本文以PAM开发者版和云服务器ECS资产为例,介绍如何在PAM中进行资产运维及审计运维会话。
前提条件
已购买PAM开发者版实例。具体操作,请参见购买实例。
已在系统设置页面开启自动启用网络域。具体操作,请参见自动创建并启用网络域。
已获取运维员工作台地址。
您可以在PAM控制台的概览页面获取运维员工作台地址。
已创建ECS实例。具体操作,请参见自定义购买实例。
步骤一:同步ECS资产
在使用PAM运维资产前,管理员需要在PAM控制台同步需要管理的资产。首次开通PAM时,系统会自动同步一次资产。之后,系统将会在每天凌晨自动进行资产全量同步。如果当天新建的ECS资产未自动同步,您可以参考以下步骤手动同步资产。
登录特权访问管理中心控制台。
在左侧导航栏,选择。
在主机页签,单击同步云资产。
资产同步的耗时取决于当前账号下ECS资产的数量,一般情况下整个同步过程预计需要1~5分钟。
步骤二:托管ECS资产
在将ECS资产同步至PAM之后,您需要完成ECS资产的托管,才能通过PAM实现远程连接。
在左侧导航栏,选择。
在主机页签,定位到需要托管的资产,在托管状态列,单击
图标。在弹出的对话框中,单击确定。
步骤三:添加ECS资产登录凭据
登录凭据是用于登录ECS资产的用户名及密码信息(密码或者密钥对)。将ECS资产的登录凭据添加到PAM后,通过PAM运维资产时可实现免密登录。PAM同时支持凭据管理功能,您可以通过一键同步已托管资产的凭据,帮助您快速识别凭据,减少手动输入导致的录入不及时、数据偏差等问题,具体操作,请参见凭据发现。
以下为您介绍手动添加资产凭据的步骤。
在左侧导航栏,选择。
在主机页签,选中目标资产,在资产列表底部,单击添加登录凭据。
在添加登录凭据对话框,参考下表填写登录凭据信息,单击确定。
每个资产最多可以添加100个登录凭据。
配置项
说明
凭据类型
密码:需继续输入用于登录资产的密码。
密钥对:需要继续输入私钥。
支持的密钥算法:RSA、ECDSA、Ed25519。
支持的格式:OpenSSH、PEM(PKCS#1)。
资产账号
登录资产的用户名。例如root或ecs-user。
凭据标签
PAM通过标签形式区分账号权限,建议结合账号权限与自身业务来判定账号所对应的类型。
特权账户:通常指在企业云端资源使用过程中,由于云端系统运维、应用/数据开发、资源管理等原因创建的具有系统超级管理、敏感数据增删改查、用户权限调整等进阶权限的账号。通常该类账号的滥用、误用会对企业核心业务的正常运转造成较大影响。
普通账户:通常指代仅具有限制性权限的账号,如常见的Guest账号、只读账号等。通常此类账号的使用对企业业务造成的影响有限。
步骤四:创建PAM用户
管理员在创建PAM用户后,运维员即可通过该用户登录PAM访问已授权的资产。
在左侧导航栏,单击用户管理。
在用户页签,单击新建用户。
在新建用户面板,参考下表,配置用户信息,单击创建。
配置项
说明
示例
用户名
命名规则:
不能以特殊字符开始。
可包含大写字母、小写字母、数字、中划线(-)、下划线(_)、点(.)。
长度至少4位。
pam_om
显示名
自定义控制台显示的名称有助于用户统一管理和识别。
运维员A
手机号
创建不同的用户不能使用相同的手机号。
1390000****
双因子认证方式
全局配置:表示当前用户采用全局的双因子认证方式,即您在系统设置中配置的双因子认证方式。具体操作,请参见开启双因子认证。
单个用户配置:表示您需要对当前用户单独设置双因子认证方式。您需要单击
图标开始双因子认证并选择认证方式。短信认证:表示使用当前用户的手机短信进行二次认证。此时您必须为该用户设置手机号码。
邮箱认证:表示使用当前用户的邮箱进行二次认证。此时您必须为该用户设置邮箱地址。
TOTP令牌认证:表示使用当前用户的手机TOTP令牌进行认证。您需要下载标准TOTP认证软件,例如阿里云App。在通过Web方式或客户端方式运维时,需根据界面提示使用阿里云App扫描二维码获取安全码进行登录。
双因子认证方式:选择单个用户配置
Web运维认证方式:选择短信认证
密码
设置PAM用户密码。您可以单击自动生成,自动生成密码。密码默认生成规则如下:
长度至少为8位,且必须包含大写字母、小写字母、数字和特殊字符(
@ % + \ / ' ! # $ ^ ? : , ( ) { } [ ] ~ - _ .)。密码不能和前N次的密码相同。
PAM支持设置用户密码策略,详情请参见用户密码策略。
单击自动生成,自动生成密码。
步骤五:为用户授权资产
新建PAM用户后,您需要为该用户授权资产,授权后您才可以通过该用户登录PAM运维资产。
在左侧导航栏,单击用户管理。
在用户页签,定位到目标用户,在操作列,单击授权。
在创建授权规则面板,参考下表配置授权规则,单击创建。
关键配置项
说明
生效周期
设置规则的生效周期。
短期:最长可配置180天。
长期:永久有效。
关联用户
默认已关联新建的PAM用户。
授权资产范围
资产:选择需要运维的资产。
节点:选择目标资产所在的节点。
账号:选择授权规则生效的账号。
步骤六:使用PAM用户运维已托管的ECS资产
在浏览器中,输入获取到的运维员工作台地址。
在运维工作台登录页面,输入PAM用户名(例如pam_om_auditor)和密码,单击登录。
完成短信认证后即可登录到运维工作台。
在新建用户时,如果配置了多个双因子认证,则需要选择认证方式。
在左侧导航栏,单击资产运维。
在主机页签,选择默认节点,并找到目标资产,在操作列,单击远程连接。
在远程连接对话框,选择登录凭据、连接通道及终端窗口打开方式。
当前窗口(支持文件传输)(仅轻量版支持文件传输):表示在当前窗口运维资产。选择该方式运维,您可以自定义运维页面的主题颜色、字体以及代码行数。
新窗口:在浏览器打开一个新的标签页运维资产,不支持自定义主题样式。
步骤七:审计运维会话
当PAM用户通过PAM运维资产时,管理员或审计员可以在PAM控制台查看用户会话的详细信息。
登录特权访问管理中心控制台。
在左侧导航栏,单击运维审计。
在运维审计页面,查看资产相关的运维审计信息和历史操作记录。
会话类别
说明
历史会话
历史会话记录可用于检查和分析用户的操作行为,以发现异常操作和风险事件,并记录用户的登录、操作和退出等过程,包括用户类型、操作时间、操作内容等信息。您可以在操作列,单击详情,查看用户和资产的详细信息,也可以单击播放,查看用户操作过程录像。
命令审计
命令审计可用于审查操作人员的行为是否符合安全标准,发现异常操作和风险事件,并记录用户类型、具体执行的命令、执行命令的时间等信息,以便进行后续分析和审计。您可以在操作列,单击详情,查看用户和资产的详细信息,也可以单击播放,查看用户操作过程录像。
实时会话
实时会话是对正在进行的会话进行实时查看,以检查用户的操作行为和操作结果,及时发现异常操作和风险事件。您可以在操作列,单击详情,查看会话的基本信息和资产详情。
操作事件
操作事件记录了阿里云账号的活动,您可以在操作列,单击查看事件详情,查看操作事件的详细信息。
操作事件仅记录90天的操作事件,如需保存更长时间的事件,请您登录操作审计控制台创建跟踪;操作事件仅支持当前地域事件的简单查询,若您需要跨多个地域和更长时间进行多条件的查询,请使用事件高级查询。
说明仅轻量版支持文件审计。文件审计可以帮助您发现异常上传、下载等文件传输风险问题。更多说明,请参见运维审计。