机器人本地部署机器人代理安全
说明
本主题中的信息仅适用于使用本地部署机器人代理运行 ACL 机器人中的 ACL 脚本的组织。
拥有 ACL Robotics 专业版的个人和组织没有本地部署机器人代理。HighBond 机器人和工作流机器人中运行的 Python/HCL 脚本不使用机器人代理。
遵循本地部署机器人代理安全建议,以控制对装有机器人代理的服务器的访问,确保敏感数据的安全。
有关用户访问基于云的机器人应用程序的信息,请参阅机器人应用程序权限。
加密通信
您可以在本地使用 Analytics 打开与本地部署机器人代理一起存储的结果表和工作表。Analytics 和机器人代理之间的通信需要由密码保护的服务器配置文件。此外,数据传输还使用 AES-256 加密(Analytics/代理版本 19 或更高版本)或 Twofish-128(Analytics/代理版本 18 或更低版本)进行保护。
普通用户访问
作为一般性准则,您应该将机器人代理访问权限授予最少数量的必需帐户,并为其配置所需的最小权利和权限。
服务器管理
要使机器人代理服务器尽可能安全,请及时应用所有 Windows 操作系统升级和安全修补程序。
敏感安装信息
请保护与您的机器人代理安装有关的任何敏感信息。在安装过程中,如果您创建了任何包含敏感信息(如帐户凭据或配置设置)的文件,您应该将这些文件存储在安全位置。
允许列表 URL
要启用机器人代理与 Diligent One 平台之间的通信,您需要将某些平台 URL 添加到贵组织的网络允许列表中。
Diligent One 平台所有使用本地部署机器人代理的组织都需要允许其所在地区的通用 Diligent One 平台 URL。
HighBond API如果贵组织希望使用 ACL 机器人与 HighBond API 进行交互,则您需要允许自己所在地区的 HighBond API URL。
要确认您的 Diligent One 帐户所在区域,请打开平台主页选择平台设置 > 组织。您的地区出现在地区名称。
说明
Diligent One 平台当前处于双域名阶段,在此期间 diligentoneplatform.com 和 highbond.com 两个域名均受支持。highbond.com 域名计划将于 2026 年 7 月 31 日停用。如果您现在将这两个域名的 URL 添加到允许列表中,则可以避免将来可能出现的中断。有关更多信息,请参阅支持域名常见问题解答。
将 Diligent One 平台 URL 添加到允许列表中
将下面为端口 443 出站 指定的 Diligent One 平台 URL 添加到允许列表中。仅将您的 Diligent One 帐户所在区域的 URL 添加到允许列表。
注意
将端口 443 配置为仅出站流量。不允许入站流量。
| Diligent One 区域 | Diligent One 平台 URL |
|---|---|
北美(美国) AWS 名称:美国东部(北弗吉尼亚) |
|
非洲(南非) AWS 名称:非洲(开普敦) |
|
亚太地区(澳大利亚) AWS 名称:亚太地区(悉尼) |
|
亚太地区(日本) AWS 名称:亚太地区(东京) |
|
亚太地区(新加坡) AWS 名称:亚太地区(新加坡) |
|
欧洲(德国) AWS 名称:欧洲(法兰克福) |
|
欧洲(伦敦) AWS 名称:欧洲(伦敦) |
|
北美(加拿大) AWS 名称:加拿大(中部) |
|
南美洲(巴西) AWS 名称:南美洲(圣保罗) |
|
将 HighBond API URL 添加到允许列表中
如果贵组织希望使用 ACLScript 命令在项目应用程序或结果应用程序与 ACL 机器人之间传输数据,则需要将 HighBond API URL 添加到允许列表中。如果不需要在任一应用程序和 ACL 机器人之间传输数据,则您可以忽略此要求。
仅将您的 Diligent One 帐户所在区域的 URL 添加到允许列表。
有关 HighBond API 的更多信息,请参阅 HighBond API 参考。
| Diligent One 区域 | HighBond API URL |
|---|---|
北美(美国) AWS 名称:美国东部(北弗吉尼亚) |
说明 对于每个域,将这两个 URL 都添加到允许列表中。 |
非洲(南非) AWS 名称:非洲(开普敦) |
|
亚太地区(澳大利亚) AWS 名称:亚太地区(悉尼) |
|
亚太地区(日本) AWS 名称:亚太地区(东京) |
|
亚太地区(新加坡) AWS 名称:亚太地区(新加坡) |
|
欧洲(德国) AWS 名称:欧洲(法兰克福) |
|
欧洲(伦敦) AWS 名称:欧洲(伦敦) |
|
北美(加拿大) AWS 名称:加拿大(中部) |
|
南美洲(巴西) AWS 名称:南美洲(圣保罗) |
|
| AWS GovCloud(美国联邦) |
|
| AWS GovCloud(美国州、地方和教育) |
|
帐户登录权限
有两种帐户需要装有机器人代理的服务器上的 Windows 登录权限:
- 服务帐户用于运行这两个机器人代理 Windows 服务
- 个人用户帐户用于访问机器人应用程序任务输出的 Analytics 表
台式机上装有 Analytics 的个人用户可以将该应用程序用作桌面客户端,以连接存储在机器人代理服务器上的输出表。
帐户所需的具体登录权限概述如下。
帐户登录权限
下表概述了需要访问机器人代理服务器的帐户所需的登录权限。请勿将任何超越以下所指定权限的登录权限授予某个帐户。登录权限是在 Windows 安全策略的”用户权限分配“区域指定的。
限制登录权限可减轻有人获取未经授权访问机器人代理服务器的权限的风险。
| 帐户 | 允许本地登录 | 拒绝本地登录 | 作为服务登录 |
|---|---|---|---|
| 机器人代理服务帐户 | 否 | 是 | 是 |
| 机器人数据服务帐户 | 否 | 是 | 是 |
用户账户 (Analytics 用户) | 是 | 否 | 否 |
帐户权限
服务帐户权限
| Windows 服务名称 | 端口 | 运行服务的帐户 | 服务帐户所需的权限 |
|---|---|---|---|
机器人代理 (运行计划的和临时的机器人任务) | 443 仅出站 | 使用以下之一:
不使用:
说明 如果您指定的帐户使用过期的密码,请确保您已准备好可使密码保持最新的过程。 |
|
机器人数据服务 (提供允许用户在 Analytics 中打开机器人代理表的连接) | 10000(默认) 您可以指定 0 到 65536 之间的任何可用端口 | 本地系统 |
|
用户帐户权限
机器人应用程序任务输出的 Analytics 表存储在装有机器人代理的服务器上。如果用户具有下面列出的权限,则可以连接到这些表并在本地安装的 Analytics 副本中打开它们。(有关详细信息,请参阅查看 ACL 机器人中的表、文件和日志。)
限制用户访问机器人代理服务器
如果您的组织不希望用户有权访问机器人代理服务器,您可以采用其他方法。可将机器人应用程序任务中的分析脚本,写入结果输出到文件类型,例如 Excel 或分隔文件。用户可以直接从基于云的机器人应用程序下载这些文件类型,无需访问机器人代理服务器。
组合方法
还可采用一种组合方法来提供对任务输出结果的访问权限:
- 普通用户要求普通用户从基于云的机器人应用程序下载 Excel 或分隔文件中包含的结果
- 开发人员与架构师让 Analytics 开发人员与数据架构师能够访问机器人代理服务器上的 Analytics 结果表
Analytics 用户的权限
如果要让某些或所有 Analytics 用户能够访问机器人代理服务器上的 Analytics 表,请指定下面列出的权限。
注意
不要向单个用户授予对机器人代理服务器上整个C:\acl 目录的权限,也不要授予对以下指定文件夹以外的任何文件夹的权限。
将文件夹访问权限仅授予所需的帐户和所需的文件夹可减轻有人获取未经授权访问机器人代理服务器的权限的风险。它还能够防止 Analytics 脚本访问或修改适当文件夹外部的文件。
| 项目 | 要求的用户帐户权限 |
|---|---|
机器人数据服务安装文件夹 |
|
机器人数据服务可执行文件 (aclse.exe) |
|
机器人代理数据文件夹 (包含机器人应用程序任务输出的 Analytics 结果表) |
说明 此权限可以授予整个 \data 文件夹,或者通过以下方式进行限制:
|
机器人数据服务前缀文件夹 (连接到机器人代理服务器时的 Analytics 工作目录 包含从 Analytics 保存到服务器的 Analytics 输出表和索引文件) |
|
