授权主机是将堡垒机中的用户与主机资产联系在一起的概念,按用户组授权主机可以控制某个用户组内的用户只能访问该用户组权限内的主机。该章节除了介绍按用户组维度授权主机和主机账户,同时还介绍后续如何维护用户组的主机和主机账户。

背景信息

按用户授权主机和按用户组授权主机的区别:
  • 按用户授权主机:为单一用户授权主机和主机账户。
  • 按用户组授权主机:用户组为多个用户的合集,为用户组授权相当于为用户组下的所有用户批量授权主机和主机账户。

授权主机

为用户组授权主机,具体操作参见以下步骤:

  1. 登录堡垒机系统,具体操作请参见登录堡垒机系统
  2. 在左侧导航栏单击人员管理 > 用户组
  3. 在需要授权主机的用户组的操作列中,单击授权主机
    用户组授权主机
  4. 已授权主机页签中,单击授权主机
  5. 授权主机页面选中需要授权给该用户组进行运维的主机并单击确定为用户组授权主机

移除已授权主机

如果用户组已经不需要维护某些主机,可以通过移除已授权主机操作,实现最小授权原则,具体操作参见以下步骤:

  1. 登录堡垒机系统,具体操作请参见登录堡垒机系统
  2. 在左侧导航栏单击人员管理 > 用户组
  3. 在需要移除授权主机的用户组的操作列中,单击授权主机
    用户组授权主机
  4. 选中需要移除的已授权主机并单击移除
    用户组移除授权主机
  5. 在确认提示框中,单击移除

授权主机账户

为用户组授权单个主机的登录账户,具体操作参见以下步骤:

  1. 登录堡垒机系统,具体操作请参见登录堡垒机系统
  2. 在左侧导航栏单击人员管理 > 用户组
  3. 在需要授权主机的用户组的操作列中,单击授权主机
    用户组授权主机
  4. 已授权主机页签中,单击已授权账户
    用户组授权主机账号
  5. 选中主机账户,单击更新
    说明 如果主机中没有账号,那么您可以单击新建主机账户创建主机账户。

批量授权主机账户

为用户组批量授权多个主机的登录账户,具体操作参见以下步骤:

  1. 登录堡垒机系统,具体操作请参见登录堡垒机系统
  2. 在左侧导航栏单击人员管理 > 用户组
  3. 在需要授权主机的用户组的操作列中,单击授权主机
    用户组授权主机
  4. 选中需要授权账户的主机并单击批量 > 批量授权账号
    用户组批量授权账号
  5. 选择主机授权账户账户名称。
    批量授权账号
    说明 批量授权主机账号时,只能选择一个主机账户进行授权。
  6. 单击更新

批量移除已授权主机账户

为用户组批量移除多个主机的已授权登录账户,具体操作参见以下步骤:

  1. 登录堡垒机系统,具体操作请参见登录堡垒机系统
  2. 在左侧导航栏单击人员管理 > 用户组
  3. 在需要移除授权主机账户的用户组的操作列中,单击授权主机
    用户组授权主机
  4. 已授权主机页签,选中需要移除主机账户的主机并单击批量 > 批量移除授权账号
    用户组批量移除已授权主机账号
  5. 选择需要移除的主机授权账户账户名称。
    批量移除授权账户2
    说明 批量移除已授权主机账号时,只能选择一个账户进行移除。
  6. 单击更新