文件操作授权
更新时间 2025-12-04 13:50:51
最近更新时间: 2025-12-04 13:50:51
此小节介绍云堡垒机文件操作授权管理。
文件操作授权用于控制用户访问资源时对资源内的文件操作的权限。
文件操作权限的可选范围是:
上传:允许/拒绝运维用户上传文件。
下载:允许/拒绝运维用户下载文件。
删除:允许/拒绝运维用户删除文件。
创建目录:允许/拒绝运维用户新建目录。
删除目录:允许/拒绝运维用户删除目录。
移动/重命名:允许/拒绝运维用户移动/重命名文件。
新增文件操作授权
使用“管理角色”账户登录云堡垒机系统。
在左侧导航栏选择“授权管理 > 文件传输授权”,进入“文件传输授权”页面。
单击“新增”,配置文件传输授权相关内容。
参数 参数说明 基本信息 授权规则名称 自定义资产访问授权的规则名称。 动作 选择此授权规则的动作,可选“允许”或“拒绝”。 启用状态 选择该授权规则的启用状态,默认启用。 登录名 登录名 (可选)选择需要配置访问授权的用户。 用户组 (可选)选择需要配置访问授权的用户组。
若您选择的用户和用户组存在重合,默认取最大的合集。资产 资产 (可选)选择需要配置访问授权的资产。 资产组 (可选)选择需要配置访问授权的资产组。
若您选择的资产和资产组存在重合,默认取最大的合集。账号 资产账号 选择命令授权规则生效的资产账号,添加资产账号请参见:资产账号章节。 文件 文件操作 选择需要做限制的文件操作动作。 文件或目录 可填写具体的文件或文件目录,使用正则表示填写,若填写多个使用回车分行。
若不填写文件范围,默认为全选所有文件。
配置示例:
只限制tmp文件夹下的同层目录使用,正则表达式可填写:/tmp
限制tmp目录下所有文件及子目录的使用,正则表达式可填写:/tmp/.*
授权时间 选择该规则生效的时间段。 源IP 填写用户登录的源IP地址。 风险等级 选择此授权规则的风险等级,共有5个等级可选择。
说明
- 策略匹配顺序为:允许 > 拒绝。
- 配置时至少需要关联一个授权对象,否则该条授权策略不会生效,其余未关联的表示对所有生效。
- 以基础设施访问授权时,账号必须拥有该基础设施访问授权的访问权限策略才会生效。
后续操作
启用/禁用授权规则:可单个或批量启用/禁用授权规则,禁用的授权规则状态将更新为“无效”,启用的授权规则状态更新为“有效”,只有状态为“有效”的规则授权会生效。
编辑授权规则:选择需要修改的规则,单击“操作”列的“编辑”,按照需求进行文件操作授权数据的修改,单击“提交”完成文件操作授权数据更新。
删除授权规则:选择需要删除的规则,单击“操作”列的“删除”,在弹出的对话框中单击“确定”完成删除。
