一、概述
阿里雲發布的產品種類繁多,今天讓我們一起來了解下訪問控制這款產品吧。
什麼是訪問控制呢?
訪問控制(resource access management)是乙個穩定可靠的集中式訪問控**務。您可以通過訪問控制將阿里雲資源的訪問及管理許可權分配給您的企業成員或合作夥伴。使用ram,您可以建立、管理使用者賬號(比如員工、系統或應用程式),並可以控制這些使用者賬號對您名下資源具有的操作許可權。當您的企業存在多使用者協同操作資源時,使用ram可以讓您避免與其他使用者共享雲賬號金鑰,按需為使用者分配最小許可權,從而降低您的企業資訊保安風險。
那麼,訪問控制有什麼優勢呢?
訪問控制使用靈活,細粒度訪問控制 多維度表達授權語義。而且訪問控制快速便捷,資源許可權統一管理 授權快速全球生效。訪問控制還穩定可靠,多節點冗餘部署。
訪問控制在功能上也做到了讓使用者滿意。ram包括下列功能:
可能您會問到,「我處在什麼樣的應用或服務場景時,可以選擇訪問控制呢?」這裡介紹下訪問控制的常見應用場景:
訪問控制典型特性介紹:
二、技術點(訪問控制五大熱點技術問題分析)
為主賬號開啟多因素認證:
給員工建立ram使用者賬號:
為您的應用系統建立ram使用者賬號:
給ram使用者授權:
最佳實踐原則:
希望上面的內容,能夠對大家有所幫助。
三、體驗(授權使用者客戶端直接訪問雲儲存)
sts是阿里雲為客戶提供的一種安全令牌管理服務,它是資源訪問管理(ram)產品家族中的一員。通過sts,獲得許可的雲服務或ram使用者可以自主頒發自定義時效和子許可權的乙個訪問令牌。獲得訪問令牌的應用程式可以使用令牌直接呼叫阿里雲服務api操作資源。
下面我們假設乙個場景:您購買的oss儲存桶名稱是thevideos,對第1個售出的安防監控裝置命名為device-001,每個裝置都有自己的oss儲存目錄,不同裝置之間的資料儲存和訪問是隔離的。針對這一具體場景,我們來逐步揭開使用sts授權的面紗。
初始化配置與部署
在使用sts之前,我們需要在ram中進行適當的配置,具體流程如下圖所示。
請使用您的雲賬號身份登陸阿里雲ram管理控制台,執行以下操作:
進入ram控制台,選擇使用者管理 -> 新建使用者,填寫登入名,並選擇「為該使用者自動生成accesskey」,選擇確定後ram會建立使用者並為該使用者建立accesskeyid和accesskeysecret。
進入ram控制台,選擇角色管理 -> 新建角色,在建立角色的彈窗中,選擇角色型別為使用者角色 -> 選擇允許扮演此角色的可信身份 -> 填寫角色名稱和備註 ->建立成功。
然後再給角色授權。在角色詳情頁中,選擇「新增授權策略」,這裡選擇「aliyunossfullaccess」系統授權策略,完成授權。
進入使用者授權策略頁面,選擇新增授權策略,選擇aliyunstsassumeroleaccess系統授權策略即可。
臨時授權令牌的頒發與使用
安全性分析
避免安全風險的最佳實踐原則之一是讓每個子系統在執行時都使用最小許可權。那麼,當乙個子系統被攻破時,它不會對全域性造成系統性破壞。
以上就是使用訪問控制的體驗過程,希望大家能有所收穫。
一分鐘了解阿里雲產品 HTTPDNS
一 概述 阿里雲發布了各種各樣的產品,今天讓我們一起來了解下httpdns這款產品吧。什麼是httpdns呢?httpdns是面向移動開發者推出的一款網域名稱解析產品,具有網域名稱防劫持 精準排程的特性。開通httpdns服務後,您就可以在管理控制台新增要解析的網域名稱,呼叫服務api進行網域名稱解...
一分鐘了解阿里雲產品 操作審計
一 概述 阿里雲發布的產品種類繁多,今天讓我們一起來了解下操作審計 actiontrail 吧。什麼是操作審計呢?操作審計會記錄您的雲賬戶資源操作,提供操作記錄查詢,並可以將記錄檔案儲存到您指定的oss儲存空間。利用 actiontrail儲存的所有操作記錄,您可以實現安全分析 資源變更追蹤以及合規...
一分鐘了解阿里雲產品 先知計畫
一 概述 阿里雲發布了各種各樣的產品,今天讓我們一起來了解下阿里雲先知計畫吧。什麼是先知計畫呢?先知計畫是乙個幫助企業建立私有應急響應中心的平台 幫助企業收集漏洞資訊 企業加入先知計畫後,可自主發布獎勵計畫,激勵先知平台的安全專家來測試和提交企業自身 或業務系統的漏洞,保證安全風險可以快速進行響應和...