本文介绍特权访问管理中心 PAM(Privileged Access Management)的功能特性,帮助您更好地了解和使用PAM。
背景信息
开发者版:适用于开发者个人或微小企业的纯云上客户(5~20个资产),具备基础的管理员统一运维、运维用户访问授权管控、运维审计全录像等能力,并提供更深度的云上体验,轻量化部署开通,云上多VPC内网打通,资产账号自动识别等。
轻量版:适用于小型纯云上企业客户(5~20个资产),具备除开发者版本的基础运维需求能力外,增加更多企业常用运维及管控能力,例如文件传输及审计能力、管理员对运维用户操作的命令管控操作,自动阻断高危命令保障运维安全,以及365天日志存储等更高的配置规格和性能。
功能列表
下表列出了PAM支持的全部功能以及描述。如需查看PAM不同版本功能及规格差异,请参见不同版本功能及规格差异。
一级功能 | 二级功能 | 功能描述 | 免费版 | 开发者版 | 轻量版 |
资产管理 | 资产类型 |
| 云服务器ECS | 云服务器ECS | 云服务器ECS、容器服务ACK(公测) |
运维协议 | 支持通过SSH和RDP协议进行运维。 |
|
|
| |
Web方式运维 |
| 控制台 | 控制台、UserPortal(运维工作台) | 控制台、UserPortal(运维工作台) | |
客户端运维 | 支持通过标准客户端访问堡垒机进行资产运维访问 |
|
|
| |
文件传输 | 支持将本地文件上传至目标资产或者将目标资产文件下载至本地。 |
|
|
| |
用户管理 | 用户认证 | 支持阿里云访问控制RAM账号支持自建用户授权管理。 |
|
|
|
多因子认证 | 支持通过TOTP令牌服务进行二次认证。 |
|
|
| |
登录密码保护 | 运维员首次登录(含管理员修改密码)时需重置密码。 |
|
|
| |
RAM用户角色 |
|
|
|
| |
凭据管理 | 凭据识别 | 自动识别已托管资产的全量系统账户并自动识别打标特权账户。 |
|
|
|
凭据管理 | 统⼀对系统账户及其密码进行托管、编辑、删除、打标(区分特权与普通凭据)等操作。 |
|
|
| |
凭据授权 | 支持统⼀将系统账户按特权与普通凭据的维度授权给用户。 |
|
|
| |
凭据验证 | 使用托管凭据进行登录验证,确保凭据的有效性。 |
|
|
| |
控制策略 | 来源IP | 运维人员登录来源IP受管理员控制(黑名单、白名单)。 |
|
|
|
访问时间段 | 自定义限制运维人员可登录的时间段。 |
|
|
| |
命令控制 | 运维人员执行命令受管理员控制(黑名单、白名单)。 |
|
|
| |
审计 | 历史会话 | 支持对已结束的会话进行审计和查看录像回放。 |
|
|
|
命令审计 | 支持对操作命令进⾏审计。 |
|
|
| |
实时会话 | 支持对正在进行的会话进行实时查看。 |
|
|
| |
文件审计 | 支持查看通过PAM运维访问资产时,文件上传、下载等操作的审计日志。 |
|
|
|
不同版本功能及规格差异
类别 | 项目 | 免费版 | 开发者版 | 轻量版 |
基础配置 | 资产数 | 2个 | 5个(最大可扩展至20个) | 5个(最大可扩展至20个) |
并发数 | 1个 | 2个(最大可扩展至100个) | 5个(最大可扩展至100个) | |
网络域数 | 1个 | 1个(最大可扩展至100个) | 1个(最大可扩展至100个) | |
审计日志默认存储时长 | 24小时 | 180天 | 365天 | |
录像存储空间 | 2 GB | 20 GB | 200 GB | |
用户数 |
| 100个 | 1000个 | |
用户组数 |
| 50个 | 500个 | |
资产组数 | 1个 | 50个 | 500个 | |
单资产可托管凭据数 | 4个 | 10个 | 100个 | |
功能项 | 资产类型 | 云服务器ECS | 云服务器ECS | 云服务器ECS、容器服务ACK(限时免费) |
用户管理 | RAM用户 | RAM用户、本地创建 | RAM用户、本地创建 | |
凭据管理 |
|
|
| |
运维协议 | RDP、SSH | RDP、SSH | RDP、SSH | |
Web方式运维 | 控制台 | 控制台、UserPortal(运维工作台) | 控制台、UserPortal(运维工作台) | |
客户端运维 |
|
|
| |
实时会话监控 |
|
|
| |
文件传输 |
|
|
| |
双因子认证 |
|
|
| |
控制策略 |
|
|
|