本文以电商网站项目为例,为您介绍使用访问控制RAM进行账号权限管理的最佳实践,阐述单个RAM账号场景下用户管理、资源分组、权限配置、访问控制的治理方法及原则。
准备工作
某电商网站项目需要使用访问控制RAM进行账号权限管理,可以通过ROS的模板示例RAM账号权限管理自动化搭建单个RAM账号场景下用户管理、权限配置的环境,搭建环境前需要进行以下操作:
请确保您可以访问云服务器ECS、专有网络VPC、阿里云关系型数据库RDS、对象存储OSS和访问控制RAM。
请确保您已经为开发环境资源、生产环境资源和测试环境资源创建资源组,并获取相应的资源组ID。关于创建资源组的具体操作,请参见创建资源组。
步骤一:创建资源栈
登录资源编排控制台。
在左侧导航栏,单击解决方案中心。
查找模板RAM账号权限管理。
单击创建资源栈。
在配置参数页面,输入资源栈名称,并设置以下参数。
模块
参数
说明
示例
RESOURCE
开发资源组ID
开发环境资源所在的资源组ID。
rg-aekzs3xmizs****
生产资源组ID
生产环境资源所在的资源组ID。
rg-aekzko7fsuj****
测试资源组ID
测试环境资源所在的资源组ID。
rg-aekzsvnra53****
VPC
开发环境专有网络网段
开发环境的专有网络网段。
172.16.0.0/12
生产环境专有网络网段
生产环境的专有网络网段。
10.0.0.0/8
测试环境专有网络网段
测试环境的专有网络网段。
192.168.0.0/16
交换机可用区
专有网络下的交换机可用区ID。
华东1可用区K
开发交换机网段
开发环境的交换机网段。
必须为专有网络子网段。
172.16.10.0/24
生产交换机网段
生产环境的交换机网段。
必须为专有网络子网段。
10.0.10.0/24
测试交换机网段
测试环境的交换机网段。
必须为专有网络子网段。
192.168.10.0/24
ECS
实例规格
ECS实例的规格。
请选用有效的实例规格。更多信息,请参见实例规格族。
ecs.c5.large
镜像
ECS镜像ID。默认使用centos_7。
更多信息,请参见镜像概述。
centos_7
系统盘类型
ECS系统盘的类型。取值:
cloud_efficiency:高效云盘。
cloud_ssd:SSD云盘。
cloud_essd:ESSD云盘。
cloud:普通云盘。
ephemeral_ssd:本地SSD盘。
更多信息,请参见云盘概述。
cloud_efficiency
系统盘空间
系统盘大小。
取值范围:40~500。
单位:GB。
40
实例密码
ECS实例的密码。
Test_12****
RDS
类型与版本号
RDS数据库的类型与版本号。
MySQL-5.7
实例规格
RDS实例的规格。
请选用有效的实例规格。更多信息,请参见主实例规格列表。
rds.mysql.s2.large
存储空间
RDS的存储空间。
取值范围:5~1000,每5 GB进行递增。
单位:GB。
5
OSS
读写权限
OSS存储空间文件访问权限。取值:
private:对文件的所有访问操作都需要进行身份验证。
public-read:对文件写操作需要进行身份验证,可以对文件进行匿名读取。
public-read-write:所有人都可以对文件进行读写操作。
private
存储类型
OSS存储空间文件存储类型。取值:
Standard:标准存储类型。
IA:低频访问存储类型。
Archive:归档存储类型。
Standard
开发存储空间名称
开发环境OSS存储空间名称。
ros-projects-dev
生产存储空间名称
生产环境OSS存储空间名称。
ros-projects-prod
测试存储空间名称
测试环境OSS存储空间名称。
ros-projects-test
代码发布空间名称
用于代码发布的OSS存储空间名称。
ros-projects-code
其他存储空间名称
用于其他用途的OSS存储空间名称。
ros-projects-other
发布存储空间发布目录
开发环境OSS存储目录名称。
release
发布存储空间生产目录
生产环境OSS存储目录名称。
prod
RAM
运维用户组名称
运维用户组的名称。
sa
开发用户组名称
开发用户组的名称。
dev
测试用户组名称
测试用户组的名称。
test
开发环境程序用户组名称
开发环境的用户组名称。
app-dev
生产环境程序用户组名称
生产环境的用户组名称。
app-prod
测试环境程序用户组名称
测试环境的用户组名称。
app-test
开发权限用户名
开发账号RAM用户名称。
sts_dev
生产权限用户名
生产账号RAM用户名称。
sts_prod
测试权限用户名
测试账号RAM用户名称。
sts_test
单击创建。
在资源栈信息页签查看资源栈状态。资源栈创建成功后,单击输出,获取开发、测试、生产环境所对应的AccessKey ID和AccessKey Secret。
步骤二:查看资源
在左侧导航栏,单击资源栈。
在资源栈列表页面,单击目标资源栈名称。
单击资源页签,查看资源信息。
本示例中,资源信息如下表所示。
资源
数量
资源说明
规格说明
ALIYUN::RAM::Group
6
创建六个RAM用户组。用户组对职责相同的RAM用户进行分类并授权,可以更加高效地管理用户及其权限。
无
ALIYUN::ECS::SecurityGroup
3
创建三个安全组,用于在云端划分安全域。
无
ALIYUN::RDS::DBInstance
1
创建一个阿里云关系型数据库RDS实例,用于存储数据。
rds.mysql.s2.large:通用型2核4 GB。
存储空间:20 GB。
ALIYUN::ECS::VSwitch
3
创建三个交换机,用于管理单个可用区下的实例。
无
ALIYUN::OSS::Bucket
5
创建五个对象存储空间,用于存储开发、生产、测试环境的数据。
无
ALIYUN::ECS::Instance
3
创建三个云服务器,用于承载开发、生产、测试环境的业务。
总数量:3台。
实例规格:ecs.c5.large。
磁盘类别:高效云盘。
系统盘空间:40 GB。
分配公网IP:否。
ALIYUN::RAM::Role
3
创建三个RAM角色,用于颁发短时有效的访问令牌(STS令牌),使其成为一种更安全的授予访问权限的方法。
无
ALIYUN::RAM::User
3
创建三个RAM用户,通常是组织中需要访问云资源的人员或应用程序。
无
ALIYUN::ECS::VPC
3
创建三个专有网络,用于增强云上网络的安全性。
无
说明资源收费情况,请参见官网报价或各产品定价文档。