使用RAM使用者操作Cloud Backup可降低阿里雲賬戶資訊安全風險。本文介紹如何建立RAM使用者並授予其操作Cloud Backup的許可權,並使用該RAM使用者進行雲備份操作。
背景資訊
在實際的應用情境中,阿里雲帳號可能需要將Cloud Backup的營運維護工作交予其名下的RAM使用者,由RAM使用者對Cloud Backup進行日常維護工作,或者阿里雲帳號名下的RAM使用者可能有訪問Cloud Backup資源的需求。此時,阿里雲帳號需要對其名下的RAM使用者進行授權,授予其訪問或者操作Cloud Backup的許可權。出於安全性的考慮,Cloud Backup建議您將RAM使用者的使用權限設定為需求範圍內的最小許可權。關於RAM使用者的詳細資料,請參見RAM入門概述。
步驟一:建立RAM使用者
使用RAM進行操作,您需要先建立RAM使用者,然後給該RAM使用者指派不同的授權策略。
請按照如下步驟建立RAM使用者。
操作步驟
使用阿里雲帳號(主帳號)或Resource Access Management員登入RAM控制台。
在左側導覽列,選擇。
在使用者頁面,單擊建立使用者。
在建立使用者頁面的使用者帳號資訊地區,設定使用者基本資料。
登入名稱稱:可包含英文字母、數字、半形句號(.)、短劃線(-)和底線(_),最多64個字元。
顯示名稱:最多包含128個字元或漢字。
標籤:單擊
,然後輸入標籤鍵和標籤值。為RAM使用者綁定標籤,便於後續基於標籤的使用者管理。
說明單擊添加使用者,可以大量建立多個RAM使用者。
在訪問方式地區,選擇訪問方式,然後設定對應參數。
為了帳號安全,建議您只選擇以下訪問方式中的一種,將人員使用者和應用程式使用者分離,避免混用。
控制台訪問
如果RAM使用者代表人員,建議啟用控制台訪問,使用使用者名稱和登入密碼訪問阿里雲。您需要設定以下參數:
控制台登入密碼:選擇自動產生密碼或者自訂密碼。自訂登入密碼時,密碼必須滿足密碼複雜度規則。更多資訊,請參見設定RAM使用者密碼強度。
密碼重設策略:選擇RAM使用者在下次登入時是否需要重設密碼。
多因素認證(MFA)策略:選擇是否為當前RAM使用者啟用MFA。啟用MFA後,主帳號還需要為RAM使用者綁定MFA裝置或RAM使用者自行綁定MFA裝置。更多資訊,請參見為RAM使用者綁定MFA裝置。
OpenAPI調用訪問
如果RAM使用者代表應用程式,建議啟用OpenAPI調用訪問,使用存取金鑰(AccessKey)訪問阿里雲。啟用後,系統會自動為RAM使用者產生一個AccessKey ID和AccessKey Secret。更多資訊,請參見建立AccessKey。
重要RAM使用者的AccessKey Secret只在建立時顯示,不支援查看,請妥善保管。
單擊確定。
根據介面提示,完成安全驗證。
步驟二:為RAM使用者授權
建立的RAM使用者預設沒有任何操作許可權,只有在被授權之後,才能通過控制台和API操作資源。
雲備份提供兩種系統授權策略:
AliyunHBRFullAccess:賦予RAM使用者Cloud Backup的所有使用許可權,類似管理員,風險較大,請謹慎選擇。
AliyunHBRReadOnlyAccess:賦予RAM使用者Cloud Backup控制台的讀許可權。
您還可以在RAM控制台自訂授權策略,滿足許可權精細化管理。更多資訊,請參見建立自訂權限原則。
本文以為RAM使用者授予AliyunHBRReadOnlyAccess許可權為例。
使用Resource Access Management員登入RAM控制台。
在使用者頁面,單擊目標RAM使用者操作列的添加許可權。
您也可以選中多個RAM使用者,單擊使用者列表下方的添加許可權,為RAM使用者大量授權。
在新增授權面板的系統策略下,搜尋並選擇AliyunHBRReadOnlyAccess,單擊確認新增授權。
說明在右側地區框,選擇某條策略並單擊×,可撤銷該策略。
確認授權結果,單擊關閉。
步驟三:使用RAM使用者進行備份操作
使用RAM使用者登入Cloud Backup控制台,就可以進行備份恢複操作。
在左側導覽列選擇不同的備份功能,就可以進行備份恢複操作。
在您首次對某資源進行備份時,Cloud Backup會自動建立服務關聯角色擷取訪問對應資源的許可權,請按照嚮導完成建立即可。更多資訊,請參見雲備份服務關聯角色。
更多權限原則參考
您可以給指定RAM使用者添加RAM許可權,使得該RAM使用者對此備份庫只能使用備份或者恢複功能。
複製對應權限原則模板,然後在RAM控制台建立自訂權限原則,並授予目標RAM使用者即可。具體操作,請參見分離備份和恢複許可權。
禁止使用恢複功能的權限原則。
{ "Version": "1", "Statement": [ { "Effect": "Deny", "Action": [ "hbr:CreateRestore", "hbr:CreateRestoreJob", "hbr:CreateHanaRestore", "hbr:CreateUniRestorePlan", "hbr:CreateSqlServerRestore" ], "Resource": [ "acs:hbr:*:1178******531:vault/v-000******blx06", "acs:hbr:*:1178******531:vault/v-000******blx06/client/*" ] } ] }禁止使用備份功能的權限原則。
{ "Version": "1", "Statement": [ { "Effect": "Deny", "Action": [ "hbr:CreateUniBackupPlan", "hbr:UpdateUniBackupPlan", "hbr:DeleteUniBackupPlan", "hbr:CreateHanaInstance", "hbr:UpdateHanaInstance", "hbr:DeleteHanaInstance", "hbr:CreateHanaBackupPlan", "hbr:UpdateHanaBackupPlan", "hbr:DeleteHanaBackupPlan", "hbr:CreateClient", "hbr:CreateClients", "hbr:UpdateClient", "hbr:UpdateClientSettings", "hbr:UpdateClientAlertConfig", "hbr:DeleteClient", "hbr:DeleteClients", "hbr:CreateJob", "hbr:UpdateJob", "hbr:CreateBackupPlan", "hbr:UpdateBackupPlan", "hbr:ExecuteBackupPlan", "hbr:DeleteBackupPlan", "hbr:CreateBackupJob", "hbr:CreatePlan", "hbr:UpdatePlan", "hbr:CreateTrialBackupPlan", "hbr:ConvertToPostPaidInstance", "hbr:KeepAfterTrialExpiration" ], "Resource": [ "acs:hbr:*:1178******9531:vault/v-000******blx06", "acs:hbr:*:1178******9531:vault/v-000******blx06/client/*" ] } ] }