运维ECS资产
通过特权访问管理中心 PAM(Privileged Access Management)可针对阿里云上的云服务器ECS及其登录凭据(即登录账号及对应的密码或密钥对)进行托管,并支持配置细粒度运维权限及运维策略,提供会话结束后的运维审计能力,提升云上SSH或RDP运维操作的安全性。
背景信息
资产运维页面支持卡片式和列表式两种布局形式。本文基于列表式布局介绍资产运维的相关操作。
目前,支持以下两种方式登录PAM控制台,您可以选择任意一种登录。本文以方式一为例介绍。
方式一:通过访问特权访问管理中心控制台。
方式二:通过云服务器ECS Workbench平台登录。具体操作,请参见通过PAM凭据认证登录实例。
步骤一:同步ECS资产
PAM支持自动同步资产和手动同步资产。资产同步的耗时取决于当前账号下ECS资产的数量,一般情况下整个同步过程预计需要1~5分钟。
自动同步
首次开通PAM时,系统会自动同步一次资产。之后,系统将会在每天凌晨0点自动进行资产全量同步。
手动同步
您也可以在任意时间手动同步最新的ECS资产到PAM。
- 登录特权访问管理中心控制台。
- 在左侧导航栏,单击资产运维。
在资产运维页签,单击同步资产。
步骤二:ECS关联网络域
网络域用于统一管理使用PAM进行资产运维时所涉及的网络资源配置,您只有通过PAM创建网络域,并将资产加入至启用的网络域,才可以运维资产。PAM支持网络域自动化配置和手动配置两种方式。具体操作,请参见新建网络域。
步骤三:托管ECS
完成ECS资产托管后,您才可以执行远程连接。
免费版PAM实例最多可托管2台运行中的资产,若您想托管更多资产,可升级为付费版。具体操作,请参见升级特权访问管理中心实例。
您可按需更换托管资产,更换前需先对已托管资产执行解除托管。
方式一
在资产运维页面的ECS资产运维页签,定位到目标资产,在托管状态列,单击图标。
方式二
在资产运维页面的ECS资产运维页签,选择一个或多个资产,在资产列表下方,单击资产托管。
步骤四:添加ECS登录凭据
登录凭据是用于登录目标资产的账号及密码信息(密码或者密钥对)。您可以将资产的登录凭据添加到PAM中进行统一管理。PAM支持凭据管理功能,您可以通过一键同步已托管资产的凭据,帮助您快速识别凭据,减少手动输入导致的录入不及时、数据偏差等问题,具体操作,请参见凭据管理。
每个资产最多可以添加10个登录凭据。
在资产运维页面的ECS资产运维页签,选择目标资产,在资产列表底部,单击添加登录凭据。
在添加登录凭据对话框,按照页面提示填写登录凭据信息,单击确定。
步骤五:远程连接到ECS
您可以在PAM控制台,通过远程连接一键连接到云服务器ECS,无需您通过ECS控制台登录。
在资产运维页面的ECS资产运维页签,定位到目标资产,在操作列,单击运维。
如果远程连接不可用,请您将鼠标悬停至运维,PAM会做依赖性检查,您可以按照页面提示进行排查,满足所有检查条件后,即可进行远程连接。检查项如下:
资产是否绑定网络域:检查资产是否已绑定网络域。如未绑定,请您单击一键绑定,按照页面提示进行操作。
绑定的网络域状态:检查资产绑定的网络域状态是否为启用状态。如果显示未启用,请单击启用;如果初始化失败,说明您的网络域配置不正确,请单击去变配,修改您的网络域配置。
资产托管状态:检查资产是否已托管。如资产未托管,请参见步骤三:资产托管开启资产托管。
在运维对话框中,选择资产登录的协议/端口、登录凭据和终端窗口方式,单击连接。