在使用堡垒机进行主机运维前,管理员需要创建授权组,将指定资产、凭据、用户和控制策略关联在一起,即授权指定用户通过凭据运维指定资产。本文将指导管理员在堡垒机实例中创建授权组。

背景信息

关于添加资产和凭据,请参见步骤1:同步阿里云ECS

关于添加用户,请参见步骤2:新建本地用户

控制策略支持启用并设置多种运维功能限制,包括协议控制、来源IP控制、访问时间段控制、命令控制。更多信息,请参见控制策略管理

操作步骤

  1. 登录云盾堡垒机实例
  2. 前往授权 > 授权组页面,单击页面右上角的新建授权组
  3. 新建授权组对话框中,输入授权组名称,单击确定
    成功创建授权组,已创建的授权组出现在授权组列表中。您需要进一步配置授权组。
  4. 单击已创建的授权组中服务器/服务器组用户凭据控制策略下方的链接字符,为授权组添加服务器、用户、凭据、控制策略,将添加的对象关联绑定在一起,即授权指定用户通过指定凭据登录运维指定的服务器,运维授权受到指定的控制策略的限制。
    说明 服务器和凭据要对应,否则可能导致无法登录。
  5. 可选:如果您希望堡垒机用户在通过SSH或RDP协议方式登录堡垒机时,使用密码 + 短信验证码的双因子认证方式,您可以前往系统 > 系统设置页面,勾选双因子认证选项,并单击保存设置

执行结果

完成用户授权。运维人员可以通过本地客户端工具登录堡垒机实例,并选择已授权的主机进行运维。

后续步骤

步骤4:运维及审计查询