阿里云
发表主题 回复主题
  • 12576阅读
  • 17回复

[产品讨论]阿里云RAM产品实在是太烂,根本就不知道该如何用

级别: 小白
发帖
11
云币
14
写了那么多,看了好多天,实在看不懂到底在讲些什么,根本就没讲到重点,demo代码也写得太烂: %{@Q7  
8R,<S-+v  
6qWUo3  
关于RAM的STS,代码不断变化,版本号同样是2015-04-01的调用代码,结果aliyun-java-sdk-sts-2.1.0和aliyun-java-sdk-sts-2.1.6的代码根本就没有任何联系,下载下来的PDF说明也是一样。 k, HC"?K  
FEaT}/h;  
ilA45@  
以下是aliyun_java_sdk_sts_20150825的demo代码,一点说明都没有,这就是demo?使劲地去翻看你们的文档,一直就找不到roleSessionName到底是什么鬼,可能实在是在下太过蠢笨了吧,这么高深的代码一点都看不懂。另外,一篇求助文章,发表了好几天了,结果回复一直为0(除了我己)!收费倒是收的很勤,看来大概是店大要欺客了吧~ l3>S{  
}yz>(Pq  
import com.aliyuncs.DefaultAcsClient; yD7BZI xW  
import com.aliyuncs.exceptions.ClientException; nlwqSXw  
import com.aliyuncs.http.MethodType; =dmr ,WE  
import com.aliyuncs.http.ProtocolType; Zh=a rlk  
import com.aliyuncs.profile.DefaultProfile; +$h  
import com.aliyuncs.profile.IClientProfile; MUO<o  
import com.aliyuncs.sts.model.v20150401.AssumeRoleRequest; [9 W@<p  
import com.aliyuncs.sts.model.v20150401.AssumeRoleResponse; YmziHns`b  
2cR[~\_9.  
$ik*!om5  
public class StsServiceSample { CSO'``16  
  public static final String REGION_CN_HANGZHOU = "cn-hangzhou"; /Mqhx_)>A  
  public static final String STS_API_VERSION = "2015-04-01"; UB/> Ro  
  public static final String STS_VERSION = "1"; @5Xo2}o-Q  
WYw#mSp  
-V2\s  
  static AssumeRoleResponse assumeRole(String accessKeyId, String accessKeySecret, Nep4 J;  
                                       String roleArn, String roleSessionName, String policy, ProtocolType protocolType) throws ClientException { mdj%zJ8/  
    try { W>K^55'  
      IClientProfile profile = DefaultProfile.getProfile(REGION_CN_HANGZHOU, accessKeyId, accessKeySecret);  {>]\<  
      DefaultAcsClient client = new DefaultAcsClient(profile); #b/qR^2qW  
fB+L%+mr8  
Hiyg1  
      final AssumeRoleRequest request = new AssumeRoleRequest(); BVQy@:K/  
      request.setVersion(STS_API_VERSION); #z\ub5um  
      request.setMethod(MethodType.POST); o NtFYY  
      request.setProtocol(protocolType); _BczR:D*  
Nwvlv{k'  
@60D@Y  
      request.setRoleArn(roleArn); 4,9$udiGY  
      request.setRoleSessionName(roleSessionName); $Ome]+0  
      request.setPolicy(policy); y0zMK4b  
+r:g}iR  
d9N[f>  
      final AssumeRoleResponse response = client.getAcsResponse(request); :E:e ^$p  
7=!9kk0  
>4:d)  
      return response; 79\ wjR!T  
    } catch (ClientException e) { C|'DKT4M&  
      throw e; 8bIP"!=*W  
    } )!T~l(g  
  } O'y8q[2KE  
  public static void main(String[] args) { 8nz({Mb9Z  
    String accessKeyId = "o************F"; +$2{u_m,  
    String accessKeySecret = "y*******************U"; N]<(cG&p  
    String roleArn = "acs:ram::145883****900618:role/ossadminrole"; [>=!$>>;8  
    String roleSessionName = "alice"; nxLuzf4U5  
    String policy = "{\n" + }z3j7I  
            "    \"Version\": \"1\", \n" + V Z(/g"9  
            "    \"Statement\": [\n" + aeqz~z2~8s  
            "        {\n" + WK ~H]w  
            "            \"Action\": [\n" + %y1!'R:ZW  
            "                \"oss:GetBucket\", \n" + gQ1 obT"|  
            "                \"oss:GetObject\" \n" + dG\ wW@}J  
            "            ], \n" + H;H=8'  
            "            \"Resource\": [\n" + 6{Wo5O{!\  
            "                \"acs:oss:*:177530****529849:mybucket\", \n" + nm'l}/Ug  
            "                \"acs:oss:*:177530****529849:mybucket/*\" \n" + JF~i.+{ h  
            "            ], \n" + +7Ws`qhEe  
            "            \"Effect\": \"Allow\"\n" + rzjVUPdnh  
            "        }\n" + Oy6fl'FIt  
            "    ]\n" + +y7z>Fwl  
            "}"; 7|rH9Bc{U  
    ProtocolType protocolType = ProtocolType.HTTPS; 'B@`gA  
20:F$d  
;KeU f(tH  
    try { u9lZHh#V-  
      final AssumeRoleResponse response = assumeRole(accessKeyId, accessKeySecret, G\.~/<Mg+  
              roleArn, roleSessionName, policy, protocolType); sI ,!+  
X{9^$/XsJ  
rK3kg2H  
      System.out.println("Expiration: " + response.getCredentials().getExpiration()); #&3,T1i`  
      System.out.println("Access Key Id: " + response.getCredentials().getAccessKeyId()); M`MxdwR  
      System.out.println("Access Key Secret: " + response.getCredentials().getAccessKeySecret()); sNf& "C!;  
      System.out.println("Security Token: " + response.getCredentials().getSecurityToken()); >{#JIG.  
    } catch (ClientException e) { Z!p\=M,%  
      System.out.println("Failed to get a federation token."); K$E3RB_F  
      System.out.println("Error code: " + e.getErrCode()); TBlSZZ-55]  
      System.out.println("Error message: " + e.getErrMsg()); _Q V=3UWP  
    } te_2"Z  
g \mE  
[&x9<f6  
  } blO4)7m  
} /:dLqyQ_V  
% rBz A<  
级别: 小白
发帖
11
云币
14
只看该作者 沙发  发表于: 2015-08-27
Re阿里云RAM产品实在是太烂,根本就不知道该如何用
之所以会关注RAM这个产品,是因为公司这边需要使用OSS,而我作为一个悲观主义,我非常反对app client直接上传文件到OSS,因为这样的架构会导致阿里云密钥的泄露从而导致一系列和阿里云产品相关的安全问题,这是不容出现的。但坚持者认为如果通过app server上传的话,对系统性能影响太大。 ]a3$hAcj6"  
后来查了半天的资料,发现OSS提供了STS的解决方案,即app client可以通过app server到STS上注册一个有一定时间限制的临时用户进行文件上传,这在一定程度上可以解决安全问题,又能将上传压力从app server转移到oss上,从目前来看你是一个相对完美的解决方案。 F^!D[:;jK  
于是,我就开始在阿里云上找相关的文档和示例,结果找了半天,点开所有的和STS相关的链接全部为404。然后又找到了RAM,似乎发现了一些曙光,于是就有这个帖子的出现。 2y [Q  
-D^I;[j_  
另外,再吐槽下阿里云的技术客服,我跟他咨询了相关的问题,结果他就给我回了个看起来似乎写得很完整的RAM文档(然并卵),可是我很想对他说,亲,你给我的这个地址,我早就找到了,只是因为实在看不懂,才打电话咨询~
级别: 新人
发帖
2
云币
2
只看该作者 板凳  发表于: 2015-08-28
Re阿里云RAM产品实在是太烂,根本就不知道该如何用
ram关于Role(角色)的使用有手册: /~;om\7r  
“docs.aliyun.com/#/pub/ram/ram-user-guide/role&user-role” jB%aHUF;  
aO$I|!tl  
Ex$i8fO(  
sts代码中使用的接口可以参考API手册: E4N{;'  
“docs.aliyun.com/#/pub/ram/sts-api-reference/actions&assume_role” '/QS sZR  
c^EU &q{4  
|#`qP^E  
我们产品原型的代码都用上了,希望能帮上你的忙。。 #hF(`oX}4K  
78/,rp#'_  
zP|^) h5  
另外, 阿云的产品手册变化快, 我么每次都是看网页, pdf 过期太快了。 xh9Os <  
]}0QrD  
级别: 小白
发帖
11
云币
14
只看该作者 地板  发表于: 2015-08-28
回2楼助云科技的帖子
另外,能否提供RAM使用的Java签名算法,我发现我用Java代码生成的签名数据和你们的不一致,如果没有相关代码,就会一直卡在这块,没法往下开发。
级别: 小白
发帖
11
云币
14
只看该作者 4楼 发表于: 2015-08-28
Re阿里云RAM产品实在是太烂,根本就不知道该如何用
而且,你不觉得文档的描述也太过简单了么?我们客户不是你们的开发人员,没有上下文是没办法理解文档的意思的。比方说:docs.aliyun.com/#/pub/ram/sts-api-reference/actions&assume_role 这页里面的RoleSessionName这个参数的说明,指定临时身份的会话名称,我就想问,这个参数到底是什么作用,是客户端自己生成的还是在RAM上定义好的,为什么是必填,这些都不说清楚,怎么用?
级别: 小白
发帖
11
云币
14
只看该作者 5楼 发表于: 2015-08-28
Re阿里云RAM产品实在是太烂,根本就不知道该如何用
我只能说这些文档给我的感觉是:开发基本靠猜~
级别: 新人
发帖
2
云币
3
只看该作者 6楼 发表于: 2015-09-05
Re阿里云RAM产品实在是太烂,根本就不知道该如何用
同意, 开发基本靠猜! 各个链接, 解释混乱!
级别: 禁止发言
发帖
0
云币
-2
只看该作者 7楼 发表于: 2015-09-06
用户被禁言,该主题自动屏蔽!
级别: 小白
发帖
17
云币
14
只看该作者 8楼 发表于: 2015-09-17
Re阿里云RAM产品实在是太烂,根本就不知道该如何用
我也是没怎么搞懂,看了两天没搞出来,希望能有个详尽的文档!楼主StsServiceSample例子目前有没有跑通?还有一点我弄不明白的是,既然在 RAM 控制台可以指定用户或角色的授权,为什么这个例子里还要写 policy 这个属性? eZ.0,A*1B1  
---------------------------------------------------------------------------- Acq>M^E3  
我的问题解决了,使用 STS 的 sdk 需要对对应RAM用户加AliyunSTSAssumeRoleAccess策略。貌似没什么地方提过,要靠自己观察...
[ 此帖被jason.sun在2015-09-17 15:35重新编辑 ]
发帖
105
云币
261
只看该作者 9楼 发表于: 2015-09-19
推荐看看关于STS使用场景的技术文章:STS使用场景(1) —— 授权您的客户端直接访问云存储 {6y.%ysU  
http://bbs.aliyun.com/read/258090.html =jv$ 1  
文章面向小白用户,教你一步一步如何使用STS K\E]X\:  
iN/!k.ybW}  
[ 此帖被pittman在2015-09-19 16:59重新编辑 ]
级别: 新人
发帖
7
云币
10
只看该作者 10楼 发表于: 2015-11-10
Re阿里云RAM产品实在是太烂,根本就不知道该如何用
我也来了   我真的是靠猜  每个数据都不知道怎么填写  文档描述不全面  
本帖最近评分记录: 1 条评分 云币 +1
wzs2012 云币 +1 - 03-14
级别: 新人
发帖
6
云币
7
只看该作者 11楼 发表于: 2015-11-17
回 楼主扛着单车的帖子
这个产品确实专业性太强,一般用户再最开始难易上手,需要先了解一些信息安全的相关背景。 yB{o_1tc  
2(J tD  
我以前刚好看过一本书《Federated Identity Primer》, 这本书中阐述了“联邦用户”的概念以及最佳实践,各位如果有兴趣可以私信我,我把这本书分享给大家。 F1*rUsRKN  
{u6fa>R&$  
首先我们要区分开“可信设备”和“不可信设备”,秘钥坚决不能放在不可信设备上。用户的手机,用户的浏览器都是不可信设备,因为黑客或者用户自己可以很容易的把秘钥偷走。但是当我们希望不可信设备要访问云资源的时候,就需要给不可信设备授权,将不可信设备的权限关在笼子里,以此避免秘钥泄漏后带来的风险。 RW^v{'o  
^&/&I9z  
这个时候可以通过有效期很短的Token来解决这个问题。 b!~%a  
假如我们有两个用户,分别是张三, 李四,当张三需要访问oss时,我们可以这样签发token: Ngc+<  
m_I$"ge  
aliyuncli sts AssumeRole --RoleArn acs:ram::1440818810960859:role/ossrole  --RoleSessionName ZhangSan --DurationSeconds 900 --Policy '{"Version":"1","Statement":[{"Effect":"Allow","Action":"oss:GetObject","Resource":"acs:oss:*:*:mybucket/userdata/zhangsan/*"}]}' _`[6jhNa!  
nGgc~E$j  
角色本身以一类权限的集合,假设我们这里的这个角色拥有mybucket/userdata/下的所有权限,注意这个Policy参数,这个参数限定了当前的Token都有那些权限。 !Jn w_)  
ER0#$yFpM  
这时,我们可以取得一个临时AccessKey 和临时Token,把这个信息告诉张三,就算张三泄密,受到影响的也只是张三本人,因为这个token中限定了他只能访问自己的数据目录。这时我们就看到SessionName是做什么的了。为每个用户使用单独的SessionName,以此可以区别出当前使用Token的人是谁。估计阿里云应该以后会有审计产品,到时我们就可以看到这些不同的用户都干了什么。 i8@e}O I  
gO!h<1!  
tsVhPo]e0  
为什么需要使用子用户来调用AssumeRole接口呢? <@!kR$Rd  
在一般的架构设计中,登录服务器和资源服务器是分开的,当张三登录时,去STS获取Token返回给张三,而登录服务器不需要访问其他的OSS资源,所以我们需要创建一个子用户为登录服务器使用,给这个子用户限定只能使用sts:AssumeRole接口就好。接着为这个子用户创建一个AccessKey,把这个AccessKey配置到我们的登录服务器,让登录服务器专门负责Token的申请。就算有一天我们的登录服务器被黑客攻破了,黑客拿到这个子用户的AccessKey也没什么卵用,因为我们遵循了最小权限的原则,黑客不知道RoleArn什么都干不了。 更进一步,我们可以让限定这个子用户使用sts:AssumeRole时从固定的IP段发请求,那么黑客就成废柴了,因为这个AccessKey只有在你的服务器上才能正常工作。 /G+gk0FW  
4EbiCSo  
JP*mQzZL  
我是AWS的资深用户,对AWS的安全体系有一些了解,相比阿里云,这些安全体系和AWS差不多,所以我理解起来不是那么费劲 )nxIxr0d-  
2e@\6l,!^  
(w B[ ]O$@  
#%tL8/K*  
[ 此帖被今天联不爽在2015-11-17 22:04重新编辑 ]
级别: 新人
发帖
6
云币
7
只看该作者 12楼 发表于: 2015-11-17
回 8楼jason.sun的帖子
子用户在被创建后没有任何的权限,他的权限都是他爹赋予的,所谓爹赋ren quan。。。。
级别: 程序猿
发帖
302
云币
359
只看该作者 13楼 发表于: 2015-11-17
回 12楼(今天联不爽) 的帖子
  
级别: 新人
发帖
1
云币
1
只看该作者 14楼 发表于: 2016-01-27
Re阿里云RAM产品实在是太烂,根本就不知道该如何用
研究了两天,不得不去看java的sdk源码研究……文档简陋到家了,version感觉是个废值,policy本来可以封装的,不给封装,给的过期时间一点都不人性化,为了保证sts与ram的独立性,导致在业务间的授权很麻烦,做法太粗糙,还有就是看源码里居然还有用subString这种方法去处理字符串?好吧……我不去在意这些细节……
发表主题 回复主题
« 返回列表
«12»
共2页
上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: 35 - 5 = ?
上一个 下一个