PAM各版本功能对比

一级功能

二级功能

功能描述

免费版

开发者版

轻量版

资产管理

资产类型

• 支持阿里云云服务器ECS（Elastic Compute Service）及线下资产，包括Linux和Windows系统。

• 支持阿里云容器服务Kubernetes版（Alibaba Cloud Container Service for Kubernetes，简称容器服务ACK）。

云服务器ECS

云服务器ECS

云服务器ECS、容器服务ACK（公测）

运维协议

支持通过SSH和RDP协议进行运维。

Web方式运维

• 阿里云控制台：直接登录特权访问管理中心控制台运维（RAM用户）。

• 运维工作台：针对运维员提供独立运维门户，运维员登录后可运维被授权的资产（自建用户）。

• ECS入口：支持通过WorkBench的安全运维入口进行一键运维操作。

控制台

控制台、UserPortal（运维工作台）

控制台、UserPortal（运维工作台）

客户端运维

支持通过标准客户端访问堡垒机进行资产运维访问

文件传输

支持将本地文件上传至目标资产或者将目标资产文件下载至本地。

用户管理

用户认证

支持阿里云访问控制RAM账号支持自建用户授权管理。

多因子认证

支持通过短信、邮箱和TOTP令牌进行二次认证。

登录密码保护

运维员首次登录（含管理员修改密码）时需重置密码。

RAM用户角色

• 管理员：配置AliyunBastionhostPamFullAccess权限的用户。

• 只读人员：配置AliyunBastionhostPamReadOnlyAccess权限的用户。

• 审计员：配置AliyunBastionhostPamAuditorAccess权限的用户。

凭据管理

凭据发现

自动识别已托管资产的全量系统账户并自动识别打标特权账户。

凭据管理

统⼀对系统账户及其密码进行托管、编辑、删除、打标（区分特权与普通凭据）等操作。

凭据授权

支持统⼀将系统账户按特权与普通凭据的维度授权给用户。

凭据验证

使用托管凭据进行登录验证，确保凭据的有效性。

凭据轮转

通过创建定时或周期凭据轮转任务，结合密码策略（复杂度和长度），实现批量凭据的自动化轮转。

授权规则

精确控制用户对资产的访问权限，支持灵活的授权配置，包括指定用户、用户组、资产、节点、账号类型及授权时效管理

控制策略

来源IP

运维人员登录来源IP受管理员控制（黑名单、白名单）。

访问时间段

自定义限制运维人员可登录的时间段。

登录审批

运维员通过运维工作台登录资产时，需由管理员审批通过，才能进行运维。

命令控制

运维员执行命令受管理员控制（黑名单、白名单）。

任务中心

任务单审批

运维员通过运维工作台运维资产时，需在管理员审批通过后方可登录进行运维。

任务单查看

查看任务审批记录。

安全审计

历史会话

支持对已结束的会话进行审计和查看录像回放。

命令审计

支持对操作命令进⾏审计。

实时会话

支持对正在进行的会话进行实时查看。

文件审计

支持查看通过堡垒机（开发者版、轻量版）运维访问资产时，文件上传、下载等操作的审计日志。

类别

项目

免费版

开发者版

轻量版

基础配置

资产数

2个

5个（最大可扩展至20个）

5个（最大可扩展至20个）

并发数

1个

5个（最大可扩展至100个）

5个（最大可扩展至100个）

网络域数

1个

1个（最大可扩展至100个）

1个（最大可扩展至100个）

审计日志默认存储时长

24小时

180天

365天

录像存储空间

2 GB

20 GB

200 GB

用户数

100个

1000个

用户组数

50个

500个

资产组数

1个

50个

500个

单资产可托管凭据数

4个

10个

100个

功能项

资产类型

云服务器ECS

云服务器ECS

云服务器ECS、容器服务ACK（限时免费）

用户管理

RAM用户

RAM用户、本地创建

RAM用户、本地创建

凭据管理

运维协议

RDP、SSH

RDP、SSH

RDP、SSH

Web方式运维

控制台

控制台、UserPortal（运维工作台）

控制台、UserPortal（运维工作台）

客户端运维

实时会话监控

文件传输

双因子认证

控制策略

工单系统