管理员通过控制策略,可以对运维用户实施登录控制(包括登录源、登录时间段及登录审批)和命令控制,能够有效防止用户进行高风险命令操作或误操作,共同构建细粒度运维控制体系。本文介绍如何新建控制策略。
版本限制
新建控制策略
登录特权访问管理中心控制台。
在左侧导航栏,单击控制策略。
在 控制策略页面,单击新建策略。
在创建控制策略面板,参考下表进行设置,设置完成后单击创建。
策略创建完成后,默认为已启用状态。
策略类型
说明
配置示例
基础信息
策略名称
设置策略名称,规则如下:
只能包含数字、英文字母和下划线。
不能超过20个字符。
Seuritypolicy
优先级
优先级可选范围为1~100,默认值为1,即最高优先级。同优先级拒绝规则优先。
1
关联用户
选择策略生效的PAM用户。可以选择全量用户,也可以指定部分用户。
指定用户
目标资产
资产范围
选择策略生效的资产。可以选择全量资产,也可以指定部分资产。
指定资产
账号
选择策略生效的资产登录账号。可以选择全量账户,也可以指定部分账户,或选择账户标签。
指定账号
命令控制
对指定的命令进行管控,多个命令使用英文逗号(,)分隔,不可重复。
白名单:只允许与策略关联的用户在目标资产中执行列表中的命令。
黑名单:不允许与策略关联的用户在目标资产中执行列表中的命令。
命令列表:
reboot,restart控制类型:黑名单。
登录源控制
配置当前登录IP是否可以访问当前策略生效的资产。
白名单:只允许白名单中的IP访问当前策略生效的资产。
黑名单:不允许黑名单中的IP访问当前策略生效的资产。
192.168.0.1
172.16.0.1/24
登录时间段控制
对每天内指定时间段的访问进行控制,可选允许和拒绝。
支持同时设置多个时间段。
访问时间段选择拒绝,选择时间段为星期一:8:00~9:00,表示不允许在这个时间段内对服务器进行操作。
登录审批
开启后,运维员通过运维工作台登录资产时,需由管理员审批通过,才能进行运维。管理员如何进行运维审批,请参见任务中心。
无