本文介绍如何在阿里云访问控制(RAM)中创建用于堡垒机管理和运维的阿里云子账号(即RAM用户),以及如何导入阿里云子账号到堡垒机账户系统。

操作步骤

  1. 新建阿里云子账号。
    1. 使用阿里云主账号登录访问控制控制台
    2. 人员管理 > 用户页面,单击新建用户
    3. 新建用户页面,设置用户登录名称显示名称,并选择访问方式

    4. 单击确定完成用户创建。
  2. 为阿里云子账号启多因素认证(MFA)登录。
    1. 使用阿里云主账号登录访问控制控制台
    2. 人员管理 > 用户页面,单击新创建的用户登录名。

    3. 在用户详情页,单击启用虚拟MFA设备

    4. 启用虚拟MFA设备页面,(阿里云子账号使用者)使用阿里云App(或其他MFA应用程序)扫码添加账号。

      成功添加账号后,在阿里云App的虚拟MFA页面会显示已关联账号和每60s自动刷新生成的安全码。
    5. 启用虚拟MFA设备页面的第一组安全码第二组安全码中输入阿里云App中连续获取的两组安全码,然后单击确定启用
      成功启用MFA设备后,每次使用子账号登录时,都要输入从已绑定的MFA设备(即阿里云App)中获取的安全码。
  3. 向阿里云子账号授权。
    1. 使用阿里云主账号登录访问控制控制台
    2. 人员管理 > 用户页面,选择要操作的子账号,单击添加权限

    3. 添加权限页面,搜索以下系统授权策略,并选择要授权给当前子账号的权限:
      • AliyunYundunBastionHostFullAccess(管理员权限)
      • AliyunYundunBastionHostReadOnlyAccess(运维员权限)


    4. 选择要授予当前子账号的权限后,单击确定完成授权。
      被授予权限的子账号可用来执行相应操作。
  4. 添加阿里云子账号到堡垒机账户系统。
    1. 登录云盾堡垒机控制台
    2. 账户页面,单击右上角的添加子账号

    3. 添加子账号对话框,单击刷新子账号,获取当前阿里云账号的子账号信息;然后勾选要导入的子账号,单击导入子账号

    勾选的子账号被导入到账户列表中。

下一步

已添加到堡垒机账户系统的阿里云子账号能够进一步被导入到具体的堡垒机实例,作为堡垒机的用户。更多信息,请参见导入阿里云子账号作为堡垒机用户