运维授权是指将某部分主机帐户的运维权限赋予某部分用户。

运维授权是将堡垒机中的用户与主机资产联系在一起的概念,通过运维授权功能可以达到控制某个用户只能访问他权限内主机的目的。

运维授权的关系类型有:
  • 帐户组授权给用户组
  • 单个主机帐户授权给用户组
  • 主机组授权给用户组
  • 帐户组授权给单个用户
  • 单个主机帐户授权给单个用户
  • 主机组授权给单个用户
您可以在 授权 > 运维规则页查看所有运维规则。

新建运维授权

以“主机账户授权给用户”为例,参照以下步骤新建运维规则:
  1. 登录云盾堡垒机Web管理页
  2. 进入授权 > 运维授权页。
  3. 单击新建运维规则
  4. 新建运维规则页,填写规则名称。按实际需求设置规则有效期以及规则过期后是否自动删除。
    说明 若勾选了 规则过期后 自动删除,则过期后此运维规则中的授权关系不会在运维页面中出现。


  5. 新建运维规则页,单击添加用户/用户
  6. 添加用户对话框中,选择要添加的用户,并单击添加

  7. 新建运维规则页,单击添加资产/主机帐户
  8. 选择主机帐户对话框中,选择要添加的主机帐户,并单击添加

  9. 设置用户和资产之后,在新建运维规则页单击创建运维规则即可完成授权。

编辑运维规则

运维规则页,单击运维规则名称或者单击编辑规则可以对运维规则进行修改。

参照以下步骤修改运维规则:
  1. 进入授权 > 运维授权页。
  2. 选择要操作的规则,单击运维规则名称或者单击编辑规则进入运维规则总览页,在此页面可以修改规则名称、规则有效期等信息。

  3. 前往用户/资产页,修改用户和资产间关联关系。

  4. 前往登录限制页,编辑源IP的黑白名单列表及登录时段限制。编辑完成后勾选启用登录限制并单击保存更改
    说明 若不勾选 启用登录限制,则 登录限制页的设置不会生效。


  5. 前往命令控制页,启用命令控制,并配置命令阻断,命令审批和命令黑白名单。
    说明 若不勾选 启用命令控制,则 命令控制页的设置不会生效。


  6. 前往协议控制页,配置各个协议会话中的相关控制选项。
    说明 此处的协议控制选项作用与主机配置中的协议控制选项相同,但优先级高于主机配置。勾选启用协议控制后,在此运维规则的授权关系中所采用的是此处的协议控制设置,否则将采用主机配置中的协议控制设置。此处设置主要用于同一主机账户授权给不同用户时需要对不同用户设置不同权限的场景。


  7. 前往审批配置页,设置命令审批人。
    说明 此项配置只对命令审批有效。


删除、禁用或启用运维规则

参照以下步骤管理运维规则:
  1. 进入授权 > 运维授权页。
  2. 勾选相应的运维规则,单击删除禁用启用可对规则执行相应操作。

查看运维分组

参照以下步骤查看运维分组:
  1. 进入授权 > 运维授权页。
  2. 在搜索框输入用户名、主机帐户、帐户组和应用进行搜索。您也可以按用户类型、资产类型、IP范围限制和部门过滤授权规则,快速查找授权关系。