阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 1917阅读
  • 0回复

[云安全技术和产品专区 ]访问控制企业子账号管理与分权

级别: 论坛粉丝
发帖
1227
云币
2325
本文介绍了具体场景下,使用 RAM 创建企业子账号进行分权管理的解决方案和操作步骤。 Gi@c`lRd1  
场景描述 KC:6^h'.  
企业 A 的某个项目(Project-X)上云,购买了多种云资源(如 ECS 实例/ RDS 实例/ SLB 实例/ OSS 存储空间/…)。项目里有多个员工需要操作这些云资源,比如有的负责购买,有的负责运维,还有的负责线上应用。由于每个员工的工作职责不一样,需要的权限也不一样。
  • 出于安全或信任的考虑,A 不希望将云账号密钥直接透露给员工,而希望能给员工创建相应的用户账号。
  • 用户账号只能在授权的前提下操作资源,不需要对用户账号进行独立的计量计费,所有开销都算在 A 的头上。
  • 当然,A 随时可以撤销用户账号身上的权限,也可以随时删除其创建的用户账号。
6'uCwAQU  
需求分析 b-<@3N.9]  
分析以上场景,
  • 杜绝多员工共享主账号,防止主账号密码或 AK 泄露导致风险不可控。
  • 给不同员工分配独立的用户账号(或操作员账号)并独立分配权限,做到责权一致。
  • 所有用户账号的所有操作行为可审计。
  • 不需要分别核算每个操作人员的成本,所发生费用统一计入主账号账单。
Q;q{1M>  
解决方案 >PQ?|Uk  
使用 RAM 的用户账号与授权管理功能,如下图所示:
p0CPeH  
操作流程如下:
  1. 给主账号绑定 MFA 设备。给主账号设置多因素认证,避免因主账号密码泄露导致风险。
  2. 开通 RAM
  3. 创建用户账号。为不同员工(或应用系统)创建 RAM 用户账号,并按需设置登录密码或创建 AccessKey。
  4. 创建群组。如果有多个员工的职责相同,建议创建群组,并将用户添加到群组。
  5. 授权。给群组或用户添加一条或多条系统授权策略。如果需要更细粒度的授权,可以创建 自定义授权策略,然后给群组或用户授权。
8sI$  
[ 此帖被反向一觉在2017-10-31 14:50重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: 80 + 4 = ?
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)