本文以電商網站專案為例,為您介紹使用存取控制RAM進行帳號許可權管理的最佳實務,闡述單個RAM帳號情境下使用者管理、資源分組、許可權配置、存取控制的治理方法及原則。
準備工作
某電商網站專案需要使用存取控制RAM進行帳號許可權管理,可以通過ROS的模板樣本RAM帳號許可權管理自動化搭建單個RAM帳號情境下使用者管理、許可權配置的環境,搭建環境前需要進行以下操作:
請確保您可以訪問Elastic Compute Service、Virtual Private Cloud、阿里雲關係型資料庫RDS、Object Storage Service和存取控制RAM。
請確保您已經為開發環境資源、生產環境資源和測試環境資源建立資源群組,並擷取相應的資源群組ID。關於建立資源群組的具體操作,請參見建立資源群組。
步驟一:建立資源棧
在左側導覽列,單擊公用模板。
尋找模板RAM帳號許可權管理。
單擊建立資源棧。
在配置參數頁面,輸入資源棧名稱,並設定以下參數。
模組
參數
說明
樣本
RESOURCE
開發資源群組ID
開發環境資源所在的資源群組ID。
rg-aekzs3xmizs****
生產資源群組ID
生產環境資源所在的資源群組ID。
rg-aekzko7fsuj****
測試資源群組ID
測試環境資源所在的資源群組ID。
rg-aekzsvnra53****
VPC
開發環境專用網路網段
開發環境的專用網路網段。
172.16.0.0/12
生產環境專用網路網段
生產環境的專用網路網段。
10.0.0.0/8
測試環境專用網路網段
測試環境的專用網路網段。
192.168.0.0/16
交換器可用性區域
專用網路下的交換器可用性區域ID。
華東1可用性區域K
開發交換器網段
開發環境的交換器網段。
必須為專用網路子網段。
172.16.10.0/24
生產交換器網段
生產環境的交換器網段。
必須為專用網路子網段。
10.0.10.0/24
測試交換器網段
測試環境的交換器網段。
必須為專用網路子網段。
192.168.10.0/24
ECS
執行個體規格
ECS執行個體的規格。
請選用有效執行個體規格。更多資訊,請參見執行個體規格類型系列。
ecs.c5.large
鏡像
ECS鏡像ID。預設使用centos_7。
更多資訊,請參見鏡像概述。
centos_7
系統硬碟類型
ECS系統硬碟的類型。取值:
cloud_efficiency:高效雲端硬碟。
cloud_ssd:SSD雲端硬碟。
cloud_essd:ESSD雲端硬碟。
cloud:普通雲端硬碟。
ephemeral_ssd:本地SSD盤。
更多資訊,請參見雲端硬碟概述。
cloud_efficiency
系統硬碟空間
系統硬碟大小。
取值範圍:40~500。
單位:GB。
40
執行個體密碼
ECS執行個體的密碼。
Test_12****
RDS
類型與版本號碼
RDS資料庫的類型與版本號碼。
MySQL-5.7
執行個體規格
RDS執行個體的規格。
請選用有效執行個體規格。更多資訊,請參見主執行個體規格列表。
rds.mysql.s2.large
儲存空間
RDS的儲存空間。
取值範圍:5~1000,每5 GB進行遞增。
單位:GB。
5
OSS
讀寫權限
OSS儲存空間檔案存取權限。取值:
private:對檔案的所有訪問操作都需要進行身分識別驗證。
public-read:對檔案寫操作需要進行身分識別驗證,可以對檔案進行匿名讀取。
public-read-write:所有人都可以對檔案進行讀寫操作。
private
儲存類型
OSS儲存空間檔案儲存體類型。取值:
Standard:標準儲存類型。
IA:低頻訪問儲存類型。
Archive:Archive Storage類型。
Standard
開發儲存體空間名稱
開發環境OSS儲存空間名稱。
ros-projects-dev
生產儲存空間名稱
生產環境OSS儲存空間名稱。
ros-projects-prod
測試儲存空間名稱
測試環境OSS儲存空間名稱。
ros-projects-test
代碼發布空間名稱
用於代碼發布的OSS儲存空間名稱。
ros-projects-code
其他儲存空間名稱
用於其他用途的OSS儲存空間名稱。
ros-projects-other
發布儲存空間發布目錄
開發環境OSS儲存目錄名稱。
release
發布儲存空間生產目錄
生產環境OSS儲存目錄名稱。
prod
RAM
營運使用者組名稱
營運使用者組的名稱。
sa
開發使用者組名稱
開發使用者組的名稱。
dev
測試使用者組名稱
測試使用者組的名稱。
test
開發環境程式使用者組名稱
開發環境的使用者組名稱。
app-dev
生產環境程式使用者組名稱
生產環境的使用者組名稱。
app-prod
測試環境程式使用者組名稱
測試環境的使用者組名稱。
app-test
開發許可權使用者名稱
開發帳號RAM使用者名稱稱。
sts_dev
生產許可權使用者名稱
生產帳號RAM使用者名稱稱。
sts_prod
測試許可權使用者名稱
測試帳號RAM使用者名稱稱。
sts_test
單擊建立。
在資源棧資訊頁簽查看資源棧狀態。資源棧建立成功後,單擊輸出,擷取開發、測試、生產環境所對應的AccessKey ID和AccessKey Secret。
步驟二:查看資源
在左側導覽列,單擊資源棧。
在資源棧列表頁面,單擊目標資源棧名稱。
單擊資源頁簽,查看資源資訊。
本樣本中,資源資訊如下表所示。
資源
數量
資源說明
規格說明
ALIYUN::RAM::Group
6
建立六個RAM使用者組。使用者組對職責相同的RAM使用者進行分類並授權,可以更加高效地系統管理使用者及其許可權。
無
ALIYUN::ECS::SecurityGroup
3
建立三個安全性群組,用於在雲端劃分安全域。
無
ALIYUN::RDS::DBInstance
1
建立一個阿里雲關係型資料庫RDS執行個體,用於儲存資料。
rds.mysql.s2.large:通用型2核4 GB。
儲存空間:20 GB。
ALIYUN::ECS::VSwitch
3
建立三個交換器,用於管理單個可用性區域下的執行個體。
無
ALIYUN::OSS::Bucket
5
建立五個Object Storage Service空間,用於儲存開發、生產、測試環境的資料。
無
ALIYUN::ECS::Instance
3
建立三個雲端服務器,用於承載開發、生產、測試環境的業務。
總數量:3台。
執行個體規格:ecs.c5.large。
磁碟類別:高效雲端硬碟。
系統硬碟空間:40 GB。
分配公網IP:否。
ALIYUN::RAM::Role
3
建立三個RAM角色,用於頒發短時有效存取權杖(STS令牌),使其成為一種更安全的授予存取權限的方法。
無
ALIYUN::RAM::User
3
建立三個RAM使用者,通常是組織中需要訪問雲資源的人員或應用程式。
無
ALIYUN::ECS::VPC
3
建立三個專用網路,用於增強雲上網路的安全性。
無
說明資源收費情況,請參見官網報價或各產品定價文檔。