管理员在创建PAM用户后,运维员即可通过该用户登录PAM访问已授权的主机资产。本文介绍如何创建PAM用户和用户组。
新建用户
登录特权访问管理中心控制台。
在左侧导航栏,单击用户管理。
在用户页签,单击新建用户。
在新建用户面板,配置用户信息,单击创建。
配置项
说明
用户名
命名规则:
不能以特殊字符开始。
可包含大写字母、小写字母、数字、中划线(-)、下划线(_)、点(.)。
长度至少4位。
显示名
自定义控制台显示的名称有助于用户统一管理和识别。
手机号
创建不同的用户不能使用相同的手机号。
双因子认证方式
全局配置:表示当前用户采用全局的双因子认证方式,即您在系统设置中配置的双因子认证方式。具体操作,请参见开启双因子认证。
单个用户配置:表示您需要对当前用户单独设置双因子认证方式。您需要单击
图标开始双因子认证并选择认证方式。短信认证:表示使用当前用户的手机短信进行二次认证。此时您必须为该用户设置手机号码。
邮箱认证:表示使用当前用户的邮箱进行二次认证。此时您必须为该用户设置邮箱地址。
TOTP令牌认证:表示使用当前用户的手机TOTP令牌进行认证。您需要下载标准TOTP认证软件,例如阿里云App。在通过Web方式或客户端方式运维时,需根据界面提示使用阿里云App扫描二维码获取安全码进行登录。
密码
设置PAM用户密码。您可以单击自动生成,自动生成密码。密码设置规则如下:
长度至少为6位,且必须包含大写字母、小写字母、数字和特殊字符(
@ % + \ / ' ! # $ ^ ? : , ( ) { } [ ] ~ - _ .)。密码不能和前N次的密码相同。
PAM支持设置用户密码策略,详情请参见用户密码策略。
新建用户组
您可以通过用户组对多个用户进行批量授权。
登录特权访问管理中心控制台。
在左侧导航栏,单击用户管理。
在用户组页签,单击新建用户组。
在新建用户组面板,设置用户组名称,并选中需要添加的用户,单击创建。
为用户或用户组授权资产
新建PAM用户(用户/用户组)后,您需要为该用户授权资产,授权后您才可以通过该用户登录PAM运维资产。
PAM授权规则通过用户与资产的关联配置,精确控制用户对资产的访问权限。该规则支持灵活的授权配置,包括指定用户、用户组、资产、节点、账号类型以及授权时效管理,从而实现对资产访问的精细化权限控制。
登录特权访问管理中心控制台。
在左侧导航栏,单击用户管理。
在用户或用户组页签,定位到目标用户或用户组,在操作列,单击授权。
在创建授权规则页签,参考下表配置授权规则,单击创建。
关键配置项
说明
生效周期
设置规则的生效周期。
短期:最长可配置180天。
长期:永久有效。
关联用户
选择授权规则关联的用户或用户组。如果没有可选择的用户或用户组,请参考用户管理进行创建。
授权资产范围
资产:选择授权规则关联的资产。如果没有可选择的资产,请参考添加本账号ECS资产或添加其他来源的主机进行创建。
节点:选择授权规则关联的资产节点。
账号:选择授权规则关联的资产登录账号或账号标签。