特权访问服务 资产运维

By | 2021年4月23日

通过PAM可针对阿里云上的云服务器ECS及其登录凭据(即登录账号)进行托管,并配置细粒度运维权限及运维策略,同时提供会话结束后的运维审计能力,提升云上SSH/RDP运维操作的安全性。

背景信息

资产运维页面支持卡片式和列表式两种布局形式。本文基于列表式布局介绍资产运维的相关操作。

目前,支持以下两种方式登录PAM控制台:

步骤一:资产托管

执行资产托管前,您必须已完成资产同步。详细操作,请参见步骤三:同步资产

资产同步规则如下:

  • 首次开通PAM服务时,PAM会自动执行一次资产同步。
  • 已开通PAM时,您可以在资产更新后,及时手动同步资产。
  • 同步时间取决于当前账号下ECS资产的数量,整个同步过程预计需要1~5分钟。
  1. 登录特权访问管理中心控制台
  2. 在左侧导航栏,单击资产运维
  3. 运维资产页签中,单击资产托管
    最多可选择5台运行中的资产进行托管。您可按需更换托管资产
    或选择升级至专业版,扩大可托管的资产授权数。

    注意 每月可更换托管资产一次,更换前需先对已托管资产执行
    解除托管的操作。

    完成资产托管后,资产的状态变为
    已托管。此时,您可以开始执行远程连接。

步骤二:添加资产登录凭据

登录凭据是用户登录您资产的账号和密码信息。您可以在
运维资产页签中,将资产的登录凭据添加到
PAM中,实现对多个资产的登录凭据进行统一管理。

说明 每个资产最多可以添加10个登录凭据。

  1. 登录特权访问管理中心控制台
  2. 在左侧导航栏,单击资产运维
  3. 运维资产页签中,定位到目标资产,单击添加登录凭据,将当前账号下的云服务器ECS的登录凭据添加到PAM中。
  4. 单击协议/端口列的修改端口图标图标,将该资产的登录端口添加到PAM中。
    说明 每个资产最多可以添加2个端口。

步骤三:远程连接到ECS

您可以通过远程连接功能,在PAM控制台一键连接到ECS服务器。

说明 执行远程连接前,您必须已完成资产托管。

  1. 在PAM控制台资产运维页面,单击操作列的远程连接
  2. 远程连接对话框中,选择该ECS服务器的登录协议/端口登录凭据。无需您通过ECS控制台登录该ECS服务器。
    如果您未创建过
    登录凭据,您需要先创建登录该ECS实例的账号和密码。操作步骤如下:

    1. 单击添加登录凭据
    2. 添加登录凭据对话框中,设置ECS实例的登录账号和密码信息。
    3. 选择凭据标签的类型。
      说明 关于特权账号和普通账号的介绍,请参见
      基本概念

    4. 单击确定,完成凭据的添加。
  3. 单击连接,跳转到PAM-SSH终端页面,实现远程连接到ECS。

相关操作

您可以通过运维审计功能,查看对资产执行的运维操作和运维对话审计信息,帮助您在威胁发生的事中及事后进行对应的事件回溯。

请关注公众号获取更多资料

发表评论

电子邮件地址不会被公开。 必填项已用*标注