构建多账号云环境的解决方案|多账号身份权限集中管理

本文涉及的产品
访问控制,不限时长
简介: 企业客户在阿里云采用多账号的资源结构,如果需要在每个账号内配置身份和权限,管理成本和安全风险都会大大增加。阿里云开放平台云SSO产品专家 夜来为您介绍如何使用云SSO进行多账号身份权限统一管理,包括与企业自有身份系统集成、统一的身份管理和多账号的权限配置。

演讲人:夜来,阿里云开放平台云SSO产品专家

 

本篇内容将为大家介绍多账号身份权限集中管理解决方案。我们首先从一个企业的真实案例来带入说明企业在多账号管理和治理过程中,对多账号身份权限管理的具体需求和应对方案。

image.png                              

上图是一个有10家子公司的集团企业,目前这些子公司的运维和安全都是由各个子公司相应的团队自己负责的。由于每个子公司的员工身份分散在不同的账号内,集团安全合规团队没有办法对这些账号身份权限进行统一管理和治理,导致暴露出越来越多的安全风险问题。因此公司决定要找一个适用于自己集团问题的解决方案,对所有公司身份账号进行统一管控。

 

在这样的背景下,这个集团公司想要解决这个问题,会遇到哪些具体的问题呢?

 

首先,众所周知,如果在阿里云的一个云账号内,想要为员工和程序去配置相应的访问权限,可以使用像阿里云RAM访问控制产品,在账号内位为员工和程序创建对应的子用户身份,并为这些子用户身份来分配账号内资源的访问权限。

 image.png

如果使用RAM访问控制这样的产品来对多账号结构进行身份和权限管理,是需要对每一个账号进行相应的配置的,这就会造成管理成本的大幅增加。

 

比如会造成身份权限的反复创建,举个例子,某个员工需要访问3个账号,那么就需要在3个账号内为他分别创建一个对应的RAM子用户,同时为这3个子用户分配对应的账号内资源权限。如果要将企业的身份权限系统与RAM访问控制进行单点登录配置,也需要将企业的IP和每一个运营账号去做单点登录配置。

 

相应的这就会产生大量的安全风险,包括企业的安全合规团队没办法集中查看所有用户的身份和权限,导致很多时候一些身份和权限都是过度授权,或是很多身份是不合理的存在,以至于一些不合理的授权漏洞也没法及时发现。

 

另外,一个子用户需要访问多个账号的话,就需要保管多个账号的登录密码,这就会导致这个用户泄露密码的可能性增加,以至于增加安全风险。在员工离职的时候,也需要到他的每个账号内去查找是否有对应的子用户身份,如果有需要做删除处理。如果没有办法进行统一管理,这就很可能遗漏掉一些以前创建的子用户身份,导致员工离职后仍然能够访问企业的相应资源。

 

为了解决这一系列的问题,阿里云提供了这款云SSO产品来帮助企业进行多账号身份权限的集中管理。通过下图可以了解云SSO产品的基本实现方式。

 image.png 

首先,企业在进行多账号权限管理的时候,云SSO会依托资源目录这样一个资源架构。也就是说,云SSO会有一个资源的管理账号以及将各个成员账号分配给不同业务和职能团队。资源管理账号所承担的是管控作用。

 

在资源目录的管理账号内创建云SSO的身份目录,为企业当中需要访问阿里云资源的员工创建对应的云SSO用户身份。这个用户身份是区别于RAM访问控制产品的,是一个新的独立用户身份。如果企业要将自己的身份权限系统和云SSO进行单点登录的打通,只需要做一次配置即将企业IDP和云SSO的目录进行单点登录配置即可。

 

接下来需要为企业员工配置相应的成员账号内访问权限。

 

首先可以将一些典型的职能来抽象成为一个权限模版,即访问配置。比如像网络管理员、数据库管理员、服务器管理员、财务管理员等等这样的角色,他们相应的职责和需要的权限都是可以高度抽象出来的。那么我们就可以通过为这些角色创建对应的访问配置来将角色权限固化下来。

 

然后就只需要为企业员工去分配对应账号内的角色权限即可。比如为一个员工配置在成员账号1中的数据库管理员这样的角色身份,那么就是为这个用户配置成员账号1内有数据库管理员这个访问配置权限,做三元组的关联关系。

 

进行这样的配置关系之后,云SSO产品会自动为这个员工的用户身份在对应的成员账号内创建一个RAM访问角色,最终这个员工在登录云SSO产品之后,会对应的登录到成员账号的角色身份上面,来实现对相应云资源的访问权限。

 

另外,由于有一些云产品并不是非常适合使用角色的方式登录,阿里云也为企业提供了用户同步的模式,为云SSO产品用户去对应创建一个同步的RAM用户身份,也是在对应的成员账号之内创建,最终实现云SSO用户可以登录到具体的成员账号的RAM用户身份上,并通过这个用户身份来访问相应的云资源。

 

以上就是云SSO产品实现的一个基本逻辑。

 image.png

当员工获得了相应成员账号权限配置之后,当他登陆云SSO产品门户之后,就可以看到自己在哪些账号内有相应的什么角色权限了,可以选择具体的账号角色登录;也可以了解到自己在哪些账号内有具体的RAM用户登录权限,也可以登录到具体的用户身份上。

 

SSO产品也支持CLI登录。具体的配置方式在文档中有非常详细的步骤解释,这里就不再赘言。

 

回到最开始的企业案例。

 image.png 

通过在云上多账号的规划方案来看下这个企业相对应的在身份权限上进行了怎样的配置。

 

首先,企业有一系列的员工身份。也就是上文介绍的可以抽象为典型访问配置的,比如企业管理员、企业财务、安全合规运维、网络管理员等等。

 

同时,为这个企业的10个子公司去创建相应的生产环境、测试环境等具体的开发环境成员账号。这些账号都会是独立的云账号,也就是说这家企业会有相应的可能超过10个以上的云账号。

 

将这些账号和身份的映射关系抽象出来,就会是如下图所示的关系。

 image.png 

首先,这家企业在自己的身份权限系统,也就是IDP内有一系列的员工身份。我们为这些员工在企业管理账号的云SSO目录下,创建相应的用户身份并配置单点登录关系。那么这些企业IDP内的员工身份就可以相应的登录到自己在阿里云上的映射云SSO用户身份上。

 

同时,我们为企业员工创建了一些典型的访问配置,即上文提到的系列角色职能。为云SSO的用户进行三元组授权关系,即这个用户在哪个具体成员账号内有什么样的访问配置权限。这个配置完成之后,云SSO产品会自动帮助这个用户在这个成员的账号内创建对应的角色,并授予他相应的日志管理员等权限。

 

这样一个授权关系实现之后,员工就可以通过角色登录的方式最终登录到成员账号内,去通过角色访问相应的例如审计类、日志类等产品。

 

另外,为了一些数据类产品,我们也提供了用户同步模式。

 

举个例子,如上图的Frank是做大数据研发的员工,我们可以为他做一个相应的用户同步的配置,同步在业务账号内创建RAM的访问用户身份,这样Frank就可以通过这个RAM用户身份访问到具体的大数据产品。

 

下面是云SSO产品的基本操作,包括为用户进行最基本的权限配置。

 

这里用一个有管理员身份的RAM子用户账号进行登录,云SSO控制台前面的开通步骤大家可以通过文档来具体了解。下面介绍下我如何为一个员工进行具体的多账号权限配置。

image.png

首先,需要为这个员工创建一个具体的云SSO身份。首先需要输入用户名和基本信息,然后为这个用户设置一个初始密码并发送给他做登录用。 

image.png

接下来,推荐企业对一些职责相近的员工进行组的管理,举个例子,可以将项目组成员放在一个组里,并对整组员工进行快速授权。

 image.png 

另外,也需要创建一些典型的访问配置来代表用户拥有的常见权限角色,推荐使用云治理中心产品来批量快速地创建一些常见的访问配置。如下图所示,可以用“readonly”创建一个全局只读的用户身份;“会话持续时间”是指访问到成员账号之后,角色登录的整体时间;“初始页面”意思是登录后的响应页面,如果不设置的话,默认就是控制台首页;确认以上信息之后,可以添加相应的权限。

 image.png 

以上是系统策略,同时我们也可以为这个访问配置添加一个自定义策略,它的整个写法和语法是和RAM控制产品定制的策略是一模一样的。

 

当创建完成之后,就可以看到创建好的访问配置页面,接下来就需要为用户去授权对应的账号内相应的权限。

 image.png

如上图所示,可以基于已有的职能账号,为目标员工用户授权。比如为Alice这个用户授权在勾选的3家子公司当中网络管理员的角色配置。当然也可以选择相应的用户组来为组成员进行批量授权。

 

开始配置之后,云SSO产品就会自动的帮你在成员账号内去创建对应的用户角色,并为这些角色授予对应的网络管理员权限。

 image.png

同时,如上文介绍,我们可以在数据类产品中创建同步用户,通过RAM用户的方式去登录这个成员账号。举个例子,仍然为Alice在账号中配置一个大数据产品的同步用户。这里所涉及的冲突和删除规则请通过文档具体了解。

 image.png

下面展示一下通过以上的配置之后,Alice登录后所看到的界面是什么样的。

 

如果在设置栏里将单点登录关系开启,就可以使用企业IDP进行相应的登录。登录时,页面会提示是否跳转到对应企业账号进行登录,点击跳转并通过企业账号进行登录。

 image.png

image.png

当企业员工在自己的IDP登录界面上完成登录后,认证完成后就会自动跳转到云SSO的登录门户。在这个门户界面下,可以看到此员工配置的每一个访问成员账号及账号内拥有的角色身份。

 image.png

选择其中的一个角色身份,即可登录到相应的成员账号内。由于我们配置过RAM用户同步,所以这个用户同时拥有一个可以访问RAM用户的身份。如果用这个用户身份登录,可以在界面的右上角看到,这个RAM用户身份适用于不同的访问场景。

image.png


>>>欢迎点击资源管理产品控制台体验更多功能

相关实践学习
消息队列+Serverless+Tablestore:实现高弹性的电商订单系统
基于消息队列以及函数计算,快速部署一个高弹性的商品订单系统,能够应对抢购场景下的高并发情况。
云安全基础课 - 访问控制概述
课程大纲 课程目标和内容介绍视频时长 访问控制概述视频时长 身份标识和认证技术视频时长 授权机制视频时长 访问控制的常见攻击视频时长
相关文章
|
存储 安全 数据安全/隐私保护
特权账号管理系统,全方位的账号安全平台
如今,企业特权账户范围广、数量大且极不稳定是现代企业面临黑客等攻击行为的最大安全隐患。而且,由于特权账户的权限极大,一旦其被攻击者破解,就能完全掌控组织的IT基础设施,从而引发防护控制失效、机密数据泄露、商业诈骗和扰乱企业正常运作的严重后果。
189 0
|
7月前
|
运维 监控 安全
构建多账号云环境的解决方案|多账号配置统一合规审计
配置审计(Cloud Config)是提供了面向资源配置的审计服务,可以持续监控资源的配置变更,并在变更时自动触发合规评估,确保持续性合规。为了解决企业运维和安全人员业检查资源合规配置的效率难题,配置审计为客户提供了多账号的统一审计能力。用户可以在管理账号或者委派账号中统一设置合规基线并应用,从而可以实时查看企业下经过汇总的不合规资源。
64030 36
|
7月前
|
运维 监控 安全
构建多账号云环境的解决方案|多账号消息联系人集中管理
云上产品生命周期、监控告警、财务等消息,需要发送给企业内对口的联系人做处理。客户到阿里云消息中心控制台,创建财务、运维等消息联系人,并配置接收规则。当企业在云上采用多账号的资源架构时,如果仍要到各账号内做联系人管理,一方面重复工作效率低,另一方面新账号加入忘记配置或联系人变更未更新将导致遗漏云上消息,而对业务产生影响。此次分享为您介绍如何集中管理组织在云上多个账号的消息联系人,提升管理效率,降低忘记配置带来的潜在风险。
110518 4
|
7月前
|
运维 安全 测试技术
构建多账号云环境的解决方案|高效构建安全合规的新账号
随着企业将业务迁移上云,为了应对复杂的业务与组织关系,越来越多的企业会采用多账号来部署云环境。对于新业务上线,企业会先创建一个云账号来部署资源。通过控制台上的账号注册流程需要完成企业实名认证,这个流程周期较长。等新账号注册下来之后,企业还需要配置账号内的安全合规基线,开通相关云服务,配置网络等一系列动作,费时费力。「账号工厂」就是这样一个解决方案,帮助企业在多账号场景下高效便捷的创建受管控的安全合规云账号。
170 1
|
7月前
|
监控 安全 数据库
浅析企业特权账号管理
企业的服务器、数据库和业务系统众多,特权账号无处不在,管理人员无法对这些有形资产、无形资产进行有效的、统一的管理。况且具有极大权限的特权账号在所有网络硬件和软件中都随处可见。
73 0
浅析企业特权账号管理
|
弹性计算 运维 监控
使用资源目录搭建和管理多账号的云环境
2023年8月8日,《构建多账号云环境白皮书》正式发布,由阿里云开放平台资源目录产品经理知意和阿里云开放平台解决方案资深架构师遥方主讲,内容涵盖:白皮书发布及解读;使用资源目录搭建和管理多账号的云环境。
36861 2
使用资源目录搭建和管理多账号的云环境
|
新零售 运维 安全
构建多账号云环境的解决方案|云防火墙企业多账号统一管理最佳实践
云防火墙通过与资源目录RD深度集成,可帮助企业将云上多个业务账号进行统一集中安全管控,大大提升运维效率。通过多账号统一管理能力,用户无需采购和运维多套云防火墙,仅需采购和运维一套,即可实现安全策略统一下发和防护效果统一分析审计等,更好满足企业网络安全集中化管控需求,并大大降低成本。
50396 6
|
7月前
|
SQL 弹性计算 监控
构建多账号云环境的解决方案|多账号云上操作日志统一审计
操作审计(ActionTrail)是阿里云提供的云账号资源操作记录的查询和投递服务,可用于安全分析、资源变更追踪以及合规性审计等场景。企业在阿里云采用多账号的资源结构时,如何满对跨账号跨地域的云上操作日志进行统一归集留存和分析,是企业上云管云过程的必备环节。此次分享为您介绍如何使用操作审计产品进行中心化的审计,提升云上多账号操作的可控可见性,及时发现问题、响应问题,规避潜在风险。
357 0
|
安全 数据安全/隐私保护 数据中心
针对现状为什么需要对特权账号进行管理
通常数据中心资产都存在大量的弱密码账号,在护网、攻防演练、甚至黑客入侵中,入侵方首要的突破口就是通过撞库、爆破等手段探测弱密码账号,根据获取的弱密码账号进行提权、横向渗透。这类账号的危害极高。
79 0
|
存储 运维 安全
特权账号安全管理的难点
账号的全生命周期管理,风险检测中心,账号领用中心。这三大管理模块,可以从账号本身的管理,系统的风险检测预警和业务支持等各个方面保证信息系统中的特权账号的受控和安全。
74 0
下一篇
DataWorks