本文介紹存取控制(RAM)的典型應用情境,助您安全、高效地管理雲上身份與許可權。
營運管理情境
1. 為企業員工分配許可權
情境簡述:
為企業內的多名員工授予雲資源存取權限時,直接共用主帳號會帶來操作無法追溯、許可權過大等安全風險。需要根據其工作職責和訪問的雲資源進行許可權劃分。
解決方案:
為每位員工建立獨立的RAM使用者,並根據其工作職責(例如,網路系統管理員、安全性系統管理員等)授予最小操作許可權。將相同職能使用者加入使用者組,通過使用者組批量系統管理權限以提高管理效率。
核心價值:
責任明確:每個員工使用獨立身份登入和操作,所有操作均可審計追溯。
安全合規:通過精細化的許可權管理,降低因許可權過大或身份混用帶來的安全風險,滿足企業安全合規要求。
典型案例:
為不同營運人員(如虛擬機器營運人員、網路營運人員等)分配不同的系統權限原則。參考:通過RAM管控多營運人員的許可權。
針對不同業務情境,定義和應用自訂權限原則。參考:ECS自訂權限原則。
基於訪問條件(如請求來源、資源標籤等)配置自訂權限原則。參考:通過指定的IP地址訪問阿里雲。
2. 按專案或環境進行資源隔離與授權
情境簡述:
在單一阿里雲帳號內,同時運行著多重專案(如專案A、專案B)或多個環境(如開發環境、生產環境),需要確保專案A的開發人員無法訪問專案B的資源,且任何開發人員都無法操作生產環境的資源。
解決方案:
使用資源群組授權。按專案或環境建立資源群組,並通過策略條件限制使用者只能訪問特定資源群組的資源。
核心價值:
清晰的權責邊界: 結合資源群組功能,您可以按專案或環境劃分許可權,確保不同團隊的成員只能訪問其負責的資源,明確權責邊界。
精細化的成本管理: 按資源群組進行資源管理,也為後續進行精確的成本分攤提供了基礎。
瞭解更多:資源分組和授權
3. 實現跨帳號的資源協作與授權
情境簡述:
企業需要安全地授權給夥伴、子公司等其他阿里雲帳號,允許其訪問或管理帳號下的部分雲資源,但又不能直接分享存取金鑰。
解決方案:
通過配置RAM角色實現安全的跨帳號授權。受信帳號無需授權方的存取金鑰,只需扮演角色便可訪問資源。
核心價值
安全可控:通過RAM角色實現安全的跨阿里雲帳號授權。受信帳號無需您的存取金鑰,只需扮演您授予的角色,即可在許可權範圍內訪問您的資源。
靈活的許可權管理: 您可以隨時調整角色許可權或撤銷授權,確保資源共用與協作安全可控。
精細化控制:可為不同夥伴建立不同角色,授予不同許可權範圍,實現精細化管理。
瞭解更多:跨阿里雲帳號訪問資源
4. 實現無密碼登入阿里雲控制台
情境簡述:
營運人員需要頻繁登入阿里雲控制台,希望使用更安全、便捷的方式替代傳統密碼登入,例如使用裝置的生物識別技術(指紋、面容)功能。
解決方案:
啟用並使用通行密鑰(Passkey)實現無密碼登入。
通行密鑰是一種安全的數字憑證,它將登入金鑰儲存區在您的個人裝置(如手機、電腦)或專用的硬體安全密鑰中。啟用後,您登入阿里雲控制台時將無需輸入密碼,僅需通過裝置的生物識別技術功能(例如指紋、面容ID)或裝置數字 PIN 碼即可快速、安全地完成驗證。
核心價值:
消除密碼風險:無需記憶和輸入密碼,避免密碼泄露、弱密碼等安全風險。
提升登入體驗:使用生物識別技術或硬體密鑰,登入過程更快速、便捷。
增強安全性:基於標準公開金鑰加密技術,能有效提供防網路釣魚的身分識別驗證,安全性高於傳統密碼。
瞭解更多:什麼是通行密鑰
5. 整合企業身份系統實現單點登入(SSO)
情境簡述:
企業希望員工能使用現有的企業身份系統(如Active Directory、Microsoft Entra ID, Okta)直接登入阿里雲,實現身份的統一管理和單點登入(SSO),避免維護多套使用者名稱密碼。
解決方案:
配置RAM角色SSO或使用者SSO,將企業身份供應商(IdP)與阿里雲整合。
說明如果企業使用資來源目錄RD(Resource Directory)管理多個阿里雲帳號,則更推薦使用雲SSO來實現多帳號統一身份許可權管理。
核心價值:
簡化登入:員工只需登入一次身份供應商(IdP)門戶,即可訪問阿里雲及其他與身份供應商建立信任關係的應用,無需維護多套使用者名稱和密碼。
集中安全性原則:企業安全性原則(如MFA、密碼原則、IP地址限制等)在IdP層面統一配置和執行。
集中管理與審計:通過企業原有的身份管理平台集中配置和撤銷使用者權限,實現員工入離職與雲上許可權同步,降低管理成本與合規風險。
應用開發情境
1. 阿里雲上的應用訪問阿里雲資源
情境簡述:
部署在阿里雲(如ECS執行個體、ACK容器叢集、Function ComputeFC)上的應用程式或服務,需要安全地調用阿里雲API訪問其他雲資源(如讀寫OSS、查詢RDS),同時避免在代碼或配置中寫入程式碼存取金鑰。
解決方案:
推薦使用無AccessKey方案(簡稱無AK方案)來擷取臨時安全性權杖(STS Token)並以此調用阿里雲API。根據應用部署環境選擇對應的無AK方案:
應用部署環境 | 推薦無AK方案 | 核心機制 |
Elastic Compute Service | ECS執行個體RAM角色 | 應用通過訪問ECS的中繼資料服務,自動擷取與執行個體綁定的角色的臨時憑證。 |
容器叢集 (ACK) | 容器執行個體角色扮演(RRSA) | Pod內的應用使用OIDC令牌,通過扮演角色擷取臨時憑證。 |
Function Compute (FC) | Function ComputeRAM角色 | 函數在執行時,運行時環境會自動為其注入與函數關聯的角色的臨時憑證。 |
以ECS執行個體RAM角色這種無AK方案為例,參考工作流程如下:
核心價值:
提升應用安全性:通過為ECS執行個體等計算資源授予RAM角色,應用程式可自動擷取臨時訪問憑證來訪問其他雲端服務。
簡化密鑰管理:避免在代碼或配置中寫入程式碼和管理存取金鑰,從而降低密鑰泄露風險,簡化營運工作。
自動憑證輪換:臨時憑證自動重新整理,無需手動管理憑證生命週期。
典型案例:
如果以上無AK方案無法適用,則應將AccessKey配置在系統內容變數中,並為AccessKey配置網路訪問限制策略以將AK的使用限制在可信的網路環境內。
2. 非阿里雲的應用訪問阿里雲資源
情境簡述:
應用部署在非阿里雲環境(如自建IDC、其他雲平台),需要調用阿里雲API訪問雲資源。
解決方案:
如果應用已經與OIDC的身份供應商(如Okta)整合,可以使用阿里雲STS服務的AssumeRoleWithOIDC介面,擷取扮演RAM角色的臨時憑證。應用通過IdP認證後,用擷取的OIDC令牌調用該介面換取阿里雲的臨時憑證,並以此訪問阿里雲資源。此方案不需要在程式中儲存和使用AccessKey。
如果以上方案不適用,則應將AccessKey配置在系統內容變數中,並為AccessKey配置網路訪問限制策略以將AK的使用限制在可信的網路環境內。
典型案例:
Okta上的應用通過角色SSO訪問阿里雲資源(AssumeRoleWithOIDC):使用OIDC進行角色SSO的樣本。
使用AccessKey將檔案上傳至OSS:使用RAM使用者存取金鑰訪問OSS。
瞭解更多:AccessKey網路訪問限制策略
相關文檔
瞭解什麼是STS和STS Token:什麼是STS。