新建访问控制策略并关联用户和资源账户
访问控制策略用于控制用户访问资源的权限。
访问控制策略支持以下功能项:
- 支持策略的批量导入和导出。
- 支持按策略列表页策略排序区分优先级,排序越靠前优先级越高。
- 策略基本限制和授权功能,包括使用有效期、登录时段限制、用户IP限制、文件传输权限、文件管理权限、RDP剪切板功能、键盘审计、演示模式、运维水印显示功能等维度。同时可通过关联用户组或账户组,批量授权访问控制权限。
- 有效期:指该策略的使用有效期,仅在限定时间内有效。
- 登录时段限制:指该策略的限定使用时间范围。
- IP限制:指该策略允许或禁止指定来源IP地址的用户访问资源,可选择白名单或黑名单进行配置。
- 白名单:该策略只允许已填写的IP地址访问资源。
- 黑名单:该策略不允许已填写的IP地址访问资源。
- 文件传输:指该策略允许或禁止使用文件传输,即上传或下载资源文件的权限。
- 文件管理:指该策略允许或禁止使用文件管理,即查看、删除、编辑文件的权限。
- RDP剪切板:指该策略允许或禁止使用RDP剪切板功能,即复制/粘贴文本的权限。
- 键盘审计:指该策略允许或禁止使用键盘审计功能,针对键盘输入的信息进行记录。
- 显示水印:指该策略开启或关闭Web运维背景水印显示,水印显示内容为执行运维的用户登录名。
- 演示模式:通过应用发布浏览器运维时,支持隐藏地址栏,您的浏览器将会禁用F12、鼠标右键、浏览器工具栏。您可以使用F12代替Ctrl实现组合键操作。
约束限制
- 授权文件上传/下载权限,需同时开启“文件传输”和“文件管理”。
- 键盘审计仅支持RDP和VNC协议。
前提条件
已获取“访问控制策略”模块操作权限。
访问控制策略说明
不同运维方式或不同的资源类型在执行部分运维操作时目前还存在不支持的情况。
Linux应用运维从3.3.40.0版本开始支持文件上传、下载,上、下行剪切板功能。
特性名称 |
有效期 |
文件传输 |
更多选项 |
登录时段限制 |
IP限制 |
双人授权候选人 |
||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|
生效时间/失效时间 |
上传/下载 |
文件管理 |
上行剪切板/下行剪切板 |
显示水印 |
键盘审计 |
演示模式 |
允许登录 |
禁止登录 |
黑名单 |
白名单 |
||
SSH-H5运维 |
√ |
√ |
√ |
√ |
√ |
× |
× |
√ |
√ |
√ |
√ |
√ |
SSH-客户端运维 |
√ |
× |
× |
× |
× |
× |
× |
√ |
√ |
√ |
√ |
× |
RDP-H5运维 |
√ |
√ |
√ |
√ |
√ |
√ |
× |
√ |
√ |
√ |
√ |
√ |
RDP-客户端运维 |
√ |
× |
× |
× |
× |
√ |
× |
√ |
√ |
√ |
√ |
× |
TELNET-H5运维 |
√ |
√ |
√ |
√ |
√ |
× |
× |
√ |
√ |
√ |
√ |
√ |
TELNET-客户端运维 |
√ |
× |
× |
× |
× |
× |
× |
√ |
√ |
√ |
√ |
× |
VNC |
√ |
× |
× |
× |
√ |
√ |
× |
√ |
√ |
√ |
√ |
√ |
FTP |
√ |
√ |
√ |
× |
× |
× |
× |
√ |
√ |
√ |
√ |
√ |
SFTP |
√ |
√ |
√ |
× |
× |
× |
× |
√ |
√ |
√ |
√ |
√ |
SCP |
√ |
× |
× |
× |
× |
× |
× |
√ |
√ |
√ |
√ |
√ |
Postgresql |
√ |
× |
× |
× |
× |
× |
× |
√ |
√ |
√ |
√ |
√ |
Gaussdb |
√ |
× |
× |
× |
× |
× |
× |
√ |
√ |
√ |
√ |
√ |
DB2 |
√ |
× |
× |
× |
× |
× |
× |
√ |
√ |
√ |
√ |
√ |
MYSQL |
√ |
× |
× |
× |
× |
× |
× |
√ |
√ |
√ |
√ |
√ |
SQL Server |
√ |
× |
× |
× |
× |
× |
× |
√ |
√ |
√ |
√ |
√ |
Oracle |
√ |
× |
× |
× |
× |
× |
× |
√ |
√ |
√ |
√ |
√ |
Rlogin-H5运维 |
√ |
√ |
√ |
√ |
√ |
× |
× |
√ |
√ |
√ |
√ |
√ |
Rlogin-客户端运维 |
√ |
× |
× |
× |
× |
× |
× |
√ |
√ |
√ |
√ |
× |
Windows应用运维 |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
Linux应用运维 |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
√ |
创建访问控制策略
- 登录堡垒机系统。
- 选择 ,进入策略列表页面。
- 单击“新建”,弹出策略基本属性配置窗口。
选择一个策略,单击
,亦可新建访问控制策略。配置完成后,在已创建的策略前新建一个策略。 - 配置策略基本信息。
表1 访问控制策略基本信息参数说明 参数
说明
策略名称
自定义的访问控制策略名称,系统内“策略名称”不能重复。
有效期
选择策略生效时间和策略的失效时间。
文件传输
在运维过程中上传和下载文件权限,如果勾选了“上传”或“下载”,在“更多选项”需勾选“文件管理”才会生效。
- 勾选代表允许对文件上传或下载。
- 不勾选代表禁止对文件上传或下载。
更多选项
在运维过程中,会话窗口功能选项。此处勾选功能项后,对应关联资源的更多选项也需勾选相同功能项,对应功能才会生效。
- 文件管理:管理文件或文件夹的权限,即查看、删除、编辑文件和文件夹的权限。
说明:
- SSH和RDP协议主机支持文件管理。
- VNC协议主机不能直接文件管理,但可通过应用发布方式实现文件管理。
- Telnet协议主机不支持文件管理。
- 上行剪切板:运维会话RDP剪切板的功能,复制文本的权限。
- 下行剪切板:运维会话RDP剪切板的功能,粘贴文本的权限。
- 显示水印:运维会话窗口显示用户登录名水印。
- 键盘审计:对键盘输入的信息进行记录。
- 演示模式:通过应用发布浏览器运维时,支持隐藏地址栏,您的浏览器将会禁用F12、鼠标右键、浏览器工具栏。您可以使用F12代替Ctrl实现组合键操作。
登录时段限制
选择登录资源的时间段权限。
IP限制
限制/允许用户“来源IP”访问资源。
- 选择“黑名单”,配置相应IP或IP网段,即限制该IP或IP网段用户登录资源。
- 选择“白名单”,配置相应IP或IP网段,即仅允许该IP或IP网段用户登录资源。
- IP地址缺省状态下,即不限制用户IP登录资源。
- 单击“下一步”,关联用户或用户组。
- 可同时配置关联多个用户或用户组。
- 当用户组关联策略后,新用户加入到用户组中会自动继承用户组的策略权限。
- 单击“下一步”,关联资源账户或账户组。
- 可同时配置关联多个资源账户或资源账户组。
- 当资源账户组关联策略后,新资源账户加入到账户组中会自动继承账户组的策略权限。
- 单击“确定”,返回策略列表页面查看新建策略。
授权用户即可在“主机运维”或“应用运维”列表页面,查看和登录资源。
“关联用户”和“关联用户组”中用户需拥有资源运维的权限,即“角色”已配置主机运维或应用运维。否则用户登录系统后无法查看资源运维模块,不能进行运维登录操作。
批量导入访问控制策略
支持批量导入访问控制策略。
- 单击右上角
下载批量导入模板,填写访问控制策略信息。
- 单击弹窗中的“点击上传”,将填写好的访问控制策略表格进行上传。
若果需要覆盖已有策略,可勾选“覆盖已有策略”。
格式只能上传xls/xlsx/csv文件。
- 单击“确认”,完成上传。
批量导出访问控制策略
在列表右上角单击,可一键导出当前列表所有数据。
后续管理
访问控制策略创建完成后,可在策略列表页面,管理已创建策略,包括管理关联用户或资源、克隆策略、删除策略、启停策略、策略排序等。
- 若需补充关联用户或资源,可单击“关联”,快速关联用户、用户组、资源账户、账户组。
- 若需克隆策略,可在目标策略所在行,选择 ,可一键复制已有策略,并按需修改后生成新的策略。
- 若需删除策略,可选择目标策略,单击“删除”,立即删除策略。
- 若需禁用策略授权,可勾选一个或多个“已启用”状态的策略,单击“禁用”,策略状态变更为“已禁用”,策略授权立即失效。
- 若需排序策略优先等级,可选中策略行上下拖动策略,改变策略排序。