堡垒机使用说明和限制说明

时间:2019-01-05 发布人:阿里云代理

堡垒机限制说明

阿里云云盾堡垒机系统支持通过 SSH、SFTP、及 Windows 远程桌面等协议的方式代理接入授权的服务器,并实现全程录像。同时,支持使用标准客户端(如 Xshell、SecureCRT、PuTTY 等工具)对授权的服务器直接进行运维连接。

使用云盾堡垒机服务前需要注意以下内容:
  • 所有接入堡垒机实例的 ECS 云服务器,需要正常开机并保持运行中状态。
  • 堡垒机实例与要与接入的 ECS 云服务器属于一个相同的网络环境,且可以网络连通。例如,同属于一个安全组,或同属于一个 VPC 专有网络。

堡垒机使用说明

本文受众范围:云盾堡垒机管理员、持有阿里云账号的管理员、审计人员、运维人员。

对象
云盾堡垒机有三种对象,分别是用户、主机、和凭据。
用户代表技术工程师,也就是自然人,登录堡垒机时用户名即为手机号码。
主机是您在阿里云上的ECS实例。
凭据是用于登录ECS实例的用户名、密码或用户密钥。其中凭据名称用于辨识不同的凭据;登录名为要登录的ECS上的用户名(例如administrator、root);密码或密钥为该用户的密码或密钥。
授权组
授权组是将堡垒机中数个独立的对象个体联系在一起的概念,通过授权组功能可以达到控制某个用户只能访问他权限内主机的目的。假设您单位的运维模型如下:

您在阿里云上共10个ECS实例,其中:
应用服务器2个(APP1、APP2)
数据库服务器2个(DB1、DB2)
中间件服务器2个(M1、M2)
开发测试服务器4个(TEST1-4)
您单位共有三类工作人员:
开发人员(devuser):负责开发产品原型,以及测试。
运维人员(opsuser):负责维护线上服务器和应用系统。
管理员(adminuser):全面协调公司内部技术人员工作,并定期进行审计。
您在ECS实例中使用三种主机账号:
dev (不能sudo)
ops (可以sudo)
shadow_r00t (可以sudo)
在此模型下,就可以按照如下策略配置授权关系:
使用说明
堡垒机模型
这样就可以通过授权组实现职责明晰的技术管理策略:开发人员对开发测试服务器有完全的控制权限;运维人员控制生产机;管理员则可以访问所有设备并通过云盾堡垒机Web管理页面进行审计。

运维
云盾堡垒机的运维操作可以通过连接协议代理端口实现,现有规则表如下:
堡垒机使用说明
代理端口规则表

您可以使用标准协议客户端如Xshell、SecureCRT、PuTTY、Windows远程桌面客户端直接连接上述端口号,并通过堡垒机用户名、密码登录,连接后根据提示进行下一步操作。详细的运维操作步骤,请参阅用户手册-运维手册。

审计
云盾堡垒机的审计分为两种,分别是实时监控和录像回放。实时审计专注于事中控制,可以通过云盾堡垒机管理平台随时切入某个运维会话查看现场操作;录像回放专注于事后审计,主要用于已经结束的会话进行录像回放或命令检索,检索可以使用时间段、手机号、主机IP地址、ECS实例ID、协议类型等条件筛选结果,还可以通过曾经执行过的命令进行全局检索,并自动跳



上一篇:上一篇:堡垒机计费方式是什么?怎么购买堡垒机? 下一篇:下一篇:阿里云堡垒机常见问题集锦

最新文章


客服QQ:537058898或800018259
免费热线:400-6800-390
微信:15988871576
邮箱:537058898@qq.com
地址:浙江省杭州市拱康路郎家桥116号
阿里云钻石级代理商

客户服务热线

400-6800-390

VIP渠道合作

15988871576

联系我们

在线客服