本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

特殊權限帳戶管理(PAM)

特殊權限帳戶管理(PAM)

此功能提供特定的稽核記錄、詳細記錄授予VDS和/或Active Directory權限帳戶的管理權限集。外部存取預設會自動過期。

PAM提供一種機制、可讓客戶授予VDS系統管理員及/或NetApp VDS支援存取權限、以及一種方法、讓客戶以可稽核、可追蹤、可報告的格式授予合作夥伴存取權限、以符合法規要求。

在現今的安全環境中、每個特殊權限帳戶都必須有一個目的(並盡可能具體)、而且只有在需要時才應保持啟用狀態、以減少遭受攻擊的風險。

核准及拒絕VDS中的PAM要求

一旦提出PAM要求、所有VDS管理員都能在警示下看到警示。

附註 所有VDS管理員都可以檢視PAM要求、但只有具備PAM核准者角色的管理員才能核准或拒絕要求。

套用PAM核准者角色

所有主要管理員都會繼承PAM核准者角色、但只要VDS使用者具有「管理-編輯」權限、此角色就可以指派給任何其他VDS管理員。瀏覽至Admins模組、選取管理員、然後勾選PAM核准者的方塊。

開啟「用戶端層級核准」

如果組織的部署也需要核准存取權限、Software Master Partners可瀏覽至「部署」模組並向下捲動至「部署詳細資料」區段、以開啟用戶端層級的核准。

接下來、勾選「要求客戶端核准PAM存取要求」方塊、然後按一下「更新」。這會將軟體主合作夥伴要求的要求傳送給部署的VDS管理員。附註:這需要使用者設定為VDS管理員、並透過這些步驟進行設定。<[Link to Admin Access for Users]

核准/拒絕PAM要求

所有管理員都可以按一下名稱旁的下拉式箭頭、然後按一下「設定」、再按一下「PAM要求」索引標籤、來檢視要求。附註:用戶端層級的核准會看到相同的資訊、並遵循以下定義的相同程序。

管理員可以在按一下每個要求的設定輪、並核准或拒絕每個要求之前、先檢閱每個要求的下列詳細資料:

要求ID:在通訊/追蹤要求時提供實用資訊、或在稽核環境存取時提供參考資訊

存取層級:

VDS:授予VDS管理員完整權限

部署:授予網域管理層級Active Directory架構的存取權限、以供疑難排解之用

申請者:申請存取的人員電子郵件地址

部署:要求者要求存取權限的部署識別碼

持續時間:此存取將在自動過期之前啟用的天數(預設為3)

附註:顯示要求者輸入的所有附註

狀態:

待核准:顯示尚未獲PAM核准者核准或拒絕的申請

已核准:顯示現有的已核准申請

核准

按一下「設定」之後、PAM核准者會再次看到要求詳細資料。接著、PAM核准者可以輸入收件者所需的任何附註、然後按一下「Approve(核准)」以授予暫用的稽核存取權。

拒絕

VDS管理員可在拒絕PAM要求時輸入附註。例如、要求要求要求者要求相同的權限、但時間較短。

報告PAM要求

具有報告權限的VDS管理員可瀏覽至「報告」模組、並匯出一個CSV檔案、顯示每個PAM要求的所有詳細資料。

啟動PAM帳戶

建立PAM要求時輸入的電子郵件帳戶將會收到下列訊息。按一下「啟動要求」以取得所要求的管理存取權(部署的Active Directory)。

按一下「啟動要求」、會將SMS訊息傳送至建立PAM要求時所輸入的號碼。輸入您在行動裝置上收到的代碼、然後設定部署的Active Directory帳戶密碼。

接著您會看到此部署的Active Directory管理員帳戶已成功建立。

過期的帳戶

過期的帳戶將會收到類似下列的訊息、此時與此電子郵件地址相關的權限存取將不再有效。