访问控制

新建访问控制策略

1. 登录堡垒机系统。
2. 单击，将控制台切换到“管理控制台”模式。
3. 在左侧导航树，选择“策略 > 访问控制”。
4. 单击“新建”，进入新建策略页面，参考表1配置策略后，单击“下一步”。
   图1 新建访问控制
   

   表1 访问控制策略参数说明

   分类	参数名称	参数说明
   基本信息	策略名称	自定义策略名称，仅用于识别，项目内不可重复。
   	有效期	永久：长期有效。 自定义：设置有效期时间段，仅该时间段内策略有效。
   	过期后次日0点自动删除	自定义有效期的情况下开启此功能，有效期结束后的第二天0点系统自动删除该策略。
   	状态	启用或禁用策略。
   访问验证	登录事由	运维资产需要填写登录事由，在审计中可查看登录事由。
   	运维复核	运维资产时需要审批员审批通过方可登录。
   	二次身份验证	运维资产时需要多因素验证方可登录。
   	数据库SSH隧道运维	使用SSH隧道运维数据库。仅专业版实例支持设置此参数。
   终端限制	H5运维选项-允许字符类会话使用剪贴板进行文字上传下载	勾选后，H5运维时，字符类会话可以使用剪贴板进行文字上传下载。
   	RDP选项-允许打印机/驱动器映射	勾选后，运维RDP主机时，可以映射本地打印机和本地磁盘。
   	RDP选项-允许使用剪贴板下载文字	勾选后，运维RDP主机时，可以使用复制粘贴功能从主机下载文字。
   	RDP选项-允许使用剪贴板上传文字	勾选后，运维RDP主机时，可以使用复制粘贴功能将文字上传至主机。
   	RDP选项-允许使用剪贴板下载文件	勾选后，运维RDP主机时，可以使用复制粘贴功能从主机下载文件。
   	RDP选项-允许使用剪贴板上传文件	勾选后，运维RDP主机时，可以使用复制粘贴功能将文件上传至主机。
   	RDP选项-允许磁盘映射方式下载文件	勾选后，运维RDP主机时，可以使用磁盘映射方式从RDP主机下载文件。
   	RDP选项-允许磁盘映射方式上传文件	勾选后，运维RDP主机时，可以使用磁盘映射方式上传文件至RDP主机。
   	VNC选项-允许下载文件	勾选后，运维VNC主机时，可以下载文件。
   	VNC选项-允许上传文件	勾选后，运维VNC主机时，可以上传文件。
   	VNC选项-允许使用剪贴板下载文字	勾选后，运维VNC主机时，可以使用复制粘贴功能从主机下载文字。
   	VNC选项-允许使用剪贴板上传文字	勾选后，运维VNC主机时，可以使用复制粘贴功能将文字上传至主机。
   	SSH选项-允许X11转发	勾选后，运维SSH主机时，可以通过SSH方式转发X11协议。
   	SSH选项-允许打开SFTP通道	勾选后，运维SSH主机时，可以使用SSH客户端工具直接打开SFTP协议。
   	SSH选项-允许请求exec	勾选后，运维SSH主机时，可以直接使用exec指令。
   	SSH选项-允许SSH正向隧道	勾选后，运维SSH主机时，允许SSH正向隧道。
   	SSH选项-允许SSH反向隧道	勾选后，运维SSH主机时，允许SSH反向隧道
   	SSH选项-禁止SFTP资产的SHELL运维	勾选后，运维SFTP资产时，禁止打开SHELL运维 SSH。
   	SFTP/SCP/ZMODEM传输控制-禁止下载文件	勾选后，运维时禁止通过SFTP/SCP/ZMODEM方式下载文件。
   	SFTP/SCP/ZMODEM传输控制-禁止上传文件	勾选后，运维时禁止通过SFTP/SCP/ZMODEM方式上传文件。
   	SFTP/SCP/ZMODEM传输控制-禁止删除文件	勾选后，运维SFTP主机时，禁止删除文件。
   	SFTP/SCP/ZMODEM传输控制-禁止重命名	勾选后，运维SFTP主机时，禁止重命名文件。
   	SFTP/SCP/ZMODEM传输控制-禁止创建目录	勾选后，运维SFTP主机时，禁止创建目录。
   	SFTP/SCP/ZMODEM传输控制-禁止删除目录	勾选后，运维SFTP主机时，禁止删除目录。
   	FTP选项-禁止下载文件	勾选后，运维FTP主机时，禁止下载文件。
   	FTP选项-禁止上传文件	勾选后，运维FTP主机时，禁止上传文件。
   	FTP选项-禁止删除文件	勾选后，运维FTP主机时，禁止删除文件。
   	FTP选项-禁止重命名	勾选后，运维FTP主机时，禁止重命名文件。
   	FTP选项-禁止创建目录	勾选后，运维FTP主机时，禁止创建目录。
   	FTP选项-禁止删除目录	勾选后，运维FTP主机时，禁止删除目录。
   审计控制	审计选项	开启历史会话审计：勾选后，运维结束生产的运维会话记录中支持会话内容播放，审计员可以对运维过程进行审计。 开启实时审计监控：勾选后，审计员可以对正在进行的运维会话进行实时监控。
   	RDP/VNC控制	启用键盘记录：勾选后，运维RDP主机、VNC主机对键盘操作进行记录。
   	文件审计	生成文件SHA1：勾选后，可以对SFTP/FTP传输的文件进行SHA1签名，确保文件的唯一性与不重复。
   		保存文件：勾选后，可以将SFTP/FTP传输的文件保存在堡垒机系统中。 保存下载文件：勾选后，可以保存下载的文件。 保存上传文件：勾选后，可以保存上传的文件。 启用文件压缩：勾选后，可以对传输的文件进行压缩。 不保存超过*KB 的文件：设定文件保存的最大值，超过该值将不保存，取值范围：1~1,000,000。 单个会话保存的文件超过*MB 时停止保存：设定单个会话内产生的文件的最大总值，超过该总值时将停止保存，取值范围：1~1,000,000。
   	字符命令输出审计	开启后，堡垒机根据配置的单条命令输出最大长度，对命令的返回结果内容进行审计。
   	数据库双向审计	开启后，堡垒机根据配置的单行数据最大长度和最大审计行数，对数据库的返回结果内容进行审计。仅专业版实例支持设置此参数。
   	数据库运维	仅专业版实例支持设置此参数。 启用数据库图形运维工具：勾选后，允许用户调用应用中心的数据库工具进行运维，可同时审计SQL语句和操作录像，实现数据库的双重审计功能。 禁用数据库本地客户端运维：在启用数据库图形运维工具的情况下，若勾选禁用数据库本地客户端运维，用户仅能调用应用服务器的远程客户端进行运维，可以确保所有人的运维会话均为双重审计。

5. 配置绑定对象及绑定环境，配置完成后单击“确定”。

   表2 绑定对象参数说明

   分类	参数名称	参数说明
   绑定对象	匹配方式	动态匹配：分别设置用户、资产和账号三个条件进行动态匹配，三个条件同时满足则策略匹配生效。 指定授权规则：选择指定的授权规则进行策略匹配生效。
   	用户	所有用户：匹配所有用户。 用户/用户组：匹配选定的用户或用户组。 规则：按用户自定义属性进行更灵活的匹配。
   	资产	所有资产：匹配项目关联的所有资产。 资产/资产目录：匹配选定的资产或资产目录。 规则：按资产自定义属性进行更灵活的匹配。
   	账号	所有账号：匹配项目关联的所有账号。 账号：匹配指定的账号。 规则：按账号自定义属性进行更灵活的匹配。
   绑定环境	策略生效时间段	配置策略生效的时间段，绿色代表生效，白色代表不生效，每个小格代表一个小时，周一的第一个小格代表周一的凌晨0点到1点。
   	策略生效IP范围	对以下IP不生效：在IP列表中填写IP地址或IP段范围，表示策略对该范围内的IP地址的用户不生效。 对以下IP生效：在IP列表中填写IP地址或IP段范围，表示策略仅对该范围内的IP地址的用户生效。

编辑访问控制策略

1. 登录堡垒机系统。
2. 单击，将控制台切换到“管理控制台”模式。
3. 在左侧导航树，选择“策略 > 访问控制”。
4. 在策略列表的操作区域，单击“编辑”，编辑策略信息单击“确定”，参数说明请参见表1。
   图2 编辑访问控制策略
   

启用访问控制

禁用状态的策略，需启用后策略内容才会生效。

禁用访问控制

1. 登录堡垒机系统。
2. 单击，将控制台切换到“管理控制台”模式。
3. 在左侧导航树，选择“策略 > 访问控制”。
4. 在访问控制区域，勾选待禁用的策略，单击“禁用”，即可禁用该策略。
   图4 禁用访问控制策略
   

调整访问控制优先级

1. 登录堡垒机系统。
2. 单击，将控制台切换到“管理控制台”模式。
3. 在左侧导航树，选择“策略 > 访问控制”。
4. 支持如下两种方式调整优先级。
   • 方式一：在访问控制区域，单击“调整优先级”，拖拽排序调整策略的优先级，完成单击“保存”。
     图5 方式一
     
   • 方式二：在访问控制区域，选择待调整的策略，在操作区域单击“调整优先级”，填入调整后的序号，单击“确定”。
     图6 方式二
     

删除访问控制策略

1. 登录堡垒机系统。
2. 单击，将控制台切换到“管理控制台”模式。
3. 在左侧导航树，选择“策略 > 访问控制”。
4. 在访问控制区域，选中需要删除的策略，单击“删除”后，单击“确定”。
   图7 删除访问控制策略