随着企业上云的趋势越来越明显,阿里云提供的各类服务成为了许多企业的先进。为了确保云上资源的管理,阿里云提供了单点登录(SSO)和资源访问管理(RAM)两种权限控制机制。本文将详细介绍阿里云如何通过SSO和RAM实现精细化权限管理。
阿里云的单点登录(SSO)和资源访问管理(RAM)是两种重要的权限控制机制。SSO提供基于阿里云资源目录(RD)的多账号统一身份管理与访问控制,而RAM则允许用户管理和控制阿里云资源的访问权限。
云SSO的功能特性
云SSO提供一个原生的身份目录,可以将所有需要访问阿里云的用户在该目录中维护。既可以手动管理用户与用户组,也可以借助SCIM协议从企业身份管理系统同步用户和用户组到云SSO身份目录中。
云SSO支持基于SAML 2.0协议的企业级单点登录,要在云SSO和企业身份管理系统中进行一次性地简单配置,即可完成单点登录配置。
借助与RD的深度集成,在云SSO中可以统一配置用户或用户组对整个RD内的任意成员账号的访问权限。云SSO管理员可以根据RD的组织结构,选择不同成员账号为其分配可访问的身份(用户或用户组)以及具体的访问权限,且该权限可以随时修改和删除。
云SSO提供统一的用户门户,企业员工只要登录到用户门户,即可一站式获取其具有权限的所有RD账号列表,然后直接登录到阿里云控制台,并可在多个账号间轻松切换。
RAM的功能特性
访问控制RAM(Resource Access Management)是阿里云提供的细粒度权限控制服务,允许用户管理和控制阿里云资源的访问权限。RAM特别适用于程序化访问和管理云资源。
RAM提供了集中式访问控制,管理每个RAM用户及其登录密码或访问密钥,为RAM用户绑定多因素认证MFA(Multi Faor Authentication)设备。控制每个RAM用户访问资源的权限,确保RAM用户在的时间和网络环境下,通过信道访问特定的阿里云资源。
RAM支持阿里云与企业身份提供商IdP(Identity Provider)进行用户SSO或角色SSO,使用企业IdP中的账号登录阿里云。还可以为RAM用户绑定一个钉钉账号,然后就可以使用该钉钉账号登录阿里云。
阿里云的权限控制挑战
在配置RAM和云SSO权限时,企业通常会面临以下几个挑战:
权限策略复杂性
在配置RAM和云SSO权限时,定义和管理复杂的权限策略可能会导致误配置,从而引发漏洞。确保策略的精细化和准确性是一个挑战,需要规范化的权限配置。
合规性和法规要求
企业需要确保其访问控制策略符合标准和法规要求。不断变化的合规性要求可能需要企业不断调整和更新其策略。
跨部门协作
配置和管理SSO、RAM和TLS涉及多个部门的协作,包括IT、和业务部门。协调这些部门的工作,确保一致的策略和实施,是一个复杂的过程。
阿里云上的TLS设计
不管是云SSO还是RAM,在阿里云上主要都是通过策略来实现权限的控制。通过策略中的设置Condition下acs:SecureTransport的值为true来实现用户强制TLS的访问方式访问阿里云。
TLS访问方式的设计示例
以下是TLS访问方式的设计示例:
"Statement": [
"Aion": "ecs:",
"Effe": "Allow",
"Resource": "",
"Condition": {
"Bool": {
"acs:SecureTransport": "true"
],
"Version": "1"
客户综合实践
结合上文SSO与RAM权限控制和TLS加密,为客户在阿里云上设计全面的策略,为客户云上访问流量都是TLS,以确保云上资源的性。
在客户云上资源和权限管理上,联蔚盘云Cloud Teams统一使用Terraform编排。在RAM和云SSO的管理上,Cloud Teams严格规范:
云SSO用户实践
在云SSO场景下,不需要单独分出策略的Policy目录,因为云SSO的授权不能基于资源组,只能把资源组写进Policy中。访问配置的内置策略示例:
"Version": "1",
"Statement": [
"Effe": "Allow",
"Aion": [
":Describe",
访问配置使用自定义配置了TLS的策略,不使用系统策略。授权是基于云SSO用户组授权,不对单用户授权。
RAM User实践
RAM User只用于程序使用,提供AKSK,并且AKSK六个月通知轮换一次。RAM User的权限都是基于资源组授权,不是账号级别,只能访问属于本身项目的资源。RAM User的权限只使用自定义配置了TLS的策略,不需要系统策略。
RAM Application User实践
Cloud Teams按账号和项目区分Terraform层级关系。在每个账号目录下,会统一有一个属于RAM Policy的目录,该目录编排阿里云上需要用到 AKSK 访问的资源权限。项目目录会通过Terraform Data的方法,引入RAM Policy目录定义好的 RAM Policy,进行RAM User授权。这种设计可以使得复杂业务场景,多项目下,相同资源的Policy复用。
精细多元的权限设置能力
RAM提供了多种满足日常运维人员职责所需要的系统权限策略。如果系统权限策略不能满足使用需求,还可以通过图形化工具快速地创建自定义权限策略。
支持在资源级和操作级向RAM用户、RAM用户组和RAM角色授予访问权限。支持根据请求源IP地址、日期时间、资源标签等条件属性创建更精细的资源访问控制策略。支持授权范围为整个阿里云账号或资源组。
阿里云通过SSO和RAM实现了精细化权限管理,确保了云上资源的性和合规性。通过结合TLS技术,企业可以设计出更加的访问控制策略,保障云上资源的。尽管在配置和管理这些权限时会面临一些挑战,但通过规范化的权限配置和跨部门的协作,企业可以实现高效的权限管理。
在实际应用中,企业可以借助Terraform等工具进行权限的编排和管理,确保权限策略的一致性和可维护性。通过不断优化和调整权限策略,企业可以更好地适应业务的发展和变化,确保云上资源的和高效使用。