参考创建主机运维策略后即可进行功能约束设置,在“功能约束”里,可以对“Agent”、“主机操作”、“双因子认证”、“本地工具”、“会话剪切板”做相关设置;

一、Agent

对于“命令控制台”、“脚本控制台”、“登录凭证改密”、“文件分发”、“文件采集”、“主机文件传输”等功能,都需要安装Agent后才能使用。对于这些功能可以通过这里限制是否允许使用;

二、主机操作

可以对某台主机的主机详情里的相关功能“修改主机信息”、“重启主机”、“停止主机”、“重置操作系统密码”、“重置管理终端密码”限制是否允许使用;

相关功能对应具体主机操作界面如图,在“主机详情”页面里;

注意:“停止主机”不支持局域网主机,而“重置管理终端密码”只有阿里云、ZStack支持;

三、双因子认证

也叫多重身份认证,开启后,在执行“访问主机”、“重启主机”、“停止主机”、“重置操作系统密码”、“重置管理终端密码”、“快照回滚”、“初始化磁盘”、“更换系统盘”、“挂载数据盘”、“卸载数据盘”等操作时,会要求以“OTP动态令牌”、“手机短信”、“第三方应用”(钉钉、微信、企业微信)接收相关验证码的方式进行二次身份确认,确保访问者的身份合法性,确认后,在30分钟内无需再次确认 ;

一旦某个子策略设置了开启双因子认证,那么该策略中的所有关联设备在访问时,均会要求进行二次身份认证,目前支“OTP动态令牌”、“手机短信”、“第三方应用”三种认证方式,这也意味着开启双因子认证后,需要团队成员在个人资料中绑定“OTP动态令牌”、“手机短信”、“第三方应用”;

3.1、访问主机

访问关联设备时,将会弹出双因子认证对话框,您可以自行选择采用哪种方式进行双因子认证;

3.2、主机操作

在进行“重启主机”、“停止主机”、“重置操作系统密码”、“重置管理终端密码”等操作时,会要求双因子认证;

3.3、磁盘快照操作

在进行“快照回滚”、“初始化磁盘”、“更换系统盘”、“挂载数据盘”、“卸载数据盘”等操作时,会要求双因子认证;

3.4、验证码验证

您的“手机短信”、“第三方应用”将收到一个四位数字验证码,将验证码回填至访问凭证中,如果使用“OTP动态令牌”,您需要将动态令牌APP中的验证码回填至访问凭证中即可访问该设备;

3.5、双因子认证有效期设置

此外,在私有部署中,还可以登录到管理控制台,在“系统设置”页面下,在“系统参数”里,可以设置敏感操作二次认证的有效期,不设置的话默认是在执行主机运维策略中定义的需要双因子认证的敏感操作时30分钟内无需重复认证,;

四、本地工具

访问策略里的关联设备时,可以限制是否允许使用“本地工具访问串”功能,可以限制本地工具的应用范围“RDP”、“VNC”、“SSH:Shell”、“SSH:文件传输”、“FTP”;

4.1、访问串禁用

4.2、本地工具禁用

五、会话剪切板

配置RDP与VNC会话中剪切板功能限制(由于SSH使用的是命令行文本协议,所以无法进行限制),限制后,在该类会话中将无法通过剪切板以及云拷贝功能进行剪切板复制粘贴;

禁止使用会话剪切板:

只允许粘贴文本至目标主机: