Bastionhost對接阿里雲賬戶體系。阿里雲帳號(主帳號)預設為系統超級管理員角色,可以為RAM使用者(子帳號)分配不同的權限原則(管理員權限、審計員許可權、唯讀許可權和營運員許可權),以滿足企業在使用Bastionhost時不同角色的需求,實現許可權最小化以保障Bastionhost系統的安全。本文介紹如何為RAM使用者授予不同的權限原則。
背景資訊
通過對RAM使用者授權不同許可權實現Bastionhost使用限制,包括管理員權限、審計員許可權、唯讀查看許可權等。詳細說明如下:
管理員權限可以進行Bastionhost執行個體、使用者及資產管理,以及控制原則設定、系統設定、查看審計資訊等操作。
重要如果作為管理員角色的RAM使用者需要匯入阿里雲資產或RAM使用者,則至少需要給管理員授予對應資產或存取控制(RAM)的唯讀許可權,例如,您要匯入ECS資產時,管理員需要被授予ECS唯讀許可權AliyunECSReadOnlyAccess;您要匯入RAM使用者時,管理員需要被授予存取控制(RAM)唯讀許可權AliyunRAMReadOnlyAccess。
審計員許可權僅可以在Bastionhost管理頁面查看日誌、錄影等審計相關資訊。
唯讀許可權僅可以使用Bastionhost管理頁面讀取配置、審計、系統等相關資訊。
營運員許可權僅可以作為營運使用者,使用Bastionhost管理頁面中的資產營運功能進行營運等操作。
以上權限原則是對RAM使用者使用Bastionhost管理頁面的限制,RAM使用者使用用戶端營運時不受上述權限原則限制。用戶端營運操作主要通過Bastionhost上的使用者和資產的授權關係進行控制,使用者授權資產後即可通過用戶端營運資產。
阿里雲帳號僅擁有Bastionhost的系統管理權限,目前不支援匯入到Bastionhost中作為Bastionhost使用者。
您可以同時為同一個RAM使用者授予多個許可權。
前提條件
您已在開通Bastionhost執行個體的阿里雲帳號下建立RAM使用者。具體操作,請參見建立RAM使用者。
如果匯入的阿里雲RAM使用者需要關聯虛擬MFA裝置,請參見為RAM使用者綁定MFA裝置。Bastionhost會使用MFA認證設定作為RAM使用者登入Bastionhost時的雙因子認證方式設定。
操作步驟
使用Resource Access Management員登入RAM控制台。
在左側導覽列,選擇。
在使用者頁面,單擊目標RAM使用者操作列的添加許可權。
您也可以選中多個RAM使用者,單擊使用者列表下方的添加許可權,為RAM使用者大量授權。
在添加許可權面板,為BastionhostRAM使用者添加許可權。
選擇Bastionhost權限原則。
單擊關閉。