PAM管理员可以通过设置权限策略,对运维人员的运维操作进行精细化的管控,降低恶意攻击或操作失误带来的运维侧风险。

背景信息

运维工作人员需要获得管理员的授权后,才能够使用对应权限等级的凭据对云服务器进行运维。此外,在运维过程中,管理员可以配置协议、命令、访问时间段以及来源IP地址的控制策略。

每条权限策略中支持配置多条规则,实现复杂场景下的运维管控。

创建权限策略

  1. 登录特权访问管理中心控制台
  2. 权限策略页面,单击添加策略
  3. 新建策略面板中,设置策略的内容,例如:策略名称、策略描述、策略设置等。
    每条策略中可以配置多条规则。 策略设置说明如下:
    策略类型 说明 配置示例
    来源IP控制 对指定来源IP地址的访问进行管控,可选允许拒绝

    支持同时设置多个IP地址,多个IP使用英文逗号(,)分隔。

    以IP地址1.*.*.4为例,如需控制IP地址为1.*.*.4的服务器,不允许其对ECS实例进行操作,配置方法如下:
    1. 单击下拉列表,选择拒绝
    2. 在右侧的IP地址输入框中,输入需要限制访问的来源地址。

      本示例中输入1.*.*.4

    访问时间段 对每天内指定时间段的访问进行控制,可选允许拒绝

    支持同时设置多个时间段。

    以开始时间08:00:00、结束时间09:00:00为例,如需对这个时间段内的访问进行控制,不允许这个时间段内对服务器进行操作,配置方法如下:
    1. 单击下拉列表,选择拒绝
    2. 在右侧的时间选择框中,单击添加,设置开始时间和结束时间。

      本示例中开始时间选择08:00:00、结束时间选择09:00:00

    协议控制 对指定协议类型的访问进行控制。仅支持选择RDP协议。 在右侧协议类型下拉列表中,选择RDP
    命令控制 对指定的Linux命令进行管控,可选允许拒绝

    支持同时设置多个命令,多个命令使用英文逗号(,)分隔。

    rm命令为例,如需限制运维人员对服务器执行rm操作,配置方法如下:
    1. 单击下拉列表,选择拒绝
    2. 在右侧的命令输入框中,输入需要限制使用的命令。

      本示例中输入rm

  4. 单击下一步
  5. 单击完成,保存策略的配置。

后续步骤

为用户分配权限策略,对用户使用PAM操作ECS服务器进行管控。