背景

傳統的權限網格比較粗放，圍城內的大部分用戶默認具有超范圍的權限，外圍用戶通過VPN連接企業網絡后，也默認具備“圍城內用戶”的身份和權限，越權訪問、敏感操作比比皆是且無從管控，發生數據泄露等安全事故后也難以審計追溯具體詳情。

天翼云堡壘機提供完善的用戶訪問授權和精細的操作權限管控，非授權用戶無法訪問指定資產，授權用戶訪問資產后無法執行未授權的指定敏感操作。

解決方案

1、管理員登錄堡壘機。

2、左側菜單選擇“授權管理>資產訪問授權”。

3、選擇“資產訪問授權”標簽頁，點擊“新增”切換至授權配置頁，在基本屬性模塊支持配置訪問的協議、訪問的端口以及授權有效期；維度屬性模塊可配置主賬號(組)和資產(組)以及資產從賬號的關聯關系。

4、配置完成后，表示主賬號(人員賬號)可以在指定有效期內，使用指定的資產賬戶訪問指定的資產。

1、左側菜單選擇“授權管理 > 字符命令授權”。

2、在“命令組”標簽頁，點擊【新增】，在屬性中添加需要管控的命令集以及針對性的響應動作。支持以正則表達式的方式匹配相關命令。

3、在“命令授權”標簽頁，點擊【新增】，填寫指定用戶和資產屬性，選擇創建的命令組提交。

在維度屬性模塊中，可配置命令管控策略需要關聯生效的“用戶 - 資產賬戶 - 資產”場景。

4、配置完成后，表示指定的用戶使用指定的資產賬戶登錄資產后，在資產上執行指定的命令時，將會觸發策略中指定的響應動作。

5、文件傳輸配置原理同字符指令，可匹配具體的上傳、下載等操作觸發相關響應動作。

6、數據庫指令配置原理同字符指令，可匹配sql類型、表名及條件去觸發阻斷或脫敏等動作。