PAM管理员可以通过设置控制策略,对运维人员的运维操作进行精细化的管控,降低恶意攻击或操作失误带来的运维风险。
背景信息
运维工作人员需要获得管理员的授权后,才能够使用对应权限等级的凭据对云服务器进行运维。此外,在运维过程中,管理员可以配置协议、命令、访问时间段以及来源IP地址的控制策略。每条控制策略中支持配置多条规则,实现复杂场景下的运维管控。
前提条件
已购买或者已升级至PAM轻量版。具体操作,请参见购买实例或升级特权访问管理中心实例。
创建控制策略
- 登录特权访问管理中心控制台。
- 在 控制策略页面,单击添加策略。
- 在新建策略面板中,设置策略的内容,例如策略名称、策略描述、策略设置等。每条策略中可以配置多条规则。策略设置说明如下:
策略类型 说明 配置示例 源IP控制 对指定来源IP地址的访问进行管控,可选允许和拒绝。 支持同时设置多个IP地址,多个IP使用英文逗号(,)分隔。
以IP地址1.*.*.4为例,如需控制IP地址为1.*.*.4的服务器,不允许其对ECS实例进行操作,配置方法如下: - 单击下拉列表,选择拒绝。
- 在右侧的IP地址输入框中,输入需要限制访问的来源地址。
本示例中输入1.*.*.4。
访问时间段 对每天内指定时间段的访问进行控制,可选允许和拒绝。 支持同时设置多个时间段。
以开始时间08:00:00、结束时间09:00:00为例,如需对这个时间段内的访问进行控制,不允许这个时间段内对服务器进行操作,配置方法如下: - 单击下拉列表,选择拒绝。
- 在右侧的时间选择框中,单击添加,设置开始时间和结束时间。
本示例中开始时间选择08:00:00、结束时间选择09:00:00。
命令控制 对指定的Linux命令进行管控,可选允许和拒绝 支持同时设置多个命令,多个命令使用英文逗号(,)分隔。
以rm命令为例,如需限制运维人员对服务器执行rm操作,配置方法如下: - 单击下拉列表,选择拒绝。
- 在右侧的命令输入框中,输入需要限制使用的命令。
本示例中输入rm。
- 单击下一步。
- 单击完成,保存策略的配置。
后续步骤
为用户分配控制策略,对用户使用PAM操作ECS服务器进行管控。反馈
- 本页导读 (1)
文档反馈