Bastionhost多帳號統一管理最佳實務 - Bastionhost

本文介紹Bastionhost如何通過多帳號統一管理的功能對資產進行營運管控。

背景資訊

大型企業業務複雜，存在多帳號管理資產的情境，Bastionhost針對該情境結合資來源目錄RD（Resource Directory）上線多帳號統一管理功能，以實現複雜帳號環境下資產的統一安全管理和營運管控。

在Bastionhost中新增成員帳號後，管理員即可匯入成員帳號下的目標資產，即時同步資產狀態，統一管控營運策略、全面審計營運操作，實現雲上多帳號資產的全方位的營運及安全管控，降低管理成本。

資產管理上，Bastionhost可以一鍵匯入多個帳號資產、自動同步資產狀態、按所屬帳號區分資產歸屬。
說明
- 您也可以通過建立主機的方式匯入其他帳號下的資產。具體操作，請參見建立主機。
- 跨帳號訪問資產可能會存在網路連通性問題，如果需要Bastionhost與伺服器內網連通，您可以自行打通網路或者使用網路域功能，詳情請參見混合營運情境最佳實務。
營運管控上，Bastionhost支援針對多個帳號下的資產進行統一的存取權限和策略管控。
- 細粒度的資產統一授權：可以將多個帳號下的資產及資產賬戶許可權授權給Bastionhost使用者，協助企業梳理複雜的資產許可權，降低許可權混亂風險，並支援在使用者介面按阿里雲帳號維度篩選被授權資產，提高許可權管控效率。
- 營運行為的統一策略管控：對多帳號下資產自訂群組合關聯策略包括命令審批、命令黑白名單、檔案傳輸等營運行為的管控，加強資產的營運安全，降低管理成本。
安全審計上，Bastionhost支援對多個帳號下資產營運行為的統一全程錄影及日誌審計，可以按照阿里雲帳號維度進行篩選，方便使用者管理和審計特定帳號下的資產和營運行為。

已開通資來源目錄。具體操作，請參見開通資來源目錄。
已在資來源目錄加入成員帳號。
- 如果需要建立新的成員帳號，請參見建立成員。
- 如果需要將已有帳號添加到資來源目錄，請參見邀請阿里雲帳號加入資來源目錄。
如果您使用RAM使用者進行管理，需要授權管理Alibaba Cloud Security Bastionhost（AliyunYundunBastionHostFullAccess）和管理資來源目錄服務（AliyunResourceDirectoryFullAccess）的許可權。如何為RAM使用者授權，請參見為RAM使用者授權。
已在Bastionhost新增成員帳號。具體操作，請參見多帳號統一管理。

匯入多帳號下的資產後，可以在資產列表查看資產所屬帳號，並支援按帳號維度篩選。多帳號資產匯入流程如下：

如需瞭解各資產的詳細匯入流程，請參見建立主機和建立資料庫。

將其他帳號下資產匯入到Bastionhost之後，即可在Bastionhost中授權給相應使用者。支援在使用者頁面按所屬帳號維度篩選被授權資產，清晰展示特定帳號資產的授權情況。按使用者維度授權步驟如下：

如需瞭解各資產的詳細授權流程，請參見授權資產及資產賬戶。

Bastionhost支援將多帳號資產按需求關聯在控制策略中，並可按照資產組授權，使用者可以按照授權及營運管控需求情境將多帳號資產梳理後按資產組分組配置，再關聯控制策略。建立控制策略步驟如下：

如需瞭解控制策略詳細配置資訊，請參見配置控制策略。

Bastionhost支援全程審計使用者通過Bastionhost訪問資產的操作，在會話審計頁面可以按照資產所屬帳號ID進行審計記錄的篩選，快速定位特定帳號資產的會話審計記錄。

如需瞭解更多關於會話審計內容，請參見會話審計。