阿里雲的存取控制RAM(Resource Access Management)提供了強大的細粒度許可權管理功能,適用於企業中多個部門或角色需要訪問ECS資源的情況。為了保障敏感資訊和關鍵商務程序的安全,您可以根據各部門或角色的具體職責分配不同的存取權限。通過實施許可權分離策略,不僅能顯著提升管理效率,還能有效降低資訊泄露的風險。本文介紹如何通過控制RAM使用者的許可權,以實現對Elastic Compute Service資源的存取控制。
情境介紹
假設您公司是使用ECS來託管應用程式和服務。其中,IT架構規劃由管理員主導,他們對所有ECS資源擁有控制權,包括但不限於建立資源、調整資源分派及安全性原則配置等關鍵職責。開發人員負責專案的持續迭代和功能創新,並承擔將專案部署到ECS上的任務。營運人員則承擔起保障系統正常運轉的責任,通過建立快照、建立鏡像、執行相關指令碼等方式維護現有服務。
針對這三類人員的需求,我們將設計如下許可權方案:
管理員:可以擁有建立、刪除ECS執行個體及修改安全性群組規則等所有ECS操作許可權。
開發人員:能夠查看所有ECS執行個體的資訊,但不能修改任何設定,同時可以登入ECS執行個體進行操作。
營運人員:具備建立部分資源的許可權,但不具備刪除資源的許可權,如建立快照和鏡像、執行指令碼等任務。
操作步驟
1. 建立RAM使用者
請使用您的阿里雲主帳號登入RAM控制台,建立三個RAM使用者:管理員(Manager)、開發人員(Developer)和營運人員(Operator),以便為不同人員分配合適的許可權。注意在建立RAM使用者時選擇允許控制台登入。關於如何建立RAM使用者,請參見建立RAM使用者。
2. 建立權限原則
建立三套自訂權限原則,以實現更精細的存取控制與管理。具體操作,請參見建立自訂權限原則。
Manager_Policy
適用於管理員(Manager)的權限原則,定義了操作ECS的所有許可權。
{
"Version": "1",
"Statement": [
{
"Action": "ecs:*",
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"vpc:CheckCanAllocateVpcPrivateIpAddress",
"vpc:DescribeVpcs",
"vpc:DescribeVSwitches",
"bss:ModifyAgreementRecord"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
Developer_Policy
適用於開發人員(Developer)的權限原則,定義了部分資源的查看許可權,但無建立和修改許可權,同時支援通過Workbench遠端連線登入到ECS。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:List*",
"ecs:Describe*",
"vpc:DescribeVpcs",
"vpc:DescribeVSwitches",
"ecs-workbench:LoginInstance"
],
"Resource": "*"
}
]
}
Operator_Policy
適用於營運人員(Operator)的權限原則,定義了部分資源的查看許可權及建立鏡像、快照、執行命令的許可權。
{
"Version": "1",
"Statement": [
{
"Action": [
"ecs:Describe*",
"ecs:AttachDisk",
"ecs:CreateSnapshot",
"ecs:CreateImage",
"ecs:RunCommand",
"vpc:DescribeVpcs",
"vpc:DescribeVSwitches"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
3. 為RAM使用者授權
為RAM使用者指派不同自訂權限原則,以精準控制其對特定資源的訪問和操作許可權。當RAM使用者出現異常操作時,您也可解除授權或收縮許可權範圍,實現對風險的響應與處理。更多關於授權的詳細操作,請參見為RAM使用者授權。
RAM使用者 | 要授與權限策略 |
管理員(Manager) | Manager_Policy |
開發人員(Developer) | Developer_Policy |
營運人員(Operator) | Operator_Policy |
4. 測試存取控制是否生效
進入RAM使用者登入頁,請分別使用前面建立的三個RAM使用者登入。
進入ECS控制台,執行查看ECS執行個體列表、建立ECS執行個體及建立鏡像等操作,驗證存取控制是否生效。
管理員(Manager)
可以查看ECS列表。
可以建立ECS。
可以刪除ECS。
可以建立鏡像。
開發人員(Developer)
可以查看ECS列表。
沒有許可權建立ECS。
沒有許可權建立鏡像。
可以通過Workbench遠端連線登入到ECS,登入後可以使用命令將專案部署到ECS上。
營運人員(Operator)
可以查看ECS列表。
沒有許可權建立ECS。
可以建立鏡像。
相關文檔
存取控制RAM是阿里雲提供的系統管理使用者身份與資源存取權限的服務,更多資訊,請參見什麼是存取控制。
您可以查看RAM使用者支援的多因素認證方式、使用說明和使用限制說明。更多資訊,請參見什麼是MFA。
Elastic Compute Service提供了部分自訂權限原則,更多資訊,請參見Elastic Compute Service自訂權限原則參考。
如何通過Workbench登入到ECS,請參見使用Workbench串連執行個體。