随着企业上云的趋势越来越明显,阿里云提供的各类服务成为了许多企业的先进。为了确保云上资源的管理,阿里云提供了单点登录(SSO)和资源访问管理(RAM)两种权限控制机制。本文将详细探讨如何在
阿里云部署中实现高效的权限管理。
阿里云的权限控制机制

阿里云的权限控制主要通过云SSO和RAM来实现。云SSO提供基于阿里云资源目录RD(Resource Direory)的多账号统一身份管理与访问控制,而RAM则提供细粒度的权限控制服务,允许用户管理和控制阿里云资源的访问权限。
云SSO的功能特性
云SSO提供一个原生的身份目录,可以将所有需要访问阿里云的用户在该目录中维护。既可以手动管理用户与用户组,也可以借助SCIM协议从企业身份管理系统同步用户和用户组到云SSO身份目录中。 虽然可以选择让云SSO身份目录中的用户使用其用户名、密码和多因素认证(MFA)的方式访问阿里云,但更好的方式是与企业身份管理系统进行单点登录(SSO),以很大限度地优化用户体验,同时降低风险。云SSO支持基于SAML 2.0协议的企业级单点登录,要在云SSO和企业身份管理系统中进行一次性地简单配置,即可完成单点登录配置。 借助与RD的深度集成,在云SSO中可以统一配置用户或用户组对整个RD内的任意成员账号的访问权限。云SSO管理员可以根据RD的组织结构,选择不同成员账号为其分配可访问的身份(用户或用户组)以及具体的访问权限,且该权限可以随时修改和删除。 云SSO提供统一的用户门户,企业员工只要登录到用户门户,即可一站式获取其具有权限的所有RD账号列表,然后直接登录到阿里云控制台,并可在多个账号间轻松切换。
RAM的功能特性

RAM提供了多种满足日常运维人员职责所需要的系统权限策略。如果系统权限策略不能满足使用需求,还可以通过图形化工具快速地创建自定义权限策略。 支持在资源级和操作级向RAM用户、RAM用户组和RAM角色授予访问权限。支持根据请求源IP地址、日期时间、资源标签等条件属性创建更精细的资源访问控制策略。支持授权范围为整个阿里云账号或资源组。 通过SCIM协议将企业内部账号同步到RAM。更多信息,请参见通过SCIM协议将企业内部账号同步到阿里云RAM。
权限管理的挑战
在配置RAM和云SSO权限时,定义和管理复杂的权限策略可能会导致误配置,从而引发漏洞。确保策略的精细化和准确性是一个挑战,需要规范化的权限配置。 企业需要确保其访问控制策略符合标准和法规要求。不断变化的合规性要求可能需要企业不断调整和更新其策略。 配置和管理SSO、RAM和TLS涉及多个部门的协作,包括IT、和业务部门。协调这些部门的工作,确保一致的策略和实施,是一个复杂的过程。
高效权限管理的实践
统一管理使用阿里云的用户

云SSO提供一个原生的身份目录,可以将所有需要访问阿里云的用户在该目录中维护。既可以手动管理用户与用户组,也可以借助SCIM协议从企业身份管理系统同步用户和用户组到云SSO身份目录中。
与企业身份管理系统进行统一单点登录配置
虽然可以选择让云SSO身份目录中的用户使用其用户名、密码和多因素认证(MFA)的方式访问阿里云,但更好的方式是与企业身份管理系统进行单点登录(SSO),以很大限度地优化用户体验,同时降低风险。云SSO支持基于SAML 2.0协议的企业级单点登录,要在云SSO和企业身份管理系统中进行一次性地简单配置,即可完成单点登录配置。
统一配置所有用户对RD账号的访问权限
借助与RD的深度集成,在云SSO中可以统一配置用户或用户组对整个RD内的任意成员账号的访问权限。云SSO管理员可以根据RD的组织结构,选择不同成员账号为其分配可访问的身份(用户或用户组)以及具体的访问权限,且该权限可以随时修改和删除。
统一的用户门户

云SSO提供统一的用户门户,企业员工只要登录到用户门户,即可一站式获取其具有权限的所有RD账号列表,然后直接登录到阿里云控制台,并可在多个账号间轻松切换。
集中式访问控制

集中管理RAM用户:管理每个RAM用户及其登录密码或访问密钥,为RAM用户绑定多因素认证MFA(Multi Faor Authentication)设备。 集中控制RAM用户的访问权限:控制每个RAM用户访问资源的权限。 集中控制RAM用户的资源访问方式:确保RAM用户在的时间和网络环境下,通过信道访问特定的阿里云资源。
外部身份集成
单点登录SSO(Single Sign On):支持阿里云与企业身份提供商IdP(Identity Provider)进行用户SSO或角色SSO,使用企业IdP中的账号登录阿里云。 钉钉账号集成:为RAM用户绑定一个钉钉账号,然后就可以使用该钉钉账号登录阿里云。
精细多元的权限设置能力

RAM提供了多种满足日常运维人员职责所需要的系统权限策略。如果系统权限策略不能满足使用需求,还可以通过图形化工具快速地创建自定义权限策略。 支持在资源级和操作级向RAM用户、RAM用户组和RAM角色授予访问权限。支持根据请求源IP地址、日期时间、资源标签等条件属性创建更精细的资源访问控制策略。支持授权范围为整个阿里云账号或资源组。
结合TLS技术的设计
传输层(Transport Layer Security, TLS)是一种加密协议,旨在确保数据在网络传输过程中的。TLS对于保护敏感数据、防止中间人攻击等至关重要。 在阿里云上主要都是通过策略来实现权限的控制。通过策略中的设置Condition下acs:SecureTransport的值为true来实现用户强制TLS的访问方式访问阿里云。
TLS访问方式的设计示例
以下是TLS访问方式的设计示例: "Statement": [ "Aion": "ecs:", "Effe": "Allow", "Resource": "", "Condition": { "Bool": { "acs:SecureTransport": "true" ], "Version": "1"
客户综合实践

结合上文SSO与RAM权限控制和TLS加密,为客户在阿里云上设计全面的策略,为客户云上访问流量都是TLS,以确保云上资源的性。 在客户云上资源和权限管理上,联蔚盘云Cloud Teams统一使用Terraform编排。 在RAM和云SSO的管理上,Cloud Teams严格规范:
RAM Application User实践

Cloud Teams按账号和项目区分Terraform层级关系。在每个账号目录下,会统一有一个属于RAM Policy的目录,该目录编排阿里云上需要用到 AKSK 访问的资源权限。 项目目录会通过Terraform Data的方法,引入RAM Policy目录定义好的 RAM Policy,进行RAM User授权。这种设计可以使得复杂业务场景,多项目下,相同资源的Policy复用。
云SSO用户实践
在云SSO场景下,不需要单独分出策略的Policy目录,因为云SSO的授权不能基于资源组,只能把资源组写进Policy中。 访问配置的内置策略示例: "Version": "1", "Statement": [ "Effe": "Allow", "Aion": [ ":Describe" 通过云SSO和RAM的结合使用,企业可以在阿里云上实现高效的权限管理。云SSO提供了统一的身份管理和单点登录功能,而RAM则提供了细粒度的权限控制。结合TLS技术,可以进一步确保数据传输的性。在实际应用中,通过规范化的权限配置和跨部门的协作,企业可以地管理和控制云上资源的访问权限,确保业务的和合规。
