更新时间:2026-06-26 GMT+08:00
管理访问控制策略
操作场景
创建访问控制策略后,可以在访问控制策略列表中,对目标访问控制策略进行修改、关联用户或用户组、关联资源账户或账户组、启用或禁用、删除等操作。
前提条件
当前用户所属角色已拥有“访问控制策略”模块的管理权限,如何查看各角色的权限,请参见角色。
查看和修改访问控制策略
若运维人员有变动,或授权资源权限有变化,可查看和修改已创建的访问策略,包括修改基本权限、修改关联用户或用户组、修改关联资源账户或账户组、修改双人授权配置等。
- 修改策略配置,且策略状态为“已启用”时,策略规则才生效。
- 修改策略配置后,若关联用户已登录资源,需退出登录重新连接,相关策略规则在下一次运维操作时才会生效。
- 登录堡垒机系统。
- 在左侧导航栏,选择,进入策略列表页面。
- 查看策略列表信息。
表1 访问控制策略列表参数说明 参数
说明
策略名称
访问控制策略的名称。
状态
访问控制策略的状态。
- 已启用:策略正常启用中。
- 已禁用:策略已被禁用,如需启用,请参考启用/禁用访问控制策略。
- 未生效:策略未生效,即当前时间还未到策略的生效时间,可修改策略的“有效期”,使之生效。
- 已过期:策略已过期,即当前时间已超过策略的失效时间,可修改策略的“有效期”,使之生效。
- 待完善:表示策略未关联用户/用户组,或未关联资源账户/账户组,如需关联,请参见为访问控制策略关联用户/用户组、为访问控制策略关联资源账户/账户组。
用户
访问控制策略已关联的用户及用户组。
资源账户
访问控制策略已关联的资源账户及账户组。
操作
对当前访问控制策略可执行的操作。
- 在目标策略所在行,单击策略名称,或单击“操作”列的“管理”,进入策略详情页面。
- 查看和修改策略的基本信息。
- 在“基本信息”区域,可查看当前策略的部门、状态等基本信息。
- 单击“基本信息”区域右侧的“编辑”,弹出配置窗口,可修改策略的有效期及其他信息,参数说明可参见表1。
- 查看和修改策略关联的用户/用户组。
- 分别在“用户”、“用户组”区域下的列表中,可查看当前策略已关联的用户/用户组信息。
- 单击“用户”、“用户组”区域右侧的“编辑”,弹出配置窗口,可立即添加关联的用户/用户组。
- 在列表中目标用户/用户组所在行,单击“移除”,可立即删除该关联用户/用户组,取消授权。
- 查看和修改策略关联的资源账户和账户组。
- 分别在“资源账户”、“账户组”区域下的列表中,可查看当前策略已关联的资源账户/账户组信息。
- 单击“资源账户”、“账户组”区域右侧的“编辑”,弹出配置窗口,可立即添加关联的资源账户/账户组。
- 在列表中目标资源账户/账户组所在行,单击“移除”,可立即删除该关联资源账户/账户组,取消授权。
- 查看和修改双人授权。
- 在“双人授权候选人”区域下的列表中,可查看当前策略已关联的双人授权候选人信息。
- 单击“双人授权候选人”区域右侧的“编辑”,弹出配置窗口,可立即添加关联的授权候选人。
- 在列表中目标候选人所在行,单击“移除”,可立即删除该授权候选人,取消该候选人。
为访问控制策略关联用户/用户组
- 登录堡垒机系统。
- 在左侧导航栏,选择,进入策略列表页面。
- 在目标策略所在行的“操作”列,单击“关联”,选择“用户”或“用户组”。
- 在弹出的编辑窗口中,关联用户或用户组。 请确保关联的用户或关联的用户组中的用户拥有资源运维权限,即用户所属角色已拥有“主机运维”或“应用运维”模块的管理权限,否则用户登录系统后无法查看资源运维模块,则不能进行运维登录操作。如何查看各角色的权限,请参见角色。
- 可同时关联多个用户或用户组。
- 选择用户或用户组:在“关联用户”/“关联用户组”页签,在“可选择的用户”/“可选择的用户组”框中勾选用户或用户组后,单击
,将其移动到“已选择的用户”/“已选择的用户组”框中。 - 移除用户或用户组:在“关联用户”/“关联用户组”页签,在“已选择的用户”/“已选择的用户组”框中勾选用户或用户组后,单击
,将其移动到“可选择的用户”/“可选择的用户组”框中。
- 选择用户或用户组:在“关联用户”/“关联用户组”页签,在“可选择的用户”/“可选择的用户组”框中勾选用户或用户组后,单击
- 当用户组关联策略后,新用户加入到用户组中会自动继承用户组的策略权限。
- 可同时关联多个用户或用户组。
- 单击“确定”。
为访问控制策略关联资源账户/账户组
- 登录堡垒机系统。
- 在左侧导航栏,选择,进入策略列表页面。
- 在目标策略所在行的“操作”列,单击“关联”,选择“资源账户”或“账户组”。
- 在弹出的编辑窗口中,关联资源账户或账户组。
- 可同时关联多个资源账户或账户组。
- 选择资源账户或账户组:在“关联资源账户”/“关联账户组”页签,在“可选择的资源账户”/“可选择的账户组”框中勾选资源账户或账户组后,单击
,将其移动到“已选择的资源账户”/“已选择的账户组”框中。 - 移除资源账户或账户组:在“关联资源账户”/“关联账户组”页签,在“已选择的资源账户”/“已选择的账户组”框中勾选资源账户或账户组后,单击
,将其移动到“可选择的资源账户”/“可选择的账户组”框中。
- 选择资源账户或账户组:在“关联资源账户”/“关联账户组”页签,在“可选择的资源账户”/“可选择的账户组”框中勾选资源账户或账户组后,单击
- 当账户组关联策略后,新资源账户加入到账户组中会自动继承账户组的策略权限。
- 可同时关联多个资源账户或账户组。
- 单击“确定”。
启用/禁用访问控制策略
- 登录堡垒机系统。
- 在左侧导航栏,选择,进入策略列表页面。
- 启用或禁用访问控制策略。
- 启用策略
- 在策略列表中,勾选目标策略,单击列表左下方的“启用”。
- 在弹出的确认启用弹框中,单击“确定”。
- 禁用策略
- 在策略列表中,勾选目标策略,单击列表左下方的“禁用”。
- 在弹出的确认禁用弹框中,单击“确定”。
- 启用策略
导出访问控制策略
支持一键导出全部访问控制策略信息。
- 登录堡垒机系统。
- 在左侧导航栏,选择,进入策略列表页面。
- (可选)勾选目标策略,若不勾选,则默认导出全部。
- 在右上方单击
,创建导出任务。 - 单击“去下载中心”,进入到下载任务列表。
- 当下载任务的打包进度为100%时,单击“操作”列的“下载”,下载文件到本地,打开本地文件,即可查看导出的访问控制策略信息。
删除访问控制策略
- 登录堡垒机系统。
- 在左侧导航栏,选择,进入策略列表页面。
- 删除访问控制策略。
- 删除单个策略
- 在目标策略所在行的“操作”列,单击“删除”。
- 在弹出的确认删除框中,单击“确定”。
- 批量删除策略
- 在访问控制策略列表页面,勾选多个目标策略。
- 单击左下方的“删除”。
- 在弹出的确认删除框中,单击“确定”。
- 删除单个策略
父主题: 访问控制策略