产品咨询 云堡垒机实例与云堡垒机系统的区别是什么？ 云堡垒机系统有哪些安全加固措施？ 资产数是什么？ 并发数是什么？ 云堡垒机支持IAM细粒度管理吗？ 云堡垒机支持统一管理企业ERP上云、SAP上云等业务吗？ 自动化运维包括哪些内容？ 如何获取企业协议号码？ 使用云堡垒机时需要配置哪些端口？

身份管理 云堡垒机主账号通过本地认证、AD认证、RADIUS认证等多种认证方式，将主账号与实际用户身份一一对应，确保行为审计的一致性，从而准确定位事故责任人，弥补传统网络安全审计产品无法准确定位用户身份的缺陷。 父主题： 产品功能

资源账户，即未配置主机或应用账户名和密码。 运维人员访问资源时，需要输入主机或应用的账户名和相应密码登录资源。 提权登录 纳管资源创建了“特权账户”，普通资源账户可设置提权登录。 运维人员访问资源时，通过普通资源账户登录，将自动切换到提权的资源账户，此时普通资源账户可拥有提权后账户的访问操作权限。

云堡垒机支持备份哪些系统数据？ 为加强对数据的容灾管理，云堡垒机支持手动备份和自动备份，提高审计数据安全性和系统可扩展性。 版本升级前，如何备份云堡垒机系统中的数据，请参考版本升级前，如何备份云堡垒机系统中数据？。 手动备份 通过手动导出/下载各功能模块数据文件保存在本地，可手动备份日志请参见表1。

集中管控 通过定制集中的访问控制策略，帮助企业梳理用户与资源的关系，并且提供一对一、一对多、多对一、多对多的灵活授权模式。云堡垒机提供的访问控制策略，不仅实现了将资源授权给用户，也实现了功能权限的精细化控制，最大程度地降低越权操作的可能。 父主题： 产品功能

返回主机资源账户配置页面，或进入资源账户详情页面，修改主机资源账户密码。 原因三： 重启相应主机资源，检查主机资源网络状况。 登录云堡垒机系统，网络诊断验证云堡垒机与主机资源之间的网络连接情况。 如果通过上述解决办法，主机资源账户仍然验证不通过，请单击管理控制台右上方的“工单”，填写工单信息反馈问题现象，联系技术支持。

云堡垒机系统有哪些安全加固措施？ 云堡垒机有完整的安全生命周期管理，从系统开发过程的安全编码规范，到经过严格安全漏洞扫描、渗透测试等安全性测试，并通过了公安部门的安全检测，符合“网络安全法”等法律法规，满足合规性规范审查要求，达到信息安全等级评定Ⅲ级标准。 系统数据安全 登录安全

请参考告警配置。 原因二： 在云堡垒机管理控制台“重启”云堡垒机实例，检查故障是否解决。若不能解决，需“升级”云堡垒机到最新版本，并根据实际需求进行规格变更。 原因三： 更换浏览器或升级浏览器版本，Web登录推荐使用浏览器及版本，请参见登录云堡垒机系统。 原因四： 若因安全组配置

资源添加类 如何创建云堡垒机数据库运维？ 如何通过云堡垒机纳管RDS数据库？ 如何修改系统资源账户密码？ 如何设置提权登录资源账户？ 如何设置云堡垒机资源标签？ 如何批量导入/导出主机资源？ 导入云主机的访问密钥AK/SK是什么？如何获取？ 系统资源账户有哪些状态？ 系统资源标签可以共用吗？

输入系统管理员admin登录密码。 单击“确认”，验证通过后即可重启系统。 关闭系统。 建议通过实例侧关闭系统，详细操作请参见关闭实例。 单击“关机”，弹出关机确认窗口。 单击“确认”，弹出管理员确认窗口。 输入系统管理员admin登录密码。 单击“确认”，验证通过后即可关闭系统。 恢复出厂设置。 单击“恢复出厂设置”，弹出确认窗口。

在运维工作中，每天都有不同的人在操作和维护主机，无法得知运维人员在资源中具体做了什么操作、是否有违规或误操作。即便有基础的审计，大多也是通过网络设备和操作系统的系统日志进行监控审计。由于各系统自身审计日志分散，且内容粒度深浅不一，因此，难以通过系统自身审计及时发现违规操作并进行追查取

资源改密 在传统的运维模式下，管理员需要定期手动修改资源账户的密码，同时维护起来也比较繁琐。如图1所示，通过云堡垒机提供的改密策略，实现自动化的改密，并且以日志形式记录改密执行结果，让管理员掌握资源的改密动态和历史密码。 图1 资源改密策略设置示意 父主题： 产品功能

如何重置云堡垒机用户登录密码？ 所有用户首次登录云堡垒机系统时，请务必根据提示绑定手机号，以便忘记密码后重置密码。 admin账号忘记密码，请参见admin帐号重置密码。 已登录过云堡垒机且配置了手机号码的帐号忘记了密码，请参见登录页面重置密码。 普通用户忘记了密码，且不记得配置

当用户登录主机失败时，可通过网络诊断来判断云堡垒机系统与主机网络是否可达。 对主机地址进行ping诊断，判断云堡垒机系统与主机的ICMP协议是否可通信。 对主机地址进行路由追踪，判断云堡垒机系统与主机之间路由是否可达。 对主机地址进行TCP端口诊断，判断云堡垒机系统与主机之间的TCP协议端口是否可达。

，详情请参见EIP计费说明。 说明： 为确保云堡垒机系统的正常部署和使用，在付费购买云堡垒机实例后，以及云堡垒机实例使用期间，请保持绑定的EIP可用。 为正常使用应用发布功能，在通过应用发布管理资源前，需另行购买Windows类型主机、镜像、企业授权码、客户端License等资源，该部分资源费用不计入CBH计费项。

运维人员通过云堡垒机登录资源后，审计管理员将会实时收到会话记录。当监控到有违规或高危运维操作时，可通过实时会话阻断会话，阻止运维人员的进一步操作。 本小节主要介绍如何中断实时会话。 前提条件 已获取“实时会话”模块管理权限。 有正在进行中运维会话。 操作步骤 登录云堡垒机系统。 选择“审计

堡垒机。 客户在使用过程中，低概率出现无法通过192网段的VM访问堡垒机。 登录堡垒机检查网络配置，发现出现红框中的路由。 图1 检查网络配置 问题原因 客户的堡垒机未升级，使用的是3.3.26.0之前的版本，堡垒机3.3.26.0之前的版本存在缺陷。在堡垒机业务压力大的情况下，

管理会话视频 运维人员通过云堡垒机登录资源运维结束后，审计管理员将会收到历史会话记录。针对Linux命令审计、Windows操作审计全程录像记录，支持生成运维视频，并支持一键下载和删除视频管理。 约束限制 通过Web运维支持文本和视频审计。 通过SSH客户端运维、客户端文件传输和

应用运维 查看应用运维列表并设置资源标签 通过Web浏览器登录应用资源进行运维 父主题： 运维管理

云堡垒机实例时，建议配置云堡垒机实例与ECS等资源在同一区域同一VPC网络。此外，为降低网络时延，建议在配置实例区域的可用区时，选择与所选VPC同一区域和可用区。 同一区域不同VPC情况下，可通过对等连接打通两个VPC之间网络；跨区域情况下，可通过云连接（Cloud Connect）构建跨区域网络。

任何企业都需要安全运维管理和审计，故任何企业都需要云堡垒机。云堡垒机能适用于各种企业运维场景，特别针对企业员工数量复杂、企业资产数量繁杂、人员运维权限交叉、企业运维方式多样等场景。 严要求的审计合规场景 例如保险和金融行业，具有大量个人信息数据和金融资金操作行为，以及大量第三方机构代为运作，可能存在巨大违规操作、滥用职权等非法运作风险。

转”来自其他主机资源的文件。 登录云堡垒机系统。 选择“运维 > 主机运维”，选择目标Linux主机资源。 单击“登录”，跳转到Linux主机资源运维界面。 单击“文件传输”，默认进入Linux主机文件列表。 图1 Linux主机文件传输 上传文件到Linux主机。 单击上传图标

修改了如何设置云堡垒机资源标签？问答； 修改了云堡垒机系统登录异常怎么办？问答； 修改了云堡垒机登录主机资源异常怎么办？问答； 修改了云堡垒机主机运维不能拷贝文本怎么办？问答； 修改了云堡垒机如何续费？问答； 修改了“在创建的时候，新建角色为什么无法选择上级部门？”为在新建用户/资源时，为什么无法选择上级部门？。

异常 经过“验证”，账户或密码不正确，可能不能正常登录的资源账户，显示为“异常”状态。 未知 添加完资源账户后，未经过“验证”的资源账户，显示为“未知”状态。 云堡垒机自动巡检： 在每月的5号、15号和25号凌晨一点，对纳管的资源账户进行帐号巡检，通过检测资源账户的连通性，标记资源账户状态。

件。 登录云堡垒机系统。 选择“运维 > 主机运维”，选择目标Linux主机资源。 单击“登录”，跳转到Linux主机资源运维界面。 单击“文件传输”，默认进入Linux主机文件列表。 图1 Linux主机文件传输页面 上传文件到Linux主机。 单击上传图标，可选择“上传本地文

查看实时会话 运维人员通过云堡垒机登录资源后，审计管理员将会实时收到会话记录，通过实时会话查看正在进行的运维会话，以免运维违规操作造成损失。 本小节主要介绍如何查询和查看实时会话。 前提条件 已获取“实时会话”模块管理权限。 有正在进行中运维会话。 操作步骤 登录云堡垒机系统。 选择“审计

查看历史会话 运维人员通过云堡垒机登录资源运维结束后，审计管理员将会收到历史会话记录。通过历史会话记录，可查询详细的操作记录，在线审计历史会话。 约束限制 通过Web运维支持文本和视频审计。 通过SSH客户端运维、客户端文件传输和数据库运维仅支持文本审计，不支持视频审计。 不支持记录资源账户自动巡检的登录资源数据。

支持微信小程序和手机短信等多因子认证 云堡垒机主账号是获取目标资源访问权限的唯一账号。为了提高来源身份的可靠性，防止身份冒用，云堡垒机可以通过微信小程序手机令牌、手机短信、动态令牌、USBKEY等多因子认证方式，将主账号与实际用户身份一一对应，确保行为审计的一致性，从而准确定位事

多人审批：同级节点仅需一个审批人进行批准，即可通过审批。审批通过后，同级其他审批人也不会看到该工单。如果同级的任意一个审批人驳回，则审批不通过。 会签审批：同级节点所有审批人都审批通过，工单才进入下一级审批。任意一个审批人驳回，则审批不通过。 审批节点 设置节点审批人属性，需同时部门属性和角色属性。

本小节主要介绍如何查看当前系统基本信息。 前提条件 已获取“系统”模块管理权限。 操作步骤 登录云堡垒机系统。 选择“系统管理 > 关于系统”，进入系统信息页面。 查看系统基本信息。 表1 关于系统参数说明 参数 说明 产品名称 云堡垒机 产品ID 用户产品ID唯一认证码。 服务码 单击“查看”获取，主要用

手机令牌可用来生成动态口令的手机客户端软件。云堡垒机系统支持通过绑定手机令牌对用户登录进行多因子身份认证，用户配置“手机令牌”多因子认证后，需同时输入用户密码和6位手机令牌验证码，才能登录云堡垒机系统。更多详细说明，请参见配置手机令牌登录。 目前云堡垒机系统可选择

户等备份文件，重新加载还原系统配置。 导入系统配置文件 通过上传备份的系统配置文件，复用变更规格前系统配置数据，还原系统配置。 系统配置文件包括部门、用户、资源、策略、工单、运维、审计和系统模块的全部配置数据。 登录云堡垒机系统。 选择“系统 > 系统维护 > 配置备份与还原”。

如何设置云堡垒机登录安全锁？ 背景 CBH同一账户可以在同一台PC上的不同浏览器登录。 云堡垒机不支持同时登录同一用户账号。当同时登录同一用户账号时，“来源IP”将被锁定。 CBH目标是限制多人使用同一账号，同一账号专人使用，应该做到一个账号一人使用。 现象 为保障云堡垒机系统登录

手机令牌是可用来生成动态口令的手机客户端软件，云堡垒机系统支持通过手机令牌动态密码对用户登录身份进行认证。配置手机令牌认证后，登录系统需同时输入静态密码和6位手机令牌动态密码，才能通过身份认证。 若手机令牌失效无法登录，可选择重置admin登录方式，详情请参见重置admin登录方式。

通过Web浏览器运维，不能拷贝文本怎么办？ 无法复制/粘贴文本 问题现象 用户在主机运维会话界面，不能使用复制/粘贴功能。 可能原因 原因一：授权用户或主机资源未开启“剪切板”功能权限。 原因二：Windows主机中剪切板程序故障或假死。 解决办法 原因一 用户获取主机资源“剪切

如何批量导入/导出主机资源？ 批量导入 云堡垒机不支持批量创建主机资源，但可以通过主机“导入”的方式批量导入主机资源，包括通过Excel文件导入资源和通过云平台导入资源，详细参见主机管理的批量导入。 “从文件导入”的Excel文件需配置内容，包括名称、IP地址/域名、协议类型、端