You need to enable JavaScript to run this app.
导航
云堡垒机
  • 文档首页
    • /云堡垒机/用户指南/策略管理/访问控制策略/创建访问控制策略
创建访问控制策略
最近更新时间:2024.08.01 14:51:09首次发布时间:2022.06.21 11:33:54
我的收藏

访问控制策略用于管控访问云堡垒机的用户权限,不仅可以通过用户来源 IP 限制访问权限,而且可以限制用户的文件管理权限,本文介绍如何创建访问控制策略。

操作步骤

  1. 登录 云堡垒机控制台
  2. 在左侧导航栏,选择 云堡垒机
  3. 单击目标云堡垒机名称,进入云堡垒机管理页面。
  4. 在左侧导航栏,选择 策略管理 > 访问控制策略
  5. 在访问控制策略管理页面,单击 创建访问控制策略
  6. 配置访问控制策略相关参数。

alt

配置项说明
名称自定义访问控制策略名称,同一云堡垒机内不允许名称重复。
描述访问控制策略描述或备注信息。

优先级

策略生效的优先级,不可重复。可选范围为1-100,1 表示最高优先级。

说明

访问控制策略生效原则:
当多个访问控制策略中存在互斥策略时,优先级高的生效。

用户来源 IP 限制

通过黑名单或白名单方式,限制访问云堡垒机用户的来源 IP 地址。输入规范:每行输入一个 IP 地址或 IP 地址段,支持子网掩码,例如:192.168.1.3 或 192.168.2.1-192.168.1.8 或者 192.168.1.0/24。

  • 黑名单:黑名单作为过滤列表,仅允许黑名单列表外的 IP 访问云堡垒机。
  • 白名单:白名单作为允许列表,仅允许白名单列表内的 IP 访问云堡垒机。

登录时间限制

用户来源 IP 限制 白名单 时需要配置。默认全部允许登录,可勾选方块以调整登录时间。

说明

纵轴代表每周的 7 天,横轴代表每天的 24 个时刻,每个方块表示指定的 1 小时。

SFTP 文件管理使用 SFTP 协议连接云堡垒机后的文件管理权限范围,默认全部不允许,可按需选择。包括:允许文件下载、允许文件上传、允许删除文件、允许删除文件夹、允许查看文件、允许编辑文件、允许重命名文件。

RDP 协议

使用 RDP 协议连接云堡垒机后的访问权限范围。默认全部不允许,可按需选择,包括:

  • 允许剪切板上传:允许本地剪切板中的数据上传到 Windows 主机剪切板,可通过此方式将本地数据粘贴到 Windows 主机。
  • 允许剪切板下载:允许 Windows 主机剪切板中的数据下载到本地剪切板,可通过此方式将 Windows 主机数据粘贴到本地。
  • 允许文件上传:将本地文件上传到个人网盘。
  • 允许文件下载:将个人网盘的文件下载到本地主机。
  1. 单击 确定,完成访问控制策略创建。

后续操作

访问控制策略配置成功后,还需要关联用户才能生效,具体操作参见:访问控制策略关联用户访问控制策略关联用户组