检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
查询和修改角色信息 若用户角色信息有变更需求,可由admin统一查看确认角色信息和修改角色信息,包括查看角色基本信息、查看角色权限范围、修改角色基本信息、修改角色权限范围、移除权限模块等。 约束限制 仅系统管理员admin可查看和修改系统角色。 系统默认角色不支持修改角色的管理权限。
查询和修改账户同步策略 若账户同步策略有变更,例如需同步方式变化等。可查看和修改已创建的策略配置,包括修改策略基本信息、修改同步方式、修改同步日期、修改同步周期、修改关联资源账户或账户组等。 修改策略配置,且策略状态为“已启用”时,策略规则才生效。 前提条件 已获取“账户同步策略”模块操作权限。
管理执行日志 账户同步策略执行后产生的执行日志。执行日志中可查看账户同步结果,包括同步的账户信息、新建的账户信息、删除的账户信息等。 前提条件 已获取“账户同步策略”模块操作权限。 查看日志详情 登录堡垒机系统。 选择“策略 > 账户同步策略 > 执行日志”,查看和管理日志记录。
管理运维任务执行日志 运维任务执行完成后生成执行日志,执行日志中可查看任务执行结果,包括执行结果信息、执行详情等。 本小节主要介绍如何管理执行日志,包括查看执行日志、下载执行日志、删除日志等。 前提条件 已获取“运维任务”模块管理权限。 查看日志详情 登录堡垒机系统。 选择“运维
管理快速任务执行日志 本小节主要介绍快速运维任务执行完成后,如何管理任务执行日志,包括查看任务详情、导出执行日志、删除执行日志等。 前提条件 已获取“快速运维”模块管理权限。 快速运维任务(快速命令任务、快速脚本任务、快速文件传输任务)已执行完成。 操作步骤 登录堡垒机系统。 选择“运维
查询和修改运维任务 若运维任务有变更,例如需运维步骤变化等。可查看和修改已创建的任务配置,包括修改任务基本信息、修改任务步骤、修改执行日期、修改执行周期、修改执行账户或账户组等。 前提条件 已获取“运维任务”模块管理权限。 已获取资源访问控制权限,即已配置访问控制策略或访问授权工单已审批通过。
管理改密日志 改密策略执行后产生的改密日志。改密日志中可查看改密详情。 前提条件 已获取“改密策略”模块操作权限。 查看日志详情 登录堡垒机系统。 选择“策略 > 改密策略 > 改密日志”,查看和管理改密日志记录。 查询改密日志。 快速查询:在搜索框中输入关键字,根据策略名称快速查询改密日志。
数据库授权工单 堡垒机支持对数据库操作进行“动态授权”管理,加强对数据库关键操作的限制管理。 当运维用户登录数据库进行运维操作时,触发“动态授权”数据库控制策略的操作命令,系统会自动拦截操作命令,生成数据库授权工单。管理员将会收到工单审批申请。当管理员用户批准工单后,运维用户才有
入门实践 当您配置完云堡垒机(CBH)后,可以根据自身业务的业务场景使用CBH提供的一系列常用实践。 表1 常用最佳实践 实践 描述 变更规格 变更堡垒机规格 当使用的云堡垒机规格不能满足实际需求时,您可以选择对云堡垒机的规格进行变更规格。 系统策略 数据库控制策略:高危命令二次审批
获取项目ID 调用API获取项目ID 项目ID可以通过调用查询指定条件下的项目信息API获取。 获取项目ID的接口为“GET https://{Endpoint}/v3/projects”,其中{Endpoint}为IAM的终端节点,可以从地区和终端节点获取。接口的认证鉴权请参见认证鉴权。
配置工单审批流程 系统工单审批流程是指用户提交工单后,工单审批通过的策略。可从审批流程方式、审批形式、审批节点、审批级数、终审节点等维度,自定义系统工单审批流程,加强对工单审批流程的管理。 审批流程 包括分级流程和固定流程。分级流程适用于部门内部审批的场景,固定流程适用于跨部门审批的场景。
查看系统日志 系统日志包括系统登录日志和系统操作日志两部分。系统登录日志指登录堡垒机的所有日志记录,系统操作日志指登录后在堡垒机控制台所有操作的日志记录,包括但不限于对资源账户或用户的新增、删除、修改以及登录行为记录等。 例如运维人员登录堡垒机系统,执行配置权限、审计管理等操作后
验证系统配置 变更规格完成后,系统管理员admin需逐个选择CBH系统导航树中的以下节点,验证变更规格后系统配置信息是否正确。 待验证系统配置信息,包括部门、用户、资源、策略、工单、审计、运维和系统配置等模块的信息,如表1。 表1 验证系统配置 一级节点 二级或三级节点 验证内容
为什么收到登录资源提示,但历史会话无登录记录? 因每月5号、15号、25号的凌晨一点,后台启动“自动巡检”,通过登录所有纳管的主机验证资源账户的连通性。验证完成后,系统管理员admin将收到登录资源的验证结果消息。 但“自动巡检”登录资源过程不生成任务,故历史会话无登录记录。 父主题:
什么是云堡垒机 云堡垒机(Cloud Bastion Host,CBH)是华为云的一款统一安全管控平台,为企业提供集中的账号(Account)、授权(Authorization)、认证(Authentication)和审计(Audit)管理服务。 云堡垒机提供云计算安全管控的系统
管理命令集 为简化添加大量命令的繁琐操作,可查询并添加常见命令参数,包括Linux主机和网络设备常见命令参数。 本小节主要介绍如何新建关联命令集、查看命令集、修改命令集、删除命令集、批量导入命令集。 前提条件 已获取“命令控制策略”模块操作权限。 新建命令集 登录堡垒机系统。 选择“策略
资源概述 堡垒机具备集中资源管理功能,将已有资源和资源账户添加到系统,可实现对资源账户全生命周期管理,单点登录资源,管理或运维无缝切换。 资源类型 纳管资源类型丰富,包括Windows、Linux等主机资源,MySQL、Oracle等数据库资源,Kubernetes服务器以及Windows应用程序资源。
查询和修改数据库控制策略 若数据库控制策略有变更,例如运维人员有变动,授权资源权限有变化等。可查看和修改已创建的策略配置,包括修改策略基本信息、修改关联规则集、修改关联用户或用户组、修改关联资源账户或账户组等。 修改策略配置,且策略状态为“已启用”时,策略规则才生效。 修改策略配
最新动态 本文介绍了云堡垒机(Cloud Bastion Host,CBH)各特性版本的功能发布和对应的文档动态,欢迎体验。 2021年8月 序号 功能名称 功能描述 阶段 相关文档 1 V3.3.30.3系统版本新上线 修复了Fastjson <=1.2.76版本存在的漏洞,攻
查询和修改命令控制策略 若命令控制策略有变更,例如运维人员有变动,授权资源权限有变化等。可查看和修改已创建的策略配置,包括修改策略基本信息、修改关联密码或命令集。修改关联用户或用户组、修改关联资源账户或账户组等。 修改策略配置,且策略状态为“已启用”时,策略规则才生效。 修改策略
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
