阿里云身份管理与访问控制之信任管理: 角色扮演, 临时身份和安全令牌

本文涉及的产品
访问控制,不限时长
简介:

本文介绍了阿里云访问控制中的角色扮演和临时身份特性。这两个特性帮助客户管理好对合作伙伴, 云服务协同应用, 以及客户应用服务的信任与访问授权, 构成了阿里云安全受控的合作生态的技术基础设施的一部分。

信任管理

云平台中的资源, 我们可以授权给信任的员工, 合作伙伴, 平台服务, 我们自己部署的应用等不同的身份来访问.

  1. 合作伙伴A来负责代运维一组Linux服务器, 除此以外不能访问其他资源; 合作伙伴B来负责维护RDB服务, 除此以外不能访问其他资源;
  2. 授权给阿里云的多媒体处理服务来处理存放在OSS中指定目录中的图片和视频, 但不能访问其他目录里中的资源.
  3. 部署在ECS中的运维工具, 能够根据负载变动情况, 自动关闭一些ECS机器, 或自动升级或启动一些ECS机器.

这些应用场景中的信任管理, 都是通过角色扮演和临时身份实现的.

角色扮演

阿里云账号中的资源分权访问, 对于员工可以使用子用户来实现. 对于不适合子用户(含子用户组)授权的情况, 采取基于角色扮演的授权方法更安全便捷.

比如, 合作伙伴帮助做运维时, 会在他们自己的主账号中管理自身的员工子用户, 我们所需要做的是创建一个(或多个)与他们的主账号绑定的角色, 并把角色与合适的访问控制策略绑定.

role-with-accounts

如上图,我们的主账号为A1,两家服务商的主账号分别为P1和P2。在我们的访问控制管理界面上,我们可以创建角色A1P11和A1P21,分别绑定了子账号P1和P2。服务商P1可以在自己的访问控制管理界面上,授予其子用户P1U1、P1U2、P1U3等扮演角色A1P11的权限;服务商P2可以在自己的访问控制管理界面上,授予其子用户P2U1、P2U2、P2U3等扮演角色A1P21的权限。

角色A1P11、A1P21能访问哪些资源,由A1通过关联访问控制策略来设置;哪些人能扮演角色,由合作方P1、P2分别控制。

这种基于角色扮演的代理授权方式, 是一种安全而又便捷的信任管理方式. 阿里云为角色切换及操作过程提供了操作记录供安全审计, 进一步提升了可追溯性和安全性.

角色扮演(或角色切换)的过程, 隐含了创建临时身份(临时子用户)的过程. 跨账号的角色是账号对账号的关系, 并不会限制实际的扮演者是合作账号内的哪一个子用户.

当合作账号内的某个子用户开始扮演角色时, 系统会在我们的账号内创建一个临时的子用户. 当合作账号内的另一个子用户开始扮演角色时, 系统会创建另外一个临时的子用户. 当合作账号的子用户完成了工作, 退出所扮演的角色时, 临时子用户的生命周期就结束了 (不再可用, 但仍然存在于操作记录中).

临时身份和令牌

通过管理控制台进行角色扮演和角色切换过程中创建的临时身份是不可见的。在基于API的访问中, 临时身份以令牌的形式存在, 对API的开发者用户而言是必须理解的概念.

通过STS (Security Token Service)创建的临时身份也叫做令牌,是有过期时间的安全访问凭证。它的临时身份信息由Access Key和Security Token组成。其中Access Key包括Key ID和Key Secret,用于API请求的签名。

在常见的API的访问控制中,一般只使用Security Token即可实现安全身份管理,比如互联网开放平台上最常用的访问控制规范oauth2(不使用MAC signature时);而在云平台中,对API请求签名,能进一步提高安全性。

在阿里云OpenAPI中, 令牌的创建需要调用API assumeRole.

client = AcsClient(access_key_id, access_key_secret, region_id)
sts_request = AssumeRoleRequest.AssumeRoleRequest()
sts_request.set_RoleArn(role_arn)
sts_request.set_RoleSessionName(sts_session_name)

sts_response_str = client.do_action_with_exception(sts_request)
sts_response_json = json.loads(sts_response_str)
sts_cred_dict = sts_response_json['Credentials']
sts_cred = credentials.StsTokenCredential(
    sts_access_key_id=sts_cred_dict['AccessKeyId'],
    sts_access_key_secret=sts_cred_dict['AccessKeySecret'],
    sts_token=sts_cred_dict['SecurityToken']
)

获得了令牌以后, 就可以用于调用阿里云的其他的OpenAPI了, 比如下面的例子, 调用ECS API列出ECS 实例列表.

stsClient = AcsClient(region_id=region_id, credential=sts_cred)
request = DescribeInstancesRequest.DescribeInstancesRequest()
request.set_PageSize(50)
response = stsClient.do_action_with_exception(request)

完整的代码请参考 https://gitee.com/iam2cloud/acs_ram_demo.

云服务协同, ECS上的应用与角色扮演

前面我们提到了用户(子用户)扮演角色; 此外, 云平台所提供的服务之间协作时, 我们所订购的服务A要去自动访问服务B或C时, 我们就需要创建一个合适的角色, 该角色允许操作服务B的资源, 并授信服务A来扮演该角色. 服务A在后台会自动依据所授予的角色来调用STS服务, 生成临时身份和令牌, 用于调用服务B或C的API.

目前已经可以支持这种授权方式的服务有: 多媒体转码服务, 归档存储服务, 日志服务, API网关服务, 函数计算服务.

云平台提供的这些服务, 可以通过该服务的管理控制台或OpenAPI来配置所授予的服务角色, 服务获取临时身份和令牌的过程是不可见的.

与云平台提供的服务相比, ECS实例中的应用服务是一种特殊的服务, 由客户自己负责部署. ECS实例中的应用服务要通过平台的API访问云资源时, 可以通过ECS实例的元数据服务来获取临时身份和安全令牌.

阿里云平台中的ECS实例通过以下地址访问其metadata:

curl http://100.100.100.200/latest/meta-data/

其中, 该实例所扮演的角色所生成的临时身份和安全令牌路径为:

ram/security-credentials/[role-name]

下面的代码是一个完整的例子:

 $curl http://100.100.100.200/latest/meta-data/ram/security-credentials/ecs-i-1
 {
  "AccessKeyId" : "STS.123",
  "AccessKeySecret" : "123456",
  "Expiration" : "2018-06-01T15:44:32Z",
  "SecurityToken" : "C1111111111111111111111111111111111111111111111111111111111111111==",
  "LastUpdated" : "2018-06-01T09:44:32Z",
  "Code" : "Success"
}

参考文档

  1. 角色身份的概念理解
  2. 合作伙伴间(跨主账号)基于角色扮演的授权管理场景
  3. STS SDK Python示例
  4. 函数计算中的服务角色授权示例 https://yq.aliyun.com/articles/152077
  5. 通过控制台授予ECS 实例服务角色 https://help.aliyun.com/document_detail/61175.html
  6. 移动应用APP使用临时身份和安全令牌的解决方案
    需要注意的是, 这个解决方案在实现移动APP从后台服务端获取临时身份和安全令牌时, 还需要保证后台服务需要保证对移动APP进行身份识别并保证传送过程的加密安全.
相关实践学习
消息队列+Serverless+Tablestore:实现高弹性的电商订单系统
基于消息队列以及函数计算,快速部署一个高弹性的商品订单系统,能够应对抢购场景下的高并发情况。
云安全基础课 - 访问控制概述
课程大纲 课程目标和内容介绍视频时长 访问控制概述视频时长 身份标识和认证技术视频时长 授权机制视频时长 访问控制的常见攻击视频时长
目录
相关文章
|
7月前
|
监控 安全 网络安全
安全防御之授权和访问控制技术
授权和访问控制技术是安全防御中的重要组成部分,主要用于管理和限制对系统资源(如数据、应用程序等)的访问。授权控制用户可访问和操作的系统资源,而访问控制技术则负责在授权的基础上,确保只有经过授权的用户才能访问相应的资源。
448 0
|
1月前
|
存储 安全 OLAP
AnalyticDB安全与合规:数据保护与访问控制
【10月更文挑战第25天】在当今数据驱动的时代,数据的安全性和合规性成为了企业关注的重点。AnalyticDB(ADB)作为阿里云推出的一款高性能实时数据仓库服务,提供了丰富的安全特性来保护数据。作为一名长期使用AnalyticDB的数据工程师,我深知加强数据安全的重要性。本文将从我个人的角度出发,分享如何通过数据加密、访问控制和审计日志等手段加强AnalyticDB的安全性,确保数据的安全性和合规性。
49 2
|
4月前
|
安全 数据库 数据安全/隐私保护
|
4月前
|
安全 数据安全/隐私保护 开发者
|
4月前
|
安全 Linux 数据库
|
4月前
|
安全 数据安全/隐私保护
|
4月前
|
存储 监控 安全
Linux存储安全:访问控制的实践与策略
【8月更文挑战第18天】Linux存储安全:访问控制的实践与策略
71 0
|
6月前
|
弹性计算 安全 Shell
阿里云ECS安全加固:从访问控制到数据保护的全方位策略
【6月更文挑战第29天】阿里云ECS安全聚焦访问控制、系统加固及数据保护。安全组限定IP和端口访问,密钥对增强SSH登录安全;定期更新补丁,使用防病毒工具;数据备份与加密确保数据安全。多维度策略保障业务安全。
172 15
|
6月前
|
存储 安全 PHP
安全开发-PHP应用&文件管理模块&显示上传&黑白名单类型过滤&访问控制&文件管理模块&包含&上传&遍历&写入&删除&下载&安全
安全开发-PHP应用&文件管理模块&显示上传&黑白名单类型过滤&访问控制&文件管理模块&包含&上传&遍历&写入&删除&下载&安全
|
7月前
|
弹性计算 安全 API
访问控制(RAM)|云上安全使用AccessKey的最佳实践
集中管控AK/SK的生命周期,可以极大降低AK/SK管理和使用成本,同时通过加密和轮转的方式,保证AK/SK的安全使用,本次分享为您介绍产品原理,以及具体的使用步骤。
102502 5