此小节介绍如何通过云堡垒机纳管主机资源。 云堡垒机具备集中资源管理功能，将已有资源和资源账户添加到系统，可实现对资源账户全生命周期管理，单点登录资源，管理或运维无缝切换。 资源类型 纳管资源类型丰富，包括Windows、Linux等主机资源，MySQL、Oracle等数据库资源，以及Windows应用程序资源。 支持C/S架构运维接入，包括SSH、RDP、VNC、TELNET、FTP、SFTP、DB2、MySQL、SQL Server、Oracle、SCP、Rlogin协议类型主机资源。 支持B/S、C/S架构应用系统资源接入，可直接配置12+种Edge、Chrome、Oracle Tool等浏览器或客户端Windows服务器应用资源。 资源管理 批量导入 通过自动发现、同步云上资源，以及批量导入资源，支持一键同步并导入云上ECS、RDS等服务器上资源。 帐户组管理 资源账户按属性分组管理，可实现对同类型资源账户按帐户组给用户赋权。 批量管理 支持批量管理资源信息和资源账户，包括删除资源、添加资源标签、修改资源信息、验证资源账户、删除资源账户等。 通过云堡垒机纳管主机资源 云堡垒机支持添加SSH、RDP、VNC、TELNET、FTP、SFTP、DB2、MySQL、SQL Server、Oracle、SCP、Rlogin等协议类型的主机资源，包括Linux主机、Windows主机和数据库等。 本章节主要介绍通过添加单个主机资源、从文件导入主机资源、导入云主机资源、自动发现主机资源、克隆主机资源等方式，将主机资源纳入云堡垒机进行集中管理。 约束限制 添加的主机和应用资源数量总和不能超过资产数。 系统内协议类型@ 主机地址 :端口需唯一，不能重复，即被纳管的主机资源需唯一。否则再次创建相同配置的主机时，会报“主机已存在”错误。 为主机资源配置“所属部门”为上级部门时，当前用户的角色需拥有管理权限，否则会配置失败。修改用户角色管理权限，请参见：查询和修改角色信息 。 前提条件 已获取“主机管理”模块操作权限。 添加单个主机资源 1. 登录云堡垒机系统。 2. 选择“资源 > 主机管理”，进入主机管理列表页面。 3. 单击“新建”，弹出新建主机编辑窗口。配置主机资源的网络参数和基础信息。 主机资源网络参数说明 参数 说明 :: 主机名称 自定义的主机资源名称，系统内“主机名称”不能重复。 协议类型 选择主机的协议类型。 主机地址 输入主机与云堡垒机网络通畅的IP地址 选择主机的EIP地址或私有IP地址，建议优先选择可用私有IP地址。 系统默认要求网络接口为主机的IPv4地址。主机开启IPv6地址后，可配置主机的IPv4或IPv6地址。 说明 因云堡垒机管理同一VPC网络下的主机资源，根据网络稳定性与就近优势。私有IP对外访问的端口不受网络安全（安全组和ACL）的限制。EIP为独立的弹性IP，对外访问的端口受网络安全限制，可能导致无法通过云堡垒机登录到主机。 故建议“主机地址”优先考虑配置同VPC网络下私有IP地址。 端口 输入主机的端口号。 系统类型 （可选）选择主机的操作系统类型或者设备系统类型。 默认不设置，后台根据资源系统类型匹配。 支持14种系统类型。 同时支持系统管理员admin自定义系统类型。 详情请参见自定义系统类型说明。 终端速度 “协议类型”选择“Rlogin”协议类型主机时，可选择不同终端速率。 编码 “协议类型”选择“SSH”、“TELNET”协议类型主机时，可选择运维界面中文编码。 可选择UTF8、Big5、GB18030。 终端类型 “协议类型”选择“SSH”、“TELNET”协议类型主机可选择运维终端类型。 可选择Linux、Xterm。 更多选项 （可选）选择配置“文件管理”、“X11转发”、“上行剪切板”、“下行剪切板”。 文件管理：仅SSH、RDP、VNC协议类型主机可配置。 剪切板：仅RDP协议类型主机可配置。 X11转发：仅SSH协议类型主机可配置。 所属部门 选择主机所属部门。 标签 （可选）自定义标签或选择已有标签。 主机描述 （可选）对主机的简要描述。 4. 单击“下一步”，纳管主机资源的帐号信息。 纳管主机帐户信息说明 参数 说明 :: 添加帐户 选择立即添加帐户，或以后再添加帐户。 选择“立即添加”，需要继续配置下面的各项内容。 选择“以后添加”，将结束本页配置，后续您可以在资源列表或资源详情中添加帐户。 登录方式 选择登录方式，可选择自动登录或手动登录。 选择“自动登录”时，“主机帐户”和“密码”为必填项。 选择“手动登录”时，“主机帐户”和“密码”为可选项。 主机帐户 输入主机中的帐户名。 说明 若主机安装了AD域服务，添加的主机帐户为域名 主机帐户名 ，例如adadministrator。 密码 输入主机帐户对应的密码。 默认勾选“验证”，配置完成确定后，自动验证资源账户的状态。 说明 验证帐户通过后，直接保存资源主机相关信息。 验证帐户不通过 提示验证帐户超时，请返回配置窗口，确认并修改资源信息。 提示帐户密码错误，请返回配置窗口，确认并修改资源账户密码。 SSH Key 针对SSH协议类型主机，可配置登录SSH Key验证。 配置后优先使用SSH Key登录资源。 Passphras SSH Key对应私钥序列，可选择配置。 未生成私钥密码情况下，登录主机无需输入密码。 已生成私钥密码情况下，每次登录主机需手动输入私钥密码。 帐户描述 对资源账户的简要描述。 未配置主机帐户和密码时，默认创建“[Empty]”空帐户，登录资源时需手动输入主机帐户和相应密码。 5. 单击“确定”，且资源账户验证通过后，返回主机列表查看新建的主机资源。

此小节介绍云堡垒机登录日志。 登录日志里admin可查看所有用户在登录堡垒机的详细记录，其他有授权用户可查看到授权的账号数据角色的操作记录。 操作步骤 1.管理员登录并切换至审计角色，在左侧导航栏选择“系统日志 > 登录日志审计”，审计范围包括登录成功与登录失败（密码错误、账号不存在等）的情况。 2.单击详情，可查看用户登录系统后访问资产的信息。 3.单击某条资产访问的详情，从更多维度展示该次访问会话的信息。

物理机服务为您提供优质的服务体验,本文带您了解产品优势。 安全稳定 天翼云物理机提供硬件隔离，确保敏感数据物理隔离，避免与其他租户共享计算资源，提供了更高的安全性和隔离性。 性能可靠 用户可以在无虚拟化层的情况下直接访问物理硬件资源，获得更高的性能和更低的延迟。这使用户可以将自己的操作系统、虚拟化软件和应用程序部署到物理机上，获得与传统物理机相似的性能。 高吞吐低时延 结合天翼云全新分布式4.0架构及深度学习智能调度引擎，实现超大规模部署，云网络访问性能带宽最高可达50Gbps，支持高带宽、低时延云存储，满足企业数据库、大数据、容器、HPC、AI等关键业务部署密度和性能诉求。 灵活可控 天翼云物理机允许用户根据需求选择硬件配置、存储选项和网络设置，并根据需要进行动态调整。用户可以定制适合自己业务需求的物理机环境，提供灵活的部署和管理选项。

本小节介绍如何新增用户账号、资产和资产账号。 在使用云堡垒机进行系统管理和运维前，管理人员需要在云堡垒机系统中创建系统用户，为用户分配不同系统角色。 根据角色系统权限的不同，用户拥有不同的系统操作和访问权限，新创建的用户登录系统，即可访问角色权限内模块。 新增用户账号 在使用云堡垒机进行运维前，系统管理员需要先创建系统用户，并为系统用户分配角色身份。不同的角色身份，拥有不同的菜单权限和操作权限。 操作步骤 1.管理员登录云堡垒机系统。 2.角色身份切换到“管理角色”。 3.在左侧导航栏，选择“用户管理 > 用户”，单击左上角的“新增”按钮。 4.填写账号基本信息，并选择角色身份，单击“确定”。 参数 参数说明 登录名 填写该账户的登录名称。 只能为数字、大小写字母、“.”和“”组成，首位只能数字或者字母，且不超过25个字符； 姓名 填写该账户的使用者的姓名。 手机号 填写手机号，请确保手机号真实有效，否则会影响短信的接收。 邮箱 （选填）填写邮箱地址，请确保邮箱地址真实有效，否则会影响告警信息的接收。 用户密码 输入该账户的密码。密码请根据管理员设置的密码规则填写，具体可参见：安全设置章节。 确认密码 二次确认账户密码。 角色 选择该账户所属的角色，可选“管理角色”、“审计角色”和“访问角色”。 用户组 选择该账户所属的用户组，用户组相关操作请参见用户章节。 认证方式 填写认证方式，可选“跟随系统”和“自定义”： 跟随系统：沿用系统认证方式的设置，并且动态更新同步。 自定义：自定义选择认证源、双因子认证。 生效时间 选择该账户可登录的时间段。 准入IP 选择可登录的IP地址。 准入MAC 填写该用户允许登录的MAC地址。

此小节介绍云堡垒机登录日志。 登录日志里admin可查看所有用户在登录堡垒机的详细记录，其他有授权用户可查看到授权的账号数据角色的操作记录。 1.管理员登录并切换至审计角色，打开 “系统日志 > 登录日志审计”，审计范围包括登录成功与登录失败（密码错误、账号不存在等）的情况。 2.单击详情，可查看用户登录系统后访问资产的信息。 3.单击某条资产访问的详情，从更多维度展示该次访问会话的信息。

批量验证 对已加入帐户组的资源账户，可一键批量验证帐户组内资源账户状态。 1. 登录云堡垒机系统。 2. 选择“资源 > 帐户组”，进入帐户组列表页面。 3. 勾选指定帐户组，单击列表下方的“验证”，弹出验证配置框。 4. 设置“连接超时”时间，以及“任务完成通知”。 说明 默认“链接超时”时长为10秒。网络条件不佳时，可增加“连接超时”时长； 默认情况下，不发送任务完成通知； 可勾选“邮件通知”，验证完成后在任务中心查看验证结果详情。 5. 单击“确定”，返回资源账户列表页面，即可查看资源“状态”栏结果。 删除资源 云堡垒机可删除已纳管的资源，包括主机资源、应用服务器、应用资源、资源账户等。 删除了主机资源或应用资源，相应关联的资源账户也会自动删除。 删除了应用服务器，相应关联的应用也会自动删除。 前提条件 已分别获取“主机管理”、“应用服务器”、“应用发布”、“资源账户”模块操作权限。 删除资源账户 1. 登录云堡垒机系统。 2. 选择“资源 > 资源账户”，进入资源账户列表页面。 3. 单击指定帐户“操作”列的“删除”，可以删除该帐户。 4. 同时勾选多个帐户，然后单击列表下方的“删除”，可以批量删除多个帐户。 删除主机资源 1. 登录云堡垒机系统。 2. 选择“资源 > 主机管理”，进入主机列表页面。 3. 单击指定主机“操作”列的“更多 > 删除”，可以删除该主机资源。 4. 同时勾选多个主机，单击列表下方的“删除”，批量删除多个主机资源。

此小节介绍云堡垒机资产访问授权管理。 资产访问授权用于控制用户访问资产的权限。 云堡垒机支持对运维用户限制登录时间段和协议限制。 前提条件 仅“管理角色”支持资产相关的操作。 新增资产访问授权 1.使用“管理角色”账户登录云堡垒机（原生版）控制台。 2.在左侧导航栏选择“授权管理 > 资产访问授权”，进入“资产访问授权”页面。 3.单击“新增”按钮，在弹出的“新增资产访问授权”对话框中配置信息。 参数 参数说明 取值样例 授权规则名称 自定义资产访问授权的规则名称。 Test 启用状态 选择该授权规则的启用状态，默认启用。 用户 （可选）选择需要配置访问授权的用户。 用户组 （可选）选择需要配置访问授权的用户组。 若您选择的用户和用户组存在重合，默认取最大的合集。 资产 （可选）选择需要配置访问授权的资产。 资产组 （可选）选择需要配置访问授权的资产组。 若您选择的资产和资产组存在重合，默认取最大的合集。 资产账号 （可选）选择资产授权规则中允许使用的资产账号，添加资产账号请参见：资产账号章节。 协议 选择该授权规则支持访问的协议。 SSH RDP允许项 仅协议选择为“RDP”、“VNC”时可勾选，可选是否可以通过RDP、VNC协议复制黏贴内容或上传下载文件。 全选 授权时间 选择该规则生效的时间段。 4.单击“提交”完成访问授权规则的创建。

启停用户 云堡垒机系统用户快速管理，支持一键批量“启用”或“禁用”其他用户，修改用户帐号使用状态。 系统管理员admin默认保持“已启用”状态，不支持禁用admin用户。 启用 默认为启用，用户状态为“已启用”，用户在权限范围内可正常使用。 禁用 用户状态为“已禁用”。用户帐号被禁用后，将被禁止登录系统，失去系统所有操作权限；已登录的用户将被强制退出。 前提条件 已获取“用户”模块操作权限。 操作步骤 1. 登录云堡垒机系统。 2. 选择“用户 > 用户管理”，进入用户列表页面。 3. 勾选待改变状态用户，单击左下角“启用”或“禁用”，操作立即生效，即刻可查看用户状态变化。 删除用户 云堡垒机系统用户支持一键删除和批量删除。 用户帐号被删除后，用户帐号所有关联的权限将失效，用户个人网盘中文件将被清空。 系统管理员admin不允许被删除。 前提条件 已获取“用户”模块操作权限。 操作步骤 1 登录云堡垒机系统。 2 选择“用户 > 用户管理”，进入用户列表页面。 3 单击“操作”列的“删除”，即可立即删除该用户。 4 同时勾选多个用户，单击左下角“删除”，可批量删除多个用户。 配置用户登录限制 背景介绍 为加强用户帐号登录管理，云堡垒机支持通过配置登录开启或关闭多因子认证、设置帐号使用有效期、设置登录时段限制、设置登录IP地址限制、设置登录MAC地址限制，管理用户帐号登录权限，有效降低用户帐号泄露等导致的安全风险。 多因子认证：指开启多因子认证后，用户登录时通过发送短信口令、动态令牌、USBKey等二次认证用户身份。 有效期：指用户帐号的使用有效期，仅在限定时间内可登录。 登录时段限制：指用户帐号限定登录星期和时刻。 登录IP地址限制：指限制指定来源IP地址的用户登录。 登录MAC地址限制：指在局域网内限制指定MAC地址的用户登录。

本章节为您介绍密评专区最佳实践。 网络和通信安全 身份鉴别和通信数据机密性、完整性 满足网络和通信安全的总体要求需要通过国密SSL VPN安全网关配合VPN客户端构建虚拟专用通道来保证对各通道的安全： 平台管理员通过CN2网络访问平台的业务通道：部署国密SSL VPN安全网关（配备数字证书），以及为平台管理员用户配备USBKey（配备数字证书）和VPN客户端，建立安全的国密加密通道，在此通道内访问平台； 平台运维人员通过CN2网络对平台的运维通道：部署国密SSL VPN安全网关（配备数字证书），以及为运维人员配备USBKey（配备数字证书）和VPN客户端，建立安全的国密加密通道，在此通道内对平台中的各设备和服务器、操作系统等进行运维和管理。 网络边界访问控制 网络边界访问控制信息存储在国密SSL VPN安全网关中，完整性已得到保护。国密SSL VPN安全网关设备取得国家密码检测部门颁发的商用密码产品认证证书，通过国密SSL VPN安全网关自身机制实现访问控制信息的保护，该密码应用要求指标可复用商用密码产品检测结果。 设备与计算安全 概述 系统的设备和计算安全层面，主要涉及业务服务器、数据库服务器、网络设备、安全设备。因此采用合规的SSL VPN安全网关、服务器密码机、智能密码钥匙、数字证书实现各项商用密码技术功能。 身份鉴别 通过专用SSL VPN安全网关结合运维堡垒机（或者4A安全系统）提供设备和计算层面的身份鉴别，结合智能密码钥匙（内置数字证书），运维人员Ukey数字证书由身份认证系统（CA）签发，并且与堡垒机分配给运维管理员的账户一一对应和绑定。 1. 运维人员首先使用VPN客户端调用智能密码钥匙，通过远程（CN2网络）连通合规SSL VPN安全网关进行双向强身份认证，验证运维人员USBKey证书与SSL VPN服务的双方身份，握手成功后建立国密SSL VPN隧道。 2. 再通过UKey方式登录堡垒机。用户通过智能密码钥匙登录堡垒机，采用挑战/应答机制，采用服务器密码机对登录签名进行验证，实现运维管理用户登录堡垒机的身份鉴别实现。 具体过程如下： 1. 用户插入智能密码钥匙访问堡垒机登录页面时，终端将签名数据、证书发送至堡垒机。 2. 堡垒机将对数据服务器密码机进行签名。 3. 服务器密码机对签名数据进行验签，并返回验证结果至堡垒机。 4. 堡垒机完成证书有消息验证，综合签名数据验证结果，将验证结果返回至终端。 基于密码技术的用户登录堡垒机的身份鉴别中，涉及的密钥为SM2签名算法公私钥，涉及的设备为智能密码钥匙和服务器密码机，不存在出现私钥明文情况。 3. 通过堡垒机登录到服务器/虚机进行维护（SSH V2.0协议），实现对服务器/虚机的管理和维护。

本文主要介绍基于天翼云弹性文件服务,如何将其挂载至docker容器中。 应用场景 本文适用于docker容器中实现天翼云弹性文件服务的挂载。 前提条件 购买一个NFS协议的弹性文件系统。 购买一台配置弹性IP的云主机（或者物理机）。 准备工作 1.登录天翼云官网页面，找到控制中心。 2.本文以华北2资源池为例，购买一台配置弹性IP的云主机，具体操作请参考创建弹性云主机。此次以CentOS 8.2系统的弹性云主机为例，部分参数可参考下表： 参数 说明 镜像 CentOS 8.2 64位 弹性IP 自动分配 IP版本 IPV4 带宽 5M 您也可以选择购买一台配置弹性IP的物理机，具体操作请参考自助开通天翼云物理机。 3.创建一个弹性文件系统，具体操作请参考创建弹性文件系统，部分参数可参考下表： 参数 说明 存储类型 SFS Turbo标准型 协议类型 NFS 选择网络 选择与弹性云主机（或物理机）相同的VPC 操作步骤 使用docker挂载弹性文件系统可以分为几个关键步骤： 安装docker>拉取镜像>宿主机挂载文件系统>创建并运行容器，实现文件系统挂载 。具体操作步骤如下：

吊销USBKey 1. 登录云堡垒机系统。 2. 选择“用户 > USBKey”，进入USBKey列表页面。 3. 单击“操作”列的“吊销”，可吊销该USBKey。 4. 勾选多个USBKey，单击列表下方的“吊销”，可批量吊销USBKey。 动态令牌管理 用户帐号需配置了“动态令牌”多因子认证，才能为用户帐号签发动态令牌。 动态令牌需要提前申购。目前云堡垒机支持坚石诚信ETZ201型号，外观如图651。 坚石诚信ETZ201示例 前提条件 已申购硬件令牌。 已获取“用户”模块管理权限。 已获取“动态令牌”模块管理权限。 签发动态令牌 一个动态令牌只能签发给一个用户使用。 1. 登录云堡垒机系统。 2. 选择“用户 > 动态令牌”，进入动态令牌列表页面。 3. 单击“签发”，新建签发令牌标识。 4. 配置令牌标识信息。 签发动态令牌参数说明 参数 说明 :: 令牌标识 动态令牌条形码。 秘钥 动态令牌的厂商提供，与“令牌标识”一一对应的唯一“密钥”。 关联用户 选择已配置“动态令牌”多因子认证的用户帐号。 5. 单击“确定”，返回动态令牌列表，即可查看已签发令牌标识。 关联用户登录云堡垒机系统时，在登录界面输入用户登录名、用户密码，以及动态令牌上动态口令，即可完成动态令牌方式登录。

导出历史会话 运维人员通过云堡垒机登录资源运维结束后，审计管理员将会收到历史会话记录，并可导出全部历史会话记录，离线审计历史会话。 前提条件 已获取“历史会话”模块管理权限。 已结束运维会话。 操作步骤 1 登录云堡垒机系统。 2 选择“审计 > 历史会话”，进入历史会话列表页面。 3 （可选）勾选一个或多个历史会话。 若未勾选日志，默认导出全量历史会话。 4 单击右上角“导出”，即可立即下载的CSV格式的文件到本地。 管理会话视频 运维人员通过云堡垒机登录资源运维结束后，审计管理员将会收到历史会话记录。针对Linux命令审计、Windows操作审计全程录像记录，支持生成运维视频，并支持一键下载和删除视频管理。 约束限制 通过Web运维支持文本和视频审计。 通过SSH客户端运维、客户端文件传输和数据库运维仅支持文本审计，不支持视频审计。 视频仅可回放有效会话记录，即登录资源到最后一次会话操作的这一段记录。 生成视频后，视频将缓存在系统空间，占用系统存储空间，建议及时将视频保存在本地并清理磁盘空间。 前提条件 已获取“历史会话”模块管理权限。 已结束运维会话。 生成会话视频 1 登录云堡垒机系统。 2 选择“审计 > 历史会话”，进入历史会话列表页面。 3 在目标历史会话“操作”列，单击“更多 > 生成视频”，系统后台立即启动生成历史会话视频。 “任务中心”提醒有正在执行的任务。当“任务中心”任务执行完成，“消息中心”收到生成会话视频提醒后，会话视频生成完成。 在系统存储空间充足条件下，不限制生成视频的时长和大小。 当系统存储空间不足时，生成视频可能失败。

本节介绍如何为子账号配置统一身份认证（IAM）的云等保专区控制台权限。 统一身份认证（Identity and Access Management，简称IAM）服务，是提供给用户进行权限管理的基础服务，可以帮助您安全地控制云服务和资源的访问及操作权限。 默认情况下，天翼云主账号拥有所有权限，而主账号创建的IAM子账号没有任何权限。IAM子账号需要授权相应策略，或加入用户组并给用户组授权相应策略后，IAM用户才能获得策略对应的权限，才可以基于被授予的权限对云服务进行操作。 说明 如需要为子账号配置购买权限，还需要配置支付下单，弹性IP、弹性云主机等权限，具体策略请参见依赖策略说明。 云等保专区IAM策略，仅针对云等保专区的控制台，若想具体查看各原子能力的控制台或系统，还需针对各原子能力配置对应的策略，具体请参考云等保专区IAM策略说明。 云等保专区IAM策略说明 云等保专区提供如下系统策略： 策略名称 策略描述 类别 授权范围 云等保商用管理员 拥有云等保专区控制台所有权限，可操作云等保控制台所有的菜单。 系统策略 全局级 云等保业务管理员 拥有云等保专区控制台所有操作权限，但无法进行新购，续订，升配，退订相关订单操作。 系统策略 全局级 云等保云安全中心 仅可查看、操作云等保专区云安全中心菜单；其他原子能力菜单不可见。 系统策略 全局级 云等保主机安全 仅可查看、操作云等保专区主机安全菜单，包括v1.0，v2.0二级菜单，其他原子能力菜单不可见。 系统策略 全局级 云等保Web应用防火墙 仅可查看、操作云等保专区Web应用防火墙菜单，包括v1.0，v2.0二级菜单，其他原子能力菜单不可见。 系统策略 全局级 云等保下一代防火墙 仅可查看、操作云等保专区下一代防火墙菜单，包括v1.0，v2.0二级菜单，其他原子能力菜单不可见。 系统策略 全局级 云等保堡垒机 仅可查看、操作云等保专区堡垒机菜单，包括v1.0，v2.0二级菜单，其他原子能力菜单不可见。 系统策略 全局级 云等保漏洞扫描 仅可查看、操作云等保专区漏洞扫描菜单，包括v1.0，v2.0二级菜单，其他原子能力菜单不可见。 系统策略 全局级 云等保数据库审计 仅可查看、操作云等保专区数据库审计菜单，包括v1.0，v2.0二级菜单，其他原子能力菜单不可见。 系统策略 全局级 云等保日志审计 仅可查看、操作云等保专区日志审计菜单，包括v1.0，v2.0二级菜单，其他原子能力菜单不可见。 系统策略 全局级 云等保安全体检 仅可查看、操作云等保专区安全体检菜单，其他原子能力菜单不可见。 系统策略 全局级 部分v2.0原子能力需要单独配置原子能力IAM权限才可使用，具体请参考下表： 能力名称 参考链接 主机安全v2.0 主机安全v2.0权限管理 Web应用防火墙v2.0 Web应用防火墙v2.0权限管理 下一代防火墙v2.0 下一代防火墙v2.0权限管理 数据库审计v2.0 数据库审计v2.0权限管理 堡垒机v2.0 堡垒机v2.0权限管理

此小节介绍如何设置云堡垒机运维环境。 在使用堡垒机之前，您需要先下载运维工具及配置运维工具路径。 使用本地客户端方式运维资产，需要初始化本地终端环境设置，下载并设置访问插件。 使用限制 支持的运维终端操作系统、支持的运维客户端软件，请参见使用限制。 下载访问插件 1. 使用访问用户登录云堡垒机（原生版）控制台。 2. 在左侧导航栏选择“运维设置”，进入“运维设置”页面。 3. 单击页面右上角的“访问插件”按钮，根据实际操作环境选择插件下载。 配置运维工具 注意 仅Windows系统需要配置客户端路径，Mac系统无需配置。 仅Xshell、SecureCRT、DBeaver、Navicat、Filezilla、WinSCP需要配置路径后才可以使用，其他客户端工具无需配置。 1.在“运维设置”页面勾选需要使用的客户端工具，并单击“保存”。 2.若您配置的工具需要配置客户端路径，则单击页面右上角的“客户端路径配置”。 3.在弹出的对话框中选择需要配置客户端，选择客户端路径。

产品 版本升配说明 云安全中心 云安全中心不支持在云等保专区控制台升配，若需要升配，请参见 主机安全 主机安全v1.0当前不支持升配，可在同一VPC下购买新的配额。 主机安全v2.0支持升配版本 Web应用防火墙 若购买时未购买扩展包资源，则升配时不能对扩展包的数量进行升配。 若一个订单包含了多个WAF实例，则只能同时对该订单中的WAF实例进行升配，且只能升配到相同的配额。 云下一代防火墙 仅支持升配版本，不支持对数量进行调整。 堡垒机 堡垒机 v1.0仅支持升配规格，不支持对数量进行调整。 堡垒机 v2.0支持升配规格，支持存储扩容，不支持对数量进行调整。 漏洞扫描 仅支持升配规格，不支持对数量进行调整。 日志审计 日志审计v1.0仅支持升配规格，不支持对数量进行调整。 日志审计v2.0支持升配规格，支持存储扩容，不支持对数量进行调整。 数据库审计 数据库审计 v1.0仅支持升配规格，不支持对数量进行调整。 数据库审计 v2.0支持升配规格，支持存储扩容，不支持对数量进行调整。

接口功能介绍 修改堡垒机的安全组。 接口约束 天翼云用户。 URI POST /osm/v2/console/changeSecurityGroup 路径参数 无 Query参数 无 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 vmId 是 String 堡垒机id osm83489234 securityGroupIds 是 String 多个安全组id，以英文逗号隔开 secid1,secid2 响应参数 参数 参数类型 说明 示例 下级对象 error String 接口错误详情 statusCode String 接口请求状态码 00000表示成功，其他为失败 message String 请口操作结果说明 操作成功或失败说明 returnObj Object 返回对象 枚举参数 无 请求示例 请求url 无 请求头header 无 请求体body { "vmId": "700c065cbbd35b8aa07d551dba4a5141", "securityGroupIds":"secid1,secid2" } 响应示例 { "statusCode": "00000", "message": "操作成功", "returnObj":{} } 状态码 请参考 状态码 错误码 请参考 错误码

约束限制 目前仅X86版本云堡垒机支持应用运维，ARM版本云堡垒机不支持应用运维。 应用运维仅支持通过Web浏览器方式登录进行运维。 支持复制/粘贴大量字符不乱码，本地到远端最多8万字符，远端到本地最多100万字节。 文件管理 不支持批量编辑文件或文件夹。 文件传输 系统默认支持上传最大100G的单个文件，但实际上传单个文件大小，受“个人网盘空间”大小和使用浏览器限制。 不支持下载文件夹。 应用运维的目标地址只有“主机网盘”。 前提条件 已获取“应用运维”模块管理权限。 已获取资源控制权限，即已被关联访问控制策略或提交的访问授权工单已审批通过。 应用发布服务器网络连接正常，且资源账户登录帐号和密码无误。 操作步骤 1 登录云堡垒机系统。 2 选择“运维>应用运维”，进入应用运维列表页面。 3 单击“登录”，登录会话进行操作。 会话操作说明 参数 说明 :: 复制/粘贴 远程文本：选中字符， 需按两次“Ctrl+C”复制按“Ctrl+V”粘贴。 远程机器文件：选中文本或图像，“Ctrl+B”复制，“Ctrl+G”粘贴。 说明：Web浏览器运维支持复制/粘贴大量字符不乱码，本地到远端最多8万字符，远端到本地最多100万字节。 分辨率 可切换当前操作界面分辨率，切换途中会重新创建连接。 切换鼠标 可分别切换为本地鼠标和远程鼠标。 Windows键 适用于Win快捷键操作。 锁屏键 “Ctrl+Alt+Delete” 复制窗口 可复制当前会话窗口。 全屏 可开启窗口全屏。 4 协同分享，可邀请同事参与此会话，一同进行操作。 单击“协同分享”，展开协同会话界面。 邀请同事参与会话，单击“邀请好友进入此会话”，弹出邀请链接窗口。 邀请协同会话 此链接可复制发送给多人。 复制链接，发送给拥有云堡垒机帐户权限的用户。 受邀用户登录云堡垒机，打开新的浏览器窗口，粘贴链接。 协同会话信息 单击“立即进入”参与会话操作。 会话操作管理说明 参数 说明 :: 申请控制权 可以向会话邀请者发申请控制权，邀请者同意后，可以操作此会话。 退出会话 退出此会话。 5 通过文件传输，可对主机网盘中文件进行上传或下载，详细说明请参见10.1.7文件传输。 单击“文件传输”，对系统个人网盘文件或文件夹进行管理。 6 通过文件管理，可对主机网盘中文件或文件夹进行管理。 单击“文件传输”，展开文件传输界面。 单击可以新建文件夹。 勾选一个或多个文件或文件夹，单击删除图标，可删除文件或文件夹。 勾选一个文件或文件夹，单击编辑图标，可修改文件或文件夹名称。 单击刷新图标，可刷新全部文件目录。

本章节主要介绍天翼云物理机的成本优势、性能优势、安全可靠、高效部署、快速响应、灵活组网、高可靠存储等。 成本优越 天翼云物理机： 以租用的方式提供，与公有云产品无缝连接，高可用，易扩展，只需支付实例费用，免安装免运维，无需投入大量资金。 传统IDC物理机： 功能单一，扩展性差，需投入大量人力成本和物料成本，包括服务器、系统、数据库等软硬件费用，及机房机柜费用和运维成本。 性能卓越 采用市场主流硬件设备，并继承传统物理服务器特性，为用户提供专属的物理机稳定性能，无虚拟化开销和性能损失，100%释放算力资源。 结合天翼云全新分布式4.0架构，基于深度学习智能调度引擎，超大规模部署，支持高带宽、低时延云存储、云网络访问性能，带宽最高可达10Gbits，时延低至25us等；满足企业数据库、大数据、容器、HPC、AI等关键业务部署密度和性能诉求。 安全可靠 不同用户全面资源隔离，用户独享计算资源，数据安全有保障。 支持VPC、安全组隔离；支持主机安全相关组件集成。 支持云磁盘作为系统盘和数据盘，支持硬盘备份恢复能力；支持对接专属存储，满足企业数据安全和监管的业务安全和可靠性诉求。

此小节介绍云堡垒机应用场景。 中小企业资产运维 场景说明 中小企业运维投入资源相对较少，运维管理流程规范度较低，运维人员可能会因为无意操作造成数据丢失、业务故障等，黑客也可能远程进入主机之后进行有意的数据窃取、数据篡改等。 针对资产数量少，运维并发低及可靠性需求不高的小型企业，提供轻量级堡垒机实例，实现运维用户双因子认证、云上资产统一运维审计，满足等保合规测评要求。 产品优势 快速开通使用：一键开通，即开即用，方便快捷。 小规格成本更低：按设备数包年包月，最低支持20资产小规格，成本更低。 运维高效快捷：提供web及客户端运维两种方式，兼顾便捷性和专业性。 安全合规：满足等保测评要求，助力企业运维安全治理。 中大型企业多人运维场景 场景说明 政务、金融及大型央国企运维存在账户重复授权、交叉使用、授权范围过大等问题，面对大量主机资源、系统特权账户，如何做好运维安全治理，防止因账户管理不善导致数据泄漏是非常具有挑战性的问题。 针对资产数量大，运维用户多，可靠性要求高的中大型企业，提供企业版堡垒机，提供双因子认证、资产账密管理、运维审计、高危命令阻断等能力，满足企业运维安全治理需求。

此小节介绍云堡垒机用户组管理。 多个用户加入一个“用户组”形成用户群组，通过对用户组授权可对用户进行批量授权。 仅“管理角色”，可管理用户组，包括新建用户组、编辑用户组、删除用户组等。 新增用户组 1. 使用“管理角色”账号登录云堡垒机。 2. 在左侧导航栏选择“用户管理 > 用户组”，进入“用户组”模块。 3. 单击“新增”，在弹出的“新增用户组”对话框中，填写用户信息。 参数 参数说明 用户组名 自定义用户组名。 用户 选择用户，新增用户操作请参见：用户章节。 描述 自定义用户组的描述。 后续操作 编辑用户组：选择需要修改的用户组，单击“操作”列的“编辑”，按照需求进行用户组数据的修改，单击“提交”完成用户组数据更新。 说明 同级间用户组名称不能重名。 删除用户组：选择需要删除的用户组，单击“操作”列的“删除”，在弹出的对话框中单击“确认”完成删除。 说明 关联用户的组不允许删除 非叶子节点不可删除

本小节介绍如何审计运维操作。 系统用户登录堡垒机并对已授权资产进行运维操作，管理员在堡垒机上可以查看到会话详情并播放运维录屏，实时监控运维会话并且可以中断高危风险会话。 前置条件 用户完成资产运维 登录授权的审计管理员账号或管理员账号。 操作步骤 1. 使用“管理员账号”或“审计管理员”登录云堡垒机系统。 说明 若使用管理员账号登录，需在页面右上角将角色身份切换到“审计角色”。 2. 在左侧导航栏，选择“会话日志 > 字符审计”。 3. 设置搜索条件，单击查询，可快速检索到想要审计的会话记录。 4. 通过查看按钮，查看用户的详细操作记录。 5. 通过播放按钮，可在线实时审计或回放用户的操作行为。

本小节介绍如何审计运维操作。 系统用户登录堡垒机并对已授权资产进行运维操作，管理员在堡垒机上可以查看到会话详情并播放运维录屏，实时监控运维会话并且可以中断高危风险会话。 前置条件 用户完成资产运维； 登录授权的审计管理员账号。 操作步骤 1. 使用“管理员账号”或“审计管理员”登录云堡垒机系统。 说明 若使用管理员账号登录，需在页面右上角将角色身份切换到“审计角色”。 2. 在左侧导航栏，选择“会话日志 > 字符审计”。 3. 设置搜索条件，单击查询，可快速检索到想要审计的会话记录。 4. 通过查看按钮，查看用户的详细操作记录。 5. 通过播放按钮，可在线实时审计或回放用户的操作行为。

CBH接入 LTS支持云堡垒机（CBH）日志接入，具体接入方法请参见配置LTS日志外发服务。

本章节主要介绍翼MapReduce服务的产品定义、架构与优势。 产品定义 翼MapReduce（简称：“翼MR”），是基于当前开源新版本大数据组件进行产品化封装，可以为客户提供快速部署、便捷维护的HDFS、YARN、Spark、Flink、Hive、Doris、Kafka、HBase等高性能的大数据组件以及运维管理平台，同时产品默认提供强安全验证能力，具备高安全、高扩展、快捷运维等特色，支持批量数据处理、流式数据处理、离线数据分析、在线查询等场景。 产品架构 翼MR集群各个版本组件情况请参见版本概述。 详见下图：翼MR架构图 翼MR架构包括了基础设施和大数据处理流程各个阶段的能力。 ● 基础设施 基于天翼云弹性云主机CTECS构建的大数据集群，整体集群的高可靠和高安全能力可以得到虚拟化底层的充分保证。 虚拟私有云（CTVPC）为每个租户提供虚拟的内部网络，默认与其他网络隔离，同时通过配套的安全组访问控制确保网络层面的安全性。 云硬盘（CTEVS）提供不同规格和性能表现的高可靠存储能力。 弹性云主机（CTECS）提供的弹性可扩展虚拟服务器，结合上述的CTVPC、安全组、CTEVS数据多副本和灾备能力为客户打造一个高效、可靠、安全的业务集群环境。 物理机服务（CTDPS）是基于天翼云软硬结合技术研发的一款拥有极致性能的裸金属服务器，兼具云主机的灵活弹性、物理机的稳定，提供算力强劲的计算类服务，提供专属的云上物理服务器，为大数据、核心数据库、高性能计算等业务提供服务稳定、数据安全、性能卓越的算力服务。 ● 数据集成 数据集成层提供了客户的数据集成进翼MR集群的能力，包括：Kafka、Logstash、SeaTunnel、Flume，支持各种数据源导入数据到翼MR大数据集群中。 ● 数据存储 翼MR支持结构化和非结构化数据在集群中的存储，并且支持多种高效的格式来满 足不同计算引擎的要求。 – HDFS是大数据上通用的分布式文件系统。 – Doris是实时数据仓库服务，具有高并发、低延迟的特点。 – HBase支持带索引的数据存储，适合高性能基于索引查询的场景。 – Elasticsearch支持结构化/非结构化数据的检索、分析场景。 ● 数据调度和计算处理 – 翼MR提供多种主流计算引擎：MapReduce（批处理）、 Spark（内存计算）、Flink（流计算），满足多种离线或实时大数据应用场景，将数据进行结构和逻辑的转换，转化成满足业务目标的数据模型。 – 基于预设的数据模型，使用易用SQL的数据分析，用户可以选择Hive（数据仓库），SparkSQL以及Trino交互式查询引擎。 ● 翼MR Manager 为确保大数据组件服务的高可用性，以Hadoop为基础的大数据生态的各种组件均需要以分布式的方式进行部署，涉及其中的部署、管理和运维复杂度要求较高。翼MR提供了统一的运维管理平台翼MR Manager，包括可视化引导式部署集群能力。同时翼MR Manager还提供了租户与资源管理能力，以及翼MR中各类大数据组件的运维，并提供监控、告警、配置等一站式运维能力。

本节介绍如何购买云安全中心实例。 云安全中心支持包年/包月计费方式，目前提供标准版的主资源，两种扩展资源：日志分析量、态势大屏。您可以根据业务规模选择云安全中心规格。 前提条件 已注册天翼云账号并完成实名认证。 规格限制 态势大屏只可购买一次。 日志分析量扩展资源的购买资源最小单位为50G，即购买时只能选择50G的整数倍。 约束条件 同一账号在同一个区域只能开通一个云安全中心实例，对应一个服务版本。 开通云安全中心实例，必须购买主资源，主资源生效期间，支持叠加购买扩展资源，扩展资源与主资源绑定，到期时间与主资源一致，不支持单独续订、退订。 适用场景 用户购买了天翼云上的安全服务“Web应用防火墙（原生版）、服务器安全卫士（原生版）、云等保专区、数据库审计、云堡垒机（原生版）企业版、云防火墙（原生版）”并部署在天翼云上。 操作步骤 1. 登录天翼云控制中心。 2. 在控制台列表页，选择“安全 > 云安全中心”，进入云安全中心控制台。 3. 单击“立即购买”，进入购买页面。 4. 选择版本信息、扩展资源、购买时长。 参数 说明 基本信息 版本选择 支持“标准版”。规格详情请参见产品规格。 基本信息 计费模式 支持“包年包月”。 扩展配置 购买态势大屏 默认为“现在购买”，也可以选择“暂不购买”。 说明 态势大屏只可购买一次。 扩展配置 购买日志分析量 默认为“现在购买”，也可以选择“暂不购买”。 说明 云安全中心标准版免费提供50G的日志分析额度，如果您需要额外的额度，请另外购买。 日志分析量扩展资源的购买资源最小单位为50G，即购买时只能选择50G的整数倍。 订购 购买时长 拖动时间轴设置购买时长。 订购 自动续订 开启“自动续订”后，当服务到期前，系统会自动按照默认的续费周期生成续费订单并进行续费，无须用户手动续费。 按月购买，自动续费周期默认为3个月。 按年购买，自动续费周期默认为1年。 如需要修改自动续费周期，可进入天翼云“费用中心 > 订单管理 > 续订管理”页面，找到对应的资源进行修改。 5. 确认配置参数和配置费用，阅读《云安全中心服务协议》并勾选“我已阅读，理解并接受《云安全中心服务协议》”，单击“立即购买”。 6. 进入“付款”页面，完成付款。

此小节介绍云堡垒机的运维任务。 支持分步骤同时对多个SSH协议资源批量执行多种运维操作，可同时运维操作包括执行命令、执行脚本、传输文件。 新建运维任务 云堡垒机支持自动运维任务功能，用户可按步骤自动执行命令和脚本方式运维多个目标资源，并可设置自动执行步骤将系统磁盘文件或本地文件快速上传到多个目标主机路径。此外，可设置执行周期和时间定期执行任务，并可同时执行多种任务步骤类型，实现多台资源设备自动化运维，提高运维效率。 运维任务执行后，按照步骤顺序依次自动执行操作，并返回执行结果。 约束限制 仅专业版云堡垒机支持快速运维功能。 仅支持对Linux主机（SSH协议类型）资源执行自动运维任务。 暂不支持对Windows主机资源、数据库资源和应用资源执行自动运维任务。 运维任务仅能由个人帐户管理，不能被系统内其他用户管理。 前提条件 已获取“运维任务”模块管理权限。 已获取资源访问控制权限，即已配置访问控制策略或访问授权工单已审批通过。 资源主机网络连接正常。 操作步骤 1 登录云堡垒机系统。 2 选择“运维 > 运维任务 > 任务列表”，进入运维任务列表页面。 3 单击“新建”，弹出新建运维任务窗口。 4 配置任务基本信息。 运维任务基本信息参数说明 参数 说明 :: 任务名称 自定义的运维任务名称，系统内“任务名称”不能重复。 执行方式 选择运维任务执行的方式，包括“手动执行”、“定时执行”、“周期执行”。 “定时执行”和“周期执行”需同时配置动作执行时间或周期。 手动执行：手动触发执行任务。 定时执行：定期自动触发执行任务。仅执行一次。 周期执行：周期自动触发执行任务。可按周期执行多次。 执行时间 定期执行任务的日期。默认执行时刻为日期的凌晨零点。 执行周期 执行周期同步，需输入任务执行周期。 可选择每分钟、每小时、每天、每周、每月。 需同时选择“结束时间”，否则将无限期按周期执行任务。 更多选项 （可选）用户对资源账户执行任务权限不够时，需勾选上“提权执行”，用户需在该主机资源的Sudoers文件下执行任务。 任务描述 简要描述运维任务信息。 5 单击“下一步”，配置执行帐户或帐户组，选择已创建的SSH协议类型资源账户或帐户组。 配置执行资源账户 6 单击“下一步”，配置任务步骤。 单击“添加任务步骤”，选择添加任务类型“执行命令”、“执行脚本”或“传输文件”。 选择一个或多个任务类型，并配置任务参数。 运维任务步骤数不限制，一个任务可添加多个执行步骤。 7 单击“确定”，返回任务列表页面，查看新建的运维任务。 任务执行完成后，可以下载执行日志，获取任务执行结果。

此小节介绍变更堡垒机规格准备事项。 确认变更规格前系统环境 在变更规格前，需确认并记录当前系统版本信息和授权规格，包括“版本号”、“设备系统”、“授权资源数”和“授权资源并发连接数”。 步骤 1 登录云堡垒机系统。 步骤 2 确认和记录系统版本。 选择“系统 > 关于系统”，查看系统版本信息。 记录“版本号”和“设备系统”。 说明 “设备系统”为V3.2.16.0及以上，才能变更规格系统到专业版 ，否则请先升级系统版本。 步骤 3 确认和记录授权信息。 1. 选择“系统 > 系统维护 > 授权许可”，查看当前授权规格。 2. 记录“授权资源数”和“授权资源并发连接数”。 备份系统数据 为避免因变更规格失败而导致系统数据丢失，变更规格前请务必备份重要系统数据，包括系统配置、资源账户、审计日志等重要数据。 备份系统配置 通过备份和还原系统配置数据，可复用变更规格前系统配置数据。 系统配置文件包括部门、用户、资源、策略、工单、运维、审计和系统模块的全部配置数据。 步骤 1 登录云堡垒机系统。 步骤 2 选择“系统 > 系统维护 > 配置备份与还原”。 步骤 3 单击“新建”创建备份，备份系统配置数据。 步骤 4 单击“下载”，导出系统配置文件保存于本地。

前提条件 已为用户帐号配置手机号码，且用户手机号码可用。 云堡垒机实例安全组必须已放开短信网关IP和10743、443端口，系统才能够访问短信网关。 发送短信验证码的频率未超过要求限制。 系统短信网关配置为“内置”时，手机短信验证码针对单个帐号发送频率有以下限制： 1分钟内发送短信不超过1条； 1小时内发送短信不超过5条 ； 1天内发送短信不超过15条。 配置手机短信认证 1 管理员登录云堡垒机系统。 2 选择“用户 > 用户管理”。 3 单击待修改的用户登录名，或者单击相应“管理”，进入“用户详情”页面。 4 单击“用户配置”区域的“编辑”，修改用户的登录配置。 5 配置“多因子认证”为“手机短信”。 6 单击“确认”，完成用户“手机短信”双因子认证配置。 手机短信方式登录 修改认证配置后，用户进入云堡垒机系统登录Web页面或SSH客户端登录界面，选择“手机短信”认证方式，输入登“录名”和用户帐号绑定手机号，获取短信验证码登录。 如何取消手机短信方式登录认证？ 当用户短信网关故障，无法通过手机短信方式登录，可由管理员取消“手机短信”多因子认证配置。 若admin用户配置了“手机短信”多因子认证，无法登录系统取消多因子认证配置，请联系技术支持。 前提条件 管理员已获取“用户”模块操作权限。 操作步骤 1 登录云堡垒机系统。 2 选择“用户 > 用户管理”，进入用户列表页面。 3 勾选待修改配置的用户帐号，单击左下角“更多”，展开批量操作项。 4 单击“修改多因子认证”，弹出多因子认证修改窗口。 5 去掉勾选“手机短信”多因子认证方式。 6 单击“确定”，即关闭了目标用户“手机短信”认证方式。 配置了手机令牌登录，但未绑定手机令牌怎么办？ 当系统管理员admin设置了开启手机令牌登录，但是没有绑定手机令牌时，可提工单反馈，技术支持人员收到反馈后，重置admin登录验证为初始状态，而不改变系统其它配置。 当系统非admin用户未绑定手机令牌时，系统管理员admin可为目标用户修改登录“多因子认证”方式。 绑定了手机令牌，却不能登录怎么办？

此小节介绍云堡垒机字符命令授权管理。 命令控制策略用于控制用户访问资源的关键操作权限，实现Linux主机运维操作的细粒度控制。 针对SSH和Telnet字符协议主机，根据管理员配置的策略限制，云堡垒机对用户运维过程中执行的命令进行审计和过滤，并返回审计的命令、过滤结果和命令返回的内容，用于会话操作记录、拒绝使用等动作。 命令控制策略支持以下功能项： 支持按策略列表页策略排序区分优先级，排序越靠前优先级越高（优先级可选1100）。 支持控制允许执行、拒绝执行、警告三种命令动作。 允许：触发该策略规则后，放行命令操作。默认允许执行所有操作。 拒绝：触发该策略规则后，拒绝执行该命令，界面会提示您在执行命令时会得到该命令不能执行的提示。 警告：触发该策略规则后，警告运维用户谨慎执行该命令。 新增命令组 您在新增字符命令授权前需要进行新增命令组的操作。 1.使用“管理角色”账户登录云堡垒机（原生版）控制台。 2.在左侧导航栏选择“授权管理 > 字符命令授权”，进入“命令授权”页面。 3.在页面上面选择“命令组”页签，单击“新增”，开始新增命令组。 参数 参数说明 取值样例 名称 自定义命令组的名称。 Test 匹配方式 支持正则匹配和单命令匹配。 单命令匹配 命令 （仅选择单命令匹配填写）填写命令 /rm 命令正则式 填写命令规则的正则表达式。 enw 风险等级 选择该命令组的风险等级，共可选5个等级。 普通 动作 选择该命令组中的命令触发时产生的动作： 允许：触发该策略规则后，放行命令操作。默认允许执行所有操作。 拒绝：触发该策略规则后，拒绝执行该命令，界面会提示您在执行命令时会得到该命令不能执行的提示。 警告：触发该策略规则后，警告运维用户谨慎执行该命令。 拒绝 说明 提示符、命令采用正则表达式书写； 命令匹配上多条策略时，动作执行优先级“警告”>“允许”>“拒绝"，若未匹配上任何策略则放行。

此小节介绍云堡垒机管理消息与新建系统公告。 消息中心是系统内各类消息接收提示管理中心。系统公告是对系统用户广播系统内重大变更的消息提醒。 管理消息列表 消息中心小窗可呈现最新三条未读消息。任务执行完成后，则可在任务中心查看全部任务。 消息类型共有5种，分别包括系统消息、业务消息、任务消息、命令告警、工单消息。 消息级别共有3种，分别包括“高”、“中”、“低”，消息级别越高代表消息重要程度越高。 本小节主要介绍如何在消息中心查看、删除、标记消息。 查看消息提醒 1. 登录云堡垒机系统。 2. 单击右上角，展开消息中心小窗口， 可查看最新三条未读消息。 3. 单击“查看更多”，进入消息中心列表页面。 4. 查询消息，在搜索框中输入关键字，根据消息标题内容快速查询消息。 5. 查看消息列表。消息按发生时间顺序倒序排列，可查看全部已读、未读的消息 。 6. 查看消息详情。单击目标消息名称，进入消息详情页面。 删除消息提醒 1. 登录云堡垒机系统。 2. 单击右上角，展开消息中心小窗口，可查看最新三条未读消息。 3. 单击“查看更多”，进入消息中心列表页面。 4. 勾选一条或多条消息，单击左下角“删除”，弹出删除消息确认窗口。 5. 单击“确定”，即可立即删除选中消息。消息删除后不可找回，请谨慎操作。

配置有效期后，在到期前5天，每天会自动发送一次邮件提醒。 操作步骤 1、登录云堡垒机系统。 2、选择“系统 > 系统配置 > 安全配置”，进入系统安全配置管理页面。 3、在“用户有效期倒计时配置”模块的右侧，单击“编辑”，进入“用户有效期倒计时配置”页面。 4、输入用户密码，开启用户有效期倒计时开关状态。 5、单击“确定”，完成配置。

本章节主要介绍如何在天翼云物理机部署应用服务。 安装及启动Nginx 1. 输入yum install nginx命令安装Nginx，当需要确认时输入“y”确认。 2. 输入systemctl start nginx.service启动Nginx服务。 说明 此处以CentOS 7.3 64bit为例，其他操作系统的Nginx启动命令请您自行查阅。 3. 输入 wget ，测试Nginx服务。 访问Web默认页面 使用浏览器访问“