在使用堡垒机进行主机运维前,管理员需要在堡垒机实例中创建堡垒机用户。本文介绍如何在堡垒机实例中导入RAM用户(子账号)。

前提条件

  • 开通堡垒机实例的阿里云账号下,已创建RAM用户。关于创建RAM用户的具体操作,请参见创建RAM用户
  • 在导入RAM用户之前需要为该RAM用户开启MFA认证,具体操作,请参见为RAM用户启用多因素认证
    说明 对于3.1.3及以上版本的堡垒机,如果您不需要对RAM用户进行双因子认证,可以不做RAM用户的MFA关联。
  • 要导入的RAM用户拥有堡垒机关联权限。
    堡垒机用户权限分为超级管理员(admin)和运维员两种,对应阿里云访问控制的系统权限策略分别是AliyunYundunBastionHostFullAccessAliyunYundunBastionHostOperateOnlyAccess
    • 阿里云账号(主账号)拥有admin权限,可以查看和管理所有数据。
    • RAM用户权限由主账号分配,可被分配admin权限或者运维员权限。从限权角度,一般建议您为RAM用户分配运维员权限。直接在堡垒机实例中创建的本地用户拥有运维员权限。

    关于为RAM用户授权的具体操作,请参见为RAM用户授权

背景信息

除了导入RAM用户作为堡垒机用户外,您还可以手动创建本地用户或者导入AD、LDAP用户作为堡垒机用户。更多信息,请参见用户管理

要导入RAM用户作为堡垒机用户,您必须依次完成两次导入操作:

  1. 导入RAM用户到堡垒机账户系统,见下文步骤3。
  2. (从堡垒机账户系统中)导入RAM用户到具体堡垒机实例,见下文步骤7。

操作步骤

  1. 登录云盾堡垒机控制台
  2. 账户页面,单击添加子账号添加子账号按钮
  3. 添加子账号对话框中,单击刷新子账号,获取当前RAM用户信息;然后选中要导入的RAM用户并单击导入子账号导入子账号
    成功将RAM用户导入到堡垒机,已导入堡垒机的RAM用户支持进一步导入到具体的堡垒机实例中。
  4. 登录云盾堡垒机实例
  5. 在左侧导航栏单击用户 > 用户管理
  6. 在用户管理页面,单击导入RAM子账号导入RAM子账号按钮
  7. 导入RAM子账号对话框中,选择要导入到实例中的RAM用户,并单击导入
    说明 只有已经通过步骤3成功导入堡垒机的RAM用户,才会显示在RAM用户列表中。若列表为空,请先通过步骤3将RAM用户导入到堡垒机。
    导入RAM子账号
    成功将RAM用户导入到指定的堡垒机实例。

后续步骤

步骤3:创建运维规则