检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
堡垒机已内置HSS-Agent自动下载及安装脚本。 约束限制 仅专业版堡垒机支持脚本管理功能。 仅支持管理Python和Shell两种脚本语言。 脚本仅能由个人账户,管理员,部门管理员管理,不能被系统内其他用户管理。 前提条件 已获取“脚本管理”模块管理权限。 操作步骤 登录堡垒机系统。
运维会话经常提示登录超时,断开连接怎么办? 问题现象 在Web运维会话界面,登录超时连接断开,提示“由于您长时间未操作,此会话已结束”。 云堡垒机系统未退出登录,但运维会话界面主机资源断开连接。 可能原因 原因一:用户使用默认“登录超时”30分钟,在云堡垒机运维会话超过30分钟无
自动化运维包括哪些内容? 云堡垒机“专业版”支持自动化运维功能,可将复杂运维精准化和效率化。自动化运维主要包括资源账户同步、脚本线上管理、多资源快速运维,以及多步骤自动运维。 资源账户同步:通过账户同步功能,可以实现对主机上资源账户的有效监管,及时发现僵尸账户或未纳管账户,加强对资产的管控。
通过风格页面可自定义堡垒机的页面语言和堡垒机呈现的图标。 前提条件 已获取“系统”模块管理权限。 系统风格 登录堡垒机系统。 选择“系统 > 系统配置 > 系统风格”,进入系统风格页面。 切换系统语言。 在“语言配置”区域,单击“编辑”,弹出语言配置窗口。 选择语言类型,可选择简体中文和英文。
查看和修改脚本信息 本小节主要介绍如何在线查看和修改脚本信息。 约束限制 当脚本大小超过128KB,将不能在线查看脚本内容,可下载脚本文件到本地查看,详情请参见下载脚本。 前提条件 已获取“脚本管理”模块管理权限。 操作步骤 登录堡垒机系统。 选择“运维 > 脚本管理 ”,进入脚本列表页面。
入门实践 当您配置完云堡垒机(CBH)后,可以根据自身业务的业务场景使用CBH提供的一系列常用实践。 表1 常用最佳实践 实践 描述 变更规格 变更堡垒机规格 当使用的云堡垒机规格不能满足实际需求时,您可以选择对云堡垒机的规格进行变更规格。 系统策略 数据库控制策略:高危命令二次审批
// {Endpoint} / {resource-path} ? {query-string} 尽管请求URI包含在请求消息头中,但大多数语言或框架都要求您从请求消息中单独传递它,所以在此单独强调。 URI-scheme: 表示用于传输请求的协议,当前所有API均采用HTTPS协议。
查看历史会话 运维人员通过堡垒机登录资源运维结束后,审计管理员将会收到历史会话记录。通过历史会话记录,可查询详细的操作记录,在线审计历史会话。 约束限制 通过Web运维支持文本和视频审计。 通过SSH客户端运维、客户端文件传输和数据库运维仅支持文本审计,不支持视频审计。 不支持记录资源账户自动巡检的登录资源数据。
云堡垒机可提供哪些审计日志? 云堡垒机分别提供实例和系统审计日志。 实例审计 云堡垒机实例审计,需开启云审计服务(Cloud Trace Service,简称CTS),实现对CBH实例的操作的记录,CTS管理控制台将保存最近7天的操作记录。 实例审计日志操作和说明,请参见CBH云审计。
如何使用堡垒机对安全事故进行事后追溯 随着业务上云并不断发展,云上运维的人数不断增加,这样必然会衍生出一些运维人员操作疏忽而导致的一些安全事故,但由于传统服务器缺少指令监控,操作回放等功能,这样就导致安全事件可追溯性不完善的问题。 云堡垒机可以管控所有的操作,并对所有的操作都进行
产品功能 云堡垒机不仅拥有传统4A安全管控的基本功能特性,包括身份认证、账户管理、权限控制、操作审计四大功能。还拥有高效运维、工单申请等特色功能。 身份认证 采用多因子认证和远程认证技术,加强用户身份认证管理。 引用多因子认证技术,包括手机短信、手机令牌、USBKey、动态令牌等
功能总览 功能总览 全部 云堡垒机实例 系统登录认证 系统账户管理 系统权限控制 系统运维审计 系统高效运维 系统工单管理 OBS 2.0支持 云堡垒机实例 云堡垒机(Cloud Bastion Host,CBH)是华为云的一款4A统一安全管控平台,为企业提供集中的帐号(Acco
实例桌面 系统桌面看板分为关注资源、活动用户、待审批工单、主机类型统计、应用类型统计、当前活动会话、今日新增会话、登录次数统计、运维次数统计、运维用户Top5、运维资源Top5、系统状态、系统信息、最近登录主机、最近登录应用、可登录主机、可登录应用共17个信息模块,呈现堡垒机系统
包年/包月 包年/包月是一种先付费再使用的计费模式,适用于对资源需求稳定且希望降低成本的用户。通过选择包年/包月的计费模式,您可以预先购买云服务资源并获得一定程度的价格优惠。本文将介绍包年/包月云堡垒机CBH资源的计费规则。 适用场景 包年/包月计费模式需要用户预先支付一定时长的
查看系统日志 系统日志包括系统登录日志和系统操作日志两部分。系统登录日志指登录堡垒机的所有日志记录,系统操作日志指登录后在堡垒机控制台所有操作的日志记录,包括但不限于对资源账户或用户的新增、删除、修改以及登录行为记录等。 例如运维人员登录堡垒机系统,执行配置权限、审计管理等操作后
导出系统日志 运维人员登录堡垒机系统,执行配置权限、审计管理等操作后,审计管理员将会收到系统日志记录。通过系统日志记录,可查询详细的系统登录和操作记录,在线审计系统日志。系统日志包括系统登录日志和系统操作日志两部分。 前提条件 已获取“系统登录日志”或“系统操作日志”模块管理权限。
启用HA 堡垒机支持双机HA热备功能。启用HA备份后,用户登录系统,使用HA热备机功能,此时主节点断开,备节点也可提供服务。 约束限制 必须先配置主节点。主节点配置生效后,再配置备节点,并需确保主备节点使用内网进行HA同步配置。 备节点HA配置生效后,无论备节点上是否已有配置数据
资源账户管理 通过对资源账户的管理可实现基本信息编辑、验证、加入资源账户组、用户绑定、删除、导出等操作。 约束限制 应用资源的账户不支持在线验证。 上级部门管理员向下级部门账户组添加资源账户时,可将上级部门的资源账户添加到下级部门账户组。 下级部门拥有“资源账户”模块管理权限的用
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
