一、什么是主机运维策略

从安全运维的角度来看，资源授权满足了主机层面的安全管理需求，但是一旦登录到主机后，团队成员便可对该台主机进行任何的操作，如果出现问题，只能通过事后审计来回溯追责。所以我们还需要一种手段，对于一些安全要求更高的主机来讲，即使登录了主机，成员在其中执行的操作，依然处于安全监管之下，对其所执行的高危指令进行拦截，提前防范运维风险。

在行云管家中，我们把这些安全性更高的主机叫做关联设备，我们通过创建主机运维策略组与关联设备进行关联，而将在这些主机上所执行的高危指令的定义以及相应的处理方式叫做主机运维策略。

展开功能模块菜单，选择“资源运维/运维控制/主机运维策略”，进入相应的策略功能设置。

二、创建运维策略

创建策略可以指定关联成员对目标主机拥有的权限组合与运维限制，运维策略中一开始会有个“默认策略”，该默认策略关联团队中所有成员及所有主机。

（1）点击“创建策略”；

（2）填写“策略名称”、“策略描述”等基本信息，点击“下一步”；

（3）点击“添加主机”，在这里可以“直接添加主机”、“添加云账户”、“添加标签”、“添加分组”，点击“下一步”；

• 注意：如果添加云账户、标签或分组，那么该云账户、标签或分组里的所有主机都受该运维策略限制；

关联主机后如图：

（4）为该策略关联相关对象，可以选择角色、组织单元（部门）、团队成员，点击“下一步”；：

（5）设置该策略在所有策略中的优先级，您也可以后续在根据需求进行策略优先级设置 ，点击“下一步”；：

（6）完成策略创建，关闭向导；

三、运维策略设置

3.1、设置策略基本信息

创建完成策略后我们就可以看到该运维策略了，并且还可以“编辑策略名称、描述”、“设置具体运维策略”、“复制、删除该运维策略”、“设置关联主机、云账户等”、“设置关联授权对象”；

3.2、设置策略优先级

策略有优先级，并由高至低按序排列 （如图有上到下），默认策略始终为最低优先级，不可以调整。

当同一成员对同一台主机拥有多个策略时，优先级最高的策略生效（类似于防火墙规则）。

3.3、设置运维策略

点击如图该运维策略的“设置”按钮，就可以进行详细的运维策略规则设置了，具体设置请参考功能约束策略、访问规则策略、文件传输策略、审批流程策略；

四、查看用户/主机关联策略

进入主机详情中可以查看当前行云管家用户，在使用该主机时，是用的哪个运维策略。

如图，“Bill”这个用户进入到“192.168.8.229”这台主机的主机详情中，可以看到这个用户在访问这台主机时生效的运维策略是“SSH主机指令审批”；