检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
络限制,请参考下述方案依次排查。 请先确认当前用户网络环境,是否为内网用户,以及用户访问权限是否受限。 例如因华为云内网用户,无法访问公网资源,即未授权的内网用户不能登录运维资源,需先申请外网访问权限或申请Websocket权限。 检查CBH系统环境是否配置合理 检查主机实例环境是否合理配置
03 入门 系统管理员admin首次登录后,需要依次创建用户、资源、访问策略。用户获取资源或系统管理授权后,才可以进行资源运维和系统管理。 登录云堡垒机系统 Web浏览器登录 SSH客户端登录 初始配置 新建用户 新建主机 授权访问 配置用户登录认证 多因子认证 AD域认证 RADIUS认证
需要开启“不允许多点登录”功能才能对该功能进行开启或关闭。 关闭:当通过Web页面访问堡垒机时,会将已登录的客户端会话强制断开,如果同属客户端登录,已登录的无法被强制断开。 开启:开启后通过Web页面访问堡垒机时,不会将已登录的客户端会话强制断开,会保留客户端会话,Web页面无法登录。 强制多因子登录 开启后,系统将
0及以上版本支持“查询”认证模式,如需使用此模式,请参照升级实例版本章节将实例版本升级至最新版本。 前提条件 用户已获取“系统”模块管理权限。 已获取LDAP服务器相关信息。 操作步骤 登录堡垒机系统。 选择“系统 > 系统配置 > 认证配置”,进入远程认证配置管理页面。 图1 配置远程认证 在“LDA
实例列表 表1 实例的信息参数说明 参数 说明 实例名称 您自定义实例的名称,创建后不可编辑修改。 运行状态 实例当前的运行状态,包含备机的运行状态。 实例类型 您选择的实例类型。 登录地址 当前实例的内网IP地址。 弹性IP 当前实例的公网IP地址。 计费模式 当前实例的计费模式。
前提条件 已获取“运维任务”模块管理权限。 已获取资源访问控制权限,即已配置访问控制策略或访问授权工单已审批通过。 查看和修改任务配置 登录堡垒机系统。 选择“运维 > 运维任务 > 任务列表”,进入运维任务列表页面。 图1 运维任务列表 查询运维任务。 快速查询 在搜索框中
本,具体的操作请参见升级版本。 版本升级过程约需要30min,堡垒机升级期间无法使用。建议您在升级前备份数据,以防因升级失败而影响使用。 若您的堡垒机当前不是最新版本,但在堡垒机控制台上无法单击“升级”,可随时通过工单或者服务热线( 4000-955-988或950808 )与我们联系。
单击“查看更多”,进入任务中心列表页面。 图2 任务中心列表 查询任务。 在搜索框中输入关键字,根据任务标题内容快速查询任务。 查看任务列表。 在任务列表可以查看到正在进行的任务、已完成的任务和被停止的任务。 查看任务详情。 单击目标任务名称,进入任务详情页面。 可查看任务基本信息和任务执行结果。
kms:cmk:decryptDataKey 仅能通过API访问 kms:cmk:encryptData 通过控制台或API进行访问 kms:cmk:decryptData 通过控制台或API进行访问 kms:cmk:sign 仅能通过API访问 kms:cmk:verify 仅能通过API访问 kms:cmk:generateMac
选择“白名单”,并配置相应MAC地址,仅允许该MAC地址用户登录。 MAC地址缺省状态下,不限制MAC地址登录堡垒机。 单击“确定”,返回用户详情页面,即可查看用户登录配置信息。 批量配置用户登录限制 登录堡垒机。 选择“用户 > 用户管理”,进入用户列表页面,可通过快速查询或高级搜索查询目标用户。 快速查询:在搜索
中的员工设置不同的访问权限,以达到不同员工之间的权限隔离,您可以使用统一身份认证服务(Identity and Access Management,IAM)进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全的控制华为云资源的访问。 通过IAM,您
0续费License未生效的通知 若您在堡垒机V3.3.48.0版本堡垒机续费License未及时生效,请您重启堡垒机实例或者将堡垒机版本升级至V3.3.50.0版本。
云堡垒机系统的系统管理员默认账号为admin,登录密码为申请实例时自定义设置的密码。 在首次登录云堡垒机系统后,请按照系统提示修改密码,否则无法进入系统运行页面。 密码管理 为充分保证安全,建议您设置的各类密码满足以下要求: 在首次登录云堡垒机系统后,请按照系统提示修改密码和配置手机号码,否则无法进入云堡垒机系统。
Host”、“远程桌面连接代理”、“远程桌面授权”、“远程桌面网关”、“远程桌面Web访问”角色服务项。 (可选)选择“Web服务器角色(IIS) > 角色服务”,进入选择网络策略和访问角色服务窗口,按默认选项执行。 图7 选择IIS服务角色 图8 选择服务角色 (可选)选择“网络策略和访问服务 ”,进入选
Host”、“远程桌面连接代理”、“远程桌面授权”、“远程桌面网关”、“远程桌面Web访问”角色服务项。 (可选)选择“Web服务器角色(IIS) > 角色服务”,进入选择网络策略和访问角色服务窗口,按默认选项执行。 图7 选择IIS服务角色 图8 选择服务角色 (可选)选择“网络策略和访问服务 ”,进入选
”、“远程桌面Web访问”角色服务项。 (可选)选择“Web服务器角色(IIS) > 角色服务”,进入选择网络策略和访问角色服务窗口,按默认选项执行。 图7 选择IIS服务角色 图8 选择服务角色 (可选)选择“网络策略和访问服务 ”,进入选择网络策略和访问服务窗口,默认勾选“网络策略服务器”选项。
AD平台配置的相关信息。 Azure AD相关操作及配置需在Azure页面进行,请参考Azure官网相关指导文档或咨询Azure工程师。 操作步骤 登录堡垒机系统。 选择“系统 > 系统配置 > 认证配置”,进入远程认证配置管理页面。 图1 配置远程认证 在“Azure AD认证配置”区域,单击“编辑”,弹出Azure
在此模式下,堡垒机可以同步AD域服务器的用户信息,无需管理员新建用户。当用户登录堡垒机时,由AD域服务器提供认证服务,详细配置操作请参见同步AD域用户。 前提条件 用户已获取“系统”模块管理权限。 已获取AD服务器相关信息。 操作步骤 登录堡垒机系统。 选择“系统 > 系统配置 > 认证配置”,进入远程认证配置管理页面。
理”、“资源组管理”和“访问策略管理”等模块的配置权限。 审计管理员:负责系统和运维数据的审计,拥有“实时会话”、“历史会话”和“系统日志”等模块的配置权限。 运维员:系统普通用户和资源操作人员,拥有“主机运维”、“应用运维”和“授权工单”模块的操作访问权限。 自定义的角色:仅a
策略概述 堡垒机实例提供了控制策略的功能,可在堡垒机实例中提前配置部分策略,实现快速运维。 堡垒机支持访问控制、命令控制、数据库控制、改密和账户同步策略的预设。 表1 堡垒机支持预设的策略说明 支持预设的策略类型 策略说明 访问控制策略 访问控制策略用于控制用户访问资源的权限。 命令控制策略
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
