最近更新时间:2024.04.12 17:59:57
首次发布时间:2022.06.16 18:36:40
云堡垒机提供账号管理(Account)、授权控制(Authorization)、身份验证(Authentication)、安全审计(Audit)等能力,本文详细介绍云堡垒机服务支持的功能。
| 类别 | 特性 | 描述 |
|---|---|---|
实例管理 | 实例创建 | 创建包年包月计费类型的云堡垒机实例。提供多种购买时长,包括:1 个月、3 个月、6 个月、1 年、2 年、3 年,一次性购买时间越久,优惠力度越大。 |
实例规格 | 提供多种云堡垒机实例规格,满足各种场景的使用需求。包括:50资产、100资产、200资产、500资产、1000资产、2000资产、5000资产。 | |
实例续费 | 完整对接计费系统,提供实例续费功能。续费实例即可继续使用,节省重新购买和配置成本。续费方式包括:自动续费、手动续费。
| |
| 实例更配 | 提供实例规格扩容能力,为云堡垒机实例升级资产配置。 | |
实例概览 | 通过图表方式可视化展示当前云堡垒机相关信息,包括:基本信息(公网登录 IP、SSH 端口号等)、实时会话管理、人员和资源统计、最近一周登录次数统计、最近一周运维次数统计。 | |
| 更改安全组 | 云堡垒机加入安全组后,将受到该安全组中访问规则的保护,仅允许云堡垒机访问安全组内的云服务器,可通过更改安全组过滤/保护待纳管的云服务器资源。 | |
| 版本升级 | 免费提供版本升级能力,可将云堡垒机实例一键升级到最新版本。 | |
| 资源管理 | 资源纳管 | 提供资源的纳管能力,目前支持纳管的资源包括:主机。 针对主机资源,不仅支持纳管火山引擎中的 ECS,而且支持纳管非火山引擎或云下服务器。 |
主机管理 | 将主机资源纳管到云堡垒机统一管理。提供主机资源的全生命周期管理,包括:导入主机、编辑、删除主机,修改协议端口等。其中,导入主机支持 3 种方式:导入 IAM 主机、新建主机、上传配置文件批量导入主机。
| |
主机账号管理 | 手动同步主机中指定的操作系统账号,实现账号粒度的运维权限接管。并提供主机账号的全生命周期管理,包括:新建、编辑、删除主机账号,验证密码等。 | |
| 主机组管理 | 通过主机组实现对主机的分类管理和批量操作,并提供主机组全生命周期管理,包括:新建、编辑、删除主机组,添加主机、移除主机等。 | |
| 数据库管理 | 将数据库资源纳管到云堡垒机统一管理。提供数据库资源的全生命周期管理,包括:新建数据库、编辑、删除等。 | |
| 数据库账号管理 | 手动同步数据库中指定的账号,实现账号粒度的运维权限接管。并提供数据库账号的全生命周期管理,包括:添加、编辑、删除,验证密码等。 | |
| 多网域 | 云堡垒机提供多网域管理功能,支持通过网络域代理方式连通多个 VPC、异构云等不同网络环境中的服务器资产,实现多网域运维。 | |
人员管理 | 用户访问控制 | 系统为云堡垒机用户提供 5 种预置访问控制策略,包括:VBHFullAccess(全局管理员)、VBHInnerFullAccess(局部管理员)、VBHReadOnlyAccess(只读管理员)、VBHAduitOnlyAccess(审计人员)、VBHOperateOnlyAccess(运维人员)。 |
用户管理 |
| |
| 用户组管理 | 通过实现对用户的分类管理和批量操作,并支持用户组全生命周期管理。包括:新建、编辑、删除用户组,添加用户、移除用户等。 | |
| 公钥管理 | 将本地客户端生成的 SSH 公钥关联到用户,使用户拥有免密登录云堡垒机能力,保障安全的同时提高运维效率。 | |
| 授权主机 | 完成主机授权或主机组授权后,用户可以通过云堡垒机运维已授权主机或主机组内的所有主机。授权主机的方式包括:用户授权主机、用户授权主机组、用户组授权主机、用户组授权主机组。 | |
授权账号管理 | 云堡垒机可使用授权账号的操作系统权限,进行主机运维的各种操作。提供授权账号的管理能力,包括:授权账号、移除授权账号。 | |
| 策略管理 | 命令审批 | 命令控制策略配置执行命令需要审批时,用户在命令控制策略关联的主机中执行相关命令,需要管理员审批才能运行。 |
| 命令控制策略 | 管控用户运维主机时操作命令的使用权限控制,例如:对敏感、高危命令进行控制,加强关键操作的管控。执行动作包括:不允许执行以下命令、只允许执行以下命令、执行命令需审批。 | |
访问控制策略 | 管控访问云堡垒机的用户权限,不仅可以通过用户来源 IP 限制访问权限,而且可以限制用户的文件管理权限。
| |
改密策略 | 针对使用密码登录的 Linux 主机提供改密策略功能,可直接修改原主机的操作系统账号密码,适用于批量修改密码和定期修改密码场景。
| |
| 运维审计 | 阻断会话 | 拥有审计权限的用户,发现高危操作或异常情况时,可单方面阻断实时会话,规避风险。 |
实时会话 | 拥有审计权限的用户,可登录云堡垒机控制台通过视频播放的形式查看实时会话,审查管理正在进行中的运维会话。可审计/查看的信息包括:
| |
| 历史会话 | 拥有审计权限的用户,可登录云堡垒机控制台通过视频播放的形式查看/管理历史会话,也拥有导出日志的权利。可对审查历史会话的基础信息、操作记录和文件记录等信息。 | |
| 操作日志 | 拥有审计权限的用户,可登录云堡垒机控制台查看登录日志和操作日志。 | |
主机运维 | 单点登录 | 统一运维入口,运维人员可通过云堡垒机单点登录运维主机,一站式访问后端庞大服务器资源,有效简化运维方式。 |
兼容主流运维客户端 | 用户需要通过第三方客户端登录云堡垒机,进行各种运维工作。目前已经兼容主流客户端。包括:
| |
| 兼容主流运维命令 | 成功连接主机后,即可通过 SSH 协议执行各种运维操作。除支持主流运维命令外,还支持使用 rzsz 命令进行文件传输。 | |
RDP 协议运维主机 | RDP 协议提供多种登录运维方式:不仅支持使用客户端登录运维,而且可以使用 Web 端(浏览器)进行登录运维。
| |
SSH 协议运维主机 | SSH 协议提供多种登录运维方式:不仅支持使用客户端登录运维,而且可以使用 Web 端(浏览器)进行登录运维。
| |
| SFTP 协议运维主机 | 通过 SFTP 客户端登录云堡垒机,运维 Linux 主机。 | |
系统配置 | 告警配置 | 以站内信、邮件或短信形式推送系统相关告警消息给火山引擎账号,方便用户了解业务情况,提高运维效率。 |
双因子认证 | 登录云堡垒机完成密码认证后,可通过短信或邮件发送动态验证码进行二次登录验证,降低密码泄露风险。 | |
安全设置 | 提供云堡垒机运维和登录密码相关安全设置,保障系统安全和数据安全。
| |
| 账号锁定配置 | 配置账号密码锁定策略(包括:密码尝试次数、锁定时长、重置时间),防止恶意登录账号或暴力破解密码,保障系统安全。 | |
| AD 认证 | 可将 AD 服务器中的用户同步到云堡垒机,直接作为云堡垒机的用户使用。 |