引言
在云计算环境中,权限管理是保障云资源安全的核心机制。访问管理(Cloud Access Management,CAM)作为统一的身份与权限治理体系,可通过角色(Role)实现跨服务、跨账号的精细化授权。本文聚焦“如何通过 CAM 角色授权访问运维安全中心”,结合企业典型应用场景,系统阐释从角色创建、策略配置至运维操作的全流程实践方法,助力企业达成“最小权限分配+全流程安全审计”的运维目标。
适用场景
本方案适用于以下典型场景:
1. 企业内部多团队协作场景:当企业内部多团队共享运维安全中心时,需按职责划分权限(如运维组仅可访问生产服务器,审计组仅可查看操作日志);
2. 跨账号协作场景:集团型账号架构下,子公司需访问主账号的运维安全中心以开展协同运维;
3. 敏感资源访问控制场景:避免直接使用主账号或长期有效的子账号访问敏感资源,降低敏感资源泄露风险。
前置条件
实施本方案前,需完成以下准备工作:
已开通腾讯云 运维安全中心(堡垒机)服务;
运维安全中心(堡垒机)中已 同步主机资产 并 已开启托管。
核心操作步骤
步骤一:创建 CAM 策略
CAM 策略是 CAM 权限控制的核心,按 “最小权限原则” 配置运维安全中心(堡垒机)相关操作权限,支持自定义策略或使用预设策略。
1. 使用主账号或拥有平台账户权限配置的账号登录 CAM 控制台。在左侧导航栏中,选择策略。
2. 在访问管理控制台的 策略 页面,参考 通过策略生成器创建自定义策略 文档,配置最小权限策略。
示例:可参考如下策略配置,实现权限最小化(赋予此策略的用户通过控制台只能访问运维模式):
{"statement": [{"action": ["bh:CanCreateTrialResource","bh:DescribeIOADeployRegion","bh:DescribeSecuritySetting","bh:DescribeAccessEntry","bh:LoginOpserver","bh:DescribeDepartments","bh:DescribeResources"],"effect": "allow","resource": ["*"]}],"version": "2.0"}
步骤二:创建角色
1. 使用主账号或拥有平台账户权限配置的账号登录 CAM 控制台,在左侧导航栏中,选择角色。
2. 在访问管理控制台的 角色 列表页面。单击新建角色。
3. 在弹出的选择角色载体窗口,选择腾讯云账户作为角色载体,进入角色信息填写页面。
4. 在输入角色载体信息页面,填写以下信息,单击下一步。
云账号类型:选择当前主账号或其他主账号。
账号 ID:填写您允许其扮演角色来访问您腾讯云资源的主账户 ID,默认输入为您的主账户 ID。如果您允许其他主账号跨服务访问您的资源,请在云账号类型选择其他主账号选项,并填写该账号 ID。
控制台访问:使用腾讯云主账号为角色载体创建角色时,可编辑是否允许当前角色访问控制台权限。
外部 ID:若您要创建的角色要分配给第三方外部平台使用,或账号及角色信息较容易被其他用户获取到,建议您开启外部 ID 校验。开启后需输入外部 ID。
5. 在配置角色策略步骤,勾选 步骤一创建的策略,单击下一步。
6. 在配置角色标签步骤(可选),输入角色的标签键和标签值,单击下一步。
7. 在审阅步骤,输入您的角色名称,审阅角色载体及策略信息无误后,单击完成,即完成自定义角色创建。
说明:
步骤三:同步 CAM 角色
将已配置权限的 CAM 角色同步至运维安全中心(堡垒机),实现身份信息的自动关联与统一管理。
1. 登录 运维安全中心(堡垒机)控制台。在左侧导航栏中,选择用户管理 > CAM 角色。
2. 在 CAM 角色页面,单击同步 CAM 角色,系统将自动同步 CAM 角色。
步骤四:配置角色运维权限
配置用户 “能访问哪些资产、执行哪些操作”,实现运维权限最小化。
1. 登录 运维安全中心(堡垒机)控制台。在左侧导航栏中,选择权限管理 > 访问权限。
2. 在访问权限页面,参考 新建访问权限 文档,对同步过来的 CAM 角色进行相关资产的访问权限配置。
步骤五:通过 CAM 角色访问运维安全中心(堡垒机)
管理人员通过角色身份登录运维安全中心(堡垒机)控制台
1. 使用在步骤二中创建角色时定义的主账号或子账号登录腾讯云。
2. 在控制台头像下拉菜单中,选择“切换角色”,进入切换角色页面。
3. 输入创建角色的主账号 ID 和角色名称,单击切换角色。
4. 切换成功后,进入 运维安全中心(堡垒机)控制台,自动应用角色权限。
运维人员通过 CAM 角色访问运维端
1. 使用在步骤二中创建角色时定义的主账号或子账号登录腾讯云。
2. 在控制台头像下拉菜单中,选择“切换角色”,进入切换角色页面;
3. 输入创建角色的主账号 ID 和角色名称,单击切换角色。
4. 切换成功后,进入 运维安全中心(堡垒机)控制台,在左侧导航栏,单击切换运维模式,进入运维端。
5. 在运维端,将会显示已授权的资产,运维子账号可以对目标资产进行运维操作。
步骤六:运维人员执行运维操作
验证通过角色登录的用户仅能访问已授权资产,操作受权限限制,且不影响运维流程。
1. 在运维模式中,选择主机资产 > 资产列表。
2. 在资产列表页面,单击对应主机右侧的访问。
3. 在运维页面,您可输入相关的运维命令。
步骤七:管理员进行审计与验证
运维操作审计
记录并追踪所有用户的运维操作,确保操作可审计、可追溯。
1. 登录 运维安全中心(堡垒机)。在左侧导航栏中,选择操作审计 > 会话记录。
2. 在会话记录页面,单击字符会话 Tab 栏。
3. 在字符会话页面,单击对应会话右侧的详情,可打开会话详情页面。
4. 在会话详情页面,可查看会话的基本会话信息、键盘操作、剪切板操作和文件操作记录。
说明:
通过角色登录进行运维操作时,审计中的用户信息会显示角色 ID 相关信息。
5. 在字符会话页面,单击对应会话右侧的回放,查看是否和运维操作中的主机操作相同。
管理员操作审计
审计运维安全中心(堡垒机)用户的权限变更与配置操作,防范权限滥用风险。追溯运维安全中心(堡垒机)管理相关操作,排查操作风险,防范越权操作与权限泄露风险。
1. 登录 操作审计 控制台。在左侧导航栏中,选择操作记录。
2. 在操作记录页面,参考 查看操作记录事件详情 文档,对管理人员在运维安全中心(堡垒机)管理模式下的操作行为进行审计。
