本文以电商网站项目为例,为您介绍使用访问控制RAM进行账号权限管理的最佳实践,阐述单个RAM账号场景下用户管理、资源分组、权限配置、访问控制的治理方法及原则。

准备工作

某电商网站项目需要使用访问控制RAM进行账号权限管理,可以通过ROS的模板示例RAM账号权限管理自动化搭建单个RAM账号场景下用户管理、权限配置的环境,搭建环境前需要进行以下操作:

  • 请确保您可以访问云服务器ECS、专有网络VPC、阿里云关系型数据库RDS、对象存储OSS和访问控制RAM。
  • 请确保您已经为开发环境资源、生产环境资源和测试环境资源创建资源组,并获取相应的资源组ID。关于创建资源组的具体操作,请参见创建资源组

步骤一:创建资源栈

  1. 登录资源编排控制台
  2. 在左侧导航栏,单击解决方案中心
  3. 查找模板RAM账号权限管理
  4. 单击创建资源栈
  5. 配置模板参数页面,输入资源栈名称,并设置以下参数。
    模块 参数 说明 示例
    RESOURCE 开发资源组ID 开发环境资源所在的资源组ID。 rg-aekzs3xmizs****
    生产资源组ID 生产环境资源所在的资源组ID。 rg-aekzko7fsuj****
    测试资源组ID 测试环境资源所在的资源组ID。 rg-aekzsvnra53****
    VPC 开发环境专有网络网段 开发环境的专有网络网段。 172.16.0.0/12
    生产环境专有网络网段 生产环境的专有网络网段。 10.0.0.0/8
    测试环境专有网络网段 测试环境的专有网络网段。 192.168.0.0/16
    交换机可用区 专有网络下的交换机可用区ID。 华东1可用区K
    开发交换机网段 开发环境的交换机网段。

    必须为专有网络子网段。

    172.16.10.0/24
    生产交换机网段 生产环境的交换机网段。

    必须为专有网络子网段。

    10.0.10.0/24
    测试交换机网段 测试环境的交换机网段。

    必须为专有网络子网段。

    192.168.10.0/24
    ECS 实例规格 ECS实例的规格。

    请选用有效的实例规格。更多信息,请参见实例规格族

    ecs.c5.large
    镜像 ECS镜像ID。默认使用centos_7。

    更多信息,请参见镜像概述

    centos_7
    系统盘类型 ECS系统盘的类型。取值:
    • cloud_efficiency:高效云盘。
    • cloud_ssd:SSD云盘。
    • cloud_essd:ESSD云盘。
    • cloud:普通云盘。
    • ephemeral_ssd:本地SSD盘。

    更多信息,请参见云盘概述

    cloud_efficiency
    系统盘空间 系统盘大小。

    取值范围:40~500。

    单位:GB。

    40
    实例密码 ECS实例的密码。 Test_12****
    RDS 类型与版本号 RDS数据库的类型与版本号。 MySQL-5.7
    实例规格 RDS实例的规格。

    请选用有效的实例规格。更多信息,请参见主实例规格列表

    rds.mysql.s2.large
    存储空间 RDS的存储空间。

    取值范围:5~1000,每5 GB进行递增。

    单位:GB。

    5
    OSS 读写权限 OSS存储空间文件访问权限。取值:
    • private:对文件的所有访问操作都需要进行身份验证。
    • public-read:对文件写操作需要进行身份验证,可以对文件进行匿名读取。
    • public-read-write:所有人都可以对文件进行读写操作。
    private
    存储类型 OSS存储空间文件存储类型。取值:
    • Standard:标准存储类型。
    • IA:低频访问存储类型。
    • Archive:归档存储类型。
    Standard
    开发存储空间名称 开发环境OSS存储空间名称。 ros-projects-dev
    生产存储空间名称 生产环境OSS存储空间名称。 ros-projects-prod
    测试存储空间名称 测试环境OSS存储空间名称。 ros-projects-test
    代码发布空间名称 用于代码发布的OSS存储空间名称。 ros-projects-code
    其他存储空间名称 用于其他用途的OSS存储空间名称。 ros-projects-other
    发布存储空间发布目录 开发环境OSS存储目录名称。 release
    发布存储空间生产目录 生产环境OSS存储目录名称。 prod
    RAM 运维用户组名称 运维用户组的名称。 dev
    开发用户组名称 开发用户组的名称。 sa
    测试用户组名称 测试用户组的名称。 test
    开发环境程序用户组名称 开发环境的用户组名称。 app-dev
    生产环境程序用户组名称 生产环境的用户组名称。 app-prod
    测试环境程序用户组名称 测试环境的用户组名称。 app-test
    开发权限用户名 开发账号RAM用户名称。 sts_dev
    生产权限用户名 生产账号RAM用户名称。 sts_prod
    测试权限用户名 测试账号RAM用户名称。 sts_test
  6. 单击创建
  7. 资源栈信息页签查看资源栈状态。资源栈创建成功后,单击输出,获取开发、测试、生产环境所对应的AccessKey ID和AccessKey Secret。

步骤二:查看资源

  1. 在左侧导航栏,单击资源栈
  2. 资源栈列表页面,单击目标资源栈名称。
  3. 单击资源页签,查看资源信息。
    本示例中,资源信息如下表所示。
    资源 数量 资源说明 规格说明
    ALIYUN::RAM::Group 6 创建六个RAM用户组。用户组对职责相同的RAM用户进行分类并授权,可以更加高效地管理用户及其权限。
    ALIYUN::ECS::SecurityGroup 3 创建三个安全组,用于在云端划分安全域。
    ALIYUN::RDS::DBInstance 1 创建一个阿里云关系型数据库RDS实例,用于存储数据。
    • rds.mysql.s2.large:通用型2核4 GB。
    • 存储空间:20 GB。
    ALIYUN::ECS::VSwitch 3 创建三个交换机,用于管理单个可用区下的实例。
    ALIYUN::OSS::Bucket 5 创建五个对象存储空间,用于存储开发、生产、测试环境的数据。
    ALIYUN::ECS::Instance 3 创建三个云服务器,用于承载开发、生产、测试环境的业务。
    • 总数量:3台。
    • 实例规格:ecs.c5.large。
    • 磁盘类别:高效云盘。
    • 系统盘空间:40 GB。
    • 分配公网IP:否。
    ALIYUN::RAM::Role 3 创建三个RAM角色,用于颁发短时有效的访问令牌(STS令牌),使其成为一种更安全的授予访问权限的方法。
    ALIYUN::RAM::User 3 创建三个RAM用户,通常是组织中需要访问云资源的人员或应用程序。
    ALIYUN::ECS::VPC 3 创建三个专有网络,用于增强云上网络的安全性。
    说明 资源收费情况,请参见官网报价或各产品定价文档。