文档简介:
新建访问控制策略并关联用户和资源账户
访问控制策略用于控制用户访问资源的权限。
访问控制策略支持以下功能项:
1 支持按策略列表页策略排序区分优先级,排序越靠前优先级越高。
2 策略基本限制和授权功能,包括使用有效期、登录时段限制、用户IP限制、文件传输权限、文件管理权限、RDP剪切板功能、运维水印显示功能等维度。同时可通过关联用户组或帐户组,批量授权访问控制权限。
- 有效期:指该策略的使用有效期,仅在限定时间内有效。
- 登录时段限制:指该策略的限定使用时间范围。
- IP限制:指该策略限制指定来源IP地址的用户访问资源。
- 文件传输:指该策略允许或禁止使用文件传输,即上传或下载资源文件的权限。
- 文件管理:指该策略允许或禁止使用文件管理,即查看、删除、编辑文件的权限。
- RDP剪切板:指该策略允许或禁止使用RDP剪切板功能,即复制/粘贴文本的权限。
- 显示水印:指该策略开启或关闭Web运维背景水印显示,水印显示内容为执行运维的用户登录名。
约束限制
授权文件上传/下载权限,需同时开启“文件传输”和“文件管理”。
前提条件
已获取“访问控制策略”模块操作权限。
操作步骤
1 登录云堡垒机系统。
2 选择“策略 > 访问控制策略”,进入策略列表页面。
访问控制策略列表
3 单击“新建”,弹出策略基本属性配置窗口。
说明
选择一个策略,单击“更多 > 插入”,亦可新建访问控制策略。配置完成后,在已创建的策略前新建一个策略。
4 配置策略基本信息。
新建访问控制策略
访问控制策略基本信息参数说明
| 参数 | 说明 |
|---|---|
| 策略名称 | 自定义的访问控制策略名称,系统内“策略名称”不能重复。 |
| 有效期 | 选择策略生效时间和策略的失效时间。 |
| 文件传输 | 在运维过程中上传和下载文件权限。 l 勾选代表允许对文件上传或下载; l 不勾选代表禁止对文件上传或下载。 |
| 更多选项 | 在运维过程中管理文件或文件夹权限,RDP剪切板和会话窗口显示水印功能。 说明 l SSH和RDP协议主机支持文件管理。 l VNC协议主机不能直接文件管理,但可通过应用发布方式实现文件管理。 l Telnet协议主机不支持文件管理。 |
| 登录时段限制 | 选择登录资源的时间段权限。 |
| IP限制 | 限制/允许用户“来源IP”访问资源。 l 选择“黑名单”,配置相应IP或IP网段,即限制该IP或IP网段用户登录资源。 l 选择“白名单”,配置相应IP或IP网段,即仅允许该IP或IP网段用户登录资源。 l IP地址缺省状态下,即不限制用户IP登录资源。 |
5 单击“下一步”,关联用户或用户组。
- 可同时配置关联多个用户或用户组。
- 当用户组关联策略后,新用户加入到用户组中会自动继承用户组的策略权限。
关联用户
6 单击“下一步”,关联资源账户或帐户组。
- 可同时配置关联多个资源账户或资源账户组。
- 当资源账户组关联策略后,新资源账户加入到帐户组中会自动继承帐户组的策略权限。
关联资源账户
7 单击“确定”,返回策略列表页面查看新建策略。
授权用户即可在“主机运维”或“应用运维”列表页面,查看和登录资源。
说明
“关联用户”和“关联用户组”中用户需拥有资源运维的权限,即“角色”已配置主机运维或 应用运维 。否则用户登录系统后无法查看资源运维模块,不能进行运维登录操作。
后续管理
访问控制策略创建完成后,可在策略列表页面,管理已创建策略,包括管理关联用户或资源、删除策略、启停策略、策略排序等。
- 若需补充关联用户或资源,可单击“关联”,快速关联用户、用户组、资源账户、帐户组。
- 若需删除策略,可选择目标策略,单击“删除”,立即删除策略。
- 若需禁用策略授权,可勾选一个或多个“已启用”状态的策略,单击“禁用”,策略状态变更为“已禁用”,策略授权立即失效。
- 若需排序策略优先等级,可选中策略行上下拖动策略,改变策略排序。
- 若需线下管理策略,可单击“导出”,以CSV格式导出全量访问控制策略详情。
设置双人授权
双人授权即金库授权模式。配置双人授权后,运维人员若需访问核心资源,要求管理员现场授权认证,通过认证后才能访问核心资源。即使运维人员帐号丢失,也不会泄露核心资源信息,降低运维风险,保障核心资产安全。
约束限制
授权候选人仅可选择本部门及上级部门的部门管理员,包括系统管理员 admin 。
前提条件
- 已获取“访问控制策略”模块操作权限。
- 已创建访问控制策略,并已关联用户和资源账户。
操作步骤
1 登录云堡垒机系统。
2 选择“策略 > 访问控制策略”,进入访问控制策略列表页面。
3 选择目标策略,在“操作”列单击“更多 > 双人授权候选人”,弹出授权候选人名单窗口。
设置双人授权候选人
4 选择一个或多个部门管理员,设为双人授权候选人。
5 单击“确认”,双人授权候选人设置完成。
后续管理
双人授权配置成功后,该策略授权用户再次登录资源时,则会弹出双人授权确认窗口。
需选择一位授权人,并输入授权人帐号密码。验证通过后,才能登录资源。
双人授权
查询和修改访问控制策略)
若运维人员有变动,或授权资源权限有变化,可查看和修改已创建的策略配置,包括修改基本权限、修改关联用户或用户组、修改关联资源账户或帐户组、修改双人授权配置等。
- 修改策略配置,且策略状态为“已启用”时,策略规则才生效。
- 修改策略配置后,若关联用户已登录资源,需退出登录重新连接,相关策略规则在下一次运维操作时才会生效。
前提条件
已获取“访问控制策略”模块操作权限。
查看和修改策略配置
1 登录云堡垒机系统。
2 选择“策略 > 访问控制策略”,进入访问控制策略列表页面。
3 查询访问控制策略。
- 快速查询
在搜索框中输入关键字,根据策略名称、用户、资源名称、主机地址、资源账户、时间限制、IP限制等快速查询策略。
- 高级搜索
在相应属性搜索框中分别关键字,精确查询策略。
高级搜索
4 单击目标策略名称,或者单击“管理”,进入策略详情页面。
查看策略配置
5 查看和修改策略基本信息。
在“基本信息”区域,单击“编辑”,弹出基本信息编辑窗口,即可修改策略的基本信息。
可修改信息包括“策略名称”、“有效期”、“文件传输”、“文件管理”、“上行剪切板”、“下行剪切板”、“登录时段限制”和“IP限制”等。
查看策略基本信息
6 查看和修改策略关联的用户。
- 在“用户”区域,单击“编辑”,弹出关联用户窗口,可立即添加或移除关联的用户。
- 在相应用户行,单击“移除”,可立即删除该关联用户,取消授权。
查看关联用户
7 查看和修改策略关联的用户组。
- 在“用户组”区域,单击“编辑”,弹出关联用户组窗口,可立即添加或移除关联的用户组。
- 在相应用户组行,单击“移除”,可立即删除该关联用户组,取消授权。
查看关联用户组
8 查看和修改策略关联的资源账户。
- 在“资源账户”区域,单击“编辑”,弹出关联资源账户窗口,可立即添加或移除关联的资源账户。
- 在相应资源账户行,单击“移除”,可立即删除该资源账户,取消授权。
查看关联资源账户
9 查看和修改策略关联的帐户组。
- 在“帐户组”区域,单击“编辑”,弹出关联帐户组窗口,可立即添加或移除关联的帐户组。
- 在相应帐户组行,单击“移除”,可立即删除该帐户组,取消授权。
查看关联帐户组
10 查看和修改双人授权。
- 在“双人授权候选人”区域,单击“编辑”,弹出多人授权候选人窗口,可立即添加或移除关联的授权候选人。
- 在相应候选人行,单击“移除”,可立即删除该授权候选人,取消该候选人。
查看双人授权候选人
