通过PAM可针对阿里云上的云服务器ECS及其登录凭据(即登录账号及对应的密码或密钥对)进行托管,并支持配置细粒度运维权限及运维策略,提供运维审计能力,提升云上SSH或RDP运维操作的安全性。本文介绍如何托管ECS资产并添加ECS登录凭据。
前提条件
托管ECS
免费版PAM实例最多可托管2台运行中的资产,若您想托管更多资产,可升级为开发者版或轻量版。具体操作,请参见升级特权访问管理中心实例。
您可按需更换托管资产,更换前需先对已托管资产执行解除托管。
托管单个ECS资产
- 登录特权访问管理中心控制台。
在左侧导航栏,选择。
在主机页签,定位到目标资产,在托管状态列,单击图标。
批量托管ECS资产
- 登录特权访问管理中心控制台。
在左侧导航栏,选择。
在主机页签,选择多个资产,在资产列表下方,单击资产托管。
添加ECS登录凭据
登录凭据是用于登录ECS资产的用户名及密码信息(密码或者密钥对)。将ECS资产的登录凭据添加到PAM后,通过PAM运维资产时可实现免密登录。PAM同时支持凭据管理功能,您可以通过一键同步已托管资产的凭据,帮助您快速识别凭据,减少手动输入导致的录入不及时、数据偏差等问题,具体操作,请参见凭据发现。
- 登录特权访问管理中心控制台。
在左侧导航栏,选择。
在主机页签,选中目标资产,在资产列表底部,单击添加登录凭据。
在添加登录凭据对话框,按照页面提示填写登录凭据信息,单击确定。
每个资产最多可以添加100个登录凭据。
配置项
说明
账户名
登录ECS资产的用户名。例如root或ecs-user。
资产账号
密码:需继续输入ECS资产用户对应的密码。
密钥对:需要继续输入私钥(PEM格式)。
凭据标签
PAM通过标签形式区分账号权限,建议结合账号权限与自身业务来判定账号所对应的类型。
特权账户:通常指在企业云端资源使用过程中,由于云端系统运维、应用/数据开发、资源管理等原因创建的具有系统超级管理、敏感数据增删改查、用户权限调整等进阶权限的账号。通常该类账号的滥用、误用会对企业核心业务的正常运转造成较大影响。
普通账户:通常指代仅具有限制性权限的账号,如常见的Guest账号、只读账号等。通常此类账号的使用对企业业务造成的影响有限。