检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
已获取“部门”模块操作权限。 操作步骤 登录堡垒机系统。 选择“部门”,进入部门管理页面。 单击要修改的部门的名称,进入部门详情页面。 图1 部门详情页面 在“基本信息”区域,可查看部门基本信息。 单击“编辑”,弹出部门信息配置窗口,即可修改部门的基本信息。 父主题: 系统部门
数据库控制策略 新建数据库控制策略 查询和修改数据库控制策略 管理规则集 父主题: 系统策略
、所属部门、用户组等基本信息。 为保障用户账号安全,账号登录密码不支持导出。 前提条件 已获取“用户”模块操作权限。 操作步骤 登录堡垒机系统。 在左侧导航树中,选择“用户 > 用户管理”,进入用户列表页面,勾选需要导出的用户账户。 如果不勾选,默认导出全部用户。 右上角单击,弹出导出确认窗口。
创建数据本地备份 为加强对系统数据的容灾管理,堡垒机支持配置日志备份,提高审计数据安全性和系统可扩展性。 本小节主要介绍如何创建系统本地备份。 注意事项 支持系统本地备份的日志包括系统登录日志、资源登录日志、命令操作日志、文件操作日志、双人授权日志。 系统本地备份创建成功后,会在系统数据盘生成一个日志文件。
Key厂商配置详情请参见配置USBKey登录。 前提条件 用户已获取“系统”模块管理权限。 操作步骤 登录堡垒机系统。 选择“系统 > 系统配置 > 安全配置”,进入系统安全配置管理页面。 在“USB Key配置”区域,单击“编辑”,弹出系统USB Key厂商配置窗口。 选择USBKey厂商。
在目标命令集行,单击“操作”列的“添加命令”,弹出添加命令窗口。 选择命令集合或者单条命令。 目前系统预置了“Linux系统”和“网络设备”常见命令和参数。 单击“确定”,命令添加完成。 查询和修改命令集 登录堡垒机系统。 选择“策略 > 命令控制策略 > 命令集”,进入命令集列表页面。 查询命令集。
用户已获取“系统”模块管理权限。 已获取LDAP服务器相关信息。 操作步骤 登录堡垒机系统。 选择“系统 > 系统配置 > 认证配置”,进入远程认证配置管理页面。 图1 配置远程认证 在“LDAP认证配置”区域,单击“添加”,弹出LDAP认证配置窗口。 LDAP支持两种认证模式: “认证模式”选择“认证”时,参照表1配置相关参数。
开启后资源账户可自动添加账户名为Empty的账户,可进行修改,关闭后创建资源账户时必须自定义账户名称。 操作步骤 登录堡垒机系统。 选择“系统 > 系统配置 > 安全配置”,进入系统安全配置管理页面。 在“资源账户配置”模块的右侧,单击“编辑”,进入“资源账户配置”页面。 自动添加Empty账
护任意一个超过配置的限制时,将禁止新增会话,超过运维会话超时设置的限制时,主动断开会话。 操作步骤 登录堡垒机系统。 选择“系统 > 系统配置 > 安全配置”,进入系统安全配置管理页面。 在“会话限制配置”模块的右侧,单击“编辑”,进入“会话限制配置”页面。 开启会话限制的开关状
数据维护 查看系统内存 配置网盘空间 删除系统数据 创建数据本地备份 配置远程备份至Syslog服务器 配置远程备份至FTP/SFTP服务器 配置远程备份至OBS桶 父主题: 系统管理
登录安全类 如何设置云堡垒机登录安全锁? 如何解锁登录云堡垒机时被锁定的用户/IP? 父主题: CBH系统登录
登录MAC地址限制:指在局域网内限制指定MAC地址的用户登录。 约束限制 为正常使用“手机令牌”多因子认证,需确保系统时间与绑定手机时间一致,精确到秒。否则使用手机令牌登录时,口令将验证失败。 系统默认内置短信网关有短信发送频率和条数限制,为避免对“手机短信”多因子认证登录造成影响,可设置“自定义”短信网关,详情请参见短信网关配置。
云服务管理 新建Kubernetes服务器 Kubernetes服务器相关操作 新建容器 容器相关操作 父主题: 系统资源
至堡垒机进行管理,详情操作请参见新建Kubernetes服务器。 使用此功能需要V3.3.48.0及以上版本堡垒机。 操作步骤 登录堡垒机系统。 选择“资源 > 云服务器管理”,进入云服务器管理页面。 单击左上角的“新建”,在弹出的对话框中填写相关参数。 图1 新建容器 表1 新建容器参数说明
当运维用户不具备某些资源访问控制权限时,可主动提交工单,申请相应资源访问控制权限。 前提条件 已获取“访问授权工单”模块管理权限。 操作步骤 登录堡垒机系统。 选择“工单 > 访问授权工单”,进入访问控制工单列表页面。 单击“新建”,弹出新建访问授权工单窗口。 配置访问授权工单基本信息。 表1
管理个人SSH公钥 用户个人SSH公钥是用在SSH客户端免密登录系统。 约束限制 仅支持OpenSSH公钥。 添加SSH公钥 登录堡垒机系统。 选择右上角用户名,单击“个人中心”,进入个人中心管理页面。 图1 个人中心页面 选择“SSH公钥”页签,进入个人SSH公钥管理页面。 图2
已获取“资源账户”模块操作权限。 自动巡检 “自动巡检”在每月5号、15号、25号的凌晨一点,启动验证所有纳管的主机资源账户。验证完成后,系统管理员admin会收到验证结果消息(消息中心),不会生成任务。 实时验证 登录堡垒机系统。 选择“资源 > 资源账户”,进入资源账户列表页面。 勾选指定账户,
选择“我的权限”页签,可查看个人系统权限范围,以及是否开启管理员权限。 系统管理员admin拥有堡垒机系统最高权限。 图5 admin用户权限 我的日志 选择“我的日志”页签,可查看个人“系统登录日志列表”、“系统操作日志列表”和“资源登录日志列表”。 个人用户不能清理个人日志,日志仅能由有系统管理权限
堡垒机支持对数据库操作进行“动态授权”管理,加强对数据库关键操作的限制管理。 当运维用户登录数据库进行运维操作时,触发“动态授权”数据库控制策略的操作命令,系统会自动拦截操作命令,生成数据库授权工单。管理员将会收到工单审批申请。当管理员用户批准工单后,运维用户才有执行该数据库“动态授权”操作命令的权限。
前提条件 已获取“系统”模块管理权限。 操作步骤 登录堡垒机系统。 选择“系统 > 系统配置 > 工单配置”,进入系统工单配置管理页面。 在“审批流程”区域,单击“编辑”,弹出审批流程配置窗口。 配置审批流程的各项参数。 表1 工单审批流程参数说明 参数 说明 审批流程 选择审
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
