PAM管理员通过设置控制策略,可以对运维员的IP、运维时间和运维操作进行精细化管控,从而有效降低运维风险。在未配置控制策略的情况下,运维员的IP、运维时间等将不受管控。
背景信息
运维工作人员需要获得管理员的授权后,才能够使用对应权限等级的凭据对云服务器进行运维。此外,在运维过程中,管理员可以配置协议、命令、访问时间段以及来源IP地址的控制策略。
每条控制策略中支持配置多条规则,实现复杂场景下的运维管控。
前提条件
已购买或者已升级至PAM轻量版。具体操作,请参见购买实例或升级特权访问管理中心实例。
创建控制策略
- 登录特权访问管理中心控制台。
在 控制策略页面,单击添加策略。
在新建策略面板中,设置策略的内容,例如策略名称、策略描述、策略设置等。
每条策略中可以配置多条规则。策略设置说明如下:
策略类型
说明
配置示例
基础信息
策略名称
设置策略名称,规则如下:
只能包含数字、英文字母和下划线。
不能超过20个字符。
Seuritypolicy
优先级
优先级可选范围为1~100,默认值为1,即最高优先级。同优先级拒绝规则优先。
1
策略描述
输入策略描述。
用户IT部门的运维管理策略
策略设置
ip控制
对指定来源IP地址的访问进行管控,可选允许和拒绝。
支持同时设置多个IP地址,多个IP使用英文逗号(,)分隔,不可重复。
访问时间段选择拒绝,IP输入1.*.*.4,表示不允许该IP对ECS实例进行操作。
时间控制
对每天内指定时间段的访问进行控制,可选允许和拒绝。
支持同时设置多个时间段。
访问时间段选择拒绝,选择时间段为星期一:8:00~9:00,表示不允许这个时间段内对服务器进行操作。
命令控制
对指定的Linux命令进行管控,可选允许和拒绝。
支持同时设置多个命令,多个命令使用英文逗号(,)分隔,不可重复。
访问时间段选择拒绝,命令输入为
rm -f *
,表示不允许运维人员在服务器执行该命令。单击下一步,确认设置的控制策略内容,单击确定。
相关操作
编辑控制策略
在控制策略列表,定位到目标策略,在操作列,单击编辑。
在编辑策略规则,编辑所设置的策略,单击确定。
删除控制策略
在控制策略列表,定位到目标策略,在操作列,单击删除。
在删除对话框,单击确定。