基于访问管理(Cloud Access Management,CAM)用户访问运维安全中心(堡垒机),旨在通过 CAM 子用户权限隔离 +运维安全中心(堡垒机)集中运维,实现 “身份统一认证、权限最小分配、操作全程审计” 的安全运维闭环。
前置条件
已开通腾讯云 运维安全中心(堡垒机)服务;
已通过 CAM 控制台 创建子账号;
运维安全中心(堡垒机)中已 同步主机资产 并 已开启托管。
操作步骤
步骤一:CAM 用户权限配置
通过 CAM 策略明确子账号的运维安全中心(堡垒机)操作权限,避免过度授权风险。
1. 使用主账号或拥有平台账户权限配置的账号登录 CAM 控制台,在左侧导航栏中,选择用户 > 用户列表。
2. 在用户列表中,找到目标子账号,单击用户名称。
3. 在用户详情页,单击权限 > 关联权限。
4. 在添加权限页面,可通过从策略列表中选取策略关联或新建自定义策略,为子用户配置最小权限策略。
示例:可参考如下策略配置,实现权限最小化(赋予此策略的用户通过控制台只能访问运维模式):
{"statement": [{"action": ["bh:CanCreateTrialResource","bh:DescribeIOADeployRegion","bh:DescribeSecuritySetting","bh:DescribeAccessEntry","bh:LoginOpserver","bh:DescribeDepartments","bh:DescribeResources"],"effect": "allow","resource": ["*"]}],"version": "2.0"}
步骤二:同步 CAM 用户
将已配置权限的 CAM 子用户同步至运维安全中心(堡垒机),实现身份信息的自动关联与统一管理。
1. 登录 运维安全中心(堡垒机)控制台。在左侧导航栏中,选择用户管理 > CAM 用户。
2. 在 CAM 用户页面,单击同步 CAM 用户,系统将自动同步 CAM 用户。
步骤三:配置运维资产访问权限
运维权限最小化,明确同步后CAM子用户可访问的具体资产及操作权限。
1. 登录 运维安全中心(堡垒机)控制台。在左侧导航栏中,选择权限管理 > 访问权限。
2. 在访问权限页面,参考 新建访问权限 文档,对同步过来的 CAM 用户进行相关资产的访问权限配置。
步骤四:运维人员通过 CAM 访问运维端
实现"用户-资产-操作"的精准绑定,确保未授权资产对用户不可见
1. 使用已授予访问运维端的子账号登录 运维安全中心(堡垒机)控制台。
2. 在左侧导航栏,单击切换运维模式,进入运维端。
3. 在运维端,将会显示已授权的资产,运维子账号可以对目标资产进行运维操作。
步骤五:运维人员执行运维操作
验证子用户仅能访问授权资产,操作受权限限制,且不影响运维流程。
1. 在运维模式中,选择主机资产 > 资产列表。
2. 在资产列表页面,单击对应主机右侧的访问。
3. 在运维页面,您可输入相关的运维命令。
步骤六:管理员进行审计与验证
运维操作审计
记录并追踪所有用户的运维操作,确保操作可审计、可追溯。
1. 登录 运维安全中心(堡垒机)。在左侧导航栏中,选择操作审计 > 会话记录。
2. 在会话记录页面,单击字符会话 Tab 栏。
3. 在字符会话页面,单击对应会话右侧的详情,可打开会话详情页面。
4. 在会话详情页面,可查看会话的基本会话信息、键盘操作、剪切板操作和文件操作记录。
说明:
通过 CAM 用户登录运维端进行运维操作时,审计中的用户信息会显示 CAM 用户信息。
5. 在字符会话页面,单击对应会话右侧的回放,查看是否和运维操作中的主机操作相同。
管理员操作审计
审计运维安全中心(堡垒机)用户的权限变更与配置操作,防范权限滥用风险。追溯运维安全中心(堡垒机)管理相关操作,排查操作风险,防范越权操作与权限泄露风险。
1. 登录 操作审计控制台。在左侧导航栏中,选择操作记录。
2. 在操作记录页面,参考 查看操作记录事件详情 文档,对管理人员在运维安全中心(堡垒机)管理模式下的操作行为进行审计。
