定制访问控制策略的流程如图1所示。

图1 访问控制策略定制流程

• 添加资源

  管理员添加需要管理的资源，资源包括服务器、网络设备、安全设备、应用系统、数据库系统等对象。

  支持编辑相关设备信息，包括系统类型、所属部门、资源名称、资源地址、协议类型、应用程序等。

• 添加从账户

  管理员添加与资源对应的从账户（资源账户），包括账户名、密码等。

  从账户支持自动、手动、半自动的登录方式，并且能够由普通账户切换到特权账户，同时密码可由云堡垒机定期自动更新。

• 添加主账户

  管理员添加主账户（用户账户）。主账户是登录云堡垒机，获取目标设备访问权的唯一账户，与实际用户身份一一对应，每个用户一个主账户，每个主账号只属于一个用户。

• 创建访问控制策略

  管理员建立基于“时间+主账户+资源+从账户+权限”等要素的关联策略。

• 行为全程审计

  云堡垒机自动记录管理员的资源管理、用户管理和策略管理等所有行为日志，以便审计员监控和审计。