本文介绍如何在阿里云的访问控制(RAM)中创建用于堡垒机管理和运维的阿里云RAM用户,以及如何将新建的阿里云RAM用户导入到堡垒机账户系统中。

操作步骤

  1. 新建阿里云RAM用户。
    1. 使用阿里云主账号登录访问控制控制台
    2. 在左侧导航栏选择身份管理 > 用户
    3. 用户页面,单击创建用户
    4. 创建用户页面,设置用户登录名称显示名称,并选择访问方式
    5. 单击确定,完成用户创建。
  2. 为阿里云RAM用户启用多因素认证(MFA)登录。
    1. 使用阿里云主账号登录访问控制控制台
    2. 在左侧导航栏选择身份管理 > 用户
    3. 用户页面,单击新创建的用户的登录名。
    4. 在用户详情页,单击启用虚拟MFA启用
    5. 绑定虚拟MFA设备页面,(阿里云RAM用户使用者)使用阿里云App(或其他MFA应用程序)扫码添加账号。
      成功添加账号后,在阿里云App的虚拟MFA页面会显示已关联账号,同时每60秒自动刷新生成的安全码。
    6. 绑定虚拟MFA设备页面的第一组安全码第二组安全码中输入阿里云App中连续获取的两组安全码,然后单击确定绑定
      成功启用MFA设备后,每次使用RAM用户登录时,都要输入从已绑定的MFA设备(即阿里云App)中获取的安全码。
  3. 向阿里云RAM用户授权。
    1. 使用阿里云主账号登录访问控制控制台
    2. 在左侧导航栏选择身份管理 > 用户
    3. 用户页面,定位到要操作的RAM用户,单击其操作列的添加权限
    4. 添加权限页面,搜索以下系统授权策略,并选择要授权给当前RAM用户的权限:
      • AliyunYundunBastionHostFullAccess(管理员权限)
      • AliyunYundunBastionHostReadOnlyAccess(只读权限)
    5. 选择要授予当前RAM用户的权限后,单击确定完成授权。
      被授予权限的RAM用户可用来执行相应操作。
  4. 添加阿里云RAM用户到堡垒机账户系统。
    1. 登录云盾堡垒机控制台
    2. 在左侧导航栏单击账户
    3. 账户页面,单击右上角的添加子账号
    4. 添加子账号对话框,单击刷新子账号,刷新当前阿里云RAM用户列表。刷新子账号
    5. 在下方的RAM用户列表中选中要导入的RAM用户,单击下方导入子账号
    选中的RAM用户被导入到账户列表中。

后续步骤

已添加到堡垒机账户系统的阿里云RAM用户能够进一步被导入到具体的堡垒机实例,作为堡垒机的用户。更多信息,请参见导入阿里云RAM用户作为堡垒机用户