更新时间:2026-06-26 GMT+08:00
分享

管理访问控制策略

操作场景

创建访问控制策略后,可以在访问控制策略列表中,对目标访问控制策略进行修改、关联用户或用户组、关联资源账户或账户组、启用或禁用、删除等操作。

前提条件

当前用户所属角色已拥有“访问控制策略”模块的管理权限,如何查看各角色的权限,请参见角色

查看和修改访问控制策略

若运维人员有变动,或授权资源权限有变化,可查看和修改已创建的访问策略,包括修改基本权限、修改关联用户或用户组、修改关联资源账户或账户组、修改双人授权配置等。

  • 修改策略配置,且策略状态为“已启用”时,策略规则才生效。
  • 修改策略配置后,若关联用户已登录资源,需退出登录重新连接,相关策略规则在下一次运维操作时才会生效。
  1. 登录堡垒机系统
  2. 在左侧导航栏,选择策略 > 访问控制策略,进入策略列表页面。
  3. 查看策略列表信息。

    表1 访问控制策略列表参数说明

    参数

    说明

    策略名称

    访问控制策略的名称。

    状态

    访问控制策略的状态。

    用户

    访问控制策略已关联的用户及用户组。

    资源账户

    访问控制策略已关联的资源账户及账户组。

    操作

    对当前访问控制策略可执行的操作。

  4. 在目标策略所在行,单击策略名称,或单击“操作”列的“管理”,进入策略详情页面。
  5. 查看和修改策略的基本信息。

    • “基本信息”区域,可查看当前策略的部门、状态等基本信息。
    • 单击“基本信息”区域右侧的“编辑”,弹出配置窗口,可修改策略的有效期及其他信息,参数说明可参见表1

  6. 查看和修改策略关联的用户/用户组。

    • 分别在“用户”“用户组”区域下的列表中,可查看当前策略已关联的用户/用户组信息。
    • 单击“用户”“用户组”区域右侧的“编辑”,弹出配置窗口,可立即添加关联的用户/用户组。
    • 在列表中目标用户/用户组所在行,单击“移除”,可立即删除该关联用户/用户组,取消授权。

  7. 查看和修改策略关联的资源账户和账户组。

    • 分别在“资源账户”“账户组”区域下的列表中,可查看当前策略已关联的资源账户/账户组信息。
    • 单击“资源账户”“账户组”区域右侧的“编辑”,弹出配置窗口,可立即添加关联的资源账户/账户组。
    • 在列表中目标资源账户/账户组所在行,单击“移除”,可立即删除该关联资源账户/账户组,取消授权。

  8. 查看和修改双人授权。

    • “双人授权候选人”区域下的列表中,可查看当前策略已关联的双人授权候选人信息。
    • 单击“双人授权候选人”区域右侧的“编辑”,弹出配置窗口,可立即添加关联的授权候选人。
    • 在列表中目标候选人所在行,单击“移除”,可立即删除该授权候选人,取消该候选人。

为访问控制策略关联用户/用户组

  1. 登录堡垒机系统
  2. 在左侧导航栏,选择策略 > 访问控制策略,进入策略列表页面。
  3. 在目标策略所在行的“操作”列,单击“关联”,选择“用户”“用户组”
  4. 在弹出的编辑窗口中,关联用户或用户组。

    请确保关联的用户或关联的用户组中的用户拥有资源运维权限,即用户所属角色已拥有“主机运维”“应用运维”模块的管理权限,否则用户登录系统后无法查看资源运维模块,则不能进行运维登录操作。如何查看各角色的权限,请参见角色
    • 可同时关联多个用户或用户组。
      • 选择用户或用户组:在“关联用户”/“关联用户组”页签,在“可选择的用户”/“可选择的用户组”框中勾选用户或用户组后,单击,将其移动到“已选择的用户”/“已选择的用户组”框中。
      • 移除用户或用户组:在“关联用户”/“关联用户组”页签,在“已选择的用户”/“已选择的用户组”框中勾选用户或用户组后,单击,将其移动到“可选择的用户”/“可选择的用户组”框中。
    • 当用户组关联策略后,新用户加入到用户组中会自动继承用户组的策略权限。

  5. 单击“确定”

为访问控制策略关联资源账户/账户组

  1. 登录堡垒机系统
  2. 在左侧导航栏,选择策略 > 访问控制策略,进入策略列表页面。
  3. 在目标策略所在行的“操作”列,单击“关联”,选择“资源账户”“账户组”
  4. 在弹出的编辑窗口中,关联资源账户或账户组。

    • 可同时关联多个资源账户或账户组。
      • 选择资源账户或账户组:在“关联资源账户”/“关联账户组”页签,在“可选择的资源账户”/“可选择的账户组”框中勾选资源账户或账户组后,单击,将其移动到“已选择的资源账户”/“已选择的账户组”框中。
      • 移除资源账户或账户组:在“关联资源账户”/“关联账户组”页签,在“已选择的资源账户”/“已选择的账户组”框中勾选资源账户或账户组后,单击,将其移动到“可选择的资源账户”/“可选择的账户组”框中。
    • 当账户组关联策略后,新资源账户加入到账户组中会自动继承账户组的策略权限。

  5. 单击“确定”

启用/禁用访问控制策略

  1. 登录堡垒机系统
  2. 在左侧导航栏,选择策略 > 访问控制策略,进入策略列表页面。
  1. 启用或禁用访问控制策略。

    • 启用策略
      1. 在策略列表中,勾选目标策略,单击列表左下方的“启用”
      2. 在弹出的确认启用弹框中,单击“确定”
    • 禁用策略
      1. 在策略列表中,勾选目标策略,单击列表左下方的“禁用”
      2. 在弹出的确认禁用弹框中,单击“确定”

导出访问控制策略

支持一键导出全部访问控制策略信息。

  1. 登录堡垒机系统
  2. 在左侧导航栏,选择策略 > 访问控制策略,进入策略列表页面。
  1. (可选)勾选目标策略,若不勾选,则默认导出全部。
  2. 在右上方单击,创建导出任务。
  3. 单击“去下载中心”,进入到下载任务列表。
  4. 当下载任务的打包进度为100%时,单击“操作”列的“下载”,下载文件到本地,打开本地文件,即可查看导出的访问控制策略信息。

删除访问控制策略

  1. 登录堡垒机系统
  2. 在左侧导航栏,选择策略 > 访问控制策略,进入策略列表页面。
  1. 删除访问控制策略。

    • 删除单个策略
      1. 在目标策略所在行的“操作”列,单击“删除”
      2. 在弹出的确认删除框中,单击“确定”
    • 批量删除策略
      1. 在访问控制策略列表页面,勾选多个目标策略。
      2. 单击左下方的“删除”
      3. 在弹出的确认删除框中,单击“确定”

相关文档