本文指导您快速上手特权访问管理中心(PAM)的主要功能。

背景信息

资产运维页面支持卡片式和列表式两种布局形式。本文基于列表式布局介绍资产运维的相关操作。

(可选)步骤一:准备阿里云账号

如果您已完成了阿里云账号的注册和实人认证,请跳过本步骤。

  1. 打开阿里云管理控制台
  2. 注册账号。
  3. 完成实人认证。

步骤二:开通PAM服务

首次使用PAM服务前,您需要先开通服务并完成对PAM访问云资产的授权。

  1. 登录特权访问管理中心控制台
  2. 单击立即开通
    完成开通后,系统为PAM自动创建一个服务关联角色(AliyunServiceRolePolicyForBastionhostPam),允许PAM访问您的ECS、VPC、IDaaS资源。SLR授权

步骤三:同步资产

在PAM控制台资产运维页面,单击同步资产,将当前账号下的云服务器ECS资产同步到PAM中,方便您对资产进行统一管理和运维。

资产同步规则如下:
  • 首次开通PAM服务时,PAM会自动执行一次资产同步。
  • 已开通PAM时,您可以在资产更新后,及时手动同步资产。
  • 同步时间取决于当前账号下ECS资产的数量,整个同步过程预计需要1~5分钟。

步骤四:设置资产分组

PAM会为您自动创建一个默认资产组defaultAssetGroup,并将您当前账号下的所有ECS实例自动添加到该分组中。默认资产组不可以修改。

您可以对资产组进行以下操作:
  • 新建分组:单击+新建,根据需要新建分组,将资产添加到对应的分组中,方便您集中管理资产。如果您的资产数量较多,建议对资产进行合理分组。
    说明 新建分组后,仅支持修改资产组的备注,不支持修改资产组的名称。
  • 修改分组:在资产列表中,选择目标资产,单击加入资产组,将该资产添加到对应的资产组中。
  • 删除分组:删除分组后,该资产组中的资产将会自动归属到默认资产组中。

步骤五:远程连接到ECS服务器

您可以通过PAM远程连接功能,实现远程连接到ECS服务器(状态必须为运行中)。

  1. 在PAM控制台资产运维页面,单击操作列的远程连接
  2. 远程连接对话框中,选择该ECS服务器的登录协议/端口登录凭据。无需您通过ECS控制台登录该ECS服务器。
    如果您未创建过登录凭据,您需要先创建登录该ECS实例的账号和密码。操作步骤如下:
    1. 单击添加登录凭据
    2. 添加登录凭据对话框中,设置ECS实例的登录账号和密码信息。
    3. 选择凭据标签的类型。
      说明 关于特权账号和普通账号的介绍,请参见基本概念
    4. 单击确定,完成凭据的添加。
  3. 单击连接,跳转到PAM-SSH终端页面,实现远程连接到ECS。

步骤六:用户授权

您可以通过用户授权功能统一管理资产的访问权限,并限制访问资产所使用凭据的权限等级,例如:特权账号、普通账号。开通用户授权模块,需要预先创建并关联一个应用身份服务IDaaS实例。如果您已开通过IDaaS实例,也可直接进行关联操作。

  1. 在PAM控制台用户授权页面,单击新建用户
  2. 设置用户的基础信息,例如:用户名称、显示名称、密码等,单击下一步
  3. 为单个资产或资产组进行资产授权。
  4. 单击完成
  5. 新建用户列表中,单击操作栏授权

步骤七:添加策略

管理员可以配置协议、命令、访问时间段以及来源IP地址的控制策略,从而实现更精细化的运维管控。

  1. 在PAM控制台权限策略页面,单击添加策略
  2. 新建策略面板中,设置策略的内容,例如:策略名称、策略描述、策略设置等,单击下一步
  3. 单击完成,保存策略的配置。

步骤八:运维审计

通过PAM对云服务器ECS进行的运维操作会以图形日志(录像)、字符日志的形式分别进行记录,您可以对运维会话进行审计,从而在威胁发生的事中及事后进行对应的事件回溯。