新建及管理堡垒机用户_运维安全中心（堡垒机）(Bastionhost)-阿里云帮助中心

管理员在堡垒机管理页面创建堡垒机用户后，运维员即可通过该用户登录堡垒机访问已授权的主机或数据库资产。

用户类型

堡垒机支持导入阿里云RAM用户、新建堡垒机本地用户或导入AD/LDAP/IDaaS认证用户，以作为堡垒机的运维员。

重要

IDaaS用户暂不支持通过密码认证方式使用客户端工具登录堡垒机进行资产运维，可以通过运维令牌认证方式使用客户端工具进行运维，或者通过运维门户进行运维。具体操作，请参见运维使用手册。

用户类型	描述
RAM用户	通过RAM访问控制台创建阿里云RAM用户后，您可以在堡垒机管理页面一键导入RAM用户。
堡垒机本地用户	您可以通过单个创建或批量从文件导入的方式新建堡垒机本地用户。
AD/LDAP用户	您可以在堡垒机上配置AD或LDAP认证，并将AD或LDAP用户同步到堡垒机。说明导入AD或LDAP用户前，请确保您已经配置AD或LDAP认证。具体操作，请参见配置AD或LDAP认证。
IDaaS用户	您可以在堡垒机上配置IDaaS认证，并将IDaaS用户同步到堡垒机。说明导入IDaaS用户前，请确保您已经配置IDaaS认证。具体操作，请参见管理IDaaS认证。

用户列表说明

在创建新用户之后，您可以通过下表了解用户列表部分展示项的具体含义。

展示项	描述
用户名	用户登录堡垒机的账户名称。 RAM用户：同步新建RAM用户时设置的登录名称。如需修改用户名，请参见修改RAM用户基本信息。本地用户：管理员新增用户时设置的用户名，不支持修改。 AD/LDAP用户：同步AD/LDAP服务器中的用户名。若需修改用户名，请前往相应的AD/LDAP服务器进行更改。 IDaaS用户：同步阿里云IDaaS EIAM中的账户，不支持修改。
认证源	用户类型，例如本地用户显示为本地认证。
双因子认证方式	用户登录堡垒机时，通过密码认证之后，还需要通过短信、邮件或钉钉工作消息通知发送动态验证码进行二次认证，降低安全风险。 RAM用户：RAM用户自有认证。RAM用户双因子认证方式需登录RAM访问控制台配置，具体操作，请参见为RAM用户绑定MFA设备。 IDaaS用户：IDaaS自有认证。IDaaS用户双因子认证方式请登录阿里云IDaaS控制台配置。具体操作，请参见二次认证。本地用户或AD/LDAP用户：全局配置，请参见开启双因子认证。单个用户配置，请参见新建用户。
手机OTP令牌绑定	当前用户是否绑定了手机TOTP令牌。如何绑定，请参见新建用户。说明 RAM用户和IDaaS用户不涉及。
状态	当前用户状态。关于用户状态配置说明，请参见用户配置。长时间未登录：用户超过设置的时间未登录时，用户状态标记为长时间未登录。密码过期：超过设置的密码有效时长后，用户状态标记为密码过期。锁定：用户登录堡垒机时，如果密码连续输入错误次数超过指定值或管理员手动锁定该用户，用户状态标记为锁定。在系统设置开启长时间未登录用户自动锁定后，系统将自动锁定长时间未登录用户，用户状态标记为锁定。用户源已删除：根据用户名在对应认证源上无法搜索到用户时会标记为用户源已删除。该状态仅可筛选AD/LDAP/IDaaS用户。用户DN有更新：用户在AD/LDAP服务器上BaseDN与堡垒机上配置不一致时会被标记为用户DN有更新。
操作	管理员对目标用户的授权操作，具体操作，请参见授权资产及资产账户或授权资产组。

新建用户

您可以根据实际业务需求，为运维员创建用于登录堡垒机的用户账户。

导入RAM用户

登录堡垒机控制台，在顶部菜单栏，选择堡垒机所在的地域。
在堡垒机实例列表，定位到目标实例，单击管理。
在左侧导航栏，选择人员管理 > 用户。
在用户页面，单击导入RAM用户。
可选：如果您还未创建RAM用户，您可以在导入RAM用户页面，单击新建RAM用户，根据页面提示新建RAM用户。
新建RAM用户的具体操作，请参见创建RAM用户。
在导入RAM用户页面，在目标RAM用户的操作列单击导入，导入单个RAM用户；或者同时选中多个RAM用户后单击导入，批量导入多个RAM用户。
说明
如果需要为RAM用户设置双因子认证，您可以登录RAM访问控制台，设置RAM用户的多因素认证MFA（Multi Factor Authentication）。具体操作，请参见为阿里云账号绑定MFA设备。

新建本地用户

登录堡垒机控制台，在顶部菜单栏，选择堡垒机所在的地域。
在堡垒机实例列表，定位到目标实例，单击管理。
在左侧导航栏，选择人员管理 > 用户。

在用户页面，参考下表，新增单个用户或从文件导入多个用户。

适用场景	操作说明
新增单个本地用户	选择导入其他来源用户 > 新增用户在新增用户面板，配置用户信息，单击创建。配置用户信息需将认证方式选择为本地认证，除配置基础信息外，您还可以进行以下操作。开启本地用户在下次登录时必须重置密码：勾选后，强制本地用户下一次登录时修改密码。该功能仅针对本地用户可用。设置有效期：设置有效期限后，在用户列表的状态列，未在有效期内的用户状态会显示为已过期，且用户无法登录堡垒机进行运维操作。配置双因子认证方式：开启后，用户登录堡垒机时，通过密码认证之后，还需要通过短信、邮件或钉钉工作消息通知发送动态验证码进行二次认证，降低安全风险。说明开启双因子认证后，用户在登录时，必须使用手机号码或邮箱接收验证码进行验证，请确保填写的手机号码或邮箱地址无误。堡垒机短信双因子认证支持的国家和地区，请参见堡垒机短信双因子认证支持的国家和地区。您填写的手机号和邮箱仅用于接收验证码或告警信息，不用于其他用途。双因子认证方式包括以下两种类型：选择全局配置，表示当前用户采用全局的双因子认证方式，即您在系统设置中配置的双因子认证方式。具体操作，请参见开启双因子认证。选择单个用户配置，表示您需要对当前用户单独设置双因子认证方式。堡垒机支持设置以下双因子认证方式：不开启双因子认证：表示不开启双因子认证功能。手机短信双因子认证：表示使用当前用户的手机短信进行二次认证。此时您必须为该用户设置手机号码。邮箱双因子认证：表示使用当前用户的邮箱进行二次认证。此时您必须为该用户设置邮箱地址。钉钉双因子认证：表示使用当前用户的钉钉进行二次认证。此时您必须为该用户设置手机号码。说明如果您需要启用钉钉认证，请确保已符合以下要求：已为需要进行运维操作的用户账号添加手机号。为用户添加手机号的具体操作，请参见修改本地用户基本信息。钉钉管理员已创建企业内部应用，并且为应用开通根据手机号姓名获取成员信息的接口访问权限。已获取企业内部应用的AppKey、AppSecret、AgentId。手机OTP令牌认证：表示使用当前用户的手机OTP令牌进行认证，用户需要先绑定手机OTP令牌。说明选择该认证方式，您需先下载标准TOTP认证软件，例如阿里云App等，再通过公网地址登录堡垒机运维门户，在左侧导航栏单击安全设置，然后单击手机OTP令牌页签，单击设置令牌，自助扫描二维码，绑定OTP令牌认证。有关获取堡垒机运维地址的更多信息，请参见堡垒机页面概览。国密USBKEY：表示使用国密USBKEY进行登录认证，用户需要先绑定USBKEY证书，具体操作，请参见绑定USBKEY证书。配置双因子通知发送语言：选择全局配置，表示当前用户采用在系统设置中配置的双因子通知发送语言。具体操作，请参见开启双因子认证。选择单个用户配置：支持选择双因子使用简体中文或English语言发送通知。
批量从文件导入用户	选择导入其他来源用户列表中，选择从文件导入本地用户。单击下载用户模板文件，下载用户模板文件到本地，在用户模板文件录入用户信息并保存。在导入本地用户面板，单击点击上传，上传用户模板文件。在导入用户预览对话框，选择需要导入的用户，单击导入。在导入本地用户面板，确认用户信息，单击导入本地用户。选中本地用户在下次登录时必须重置密码，表示导入的所有用户在下一次登录时都要重置密码。说明如果导入用户中存在与文件中用户或系统中已有用户的用户名重复的情况，用户名重复的用户将不会被导入。您可以在导入本地用户面板上单击详情，查看未被导入的用户。

可选：如需堡垒机发送消息通知用户运维地址，需要为本地用户设置手机号或者邮箱（至少其中一项）后，勾选通知用户运维地址。

导入AD/LDAP用户

导入AD或LDAP用户前，请确保您已经配置了AD或LDAP认证。具体操作，请参见配置AD或LDAP认证。

登录堡垒机控制台，在顶部菜单栏，选择堡垒机所在的地域。
在堡垒机实例列表，定位到目标实例，单击管理。
在左侧导航栏，选择人员管理 > 用户。
选择导入其他来源用户 > 导入AD用户或导入LDAP用户。
在导入AD用户或导入LDAP用户页面，定位到目标用户，在操作列单击导入。
您可以选中多个用户进行批量导入。

导入IDaaS用户

导入IDaaS用户前，请确保您已经配置了IDaaS认证。具体操作，请参见管理IDaaS认证。

重要

登录堡垒机控制台，在顶部菜单栏，选择堡垒机所在的地域。
在堡垒机实例列表，定位到目标实例，单击管理。
在左侧导航栏，选择人员管理 > 用户。
选择导入其他来源用户 > 导入IDaaS用户。
在导入IDaaS用户页面，定位到目标用户，在操作列单击导入。
您可以选中多个用户进行批量导入。如果没有显示IDaaS用户，请您单击立即同步。

用户登录限制

您可以根据业务场景设置用户登录堡垒机的来源IP和时间段限制。

登录堡垒机控制台，在顶部菜单栏，选择堡垒机所在的地域。
在堡垒机实例列表，定位到目标实例，单击管理。
在左侧导航栏，选择人员管理 > 用户。
在用户列表中，单击需要限制用户登录的用户名。
在用户登录限制页签，设置用户登录堡垒机的来源IP和时间段限制，单击更新。
- （白名单）只允许以下IP：只允许白名单中的来源IP在指定时间段内登录堡垒机。
- （黑名单）不允许以下IP：黑名单中的来源IP在任何时间段都不能登录堡垒机，而黑名单以外的来源IP只能在指定时间段内登录堡垒机。

导出用户

导出用户后，您可以通过CSV本地文档格式查看用户列表。

登录堡垒机控制台，在顶部菜单栏，选择堡垒机所在的地域。
在堡垒机实例列表，定位到目标实例，单击管理。
在左侧导航栏，选择人员管理 > 用户。
在用户页面，在主机列表右上角，单击导出用户。

修改本地用户基本信息

说明

如需修改AD/LDAP认证用户、RAM用户或IDaaS认证用户的基本信息，请您前往对应的认证源进行修改。

当用户手机号、邮箱等信息变更时，您需要及时到控制台修改，否则用户可能无法及时接收验证信息，继而导致用户无法登录控制台。例如，如果用户更换手机号码后没有在堡垒机上及时维护新手机号码，登录堡垒机时，验证码会发送到旧手机号，导致用户无法收到验证码，无法登录堡垒机进行运维。

登录堡垒机控制台，在顶部菜单栏，选择堡垒机所在的地域。
在堡垒机实例列表，定位到目标实例，单击管理。
在左侧导航栏，选择人员管理 > 用户。
定位到需要修改信息的用户，单击目标用户名。
在该用户的基本信息页签下，修改用户信息，然后单击更新。

锁定或解锁用户

如果用户在一段时间内不需要使用堡垒机进行运维操作，管理员可以手动锁定用户或通过设置触发条件自动锁定用户。如果已被锁定的用户需要再次进行运维，管理员可以解锁该用户。

自动锁定用户

堡垒机默认提供自动锁定用户的功能。当用户连续输入错误密码超过5次时，堡垒机会自动将其锁定。管理员可以手动设置密码尝试次数，具体操作，请参见用户配置。

手动锁定或解锁用户

重要

手动锁定或解锁操作会即时生效，用户锁定后将无法登录服务器进行运维操作，请您谨慎操作。

登录堡垒机控制台，在顶部菜单栏，选择堡垒机所在的地域。
在堡垒机实例列表，定位到目标实例，单击管理。
在左侧导航栏，选择人员管理 > 用户。
在用户页面，勾选需要锁定或解锁的用户，在用户列表底部，选择批量 > 锁定或批量 > 解锁。
- 锁定：锁定用户后，您将收到用户锁定成功的提示信息。已锁定用户的状态会从正常切换为锁定。锁定用户后，管理员仍可以修改该用户的基本信息、为该用户授权主机和资产组。
- 解锁：解锁成功后，您将收到用户解锁成功的提示信息。该用户即可正常登录堡垒机对已授权的主机进行运维。

托管用户公钥

如果需要堡垒机托管用户公钥，您可以在配置用户公钥后将公钥托管至堡垒机，运维员即可使用私钥通过运维客户端登录堡垒机。具体运维流程，请参见SSH协议运维。

登录堡垒机控制台，在顶部菜单栏，选择堡垒机所在的地域。
在堡垒机实例列表，定位到目标实例，单击管理。
在左侧导航栏，选择人员管理 > 用户。
在用户列表中，单击需要配置用户公钥的用户名，在用户详情页面，单击用户公钥页签，然后单击添加SSH公钥。
在添加SSH公钥面板上，配置公钥名称和公钥内容，单击添加SSH公钥。
配置完成后，您可以在用户公钥列表中查看已托管的用户公钥。

删除用户

如果运维人员不再需要通过堡垒机运维主机，您可以删除对应的用户，降低安全风险。

登录堡垒机控制台，在顶部菜单栏，选择堡垒机所在的地域。
在堡垒机实例列表，定位到目标实例，单击管理。
在左侧导航栏，选择人员管理 > 用户。
在用户列表中，选中需要删除的用户，在列表下方单击删除。

修改本地用户在下次登录时重置密码配置

在创建本地用户时，如果忘记开启本地用户在下次登录时必须重置密码，或者已经启用该功能但需要关闭，您可以参考以下步骤进行修改。

登录堡垒机控制台，在顶部菜单栏，选择堡垒机所在的地域。
在堡垒机实例列表，定位到目标实例，单击管理。
在左侧导航栏，选择人员管理 > 用户。
在用户列表中，选中目标用户，在列表下方选择批量 > 修改本地用户在下次登录时必须重置密码配置。
在弹出的对话框的下拉列表中，根据实际需求，选择开启或关闭，然后单击确定。