资源账户组
操作场景
多个资源账户加入一个“账户组”形成资源账户群组,通过对账户组授权可对资源账户进行批量授权、批量账户验证。
账户组与部门挂钩,不属于个人。上级部门拥有“账户组”模块管理权限的用户可以查看下级部门的所有账户组信息,反之不能,同级部门之间的账户组可以相互查看。
约束与限制
- 上级部门管理员为下级部门账户组添加资源账户时,可将上级部门的资源账户添加到下级部门的账户组中。
- 下级部门拥有“账户组”模块管理权限的用户,查看账户组时,只能查看到账户组内上级部门资源账户列表,不能查看上级部门资源账户的详情信息。
- 下级部门拥有“账户组”模块管理权限的用户,将当前账户组中的上级部门资源账户移除后,将不能添加移除的上级部门资源账户。
- 一个资源账户可加入多个账户组。
前提条件
当前用户所属角色已拥有“账户组”模块的管理权限,如何查看各角色的权限,请参见角色。
创建资源账户组
当前登录用户所创建的账户组默认归属于当前登录用户所属的部门。不支持修改部门。
- 登录堡垒机系统。
- 在左侧导航栏,选择,进入账户组列表页面。
- 单击“新建”,弹出配置窗口,配置资源账户组信息。
表1 新建账户组 参数
说明
账户组
自定义账户组名称,系统唯一。
长度为1-64个汉字或字符,允许输入汉字、字母、数字或“-”。
账户组描述
(可选)自定义对账户组的简要描述。支持最长128个汉字或字符。
- 单击“确定”。
返回账户组列表页面,可查看新建的账户组。后续,您还需要将资源账户添加到账户组中,请参考向资源账户组中添加或移除成员。
向资源账户组中添加或移除成员
将堡垒机系统中的资源账户添加到账户组中,方便统一管理和批量操作。
- 登录堡垒机系统。
- 在左侧导航栏,选择,进入账户组列表页面。
- 按需添加或移除成员。
- 添加成员
- 在目标账户组的“操作”列,单击“添加成员”。
- 在弹窗中,勾选需要加入组的资源账户,单击“确定”。
可根据资源账户、关联资源、主机地址、应用地址搜索目标资源账户。
- 移除成员
- 在目标资源组的“操作”列,单击“移除成员”。
- 在弹窗中,勾选需要移除出组的资源账户,单击“确定”。
可根据资源账户、关联资源、主机地址、应用地址搜索目标资源账户。
- 添加成员
查看或修改资源账户组的基本信息及成员
- 登录堡垒机系统。
- 在左侧导航栏,选择,进入账户组列表页面。
- 单击目标账户组的名称,或在目标账户组的“操作”列,单击“管理”,进入账户组详情页面。
- 查看或修改账户组的基本信息。
- 在“基本信息”区域,可查看账户组的名称、部门及描述信息。
- 在“基本信息”区域右侧,单击“编辑”,可修改账户组的名称及描述信息。
- 查看或修改账户组的成员。
- 在“账户组成员”区域,可查看当前账户组中的资源账户列表。
- 在“账户组成员”区域右侧,单击“添加”,可向资源组中添加资源账户。
- 在“账户组成员”区域下方的资源账户列表中,单击“移除出组”,可将对应资源账户移除出当前账户组。
批量验证账户组中的资源账户状态
对已加入账户组的资源账户,可一键批量验证账户组内资源账户的连接状态。
- 登录堡垒机系统。
- 在左侧导航栏,选择,进入账户组列表页面。
- 勾选需要验证的账户组,单击列表下方的“验证”,弹出配置窗口。
- 在配置窗口中,配置验证参数。
- 单击“确定”。
- 单击“去任务中心”,可查看验证任务的完成结果。
- 单击验证账户组的任务标题,进入任务详情页面,可以在“结果信息”区域,查看资源的验证结果。 图1 验证结果
删除资源账户组
资源账户组被删除后,账户组所关联的资源账户将批量移除出该组,资源账户原有配置不受影响。
- 登录堡垒机系统。
- 在左侧导航栏,选择,进入账户组列表页面。
- 按需删除账户组。
- 删除单个账户组
- 在目标账户组的“操作”列,单击“删除”。
- 在确认框中,单击“确定”。
- 批量删除账户组
- 在账户组列表中,勾选多个账户组。
- 单击左下方的“删除”。
- 在确认框中,单击“确定”。
- 删除单个账户组