操作指引
操作流程
编号 | 流程节点 | 说明 |
|---|---|---|
1 | 准备工作 | 在购买CBH资源之前,请先注册华为账号并开通华为云、完成实名认证、为账户充值。请保证账户有足够的资金,以避免购买资源失败。具体操作,请参见准备工作。 |
2 | 购买云堡垒机 | 登录管理控制台,购买云堡垒机实例。具体操作,请参见购买云堡垒机。 |
3 | 配置云堡垒机 | 管理员登录云堡垒机,完成对堡垒机的部门、用户、策略、资源等配置。常用管理操作,请参见管理员操作指引。 |
4 | 资源运维 | 运维员登录云堡垒机,对主机、数据库、应用和容器资源进行运维。常用运维操作,请参见运维员操作指引。 |
5 | 运维审计 | 审计员登录堡垒机,查阅和管理各种审计数据,包括会话、日志、报表数据。常用审计操作,请参见审计员操作指引。 |
管理员操作指引
系统管理员admin或其他获取管理员权限的用户,可以通过控制台管理并配置堡垒机。本节介绍管理员常用操作指导。
功能模块 | 配置步骤 | 说明 |
|---|---|---|
部门管理 | (按需)步骤一:新建部门 | 部门是用于划分组织结构,标识用户和资源的组织。管理员可以创建并管理部门。 更多信息,请参见新建部门。 |
用户管理 | 步骤二:新建用户 | 管理员创建用户并为其分配部门和角色,即为不同人员创建一个登录云堡垒机的账号。 更多信息,请参见新建用户。 |
资源管理 | 步骤三:纳管资源 |
|
在公网连通的情况下,管理员可以通过手动添加、批量导入、自动发现等方式将数据库资源纳管到堡垒机中进行管理。 更多信息,请参见通过堡垒机纳管主机或数据库资源。 | ||
在公网连通的情况下,管理员可以将客户端应用和Web应用资源纳管到堡垒机中进行管理。 更多信息,请参见纳管应用资源。 | ||
在公网连通的情况下,管理员可以将基于Kubernetes创建的容器资源纳管到堡垒机中进行管理,包括华为云云容器引擎(Cloud Container Engine,简称CCE) 或其他自建第三方容器资源。 当前仅专业版支持,更多信息,请参见纳管容器资源。 | ||
策略管理 | 步骤四:新建访问控制策略 | 访问控制策略用于控制用户访问资源的权限。通过配置访问控制策略,并为策略关联用户及资源,可实现对运维人员、运维资源及运维行为的管控。 更多信息,请参见新建访问控制策略并关联用户和资源账户。 |
(按需)新建命令控制策略 | 命令控制策略用于控制用户访问资源的命令操作权限,实现Linux主机运维操作的细粒度控制。 更多信息,请参见新建命令控制策略。 | |
(按需)新建数据库控制策略 | 数据库控制策略是用于拦截数据库会话敏感操作,实现数据库运维操作的细粒度控制。 当前仅专业版支持,更多信息,请参见新建数据库控制策略。 | |
(按需)新建改密策略 | 改密策略用于对主机资源账户自动改密,并可针对多个主机资源账户同时定期改密,提高资源账户安全性。 更多信息,请参见新建改密策略。 | |
工单管理 | (按需)审批工单 | 当运维员提交工单申请或者触发命令工单后,管理员可根据情况审批或驳回工单。 更多信息,请参见查看和审批工单。 |
系统管理 | (按需)系统配置 | 提供登录安全配置、多因子认证、远程认证、告警配置等多种系统配置,保障系统安全。 更多信息,请参见系统配置。 |
(按需)维护管理 | 提供系统数据备份和还原、系统诊断、网络诊断等功能,保障数据安全。 更多信息,请参见维护管理。 |
运维员操作指引
获取资源运维权限的用户,可通过Web浏览器、SSH客户端工具、FTP/SFTP客户端工具或其他本地客户端工具,登录资源进行运维操作。本节介绍运维员常用操作指导。
功能模块 | 运维类型 | 说明 |
|---|---|---|
工单管理 | 提交工单申请 | 当运维员不具备某些资源访问控制权限时,可主动提交工单,申请相应资源访问控制权限。 更多信息,请参见: |
资源运维 | 运维主机 | 运维员根据不同协议的主机类型,通过Web浏览器、SSH客户端工具或FTP/SFTP客户端工具,登录主机进行运维。 更多信息,请参见: |
运维数据库 | 运维员通过SSO单点登录工具调用本地客户端工具或直接通过本地客户端工具,登录数据库进行运维。 更多信息,请参见: | |
运维应用 | 运维员通过Web浏览器,登录应用进行运维。 更多信息,请参见通过Web浏览器登录应用资源进行运维。 | |
运维容器 | 运维员通过Web浏览器,登录容器进行运维。 当前仅专业版支持,更多信息,请参见通过Web浏览器登录资源运维容器。 |
审计员操作指引
获取运维审计权限的用户,可通过控制台查看并管理各种审计会话、日志、报表等信息。本节介绍审计员常用操作指导。
功能模块 | 审计方式 | 说明 |
|---|---|---|
运维审计 | 实时会话 | 审计员可以通过控制台查看实时会话,当监控到运维员有违规或高危运维操作时,审计员可立即中断其操作。 更多信息,请参见实时会话。 |
历史会话 | 审计员可以通过控制台查看、管理和导出历史会话记录,并可以在线回放历史会话。 更多信息,请参见历史会话。 | |
系统日志 | 审计员可以通过控制台查看和导出系统登录日志及系统操作日志。 更多信息,请参见系统日志。 | |
运维报表 | 审计员可以通过控制台查看和导出运维报表,运维报表呈现包括运维时间分布、资源访问次数、会话时长、来源IP访问数、命令拦截等维度的数据。支持将运维报表数据定期以邮件形式自动发送到指定邮箱。 更多信息,请参见运维报表。 | |
系统报表 | 审计员可以通过控制台查看和导出系统报表,系统报表呈现包括用户控制、用户与资源操作、用户源IP数、异常登录等维度的数据。支持将系统报表数据定期以邮件形式自动发送到指定邮箱。 更多信息,请参见系统报表。 |
