检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
导入云主机的访问密钥AK/SK是什么?如何获取? 系统资源账户有哪些状态? 系统资源标签可以共用吗? 是否支持手动输入密码的方式登录资源? 为什么不能识别批量导入的云主机? 如何通过云堡垒机来访问内网提供的服务? 父主题: 系统用户、资源及策略配置
通知,以便及时发现系统异常和用户异常操作。 资源运维审计 全程记录用户的运维操作,支持多种运维审计技术和审计形式,可随时审计用户操作行为,识别运维风险,为安全事件追溯和分析提供依据。 运维审计技术 Linux命令审计 基于字符协议(SSH、TELNET)的命令操作审计,记录命令运
打开手机令牌客户端,获取动态口令,输入6位OTP口令。 单击“登录”,验证通过后即可登录系统。 使用USBKey登录 选择“USBKey”方式。 接入USBKey,自动识别已签发USBKey。 输入PIN码。 单击“登录”,验证通过后即可登录系统。 使用动态令牌登录 选择“动态令牌”方式。 依次输入用户登录名、账户登录密码。
2019年8月 序号 功能名称 功能描述 阶段 相关文档 1 V3.2.18.0系统版本新上线 支持识别RADIUS手机令牌。 优化更多系统运维管理功能 商用 升级系统版本 2 支持识别第三方RADIUS手机令牌 手机令牌登录方式新增第三方RADIUS手机令牌方式。 商用 配置手机令牌
作的二次授权为例。 应用场景 云堡垒机(Cloud Bastion Host,CBH),通过设置数据库控制策略,设置预置命令执行策略,动态识别并拦截高危命令(包括删库、修改关键信息、查看敏感信息等),中断数据库运维会话。同时自动生成数据库授权工单,发送给管理员进行二次审批授权。只
来源IP检测 选择开启或禁用来源IP检测,默认。 ,表示当前系统开启“来源IP检测”。开启后,堡垒机会从tcp连接信息中获取访问堡垒机的源IP,当系统识别到源IP变化时,当前的会话会被断开,堡垒机需要重新登录。 ,表示关闭“来源IP检测”,关闭后源IP变化时会话不会被断开。 说明: 无论是否
@192.168.1.1:3389。 “Windows主机资源账户名”必须是已添加到堡垒机中的资源账户,且登录方式是”自动登录“,否则无法识别Windows主机资源账户,且无法生成运维审计文件。不支持实时会话运维。如何添加主机资源账户,请参考添加资源账户章节。 password:输入当前堡垒机的用户密码。
主机或数据库资源管理 纳管在堡垒机的主机资源可在堡垒机对基本信息、登录用户、资源账户以及运维任务进行查看和编辑,同时也可对代理服务器的基本信息进行查看和编辑。 查看主机或数据库资源列表 登录堡垒机。 选择“资源 > 主机管理”,进入主机管理页面。 选择“主机列表”,在页面可通过快速查询或高级搜索查询目标资源。
查询和修改角色信息 若用户角色信息有变更需求,可由admin统一查看确认角色信息和修改角色信息,包括查看角色基本信息、查看角色权限范围、修改角色基本信息、修改角色权限范围、移除权限模块等。 约束限制 仅系统管理员admin可查看和修改系统角色。 系统默认角色不支持修改角色的管理权限。
等保条例:应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换; 本条款主要考察如下三点: 是否对登录用户进行身份识别和鉴别使用浏览器访问堡垒机页面,证明需要对用户身份进行鉴别之后才可正常使用产品功能。 图4 云堡垒机登录界面 身份标识是否具有唯一性:每名
通知,以便及时发现系统异常和用户异常操作。 资源运维审计 全程记录用户的运维操作,支持多种运维审计技术和审计形式,可随时审计用户操作行为,识别运维风险,为安全事件追溯和分析提供依据。 运维审计技术 Linux命令审计 基于字符协议(SSH、TELNET)的命令操作审计,记录命令运
加入用户组 多个用户加入一个“用户组”形成用户群组,通过对用户组授权可对用户进行批量授权,一个用户可加入多个用户组。 约束限制 上级部门管理员向下级部门用户组添加用户时,可将上级部门的用户添加到下级部门用户组。 下级部门拥有“用户”模块管理权限的用户,将当前用户组中的上级部门成员移除后,不能再添加移除的上级部门用户。
删除用户 堡垒机系统用户支持一键删除和批量删除。 系统管理员admin不允许被删除。 如果删除的目标用户正在使用堡垒机实例,被删除后会被立即强制退出,请谨慎操作。 删除后,用户账号所有关联的权限将失效,用户个人网盘中文件将被清空,且无法恢复,因此在删除前请确保已经完成相关数据的备份。
启停用户 堡垒机系统用户快速管理,支持一键批量“启用”或“禁用”其他用户,修改用户账号使用状态。 系统管理员admin默认保持“已启用”状态,不支持禁用admin用户。 启用 默认为启用,用户状态为“已启用”,用户在权限范围内可正常使用。 禁用 用户状态为“已禁用”。用户账号被禁
通过Web浏览器登录应用资源进行运维 通过Web浏览器登录应用资源,提供“协同分享”、“文件传输”、“文件管理”等功能。用户在应用上执行的所有操作,被堡垒机记录并生成审计数据。 “协同分享”指会话创建者将当前会话链接发送给协助者,协助者通过链接登录创建者的会话中参与运维,实现运维协同操作。
通过Web浏览器登录资源进行运维 通过Web浏览器登录主机,提供“协同分享”、“文件传输”、“文件管理”和“预置命令”等功能。用户在主机上执行的所有操作,被堡垒机记录并生成审计数据。 “协同分享”指会话创建者将当前会话链接发送给协助者,协助者通过链接登录创建者的会话中参与运维,实现运维协同操作。
查看历史会话 运维人员通过堡垒机登录资源运维结束后,审计管理员将会收到历史会话记录。通过历史会话记录,可查询详细的操作记录,在线审计历史会话。 约束限制 通过Web运维支持文本和视频审计。 通过SSH客户端运维、客户端文件传输和数据库运维仅支持文本审计,不支持视频审计。 不支持记录资源账户自动巡检的登录资源数据。
配置用户登录限制 背景介绍 为加强用户账号登录管理,堡垒机支持通过配置登录开启或关闭多因子认证、设置账号使用有效期、设置登录时段限制、设置登录IP地址限制、设置登录MAC地址限制,管理用户账号登录权限,有效降低用户账号泄露等导致的安全风险。 多因子认证:指开启多因子认证后,用户登
查询和修改数据库控制策略 若数据库控制策略有变更,例如运维人员有变动,授权资源权限有变化等。可查看和修改已创建的策略配置,包括修改策略基本信息、修改关联规则集、修改关联用户或用户组、修改关联资源账户或账户组等。 修改策略配置,且策略状态为“已启用”时,策略规则才生效。 修改策略配
查询和修改命令控制策略 若命令控制策略有变更,例如运维人员有变动,授权资源权限有变化等。可查看和修改已创建的策略配置,包括修改策略基本信息、修改关联密码或命令集。修改关联用户或用户组、修改关联资源账户或账户组等。 修改策略配置,且策略状态为“已启用”时,策略规则才生效。 修改策略
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
