CN114491452A - 面向云主机和云堡垒机实现云资源多账户权限管控的方法 - Google Patents
面向云主机和云堡垒机实现云资源多账户权限管控的方法 Download PDFInfo
- Publication number
- CN114491452A CN114491452A CN202210102956.7A CN202210102956A CN114491452A CN 114491452 A CN114491452 A CN 114491452A CN 202210102956 A CN202210102956 A CN 202210102956A CN 114491452 A CN114491452 A CN 114491452A
- Authority
- CN
- China
- Prior art keywords
- cloud
- computing platform
- account
- authority
- cloud computing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Automation & Control Theory (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及云计算及信息安全技术领域,具体涉及一种面向云主机和云堡垒机实现云资源多账户权限管控的方法。本发明通过构建适合云业务场景的堡垒机,打通云堡垒机与云计算平台的身份认证和权限管理,实现对云主机资源账户权限进行统一管理;通过建立自定义限制云租户的高危的命令过滤响应规则,加强云资源多账户权限管控;获取不同账户的类型后,通过对每个云租户的云主机操作系统权限的统一管控,保证不同账户类型的云租户登录时可以选择对应的账户类型进行登录。本发明还提供对应的装置,解决了传统堡垒机存在的门槛高、时效性低的问题的同时,在云租户权限变更后,可直接通过云计算平台登入云主机的对应云账户,实现云计算平台的高效管控。
Description
技术领域
本发明涉及云计算以及信息安全技术领域,具体涉及一种面向云主机和云堡垒机实现云资源多账户权限管控的方法。
背景技术
云主机是云计算在基础设施应用上的重要组成部分,位于云计算产业链金字塔底层,产品源自云计算平台。该平台整合了互联网应用三大核心要素:计算、存储、网络,面向用户提供公用化的互联网基础设施服务。云主机是一种类似VPS主机的虚拟化技术,VPS是采用虚拟软件,VZ或VM在一台主机上虚拟出多个类似独立主机的部分,能够实现单机多用户,每个部分都可以做单独的操作系统,管理方法同主机一样。而随着云主机云计算的发展的网络安全问题也不容忽视。
堡垒机作为云计算平台安全体系重要部件,堡垒机承担着在混合云环境下进行安全合规审计的关键作用,同时也面临许多问题:基础设施高度异构化、分布范围广;混合云中的云资源规模持续增长,需要堡垒机具备充分的可扩展性。
云计算平台的建设引入了大量不同类型的IT基础设施,包括企业内部的传统物理设备、虚拟化平台、私有云,以及公有云。传统堡垒机在资产接入和管理上,适配性和灵活性差,平台资源管理的难度高;另一方面,由于目前云计算平台采用多组织多租户模式,导致IT资产分布范围广,管理也相对分散,资产维护难度大。
云计算平台与传统堡垒机相对孤立,云计算平台租户所属云主机资源账户权限与云堡垒机权限难以联动,云计算平台租户角色发生变化,所属云资源进行调整后,需要同步在堡垒机上进行云主机资源账号权限调整,需要投入较高的人工成本。
云计算平台用户所属组织租户同,云主机资源账户权限也不同,云主机资源账户分权难以与堡垒机联动,云主机资源账户权限管控较为混乱,需要手动维护云计算平台与堡垒机两套系统,角色权限变更后手动维护存在人为误差因素,时效性差。云主机资源超级管理员用户(administrator/root)与应用用户(app)分权难以同步至堡垒机权限,手工维护存在时效性差,人为误差等问题。
发明内容
针对传统堡垒机存在需要人工维护的门槛高、时效性低的问题,以及云计算平台的基础设施高度异构化、分布散乱、用户杂乱,导致云计算平台的管控效率较低、安全隐患较多,本发明提供了一种面向云主机和堡垒机实现云资源多账户权限管控的方法。
本发明请求保护以下技术方案:
本发明提供了一种面向云主机和云堡垒机实现云资源多账户权限管控的方法,包括以下步骤:
S1构建适合云业务场景的堡垒机:通过开源堡垒机自身的开放的api接口,在云计算平台上构建了适合云业务场景的云堡垒机;
S2对接云计算平台:将构建后的所述云堡垒机与云计算平台的身份认证和权限管理进行对接;通过所述云计算平台将所有来自于云计算平台的云主机资源账户信息同步至所述云堡垒机,同时由所述云计算平台对云主机资源账户权限进行统一管理;
S3建立自定义命令过滤响应规则:建立高危命令操作的命令过滤响应规则,实现自动过滤高危命令操作,来加强云资源多账户权限管控,保障系统安全;
S4多账户权限管控:在所述云计算平台,对云租户的云主机操作系统的权限进行管控;获取多个账户类型的云租户的权限,并通过所述云计算平台联动获得与之对接后的所述堡垒机的对应的账户类型的权限,实现多个账户类型的云租户由云计算平台登录到云主机的Web终端时可以选择对应的账户类型进行登录;同时响应自定义命令过滤响应规则,自动过滤高危命令操作,保障系统安全。
进一步的,所述云堡垒机,除堡垒机系统本身可以提供的功能外,实现云计算平台与云堡垒机一体化的效果,将云堡垒机登录能力作为云计算平台服务之一提供给终端云租户。
优选的,所述云堡垒机采用分布式架构,支持多机房跨区域部署,支持横向扩展,无资产数量及并发限制。
进一步的,在所述步骤S2中,所述对云主机资源账户权限进行统一管理包括:云主机资源在云计算平台上的所有操作将通过云堡垒机统一身份认证和日志记录的基础上进行,上传/下载和复制/粘贴等权限控制能够更好地管控远程办公等场景下的安全运维风险,保证所有云主机的使用的安全性。
进一步的,在所述步骤S3中,所述高危命令操作包括:云租户登录系统后执行关机、重启、改密、提权、删除根目录等操作;
所述自定义命令过滤是指:云计算平台可以定义多种允许安全的可操作命令,或者定义一些危险的、不允许操作的命令,以此保证云租户无法通过堡垒机操作这些云主机,包括限制云租户登录系统后执行关机、重启、改密、提权、删除根目录等操作。
进一步的,所述不同的多个账户权限包括:在云计算平台中对所有云主机资源的管理信息进行收集和配置,通过云计算平台创建的云主机自动会有相应云资源信息;若非通过云计算平台创建的,存量云主机资源,可以通过配置管理信息的方式进行维护。
优选的,所述的多账户权限管控的方法支持异构操作系统;所述异构操作系统包括:Windows、Redhat、Centos、麒麟v10等。
本发明还提供了一种面向云主机和堡垒机实现云资源多账户权限管控装置,包括:
构建堡垒机模块:用于通过开源堡垒机自身的开放的api接口,在云计算平台上构建适合云业务场景的云堡垒机;
云计算平台对接模块:用于将构建后的所述云堡垒机与云计算平台的身份认证和权限管理进行对接;通过所述云计算平台将所有来自于云计算平台的云主机资源账户信息同步至所述云堡垒机,同时由所述云计算平台对云主机资源账户权限进行统一管理;
命令过滤模块:用于自动响应高危命令操作的命令过滤响应规则,实现自动过滤高危命令操作,来加强云资源多账户权限管控,保障系统安全;
多账户权限管控模块:用于在所述云计算平台,对云租户的云主机操作系统的权限进行管控;获得多个账户类型的云租户的权限,并通过所述云计算平台联动获得与之对接后的所述堡垒机的对应的账户类型的权限,实现多个账户类型的云租户由云计算平台登录到云主机的Web终端时可以选择对应的账户类型进行登录;同时通过调用所述命令过滤模块,响应自定义命令过滤响应规则,自动过滤高危命令操作,保障系统安全。
本发明还提供了一种电子装置,该装置包括存储器、处理器,所述存储器上存储有可在所述处理器上运行所述实现云资源多账户权限管控装置的配置程序,所述配置程序被所述处理器执行时可以实现所述的一种面向云主机和堡垒机实现云资源多账户权限管控的方法。
本发明还提供了一种计算机可读存储介质,其特征在于,所述计算机可读的存储介质上存储有所述实现云资源多账户权限管控装置的配置程序,所述配置程序可以被一个或多个处理器执行,以实现所述的一种面向云主机和堡垒机实现云资源多账户权限管控的方法。
与现有技术相比,本发明的优点在于:
通过云计算平台整与云堡垒无缝的对接,云主机资源在云计算平台上的所有操作将通过云堡垒机统一身份认证和日志记录的基础上进行,上传/下载和复制/粘贴等权限控制能够更好地管控远程办公等场景下的安全运维风险,保证所有云主机的使用的安全性。
通过云主机不同账户的权限控制保证用户登录到云主机的Web终端时可以选择超级管理员用户(administrator/root)或应用用户(app)进行登录,支持异构操作系统(Windows、Redhat、Centos、麒麟v10等)。除堡垒机系统本身可以提供的功能外,实现云计算平台+堡垒机一体化的效果,将堡垒机登录能力作为云计算平台服务之一提供给终端用户。
通过云计算平台与云堡垒机的对接,实现云资源多账户权限管控,根据云计算平台的云租户对云主机资源超级管理员用户(administrator/root)或应用用户(app)权限,联动堡垒机权限,实现云主机账户的分权,保证云计算平台租户对云主机资源超级管理员用户(administrator/root)或应用用户(app)的登录权限管控,同时可以通过联动云堡垒机的命令过滤功能,自定义限制用户登录系统后执行关机、重启、改密、提权、删除根目录等高危命令操作,加强云资源多账户权限管控,保障系统安全。
附图说明
图1.本发明提供的一种面向云主机和堡垒机实现云资源多账户权限管控的方法步骤。
图2.本发明提供的一种面向云主机和堡垒机实现云资源多账户权限管控的方法的配置程序模块图。
图3.本发明提供的一种面向云主机和堡垒机实现云资源多账户权限管控的方法的具体流程图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆益不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统,产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
为使本发明技术方案的优点更加清楚,下面结合附图和实施例对本发明做详细说明。
图1是本发明提供的一种面向云主机和堡垒机实现云资源多账户权限管控的方法步骤。如图1所示,本发明提供的一种面向云主机和云堡垒机实现云资源多账户权限管控的方法,其中,包括以下步骤:
步骤S1构建适合云业务场景的堡垒机:通过开源堡垒机自身的开放的api接口,在云计算平台上构建了适合云业务场景的云堡垒机。
在本实施例中,所述云堡垒机,除堡垒机系统本身可以提供的功能外,实现云计算平台与云堡垒机一体化的效果,将云堡垒机登录能力作为云计算平台服务之一提供给终端云租户。所述云堡垒机采用分布式架构,支持多机房跨区域部署,支持横向扩展,无资产数量及并发限制。
步骤S2对接云计算平台:将构建后的所述云堡垒机与云计算平台的身份认证和权限管理进行对接;通过所述云计算平台将所有来自于云计算平台的云主机资源账户信息同步至所述云堡垒机,同时由所述云计算平台对云主机资源账户权限进行统一管理。
在本实施例中,所述云计算平台通过与开源堡垒机的对接和功能开发,完成了云计算平台和云堡垒机的关于云主机资源信息和权限信息的自动同步;同时,通过打通两套系统的身份证和权限管理,统一管理访问授权关系以及访问账号信息,实现云计算平台与堡垒机的无缝衔接、云资源的纳管以及审计全方位管理。
这里所述的对云主机资源账户权限进行统一管理是指:云主机资源在云计算平台上的所有操作将通过云堡垒机统一身份认证和日志记录的基础上进行,上传/下载和复制/粘贴等权限控制能够更好地管控远程办公等场景下的安全运维风险,保证所有云主机的使用的安全性。
步骤S3建立自定义命令过滤响应规则:建立高危命令操作的命令过滤响应规则,实现自动过滤高危命令操作,来加强云资源多账户权限管控,保障系统安全。这里所述的高危命令操作包括:云租户登录系统后执行关机、重启、改密、提权、删除根目录等操作。
这里所述的自定义命令过滤是指:云计算平台可以定义多种允许安全的可操作命令,或者定义一些危险的、不允许操作的命令,以此保证云租户无法通过堡垒机操作这些云主机,包括限制云租户登录系统后执行关机、重启、改密、提权、删除根目录等操作。所述自定义是指通过云计算平台定义规范云租户操作权限,从而限制云主机账号的可执行操作,禁止用户执行关机、提权、改密等操作;所述云计算平台定义规范是指,平台可以定义多种允许安全的可操作命令,或者定义一些危险的、不允许操作的命令,以此保证云租户无法通过堡垒机操作这些云主机。
步骤S4多账户权限管控:在所述云计算平台,对云租户的云主机操作系统的权限进行管控;获取多个账户类型的云租户的权限,并通过所述云计算平台联动获得与之对接后的所述堡垒机的对应的账户类型的权限,实现多个账户类型的云租户由云计算平台登录到云主机的Web终端时可以选择对应的账户类型进行登录;同时响应自定义命令过滤响应规则,自动过滤高危命令操作,保障系统安全。
所述多个账户权限包括:在云计算平台中对所有云主机资源的管理信息进行收集和配置,通过云计算平台创建的云主机自动会有相应云资源信息;若非通过云计算平台创建的,存量云主机资源,可以通过配置管理信息的方式进行维护。
在本实施例中,通过对接后的所述云计算平台与云堡垒机,不再需要传统通过手动的方式来维护堡垒机,所有的云主机资源的信息均来自于云计算平台。云计算平台会将相关信息同步至堡垒机。云租户对应云主机资账户权限与所述云堡垒机可以联动,自动实现云主机资源多账户分权,即多账户管理:一个云主机具有多个账户,在云计算平台上,云租户根据其自身的权限,对于所管理的云主机具有不同权限的管理能力。例如:A租户可以管理A主机的root用户,但是A租户不可以管理A主机的app用户等。云计算平台租户根据自身工作空间权限,通过云计算平台堡垒机模块单点登录云堡垒机时,将根据自身权限选择对应的云主机的超级管理员用户(administrator/root)或应用用户(app),完成登录云主机。
图2是本发明提供的一种面向云主机和堡垒机实现云资源多账户权限管控的方法的配置程序模块图。如图2所示,本发明提供的一种面向云主机和堡垒机实现云资源多账户权限管控的装置,其中,包括:
构建堡垒机模块101:用于通过开源堡垒机自身的开放的api接口,在云计算平台上构建适合云业务场景的云堡垒机。
云计算平台对接模块102:用于将构建后的所述云堡垒机与云计算平台的身份认证和权限管理进行对接;通过所述云计算平台将所有来自于云计算平台的云主机资源账户信息同步至所述云堡垒机,同时由所述云计算平台对云主机资源账户权限进行统一管理。
命令过滤模块103:用于自动响应高危命令操作的命令过滤响应规则,实现自动过滤高危命令操作,来加强云资源多账户权限管控,保障系统安全。
在本实施例中,所述命令过滤模块103,用于实现统一的命令过滤功能,进一步加强多账户权限管控力度。可通过云计算平台定义规范租户操作权限,限制云主机账号的可执行操作,禁止用户执行关机、提权、改密等操作。用于云计算平台定义配置多种允许安全的可操作命令,或者定义一些危险的、不允许操作的命令,以此保证云租户无法通过堡垒机操作这些云主机。
多账户权限管控模块104:用于在所述云计算平台,对云租户的云主机操作系统的权限进行管控;获得多个账户类型的云租户的权限,并通过所述云计算平台联动获得与之对接后的所述堡垒机的对应的账户类型的权限,实现多个账户类型的云租户由云计算平台登录到云主机的Web终端时可以选择对应的账户类型进行登录;同时通过调用所述命令过滤模块,响应自定义命令过滤响应规则,自动过滤高危命令操作,保障系统安全。
图3是本发明提供的一种面向云主机和堡垒机实现云资源多账户权限管控的方法的具体流程图。在云计算平台上的权限管控过程中,获得多个账户类型的云租户的权限后,并通过所述云计算平台联动获得与之对接后的所述堡垒机的对应的账户类型的权限,实现多个账户类型的云租户由云计算平台登录到云主机的Web终端时可以选择对应的账户类型进行登录。例如,云租户登录云计算平台进入云租户自己的所属的工作空间,当利用堡垒机跳转云主机时,若是云租户有对应的权限则通过堡垒机登入云主机,若是没有相应的权限,则会返回至云计算平台的登录界面或被告知无权限登录。
其中,通过本发明中的技术方案,通过已经建立的功能模块来实现:将构建后的所述云堡垒机与云计算平台的身份认证和权限管理进行对接;所述云计算平台将所有来自于云计算平台的云主机资源账户信息同步至所述云堡垒机,同时由所述云计算平台对云主机资源账户权限进行统一管理。可以同步进行多账户密码改密等配置、云主机多账户权限变更等配置以及对于高危命令或触发其的配置,云平台将这些配置的信息下发至对接的堡垒机,同时完成统一身份认证管理。正常执行后,云租户会成功登入云主机。
同时通过调用所述命令过滤模块,响应自定义命令过滤响应规则,自动过滤高危命令操作,保障系统安全。若登入失败,则云计算平台中会启用异常分析功能,包括自动响应高危命令操作的命令过滤响应规则,实现自动过滤高危命令操作,进一步加强多账户权限管控力度。通过云计算平台定义规范租户操作权限,限制云主机账号的可执行操作,禁止用户执行关机、提权、改密等操作。云计算平台定义配置多种允许安全的可操作命令,或者定义一些危险的、不允许操作的命令,以此保证云租户无法通过堡垒机操作这些云主机。
本发明还提供了一种电子装置,该装置包括存储器、处理器,所述存储器上存储有可在所述处理器上运行如本实施例所述的装置的配置程序,所述配置程序被所述处理器执行时可以实现如本实施例所述的一种面向云主机和堡垒机实现云资源多账户权限管控的方法。
本发明还提供了一种计算机可读存储介质,其特征在于,所述计算机可读的存储介质上存储有如本实施例所述装置的配置程序,所述配置程序可以被一个或多个处理器执行,以实现如本实施例所述的一种面向云主机和堡垒机实现云资源多账户权限管控的方法。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (10)
1.一种面向云主机和云堡垒机实现云资源多账户权限管控的方法,其特征在于,包括以下步骤:
S1构建适合云业务场景的堡垒机:通过开源堡垒机自身的开放的api接口,在云计算平台上构建了适合云业务场景的云堡垒机;
S2对接云计算平台:将构建后的所述云堡垒机与云计算平台的身份认证和权限管理进行对接;通过所述云计算平台将所有来自于云计算平台的云主机资源账户信息同步至所述云堡垒机,同时由所述云计算平台对云主机资源账户权限进行统一管理;
S3建立自定义命令过滤响应规则:建立高危命令操作的命令过滤响应规则,实现自动过滤高危命令操作,来加强云资源多账户权限管控,保障系统安全;
S4多账户权限管控:在所述云计算平台,对云租户的云主机操作系统的权限进行管控;获取多个账户类型的云租户的权限,并通过所述云计算平台联动获得与之对接后的所述堡垒机的对应的账户类型的权限,实现多个账户类型的云租户由云计算平台登录到云主机的Web终端时可以选择对应的账户类型进行登录;同时响应自定义命令过滤响应规则,自动过滤高危命令操作,保障系统安全。
2.根据权利要求1所述的多账户权限管控的方法,其特征在于,所述云堡垒机,除堡垒机系统本身可以提供的功能外,实现云计算平台与云堡垒机一体化的效果,将云堡垒机登录能力作为云计算平台服务之一提供给终端云租户。
3.根据权利要求1所述的多账户权限管控的方法,其特征在于,所述云堡垒机采用分布式架构,支持多机房跨区域部署,支持横向扩展,无资产数量及并发限制。
4.根据权利要求1所述的多账户权限管控的方法,其特征在于,在所述步骤S2中,所述对云主机资源账户权限进行统一管理包括:云主机资源在云计算平台上的所有操作将通过云堡垒机统一身份认证和日志记录的基础上进行,上传/下载和复制/粘贴等权限控制能够更好地管控远程办公等场景下的安全运维风险,保证所有云主机的使用的安全性。
5.根据权利要求1所述的多账户权限管控的方法,其特征在于,
在所述步骤S3中,所述高危命令操作包括:云租户登录系统后执行关机、重启、改密、提权、删除根目录等操作;
所述自定义命令过滤是指:云计算平台可以定义多种允许安全的可操作命令,或者定义一些危险的、不允许操作的命令,以此保证云租户无法通过堡垒机操作这些云主机,包括限制云租户登录系统后执行关机、重启、改密、提权、删除根目录等操作。
6.根据权利要求1所述的多账户权限管控的方法,其特征在于,所述不同的多个账户权限包括:在云计算平台中对所有云主机资源的管理信息进行收集和配置,通过云计算平台创建的云主机自动会有相应云资源信息;若非通过云计算平台创建的,存量云主机资源,可以通过配置管理信息的方式进行维护。
7.根据权利要求1或6所述的多账户权限管控的方法,其特征在于,所述的多账户权限管控的方法支持异构操作系统;所述异构操作系统包括:Windows、Redhat、Centos、麒麟v10等。
8.一种面向云主机和堡垒机实现云资源多账户权限管控装置,其特征在于,包括:
构建堡垒机模块:用于通过开源堡垒机自身的开放的api接口,在云计算平台上构建适合云业务场景的云堡垒机;
云计算平台对接模块:用于将构建后的所述云堡垒机与云计算平台的身份认证和权限管理进行对接;通过所述云计算平台将所有来自于云计算平台的云主机资源账户信息同步至所述云堡垒机,同时由所述云计算平台对云主机资源账户权限进行统一管理;
命令过滤模块:用于自动响应高危命令操作的命令过滤响应规则,实现自动过滤高危命令操作,来加强云资源多账户权限管控,保障系统安全;
多账户权限管控模块:用于在所述云计算平台,对云租户的云主机操作系统的权限进行管控;获得多个账户类型的云租户的权限,并通过所述云计算平台联动获得与之对接后的所述堡垒机的对应的账户类型的权限,实现多个账户类型的云租户由云计算平台登录到云主机的Web终端时可以选择对应的账户类型进行登录;同时通过调用所述命令过滤模块,响应自定义命令过滤响应规则,自动过滤高危命令操作,保障系统安全。
9.一种电子装置,其特征在于,该装置包括存储器、处理器,所述存储器上存储有可在所述处理器上运行如权利要求8所述的装置的配置程序,所述配置程序被所述处理器执行时可以实现如权利要求1-7所述的一种面向云主机和堡垒机实现云资源多账户权限管控的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读的存储介质上存储有如权利要求8所述装置的配置程序,所述配置程序可以被一个或多个处理器执行,以实现如权利要求1-7所述的一种面向云主机和堡垒机实现云资源多账户权限管控的方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210102956.7A CN114491452A (zh) | 2022-01-27 | 2022-01-27 | 面向云主机和云堡垒机实现云资源多账户权限管控的方法 |
| PCT/CN2022/075110 WO2023142087A1 (zh) | 2022-01-27 | 2022-01-29 | 面向云主机和云堡垒机实现云资源多账户权限管控的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210102956.7A CN114491452A (zh) | 2022-01-27 | 2022-01-27 | 面向云主机和云堡垒机实现云资源多账户权限管控的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114491452A true CN114491452A (zh) | 2022-05-13 |
Family
ID=81477359
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210102956.7A Pending CN114491452A (zh) | 2022-01-27 | 2022-01-27 | 面向云主机和云堡垒机实现云资源多账户权限管控的方法 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN114491452A (zh) |
| WO (1) | WO2023142087A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114978670A (zh) * | 2022-05-19 | 2022-08-30 | 中国银行股份有限公司 | 一种基于堡垒机的身份认证方法及装置 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110913024B (zh) * | 2019-12-30 | 2022-02-01 | 中国联合网络通信集团有限公司 | 云平台信息同步方法、系统、控制设备及存储介质 |
| JP2023532297A (ja) * | 2020-06-29 | 2023-07-27 | イルミナ インコーポレイテッド | セキュアな発見フレームワークを介した一時的なクラウドプロバイダクレデンシャル |
| CN112398860A (zh) * | 2020-11-17 | 2021-02-23 | 珠海大横琴科技发展有限公司 | 一种安全控制的方法和装置 |
-
2022
- 2022-01-27 CN CN202210102956.7A patent/CN114491452A/zh active Pending
- 2022-01-29 WO PCT/CN2022/075110 patent/WO2023142087A1/zh unknown
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114978670A (zh) * | 2022-05-19 | 2022-08-30 | 中国银行股份有限公司 | 一种基于堡垒机的身份认证方法及装置 |
| CN114978670B (zh) * | 2022-05-19 | 2024-03-01 | 中国银行股份有限公司 | 一种基于堡垒机的身份认证方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2023142087A1 (zh) | 2023-08-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10523514B2 (en) | Secure cloud fabric to connect subnets in different network domains | |
| US8490150B2 (en) | System, method, and software for enforcing access control policy rules on utility computing virtualization in cloud computing systems | |
| CN102947797B (zh) | 使用横向扩展目录特征的在线服务访问控制 | |
| CN105991734B (zh) | 一种云平台管理方法及系统 | |
| US10148657B2 (en) | Techniques for workload spawning | |
| CN106411857B (zh) | 一种基于虚拟隔离机制的私有云gis服务访问控制方法 | |
| CN104717233B (zh) | 数据库部署方法和装置 | |
| US20110318011A1 (en) | Tenant isolation in a multi-tenant cloud system | |
| CN109981367B (zh) | 基于内网穿透的虚机paas服务管理的方法 | |
| CN111190730A (zh) | 异构云管理平台 | |
| KR20110040691A (ko) | 네트워크 자원들을 관리하는 장치 및 방법 | |
| EP3466014B1 (en) | Method and arrangement for configuring a secure domain in a network functions virtualization infrastructure | |
| WO2020135492A1 (zh) | 软件分层管理系统 | |
| CN111835820A (zh) | 一种实现云管理的系统及方法 | |
| CN111901154B (zh) | 基于nfv的安全架构系统和安全部署及安全威胁处理方法 | |
| CN110881039B (zh) | 一种云安全管理系统 | |
| CN113794578A (zh) | 一种基于云平台的通信网监控架构系统 | |
| CN104363306A (zh) | 一种企业私有云管理控制方法 | |
| CN114491452A (zh) | 面向云主机和云堡垒机实现云资源多账户权限管控的方法 | |
| CN114244651A (zh) | 一种基于云桌面的远程办公实现系统及方法 | |
| CN105120010B (zh) | 一种云环境下虚拟机防窃取方法 | |
| US11418515B2 (en) | Multi-vendor support for network access control policies | |
| CN111147429B (zh) | 一种项目研发环境部署系统 | |
| CN114995941A (zh) | 一种任务调度方法、装置及可读存储介质 | |
| CN116260732A (zh) | 一种多云统管的共享系统和方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |