可视化视图创建自定义策略:无需了解策略语法,按可视化视图导航栏选择云服务
配置远程备份至FTP/SFTP服务器 为加强对系统数据的容灾管理,堡垒机支持配置日志备份,提高审计数据安全性和系统可扩展性。 本小节主要介绍如何在系统配置FTP/SFTP服务器参数,将日志远程备份至FTP/SFTP服务器。 注意事项 开启远程备份后,系统默认在每天零点备份前一天的系统数据
管理运维任务执行日志 运维任务执行完成后生成执行日志,执行日志中可查看任务执行结果,包括执行结果信息、执行详情等。 本小节主要介绍如何管理执行日志,包括查看执行日志、下载执行日志、删除日志等。 前提条件 已获取“运维任务”模块管理权限。 查看日志详情 登录堡垒机系统。 选择“运维
通过Web浏览器登录资源运维容器 通过Web浏览器登录容器,提供“协同分享”功能。用户在主机上执行的所有操作,被堡垒机记录并生成审计数据。 使用Web浏览器运维容器暂不支持“文件传输”功能。 “协同分享”指会话创建者将当前会话链接发送给协助者,协助者通过链接登录创建者的会话中参与运维
配置远程备份至OBS桶 为加强对系统数据的容灾管理,堡垒机支持配置日志备份,提高审计数据安全性和系统可扩展性。 本小节主要介绍如何在系统配置OBS桶参数,将日志远程备份至OBS桶。 注意事项 开启远程备份后,系统默认在每天零点备份前一天的系统数据。 以天为单位自动备份,生成日志文件
绑定手机令牌失败怎么办? 问题现象 绑定手机令牌登录时,扫描二维码获取验证码,并正确输入验证码绑定到设备后,提示“绑定手机令牌失败”。 可能原因 可能因为系统时间和手机时间不一致造成。手机令牌登录方式,系统时间与必须一致,精确到秒。 解决办法 绑定失败后,请先修改系统时间与手机时间一致
数据库授权工单管理 堡垒机支持对数据库操作进行“动态授权”管理,加强对数据库关键操作的限制管理。 当运维用户登录数据库进行运维操作时,触发“动态授权”数据库控制策略的操作命令,系统会自动拦截操作命令,生成数据库授权工单。管理员将会收到工单审批申请。当管理员用户批准工单后,运维用户才有执行该数据库
CBH如何对接三方邮箱服务器? CBH支持对接开放在公网的三方邮箱服务器。 操作步骤 以下以163邮箱为例。 登录163或邮箱,进入“设置”选择“POP3/SMTP/IMAP”,开启IMAP/SMTP服务或POP3/SMTP服务。 开启时弹出账户安全提示框,单击“继续开启”。 手机扫描二维码发送短信
备份系统数据 为避免因变更规格失败而导致系统数据丢失,变更规格前请务必备份重要系统数据,包括系统配置、资源账户、审计日志等重要数据。 其他系统数据可选择性备份,可备份数据请参见云堡垒机支持备份哪些系统数据? 备份系统配置 通过备份和还原系统配置数据,可复用变更规格前系统配置数据。
配置Azure AD远程认证 堡垒机与Azure AD平台对接,认证登录系统的用户身份。 本小节主要介绍如何配置Azure AD认证模式。 前提条件 用户已获取“系统”模块管理权限。 已在Azure AD创建用户和添加企业应用程序,并获取Azure AD平台配置的相关信息。 操作步骤
云堡垒机可提供哪些审计日志? 云堡垒机分别提供实例和系统审计日志。 实例审计 云堡垒机实例审计,需开启云审计服务(Cloud Trace Service,简称CTS),实现对CBH实例的操作的记录,CTS管理控制台将保存最近7天的操作记录。 实例审计日志操作和说明,请参见CBH云审计
配置工单模式 系统工单模式是指用户在申请资源访问权限时,可通过工单申请资源的范围,以及提交工单的方式。 “基本模式”通过选择资源范围,简单限定访问控制工单申请范围;同时通过选择工单提交方式,可指定命令控制工单的提交方式。 “高级模式”针对访问授权工单,从用户部门、用户角色、资源部门多维度限定用户可访问资源的范围
系统配置备份与还原 为确保系统配置数据不丢失,可开启系统配置自动备份,或定期备份系统配置,维护系统配置。 本小节主要介绍如何备份系统配置、还原系统配置,以及如何管理备份列表。 备份数据会备份在堡垒机本地,会占用一定的空间,具体可以在备份列表查看不同日期备份的文件大小。 约束限制 系统备份文件仅限于本堡垒机系统使用
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
