在使用堡壘機進行主機運維前,管理員需要創建授權組,將指定資產、憑據、用戶和控制策略關聯在一起,即授權指定用戶通過憑據運維指定資產。本文將指導管理員在堡壘機實例中創建授權組。

背景信息

關于添加資產和憑據,請參見步驟1:同步阿里云ECS

關于添加用戶,請參見步驟2:新建本地用戶

控制策略支持啟用并設置多種運維功能限制,包括協議控制、來源IP控制、訪問時間段控制、命令控制。更多信息,請參見控制策略管理

操作步驟

  1. 登錄云盾堡壘機實例
  2. 前往授權 > 授權組頁面,單擊頁面右上角的新建授權組
  3. 新建授權組對話框中,輸入授權組名稱,單擊確定
    成功創建授權組,已創建的授權組出現在授權組列表中。您需要進一步配置授權組。
  4. 單擊已創建的授權組中服務器/服務器組用戶憑據控制策略下方的鏈接字符,為授權組添加服務器、用戶、憑據、控制策略,將添加的對象關聯綁定在一起,即授權指定用戶通過指定憑據登錄運維指定的服務器,運維授權受到指定的控制策略的限制。
    說明 服務器和憑據要對應,否則可能導致無法登錄。
  5. 可選:如果您希望堡壘機用戶在通過SSH或RDP協議方式登錄堡壘機時,使用密碼 + 短信驗證碼的雙因子認證方式,您可以前往系統 > 系統設置頁面,勾選雙因子認證選項,并單擊保存設置

執行結果

完成用戶授權。運維人員可以通過本地客戶端工具登錄堡壘機實例,并選擇已授權的主機進行運維。

后續步驟

步驟4:運維及審計查詢