命令控制策略

约束限制

目前SSH和Telnet协议类型的Linux系统或网络设备，支持通过命令控制策略设置访问权限。

前提条件

• 已拥有CBH系统“命令控制策略”模块管理权限。

管理命令集

1. 登录云堡垒机系统。
2. 选择“策略 > 命令控制策略 > 命令集”，进入命令集列表页面。
   图1 命令集列表页面
   

3. 单击“新建”，弹出“新建命令集”窗口，配置命令集名称。
   系统内 “命令集名称”不能重复

   图2 新建命令集
   

4. 单击“确定”，返回规则集列表页面，查看新建的规则集。
5. 添加规则。
   1. 单击“操作”列的“添加命令”，选择命令集合或者单条命令。

      目前系统预置了“Linux系统”和“网络设备”常见命令和参数。

   2. 单击“确定”，命令添加完成。
      图3 添加命令
      

6. 管理命令集。
   1. 单击规则集名称，或者单击“管理”，进入“命令集详情”界面。
   2. 单击“基本信息”区域的“编辑”，可修改命令集名称。
   3. 单击“命令”区域的“添加”或“移除”，可添加预置的命令或删除命令，修改命令集。

7. 删除命令集。
   1. 单击指定命令集“操作”列的“删除”，可删除该命令集。
   2. 同时勾选多个命令集，单击列表下方的“删除”，可以批量删除多个命令集。

新建命令控制策略

1. 登录云堡垒机系统。
2. 选择“策略 > 命令控制策略 > 策略列表”，进入命令控制策略列表页面。
   图4 策略列表页面
   

3. 单击“新建”，新建命令控制策略。
   图5 配置策略基本信息
   

4. 配置策略基本信息，单击“下一步”。

   表1 策略基本信息参数说明

   参数	说明
   策略名称	自定义的命令控制策略名称，系统内“策略名称”不能重复。
   执行动作	策略控制用户在数据库的执行动作。 包括“断开连接”、“拒绝执行”、“动态授权”、“允许执行”。 断开连接：当会话执行策略生效的命令时，直接断开会话。 拒绝执行：当会话执行策略生效的命令时，直接拒绝命令的执行。 动态授权：当会话执行策略生效的命令时，直接拒绝命令的执行，需要向管理员提交审批，管理员通过之后才能执行。 允许执行：当会话执行策略生效的命令时，允许执行。
   有效期	策略生效时间和策略的实效时间。
   时段限制	限制策略的生效时间段。

5. 配置关联命令或命令集，单击“下一步”。
   

   • 关联命令：可设置多个命令，每行输入一条命令。
   • 关联命令集：关联已创建的命令集。

6. 关联用户或用户组，选择已创建用户或用户组，单击“下一步”。
   

   • 当用户组关联策略后，新用户加入到用户组中会自动继承用户组的策略权限。
   • “关联用户”和“关联用户组”中用户需拥有资源运维权限，即已配置拥有命令授权工单权限的“角色”。否则用户登录系统后无法查看命令授权工单模块，不能提交工单获取权限。
   图6 选择用户或用户组
   

7. 关联资源账户或账户组，选择已创建数据库资源账户或账户组。

   当账户组关联策略后，新账户加入到账户组中会自动赋予账户组的策略权限。

   图7 选择资源账户或账户组
   

8. 单击“确定”，返回策略列表页面，查看新建的数据库控制策略。

编辑命令控制策略

1. 登录云堡垒机系统。
2. 选择“策略 > 命令控制策略 > 策略列表”，进入命令控制策略列表页面。
   图8 策略列表页面
   

3. 单击策略名称，或者单击“管理”，进入“命令控制策略详情”页面。
   1. 单击“基本信息”区域的“编辑”，可查看和修改策略基本参数信息。
   2. 分别单击“命令”、“命令集”、“用户”、“用户组”、“资源账户”、“账户组”区域的“编辑”，可修改或移除策略单个命令、命令集、用户、用户组、资源账户或账户组。

4. 单击“插入”，快速新建控制策略，在对应策略前插入一条新建策略。
5. 单击“关联”，快速查看和修改策略关联单个命令、命令集、用户、用户组、资源账户或账户组。
6. 单击“删除”，可删除该策略。

   同时勾选多个策略，单击列表下方的“删除”，可以批量删除多个策略。

   

   删除策略后，策略所有的配置信息将不能恢复和查询。

7. 同时勾选一个或多个策略，单击“启用”或“禁用”，快速启用或禁用策略。

   “已启用”状态的策略才生效命令访问的限制。