本文指导您快速上手特权访问管理中心(PAM)的主要功能。

背景信息

资产运维页面支持卡片式和列表式两种布局形式。本文基于列表式布局介绍资产运维的相关操作。

(可选)步骤一:准备阿里云账号

如果您已完成了阿里云账号的注册和实人认证,请跳过本步骤。

  1. 登录阿里云管理控制台
  2. 注册账号。
  3. 完成实人认证。

步骤二:开通PAM服务

首次使用PAM服务前,您需要先开通服务并完成对PAM访问云资产的授权。

  1. 登录特权访问管理中心控制台
  2. 单击立即开通
    完成开通后,系统为PAM自动创建一个服务关联角色(AliyunServiceRoleForBastionhostPam),允许PAM访问您的ECS、VPC、IDaaS资源。

步骤三:同步资产

在PAM控制台资产运维页面的运维资产页签,将当前账号下的云服务器ECS资产同步到PAM中,方便您对资产进行统一管理和运维。具体操作,请参见同步资产

(可选)步骤四:创建并关联网络域(可选)

完成同步资产后,若PAM未自动创建对应的网络域,您需要手动创建网络域。具体操作,请参见运维ECS资产

步骤五:资产托管

完成同步资产后,您需要托管您的资产。具体操作,请参见运维ECS资产

重要 每月可更换托管资产一次,更换前需先对已托管资产执行解除托管的操作。

完成资产托管后,资产对应的托管状态变更为open图标。

步骤六:添加资产登录凭据

登录凭据是用户登录您资产的账号和密码信息。您可以在运维资产页签中,将资产的登录凭据添加到PAM中,实现对多个资产的登录凭据进行统一管理。具体操作,请参见运维ECS资产
说明 每个资产最多可以添加10个登录凭据。

步骤七:远程连接到ECS服务器

您可以通过PAM远程连接功能,实现远程连接到ECS服务器(资产状态必须为已托管,表示资产已托管,否则远程连接按钮无法使用)。

  1. 在PAM控制台资产运维页面,单击操作列的远程连接
  2. 远程连接对话框中,选择该ECS服务器的登录协议/端口登录凭据。无需您通过ECS控制台登录该ECS服务器。
    如果您未创建过登录凭据,您需要先创建登录该ECS实例的账号和密码。操作步骤如下:
    1. 单击添加登录凭据
    2. 添加登录凭据对话框中,设置ECS实例的登录账号和密码信息。
    3. 选择凭据标签的类型。
      说明 关于特权账号和普通账号的介绍,请参见基本概念
    4. 单击确定,完成凭据的添加。
  3. 单击连接,跳转到PAM-SSH终端页面,实现远程连接到ECS。

步骤八:用户授权

您可以通过用户授权功能统一管理资产的访问权限,并限制访问资产所使用凭据的权限等级,例如:特权账号、普通账号。开通用户授权模块,需要预先创建并关联一个应用身份服务IDaaS实例。如果您已开通过IDaaS实例,也可直接进行关联操作。

  1. 在PAM控制台用户授权页面,单击新建用户
  2. 设置用户的基础信息,例如:用户名称、显示名称、密码等,单击下一步
  3. 为单个资产或资产组进行资产授权。
  4. 单击完成
  5. 新建用户列表中,单击操作栏授权

步骤九:添加策略

管理员可以配置协议、命令、访问时间段以及来源IP地址的控制策略,从而实现更精细化的运维管控。

  1. 在PAM控制台权限策略页面,单击添加策略
  2. 新建策略面板中,设置策略的内容,例如:策略名称、策略描述、策略设置等,单击下一步
  3. 单击完成,保存策略的配置。

步骤十:运维审计

通过PAM对云服务器ECS进行的运维操作会以图形日志(录像)、字符日志的形式分别进行记录,您可以对运维会话进行审计,从而在威胁发生的事中及事后进行对应的事件回溯。