文档中心 > 步骤5:配置运维权限
步骤5:配置运维权限

最近更新时间:2021-08-18

通过变更单、动态权限配置基础权限,通过规则模板配置扩展权限。

管理员为某用户访问指定资产配置了权限后,该用户才能在访问资产界面看到这些资产,并对这些资产进行访问。当为某用户设置了访问指定资产组的权限时,如果该资产组中的资产同时属于别的资产组,则这些资产组也将会在访问资产界面显示。但是在这些资产组节点下将只会看到实际拥有访问权限的资产。


配置权限方法

在堡垒机有两种配置权限的方法:

  • 变更单:可以通过提交电子变更单的方式,将变更单上的权限应用于堡垒机系统上。此方式支持指定权限的到期时间。

  • 动态权限:在堡垒机系统上直接选择用户、资产、访问账号,形成访问权限。此方法配置快速便捷。

    动态权限可以让管理员快速、灵活地配置权限。管理员通过指定动态权限的基础四要素(用户、资产、协议、账号),可以快速地完成权限配置。如果存在多条动态权限,各条权限之间是并集关系。即满足任一条权限,用户即可访问。


配置动态权限步骤

  1. 选择“权限 > 权限配置 > 动态权限”。

    2.6.3-1.png


  2. 单击“新增动态权限”,设置各参数,完成后单击“保存”。

    2.6.3-2.png

    参数

    说明

    名称

    动态权限的名称。字符串格式,长度范围是1~200个字符。

    规则模板

    动态权限引用的规则模板,缺省为Default。

    部门

    动态权限所属的部门,缺省为ROOT(区分大小写)。

    用户

    设置能够访问目标资产的用户。

    • 全部用户

    • 用户/用户组:单击00-加号1.png选择用户或者用户组。

    • 指定规则:单击00-加号1.png添加用户筛选规则。支持匹配的用户属性包括:用户账号、用户 名、工作邮箱、备注、角色、认证方式、用户组和所有自定义用户属性。

    资产

    设置待访问的目标资产。

    • 全部资产

    • 资产/资产组:单击00-加号1.png选择资产或者资产组。

    • 指定规则:单击00-加号1.png添加资产筛选规则。支持匹配的资产属性包括:资产名、IP、简 要说明、责任人、资产组、资产类型和所有自定义资产属性。

    协议

    访问目标资产使用的协议。

    • 全部协议

    • 指定协议:包括ssh、telnet、rdp、xdmcp、vnc、xfwd和sftp

    说明: sftp仅控制SFTP会话的权限,不影响用户的文件传输(网盘)权限。配置了sftp权限时,规则模板中的文件传输权限也必须至少勾选“上传”或“下载”中的一个,才支持启动SFTP会话。

    账号

    访问目标资产使用的账号。

    • 全部账号

    • 指定账号:输入访问目标资产使用账号,多个账号之间用英文逗号","分隔。

    说明: 指定账号时,必须保证权限规则涉及的资产上已创建了对应的系统账号,否则权限将无法生效,查看权限时也看不到对应的数据。

    • 指定规则:单击00-加号1.png设置账号筛选规则。

      ○ 指定账号:配置匹配账号的筛选规则。

      ○ 账号类型:配置匹配账号类型的筛选规则。账号类型包括特权账号和普通账号。

     

  3. 单击“保存”。