在使用堡垒机进行主机运维前,管理员需要在堡垒机实例中创建堡垒机用户。本文将指导管理员在堡垒机实例中导入阿里云RAM用户(即阿里云子账号)作为堡垒机用户。

前提条件

  • 开通堡垒机实例的阿里云账号下,已创建RAM用户。关于创建RAM用户的具体操作,请参见创建 RAM 用户
  • 要导入的阿里云子账号需要关联虚拟MFA设备。 关于为子账号关联虚拟MFA设备的具体操作,请参见为 RAM 用户设置多因素认证
    说明 对于3.1.3及以上版本的堡垒机,如果您不需要子账号进行双因子认证,可以不做子账号的MFA关联。
  • 要导入的子账号拥有堡垒机关联权限。
    堡垒机用户权限分为超级管理员(admin)和运维员两种,对应阿里云访问控制的系统权限策略分别是AliyunYundunBastionHostFullAccess和AliyunYundunBastionHostOperateOnlyAccess。
    • 阿里云主账号登录为admin权限,可以查看和管理所有数据。
    • 子账号权限由主账号分配,可被分配admin权限或者运维员权限。从限权角度,一般建议您为子账号分配运维员权限。直接在堡垒机实例中创建的本地用户拥有运维员权限。

    关于为子账号授权的具体操作,请参见为 RAM 用户授权

背景信息

除了导入阿里云子账号作为堡垒机用户外,您还可以手动创建本地用户或者导入AD/LDAP用户作为堡垒机用户。更多信息,请参见用户管理

要导入阿里云子账号作为堡垒机用户,您必须依次完成两次导入操作:

  1. 导入阿里云子账号到堡垒机账户系统,见下文步骤3。
  2. (从堡垒机账户系统中)导入RAM子账号到具体堡垒机实例,见下文步骤6。

操作步骤

  1. 登录云盾堡垒机控制台
  2. 账户页面,单击添加子账号

  3. 添加子账号对话框中,单击刷新子账号,获取当前阿里云账号的RAM子账号信息;然后勾选要导入的子账号,并单击导入子账号

    成功将RAM子账号导入到堡垒机,已导入堡垒机的子账号支持进一步导入到具体的堡垒机实例中。
  4. 登录云盾堡垒机实例
  5. 前往用户 > 用户管理页面,单击导入RAM子账号

  6. 导入RAM子账号对话框中,勾选要导入到实例中的RAM子账号,并单击导入
    说明 只有已经通过步骤3成功导入堡垒机的RAM子账号,才会显示在RAM子账号列表中。若列表为空,请先通过步骤3将子账号导入到堡垒机。


    成功将阿里云子账号导入到指定的堡垒机实例。

下一步

步骤3:创建运维规则