新建訪問控制策略并關聯用戶和資源賬戶

訪問控制策略用于控制用戶訪問資源的權限。

訪問控制策略支持以下功能項：

1. 支持按策略列表頁策略排序區分優先級，排序越靠前優先級越高。
2. 策略基本限制和授權功能，包括使用有效期、登錄時段限制、用戶IP限制、文件傳輸權限、文件管理權限、RDP剪切板功能、運維水印顯示功能等維度。同時可通過關聯用戶組或帳戶組，批量授權訪問控制權限。

約束限制

授權文件上傳/下載權限，需同時開啟“文件傳輸”和“文件管理”。

前提條件

已獲取“訪問控制策略”模塊操作權限。

操作步驟

1. 登錄云堡壘機系統。

2. 選擇“策略 > 訪問控制策略”，進入策略列表頁面。

3. 單擊“新建”，彈出策略基本屬性配置窗口。

選擇一個策略，單擊“更多 > 插入”，亦可新建訪問控制策略。配置完成后，在已創建的策略前新建一個策略。

4. 配置策略基本信息。新建訪問控制策略：

訪問控制策略基本信息參數說明

參數	說明
策略名稱	自定義的訪問控制策略名稱，系統內“策略名稱”不能重復。
有效期	選擇策略生效時間和策略的失效時間。
文件傳輸	在運維過程中上傳和下載文件權限。 勾選代表允許對文件上傳或下載. 不勾選代表禁止對文件上傳或下載。
更多選項	在運維過程中管理文件或文件夾權限，RDP剪切板和會話窗口顯示水印功能。 SSH和RDP協議主機支持文件管理。 VNC協議主機不能直接文件管理，但可通過應用發布方式實現文件管理 Telnet協議主機不支持文件管理。
登錄時段限制	選擇登錄資源的時間段權限。
IP限制	限制/允許用戶“來源IP”訪問資源。 選擇“黑名單”，配置相應IP或IP網段，即限制該IP或IP網段用戶登錄資源。 選擇“白名單”，配置相應IP或IP網段，即僅允許該IP或IP網段用戶登錄資源。 IP地址缺省狀態下，即不限制用戶IP登錄資源。

5. 單擊“下一步”，關聯用戶或用戶組。

• 可同時配置關聯多個用戶或用戶組。
• 當用戶組關聯策略后，新用戶加入到用戶組中會自動繼承用戶組的策略權限。

關聯用戶

6. 單擊“下一步”，關聯資源賬戶或帳戶組。

• 可同時配置關聯多個資源賬戶或資源賬戶組。
• 當資源賬戶組關聯策略后，新資源賬戶加入到帳戶組中會自動繼承帳戶組的策略權限。

關聯資源賬戶

7. 單擊“確定”，返回策略列表頁面查看新建策略。

授權用戶即可在“主機運維”或“應用運維”列表頁面，查看和登錄資源。

“關聯用戶”和“關聯用戶組”中用戶需擁有資源運維的權限，即“角色”已配置主機運維或應用運維。否則用戶登錄系統后無法查看資源運維模塊，不能進行運維登錄操作。

后續管理

訪問控制策略創建完成后，可在策略列表頁面，管理已創建策略，包括管理關聯用戶或資源、刪除策略、啟停策略、策略排序等。

• 若需補充關聯用戶或資源，可單擊“關聯”，快速關聯用戶、用戶組、資源賬戶、帳戶組。
• 若需刪除策略，可選擇目標策略，單擊“刪除”，立即刪除策略。
• 若需禁用策略授權，可勾選一個或多個“已啟用”狀態的策略，單擊“禁用”，策略狀態變更為“已禁用”，策略授權立即失效。
• 若需排序策略優先等級，可選中策略行上下拖動策略，改變策略排序。
• 若需線下管理策略，可單擊“導出”，以CSV格式導出全量訪問控制策略詳情。

設置雙人授權

雙人授權即金庫授權模式。配置雙人授權后，運維人員若需訪問核心資源，要求管理員現場授權認證，通過認證后才能訪問核心資源。即使運維人員帳號丟失，也不會泄露核心資源信息，降低運維風險，保障核心資產安全。

約束限制

授權候選人僅可選擇本部門及上級部門的部門管理員，包括系統管理員 admin 。

前提條件

• 已獲取“訪問控制策略”模塊操作權限。
• 已創建訪問控制策略，并已關聯用戶和資源賬戶。

操作步驟

1. 登錄云堡壘機系統。

2. 選擇“策略 > 訪問控制策略”，進入訪問控制策略列表頁面。

3. 選擇目標策略，在“操作”列單擊“更多 > 雙人授權候選人”，彈出授權候選人名單窗口。

4. 選擇一個或多個部門管理員，設為雙人授權候選人。

5. 單擊“確認”，雙人授權候選人設置完成。

后續管理

雙人授權配置成功后，該策略授權用戶再次登錄資源時，則會彈出雙人授權確認窗口。

需選擇一位授權人，并輸入授權人帳號密碼。驗證通過后，才能登錄資源。

查詢和修改訪問控制策略

若運維人員有變動，或授權資源權限有變化，可查看和修改已創建的策略配置，包括修改基本權限、修改關聯用戶或用戶組、修改關聯資源賬戶或帳戶組、修改雙人授權配置等。

• 修改策略配置，且策略狀態為“已啟用”時，策略規則才生效。
• 修改策略配置后，若關聯用戶已登錄資源，需退出登錄重新連接，相關策略規則在下一次運維操作時才會生效。

前提條件

已獲取“訪問控制策略”模塊操作權限。

查看和修改策略配置

1. 登錄云堡壘機系統。

2. 選擇“策略 > 訪問控制策略”，進入訪問控制策略列表頁面。

3. 查詢訪問控制策略。

• 快速查詢：在搜索框中輸入關鍵字，根據策略名稱、用戶、資源名稱、主機地址、資源賬戶、時間限制、IP限制等快速查詢策略。
• 高級搜索：在相應屬性搜索框中分別關鍵字，精確查詢策略。

4. 單擊目標策略名稱，或者單擊“管理”，進入策略詳情頁面。

5. 查看和修改策略基本信息。

在“基本信息”區域，單擊“編輯”，彈出基本信息編輯窗口，即可修改策略的基本信息。

可修改信息包括“策略名稱”、“有效期”、“文件傳輸”、“文件管理”、“上行剪切板”、“下行剪切板”、“登錄時段限制”和“IP限制”等。

查看策略基本信息

6. 查看和修改策略關聯的用戶。

• 在“用戶”區域，單擊“編輯”，彈出關聯用戶窗口，可立即添加或移除關聯的用戶。
• 在相應用戶行，單擊“移除”，可立即刪除該關聯用戶，取消授權。

查看關聯用戶

7. 查看和修改策略關聯的用戶組。

• 在“用戶組”區域，單擊“編輯”，彈出關聯用戶組窗口，可立即添加或移除關聯的用戶組。
• 在相應用戶組行，單擊“移除”，可立即刪除該關聯用戶組，取消授權。

查看關聯用戶組

8. 查看和修改策略關聯的資源賬戶。

• 在“資源賬戶”區域，單擊“編輯”，彈出關聯資源賬戶窗口，可立即添加或移除關聯的資源賬戶。
• 在相應資源賬戶行，單擊“移除”，可立即刪除該資源賬戶，取消授權。

查看關聯資源賬戶

9. 查看和修改策略關聯的帳戶組。

• 在“帳戶組”區域，單擊“編輯”，彈出關聯帳戶組窗口，可立即添加或移除關聯的帳戶組。
• 在相應帳戶組行，單擊“移除”，可立即刪除該帳戶組，取消授權。

查看關聯帳戶組

10. 查看和修改雙人授權。

• 在“雙人授權候選人”區域，單擊“編輯”，彈出多人授權候選人窗口，可立即添加或移除關聯的授權候選人。
• 在相應候選人行，單擊“移除”，可立即刪除該授權候選人，取消該候選人。