使用场景
本文介绍腾讯云遨驰终端 OrcaTerm 提供的两种鉴权配置,一种是使用 OrcaTerm 登录连接服务器时的 MFA 操作保护,一种是针对子账号权限管理的 CAM 预设策略,用于您服务器的多重身份验证,保障您的安全。
安全保护
MFA 多因子认证,是一种简单有效的安全认证方法。它能够在用户名和密码之外,再增加一层保护。您在使用 OrcaTerm 进行服务器登录操作时,需要首先通过微信扫码或手机验证码等方式校验您的身份,验证通过后方可登录。
配置安全保护
开启操作保护
说明:
1. 打开 安全设置 页面,单击账号保护卡片内操作保护后的 
2. 在安全设置弹窗中选择启用 MFA 设备校验或开启手机验证码校验或开启微信扫码验证其中一种校验方式,单击确定即可开启操作保护。
关闭操作保护
1. 打开 安全设置 页面,单击账号保护卡片内操作保护后的 
2. 在安全设置弹窗中选择不开启,单击确定即可关闭操作保护。
CAM 预设策略
OrcaTerm 提供三种预设策略:QcloudOrcatermFullAccess、QcloudOrcatermReadOnlyAccess 和 QcloudOrcatermAutoLogin,使用预设策略进行子账号权限配置,可以帮您轻松便捷地完成子账号权限分配。
说明:
QcloudOrcatermFullAccess 策略说明
策略名称:QcloudOrcatermFullAccess
策略描述:该策略授予腾讯云遨驰终端(OrcaTerm)全读写访问权限。授权该策略后,子账号拥有 OrcaTerm 的完全使用权限。
策略内容:
{"version": "2.0","statement": [{"action": ["orcaterm:*"],"resource": "*","effect": "allow"}]}
QcloudOrcatermReadOnlyAccess 策略说明
策略名称:QcloudOrcatermReadOnlyAccess
策略描述:该策略授予腾讯云遨驰终端(OrcaTerm)只读访问权限。授权该策略后,子账号拥有 OrcaTerm 的读权限。例如,登录实例时查询实例防火墙状态的权限。
策略内容:
{"version": "2.0","statement": [{"action": ["orcaterm:*"],"resource": "*","effect": "allow","condition": {"numeric_equal": {"qcs:read_only_action": 1}}}]}
QcloudOrcatermAutoLogin 策略说明
策略名称:QcloudOrcatermAutoLogin
策略描述:该策略授予腾讯云遨驰终端(Orcaterm)一键免密登录权限。授权该策略后,子账号可在 OrcaTerm 使用免密登录的方式登录实例。
策略内容:
{"version": "2.0","statement": [{"action": ["orcaterm:StartAutoLoginSession"],"resource": "*","effect": "allow"}]}
配置预设策略
子账号默认没有使用 OrcaTerm 资源的权限,因此子账号登录 OrcaTerm 无法使用登录服务器等操作。使用子账号时,您可能在登录或者新建连接配置时遇到无权限的提示,如:
此时,需要主账号(或拥有 AdministratorAccess 权限的子账号)为子账号添加预设策略的方式来访问云开发资源。具体操作步骤如下:
1. 在访问管理控制台的用户 > 用户列表 页面,找到需要授权的用户,单击操作列的授权,打开关联策略弹窗。
2. 在关联策略弹窗,输入 orcaterm 搜索 OrcaTerm 预设授权策略,根据您的需求,在策略列表中选择。
说明:
如果只需要授权免密登录功能,请选择 QcloudOrcatermAutoLogin 和 QcloudOrcatermReadOnlyAccess 策略,如果需要同时授权免密登录、SSH登录、RDP登录等其他登录方式,请直接选择 QcloudOrcatermFullAccess 全读写策略。
3. 勾选需要授权的策略,单击确定,完成通过用户关联预设策略操作。
除了上述给已有子账号添加策略的方式外,您还可以在创建子账号时给子账号添加预设策略,具体操作步骤如下:
1. 登录 CAM 控制台,选择左侧菜单用户 > 用户列表。
2. 进入用户列表页面,单击新建用户。
3. 进入新建用户页面,根据提示填写用户相关信息。
4. 信息填写完毕后,前往策略列表中选择上述 OrcaTerm 的预设授权策略。
5. 单击完成,即可完成创建子账号。
