全部產品
Search
文件中心

Elastic Compute Service:使用RAM使用者實現對ECS的存取控制

更新時間:Oct 31, 2024

阿里雲的存取控制RAM(Resource Access Management)提供了強大的細粒度許可權管理功能,適用於企業中多個部門或角色需要訪問ECS資源的情況。為了保障敏感資訊和關鍵商務程序的安全,您可以根據各部門或角色的具體職責分配不同的存取權限。通過實施許可權分離策略,不僅能顯著提升管理效率,還能有效降低資訊泄露的風險。本文介紹如何通過控制RAM使用者的許可權,以實現對Elastic Compute Service資源的存取控制。

情境介紹

假設您公司是使用ECS來託管應用程式和服務。其中,IT架構規劃由管理員主導,他們對所有ECS資源擁有控制權,包括但不限於建立資源、調整資源分派及安全性原則配置等關鍵職責。開發人員負責專案的持續迭代和功能創新,並承擔將專案部署到ECS上的任務。營運人員則承擔起保障系統正常運轉的責任,通過建立快照、建立鏡像、執行相關指令碼等方式維護現有服務。

針對這三類人員的需求,我們將設計如下許可權方案:

  • 管理員:可以擁有建立、刪除ECS執行個體及修改安全性群組規則等所有ECS操作許可權。

  • 開發人員:能夠查看所有ECS執行個體的資訊,但不能修改任何設定,同時可以登入ECS執行個體進行操作。

  • 營運人員:具備建立部分資源的許可權,但不具備刪除資源的許可權,如建立快照和鏡像、執行指令碼等任務。

操作步驟

1. 建立RAM使用者

請使用您的阿里雲主帳號登入RAM控制台,建立三個RAM使用者:管理員(Manager)、開發人員(Developer)和營運人員(Operator),以便為不同人員分配合適的許可權。注意在建立RAM使用者時選擇允許控制台登入。關於如何建立RAM使用者,請參見建立RAM使用者

2. 建立權限原則

建立三套自訂權限原則,以實現更精細的存取控制與管理。具體操作,請參見建立自訂權限原則

Manager_Policy

適用於管理員(Manager)的權限原則,定義了操作ECS的所有許可權。

{
    "Version": "1",
    "Statement": [
        {
            "Action": "ecs:*",
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "vpc:CheckCanAllocateVpcPrivateIpAddress",
                "vpc:DescribeVpcs",
                "vpc:DescribeVSwitches",
                "bss:ModifyAgreementRecord"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

Developer_Policy

適用於開發人員(Developer)的權限原則,定義了部分資源的查看許可權,但無建立和修改許可權,同時支援通過Workbench遠端連線登入到ECS。

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecs:List*",
                "ecs:Describe*",
                "vpc:DescribeVpcs",
                "vpc:DescribeVSwitches",
                "ecs-workbench:LoginInstance"
            ],
            "Resource": "*"
        }
    ]
}

Operator_Policy

適用於營運人員(Operator)的權限原則,定義了部分資源的查看許可權及建立鏡像、快照、執行命令的許可權。

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "ecs:Describe*",
                "ecs:AttachDisk",
                "ecs:CreateSnapshot",
                "ecs:CreateImage",
                "ecs:RunCommand",
                "vpc:DescribeVpcs",
                "vpc:DescribeVSwitches"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

3. 為RAM使用者授權

為RAM使用者指派不同自訂權限原則,以精準控制其對特定資源的訪問和操作許可權。當RAM使用者出現異常操作時,您也可解除授權或收縮許可權範圍,實現對風險的響應與處理。更多關於授權的詳細操作,請參見為RAM使用者授權

RAM使用者

要授與權限策略

管理員(Manager)

Manager_Policy

開發人員(Developer)

Developer_Policy

營運人員(Operator)

Operator_Policy

4. 測試存取控制是否生效

  1. 進入RAM使用者登入頁,請分別使用前面建立的三個RAM使用者登入。

  2. 進入ECS控制台,執行查看ECS執行個體列表、建立ECS執行個體及建立鏡像等操作,驗證存取控制是否生效。

    管理員(Manager)

    • 可以查看ECS列表。

      image

    • 可以建立ECS。

      image

    • 可以刪除ECS。

      image

    • 可以建立鏡像。

      image

    開發人員(Developer)

    • 可以查看ECS列表。

      image

    • 沒有許可權建立ECS。

      image

    • 沒有許可權建立鏡像。

      image

    • 可以通過Workbench遠端連線登入到ECS,登入後可以使用命令將專案部署到ECS上。

      image

    營運人員(Operator)

    • 可以查看ECS列表。

      image

    • 沒有許可權建立ECS。

      image

    • 可以建立鏡像。

      image

相關文檔