文档

控制策略

更新时间:

PAM管理员通过设置控制策略,可以对运维员的IP、运维时间和运维操作进行精细化管控,从而有效降低运维风险。在未配置控制策略的情况下,运维员的IP、运维时间等将不受管控。

背景信息

运维工作人员需要获得管理员的授权后,才能够使用对应权限等级的凭据对云服务器进行运维。此外,在运维过程中,管理员可以配置协议、命令、访问时间段以及来源IP地址的控制策略。

每条控制策略中支持配置多条规则,实现复杂场景下的运维管控。

前提条件

已购买或者已升级至PAM轻量版。具体操作,请参见购买实例升级特权访问管理中心实例

创建控制策略

  1. 登录特权访问管理中心控制台
  2. 控制策略页面,单击添加策略

  3. 新建策略面板中,设置策略的内容,例如策略名称、策略描述、策略设置等。

    每条策略中可以配置多条规则。策略设置说明如下:

    策略类型

    说明

    配置示例

    基础信息

    策略名称

    设置策略名称,规则如下:

    • 只能包含数字、英文字母和下划线。

    • 不能超过20个字符。

    Seuritypolicy

    优先级

    优先级可选范围为1~100,默认值为1,即最高优先级。同优先级拒绝规则优先。

    1

    策略描述

    输入策略描述。

    用户IT部门的运维管理策略

    策略设置

    ip控制

    对指定来源IP地址的访问进行管控,可选允许拒绝

    支持同时设置多个IP地址,多个IP使用英文逗号(,)分隔,不可重复。

    访问时间段选择拒绝,IP输入1.*.*.4,表示不允许该IP对ECS实例进行操作。

    时间控制

    对每天内指定时间段的访问进行控制,可选允许拒绝

    支持同时设置多个时间段。

    访问时间段选择拒绝,选择时间段为星期一:8:00~9:00,表示不允许这个时间段内对服务器进行操作。

    命令控制

    对指定的Linux命令进行管控,可选允许拒绝

    支持同时设置多个命令,多个命令使用英文逗号(,)分隔,不可重复。

    访问时间段选择拒绝,命令输入为rm -f *,表示不允许运维人员在服务器执行该命令。

  4. 单击下一步,确认设置的控制策略内容,单击确定

相关操作

编辑控制策略

  1. 在控制策略列表,定位到目标策略,在操作列,单击编辑

  2. 编辑策略规则,编辑所设置的策略,单击确定

删除控制策略

  1. 在控制策略列表,定位到目标策略,在操作列,单击删除

  2. 删除对话框,单击确定