《企业运维之弹性计算原理与实践》——第四章 ECS 进阶概念-安全——第四章(下):ECS 安全操作演示(2) https://developer.aliyun.com/article/1231489?groupCode=supportservice
5. 创建运维规则
1) 授权主机
a) 登录堡垒机系统。
b) 在左侧导航栏,选择人员管理>用户。
c) 在需要授权用户的操作列中,单击授权主机。
d) 在已授权主机页签下,单击授权主机。
e) 在授权主机面板上的主机列表中选中要授权的主机,单击确定。
2) 授权单个主机账户
a) 登录堡垒机系统。
b) 在左侧导航栏,选择人员管理>用户。
c) 在需要授权用户的操作列中,单击授权主机。
d) 在已授权主机页签中,单击已授权账户列下的账户名称或无已授权账户,点击授权账户。
e) 选中主机账户并单击更新。
说明
如果主机中没有账号,可以单击新建主机账户创建主机账户。
3) 批量授权主机账户
a) 登录堡垒机系统。
b) 在左侧导航栏,选择人员管理>用户。
c) 在需要授权用户的操作列中,单击授权主机。
d) 选中需要授权账户的主机并单击批量>批量授权账号。
e) 选中主机授权账户的账户名称。
f) 说明批量授权主机账号时,只能选择一个主机账户进行授权。
g) 单击更新。
6. 控制策略
堡垒机提供运维控制策略功能。使用运维控制策略功能,可以设置命令控制、命令审批、协议控制和访问控制策略,管理用户对主机的访问。
1) 操作步骤
a) 登录堡垒机系统。
b) 在左侧导航栏,单击控制策略,然后单击新建控制策略。
c) 在新建控制策略页面,可以按照配置向导,配置控制策略的基本属性、命令控制、命令审批、协议控制以及访问控制。
d) 在基本属性步骤下,配置策略名称、优先级和备注。
e) 在命令控制(选填)步骤下,配置命令控制类型以及命令列表。
f) 命令控制类型:(黑名单)不允许执行以下命令;(白名单)只允许执行以下命令。
g) 在命令审批(选填)步骤下,配置命令审批中填写的命令列表。命令审批对命令控制(白名单或黑名单)以外的命令生效。命令控制策略生效的优先级高于命令审批。如果用户执行了已配置在命令审批命令列表中的命令,可以在堡垒机控制台对该命令是否执行进行审批。审批允许后该命令会被执行,审批拒绝后该命令不生效。
h) 在协议控制(选填)步骤下,配置控制策略的 RDP 选项、SSH 选项以及 SFTP 选项。
i) 在访问控制(选填)步骤下,设置允许访问主机的来源 IP 限制模式、IP 列表以及登录时段限制。
j) 可选:在创建控制策略成功页面,单击关联主机/用户,为该策略关联用户或主机,使该策略在相应主机或用户上生效。
《企业运维之弹性计算原理与实践》——第四章 ECS 进阶概念-安全——第四章(下):ECS 安全操作演示(4) https://developer.aliyun.com/article/1231485?groupCode=supportservice
