登录用户、角色及资源账户概述
在堡垒机实例管理过程中,按照不同场景采用了登录用户、角色、资源账户类型的区分。
登录用户
堡垒机系统具备集中管理用户功能,创建一个用户即创建一个堡垒机系统的登录账号。
系统管理员admin是系统默认用户,为系统第一个可登录用户,拥有系统最高操作权限,且无法删除和更改权限配置。
- 根据用户角色的不同,用户拥有不同的系统操作权限。
- 根据用户组的划分,可批量为同组用户授予资源运维的权限。
仅系统管理员admin或拥有“用户”模块权限的用户,可管理系统用户,包括新建用户、批量导入用户、批量导出用户、重置用户账号密码、移动用户部门、更改用户角色、加入用户组、配置用户登录权限、启用、禁用、批量管理用户等操作。
用户组
多个用户加入一个“用户组”形成用户群组,通过对用户组授权可对用户进行批量授权,具体的操作请参见新建访问控制策略并关联用户和资源账户。
仅系统管理员admin或拥有“用户”模块权限用户,可管理用户组,包括新建用户组、维护用户组成员,管理用户组信息、删除用户组等。
用户组与部门挂钩,不属于个人,当前登录用户新建的用户组默认放在登录用户部门下,不支持修改部门,上级部门有用户组权限的用户可以查看下级部门的所有用户组信息,反之不能,同级之间的用户组都能查看。
- 上级部门管理员向下级部门用户组添加用户时,可将上级部门的用户添加到下级部门用户组。
- 下级部门拥有“用户”模块管理权限的用户,查看用户组详情时,只能查看到用户组内上级部门用户成员列表,不能查看上级部门用户的详情信息。
- 下级部门拥有“用户”模块管理权限的用户,将当前用户组中的上级部门成员移除后,不能再添加移除的上级部门用户。
- 一个用户可加入多个用户组。
用户角色
堡垒机实例预设有角色类型,通过角色来授权不同模块的查看、操作的权限。
堡垒机系统仅admin拥有自定义角色和修改角色的权限。
在创建用户后,可为不同用户绑定目标角色,实现权限的控制,一个用户仅能配置一个角色。
实例角色默认包括部门管理员、策略管理员、审计管理员和运维员,默认角色不可删除,但可修改默认角色的权限范围。
|
参数 |
说明 |
|---|---|
|
部门管理员 |
部门的运维管理员,主要负责堡垒机系统的管理。除用户管理和角色管理模块之外,部门管理员拥有其他全部模块的配置权限。 |
|
策略管理员 |
用户权限策略管理员,负责主机运维的权限策略管理。主要负责策略权限的配置,拥有用户组管理、资源组管理和访问策略管理等模块的配置权限。 |
|
审计管理员 |
运维结果审计管理员,查询管理系统审计数据。主要负责查阅和管理系统的审计数据,拥有实时会话、历史会话和系统日志等模块的配置权限。 |
|
运维员 |
访问系统的普通用户和操作人员。主要负责资源的运维,拥有主机运维、应用运维和工单授权管理的权限。 |
资源账户
资源账户是用来在堡垒机实例中登录资源的账户,登录至资源后可进行运维操作。
一个主机或应用可能有多个登录主机或应用资源的账户,每个被纳管的主机账户或应用账户对应一个资源账户。登录被纳管资源账户时,自动登录无需输入账号和密码。
当添加主机或应用未纳管账户和密码时,默认生成一个“Empty”账户,登录“Empty”资源账户时需手动输入账户名和相应密码。
资源账户组
多个资源账户加入一个“账户组”形成账户群组,通过对账户组授权可对资源账户进行批量授权、批量账户验证。
仅系统管理员admin或拥有“账户组”管理权限用户,可管理账户组,包括新建账户组、维护账户组资源,管理账户组信息、删除账户组等。
账户组与部门挂钩,不属于个人。当前登录用户新建的账户组默认放在登录用户部门下,不支持修改部门。
上级部门拥有“账户组”管理权限用户可查看下级部门的所有账户组信息,反之不能,同级之间的账户组可相互查看。
- 上级部门管理员为下级部门账户组添加资源账户时,可将上级部门的资源账户添加到下级部门的账户组,但是下级部门拥有“账户组”管理权限用户操作账户组时,只能查看资源账户列表,不能查看上级部门资源账户的详情信息。
- 下级部门拥有“账户组”管理权限用户将当前账户组中的上级部门资源账户移除后,将不能添加移除的上级部门资源账户。
- 一个资源账户可加入多个账户组。
