检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
socks5代理协议(端口:1080)没有加密功能,如果通过代理服务器运维使用了非加密的协议类型,请务必在安全组设置中禁止非必要的IP访问。 如果需要加密传输或数据安全的考量,在选择出入方向规则时建议选择有加密的协议类型:SSH、RDP、SFTP、SCP、Rlogin。 为代理服务器配置安全组规则
”操作命令的权限。 本小节主要介绍如何管理数据库授权工单。 约束限制 仅专业版实例支持数据库运维操作审计。 仅针对MySQL和Oracle类型数据库,支持拦截敏感操作生成工单。 数据库授权工单由运维用户触发命令策略,自动创建,不能手动创建。 前提条件 已获取“数据库授权工单”模块管理权限。
用户详情页面 查看和修改用户基本信息。 在“基本信息”区域,单击“编辑”,弹出基本信息编辑窗口,即可修改用户的基本信息。 可修改信息包括“认证类型”、“姓名”、“手机”、“邮箱”、“角色”、“所属部门”和“用户描述”。 “登录名”不支持修改。 图2 用户基本信息 查看和修改用户登录配置信息。
人数据访问权限以及记录操作日志等方法防止个人数据泄露,保证您的个人数据安全。 收集范围: 云堡垒机收集及产生的个人数据如下表所示: 服务 类型 收集方式 是否可修改 是否必须 云堡垒机实例 登录名 在创建用户账号时由系统管理员配置登录名 否 是 登录名是用户的身份标识信息 密码
该证书文件大小不超过20KB,且证书文件包含证书密码。 上传证书绑定的域名已解析到绑定堡垒机实例的弹性公网IP,具体的操作请参见增加A类型记录集。 用户已获取“系统”模块管理权限。 约束限制 目前堡垒机系统只适配Tomcat的Java Keystore格式证书文件,即后缀为jks的证书文件。
该Linux“动态授权”操作命令的权限。 图1 命令被拦截示例 本小节主要介绍如何管理命令控制工单。 约束限制 仅SSH和Telnet协议类型的Linux主机,支持拦截敏感操作生成工单。 前提条件 已获取“命令授权工单”模块管理权限。 已触发命令拦截,生成命令授权工单。 操作步骤
的场景。 按需计费:以小时计费。 说明: 按需计费开启后,只有删除目标实例才会停止计费,与实例运行状态无关。 实例类型 根据您的自身业务需求选择单机或者主备实例类型。 单机:购买后只有一台堡垒机。 主备:购买后会下发两台堡垒机,组成双机设备,主设备不可正常使用时可继续使用备用堡垒机,
操作日志等方法防止个人数据泄露,保证您的个人数据安全。 收集范围 云堡垒机收集及产生的个人数据如表1所示: 表1 个人数据范围列表 服务 类型 收集方式 是否可修改 是否必须 云堡垒机实例 登录名 在创建用户账号时由系统管理员配置登录名 否 是 登录名是用户的身份标识信息 密码
输入协议号码,单击“下一步”。 选择产品版本:“Windows Server 2008或Windows Server 2008 R2”,选择许可证类型:“TS或RDS每用户CAL”,输入允许的最大远程连接数量。 单击“完成”。 RD授权服务器已经激活,图标也由红“×”变为绿“√”,远程桌面服务的配置和激活全部完成。
配置规则集名称和选择协议。 系统内“规则集名称”不能重复。 目前仅支持选择MySQL、Oracle、Postgresql、Gaussdb两种数据库协议类型,且选定后不可修改。 单击“确定”,返回规则集列表页面,查看新建的规则集。 添加规则。 在目标规则集行,单击“操作”列的“添加规则”,弹出添加规则窗口。
单击“单击下载”,下载模板文件到本地。 按照模板文件中的配置项说明,填写需导入的动态令牌配置信息。 单击“单击上传”,选择已配置的模板文件。 支持上传的文件类型包括CSV、xls、xlsx。 勾选“覆盖已有令牌”。 勾选:当密钥、关联用户重复时,将覆盖令牌标识并更新现有令牌的标识信息,但不会删除令牌重新创建。
会话详情页面。 图2 查看历史会话 可分别查看资源会话信息、系统会话信息、运维操作记录、文件传输记录、会话协同记录等。 主要包含资源名称、类型、主机IP、资源账户、起止时间、会话时长、会话大小、操作用户、操作用户来源IP、操作用户来源MAC、登录方式、运维记录、文件传输记录、会话协同记录等信息。
重新登录。 ,表示关闭“来源IP检测”,关闭后源IP变化时会话不会被断开。 说明: 无论是否开启“来源IP检测”,堡垒机都会对来源IP进行记录。 如果开启后因IP不固定导致被频繁退出,可将“来源IP检测”进行关闭,关闭后不会对业务产生影响。 V3.3.44.0-S及之后版本才支持该功能。
支持将系统资源账户信息同步到主机,更新主机上账户密码、新建主机账户、删除主机非法账户。 约束限制 仅专业版堡垒机支持执行账户自动同步。 仅SSH协议类型的主机,支持通过策略进行资源账户同步。 每个目标资源主机仅限一个资源账户登录并执行拉取账户任务。 前提条件 已获取“账户同步策略”模块操作权限。
RDP剪切板:指该策略允许或禁止使用RDP剪切板功能,即复制/粘贴文本的权限。 键盘审计:指该策略允许或禁止使用键盘审计功能,针对键盘输入的信息进行记录。 显示水印:指该策略开启或关闭Web运维背景水印显示,水印显示内容为执行运维的用户登录名。 约束限制 授权文件上传/下载权限,需同时开启“文件传输”和“文件管理”。
以正常登录; 请填写工单反馈问题现象,联系技术支持。 ERROR_CLIENT_521 Code:C_521 由于其他用户登录导致连接发生冲突,请稍后重试 本地登录Windows主机资源,输入命令gpedit.msc,设置“限制链接的数量”,修改已启用的最大链接数;或关闭“限制每个用户只能进行一个会话”选项。
s/{server_id}/admin-url cbh:instance:loginInstanceAdmin √ × 修改单机堡垒机实例类型 PUT /v2/{project_id}/cbs/instance/type cbh:instance:changeInstanceType
命令授权工单申请动态授权”,同时生成命令授权工单。用户需提交工单,并审核通过后,才能继续执行该命令。 约束限制 仅SSH和Telnet协议类型的Linux主机,支持命令控制策略设置操作细粒度控制。 前提条件 已获取“命令控制策略”模块操作权限。 新建命令控制策略 登录堡垒机系统。
能继续执行该命令。 约束限制 仅专业版堡垒机支持数据库运维操作审计。 仅针对MySQL、Oracle、Postgresql、Gaussdb类型数据库,支持通过数据库控制策略设置操作细粒度控制。 前提条件 已获取“数据库控制策略”模块操作权限。 新建数据库控制策略 登录堡垒机系统。
0及以上的版本需要执行该操作,“V3.3.26.0”之前的版本不执行本章节的相关操作。 选择“Windows设置 > 安全设置 > 公钥策略”,进入对象类型页面。 双击“证书路径验证设置”,打开设置窗口。 选择“网络检索”页签。 取消勾选“自动更新Microsoft根证书程序中的证书(推荐)(M)”。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
