本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。
本文介绍特权访问管理中心(堡垒机开发者版、轻量版)的基础设置、认证设置以及存储设置。
释放PAM实例
若PAM实例已到期且后期不再使用,您可以手动释放实例;若实例未到期,则不能释放。PAM实例到期说明,请参见到期说明。
实例释放后,在特权访问管理中心托管的登录凭据、运维策略以及特权访问产生的运维审计图形、字符数据均会被清除,且不可恢复,请谨慎操作。
登录特权访问管理中心控制台。
在左侧导航栏,单击系统设置。
在基础设置页签,单击系统实例ID后的释放。
在弹出的对话框,确认信息后,单击释放。
开启自动创建网络域
网络域用于统一管理使用PAM进行资产运维时所涉及的网络资源配置。如果您想要运维资产,必须先通过PAM创建网络域,并将资产加入到启用的网络域中。
开启自动创建网络域后,无需您手动创建网络域并关联资产,PAM会在资产同步过程中,自动统计ECS资产所属VPC,并根据资产所在的VPC自动创建相应的网络域。同时,在网络域配额范围内尽可能启用网络域。接下来,资产将被自动关联到相应的网络域中。
自动创建网络域将会根据VPC信息自动选择符合要求的配置。若未能找到合适的配置,将会导致网络域初始化失败。此时您可以在资产运维页面的网络域页签,查看网络域详情,并根据提示更改网络域配置。
启用网络域将会占用网络域配额,若网络域的配额不足,将无法自动启用网络域,此时您可以在网络域页面禁用其他网络域、或升级网络域配额。具体操作,请参见升级PAM实例。
如需手动创建网络域,请参见手动创建网络域并关联资产。
登录特权访问管理中心控制台。
在左侧导航栏,单击系统设置。
在基础设置页签,单击自动创建网络域后的图标。
开启双因子认证(全局配置)
双因子认证是在用户名和密码验证之后,额外增加了一层安全保护,用于登录运维员工作台或客户端工具完成密码认证之后进行的二次身份验证。PAM支持通过短信、邮件或TOTP令牌认证发送动态验证码进行双因子认证,有效降低用户密码泄露带来的安全风险。
配置全局多因子认证的优先级低于单个用户手动配置,即用户如果在用户授权页面手动关闭或开启双因子认证,则会保持该用户原有配置。具体操作,请参见用户授权。
登录特权访问管理中心控制台。
在左侧导航栏,单击系统设置。
在认证设置页签,单击图标开启双因子认证。
配置TOTP令牌认证,您需要下载标准TOTP认证软件,例如阿里云App。在通过Web方式或客户端方式运维时,需根据界面提示使用阿里云App扫描二维码获取安全码进行登录。
Web运维认证方式:支持短信认证、邮箱认证和TOTP令牌认证。
客户端运维认证方式:仅支持TOTP令牌。
存储设置
登录特权访问管理中心控制台。
在左侧导航栏,单击系统设置。
在存储设置页签,设置录像、日志存储时长等。
场景
说明
操作
查看录像存储状态
查看当前PAM录像总存储空间和剩余存储空间。
如果当前存储容量无法满足您的需求,您可以进行扩容。具体操作,请参见升级PAM实例。
说明开发者版录像默认存储空间为200 GB;轻量版录像默认存储空间为20 GB。
在存储设置区域,查看录像存储状态。
设置录像存储时长
您可以增加或减少录像存储时长。开发者版本最大录像存储时长可设置为180天;轻量版本最大录像存储时长可设置为365天。
警告当您设置存储时长后,在您存储即将占满时,该时间段前的数据将会在24h内自动执行删除任务,请谨慎操作。例如您2023年08月10日将存储时间设置为6天,在您存储即将占满时,系统会自动清理2023年08月04日之前的所有数据,2023年08月04日至2023年08月10日的数据会保留。
在存储设置区域,单击图标。
在编辑录像存储时长对话框,确认提示信息,并设置录像时长。
日志投递到SLS
开发者版或轻量版支持将审计日志归档到日志服务 SLS(Simple Log Service)。
审计日志归档到SLS后,您可以对审计日志进行查询和分析,同时支持将日志通过SLS转发到Splunk等第三方平台。更多信息,请参见查询与分析或阿里云日志服务Splunk Add-on。
在存储设置区域,单击投递设置。
在中心项目Project所在区域下拉列表中,选择日志中心化存储的目标地域。
在云产品列表中,打开PAM操作日志开关并设置存储方式列的存储时间。
查看PAM审计日志。
在左侧导航栏,单击图标。
选择中心化 > PAM,查看审计日志。
SLS日志字段说明,请参见开启双因子认证(全局配置)。
运维审计日志字段说明
SLS日志字段 | 字段说明 |
user_id | 用户ID |
instance_id | 实例ID |
operator_id | 运维员ID |
user_type | 用户类型。包括:
|
system_account | 运维员的系统账户名 |
asset_ip | 资产IP |
asset_name | 资产名称 |
asset_port | 资产端口 |
asset_region_id | 资产所在地域 |
asset_id | 资产ID |
asset_type | 资产类型。包括:
|
content | 指令内容 |
credential_name | 凭据名称 |
event_time | 事件时间 |
intercepted | 是否被拦截 |
protocol_type | 协议类型。包括:
|
region_id | 会话发生所在地域 |
session_id | 会话唯一标识符ID |
source_ip | 源IP |
event_type | 事件类型。包括:
|
event_sub_type | 事件子类型。包括:
|
video_size | 录像大小 |
操作审计日志字段说明
SLS日志字段 | 字段说明 |
user_id | 用户ID |
instance_id | 实例ID |
event_sub_type | 事件类型。包括:
|
event_type | 事件大类。包括: FILE:文件相关操作 |
event_detail | 事件详情 |
event_content | 事件内容 |
event_id | 事件ID |
user_name | 操作用户名 |
user_type | 操作用户类型。包括:
|
operator_id | 操作人ID |
start_time | 事件开始时间 |
end_time | 事件结束时间 |
- 本页导读 (1)