快速入门

前提条件

• 已购买PAM开发者版实例。具体操作，请参见购买实例。

  

• 已在系统设置页面开启自动启用网络域。具体操作，请参见自动创建网络域并关联资产。

  

• 已获取运维员工作台地址。

  您可以在PAM控制台的概览页面获取运维员工作台地址。

  

• 已创建ECS实例。具体操作，请参见自定义购买实例。

步骤一：同步ECS资产

在使用PAM运维资产前，管理员需要在PAM控制台同步需要管理的资产。首次开通PAM时，系统会自动同步一次资产。之后，系统将会在每天凌晨0点自动进行资产全量同步。如果当天新建的ECS资产未自动同步，您可以参考以下步骤手动同步资产。

1. 登录特权访问管理中心控制台。
2. 在左侧导航栏，单击资产运维。

3. 在ECS资产运维页签，单击同步资产。

   资产同步的耗时取决于当前账号下ECS资产的数量，一般情况下整个同步过程预计需要1~5分钟。

步骤二：托管ECS资产

在将ECS资产同步至PAM之后，您需要完成ECS资产的托管，才能通过PAM实现远程连接。

1. 在左侧导航栏，单击资产运维。

2. 在资产运维页面的ECS资产运维页签，定位到需要托管的资产，在托管状态列，单击图标。

3. 在弹出的对话框，单击确定。

步骤三：添加ECS资产登录凭据

登录凭据是用于登录ECS资产的用户名及密码信息（密码或者密钥对）。将ECS资产的登录凭据添加到PAM后，通过PAM运维资产时可实现免密登录。PAM同时支持凭据管理功能，您可以通过一键同步已托管资产的凭据，帮助您快速识别凭据，减少手动输入导致的录入不及时、数据偏差等问题，具体操作，请参见凭据管理。

以下为您介绍手动添加资产凭据的步骤。

1. 在左侧导航栏，单击资产运维。

2. 在资产运维页面的ECS资产运维页签，选中目标资产，在资产列表底部，单击添加登录凭据。

3. 在添加登录凭据对话框，参考下表填写登录凭据信息，单击确定。

   每个资产最多可以添加100个登录凭据。

   配置项	说明
   账户名	登录ECS资产的用户名。例如ecs-user。
   登录凭据类型	密码：需继续输入ECS资产账户对应密码。 密钥对：需继续输入私钥（PEM格式）。
   凭据标签	PAM通过标签形式区分账号权限，建议结合账号权限与自身业务来判定账号所对应的类型。 特权账户：通常指在企业云端资源使用过程中，由于云端系统运维、应用/数据开发、资源管理等原因创建的具有系统超级管理、敏感数据增删改查、用户权限调整等进阶权限的账号。通常该类账号的滥用、误用会对企业核心业务的正常运转造成较大影响。 普通账户：通常指代仅具有限制性权限的账号，通常此类账号的使用不会对企业业务造成影响，如常见的Guest账号、只读账号等。

步骤四：创建PAM用户并授权资产

通过PAM运维资产之前，管理员需要在PAM控制台创建PAM用户，并为用户授权运维资产的权限。

1. 在左侧导航栏，单击用户授权。

2. 在用户页签，单击新建用户。

3. 在新建用户面板，参考下表，配置用户信息，单击创建。

   配置项	说明	示例
   用户名	命名规则： 不能以特殊字符开始。 可包含大写字母、小写字母、数字、中划线（-）、下划线（_）、点（.）。 长度至少4位。	pam_om
   显示名	自定义控制台显示的名称有助于用户统一管理和识别。	运维员A
   手机号	手机号在PAM控制台具有唯一性。例如创建A用户使用1390000****，则创建B用户不能使用1390000****。	1390000****
   双因子认证方式	全局配置：表示当前用户采用全局的双因子认证方式，即您在系统设置中配置的双因子认证方式。具体操作，请参见开启双因子认证。 单个用户配置：表示您需要对当前用户单独设置双因子认证方式。您需要单击图标开始双因子认证并选择认证方式。 Web运维认证方式支持以下认证方式： 短信认证：表示使用当前用户的手机短信进行二次认证。此时您必须为该用户设置手机号码。 邮箱认证：表示使用当前用户的邮箱进行二次认证。此时您必须为该用户设置邮箱地址。 TOTP令牌认证：表示使用当前用户的手机TOTP令牌进行认证。您需要下载标准TOTP认证软件，例如阿里云App。在通过Web方式或客户端方式运维时，需根据界面提示使用阿里云App扫描二维码获取安全码进行登录。 客户端运维认证方式仅支持TOTP令牌认证，默认勾选。	双因子认证方式：选择单个用户配置 Web运维认证方式：选择短信认证
   密码	设置PAM用户密码。您可以单击自动生成，自动生成密码。 密码规则如下： 必须包含大写字母、小写字母、数字和特殊字符。 长度至少为8位。 不得包含任何形式（不区分大小写）的邮箱前缀、用户名、显示名或其拼音、手机号。 密码不能和前N次的密码相同。	单击自动生成，自动生成密码。

4. 单击授权资产。

5. 在授权资产面板，选中需要运维的ECS资产以及账户类型，单击完成。

步骤五：使用PAM用户运维已托管的ECS资产

1. 在浏览器中，输入获取到的运维员工作台地址。

2. 在运维工作台登录页面，输入PAM用户名（例如pam_om_auditor）和密码，单击登录。

   

3. 完成短信认证后即可登录到运维工作台。

   在新建用户时，如果配置了多个双因子认证，则需要选择认证方式。

4. 在左侧导航栏，单击资产运维。

5. 在资产运维页面，选择默认资产组，定位到目标资产，在操作列，单击运维。

6. 在运维对话框，选择登录凭据以及终端窗口打开方式，单击连接。

   • 当前窗口（支持文件传输）（仅轻量版支持文件传输）：表示在当前窗口运维资产。选择该方式运维，您可以自定义运维页面的主题颜色、字体以及代码行数。

     说明

     如需使用文件传输功能，即将本地文件上传至目标资产或者将目标资产文件下载至本地，需升级至轻量版。更多信息，请参见升级特权访问管理中心实例和文件传输。

   • 新窗口：在浏览器打开一个新的标签页运维资产，不支持自定义主题样式。

步骤六：审计运维会话

当PAM用户通过PAM运维资产时，管理员或审计员可以在PAM控制台查看用户会话的详细信息。

1. 登录特权访问管理中心控制台。

2. 在左侧导航栏，单击运维审计。

3. 在运维审计页面，查看资产相关的运维审计信息和历史操作记录。

   

   会话类别	说明
   历史会话	历史会话记录可用于检查和分析用户的操作行为，以发现异常操作和风险事件，并记录用户的登录、操作和退出等过程，包括用户类型、操作时间、操作内容等信息。您可以在操作列，单击详情，查看用户和资产的详细信息，也可以单击播放，查看用户操作过程录像。
   命令审计	命令审计可用于审查操作人员的行为是否符合安全标准，发现异常操作和风险事件，并记录用户类型、具体执行的命令、执行命令的时间等信息，以便进行后续分析和审计。您可以在操作列，单击详情，查看用户和资产的详细信息，也可以单击播放，查看用户操作过程录像。
   实时会话	实时会话是对正在进行的会话进行实时查看，以检查用户的操作行为和操作结果，及时发现异常操作和风险事件。您可以在操作列，单击详情，查看会话的基本信息和资产详情。
   操作事件	操作事件记录了阿里云账号的活动，您可以在操作列，单击查看事件详情，查看操作事件的详细信息。 操作事件仅记录90天的操作事件，如需保存更长时间的事件，请您登录操作审计控制台创建跟踪；操作事件仅支持当前地域事件的简单查询，若您需要跨多个地域和更长时间进行多条件的查询，请使用事件高级查询。

   说明

   仅轻量版支持文件审计。文件审计可以帮助您发现异常上传、下载等文件传输风险问题。更多说明，请参见运维审计。