在阿里云部署中实现高效的权限管理是确保云上资源和高效利用的关键。本文将详细介绍如何通过阿里云提供的云SSO(单点登录)和RAM(资源访问管理)实现高效的权限管理,并结合TLS(传输层)技术设计的访问控制策略。
云SSO提供基于阿里云资源目录RD(Resource Direory)的多账号统一身份管理与访问控制。使用云SSO,用户可以统一管理企业中使用阿里云的用户,一次性配置企业身份管理系统与阿里云的单点登录,并统一配置所有用户对RD账号的访问权限。
云SSO的功能特性
统一管理使用阿里云的用户

云SSO提供一个原生的身份目录,可以将所有需要访问阿里云的用户在该目录中维护。既可以手动管理用户与用户组,也可以借助SCIM协议从企业身份管理系统同步用户和用户组到云SSO身份目录中。
与企业身份管理系统进行统一单点登录配置
虽然可以选择让云SSO身份目录中的用户使用其用户名、密码和多因素认证(MFA)的方式访问阿里云,但更好的方式是与企业身份管理系统进行单点登录(SSO),以很大限度地优化用户体验,同时降低风险。云SSO支持基于SAML 2.0协议的企业级单点登录,要在云SSO和企业身份管理系统中进行一次性地简单配置,即可完成单点登录配置。
统一配置所有用户对RD账号的访问权限
借助与RD的深度集成,在云SSO中可以统一配置用户或用户组对整个RD内的任意成员账号的访问权限。云SSO管理员可以根据RD的组织结构,选择不同成员账号为其分配可访问的身份(用户或用户组)以及具体的访问权限,且该权限可以随时修改和删除。
统一的用户门户
云SSO提供统一的用户门户,企业员工只要登录到用户门户,即可一站式获取其具有权限的所有RD账号列表,然后直接登录到阿里云控制台,并可在多个账号间轻松切换。
什么是RAM
访问控制RAM(Resource Access Management)是阿里云提供的细粒度权限控制服务,允许用户管理和控制阿里云资源的访问权限。RAM特别适用于程序化访问和管理云资源。
RAM的功能特性
集中式访问控制
集中管理RAM用户:管理每个RAM用户及其登录密码或访问密钥,为RAM用户绑定多因素认证MFA(Multi Faor Authentication)设备。
集中控制RAM用户的访问权限:控制每个RAM用户访问资源的权限。
集中控制RAM用户的资源访问方式:确保RAM用户在的时间和网络环境下,通过信道访问特定的阿里云资源。
外部身份集成
单点登录SSO(Single Sign On):支持阿里云与企业身份提供商IdP(Identity Provider)进行用户SSO或角色SSO,使用企业IdP中的账号登录阿里云。
钉钉账号集成:为RAM用户绑定一个钉钉账号,然后就可以使用该钉钉账号登录阿里云。
SCIM用户同步:通过SCIM协议将企业内部账号同步到RAM。
精细多元的权限设置能力
RAM提供了多种满足日常运维人员职责所需要的系统权限策略。如果系统权限策略不能满足使用需求,还可以通过图形化工具快速地创建自定义权限策略。
支持在资源级和操作级向RAM用户、RAM用户组和RAM角色授予访问权限。
支持根据请求源IP地址、日期时间、资源标签等条件属性创建更精细的资源访问控制策略。
支持授权范围为整个阿里云账号或资源组。
阿里云上的TLS设计
传输层(Transport Layer Security, TLS)是一种加密协议,旨在确保数据在网络传输过程中的。TLS对于保护敏感数据、防止中间人攻击等至关重要。
TLS主要分为两层,底层的是TLS记录协议,主要负责使用对称密码对消息进行加密。上层的是TLS握手协议,主要分为握手协议,密码规格变更协议和应用数据协议4个部分。握手协议负责在客户端和服务器端商定密码算法和共享密钥,包括证书认证,是4个协议中复杂的部分。密码规格变更协议负责向通信对象传达变更密码方式的信号。
如何在阿里云部署中实现高效的权限管理
在阿里云部署中实现高效的权限管理,需要结合云SSO、RAM和TLS技术,设计全面的策略。
使用云SSO统一管理用户和权限
云SSO提供了一个统一的身份目录,可以将所有需要访问阿里云的用户在该目录中维护。通过与企业身份管理系统的集成,企业可以实现单点登录(SSO),优化用户体验,并降低风险。云SSO还可以统一配置所有用户对RD账号的访问权限,简化权限管理流程。
使用RAM实现细粒度的权限控制
RAM提供了细粒度的权限控制服务,允许用户管理和控制阿里云资源的访问权限。通过集中管理RAM用户及其访问权限,企业可以确保每个用户在的时间和网络环境下,通过信道访问特定的阿里云资源。RAM还支持外部身份集成和精细多元的权限设置能力,满足企业复杂的权限管理需求。
结合TLS技术设计的访问控制策略
为了确保云上资源的,企业可以结合TLS技术设计的访问控制策略。通过在策略中的设置Condition下acs:SecureTransport的值为true,强制用户以TLS的访问方式访问阿里云资源。以下是TLS访问方式的设计示例:
"Statement": [
"Aion": "ecs:",
"Effe": "Allow",
"Resource": "",
"Condition": {
"Bool": {
"acs:SecureTransport": "true"
],
"Version": "1"
客户综合实践
在客户云上资源和权限管理上,联蔚盘云Cloud Teams统一使用Terraform编排。在RAM和云SSO的管理上,Cloud Teams严格规范:
- 用户只能通过云SSO登录到阿里云Console,并且只能拥有所属项目组资源的只读权限,Console权限非特殊申请只有只读。
- RAM User只用于程序使用,提供AKSK,并且AKSK六个月通知轮换一次。RAM User的权限都是基于资源组授权,不是账号级别,只能访问属于本身项目的资源。RAM User的权限只使用自定义配置了TLS的策略,不需要系统策略。
云SSO用户实践
在云SSO场景下,不需要单独分出策略的Policy目录,因为云SSO的授权不能基于资源组,只能把资源组写进Policy中。以下是访问配置的内置策略示例:
"Version": "1",
"Statement": [
"Effe": "Allow",
"Aion": [
":Describe"
通过云SSO和RAM的结合使用,企业可以实现高效的权限管理,并确保云上资源的。云SSO提供了统一的身份管理和访问控制,简化了权限管理流程;RAM提供了细粒度的权限控制,满足企业复杂的权限管理需求;结合TLS技术设计的访问控制策略,确保数据在网络传输过程中的。通过这些措施,企业可以地管理和控制云资源的访问权限,提高业务的效率和竞争力。