云堡垒机提供账号管理(Account)、授权控制(Authorization)、身份验证(Authentication)、安全审计(Audit)等能力,本文详细介绍云堡垒机服务支持的功能。
类别 | 特性 | 描述 |
---|---|---|
实例管理 | 实例创建 | 创建包年包月计费类型的云堡垒机实例。提供多种购买时长,包括:1 个月、3 个月、6 个月、1 年、2 年、3 年,一次性购买时间越久,优惠力度越大。 |
实例规格 | 提供多种云堡垒机实例规格,满足各种场景的使用需求。包括:50资产、100资产、200资产、500资产、1000资产、2000资产、5000资产。 | |
实例续费 | 完整对接计费系统,提供实例续费功能。续费实例即可继续使用,节省重新购买和配置成本。续费方式包括:自动续费、手动续费。
| |
实例更配 | 提供实例规格扩容能力,为云堡垒机实例升级资产配置。 | |
公网选配 | 可根据实际场景按需开关云堡垒机公网 IP。 | |
实例概览 | 通过图表方式可视化展示当前云堡垒机相关信息,包括:基本信息(公网登录 IP、SSH 端口号等)、实时会话管理、人员和资源统计、最近一周登录次数统计、最近一周运维次数统计。 | |
更改安全组 | 云堡垒机加入安全组后,将受到该安全组中访问规则的保护,仅允许云堡垒机访问安全组内的云服务器,可通过更改安全组过滤/保护待纳管的云服务器资源。 | |
版本升级 | 免费提供版本升级能力,可将云堡垒机实例一键升级到最新版本。 | |
资源管理 | 资源纳管 | 提供资源的纳管能力,目前支持纳管的资源包括:主机、数据库。 不仅支持纳管火山引擎中的资产,而且支持纳管非火山引擎或云下资产。 |
主机管理 | 将主机资源纳管到云堡垒机统一管理。提供主机资源的全生命周期管理,包括:导入主机、编辑、删除主机,修改协议端口等。其中,导入主机支持 3 种方式:导入 IAM 主机、新建主机、上传配置文件批量导入主机。
| |
主机账号管理 | 手动同步主机中指定的操作系统账号,实现账号粒度的运维权限接管。并提供主机账号的全生命周期管理,包括:新建、编辑、删除主机账号,验证密码等。 | |
主机组管理 | 通过主机组实现对主机的分类管理和批量操作,并提供主机组全生命周期管理,包括:新建、编辑、删除主机组,添加主机、移除主机等。 | |
数据库管理 | 将数据库资源纳管到云堡垒机统一管理。提供数据库资源的全生命周期管理,包括:新建数据库、编辑、删除等。 | |
数据库账号管理 | 手动同步数据库中指定的账号,实现账号粒度的运维权限接管。并提供数据库账号的全生命周期管理,包括:添加、编辑、删除,验证密码等。 | |
多网域 | 云堡垒机提供多网域管理功能,支持通过网络域代理方式连通多个 VPC、异构云等不同网络环境中的服务器资产,实现多网域运维。 | |
人员管理 | 用户访问控制 | 系统为云堡垒机用户提供 5 种预置访问控制策略,包括:VBHFullAccess(管理员)、VBHInnerFullAccess(管理员)、VBHReadOnlyAccess(只读用户)、VBHAduitOnlyAccess(审计人员)、VBHOperateOnlyAccess(运维人员)。 |
用户管理 |
| |
用户组管理 | 通过实现对用户的分类管理和批量操作,并支持用户组全生命周期管理。包括:新建、编辑、删除用户组,添加用户、移除用户等。 | |
公钥管理 | 将本地客户端生成的 SSH 公钥关联到用户,使用户拥有免密登录云堡垒机能力,保障安全的同时提高运维效率。 | |
授权资产 | 完成主机授权或主机组授权后,用户可以通过云堡垒机运维已授权资产或主机组内的所有主机。授权资产的方式包括:用户授权资产、用户授权资产组、用户组授权资产、用户组授权资产组。 | |
授权账号管理 | 云堡垒机可使用授权账号的操作系统权限,进行资产运维的各种操作。提供授权账号的管理能力,包括:授权账号、移除授权账号。 | |
策略管理 | 命令审批 | 命令控制策略配置执行命令需要审批时,用户在命令控制策略关联的主机中执行相关命令,需要管理员审批才能运行。 |
命令控制策略 | 管控用户运维主机时操作命令的使用权限控制,例如:对敏感、高危命令进行控制,加强关键操作的管控。执行动作包括:不允许执行以下命令、只允许执行以下命令、执行命令需审批。 | |
访问控制策略 | 管控访问云堡垒机的用户权限,不仅可以通过用户来源 IP 限制访问权限,而且可以限制用户的文件管理权限。
| |
改密策略 | 针对使用密码登录的 Linux 主机提供改密策略功能,可直接修改原主机的操作系统账号密码,适用于批量修改密码和定期修改密码场景。
| |
运维审计 | 阻断会话 | 拥有审计权限的用户,发现高危操作或异常情况时,可单方面阻断实时会话,规避风险。 |
实时会话 | 拥有审计权限的用户,可登录云堡垒机控制台通过视频播放的形式查看实时会话,审查管理正在进行中的运维会话。可审计/查看的信息包括:
| |
历史会话 | 拥有审计权限的用户,可登录云堡垒机控制台通过视频播放的形式查看/管理历史会话,也拥有导出日志的权利。可对审查历史会话的基础信息、操作记录和文件记录等信息。 | |
操作日志 | 拥有审计权限的用户,可登录云堡垒机控制台查看登录日志和操作日志。 | |
主机运维 | 单点登录 | 统一运维入口,运维人员可通过云堡垒机单点登录运维主机,一站式访问后端庞大服务器资源,有效简化运维方式。 |
兼容主流运维客户端 | 用户需要通过第三方客户端登录云堡垒机,进行各种运维工作。目前已经兼容主流客户端。包括:
| |
兼容主流运维命令 | 成功连接主机后,即可通过 SSH 协议执行各种运维操作。除支持主流运维命令外,还支持使用 rzsz 命令进行文件传输。 | |
通过浏览器调起本地客户端 | 本地使用 Windows 操作系统连接云堡垒机进行主机资产运维时,可通过浏览器直接调起本地客户端。 | |
RDP 协议运维主机 | RDP 协议提供多种登录运维方式:不仅支持使用客户端登录运维,而且可以使用 Web 端(浏览器)进行登录运维。
| |
SSH 协议运维主机 | SSH 协议提供多种登录运维方式:不仅支持使用客户端登录运维,而且可以使用 Web 端(浏览器)进行登录运维。
| |
SFTP 协议运维主机 | 通过 SFTP 客户端登录云堡垒机,运维 Linux 主机。 | |
数据库运维 | 数据库类型 | 目前支持运维 MySQL v5.7、PostgreSQL v11 及以上版本,以及 Oracle 11g、12c 和 19c 版本的数据库。 |
通过客户端运维数据库 | 运维人员支持使用本地客户端登录云堡垒机,通过客户端连接数据库进行运维操作。目前已经兼容主流客户端,例如:Navicat、MySQL、MariaDB、DataGrip 等。 | |
通过命令行运维数据库 | 运维人员支持使用命令行工具登录云堡垒机,通过命令行连接数据库进行运维操作。 | |
系统配置 | 告警配置 | 以站内信、邮件或短信形式推送系统相关告警消息给火山引擎账号,方便用户了解业务情况,提高运维效率。 |
双因子认证 | 登录云堡垒机完成密码认证后,可通过短信或邮件发送动态验证码进行二次登录验证,降低密码泄露风险。 | |
安全设置 | 提供云堡垒机运维和登录密码相关安全设置,保障系统安全和数据安全。
| |
账号锁定配置 | 配置账号密码锁定策略(包括:密码尝试次数、锁定时长、重置时间),防止恶意登录账号或暴力破解密码,保障系统安全。 | |
AD 认证 | 可将 AD 服务器中的用户同步到云堡垒机,直接作为云堡垒机的用户使用。 |