本文指导您快速上手特权访问管理中心(PAM)的主要功能。
背景信息
(可选)步骤一:准备阿里云账号
如果您已完成了阿里云账号的注册和实人认证,请跳过本步骤。
- 打开阿里云管理控制台。
- 注册账号。
- 完成实人认证。
步骤二:开通PAM服务
首次使用PAM服务前,您需要先开通服务并完成对PAM访问云资产的授权。
步骤三:同步资产
在PAM控制台资产运维页面,单击同步资产,将当前账号下的云服务器ECS资产同步到PAM中,方便您对资产进行统一管理和运维。
资产同步规则如下:
- 首次开通PAM服务时,PAM会自动执行一次资产同步。
- 已开通PAM时,您可以在资产更新后,及时手动同步资产。
- 同步时间取决于当前账号下ECS资产的数量,整个同步过程预计需要1~5分钟。
步骤四:设置资产分组
PAM会为您自动创建一个默认资产组defaultAssetGroup,并将您当前账号下的所有ECS实例自动添加到该分组中。默认资产组不可以修改。
您可以对资产组进行以下操作:
- 新建分组:单击+新建,根据需要新建分组,将资产添加到对应的分组中,方便您集中管理资产。如果您的资产数量较多,建议对资产进行合理分组。
说明 新建分组后,仅支持修改资产组的备注,不支持修改资产组的名称。
- 修改分组:在资产列表中,选择目标资产,单击加入资产组,将该资产添加到对应的资产组中。
- 删除分组:删除分组后,该资产组中的资产将会自动归属到默认资产组中。
步骤五:远程连接到ECS服务器
您可以通过PAM远程连接功能,实现远程连接到ECS服务器(状态必须为运行中)。
步骤六:用户授权
您可以通过用户授权功能统一管理资产的访问权限,并限制访问资产所使用凭据的权限等级,例如:特权账号、普通账号。开通用户授权模块,需要预先创建并关联一个应用身份服务IDaaS实例。如果您已开通过IDaaS实例,也可直接进行关联操作。
- 在PAM控制台用户授权页面,单击新建用户。
- 设置用户的基础信息,例如:用户名称、显示名称、密码等,单击下一步。
- 为单个资产或资产组进行资产授权。
- 单击完成。
- 在新建用户列表中,单击操作栏的授权。
步骤七:添加策略
管理员可以配置协议、命令、访问时间段以及来源IP地址的控制策略,从而实现更精细化的运维管控。
- 在PAM控制台权限策略页面,单击添加策略。
- 在新建策略面板中,设置策略的内容,例如:策略名称、策略描述、策略设置等,单击下一步。
- 单击完成,保存策略的配置。
步骤八:运维审计
通过PAM对云服务器ECS进行的运维操作会以图形日志(录像)、字符日志的形式分别进行记录,您可以对运维会话进行审计,从而在威胁发生的事中及事后进行对应的事件回溯。