快速入门

更新时间: 2024-06-17 17:51:37

本文以PAM开发者版和云服务器ECS资产为例,介绍如何在PAM中进行资产运维及审计运维会话。

前提条件

  • 已购买PAM开发者版实例。具体操作,请参见购买实例

    image

  • 已在系统设置页面开启自动启用网络域。具体操作,请参见自动创建并启用网络域

    image

  • 已获取运维员工作台地址。

    您可以在PAM控制台的概览页面获取运维员工作台地址。

    image

  • 已创建ECS实例。具体操作,请参见自定义购买实例

步骤一:同步ECS资产

在使用PAM运维资产前,管理员需要在PAM控制台同步需要管理的资产。首次开通PAM时,系统会自动同步一次资产。之后,系统将会在每天凌晨0点自动进行资产全量同步。如果当天新建的ECS资产未自动同步,您可以参考以下步骤手动同步资产。

  1. 登录特权访问管理中心控制台
  2. 在左侧导航栏,单击资产运维
  3. ECS资产运维页签,单击同步资产

    资产同步的耗时取决于当前账号下ECS资产的数量,一般情况下整个同步过程预计需要1~5分钟。

步骤二:托管ECS资产

在将ECS资产同步至PAM之后,您需要完成ECS资产的托管,才能通过PAM实现远程连接。

  1. 在左侧导航栏,单击资产运维
  2. 资产运维页面的ECS资产运维页签,定位到需要托管的资产,在托管状态列,单击托管图标。

  3. 在弹出的对话框,单击确定

步骤三:添加ECS资产登录凭据

登录凭据是用于登录ECS资产的用户名及密码信息(密码或者密钥对)。将ECS资产的登录凭据添加到PAM后,通过PAM运维资产时可实现免密登录。PAM同时支持凭据管理功能,您可以通过一键同步已托管资产的凭据,帮助您快速识别凭据,减少手动输入导致的录入不及时、数据偏差等问题,具体操作,请参见凭据发现

以下为您介绍手动添加资产凭据的步骤。

  1. 在左侧导航栏,单击资产运维
  2. 资产运维页面的ECS资产运维页签,选中目标资产,在资产列表底部,单击添加登录凭据

  3. 添加登录凭据对话框,参考下表填写登录凭据信息,单击确定

    每个资产最多可以添加100个登录凭据。

    配置项

    说明

    账户名

    登录ECS资产的用户名。例如ecs-user。

    登录凭据类型

    • 密码:需继续输入ECS资产账户对应密码。

    • 密钥对:需继续输入私钥(PEM格式)。

    凭据标签

    PAM通过标签形式区分账号权限,建议结合账号权限与自身业务来判定账号所对应的类型。

    • 特权账户:通常指在企业云端资源使用过程中,由于云端系统运维、应用/数据开发、资源管理等原因创建的具有系统超级管理、敏感数据增删改查、用户权限调整等进阶权限的账号。通常该类账号的滥用、误用会对企业核心业务的正常运转造成较大影响。

    • 普通账户:通常指代仅具有限制性权限的账号,通常此类账号的使用不会对企业业务造成影响,如常见的Guest账号、只读账号等。

步骤四:创建PAM用户并授权资产

通过PAM运维资产之前,管理员需要在PAM控制台创建PAM用户,并为用户授权运维资产的权限。

  1. 在左侧导航栏,单击用户授权
  2. 用户页签,单击新建用户

  3. 新建用户面板,参考下表,配置用户信息,单击创建

    配置项

    说明

    示例

    用户名

    命名规则:

    • 不能以特殊字符开始。

    • 可包含大写字母、小写字母、数字、中划线(-)、下划线(_)、点(.)。

    • 长度至少4位。

    pam_om

    显示名

    自定义控制台显示的名称有助于用户统一管理和识别。

    运维员A

    手机号

    手机号在PAM控制台具有唯一性。例如创建A用户使用1390000****,则创建B用户不能使用1390000****。

    1390000****

    双因子认证方式

    • 全局配置:表示当前用户采用全局的双因子认证方式,即您在系统设置中配置的双因子认证方式。具体操作,请参见开启双因子认证

    • 单个用户配置:表示您需要对当前用户单独设置双因子认证方式。您需要单击image图标开始双因子认证并选择认证方式。

      • Web运维认证方式支持以下认证方式:

        • 短信认证:表示使用当前用户的手机短信进行二次认证。此时您必须为该用户设置手机号码。

        • 邮箱认证:表示使用当前用户的邮箱进行二次认证。此时您必须为该用户设置邮箱地址。

        • TOTP令牌认证:表示使用当前用户的手机TOTP令牌进行认证。您需要下载标准TOTP认证软件,例如阿里云App。在通过Web方式或客户端方式运维时,需根据界面提示使用阿里云App扫描二维码获取安全码进行登录。

      • 客户端运维认证方式仅支持TOTP令牌认证,默认勾选。

    • 双因子认证方式:选择单个用户配置

    • Web运维认证方式:选择短信认证

    密码

    设置PAM用户密码。您可以单击自动生成,自动生成密码。

    密码规则如下:

    • 必须包含大写字母、小写字母、数字和特殊字符。

    • 长度至少为8位。

    • 不得包含任何形式(不区分大小写)的邮箱前缀、用户名、显示名或其拼音、手机号。

    • 密码不能和前N次的密码相同。

    单击自动生成,自动生成密码。

  4. 单击授权资产

  5. 授权资产面板,选中需要运维的ECS资产以及账户类型,单击完成

步骤五:使用PAM用户运维已托管的ECS资产

  1. 在浏览器中,输入获取到的运维员工作台地址。

  2. 运维工作台登录页面,输入PAM用户名(例如pam_om_auditor)和密码,单击登录

    image

  3. 完成短信认证后即可登录到运维工作台。

    在新建用户时,如果配置了多个双因子认证,则需要选择认证方式。

  4. 在左侧导航栏,单击资产运维

  5. 资产运维页面,选择默认资产组,定位到目标资产,在操作列,单击运维

  6. 运维对话框,选择登录凭据以及终端窗口打开方式,单击连接

    • 当前窗口(支持文件传输)(仅轻量版支持文件传输):表示在当前窗口运维资产。选择该方式运维,您可以自定义运维页面的主题颜色、字体以及代码行数。

      说明

      如需使用文件传输功能,即将本地文件上传至目标资产或者将目标资产文件下载至本地,需升级至轻量版。更多信息,请参见升级特权访问管理中心实例文件传输

    • 新窗口:在浏览器打开一个新的标签页运维资产,不支持自定义主题样式。

步骤六:审计运维会话

当PAM用户通过PAM运维资产时,管理员或审计员可以在PAM控制台查看用户会话的详细信息。

  1. 登录特权访问管理中心控制台
  2. 在左侧导航栏,单击运维审计

  3. 运维审计页面,查看资产相关的运维审计信息和历史操作记录。

    image

    会话类别

    说明

    历史会话

    历史会话记录可用于检查和分析用户的操作行为,以发现异常操作和风险事件,并记录用户的登录、操作和退出等过程,包括用户类型、操作时间、操作内容等信息。您可以在操作列,单击详情,查看用户和资产的详细信息,也可以单击播放,查看用户操作过程录像。

    命令审计

    命令审计可用于审查操作人员的行为是否符合安全标准,发现异常操作和风险事件,并记录用户类型、具体执行的命令、执行命令的时间等信息,以便进行后续分析和审计。您可以在操作列,单击详情,查看用户和资产的详细信息,也可以单击播放,查看用户操作过程录像。

    实时会话

    实时会话是对正在进行的会话进行实时查看,以检查用户的操作行为和操作结果,及时发现异常操作和风险事件。您可以在操作列,单击详情,查看会话的基本信息和资产详情。

    操作事件

    操作事件记录了阿里云账号的活动,您可以在操作列,单击查看事件详情,查看操作事件的详细信息。

    操作事件仅记录90天的操作事件,如需保存更长时间的事件,请您登录操作审计控制台创建跟踪;操作事件仅支持当前地域事件的简单查询,若您需要跨多个地域和更长时间进行多条件的查询,请使用事件高级查询

    说明

    仅轻量版支持文件审计。文件审计可以帮助您发现异常上传、下载等文件传输风险问题。更多说明,请参见运维审计

上一篇: 快速入门 下一篇: 操作指南
阿里云首页 运维安全中心(堡垒机) 相关技术圈