目标
- 了解访问控制服务要解决的问题以及所提供的功能
- 能够创建并配置一个只读访问日志服务的子用户
准备工作
- 创建云账号,并进行实名认证
- 开通访问控制服务( https://www.aliyun.com/product/ram )
步骤
1. 开通访问控制服务
首先,您需要开通访问控制服务;进入阿里云官网首页(http://www.aliyun.com), 选择顶部导航栏的“产品”,进入“管理与监控”类目,您可以看到“访问控制(公测中)”,点击进入
进入RAM详情页,点击"获取使用资格"进入开通页
点击“立即开通”,即可启用访问控制服务;
2. 配置企业别名
进入RAM控制台,选择左侧“设置”菜单,进入菜单后,选择“企业别名设置”选项卡,您可以在此页面设置通过编辑“企业别名”来设置您的企业别名;
这里的企业别名是一个全局唯一的标识,所以这里您需要使用一个别人没有使用过的名称,示例中我们使用"aliyuncs"作为企业别名;
我们一会会用到这个企业别名;
3. 创建子用户
进入RAM控制台,选择左侧的“子用户”菜单,然后点击右上角的“新建用户”按钮,您就可以看到“创建用户”的窗口;这里需要为子用户起一个名称,示例中我们起名叫“jasongao”。
4. 为子用户分配只读权限
进入RAM控制台“用户管理”页,找到刚刚创建的子用户,选择右侧的“授权”,会弹出“编辑授权策略”窗口。
在弹出的授权列表中的搜索框中输入“Log”找到和日志服务相关的权限,然后选择第二条"AliyunLogReadonlyAccess",点击“>”添加授权
然后点击“确定”保存修改。
5. 启用子用户控制台登录功能
进入RAM控制台“用户管理”页,找到刚刚创建的子用户,选择右侧的“管理”进入子用户详情页;
进入子用户详情页后,点击“启用控制台登录”按钮
启用控制台登录功能时,您需要为此用户设置初始密码。这里有一个选项“下次登录成功后重置密码”,如果这个子帐号是为别人创建,建议勾选。
6. 使用子用户登录
进入RAM控制台概览页,您可以看到您的子用户登录链接,点击进入登录页
进入登录页后,可以看到“企业别名”默认已经填好,然后需要填入刚刚创建的子用户用户名和密码,然后点击登录。
登录成功后需要设置新的密码,输入新密码,然后点击“确认重置”,即可进入子用户控制台首页;
7. 只读访问日志服务控制台
子用户成功登录后,选择“日志服务”进入日志服务控制台
进入日志服务控制台后,选择您刚才创建的日志项目
然后我们可以看到这个项目中的LogStore列表,选中查看,进入日志查看页:
然后查询日期选择“一天”,点击查询,即可查询日志;
下面我们来尝试一些破坏性的工作,例如删除LogStore;
这时控制会报错“当前操作未被授权”
大功告成,您已经成功的创建了日志服务只读帐号;
补充实验一: 带IP条件的访问控制只读访问云服务器
1. 获取当前IP地址
访问 http://ip.taobao.com/ipSearch.php
需要多刷几次页面,您的出口IP可能一个IP段而不是单个IP,这里我们假设出口IP是
42.121.84.1602. 创建一个带有IP限制的自定义授权策略
使用主帐号进入RAM控制台,选择左侧的“授权策略管理”,然后点击右上角的“新建授权策略”,在弹出的窗口中选择“空白模板”
然后这里我们将授权策略名称命名为"ecsip", 策略内容为
{
"Statement": [
{
"Action": [
"ecs:Describe*"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"IpAddress": {
"acs:SourceIp": [
"42.121.84.160"
]
}
}
},
{
"Action": "ecs:*",
"Effect": "Allow",
"Resource": "*",
"Condition": {
"IpAddress": {
"acs:SourceIp": [
"11.22.33.44"
]
}
}
}
],
"Version": "1"
}这个授权策略表示,允许从IP"42.121.84.160"只读查看云服务器信息;并且允许从IP"11.22.33.44"对ECS做任何操作;
注意,这里需要将IP地址"42.121.84.160"替换为您的公网IP;
点击“新建授权策略”完成策略的创建
3. 为子用户授权ecsip授权策略
进入子用户列表,点击相应子用户条目右侧的授权选项,并添加ecsip授权策略
4. 使用子用户登录ECS控制台,查看服务器信息
因为我们为当前IP授权了查看云服务器的权限,所以这时我们可以看到云服务器的所有信息;
5. 尝试进行破坏性操作:重启服务器
虽然我们刚才也授权了云服务器的所有权限,但是加入了IP(11.22.33.44)这个IP无效IP的限定,所以最终应当无法重启服务器;
我们进入一台ECS的详情页,然后点击右上角的重启按钮
然后系统让我们选择是否强制重启,随意选择,点击确定
提示没有权限,符合预期;
补充实验二: 为子用户启用多因素认证
1. 启用子帐号MFA登录功能
使用主帐号进入访问控制服务控制台,进入相应的子用户详情页,点击“必须开启多因素认证”为子用户开启多因素认证功能;
2. 使用子帐号登录控制台
回到RAM控制台概览页,使用子帐号登录链接登录子帐号
这时您会发现,系统要求子用户必须绑定多因素认证器才可继续登录;
3. 安装多因素验证器客户端
点击页面上的“身份宝”超链接进入身份宝安装页,然后使用手机扫码工具扫描身份宝安装二维码;
然后可以看到手机端的身份宝安装页
如果您使用的微信扫码工具,请在扫码后请点击右上角的"...",然后选择“在浏览器中打开”
4. 绑定多因素认证器
安装成功后,打开身份宝,点击“添加账户”
然后选择“扫描二维码”
进入二维码扫描界面后,扫描MFA绑定页的二维码
当手机端成功扫描二维码后,在手机端可以看到一个每30秒变化一次的6位数字口令
然后您需要将连续两组不相同的口令按顺序填入右侧,点击“确定启用”即完成MFA绑定
