Bastionhost terhubung ke sistem akun Alibaba Cloud. Secara default, akun Alibaba Cloud adalah super administrator dari Bastionhost. Anda dapat memberikan izin berbeda kepada pengguna Resource Access Management (RAM) menggunakan akun Alibaba Cloud untuk memenuhi persyaratan peran yang berbeda saat menggunakan Bastionhost. Izin tersebut mencakup hak administratif, izin auditor, izin baca-saja, dan izin insinyur O&M. Ini mengikuti prinsip hak istimewa minimal dan membantu memastikan keamanan Bastionhost. Topik ini menjelaskan cara memberikan izin yang berbeda kepada pengguna RAM.
Informasi latar belakang
Anda dapat mengelola izin manajemen dengan memberikan izin berbeda kepada pengguna RAM. Izin tersebut mencakup hak administratif, izin auditor, dan izin baca-saja.
Jika pengguna RAM diberikan hak administratif, pengguna RAM tersebut dapat mengelola host bastion, pengguna, dan aset. Pengguna RAM juga dapat mengonfigurasi kebijakan kontrol akses, mengonfigurasi pengaturan sistem, dan melihat informasi audit.
PentingJika Anda ingin menggunakan pengguna RAM yang diberikan hak administratif untuk mengimpor aset Alibaba Cloud atau pengguna RAM ke dalam Bastionhost, Anda harus memberikan setidaknya izin baca-saja pada aset atau RAM terkait. Sebagai contoh, jika Anda ingin menggunakan pengguna RAM untuk mengimpor instance Elastic Compute Service (ECS) ke Bastionhost, Anda harus melampirkan kebijakan AliyunECSReadOnlyAccess kepada pengguna RAM. Jika Anda ingin mengimpor pengguna RAM ke Bastionhost, Anda harus melampirkan kebijakan AliyunRAMReadOnlyAccess kepada pengguna RAM.
Jika Anda memberikan izin auditor kepada pengguna RAM, pengguna RAM tersebut dapat melihat informasi audit, seperti log dan video, di konsol host bastion.
Jika Anda memberikan izin baca-saja kepada pengguna RAM, pengguna RAM tersebut hanya dapat membaca konfigurasi, audit, dan informasi sistem dari konsol host bastion.
Jika pengguna RAM diberikan izin insinyur O&M, pengguna RAM tersebut dapat melakukan operasi O&M menggunakan fitur O&M aset.
Izin sebelumnya membatasi pengguna RAM untuk melakukan operasi di konsol host bastion. Jika pengguna RAM melakukan O&M berbasis klien, izin sebelumnya tidak berlaku. Operasi O&M berbasis klien dibatasi oleh hubungan otorisasi antara pengguna dan aset di host bastion. Setelah pengguna diberikan izin untuk mengelola aset, pengguna tersebut dapat melakukan operasi O&M pada aset menggunakan klien.
Akun Alibaba Cloud hanya diberikan izin manajemen dan tidak dapat diimpor ke Bastionhost sebagai pengguna Bastionhost.
Anda dapat memberikan berbagai jenis izin kepada satu pengguna RAM.
Prasyarat
Pengguna RAM dibuat dalam akun Alibaba Cloud tempat host bastion dibuat. Untuk informasi lebih lanjut, lihat Buat Pengguna RAM.
Jika Anda ingin mengikat perangkat autentikasi multi-faktor virtual (MFA) ke pengguna RAM, lihat Ikat Perangkat MFA ke Pengguna RAM. Setelah Anda mengikat perangkat MFA virtual ke pengguna RAM, Bastionhost memverifikasi identitas pengguna RAM berdasarkan pengaturan MFA yang Anda konfigurasikan ketika pengguna RAM masuk ke konsol Bastionhost.
Prosedur
Masuk ke konsol RAM sebagai administrator RAM.
Di panel navigasi sisi kiri, pilih .
Di halaman Users, temukan pengguna RAM yang diperlukan, dan klik Add Permissions di kolom Actions.
Anda juga dapat memilih beberapa pengguna RAM dan klik Add Permissions di bagian bawah halaman untuk memberikan izin kepada pengguna RAM sekaligus.
Di panel Add Permissions, konfigurasikan parameter berikut.
Konfigurasikan parameter Resource Scope.
Account: Otorisasi berlaku pada akun Alibaba Cloud saat ini.
ResourceGroup: Otorisasi berlaku pada grup sumber daya tertentu.
PentingJika Anda memilih Grup Sumber Daya untuk parameter Cakupan Sumber Daya, pastikan layanan cloud yang diperlukan mendukung grup sumber daya. Untuk informasi lebih lanjut, lihat Layanan yang Bekerja dengan Grup Sumber Daya. Untuk informasi lebih lanjut tentang cara memberikan izin pada grup sumber daya, lihat Gunakan Grup Sumber Daya untuk Memberikan Izin kepada Pengguna RAM untuk Mengelola Instance ECS Tertentu.
Konfigurasikan parameter Principal.
Principal adalah pengguna RAM yang ingin Anda berikan izin. Pengguna RAM saat ini dipilih secara otomatis.
Pilih satu atau lebih kebijakan.
Klik Grant permissions.
Klik Close.