云产品权限细粒度设置

本文涉及的产品
应用型负载均衡 ALB,每月750个小时 15LCU
传统型负载均衡 CLB,每月750个小时 15LCU
网络型负载均衡 NLB,每月750个小时 15LCU
简介: 1. 前言 aliyun ram 权限系统功能强大,大部分云产品实现了极其细粒度的权限控制,但是在默认的管理管理中,往往只有读写2种权限,对产品具体设置分细粒度和访问控制权限可以实现根据应用分配不同产品的权限。 应用设置与云资源以及人员的关系,对于已经上云的资源,按照应用所使用的云资源以及人员在应用的角色(owner,PE,Developer,reporter),配置相应权限;没有上云的产

1. 前言

aliyun ram 权限系统功能强大,大部分云产品实现了极其细粒度的权限控制,但是在默认的管理管理中,往往只有读写2种权限,对产品具体设置分细粒度和访问控制权限可以实现根据应用分配不同产品的权限。

应用设置与云资源以及人员的关系,对于已经上云的资源,按照应用所使用的云资源以及人员在应用的角色(owner,PE,Developer,reporter),配置相应权限;没有上云的产品,比如 vipserer,sunfire 等,先改造实现 aliyun ram 权限控制,然后配置权限。

2. ECS,SLB等云资源权限控制:

ecs,slb,vpc 等资源,可以按照通用的 ram 配置方式配置相应读写权限,具体参考:

云服务器(ECS): https://help.aliyun.com/document_detail/25497.html?spm=a2c4g.11186623.6.1094.6c741785TSA1Lw

负载均衡(SLB):https://help.aliyun.com/document_detail/27575.html?spm=a2c4g.11174283.6.661.415d1192HMMXV7

云数据库(RDS): https://help.aliyun.com/document_detail/26307.html?spm=a2c4g.11186623.6.1384.1a9d671ck4Iqmz

日志服务(SLS): https://help.aliyun.com/document_detail/89676.html?spm=a2c4g.11174283.6.984.71be1caaVdFKHW

云监控:  https://help.aliyun.com/document_detail/43170.html?spm=a2c4g.11174283.6.643.2b138f4fsieHDx

注:云监控目前不支持细粒度资源描述,资源授权用“*”通配。

 

范例:

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "ecs: AddTags",
                "ecs:DescribeInstances"
            ],
            "Resource": [
                "acs:ecs:$regionid:15619224785*****:instance/i-bp1bzvz55uz27hf*****"
            ],
            "Effect": "Allow"
        }
    ]
}

 

3. vipserver,switch,sentinel 等自部署云产品定义实现RAM 权限:

RAM 权限策略与语法:https://help.aliyun.com/document_detail/93739.html?spm=a2c4g.11186623.6.605.fdec2b578ZSwCx

参考新部署基础设施云产品接入过程:

3. Diamond(ACM)

前提条件:

   按照 EDAS 的 namespace 区分环境,按照 ACM 的 Group 区分不同的应用关联,应用和 ACM 的 Group 建立对应关系。  

   建立 ram 子用户,设置自定义策略授予子用户。

设置方式:

{
"Version": "1",
"Statement": [
 {
   "Action": [
     "acms:R"
   ],
   "Resource": [
           "*:*:*:*:cfg/1ca01ca0-11b0-1e01-0df1-d1010101bc10/GROUP",
           "*:*:*:*:cfg/1ca01ca0-11b0-1e01-0df1-d1010101bc10/GROUP_1"
       ],
   "Effect": "Allow"
 }
]
}

    完整控制权限:"acms:*"

   某个 namespace 下所有group,则不需要设置 /Group 段即可,不支持 group_name* 这样的通配符;

   多个 group 就列出多行;

   所有 namespaces 的某个一 group,可以使用:

 "Resource": [
           "*:*:*:*:cfg/*/DEFAULT_GROUP"
       ],

访问控制:

通过访问 acm 资源的账号拥有的账号的( ak/sk)权限调节。

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "NotIpAddress": {
                    "acs:SourceIp": [
                        "172.16.0.0/30"
                        "127.0.0.1"
                    ]
                }
            }
        }
    ]
}

综上所述,可以通过应用人员,应用与 ACM 关系关联,按照上述策略建立自定义策略,可以控制应用人员的读写ACM 配置。

4. MetaQ

前置条件:

   建立 ram 子用户,设置自定义策略授予子用户。

设置方式:

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "mq:SUB",
                "mq:OnsInstanceBaseInfo"
            ],
            "Resource": [
                "acs:mq:*:*:{instanceId}"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "mq:PUB",
                "mq:SUB"
            ],
            "Resource": [
                "acs:mq:*:*:appName*",
                "acs:mq:*:*:xapp*"
            ]
        },
        {    // 授予 Group 的权限
            "Effect":"Allow",
            "Action":[
                "mq:SUB"
            ],
            "Resource":[
                "acs:mq:*:*:{instanceId}%{groupId}"
            ]
        }
    ]
}

对应规则参考:https://help.aliyun.com/document_detail/112711.html?spm=a2c4g.11186623.6.610.f9601f39t23me9

根据应用对应的 topic 和 group,设置应用权限,区分读写权限。

Top,Group 支持通配符。

访问控制方法与 ACM 类似。

 

 

相关实践学习
2分钟自动化部署人生模拟器
本场景将带你借助云效流水线Flow实现人生模拟器小游戏的自动化部署
7天玩转云服务器
云服务器ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,可降低 IT 成本,提升运维效率。本课程手把手带你了解ECS、掌握基本操作、动手实操快照管理、镜像管理等。了解产品详情: https://www.aliyun.com/product/ecs
目录
相关文章
|
分布式计算 DataWorks MaxCompute
在DataWorks中进行数据访问控制权限申请
在DataWorks中进行数据访问控制权限申请
151 1
|
数据安全/隐私保护 开发者
Dataphin权限体系(4):表级权限与字段级权限介绍【Dataphin V3.7】
在使用开发过程的权限体系时,不同的场景需要有不同的权限配置粒度,才能较好满足不同的业务需求,如Dataphin就有项目级权限、表级权限和字段级权限。在实际的业务开展中,一般需要综合运用不同等级的权限才能达到比较好的权限管理效果。
Dataphin权限体系(4):表级权限与字段级权限介绍【Dataphin V3.7】
|
安全 JavaScript Java
复杂场景下的权限系统该怎么玩?ABAC权限模型帮你搞定它
复杂场景下的权限系统该怎么玩?ABAC权限模型帮你搞定它
|
数据安全/隐私保护
13-企业权限管理-用户关联角色操作
13-企业权限管理-用户关联角色操作
13-企业权限管理-用户关联角色操作
|
数据安全/隐私保护
15-企业权限管理-方法级别权限控制
15-企业权限管理-方法级别权限控制
15-企业权限管理-方法级别权限控制
|
XML 安全 Java
7-企业权限管理-权限操作
7-企业权限管理-权限操作
7-企业权限管理-权限操作
|
Java 数据安全/隐私保护 开发者
授权规则|学习笔记
快速学习授权规则
授权规则|学习笔记
|
数据安全/隐私保护
14-企业权限管理-角色关联权限操作
14-企业权限管理-角色关联权限操作
|
数据安全/隐私保护
12-企业权限管理-资源权限
12-企业权限管理-资源权限
|
Kubernetes Cloud Native 安全
【应用安全】关于细粒度与粗粒度授权,您需要了解的内容
随着云原生安全和软件零信任方法的重要性日益增加,有关云资源访问级别的问题变得越来越重要。同样重要的是理解不同授权策略的价值。