通過PAM可針對阿里云上的云服務器ECS及其登錄憑據(即登錄賬號及對應的密碼或密鑰對)進行托管,并支持配置細粒度運維權限及運維策略,提供運維審計能力,提升云上SSH或RDP運維操作的安全性。本文介紹如何托管ECS資產并添加ECS登錄憑據。
前提條件
托管ECS
免費版PAM實例最多可托管2臺運行中的資產,若您想托管更多資產,可升級為開發者版或輕量版。具體操作,請參見升級特權訪問管理中心實例。
您可按需更換托管資產,更換前需先對已托管資產執行解除托管。
托管單個ECS資產
- 登錄特權訪問管理中心控制臺。
在左側導航欄,選擇。
在主機頁簽,定位到目標資產,在托管狀態列,單擊
圖標。
批量托管ECS資產
- 登錄特權訪問管理中心控制臺。
在左側導航欄,選擇。
在主機頁簽,選擇多個資產,在資產列表下方,單擊資產托管。
添加ECS登錄憑據
登錄憑據是用于登錄ECS資產的用戶名及密碼信息(密碼或者密鑰對)。將ECS資產的登錄憑據添加到PAM后,通過PAM運維資產時可實現免密登錄。PAM同時支持憑據管理功能,您可以通過一鍵同步已托管資產的憑據,幫助您快速識別憑據,減少手動輸入導致的錄入不及時、數據偏差等問題,具體操作,請參見憑據發現。
- 登錄特權訪問管理中心控制臺。
在左側導航欄,選擇。
在主機頁簽,選中目標資產,在資產列表底部,單擊添加登錄憑據。
在添加登錄憑據對話框,按照頁面提示填寫登錄憑據信息,單擊確定。
每個資產最多可以添加100個登錄憑據。
配置項
說明
賬戶名
登錄ECS資產的用戶名。例如root或ecs-user。
資產賬號
密碼:需繼續輸入ECS資產用戶對應的密碼。
密鑰對:需要繼續輸入私鑰(PEM格式)。
憑據標簽
PAM通過標簽形式區分賬號權限,建議結合賬號權限與自身業務來判定賬號所對應的類型。
特權賬戶:通常指在企業云端資源使用過程中,由于云端系統運維、應用/數據開發、資源管理等原因創建的具有系統超級管理、敏感數據增刪改查、用戶權限調整等進階權限的賬號。通常該類賬號的濫用、誤用會對企業核心業務的正常運轉造成較大影響。
普通賬戶:通常指代僅具有限制性權限的賬號,如常見的Guest賬號、只讀賬號等。通常此類賬號的使用對企業業務造成的影響有限。