云堡垒机 CBH
云堡垒机 CBH
- 最新动态
- 功能总览
- 服务公告
- 产品介绍
- 计费说明
- 快速入门
- 用户指南
- 最佳实践
- API参考
- 场景代码示例
-
常见问题
- 高频常见问题
- 产品咨询
- 区域和可用区
- 购买
- License相关
- 备份/变更规格/升级
- 文件传输类
- 计费、到期续费与退订
- CBH系统登录
- 系统用户、资源及策略配置
- 运维资源
- 审计运维日志
-
故障排除
- 登录系统故障
-
登录资源故障
- 通过云堡垒机登录资源异常怎么办?
- 通过Web浏览器登录资源,报Code:T_514错误怎么办?
- 通过Web浏览器登录资源,报Code:T_1006错误怎么办?
- 通过Web浏览器登录资源,报Code:C_515错误怎么办?
- 通过Web浏览器登录资源,报Code:C_519错误怎么办?
- 通过Web浏览器登录主机资源,报Code:C_769错误怎么办?
- 运维资源列表可登录资源不可见怎么办?
- 通过Web浏览器登录资源,不弹出会话界面怎么办?
- 应用运维异常,调用程序失败怎么办?
- SSO工具异常,不能登录数据库资源怎么办?
- 通过堡垒机登录服务器资源,报“并发会话超出许可限制”怎么办?
- 如何解决“mstsc客户端访问服务器资源时,移动界面应用有黑屏”的问题?
- 如何解决“mstsc客户端访问服务器资源时鼠标出现黑块”的问题?
- 访问Windows应用发布器,提示“创建用户失败”怎么办?
-
运维故障
- 登录云堡垒机实例时,收不到短信验证码怎么办?
- 无法添加资源,提示“资源超出许可限制”怎么办?
- 主机资源账户验证不通过怎么办?
- 打开系统数据文件显示乱码怎么办?
- 运维会话经常提示登录超时,断开连接怎么办?
- 应用运维调用PL/SQL客户端,文本乱码了怎么办?
- 登录主机资源后,提示“拒绝请求的会话访问”怎么办?
- 云堡垒机带宽超限了怎么办?
- 通过Web浏览器运维,不能复制文本怎么办?
- 资源运维过程有哪些常见报错?
- 如何解决“运维Windows服务器时使用WPS软件输入中文异常”的问题?
- 堡垒机IP绑定域名,再将域名添加到WAF中进行防护,添加完成后访问不成功怎么处理?
- 云堡垒机配置LTS后状态依然为禁用该怎么处理?
- 应用运维登录后显示本次链接已断开怎么处理?
- 跨版本升级之后证书状态异常怎么处理?
-
SSO运维故障
- DBeaver配置自定义驱动连接GaussDB数据库
- 配置DBeaver连接GaussDB数据库
- mysql协议访问数据库,执行备份数据库表提示1251-lost connection to mysql server during query
- mysql主机运维失败,提示:1251-Client does not support authentication protocol requested by server
- 访问mysql协议主机失败,提示:“2013-Lost connection to MySQL server at ‘waiting for initial communicationpacket system error0”
- Oracle协议访问数据库提示:ORA-12537_TNS_连接关闭
- Oracle协议访问数据提示:ORA-12637_包接收失败
- 主机运维Oracle失败,提示:ora 12170 TNS 连接超时
- 主机运维调用DBeaver连接Postgres数据库失败
- SSO拉起客户端失败,主机运维后提示:运行环境缺少jre
- 视频帮助
- 文档下载
- 通用参考
链接复制成功!
数据库运维高危操作的复核审批
云堡垒机专业版支持通过执行命令运维数据库,包括数据删除、修改、查看等运维操作。为确保数据库敏感信息的安全,避免关键信息的丢失和泄露,本文针对运维用户访问和运维数据库关键信息,详细介绍了如何设置数据库高危操作的复核审批,以及如何实现关键信息的重点监控。
本文以管理员admin_A授权运维用户User_A,针对MySQL数据库资源RDS_A高危操作的二次授权为例。
应用场景
云堡垒机(Cloud Bastion Host,CBH),通过设置数据库控制策略,设置预置命令执行策略,动态识别并拦截高危命令(包括删库、修改关键信息、查看敏感信息等),中断数据库运维会话。同时自动生成数据库授权工单,发送给管理员进行二次审批授权。只有管理员审批工单授权执行操作后,运维用户才能执行该高危操作,继续数据库运维会话。
约束限制
目前仅支持二次审核MySQL或Oracle数据库的执行命令。
前提条件
- 已购买专业版云堡垒机,且能正常登录云堡垒机系统。
- 云堡垒机所在安全组已放开相应数据库访问端口,数据库与云堡垒机之间网络连接畅通。
- 资源RDS_A已被纳管为主机运维方式资源,详情请参见如何创建数据库运维?。
- 运维用户User_A已获取资源RDS_A的访问控制权限,详情请参见创建访问控制策略。
配置二次审核策略
为实现高危操作的复核审批,需在“数据库控制策略”中预置命令规则,并开启“动态授权”执行方式。
- admin_A登录云堡垒机系统。
- 选择“策略 > 数据库控制策略”,进入数据库控制策略页面。
- 配置数据库规则集,选择预置高危操作命令。
- 选择“规则集”页签。
图1 规则集管理页面
- 单击“新建”,创建一个MySQL数据库的规则集。以新建DB-test规则集为例。
图2 创建规则集
- 单击“添加规则”,在DB-test规则集中添加“库”、“表”或“命令”规则。以添加DELETE删除表内容的命令为例。
说明:
- “命令”为必填项,至少需选择一个命令,可同时选择多个命令。
- 设置“库”或“表”,表示对数据库中库或表操作的命令限制。
- 未设置“库”或“表”,表示对数据库中全部操作的命令限制。
图3 添加命令规则
- 选择“规则集”页签。
- 配置数据库策略。
- 选择“策略列表”页签。
图4 数据库控制策略管理页面
- 单击“新建”,创建一个“动态授权”的数据库控制策略。以新建DB-ACL策略为例。
图5 配置动态授权
- 关联规则集DB-test。
图6 关联规则集
- 关联用户User_A和关联资源RDS_A。
图7 关联用户和资源
- 选择“策略列表”页签。
效果验证
运维用户执行高危操作,触发拦截,申请操作权限。管理员通过对高危操作的二次审核,加强对数据库核心资产的管控力度。
- 运维用户User_A登录资源RDS_A。
- 登录云堡垒机系统。
- 选择“运维 > 主机运维”。
- 单击“登录”,通过SSO单点登录工具调用数据库客户端,登录数据库资源RDS_A。
图8 登录数据库资源
- 以调用Navicat客户端登录数据库为例。运维用户User_A在资源RDS_A中,执行删除表内容操作,自动触发拦截DELETE命令,提示无权限删除。
图9 触发拦截
- 运维用户User_A提交数据库授权工单,反馈给管理员admin_A审批。
- 运维用户User_A登录云堡垒机系统。
- 选择“工单 > 数据库授权工单”,查看因删除操作被拦截而产生的工单。
- 单击“提交”,提交对资源RDS_A删除操作的授权申请。
图10 提交数据库授权工单
- 管理员admin_A审核运维用户User_A的运维操作,根据实际情况批准或驳回申请。
- 管理员admin_A登录云堡垒机系统。
- 选择“工单 > 工单审批”,审核User_A数据库授权工单。
- 单击“批准”或“驳回”,审批工单。
说明:
仅管理员“批准”工单后,运维用户才能继续执行被拦截的高危操作。
图11 审批工单