操作指引
操作流程
|
编号 |
流程节点 |
说明 |
|---|---|---|
|
1 |
准备工作 |
在购买CBH资源之前,请先注册华为账号并开通华为云、完成实名认证、为账户充值。请保证账户有足够的资金,以避免购买资源失败。具体操作,请参见准备工作。 |
|
2 |
购买云堡垒机 |
登录管理控制台,购买云堡垒机实例。具体操作,请参见购买云堡垒机。 |
|
3 |
配置云堡垒机 |
管理员登录云堡垒机,完成对堡垒机的部门、用户、策略、资源等配置。常用管理操作,请参见管理员操作指引。 |
|
4 |
资源运维 |
运维员登录云堡垒机,对主机、数据库、应用和容器资源进行运维。常用运维操作,请参见运维员操作指引。 |
|
5 |
运维审计 |
审计员登录堡垒机,查阅和管理各种审计数据,包括会话、日志、报表数据。常用审计操作,请参见审计员操作指引。 |
管理员操作指引
系统管理员admin或其他获取管理员权限的用户,可以通过控制台管理并配置堡垒机。本节介绍管理员常用操作指导。
|
功能模块 |
配置步骤 |
说明 |
|---|---|---|
|
部门管理 |
(按需)步骤一:新建部门 |
部门是用于划分组织结构,标识用户和资源的组织。管理员可以创建并管理部门。 更多信息,请参见新建部门。 |
|
用户管理 |
步骤二:新建用户 |
管理员创建用户并为其分配部门和角色,即为不同人员创建一个登录云堡垒机的账号。 更多信息,请参见新建用户。 |
|
资源管理 |
步骤三:纳管资源 |
|
|
在公网连通的情况下,管理员可以通过手动添加、批量导入、自动发现等方式将数据库资源纳管到堡垒机中进行管理。 更多信息,请参见通过堡垒机纳管主机或数据库资源。 |
||
|
在公网连通的情况下,管理员可以将客户端应用和Web应用资源纳管到堡垒机中进行管理。 更多信息,请参见纳管应用资源。 |
||
|
在公网连通的情况下,管理员可以将基于Kubernetes创建的容器资源纳管到堡垒机中进行管理,包括华为云云容器引擎(Cloud Container Engine,简称CCE) 或其他自建第三方容器资源。 当前仅专业版支持,更多信息,请参见纳管容器资源。 |
||
|
策略管理 |
步骤四:新建访问控制策略 |
访问控制策略用于控制用户访问资源的权限。通过配置访问控制策略,并为策略关联用户及资源,可实现对运维人员、运维资源及运维行为的管控。 更多信息,请参见新建访问控制策略并关联用户和资源账户。 |
|
(按需)新建命令控制策略 |
命令控制策略用于控制用户访问资源的命令操作权限,实现Linux主机运维操作的细粒度控制。 更多信息,请参见新建命令控制策略。 |
|
|
(按需)新建数据库控制策略 |
数据库控制策略是用于拦截数据库会话敏感操作,实现数据库运维操作的细粒度控制。 当前仅专业版支持,更多信息,请参见新建数据库控制策略。 |
|
|
(按需)新建改密策略 |
改密策略用于对主机资源账户自动改密,并可针对多个主机资源账户同时定期改密,提高资源账户安全性。 更多信息,请参见新建改密策略。 |
|
|
工单管理 |
(按需)审批工单 |
当运维员提交工单申请或者触发命令工单后,管理员可根据情况审批或驳回工单。 更多信息,请参见查看和审批工单。 |
|
系统管理 |
(按需)系统配置 |
提供登录安全配置、多因子认证、远程认证、告警配置等多种系统配置,保障系统安全。 更多信息,请参见系统配置。 |
|
(按需)维护管理 |
提供系统数据备份和还原、系统诊断、网络诊断等功能,保障数据安全。 更多信息,请参见维护管理。 |
运维员操作指引
获取资源运维权限的用户,可通过Web浏览器、SSH客户端工具、FTP/SFTP客户端工具或其他本地客户端工具,登录资源进行运维操作。本节介绍运维员常用操作指导。
|
功能模块 |
运维类型 |
说明 |
|---|---|---|
|
工单管理 |
提交工单申请 |
当运维员不具备某些资源访问控制权限时,可主动提交工单,申请相应资源访问控制权限。 更多信息,请参见: |
|
资源运维 |
运维主机 |
运维员根据不同协议的主机类型,通过Web浏览器、SSH客户端工具或FTP/SFTP客户端工具,登录主机进行运维。 更多信息,请参见: |
|
运维数据库 |
运维员通过SSO单点登录工具调用本地客户端工具或直接通过本地客户端工具,登录数据库进行运维。 更多信息,请参见: |
|
|
运维应用 |
运维员通过Web浏览器,登录应用进行运维。 更多信息,请参见通过Web浏览器登录应用资源进行运维。 |
|
|
运维容器 |
运维员通过Web浏览器,登录容器进行运维。 当前仅专业版支持,更多信息,请参见通过Web浏览器登录资源运维容器。 |
审计员操作指引
获取运维审计权限的用户,可通过控制台查看并管理各种审计会话、日志、报表等信息。本节介绍审计员常用操作指导。
|
功能模块 |
审计方式 |
说明 |
|---|---|---|
|
运维审计 |
实时会话 |
审计员可以通过控制台查看实时会话,当监控到运维员有违规或高危运维操作时,审计员可立即中断其操作。 更多信息,请参见实时会话。 |
|
历史会话 |
审计员可以通过控制台查看、管理和导出历史会话记录,并可以在线回放历史会话。 更多信息,请参见历史会话。 |
|
|
系统日志 |
审计员可以通过控制台查看和导出系统登录日志及系统操作日志。 更多信息,请参见系统日志。 |
|
|
运维报表 |
审计员可以通过控制台查看和导出运维报表,运维报表呈现包括运维时间分布、资源访问次数、会话时长、来源IP访问数、命令拦截等维度的数据。支持将运维报表数据定期以邮件形式自动发送到指定邮箱。 更多信息,请参见运维报表。 |
|
|
系统报表 |
审计员可以通过控制台查看和导出系统报表,系统报表呈现包括用户控制、用户与资源操作、用户源IP数、异常登录等维度的数据。支持将系统报表数据定期以邮件形式自动发送到指定邮箱。 更多信息,请参见系统报表。 |
