快速入门
本文以PAM开发者版和云服务器ECS资产为例,介绍如何在PAM中进行资产运维及审计运维会话。
前提条件
已购买PAM开发者版实例。具体操作,请参见购买实例。
已在系统设置页面开启自动启用网络域。具体操作,请参见自动创建并启用网络域。
已获取运维员工作台地址。
您可以在PAM控制台的概览页面获取运维员工作台地址。
已创建ECS实例。具体操作,请参见自定义购买实例。
步骤一:同步ECS资产
在使用PAM运维资产前,管理员需要在PAM控制台同步需要管理的资产。首次开通PAM时,系统会自动同步一次资产。之后,系统将会在每天凌晨0点自动进行资产全量同步。如果当天新建的ECS资产未自动同步,您可以参考以下步骤手动同步资产。
- 登录特权访问管理中心控制台。
- 在左侧导航栏,单击资产运维。
在ECS资产运维页签,单击同步资产。
资产同步的耗时取决于当前账号下ECS资产的数量,一般情况下整个同步过程预计需要1~5分钟。
步骤二:托管ECS资产
在将ECS资产同步至PAM之后,您需要完成ECS资产的托管,才能通过PAM实现远程连接。
- 在左侧导航栏,单击资产运维。
在资产运维页面的ECS资产运维页签,定位到需要托管的资产,在托管状态列,单击图标。
在弹出的对话框,单击确定。
步骤三:添加ECS资产登录凭据
登录凭据是用于登录ECS资产的用户名及密码信息(密码或者密钥对)。将ECS资产的登录凭据添加到PAM后,通过PAM运维资产时可实现免密登录。PAM同时支持凭据管理功能,您可以通过一键同步已托管资产的凭据,帮助您快速识别凭据,减少手动输入导致的录入不及时、数据偏差等问题,具体操作,请参见凭据发现。
以下为您介绍手动添加资产凭据的步骤。
- 在左侧导航栏,单击资产运维。
在资产运维页面的ECS资产运维页签,选中目标资产,在资产列表底部,单击添加登录凭据。
在添加登录凭据对话框,参考下表填写登录凭据信息,单击确定。
每个资产最多可以添加100个登录凭据。
配置项
说明
账户名
登录ECS资产的用户名。例如ecs-user。
登录凭据类型
密码:需继续输入ECS资产账户对应密码。
密钥对:需继续输入私钥(PEM格式)。
凭据标签
PAM通过标签形式区分账号权限,建议结合账号权限与自身业务来判定账号所对应的类型。
特权账户:通常指在企业云端资源使用过程中,由于云端系统运维、应用/数据开发、资源管理等原因创建的具有系统超级管理、敏感数据增删改查、用户权限调整等进阶权限的账号。通常该类账号的滥用、误用会对企业核心业务的正常运转造成较大影响。
普通账户:通常指代仅具有限制性权限的账号,通常此类账号的使用不会对企业业务造成影响,如常见的Guest账号、只读账号等。
步骤四:创建PAM用户并授权资产
通过PAM运维资产之前,管理员需要在PAM控制台创建PAM用户,并为用户授权运维资产的权限。
- 在左侧导航栏,单击用户授权。
在用户页签,单击新建用户。
在新建用户面板,参考下表,配置用户信息,单击创建。
配置项
说明
示例
用户名
命名规则:
不能以特殊字符开始。
可包含大写字母、小写字母、数字、中划线(-)、下划线(_)、点(.)。
长度至少4位。
pam_om
显示名
自定义控制台显示的名称有助于用户统一管理和识别。
运维员A
手机号
手机号在PAM控制台具有唯一性。例如创建A用户使用1390000****,则创建B用户不能使用1390000****。
1390000****
双因子认证方式
全局配置:表示当前用户采用全局的双因子认证方式,即您在系统设置中配置的双因子认证方式。具体操作,请参见开启双因子认证。
单个用户配置:表示您需要对当前用户单独设置双因子认证方式。您需要单击图标开始双因子认证并选择认证方式。
Web运维认证方式支持以下认证方式:
短信认证:表示使用当前用户的手机短信进行二次认证。此时您必须为该用户设置手机号码。
邮箱认证:表示使用当前用户的邮箱进行二次认证。此时您必须为该用户设置邮箱地址。
TOTP令牌认证:表示使用当前用户的手机TOTP令牌进行认证。您需要下载标准TOTP认证软件,例如阿里云App。在通过Web方式或客户端方式运维时,需根据界面提示使用阿里云App扫描二维码获取安全码进行登录。
客户端运维认证方式仅支持TOTP令牌认证,默认勾选。
双因子认证方式:选择单个用户配置
Web运维认证方式:选择短信认证
密码
设置PAM用户密码。您可以单击自动生成,自动生成密码。
密码规则如下:
必须包含大写字母、小写字母、数字和特殊字符。
长度至少为8位。
不得包含任何形式(不区分大小写)的邮箱前缀、用户名、显示名或其拼音、手机号。
密码不能和前N次的密码相同。
单击自动生成,自动生成密码。
单击授权资产。
在授权资产面板,选中需要运维的ECS资产以及账户类型,单击完成。
步骤五:使用PAM用户运维已托管的ECS资产
在浏览器中,输入获取到的运维员工作台地址。
在运维工作台登录页面,输入PAM用户名(例如pam_om_auditor)和密码,单击登录。
完成短信认证后即可登录到运维工作台。
在新建用户时,如果配置了多个双因子认证,则需要选择认证方式。
在左侧导航栏,单击资产运维。
在资产运维页面,选择默认资产组,定位到目标资产,在操作列,单击运维。
在运维对话框,选择登录凭据以及终端窗口打开方式,单击连接。
当前窗口(支持文件传输)(仅轻量版支持文件传输):表示在当前窗口运维资产。选择该方式运维,您可以自定义运维页面的主题颜色、字体以及代码行数。
说明如需使用文件传输功能,即将本地文件上传至目标资产或者将目标资产文件下载至本地,需升级至轻量版。更多信息,请参见升级特权访问管理中心实例和文件传输。
新窗口:在浏览器打开一个新的标签页运维资产,不支持自定义主题样式。
步骤六:审计运维会话
当PAM用户通过PAM运维资产时,管理员或审计员可以在PAM控制台查看用户会话的详细信息。
- 登录特权访问管理中心控制台。
在左侧导航栏,单击运维审计。
在运维审计页面,查看资产相关的运维审计信息和历史操作记录。
会话类别
说明
历史会话
历史会话记录可用于检查和分析用户的操作行为,以发现异常操作和风险事件,并记录用户的登录、操作和退出等过程,包括用户类型、操作时间、操作内容等信息。您可以在操作列,单击详情,查看用户和资产的详细信息,也可以单击播放,查看用户操作过程录像。
命令审计
命令审计可用于审查操作人员的行为是否符合安全标准,发现异常操作和风险事件,并记录用户类型、具体执行的命令、执行命令的时间等信息,以便进行后续分析和审计。您可以在操作列,单击详情,查看用户和资产的详细信息,也可以单击播放,查看用户操作过程录像。
实时会话
实时会话是对正在进行的会话进行实时查看,以检查用户的操作行为和操作结果,及时发现异常操作和风险事件。您可以在操作列,单击详情,查看会话的基本信息和资产详情。
操作事件
操作事件记录了阿里云账号的活动,您可以在操作列,单击查看事件详情,查看操作事件的详细信息。
操作事件仅记录90天的操作事件,如需保存更长时间的事件,请您登录操作审计控制台创建跟踪;操作事件仅支持当前地域事件的简单查询,若您需要跨多个地域和更长时间进行多条件的查询,请使用事件高级查询。
说明仅轻量版支持文件审计。文件审计可以帮助您发现异常上传、下载等文件传输风险问题。更多说明,请参见运维审计。