本文介绍云堡垒机服务的基本使用流程及主要步骤,并针对管理员、运维人员、审计人员提供使用指引,帮助用户快速上手云堡垒机服务。
使用流程
云堡垒机服务的使用流程如下图所示:
创建云堡垒机:拥有云堡垒机全读写权限和堡垒机依赖资源 API 能力的用户(VBHFullAccess),可登录云堡垒机控制台创建云堡垒机实例,具体操作参考: 创建云堡垒机。
配置云堡垒机:火山引擎账号或拥有 VBH 管理员权限(VBHFullAccess 或 VBHInnerFullAccess)的 IAM 子用户,均可通过 Web 端登录,快速配置云堡垒机。步骤指引参见:管理员使用指引。
运维审计:火山引擎账号或拥有 VBH 审计人员权限(VBHAduitOnlyAccess、VBHFullAccess 或 VBHInnerFullAccess)的 IAM 子用户,均可通过 Web 端登录云堡垒机,查看/管理会话,以及查看各种审计日志。审计指引参见:审计人员使用指引。
主机运维:拥有 VBH 运维人员权限(VBHOperateOnlyAccess、VBHFullAccess 或 VBHInnerFullAccess)的云堡垒机用户,均可通过 Web 端或客户端登录云堡垒机,使用 RDP、SSH 或 SFTP 协议运维主机。运维指引参见:运维人员使用指引。
管理员使用指引
火山引擎账号或拥有 VBH 管理员权限(VBHFullAccess 或 VBHInnerFullAccess)的 IAM 子用户,均可通过 Web 端登录,管理和配置云堡垒机中的资源。
| 配置步骤 | 说明 | |
|---|---|---|
| 资源管理 | 步骤一:添加资产 | 【添加主机】保证网络连通的前提下,可将火山引擎中的主机、非火山引擎中的主机或云下服务器纳管到云堡垒机进行管理。支持 3 种添加主机方式:导入 ECS 主机、新建主机、导入主机。 |
| 【新建数据库】保证网络连通的前提下,可通过新建数据库方式,将数据库资产纳管到云堡垒机进行管理。 | ||
步骤二:新建账号 | 【新建主机账号】云堡垒机不会自动同步主机账号,确认主机中已经创建了对应的操作系统账号的前提下,需要在云堡垒机纳管的主机中创建相同的主机账号。 | |
| 【新建数据库账号】云堡垒机不会自动同步数据库账号,确认数据库中已经创建了对应账号的前提下,需要在云堡垒机纳管的数据库中创建相同的账号。 | ||
| 步骤三:验证账号 | 【验证主机账号】可通过验证密码操作来检查主机账号的连通性,当云堡垒机中新建的主机账号与原主机中操作系统账号一致且连通,才能通过云堡垒机正常访问该主机。 | |
| 【验证数据库账号】可通过验证密码操作来检查数据库账号的连通性,当云堡垒机中新建的数据库账号与原数据库中的账号一致且连通,才能通过云堡垒机正常访问该数据库。 | ||
用户管理 | 步骤四:导入用户 | 【导入用户】云堡垒机用户系统已经对接火山引擎 IAM 用户系统,可将火山引擎中已经分配云堡垒机相关权限的 IAM 用户导入云堡垒机,直接作为云堡垒机中的用户,管理/运维云堡垒机或主机。 |
| 步骤五:授权资产 | 【授权资产】完成资产授权或资产组授权后,用户可以通过云堡垒机运维已授权资产或资产组内的所有自资产。 可通过以下方式授权资产:用户授权资产/资产组、用户组授权资产/资产组。 | |
| 步骤六:授权资产账号 | 【授权账号管理】云堡垒机用户拥有的运维权限,与授权的资产账号权限相同。因此,授权资产后还需要授权账号,运维人员才能正常执行各种运维操作。 | |
(推荐)访问控制策略 | 管控访问云堡垒机的用户权限,不仅可以通过用户来源 IP 限制访问权限,而且可以限制用户的文件管理权限。 | |
| (推荐)命令控制策略 | 管控用户运维主机时操作命令的使用权限控制。 | |
(按需)改密策略 | 针对使用密码登录的 Linux 主机提供改密策略功能,可直接修改原主机的操作系统账号密码,适用于批量修改密码和定期修改密码场景。 | |
(按需)告警配置 | 以站内信、邮件或短信形式推送系统相关告警消息给火山引擎账号,方便用户了解业务情况,提高运维效率。 | |
| (按需)双因子认证 | 登录云堡垒机完成密码认证后,可通过短信或邮件发送动态验证码进行二次登录验证,降低密码泄露风险。 | |
| (按需)安全设置 | 提供云堡垒机运维和登录密码相关安全设置,保障系统安全和数据安全。 | |
| (按需)账号锁定配置 | 提供账号锁定功能,可配置账号密码锁定策略,防止恶意登录账号或暴力破解密码,保障系统安全。 |
审计人员使用指引
火山引擎账号或拥有 VBH 审计人员权限(VBHAduitOnlyAccess、VBHFullAccess 或 VBHInnerFullAccess)的 IAM 子用户,均可通过 Web 端登录云堡垒机,查看/管理会话、查看各种审计日志。
| 审计类型 | 说明 | |
|---|---|---|
实时会话 | 拥有审计权限的用户,可登录云堡垒机控制台查看实时会话,当发现高危操作或异常情况时,可单方面阻断会话。 | |
| 历史会话 | 拥有审计权限的用户,可登录云堡垒机控制台查看/管理历史会话,也拥有导出日志的权利。 | |
| 操作日志 | 拥有审计权限的用户,可登录云堡垒机控制台查看登录日志和操作日志。 |
运维人员使用指引
拥有 VBH 运维人员权限(VBHOperateOnlyAccess、VBHFullAccess 或 VBHInnerFullAccess)的云堡垒机用户,均可通过 Web 端或客户端登录云堡垒机,进行资产运维。
说明
- 云堡垒机用户表示已经导入云堡垒机的 IAM 子用户。
- 运维人员通过 Web 端登录时,直接使用 IAM 子用户名及其密码登录;通过客户端登录时,需要使用用户名及其云堡垒机登录密码。
| 运维方式 | 说明 | |
|---|---|---|
RDP 协议运维主机 |
| |
SSH 协议运维主机 |
| |
| SFTP 协议运维主机 | 通过 SFTP 客户端登录云堡垒机,运维 Linux 主机。 | |
| 通过浏览器调起本地客户端 | 本地使用 Windows 操作系统连接云堡垒机进行主机资产运维时,可通过浏览器直接调起本地客户端。 | |
| 数据库运维 | 数据库 | 通过客户端或命令行工具登录云堡垒机中的数据库,进行各种运维操作。目前支持的数据库包括:MySQL v5.7、PostgreSQL v11 及以上版本,以及 Oracle 11g、12c 和 19c 版本。 |