本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。
本文介绍特权访问管理中心(堡垒机开发者版、轻量版)的基础设置、认证设置以及存储设置。
释放PAM实例
若PAM实例已到期且后期不再使用,您可以手动释放实例;若实例未到期,则不能释放。PAM实例到期说明,请参见到期说明。
实例释放后,在特权访问管理中心托管的登录凭据、运维策略以及特权访问产生的运维审计图形、字符数据均会被清除,且不可恢复,请谨慎操作。
登录特权访问管理中心控制台。
在左侧导航栏,单击系统设置。
在基础设置页签,单击系统实例ID后的释放。
在弹出的对话框,确认信息后,单击释放。
开启自动启用网络域
网络域用于统一管理使用PAM进行资产运维时所涉及的网络资源配置。如果您想要运维资产,必须先通过PAM创建网络域,并将资产加入到启用的网络域中。
在资产同步过程中,PAM会自动统计ECS资产的VPC,并根据资产的VPC自动创建相应的网络域,但是不会自动启用。如需同步资产的同时自动启用网络域,请参见如下步骤:
登录特权访问管理中心控制台。
在左侧导航栏,单击系统设置。
在基础设置页签,单击自动启用网络域 后的
图标。
自动创建网络域将会根据VPC信息自动选择符合要求的配置。若未能找到合适的配置,将会导致网络域初始化失败。此时您可以在资产运维页面的网络域页签,查看网络域详情,并根据提示更改网络域配置。
启用网络域将会占用网络域配额,若网络域的配额不足,将无法自动启用网络域,此时您可以在网络域页面禁用其他网络域、或升级网络域配额。具体操作,请参见升级PAM实例。
如需手动创建并启用网络域,请参见手动创建网络域并关联资产。
开启双因子认证(全局配置)
双因子认证是在用户名和密码验证之后,额外增加了一层安全保护,用于登录运维员工作台或客户端工具完成密码认证之后进行的二次身份验证。PAM支持通过短信、邮件或TOTP令牌认证发送动态验证码进行双因子认证,有效降低用户密码泄露带来的安全风险。
配置全局多因子认证的优先级低于单个用户手动配置,即用户如果在用户授权页面手动关闭或开启双因子认证,则会保持该用户原有配置。具体操作,请参见用户授权。
登录特权访问管理中心控制台。
在左侧导航栏,单击系统设置。
在认证设置页签,单击
图标开启双因子认证。配置TOTP令牌认证,您需要下载标准TOTP认证软件,例如阿里云App。在通过Web方式或客户端方式运维时,需根据界面提示使用阿里云App扫描二维码获取安全码进行登录。
Web运维认证方式:支持短信认证、邮箱认证和TOTP令牌认证。
客户端运维认证方式:仅支持TOTP令牌。
存储设置
登录特权访问管理中心控制台。
在左侧导航栏,单击系统设置。
在存储设置页签,设置录像、日志存储时长等。
场景
说明
操作
查看录像存储状态
查看当前PAM录像总存储空间和剩余存储空间。
如果当前存储容量无法满足您的需求,您可以进行扩容。具体操作,请参见升级PAM实例。
说明开发者版录像默认存储空间为200 GB;轻量版录像默认存储空间为20 GB。
在存储设置区域,查看录像存储状态。
设置录像存储时长
您可以增加或减少录像存储时长。开发者版本最大录像存储时长可设置为180天;轻量版本最大录像存储时长可设置为365天。
警告当您设置存储时长后,在您存储即将占满时,该时间段前的数据将会在24h内自动执行删除任务,请谨慎操作。例如您2023年08月10日将存储时间设置为6天,在您存储即将占满时,系统会自动清理2023年08月04日之前的所有数据,2023年08月04日至2023年08月10日的数据会保留。
在存储设置区域,单击
图标。在编辑录像存储时长对话框,确认提示信息,并设置录像时长。
日志投递到SLS
开发者版或轻量版支持将审计日志归档到日志服务 SLS(Simple Log Service)。
审计日志归档到SLS后,您可以对审计日志进行查询和分析,同时支持将日志通过SLS转发到Splunk等第三方平台。更多信息,请参见查询与分析或阿里云日志服务Splunk Add-on。
在存储设置区域,单击投递设置。
在中心项目Project所在区域下拉列表中,选择日志中心化存储的目标地域。
在云产品列表中,打开PAM操作日志开关并设置存储方式列的存储时间。
查看PAM审计日志。
在左侧导航栏,单击
图标。选择中心化 > PAM,查看审计日志。
SLS日志字段说明,请参见开启双因子认证(全局配置)。
运维审计日志字段说明
SLS日志字段 | 字段说明 |
user_id | 用户ID |
instance_id | 实例ID |
operator_id | 运维员ID |
user_type | 用户类型。包括:
|
system_account | 运维员的系统账户名 |
asset_ip | 资产IP |
asset_name | 资产名称 |
asset_port | 资产端口 |
asset_region_id | 资产所在地域 |
asset_id | 资产ID |
asset_type | 资产类型。包括:
|
content | 指令内容 |
credential_name | 凭据名称 |
event_time | 事件时间 |
intercepted | 是否被拦截 |
protocol_type | 协议类型。包括:
|
region_id | 会话发生所在地域 |
session_id | 会话唯一标识符ID |
source_ip | 源IP |
event_type | 事件类型。包括:
|
event_sub_type | 事件子类型。包括:
|
video_size | 录像大小 |
操作审计日志字段说明
SLS日志字段 | 字段说明 |
user_id | 用户ID |
instance_id | 实例ID |
event_sub_type | 事件类型。包括:
|
event_type | 事件大类。包括: FILE:文件相关操作 |
event_detail | 事件详情 |
event_content | 事件内容 |
event_id | 事件ID |
user_name | 操作用户名 |
user_type | 操作用户类型。包括:
|
operator_id | 操作人ID |
start_time | 事件开始时间 |
end_time | 事件结束时间 |
设置用户密码策略
登录特权访问管理中心控制台。
在左侧导航栏,单击系统设置。
在用户密码策略页签,参考下表,设置与用户相关的密码策略,单击保存。
配置项
说明
安全设置
首次登录改密:开启后,用户首次登录运维员工作台或首次通过客户端登录PAM时,必须修改初始密码。
重置密码改密:开启后,管理员重置用户密码后,用户在下次密码登录时,需要修改密码。
密码泄漏检测:PAM支持对弱密码及公开泄漏密码的检测。开启后,在用户修改密码时,会触发对新密码的安全检查,并在页面上进行提示,如下图所示。如果系统提示您输入的新密码存在泄露记录,这意味着该密码可能会受到恶意攻击,不建议您继续使用该密码。
复杂度
设置用户密码强度,包括密码长度和复杂度。PAM提供了密码长度和复杂度的预设模板,您可直接选择其中一个模板,或在此基础上调整配置,保存后即可生效。
密码长度:取值范围8~64。
复杂度:默认必须包含大写字母、小写字母和数字。
说明变更复杂度后,既有密码不受影响,新密码需遵守复杂度限制。
定期改密
开启:您可以设置密码的有效时长,密码过期前是否提醒及强制改密配置。
说明密码一旦过期,将无法登录,只能通过找回密码或管理员重置密码。
密码有效时长:设置密码的有效期,取值范围1~365天。
过期前提醒:开启后,在密码过期之前,用户登录PAM时会进行提醒,用户看到即可在当次改密,也可以当次跳过。过期提醒周期取值范围为1~30天,例如,设置1天表示在用户密码过期前1天开始提醒。
强制改密配置:设置用户密码过期前N天,用户登录必须改密,不能跳过。取值范围为1~30天。
不开启:密码将永久不过期。
密码历史
开启密码历史检测:开启后,PAM会记录账户历史使用的密码,在用户修改密码时,将禁止用户重复使用近N次已使用过的密码。
记录历史密码数:设置PAM记录的历史密码数,取值范围为1~10。例如,设置为1表示新密码不能与该用户的前1个密码重复。
忘记密码
PAM支持通过忘记密码功能进行密码更新。
开启后,登录流程中允许用户使用忘记密码功能,并支持设置通过短信或邮箱方式找回密码。手机号、邮箱皆为空时,账户的密码无法找回,请联系管理员重新设置。
