本文主要介绍了重点操作短信验证的验证规则。 短信验证规则 1.若您已开启短信验证，在您进行重点操作时，在点击最后一步"确认"时弹出二次认证窗口，进行短信验证，如下图所示。 2.点击“发送验证码”，系统向绑定的天翼云手机号发送二次认证码，每间隔1分钟才能获取验证码。在您进行短信验证时，验证码单次有效时间10分钟，请在有效时间内完成验证，如下图所示。 注意 请勿关闭弹窗并及时验证，关闭该弹窗验证码即失效。 3.点击“确认”按钮后，即可进行重点操作。短信验证功能一旦开启，所有重点操作统一开启，短信验证的有效期为15分钟，15分钟内做其他操作不需要重复验证。

本小节介绍微隔离防火墙 策略与策略集。 1.策略与策略集用于策略的建立、修改、删除、禁止与使能。可通过页面的搜索框进行过滤；每条策略最右侧的图标用于修改该条策略的基本信息。界面如下： 2.点击添加，在弹出框内输入名称等信息，即可新建一条策略。 3.新建策略后，点击策略名称，可进入策略详细页面，详细页面可查看该策略的详细信息，并可配置策略的作用范围，策略的详细规则，策略分为范围内策略与范围外策略。 4.策略范围是通过选择工作组标签来设定的，若策略范围所选定的标签涵盖某工作组的标签，则该策略集对此工作组生效。 5.策略规则分为范围内规则和范围外规则，分为作用于策略范围所涵盖的工作组内和范围外对该范围内的访问规则。 在范围内规则处点击新建，弹出框中设置本条规则的服务提供者，所提供的服务，以及允许的访问者。 例如，我们让标签为DB的工作负载可以访问标签为APP的工作负载的Mysql（tcp/3306）服务，具体设置如下图： 注意 1.可在新建规则时，直接新建标签及服务。 2.可以选择某一个工作负载。 6.对于已建立的规则可以点击每条规则最右侧的标志进行修改。服务者和访问者均可多选，而服务只能单项选择。 7.工作组间规则的设置如上，其作用于范围外对范围内的访问。

流量阶梯 标准资费 (0TB, 10TB] 0.2元/GB (10TB, 50TB] 0.18元/GB (50TB, +∞) 0.15元/GB

修改自建集群信息 如果后续您需要修改自建集群信息或查看命令，可在自建集群所在行的操作列单击“编辑”。 如果您不再需要HSS保存某个自建集群的信息，可在自建集群所在行的操作列单击“删除”。 后续操作 Agent安装完成后，请为容器开启防护，详细操作请参见开启容器版防护。

开始体检操作说明，您可通过刷新按钮，主动刷新体检任务状态。 开始体检 您添加体检IP后，即可开始体检。点击“开始体检”按钮，产品弹出体检提示信息： 点击“我已明确上述内容，开始体检”按钮，即可创建体检任务，并在体检记录中，生成一条体检记录。 等待体检完成后，您可以预览或下载体检报告。如果您已经配置通知信息，则会向您配置的邮箱内自动发送PDF版体检报告及漏洞详单附件。 刷新体检状态 体检进度受体检IP数量、体检任务总数影响，任务完成时间可能存在差异，您可以点击体检记录右上角“刷新”按钮，刷新当前体检任务进度，或者等待体检完成后，自动发送报告邮件。

操作步骤 1. 子用户需要通过主账号管理员获得子用户的登陆凭证和登陆密码。该登陆凭证由主账号管理员在第一步的CTIAM控制台创建。手机号码和邮箱均可作为登陆凭证，您需要按照CTIAM的要求，认证邮箱、手机号码的真实性和唯一性。 2. 主、子用户的登陆方式相同，可以通过（1）直接访问云点播用户控制台；（2）在天翼云主页顶部banner，在【产品】【视频】【视频服务】【云点播】找到用户控制台入口。 3. 在接下来的登陆窗口中，输入正确的子用户登陆凭证和密码，即可完成登陆。 主子账号差异 主子账号在权限、功能使用方式上有所差异。具体权限差异如下表所示。 一级功能 二级功能 主账号 子账号 :::: 实例管理 全部功能 无配置入口，由主账号完成。 媒体库 全部功能 可查看、修改、删除归属实例内媒体库全部媒资。 模板管理 转码模板 全部功能 可查看全部模板，可添加新模板，不可对原有模板进行删除、修改操作。 模板管理 水印模板 全部功能 可查看全部模板，可添加新模板，不可对原有模板进行删除、修改操作。 模板管理 截图模板 全部功能 可查看全部模板，可添加新模板，不可对原有模板进行删除、修改操作。 模板管理 拼接模板 全部功能 可查看全部模板，可添加新模板，不可对原有模板进行删除、修改操作。 用量统计 全部功能 暂不开放。 任务管理 转码任务 全部功能 全部功能。 任务管理 拼接任务 全部功能 全部功能。 开发配置 密钥管理 全部功能 无对应入口，需要主用户将AK/SK传递给子用户。 开发配置 回调设置 全部功能 无全局回调权限，可对所属实例的回调进行配置。 开发配置 子账号授权 全部功能 子用户无对应入口，需要主用户实现对子用户的权限配置。 注意 1. 子用户未被授予全局类配置权限，部分功能配置需要使用主账号进行操作。 2. 媒资内容的所有权归属于主账号。

操作步骤 1. 子用户需要通过主账号管理员获得子用户的登陆凭证和登陆密码。该登陆凭证由主账号管理员在第一步的CTIAM控制台创建。手机号码和邮箱均可作为登陆凭证，您需要按照CTIAM的要求，认证邮箱、手机号码的真实性和唯一性。 2. 主、子用户的登陆方式相同，可以通过（1）直接访问云点播用户控制台；（2）在天翼云主页顶部banner，在【产品】【视频】【视频服务】【云点播】找到用户控制台入口。 3. 在接下来的登陆窗口中，输入正确的子用户登陆凭证和密码，即可完成登陆。 主子账号差异 主子账号在权限、功能使用方式上有所差异。具体权限差异如下表所示。 一级功能 二级功能 主账号 子账号 :::: 实例管理 全部功能 无配置入口，由主账号完成。 媒体库 全部功能 可查看、修改、删除归属实例内媒体库全部媒资。 模板管理 转码模板 全部功能 可查看全部模板，可添加新模板，不可对原有模板进行删除、修改操作。 模板管理 水印模板 全部功能 可查看全部模板，可添加新模板，不可对原有模板进行删除、修改操作。 模板管理 截图模板 全部功能 可查看全部模板，可添加新模板，不可对原有模板进行删除、修改操作。 模板管理 拼接模板 全部功能 可查看全部模板，可添加新模板，不可对原有模板进行删除、修改操作。 用量统计 全部功能 暂不开放。 任务管理 转码任务 全部功能 全部功能。 任务管理 拼接任务 全部功能 全部功能。 开发配置 密钥管理 全部功能 无对应入口，需要主用户将AK/SK传递给子用户。 开发配置 回调设置 全部功能 无全局回调权限，可对所属实例的回调进行配置。 开发配置 子账号授权 全部功能 子用户无对应入口，需要主用户实现对子用户的权限配置。 注意 1. 子用户未被授予全局类配置权限，部分功能配置需要使用主账号进行操作。 2. 媒资内容的所有权归属于主账号。

计费说明 天翼云远程证明服务本身不收费，但您需要对使用远程证明服务的云主机进行付费。

名称 使用场景 使用目的 信息名称 信息类型 共享方式 开发者/公司 第三方隐私和信息处理规则/开发者协议链接 企业微信登录SDK 关联账号登录 企业微信账号授权登录 无 无 无 深圳市腾讯计算机系统有限公司 飞书登录SDK 关联账号登录 飞书账户授权登录 设备信息与日志信息：操作系统版本号、服务日志 个人常用设备信息 SDK本机采集 北京飞书科技有限公司 钉钉登录SDK 关联账号登录 钉钉账户授权登录 无 无 无 钉钉科技有限公司 AndroidX 核心库 Android 应用开发基础库 提供Kotlin扩展功能，简化Android API调用,支持如保存文件、支持表情输入的功能调用 正在运行的应用安装列表、外部存储目录 个人设备信息 SDK本机采集 谷歌科技有限公司 OpenIm IM/通知号 IM通信和服务号通知 正在运行的应用安装列表、存储外部存储目录、 读取外部存储目录、存储目录管理、发送语音、拍照 个人设备信息 SDK本机采集 社区开源项目 淘宝weexSDK 渲染h5页面 渲染部分使用h5开发的功能 无 无 SDK本机采集 数字天堂（北京）网络技术有限公司 MMKVsdk 本地存储 以keyvalue方式存储数据 无 无 SDK本机采集 深圳市腾讯计算机系统有限公司 Dcloud开发通用工具库 渲染h5页面 排查在不同情况下的性能和故障 设备信息（设备品牌及型号、CPU类型、屏幕参数、操作系统名称及版本、网络类型、IP地址、User Agent信息、设备语言、时区、设备是否为模拟器或已经被root、匿名设备标识符），应用信息（应用名、应用包名、版本、AppId、包含的SDK信息），报错时的堆栈信息，引擎启动时间和内存消耗 个人设备信息 SDK本机采集 数字天堂（北京）网络技术有限公司 OKHTTP框架 和后端的接口交互 进行接口的数据请求 无 无 SDK本机采集 社区开源项目 org.chromium框架 渲染h5页面 渲染部分使用h5开发的功能 无 无 SDK本机采集 谷歌科技有限公司 ipcinvoker框架 ipc调用 创建子进程 无 无 无 社区开源项目 JavaMail API 电子邮件的收发 通过POP3和IMAP协议接收邮件，通过SMTP协议发送邮件 发送文字、图片、拍照、文件 无 无 社区开源项目 androidsvgaar svg图片展示 显示svg图片 用于图片显示兼容svg格式 无 无 社区开源项目

Q：SDK 中输入的 desktopCode 是指什么？ A：desktopCode 是指桌面编码，用于唯一标识您的云电脑桌面实例。请注意，desktopCode 与桌面 ID 是两个不同的概念，请勿混淆，务必确认填写的是正确的桌面编码。 Q：如果我的云电脑桌面处于离线状态，是否仍然可以正常使用？ A：很抱歉，桌面处于离线状态时将无法正常接收和执行指令。请您先通过云电脑客户端或官网控制台将桌面开机并确认其处于在线运行状态后，再进行相关操作。 Q：通过 SDK 发送指令后，桌面没有任何响应，应如何排查？ A：建议您按以下步骤逐一排查： 1. 确认 SDK 指令格式是否正确，参数是否完整； 2. 检查接口返回的消息体中，是否包含成功标志（successtrue）； 3. 若上述检查均无异常，请进入目标桌面，打开「应用市场」，找到并重新安装以下两个插件：clinkagent 和 AiClientTool，安装完成后再重新发送指令。 如问题仍未解决，请联系我们的技术支持团队，并提供相关日志信息以便进一步协助排查。

工单状态 DMS工单当前包含多种状态，在不同的状态下拥有操作权限的用户可进行不同的操作，其关系如下所述： 操作/状态 提交成功 预检查中 审批中 待执行 执行中 执行成功 预检查失败 审批拒绝 执行失败 取消中 取消成功 工单异常 已撤回 查看工单 是 是 是 是 是 是 是 是 是 是 是 是 是 编辑工单 否 否 否 否 否 否 是 是 是 否 否 否 是 复制创建工单 是 是 是 是 是 是 是 是 是 是 是 是 是 重试工单 否 否 否 否 否 否 是 否 否 否 否 是 否 撤回工单 是 是 是 否 否 否 是 否 否 否 否 否 否 审批工单 否 否 是 否 否 否 否 否 否 否 否 否 否 执行工单 否 否 否 是 否 否 否 否 否 否 否 否 否 重试执行工单 否 否 否 否 否 否 否 否 是 否 否 否 否 取消执行工单 否 否 否 否 是 否 否 否 否 否 否 否 否 工单状态转移过程如下图所示：

在使用函数计算提供的日志、VPC、异步调用目标服务等功能时，函数计算需要访问其他的云服务。例如配置函数日志时，用户需要授权函数计算对指定日志的Logstore的写入权限，才能够将函数日志写入Logstore。函数计算支持服务内联委托，用户授权后，创建的函数默认将使用服务内联委托，函数不需要配置委托即可使用日志、VPC、异步调用目标服务等功能。而用户代码逻辑如果需要访问其他云服务，或需要更细粒度的授权，可以选择使用函数委托来授权。 功能原理 函数计算根据函数配置的委托，通过AssumeUserID获取一个临时密钥（STS Token）。然后通过环境变量将临时密钥传递给您的函数。此临时密钥包含了您所配置的权限的所有资源，您可以在函数代码中使用其访问其他天翼云服务。 临时密钥的有效期为36小时，且不支持修改。函数的最大执行时间为24小时，因此，执行函数过程中，临时密钥不会过期。

权限策略名称 描述 CtyunFCReadOnlyAccess 表示允许对函数计算所有的资源进行读操作。 CtyunFCInvocationAccess 表示允许对所有函数的资源进行执行操作。 CtyunFCFullAccess 表示允许对所有函数计算资源进行所有执行操作。

本节为您介绍如何为集群安装Agent。 如果您想要为CCE集群的所有node节点或自建k8s集群所有节点安装Agent，可以通过集群Agent管理功能为集群安装Agent，使用该功能后，后续集群节点或Pod扩容时，无需您手动安装Agent。 CCE集群安装Agent 1、登录管理控制台。 2、在左侧导航栏中，选择“资产管理 > 容器管理”，进入“容器管理”界面。 说明 如果您的服务器已通过企业项目的模式进行管理，您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。 3、选择“集群Agent管理 > CCE集群 "页签。 4、在目标集群所在行的操作列，单击“安装Agent”。 您也可以勾选所有目标集群，并单击列表左上方的“安装Agent”，批量为CCE集群安装Agent。 5、在弹窗中单击“确认”，为CCE集群所有节点主机安装Agent。 安装Agent预计耗时10分钟，请您等待10分钟后，鼠标滑动至“节点Agent安装状态”列查看节点Agent安装情况。 自建集群安装Agent 1、登录管理控制台。 2、在左侧导航栏中，选择“资产管理 > 容器管理”，进入“容器管理”界面。 说明 如果您的服务器已通过企业项目的模式进行管理，您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。 3、选择“集群Agent管理 > 自建集群”页签。 4、单击“接入自建集群”。 5、在“接入自建集群”弹窗中，填写集群信息并单击“生成命令”。 您可以在弹窗中，单击“保存”，保存本次生成的命令。 6、在可执行k8s命令的主机中创建一个新的yaml文件，例如abcd.yaml。 7、将生成的命令拷贝到abcd.yaml中。 8、在主机中执行以下命令，运行abcd.yaml，安装Agent。安装Agent预计耗时10分钟，请您耐心等待。 kubectl apply f abcd.yaml 9、命令运行完成后，返回HSS控制台。 10、在左侧导航栏，选择“安装与配置”，进入“安装与配置”界面。 11、选择“Agent管理”页签，查看集群服务器的Agent状态为“在线”，表示Agent安装成功。

参数 是否必填 参数类型 说明 示例 下级对象 urlType 是 String 请求地址类型 CTAPI regionId 是 String 资源池id 100054c0416811e9a6690242ac110002

枚举参数 无 请求示例 请求url 无 请求头header { "regionid": "100054c0416811e9a6690242ac110002", "urlType": "CTAPI" } 请求体body {} 响应示例 { "statusCode": "200", "error": "CFW0000", "message": "成功!", "returnObj": { "total": 12, "list": [ { "createTime": "20241024T01:44:12Z", "updateTime": "20241024T01:44:12Z", "alarmName": "100.126.9.172192.168.10.5POP3WeakPasswordLoginAttempt(TCP)告警", "attackType": "InformationDisclosureWeakPassword", "attackIp": "100.126.9.172", "affectedIp": "192.168.10.5", "attackLevel": "MIDDLE", "triggerCount": 1, "ruleId": 43049, "ruleName": "POP3WeakPasswordLoginAttempt(TCP)", "sourceType": "BASE", "attackDirection": "1", "isHandled": false, "alarmId": "119320" } ], "pageNum": 1, "pageSize": 10, "size": 10, "startRow": 1, "endRow": 10, "pages": 2, "prePage": 0, "nextPage": 2, "isFirstPage": true, "isLastPage": false, "hasPreviousPage": false, "hasNextPage": true, "navigatePages": 8, "navigatepageNums": [ 1, 2 ], "navigateFirstPage": 1, "navigateLastPage": 2 }, "statusCode": "800" } 状态码 请参考 状态码 错误码 请参考 错误码

参数 是否必填 参数类型 说明 示例 下级对象 alarmId 是 String 告警id 119320

推送系统报表 为方便审计管理员及时获取运维统计信息，通过邮件发送系统报表。 自动发送周期可选择每日、每周、每月。 报表格式可选择PDF、DOC、XLS、HTML。 每次推送最多可呈现连续180天的系统统计数据。 前提条件 已获取“系统报表”模块管理权限。 已配置有效邮箱地址。 操作步骤 1 登录云堡垒机系统。 2 选择“审计 > 系统报表”，进入系统报表查看页面。 3 单击右上角的“报表导出”，弹出系统报表导出配置窗口。 4 配置系统报表推送方式、时间和文件格式。 导出系统报表 系统报表导出参数说明 参数 说明 :: 展示粒度 选择系统报表趋势图呈现粒度。 可以选择“按小时”、“按天”、“按周”、“按月”。 时间 选择报表统计数据时间范围。 需同时选择起始时间和结束时间。 最长可选择连续的180天。 报表类型 选择报表需呈现统计数据类型。 文件格式 选择报表的文件格式，仅可选择一种格式。 默认导出DOC文件格式。 可选择PDF、DOC、XLS、HTML格式。 5 单击“确定”，立即导出系统报表。 6 “消息中心”收到导出系统报表完成提醒，即可在邮箱收到系统报表文件。 自动发送 1 登录云堡垒机系统。 2 选择“审计 > 系统报表”，进入系统报表查看页面。 3 单击右上角的“报表自动发送”，弹出系统报表自动推送配置窗口。 4 配置报表推送方式、时间和文件格式。 自动发送系统报表 自动发送系统报表参数说明 参数 说明 :: 状态 选择开启或关闭自动推送上一周期报表，默认。 ，表示关闭自动推送报表。 ，表示开启以邮件方式发送上一周期的报表至当前用户邮箱。 发送周期 选择报表发送周期。 默认为目标日期的零点发送报表。 可以按每日、每周、每月周期进行发送。 每日发送的报表中展示粒度为按小时。 每周发送的报表中展示粒度为按天。 每月发送的报表中展示粒度为按周。 文件格式 选择报表格式，仅可选择一种格式类型。 默认选DOC格式。 可选择PDF、DOC、XLS、HTML格式。 5 单击“确定”，返回系统报表页面，按期接收到系统报表邮件。

参数 说明 令牌标识 动态令牌条形码。 秘钥 动态令牌的厂商提供，与“令牌标识”一一对应的唯一“密钥”。 关联用户 选择已配置“动态令牌”多因子认证的用户帐号。

参数 说明 产品名称 云堡垒机 产品ID 用户产品ID唯一认证码。 服务码 单击“查看”获取，主要用于技术人员登录系统后台，技术人员根据内部系统提供的解密功能进行后台管理。 API凭证 主要用于统一管理平台添加节点认证使用。 l 单击“查看”时需要输入系统管理员admin密码、Access Key Secret、Access Key ID。 l “更新”、“清除”API凭证需要输入系统管理员admin密码，并且更新后，统一管理平台管理的该节点将会失效。 HA Key 主要用于配置HA时使用。 当用户通过Web界面配置HA的备节点时，备节点上的程序需要连接到指定的主节点上，再获取相关配置信息进行有效性校验，并在校验通过后才能修改主节点上的配置。 版本号 当前系统版本。 设备系统 当前系统软件版本。 发行日期 当前系统版本发行日期。

日志类型 日志内容 历史会话 运维会话视频：无需设置，全程录屏记录运维会话操作，可在线播放或下载操作视频。 运维会话详情：用户运维会话详情，可在线查看或导出Excel文件。详情内容包括 资源会话信息 、 系统会话信息 、 运维记录 、 文件传输 、 协同会话 的详细操作记录。 系统日志 以折线图的形式，从多方面呈现用户运维资源随时间变化的趋势，并可生成运维资源综合分析报告。 主要涵盖内容有“运维时间分布”、“资源访问次数”、“会话时长”、“来源IP访问数”、“会话协同”、“双人授权”、“命令拦截”、“字符命令数”和“传输文件数”。 运维报表 系统登录日志：用户登录系统的详细记录，可在线查看或导出Excel文件。 l 系统操作日志：用户系统操作的详细记录，可在线查看或导出Excel文件。 系统报表 以柱状图的形式，从多方面统计用户登录系统和系统操作次数，并可生成系统管理综合分析报告。 主要涵盖内容有“用户控制”、“用户与资源操作”、“用户源IP数”、“用户登录方式”、“异常登录”、“会话控制”和“用户状态”。

前提条件 已获取“命令控制策略”模块操作权限。 新建命令控制策略 1 登录云堡垒机系统。 2 选择“策略 > 命令控制策略 > 策略列表”，进入命令控制策略列表页面。 3 单击“新建”，弹出新建策略窗口。 选择一个策略，单击“更多 > 插入”，亦可新建命令控制策略。配置完成后，在已创建的策略前新建一个策略。 4 配置策略基本信息。 策略基本信息参数说明 参数 说明 策略名称 自定义的命令控制策略名称，系统内“策略名称”不能重复。 执行动作 选择策略控制用户的执行动作。 包括“断开连接”、“拒绝执行”、“动态授权”、“允许执行”。 断开连接：当会话执行策略生效的命令时，直接断开会话。 拒绝执行：当会话执行策略生效的命令时，直接拒绝命令的执行。 动态授权：当会话执行策略生效的命令时，直接拒绝命令的执行，需要向管理员提交审批，管理员通过之后才能执行。 允许执行：当会话执行策略生效的命令时，允许执行。 有效期 策略生效时间和策略的失效时间。 时段限制 限制策略的生效时间段。 5 单击“下一步”，关联命令或命令集。 关联命令：可设置多个命令，每行输入一条命令。详细设置说明请参见4.7.2.4 自定义关联命令。 关联命令集：关联已创建的命令集。详细命令集说明请参见4.7.2.3 管理命令集。 6 单击“下一步”，关联用户或用户组。 当用户组关联策略后，新用户加入到用户组中会自动继承用户组的策略权限。 关联用户 7 关联资源账户或帐户组，选择已创建资源账户或帐户组。 当帐户组关联策略后，新帐户加入到帐户组中会自动赋予帐户组的策略权限。 关联资源账户 8 单击“确定”，返回策略列表页面，查看新建的命令控制策略。 用户在运维过程中，触发策略规则，即会被限制相关操作。 “关联用户”和“关联用户组”中用户需提交命令授权工单权限，即已配置拥有命令授权工单权限的“角色”。否则用户登录系统后无法查看命令授权工单模块，不能提交工单获取权限。

后续管理 若需修改认证信息、关闭认证等，可单击“编辑”，在弹出的RADIUS配置窗口重新配置。 配置Azure AD远程认证 云堡垒机与Azure AD平台对接，认证登录系统的用户身份。 本小节主要介绍如何配置Azure AD认证模式。 前提条件 用户已获取“系统”模块管理权限。 已在Azure AD创建用户和添加企业应用程序，并获取Azure AD平台配置的相关信息。 操作步骤 1. 登录云堡垒机系统。 2. 选择“系统 > 系统配置 > 认证配置”，进入远程认证配置管理页面。 3. 在“Azure AD认证配置”区域，单击“编辑”，弹出Azure AD认证配置窗口。 Azure AD域认证参数说明 参数 说明 :: 状态 选择开启或关闭Azure AD远程认证，默认开启。 关闭表示开启Azure AD认证。在配置信息有效情况下，登录系统时呈现Azure AD认证入口。 开启表示关闭Azure AD认证。 标识符（实体ID） 输入企业名称或URL。 回复URL 自动填写，默认为返回当前云堡垒机的跳转链接。 当云堡垒机IP或域名变更，需同时修改此链接中IP或域名。 应用联合元数据URL 输入在Microsoft Azure中配置SAML签名证书后生成的应用联合元数据URL。 登录URL 输入在Microsoft Azure中配置SAML单一登录后生成的登录URL。 Azure AD标识符 输入在Microsoft Azure中配置SAML单一登录后生成的Azure AD标识符。 4. 单击“确认”，提交配置数据验证可达后，返回Azure AD认证服务器表中，即可查看和管理的Azure AD认证配置信息。

本小节主要介绍纳管资源后，如何添加资源账户。 一个主机或应用可能有多个登录主机或应用的帐户，每个被纳管的主机帐户或应用帐户对应一个资源账户。登录被纳管资源账户时，自动登录无需输入帐号和密码。 当添加主机或应用未纳管帐户和密码时，默认生成一个“Empty”帐户，登录“Empty”资源账户时需手动输入帐户名和相应密码。 约束限制 Edge浏览器应用资源不支持配置自动登录资源账户。 若资源安装了AD域服务，添加的资源账户为 域名 资源账户名 ，例如adadministrator。 前提条件 已获取“资源账户”模块操作权限。 已添加主机或应用资源。 新建单个资源账户 1. 登录云堡垒机系统。 2. 选择“资源 > 资源账户”，进入资源账户列表页面。 3. 单击“新建”，弹出资源账户编辑窗口，配置资源账户的属性。 新建资源账户参数说明 参数 说明 :: 关联资源 选择已添加的主机或应用资源。 登录方式 选择登录方式，可选择“手动登录”、“自动登录”、“提权登录”。 选择“自动登录”，“资源账户”和“密码”为必填项。 选择“手动登录”，可选配置“资源账户”。 仅针对SSH协议类型主机，可选择“提权登录”。选择后，“切换自”和“切换命令”为必填项，可将原资源账户提权为特权帐户。 资源账户 输入资源的帐户名称。创建后不可修改，且系统内“资源账户”名唯一，不能重复。 勾选“特权帐户”，即该帐户可标识为管理资源的特权帐户，拥有改密权限。 密码 资源账户对应的密码。 默认勾选“验证”，配置完成确定后，自动验证资源账户的状态。 验证帐户通过后，直接保存资源相关信息。 验证帐户不通过，根据提示修改配置。 提示验证帐户超时，请修改资源的相关配置信息。 提示帐户密码错误，请返回配置窗口，确认并修改资源账户密码。 SSH Key 针对SSH协议类型主机，可配置登录SSH Key验证。 配置后优先使用SSH Key登录SSH主机资源。 Passphrase 针对SSH协议类型主机，SSH Key对应私钥序列。 切换自 针对SSH协议类型主机，选择已配置SSH主机资源账户，将该帐户提权为特权帐户。 切换命令 针对SSH协议类型主机，配置相应切换命令，例如su root。 帐户描述 对资源账户的简要描述。 4. 单击“确定”，返回资源账户列表页面，看到新建的帐户。

参数 说明 用户组 自定义组名称，系统唯一。 用户组描述 （可选）自定义对用户组的简要描述。

后续管理 运维用户提交工单后，相关管理员即可在“消息中心”收到提醒，查看详细工单内容。并可在工单审批页面收到工单，可对工单进行批准或驳回操作。 相关管理员审批工单通过后，运维用户权限立刻生效，即可在授权范围和时间段拥有操作权限。 相关管理员撤销工单权限后，运维用户权限立刻失效，操作命令会再次被拦截。 审批系统工单 运维用户提交工单申请或者触发命令工单后，工单流转到系统指定的审批人处。审批人可在“消息中心”收到工单审批提醒，此时可在工单审批列表中查看到待审批的工单。 本小节主要介绍如何管理已提交审批工单，包括查看工单详情、审批工单、驳回工单、撤销工单授权等。 前提条件 已获取“工单审批”模块管理权限。 操作步骤 1 登录云堡垒机系统。 2 选择“工单 > 工单审批”，进入审批工单列表页面。 审批工单列表 3 查看工单详情。 单击目标工单“操作”列的“管理”，进入工单详情页面，即可查看工单详细信息，包括工单基本信息、资源账户列表、审批人列表。 查看工单详细信息 4 批准工单。 单击目标工单“操作”列的“批准”，即可通过该工单审批。 勾选多个工单，单击列表左下角批准，即可批量通过 5 驳回工单。 单击目标工单“操作”列的“驳回”，即可取消申请的工单。 6 撤销工单。 工单被批准后，单击目标工单“操作”列的“撤销”，即可收回资源的授权。 系统工单应用示例

参数 说明 库 可选项，支持正则表达式匹配库名。 缺省状态下表示将会拦截所有使用该命令的sql语句。 表 可选项，支持正则表达式匹配表名。 缺省状态下表示将会拦截所有使用该命令的sql语句。 命令 必选项，必须选择一条预置命令。 目前支持选择29种命令，同时可选择多条命令。

参数 说明 系统类型 自定义系统类型名称。 改密参数 修改帐户密码的执行命令和成功返回值。最多添加16条。 password表示旧密码； newpassword表示新密码； changeuser表示需要改密的资源账户； 不支持的字符 ( )。 提权帐户改密参数 获取帐户修改密码权限的执行命令和成功返回值。最多添加16条。 password表示旧密码； newpassword表示新密码； 不支持的字符 ( )。 描述 系统类型简要介绍。

在线会话回放 因登出时间和最后操作时间不同，视频文件的总时长与回放可播放时长可能不一致。 “总时长”是指从登录资源到登出资源的时间段。 “可播放时长”是指从登录资源到最后一次会话操作的时间段。 1 登录云堡垒机系统。 2 选择“审计 > 历史会话”，进入历史会话列表页面。 3 单击目标历史会话“操作”列的“播放”，跳转到历史会话窗口。 历史会话回放 4 回放会话操作全过程。 在会话窗口可查看运维操作的总会话时长，并可拖动播放进度。 在会话窗口右侧，可查看运维操作指令记录、传输文件记录、会话协同参与用户、加入实时会话监控用户等信息。 5 跳过空闲播放。 开启“跳过空闲”，表示播放历史会话时，将跳过无运维操作的会话回放。 默认为关闭。 6 多倍速率播放。 单击“正常速度”，可配置会话多倍速率播放。可分别选择正常速度、2X速度、4X速度、8X速度、16X速度。 7 会话截屏。 单击，可立即截取播放的会话窗口，生成本地PNG格式快照。 8 会话播放列表。 单击，展开会话窗口右侧的播放列表，可选择播放历史会话。 在搜索框输入登录名或资源账户名，搜索目标历史会话。 单击目标会话，即可立即播放。 历史会话播放列表

参数 说明 展示粒度 选择运维报表趋势图呈现粒度。 可以选择“按小时”、“按天”、“按周”、“按月”。 时间 选择运维报表统计数据时间范围。 需同时选择起始时间和结束时间。 最长可选择连续的180天。 报表类型 选择运维报表需呈现统计数据类型。 文件格式 选择报表的文件格式，仅可选择一种格式。 默认导出DOC文件格式。 可选择PDF、DOC、XLS、HTML格式。

前提条件 已获取“系统登录日志”或“系统操作日志”模块管理权限。 导出系统登录日志。 导出系统操作日志 1 登录云堡垒机系统。 2 选择“审计 > 系统日志”，进入系统日志列表页面。 3 选择“系统操作日志”页签，进入系统操作日志列表页面。 4 （可选）勾选一个或多个系统操作日志。 若未勾选日志，默认导出全量历史操作日志。 5 单击右上角“导出”，即可立即下载的CSV格式的文件到本地。

前提条件 已获取“实时会话”模块管理权限。 有正在进行中运维会话。 操作步骤 1 登录云堡垒机系统。 2 选择“审计 > 实时会话”，进入实时会话列表页面。 3 单击目标实时会话“操作”列的“监控”，跳转到运维人员运维会话窗口。 4 可查看运维人员实时运维操作，并可分别在会话窗口栏查看历史运维记录、文件传输记录和协同会话参与用户记录。 中断实时会话 运维人员通过云堡垒机登录资源后，审计管理员将会实时收到会话记录。当监控到有违规或高危运维操作时，可通过实时会话阻断会话，阻止运维人员的进一步操作。 本小节主要介绍如何中断实时会话。 前提条件 已获取“实时会话”模块管理权限。 有正在进行中运维会话。 操作步骤 1 登录云堡垒机系统。 2 选择“审计 > 实时会话”，进入实时会话列表页面。 实时会话列表 3 单击目标实时会话“操作”列的“中断”，强制断开会话连接。 中断会话后，运维人员会话页面将被立即断开，并收到会话断开连接提示。 运维会话断开连接