本文介绍堡垒机如何通过多账号统一管理的功能对资产进行运维管控。
背景信息
大型企业业务复杂,存在多账号管理资产的场景,堡垒机针对该场景结合资源目录RD(Resource Directory)上线多账号统一管理功能,以实现复杂账号环境下资产的统一安全管理和运维管控。
解决方案
在堡垒机中添加成员账号后,管理员即可导入成员账号下的目标资产,实时同步资产状态,统一管控运维策略、全面审计运维操作,实现云上多账号资产的全方位的运维及安全管控,降低管理成本。
资产管理上,堡垒机可以一键导入多个账号资产、自动同步资产状态、按所属账号区分资产归属。
说明您也可以通过新建主机的方式导入其他账号下的资产。具体操作,请参见新建主机。
跨账号访问资产可能会存在网络连通性问题,如果需要堡垒机与服务器内网连通,您可以自行打通网络或者使用网络域功能,详情请参见混合运维场景最佳实践。
运维管控上,堡垒机支持针对多个账号下的资产进行统一的访问权限和策略管控。
细粒度的资产统一授权:可以将多个账号下的资产及资产账户权限授权给堡垒机用户,帮助企业梳理复杂的资产权限,降低权限混乱风险,并支持在用户界面按阿里云账号维度筛选被授权资产,提高权限管控效率。
运维行为的统一策略管控:对多账号下资产自定义组合关联策略包括命令审批、命令黑白名单、文件传输等运维行为的管控,加强资产的运维安全,降低管理成本。
安全审计上,堡垒机支持对多个账号下资产运维行为的统一全程录像及日志审计,可以按照阿里云账号维度进行筛选,方便用户管理和审计特定账号下的资产和运维行为。
前提条件
已开通资源目录。具体操作,请参见开通资源目录。
已在资源目录加入成员账号。
如果需要创建新的成员账号,请参见创建成员。
如果需要将已有账号添加到资源目录,请参见邀请阿里云账号加入资源目录。
如果您使用RAM用户进行管理,需要授权管理云盾堡垒机(AliyunYundunBastionHostFullAccess)和管理资源目录服务(AliyunResourceDirectoryFullAccess)的权限。如何为RAM用户授权,请参见为RAM用户授权。
已在堡垒机添加成员账号。具体操作,请参见多账号统一管理。
资产管理
导入多账号下的资产后,可以在资产列表查看资产所属账号,并支持按账号维度筛选。多账号资产导入流程如下:
登录堡垒机控制台,在顶部菜单栏,选择堡垒机所在的地域。
在堡垒机实例列表,定位到目标实例,单击管理。
在左侧导航栏的资产管理页签下,单击目标资产(主机、数据库)。
在目标资产页面,导入多账号资产。
运维管控
访问控制
将其他账号下资产导入到堡垒机之后,即可在堡垒机中授权给相应用户。支持在用户页面按所属账号维度筛选被授权资产,清晰展示特定账号资产的授权情况。按用户维度授权步骤如下:
登录堡垒机控制台,在顶部菜单栏,选择堡垒机所在的地域。
在堡垒机实例列表,定位到目标实例,单击管理。
在左侧导航栏,选择。
在用户列表中,单击目标用户名称。
在目标资产页签,单击无已授权账户,点击授权账户。
在弹出的面板,选中对应的资产账户并单击更新。
说明如果显示没有账号,您可以单击新建主机账户创建资产账户。
如需了解各资产的详细授权流程,请参见授权资产及资产账户。
控制策略
堡垒机支持将多账号资产按需求关联在控制策略中,并可按照资产组授权,用户可以按照授权及运维管控需求场景将多账号资产梳理后按资产组分组配置,再关联控制策略。新建控制策略步骤如下:
登录堡垒机控制台,在顶部菜单栏,选择堡垒机所在的地域。
在堡垒机实例列表,定位到目标实例,单击管理。
在左侧导航栏,单击控制策略。
在控制策略页面,单击新建控制策略。
在新建控制策略页面,配置控制策略的名称、优先级、命令控制、命令审批、协议控制、访问控制以及运维审批,单击新建控制策略。
在关联资产/用户页面,您需要同时为该策略关联资产及用户,使该策略在相应资产及用户上生效。
为该策略关联资产。支持选择策略针对所有资产生效或策略针对已选择的资产生效。
选择策略针对所有资产生效,默认对所有资产账户生效。
选择策略针对已选择的资产生效,在关联资产后,可选择关联所有账户或者关联指定账户。
说明如果需要通过控制策略批量关联资产或者资产账户,可以先将资产批量添加到资产组,再进行批量关联。
为该策略关联用户。支持选择策略针对所有用户生效或策略针对已选择的用户生效。
如需了解控制策略详细配置信息,请参见配置控制策略。
安全审计
堡垒机支持全程审计用户通过堡垒机访问资产的操作,在会话审计页面可以按照资产所属账号ID进行审计记录的筛选,快速定位特定账号资产的会话审计记录。
登录堡垒机控制台,在顶部菜单栏,选择堡垒机所在的地域。
在堡垒机实例列表,定位到目标实例,单击管理。
在左侧导航栏,选择。
在会话审计页面,搜索和查看会话记录。
如需了解更多关于会话审计内容,请参见会话审计。