在使用堡垒机进行主机运维前,管理员需要在堡垒机实例中创建堡垒机用户。本文介绍如何在堡垒机实例中导入RAM用户(子账号)。
前提条件
- 开通堡垒机实例的阿里云账号下,已创建RAM用户。关于创建RAM用户的具体操作,请参见创建RAM用户。
- 在导入RAM用户之前需要为该RAM用户开启MFA认证,具体操作,请参见为RAM用户启用多因素认证。
说明 对于3.1.3及以上版本的堡垒机,如果您不需要对RAM用户进行双因子认证,可以不做RAM用户的MFA关联。
- 要导入的RAM用户拥有堡垒机关联权限。
堡垒机用户权限分为超级管理员(admin)和运维员两种,对应阿里云访问控制的系统权限策略分别是AliyunYundunBastionHostFullAccess和AliyunYundunBastionHostOperateOnlyAccess。
- 阿里云账号(主账号)拥有admin权限,可以查看和管理所有数据。
- RAM用户权限由主账号分配,可被分配admin权限或者运维员权限。从限权角度,一般建议您为RAM用户分配运维员权限。直接在堡垒机实例中创建的本地用户拥有运维员权限。
关于为RAM用户授权的具体操作,请参见为RAM用户授权。
背景信息
除了导入RAM用户作为堡垒机用户外,您还可以手动创建本地用户或者导入AD、LDAP用户作为堡垒机用户。更多信息,请参见用户管理。
要导入RAM用户作为堡垒机用户,您必须依次完成两次导入操作:
- 导入RAM用户到堡垒机账户系统,见下文步骤3。
- (从堡垒机账户系统中)导入RAM用户到具体堡垒机实例,见下文步骤7。
操作步骤
- 在账户页面,单击添加子账号。
- 在添加子账号对话框中,单击刷新子账号,获取当前RAM用户信息;然后选中要导入的RAM用户并单击导入子账号。
成功将RAM用户导入到堡垒机,已导入堡垒机的RAM用户支持进一步导入到具体的堡垒机实例中。 - 在用户管理页面,单击导入RAM子账号。
- 在导入RAM子账号对话框中,选择要导入到实例中的RAM用户,并单击导入。说明 只有已经通过步骤3成功导入堡垒机的RAM用户,才会显示在RAM用户列表中。若列表为空,请先通过步骤3将RAM用户导入到堡垒机。
成功将RAM用户导入到指定的堡垒机实例。