阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 1651阅读
  • 0回复

[云安全技术和产品专区 ]访问控制不同企业之间的资源操作与授权管理

级别: 论坛粉丝
发帖
1227
云币
2325
本文介绍了具体场景下,使用 RAM 角色进行跨账号授权的解决方案和操作步骤。 f\fdg].!  
blGf!4H  
场景描述 J1bA2+5.*e  
云账号 A 和云账号 B 分别代表不同的企业。A 购买了多种云资源(如 ECS 实例/ RDS 实例/ SLB 实例/ OSS 存储空间/…)来开展业务。
  • 企业 A 希望能专注于业务系统,而将云资源运维监控管理等任务委托(或授权)给企业 B。
  • 企业 B 还可以进一步将 A 的资源访问权限分配给 B 的某一个或多个员工。B 可以精细控制其员工对 A 所控制的资源的操作权限。
  • 如果 A 和 B 的这种代运维合同终止,A 随时可以撤销对 B 的授权。
^(ScgoXva  
需求分析 P.djd$#  
分析以上场景,
  • 涉及 A 和 B 两个云账号之间的授权;账号 A 是资源 Owner,希望授权账号 B 来操作。
  • 账号 B 需要进一步给其子用户(代表员工或应用)授权;当 B 的员工加入或离职时,A 无需做任何权限变更。
  • 如果双方业务终止,A 随时可以撤销对 B 的授权。
+iy7e6P  
解决方案 b.s9p7:J  
针对以上需求,[backcolor=transparent]使用 RAM 角色做跨账号授权及资源访问。
  • 云账号 A 在 RAM 中创建一个角色,给角色授予合适的权限,并允许云账号 B 使用该角色。操作流程见 跨账号授权
  • 如果云账号 B 下的某个员工(RAM 用户)需要使用该角色,那么云账号 B 可以主进行授权控制。代运维操作时,账号 B 下的 RAM 用户将使用被授予的角色身份来操作账号 A 的资源。操作流程见 跨账号资源访问
  • 如果账号 A 与账号 B 的合作终止,A 只需要撤销账号 B 对该角色的使用。一旦账号 B 对角色的使用权限被撤销,那么 B 下的所有 RAM 用户对该角色的使用权限将被自动撤销。操作方法见 撤销跨账号授权
hrbo:8SL  
跨账号授权 UfO7+_2  
使用 RAM 角色进行跨账号授权的操作示意图如下。其中,假设企业 A(AccountID=11223344,别名 company-a)需要授权企业 B(AccountID=12345678,别名 company-b)的员工对其 ECS 进行操作。
 B$^7h!  
操作步骤如下:
    云账号 A 创建用户角色(假设角色名为 ecs-admin),并选择 [backcolor=transparent]其他云账号(云账号 B:12345678) 作为受信云账号,即允许云账号 B 下的 RAM 用户来扮演该角色。具体操作请参考 角色 i(*I@ku  
    角色创建成功后,在角色详情中可以查看到该角色的基本信息
    • V  }>n  
      角色的全局名称 Arn 如下:[backcolor=transparent]acs[backcolor=transparent]:[backcolor=transparent]ram[backcolor=transparent]::[backcolor=transparent]11223344[backcolor=transparent]:[backcolor=transparent]role[backcolor=transparent]/[backcolor=transparent]ecs[backcolor=transparent]-[backcolor=transparent]admin
  • Rs*v m  
    角色的信任策略(只允许企业 B 来扮演角色)如下:
      [backcolor=transparent]{
    1. [backcolor=transparent]"Statement"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent][
    2. [backcolor=transparent]{
    3. [backcolor=transparent] [backcolor=transparent]"Action"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"sts:AssumeRole"[backcolor=transparent],
    4. [backcolor=transparent] [backcolor=transparent]"Effect"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"Allow"[backcolor=transparent],
    5. [backcolor=transparent] [backcolor=transparent]"Principal"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]{
    6. [backcolor=transparent]   [backcolor=transparent]"RAM"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent][
    7. [backcolor=transparent]     [backcolor=transparent]"acs:ram::12345678:root"
    8. [backcolor=transparent]   [backcolor=transparent]]
    9. [backcolor=transparent] [backcolor=transparent]}
    10. [backcolor=transparent]}
    11. [backcolor=transparent]],
    12. [backcolor=transparent]"Version"[backcolor=transparent]:[backcolor=transparent] [backcolor=transparent]"1"
    13. [backcolor=transparent]}
    Q.+|xwz  
    云账号 A 给角色授权,向用户角色 ecs-admin 附加管理云服务器 ECS 的权限(AliyunECSFullAccess)。 Gih[i\%Q  
    云账号 B 为其员工 创建 RAM 用户(假设用户名为 zhangsan),并为该 RAM 用户 >E:<E'L  
    S_v(S^x6  
    跨账号资源访问 n,j$D62[  
    Z)pz,  
    I;7nb4]AmF  
    云账户 B 的 RAM 用户 zhangsan 通过控制台访问 云账号 A 的 ECS 资源。操作步骤如下:
    1. p_{("zQ  
      云账号 B 的 RAM 用户(zhangsan)登录控制台 #`;/KNp 9  
      子用户登录时需正确输入 [backcolor=transparent]企业别名(company-b)、[backcolor=transparent]子用户名称(zhangsan) 和 [backcolor=transparent]子用户密码(123456)。
    2. iWE)<h  
      云账号 B 的 RAM 用户(zhangsan)切换身份 $Z?\>K0i  
      将鼠标悬置在控制台右上角登录名上,在用户登录信息浮窗中单击 [backcolor=transparent]切换身份,进入身份切换页面;输入正确的 [backcolor=transparent]企业别名(company-a)和 [backcolor=transparent]角色名(ecs-admin),进行角色 [backcolor=transparent]切换。
    3. WKmbNvN^  
      云账号 B 的 RAM 用户(zhangsan)操作云账号 A 下的 ECS 资源。
    "&~ 0T#  
    撤销跨账号授权 T[?6[,.  
    ;n6b%,s  
    云账号 A 撤销 云账号 B 对角色 ecs-admin 的使用,操作方法如下:
    1. s '?GH  
      云账号 A 登录 RAM 控制台,在 角色管理 页面找到 角色 ecs-admin,单击其角色名称或其操作列下的 [backcolor=transparent]管理,进入 [backcolor=transparent]角色详情 页面。
    2. zf[`~g  
      单击右上角 [backcolor=transparent]编辑基本信息,在角色的 [backcolor=transparent]策略内容 中,删除 acs:ram::12345678:root 行(即将云账号 B 从角色的受信云账号中撤销)。 k+^'?D--'P  
      [backcolor=transparent]注意:也可以选择让云账号 A 在 角色管理 页面 [backcolor=transparent]删除 角色 ecs-admin;但在删除角色前,角色不能有任何授权策略。
    Q;u SWt<{  
    [ 此帖被反向一觉在2017-10-31 14:53重新编辑 ]
  • 发表主题 回复主题
    « 返回列表上一主题下一主题

    限100 字节
    如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
     
    验证问题: 37 - 7 = ?
    上一个 下一个
        ×
        全新阿里云开发者社区, 去探索开发者的新世界吧!
        一站式的体验,更多的精彩!
        通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)