Elastic Compute Service：Gunakan kelompok sumber daya untuk pengelolaan izin horizontal

Risiko keamanan

Dalam model izin default, seorang Pengguna Resource Access Management (RAM) yang diberi izin manajemen ECS, seperti AliyunECSFullAccess, memiliki izin operasional penuh atas semua Instance ECS dan sumber daya terkaitnya dalam akun. Pola otorisasi datar ini menimbulkan risiko keamanan kritis karena bisnis Anda berkembang dan tim bertambah:

• Risiko penyalahgunaan izin dan kesalahan operasional: Seorang administrator dari Departemen A dapat dengan mudah melihat, memodifikasi, atau bahkan menghapus server produksi inti yang dimiliki oleh Departemen B. Akibatnya bisa menjadi bencana, baik tindakannya disengaja maupun tidak disengaja.

• Kurangnya prinsip hak istimewa minimal: Pengguna RAM memiliki izin yang jauh melebihi apa yang diperlukan untuk pekerjaannya. Hal ini secara langsung melanggar prinsip hak istimewa minimal. Prinsip ini adalah komponen inti dari strategi pertahanan berlapis. Ini memastikan bahwa setiap pengguna, program, atau proses hanya memiliki izin minimum yang diperlukan untuk melakukan tugasnya.

• Tantangan audit dan kepatuhan: Ketika semua operasi bercampur, sulit untuk melacak dan mengaudit dengan jelas departemen atau proyek mana yang membuat perubahan pada sumber daya. Ini menciptakan tantangan besar untuk memenuhi persyaratan kepatuhan.

Praktik terbaik

Anda dapat menggunakan kelompok sumber daya dan kebijakan RAM berbasis identitas untuk membangun batas manajemen logis di dalam Akun Alibaba Cloud Anda. Skenario berikut melibatkan dua departemen, DepartmentA dan DepartmentB, dan menunjukkan cara membangun sistem pengelolaan izin horizontal yang aman.

Skenario: Buat administrator ECS terpisah untuk Departemen A dan Departemen B yang hanya dapat mengelola sumber daya departemennya sendiri.

1. Buat kelompok sumber daya

   1. Masuk menggunakan Akun Alibaba Cloud atau identitas RAM (Pengguna RAM atau Peran RAM) yang memiliki izin manajemen kelompok sumber daya.

   2. Buka Konsol Kelompok Sumber Daya. Klik Create Resource Group, isi informasi yang diperlukan, lalu klik OK.

      • Pengenal Kelompok Sumber Daya: Masukkan DepartmentA.

      • Nama Kelompok Sumber Daya: Masukkan Kelompok Sumber Daya Departemen A.

   3. Ulangi langkah-langkah untuk membuat kelompok sumber daya dengan ID DepartmentB.

2. Buat Pengguna RAM

   1. Buka Konsol RAM. Di panel navigasi di sebelah kiri, pilih Identities > Users.

   2. Klik Create User dan isi informasi sesuai petunjuk.

      1. Nama Masuk/Nama Tampilan: Masukkan AdminA.

      2. Mode Akses: Pilih Console Access dan konfigurasikan kebijakan kata sandi.

   3. Klik OK dan selesaikan otentikasi keamanan.

   4. Ulangi langkah-langkah untuk membuat pengguna AdminB.

3. Berikan izin kepada kelompok sumber daya

   1. Kembali ke halaman Konsol Kelompok Sumber Daya.

   2. Temukan kelompok sumber daya DepartmentA dan klik Manage Permission di kolom Aksi.

   3. Klik Grant Permission.

      1. Lingkup Sumber Daya: Defaultnya adalah kelompok sumber daya saat ini, DepartmentA.

      2. Subjek: Pilih RAM User dan pilih pengguna AdminA yang baru saja dibuat dari daftar.

      3. Kebijakan: Di kotak pencarian, masukkan ecs. Pilih kebijakan sistem AliyunECSFullAccess dan AliyunBSSFullAccess.

      4. Klik OK.

   4. Ulangi langkah-langkah untuk memberikan izin kepada pengguna AdminB untuk kelompok sumber daya DepartmentB.

4. Verifikasi isolasi

   • Keluar dari akun Anda saat ini. Kemudian, masuk ke Konsol Manajemen Alibaba Cloud menggunakan kredensial untuk AdminA dan AdminB secara terpisah.

   • Setelah Anda masuk sebagai AdminA: Buat instans kustom. Untuk kelompok sumber daya, pilih Kelompok Sumber Daya Departemen A.

     Buka halaman Konsol ECS - Instans. Anda hanya dapat melihat Instance ECS yang dibuat di kelompok sumber daya DepartmentA.

   • Setelah Anda masuk sebagai AdminB: Anda akan mengamati perilaku serupa tetapi sepenuhnya terisolasi. Semua operasi dibatasi pada kelompok sumber daya DepartmentB.