You need to enable JavaScript to run this app.
导航
新手快速入门
最近更新时间:2024.04.12 17:59:57首次发布时间:2021.09.08 18:05:13

本文介绍云堡垒机服务的基本使用流程及主要步骤,并针对管理员、运维人员、审计人员提供使用指引,帮助用户快速上手云堡垒机服务。

使用流程

云堡垒机服务的使用流程如下图所示:

alt

  1. 注册账号:注册火山引擎账号并完成 实名认证 ,前往 云堡垒机控制台 开通云堡垒机服务。

  2. 创建云堡垒机:拥有云堡垒机全读写权限和堡垒机依赖资源 API 能力的用户(VBHFullAccess),可登录云堡垒机控制台创建云堡垒机实例,具体操作参考: 创建云堡垒机

  3. 配置云堡垒机:火山引擎账号或拥有 VBH 管理员权限(VBHFullAccess 或 VBHInnerFullAccess)的 IAM 子用户,均可通过 Web 端登录,快速配置云堡垒机。步骤指引参见:管理员使用指引

  4. 运维审计:火山引擎账号或拥有 VBH 审计人员权限(VBHAduitOnlyAccess、VBHFullAccess 或 VBHInnerFullAccess)的 IAM 子用户,均可通过 Web 端登录云堡垒机,查看/管理会话,以及查看各种审计日志。审计指引参见:审计人员使用指引

  5. 主机运维:拥有 VBH 运维人员权限(VBHOperateOnlyAccess、VBHFullAccess 或 VBHInnerFullAccess)的云堡垒机用户,均可通过 Web 端或客户端登录云堡垒机,使用 RDP、SSH 或 SFTP 协议运维主机。运维指引参见:运维人员使用指引

管理员使用指引

火山引擎账号或拥有 VBH 管理员权限(VBHFullAccess 或 VBHInnerFullAccess)的 IAM 子用户,均可通过 Web 端登录,管理和配置云堡垒机中的资源。

配置步骤说明
资源管理步骤一:添加资产添加主机】保证网络连通的前提下,可将火山引擎中的主机、非火山引擎中的主机或云下服务器纳管到云堡垒机进行管理。支持 3 种添加主机方式:导入 ECS 主机、新建主机、导入主机。
新建数据库】保证网络连通的前提下,可通过新建数据库方式,将数据库资产纳管到云堡垒机进行管理。

步骤二:新建账号

新建主机账号】云堡垒机不会自动同步主机账号,确认主机中已经创建了对应的操作系统账号的前提下,需要在云堡垒机纳管的主机中创建相同的主机账号。

新建数据库账号】云堡垒机不会自动同步数据库账号,确认数据库中已经创建了对应账号的前提下,需要在云堡垒机纳管的数据库中创建相同的账号。
步骤三:验证账号验证主机账号】可通过验证密码操作来检查主机账号的连通性,当云堡垒机中新建的主机账号与原主机中操作系统账号一致且连通,才能通过云堡垒机正常访问该主机。
验证数据库账号】可通过验证密码操作来检查数据库账号的连通性,当云堡垒机中新建的数据库账号与原数据库中的账号一致且连通,才能通过云堡垒机正常访问该数据库。

人员管理

步骤四:导入用户

导入用户】云堡垒机用户系统已经对接火山引擎 IAM 用户系统,可将火山引擎中已经分配云堡垒机相关权限的 IAM 用户导入云堡垒机,直接作为云堡垒机中的用户,管理/运维云堡垒机或主机。

步骤五:授权资产授权主机】完成主机授权或主机组授权后,用户可以通过云堡垒机运维已授权主机或主机组内的所有主机。 可通过以下方式授权主机:用户授权主机/主机组、用户组授权主机/主机组。
授权数据库】完成数据库授权授权后,用户可以通过云堡垒机运维已授权数据库。
步骤六:授权资产账号授权主机账号】云堡垒机用户拥有的运维权限,与授权的主机账号权限相同。因此,授权主机后还需要授权主机账号,运维人员才能正常执行各种运维操作。
授权数据库账号】云堡垒机用户拥有的运维权限,与授权的数据库账号权限相同。因此,授权主机后还需要授权数据库账号,运维人员才能正常执行各种运维操作。

策略管理

(推荐)访问控制策略

管控访问云堡垒机的用户权限,不仅可以通过用户来源 IP 限制访问权限,而且可以限制用户的文件管理权限。

(推荐)命令控制策略管控用户运维主机时操作命令的使用权限控制。

(按需)改密策略

针对使用密码登录的 Linux 主机提供改密策略功能,可直接修改原主机的操作系统账号密码,适用于批量修改密码和定期修改密码场景。

系统配置

(按需)告警配置

以站内信、邮件或短信形式推送系统相关告警消息给火山引擎账号,方便用户了解业务情况,提高运维效率。

(按需)双因子认证登录云堡垒机完成密码认证后,可通过短信或邮件发送动态验证码进行二次登录验证,降低密码泄露风险。
(按需)安全设置提供云堡垒机运维和登录密码相关安全设置,保障系统安全和数据安全。
(按需)账号锁定配置提供账号锁定功能,可配置账号密码锁定策略,防止恶意登录账号或暴力破解密码,保障系统安全。

审计人员使用指引

火山引擎账号或拥有 VBH 审计人员权限(VBHAduitOnlyAccess、VBHFullAccess 或 VBHInnerFullAccess)的 IAM 子用户,均可通过 Web 端登录云堡垒机,查看/管理会话、查看各种审计日志。

审计类型说明

运维审计

实时会话

拥有审计权限的用户,可登录云堡垒机控制台查看实时会话,当发现高危操作或异常情况时,可单方面阻断会话。

历史会话拥有审计权限的用户,可登录云堡垒机控制台查看/管理历史会话,也拥有导出日志的权利。
操作日志拥有审计权限的用户,可登录云堡垒机控制台查看登录日志和操作日志。

运维人员使用指引

拥有 VBH 运维人员权限(VBHOperateOnlyAccess、VBHFullAccess 或 VBHInnerFullAccess)的云堡垒机用户,均可通过 Web 端或客户端登录云堡垒机,使用 RDP、SSH 或 SFTP 协议运维主机。

说明

  • 云堡垒机用户表示已经导入云堡垒机的 IAM 子用户。
  • 运维人员通过 Web 端登录时,直接使用 IAM 子用户名及其密码登录;通过客户端登录时,需要使用用户名及其云堡垒机登录密码。
运维方式说明

主机运维

RDP 协议运维主机

  • 通过 RDP 客户端登录云堡垒机中的 Windows 主机,进行各种运维操作。
  • 通过 Web 端子用户登录云堡垒机,使用 RDP 协议运维 Windows 主机。

SSH 协议运维主机

  • 通过 SSH 客户端登录云堡垒机,运维 Linux 主机。
  • 通过 Web 端子用户登录云堡垒机,使用 SSH 协议运维 Linux 主机。
SFTP 协议运维主机通过 SFTP 客户端登录云堡垒机,运维 Linux 主机。
数据库运维MySQL 数据库通过客户端或命令行工具登录云堡垒机中的数据库,进行各种运维操作。