全部产品
存储与CDN 数据库 安全 应用服务 数加·人工智能 数加·大数据基础服务 互联网中间件 视频服务 阿里云办公 培训与认证 物联网

术语介绍

更新时间:2017-08-22 18:30:47

基本对象

云盾堡垒机有三种对象,分别是 用户服务器、和 凭据

  • 用户: 用户代表技术工程师,也就是自然人。登录堡垒机时使用的用户名即为用户的手机号码。
  • 服务器: 服务器是您在阿里云上的 ECS 云服务器实例。
  • 凭据: 凭据是用于登录 ECS 实例的用户名、密码或用户密钥。其中,
    • 凭据名称主要用于辨识不同的凭据。
    • 登录名为要登录的 ECS 实例上的用户名(例如 administrator、或root)。
    • 密码或密钥为该用户对应的密码或密钥。

授权组

授权组是将堡垒机中数个独立的对象个体联系在一起的概念。通过授权组功能可以实现控制某个用户只能访问他权限内服务器的目的。

授权组示例

以下通过示例帮助您更好地理解 授权组 的概念:

  • 您在阿里云上共有 10 个 ECS 实例,其中:

    • 应用服务器: 两台(APP1、APP2)
    • 数据库服务器: 两台(DB1、DB2)
    • 中间件服务器: 两台(M1、M2)
    • 开发测试服务器: 四台(TEST1-4)
  • 您的企业内共有三类相关工作人员:

    • 开发人员(devuser):负责开发产品原型,以及相关测试。
    • 运维人员(opsuser):负责维护线上服务器和应用系统。
    • 管理员(adminuser):全面协调公司内部技术人员工作,并定期进行审计。
  • 您在 ECS 实例中使用以下三种主机帐号:

    • dev (不能执行 sudo 命令)
    • ops (可以执行 sudo 命令)
    • shadow_r00t (可以执行 sudo 命令)

在这样的情况下,您可以按照如下策略配置授权关系:

云盾账号 ECS 实例 主机账号 说明
devuser TEST1-4 dev 开发人员只能使用开发机,且使用不能执行sudo命令的账号以防止基础系统配置被改。
opsuser APP1、APP2、DB1、DB2、M1、M2 ops 运维人员使用可以执行sudo命令权限的账号维护主机基础系统配置。
adminuser 所有 ECS 实例 shadow_r00t 管理员使用可以执行sudo命令的账号登录系统。

根据这样的授权关系配置进行授权组配置就可以实现职责明晰的技术管理策略:

  • 开发人员对开发测试服务器有完全的控制权限。
  • 运维人员控制生产服务器。
  • 管理员可以访问所有设备,并通过云盾堡垒机 Web 管理页面进行审计。

关于详细授权组操作步骤,请参考 授权组管理

运维

云盾堡垒机的运维操作可以通过连接协议代理端口实现。

默认链接协议规则如下表:

运维协议 端口号 四层协议
SSH 60022 TCP
Windows 远程桌面 63389 TCP
SFTP 60022 TCP

您可以使用标准协议客户端(如 Xshell、SecureCRT、PuTTY、及 Windows 远程桌面客户端等工具)直接连接规则表中的端口号,并使用堡垒机用户名、密码进行登录。成功登录堡垒机后,根据提示即可对授权服务器进行相关运维操作。

关于登录堡垒机进行运维的详细操作步骤,请参考:

审计

云盾堡垒机的审计分为两种: 实时监控和录像回放。

  • 实时审计: 专注于事中控制,您可以通过云盾堡垒机 Web 管理页面随时切入某个运维会话查看现场操作。
  • 录像回放: 专注于事后审计,主要用于对已经结束的会话进行录像回放或命令检索。支持通过时间段、手机号、服务器 IP、ECS 实例 ID、协议类型等条件进行筛选,还支持通过曾经执行过的命令进行全局检索,并自动跳转到执行这条命令的会话和时间段进行回放。

关于审计相关的详细操作步骤,请参考:

本文导读目录