简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

特权帐户管理( PAM )

特权帐户管理( PAM )

此功能可提供有关授予 VDS 和 / 或 Active Directory 特权帐户的精细管理权限集的特定审核记录。默认情况下,外部访问将自动过期。

PAM 提供了一种允许客户授予 VDS 管理员和 / 或 NetApp VDS 支持访问权限的机制,并为客户提供了一种以可审核,可跟踪,可报告的格式授予合作伙伴访问权限的方法,以满足合规性要求。

在现代安全环境下,每个特权帐户都必须有一个目的(并尽可能有特定的目的),只有在需要减少攻击面时,才应保持活动状态。

批准和拒绝 VDS 中的 PAM 请求

一旦发出 PAM 请求,所有 VDS 管理员都将能够在铃下看到警报。

注 所有 VDS 管理员都可以查看 PAM 请求,但只有具有 PAM 审批者角色的管理员才能批准或拒绝请求。

应用 PAM 审批者角色

所有主管理员都将继承 PAM 审批者角色,但只要 VDS 用户具有 Admin - Edit 权限,就可以将此角色分配给任何其他 VDS 管理员。导航到管理员模块,选择一个管理员,然后选中 PAM 审批者复选框。

启用客户端级别的批准

如果组织的部署也需要批准访问权限,则软件主合作伙伴可以通过导航到部署模块并向下滚动到部署详细信息部分来启用客户端级别的批准。

接下来,选中要求客户端批准 PAM 访问请求的复选框,然后单击更新。此操作会将软件主合作伙伴请求的请求发送给 VDS 管理员以进行部署。注意:这要求用户同时通过以下步骤设置为 VDS 管理员。<[Link to Admin Access for Users]

批准 / 拒绝 PAM 请求

所有管理员都可以通过依次单击其名称,设置和 PAM 请求选项卡旁边的下拉箭头来查看请求。注意:客户端级别的批准会看到相同的信息,并遵循下面定义的相同过程。

管理员可以先查看每个请求的以下详细信息,然后再单击每个请求的设置轮并批准或拒绝该请求:

请求 ID :有助于了解何时通信 / 跟踪请求,或者在审核对环境的访问时用作参考

访问级别:

VDS :以 VDS 管理员身份授予完全权限

部署:授予域管理员级别对 Active Directory 结构的访问权限,以便进行故障排除

Requester :请求访问的人员的电子邮件地址

deployment :请求程序请求对其进行特权访问的部署标识符

duration :此访问在自动过期之前处于活动状态的天数(默认为 3 )

注:显示请求程序输入的所有注释

Status

待批准:显示尚未获得 PAM 审批者批准或拒绝的请求

已批准:显示已批准的现有请求

批准

单击设置轮后, PAM 批准者将再次看到请求详细信息。然后, PAM 审批者可以输入收件人所需的任何注释,然后单击批准以授予临时的审核访问权限。

正在拒绝

VDS 管理员可以在拒绝 PAM 请求时输入注释。例如,请求者请求相同的权限,但持续时间较短。

报告 PAM 请求

具有报告权限的 VDS 管理员可以导航到报告模块并导出一个 csv 文件,其中显示了有关每个 PAM 请求的所有详细信息。

激活 PAM 帐户

创建 PAM 请求时输入的电子邮件帐户将收到以下消息。单击激活请求以获取所请求的管理访问权限(适用于部署的 Active Directory )。

单击激活请求将向创建 PAM 请求时输入的数字发送一条 SMS 消息。输入移动设备上收到的代码,然后为部署设置 Active Directory 帐户的密码。

然后,您将看到此部署的 Active Directory 管理员帐户已成功创建。

帐户已过期

到期的帐户将收到类似于以下内容的消息,此时与此电子邮件地址关联的特权访问将不再有效。