堡垒机对接阿里云账户体系。阿里云账号(主账号)默认为系统超级管理员角色,可以为RAM用户(子账号)分配不同的权限策略(管理员权限、审计员权限、只读权限和运维员权限),以满足企业在使用堡垒机时不同角色的需求,实现权限最小化以保障堡垒机系统的安全。本文介绍如何为RAM用户授予不同的权限策略。
背景信息
通过对RAM用户授权不同权限实现堡垒机使用限制,包括管理员权限、审计员权限、只读查看权限等。详细说明如下:
管理员权限可以进行堡垒机实例、用户及资产管理,以及控制策略设置、系统设置、查看审计信息等操作。
重要如果作为管理员角色的RAM用户需要导入阿里云资产或RAM用户,则至少需要给管理员授予对应资产或访问控制(RAM)的只读权限,例如,您要导入ECS资产时,管理员需要被授予ECS只读权限AliyunECSReadOnlyAccess;您要导入RAM用户时,管理员需要被授予访问控制(RAM)只读权限AliyunRAMReadOnlyAccess。
审计员权限仅可以在堡垒机管理页面查看日志、录像等审计相关信息。
只读权限仅可以使用堡垒机管理页面读取配置、审计、系统等相关信息。
运维员权限仅可以作为运维用户,使用堡垒机管理页面中的资产运维功能进行运维等操作。
以上权限策略是对RAM用户使用堡垒机管理页面的限制,RAM用户使用客户端运维时不受上述权限策略限制。客户端运维操作主要通过堡垒机上的用户和资产的授权关系进行控制,用户授权资产后即可通过客户端运维资产。
阿里云账号仅拥有堡垒机的管理权限,目前不支持导入到堡垒机中作为堡垒机用户。
您可以同时为同一个RAM用户授予多个权限。
前提条件
您已在开通堡垒机实例的阿里云账号下创建RAM用户。具体操作,请参见创建RAM用户。
如果导入的阿里云RAM用户需要关联虚拟MFA设备,请参见为RAM用户绑定MFA设备。堡垒机会使用MFA认证设置作为RAM用户登录堡垒机时的双因子认证方式设置。
操作步骤
使用阿里云账号(主账号)或RAM管理员登录RAM控制台。
在左侧导航栏,选择。
在用户页面,单击目标RAM用户操作列的添加权限。
在添加权限面板,为堡垒机RAM用户添加权限。
选择授权应用范围。
整个云账号:权限在当前阿里云账号内生效。
指定资源组:权限在指定的资源组内生效。
说明指定资源组授权生效的前提是该云服务已支持资源组,详情请参见支持资源组的云服务。资源组授权示例,请参见使用资源组管理指定的ECS实例。
指定授权主体。
授权主体即需要添加权限的RAM用户。
选择堡垒机权限策略。
单击确定。
单击完成。