步驟一：新建控制策略

1. 登錄堡壘機系統。具體操作，請參見登錄系統。

2. 在左側導航欄，單擊控制策略。

3. 在控制策略頁面，單擊新建控制策略。

4. 在新建控制策略頁面，配置控制策略的名稱、優先級、命令控制、命令審批、協議控制、訪問控制以及運維審批，單擊新建控制策略。

   配置項	說明
   名稱	自定義控制策略名稱。規則如下： 長度為1~128個字符。 不能以特殊字符開頭。 僅可包含特殊字符中的半角句號（.）、下劃線（_）、短劃線（-）、反斜線（\）以及空格。
   優先級	配置控制策略優先級。 優先級可設置范圍：1~100。默認值為1，即最高優先級。 不同控制策略可以設置相同的優先級。多個控制策略的優先級相同時，最新創建的策略優先級最高，在一條策略中，若命令控制和命令審批里設置有相同的命令，則優先級從高到低是：拒絕 > 允許 >審批。
   命令控制 說明 僅適用于Linux主機。	配置在當前策略生效用戶和主機中，允許或禁止執行的命令。 命令控制類型： （黑名單）不允許執行以下命令：選擇黑名單后，命令控制列表可以為空。在當前策略生效用戶和主機中，不允許執行黑名單命令列表中的命令。 （白名單）只允許執行以下命令：選擇白名單后，命令列表為必填項。在當前策略生效用戶和主機中，只允許執行白名單命令列表中的命令。 命令列表：有關命令策略的推薦模板，請參見命令策略推薦模板。
   命令審批 說明 僅適用于Linux主機。	配置執行需要審批的命令。 如果用戶執行了已配置在命令審批命令列表中的命令，您可以在堡壘機控制臺對該命令是否執行進行審批。審批允許后該命令會被執行，審批拒絕后該命令不生效。關于命令審批的更多信息，請參見命令審批。 命令審批對命令控制（白名單或黑名單）以外的命令生效。命令控制策略生效的優先級高于命令審批。
   協議控制	配置控制策略的RDP選項、SSH選項以及SFTP選項。 選中協議控制項表示允許該操作，未選中表示不允許進行相應操作。例如，選中文件上傳，表示允許執行上傳文件操作。 重要 SSH通道和SFTP通道必須至少開啟一項。取消勾選SSH通道后，將無法通過SSH權限登錄資產賬戶，請謹慎配置。 如果您為主機賬戶開啟僅開啟SFTP權限，請勿在控制策略里為該賬戶關閉SSH通道及SFTP通道，否則將無法通過堡壘機使用該主機賬戶訪問目標服務器。
   訪問控制	配置來源IP是否可以訪問當前策略生效的主機。 （白名單）只允許以下IP：如果選擇白名單，IP列表為必填項。只允許白名單中的來源IP訪問當前策略生效的主機。 （黑名單）不允許以下IP：如果選擇黑名單，IP列表可以為空。不允許黑名單中的來源IP訪問當前策略生效的主機。
   運維審批	開啟后，運維人員登錄資產時，需由管理員審批通過，才能進行運維。關于運維審批的更多信息，請參見運維審批。

命令策略推薦模板

控制策略功能視頻演示