201601上海云栖大会Workshop - 通过访问控制服务管理云上资源的权限

本文涉及的产品
日志服务 SLS,月写入数据量 50GB 1个月
访问控制,不限时长
简介:

目标

  • 了解访问控制服务要解决的问题以及所提供的功能
  • 能够创建并配置一个只读访问日志服务的子用户

准备工作

步骤

1. 开通访问控制服务

首先,您需要开通访问控制服务;进入阿里云官网首页(http://www.aliyun.com), 选择顶部导航栏的“产品”,进入“管理与监控”类目,您可以看到“访问控制(公测中)”,点击进入

screenshot

进入RAM详情页,点击"获取使用资格"进入开通页

screenshot

点击“立即开通”,即可启用访问控制服务;

screenshot

2. 配置企业别名

进入RAM控制台,选择左侧“设置”菜单,进入菜单后,选择“企业别名设置”选项卡,您可以在此页面设置通过编辑“企业别名”来设置您的企业别名;

screenshot

这里的企业别名是一个全局唯一的标识,所以这里您需要使用一个别人没有使用过的名称,示例中我们使用"aliyuncs"作为企业别名;

screenshot

我们一会会用到这个企业别名;

3. 创建子用户

进入RAM控制台,选择左侧的“子用户”菜单,然后点击右上角的“新建用户”按钮,您就可以看到“创建用户”的窗口;这里需要为子用户起一个名称,示例中我们起名叫“jasongao”。

screenshot

4. 为子用户分配只读权限

进入RAM控制台“用户管理”页,找到刚刚创建的子用户,选择右侧的“授权”,会弹出“编辑授权策略”窗口。

screenshot

在弹出的授权列表中的搜索框中输入“Log”找到和日志服务相关的权限,然后选择第二条"AliyunLogReadonlyAccess",点击“>”添加授权

screenshot

然后点击“确定”保存修改。

screenshot

5. 启用子用户控制台登录功能

进入RAM控制台“用户管理”页,找到刚刚创建的子用户,选择右侧的“管理”进入子用户详情页;

screenshot

进入子用户详情页后,点击“启用控制台登录”按钮

screenshot

启用控制台登录功能时,您需要为此用户设置初始密码。这里有一个选项“下次登录成功后重置密码”,如果这个子帐号是为别人创建,建议勾选。

screenshot

6. 使用子用户登录

进入RAM控制台概览页,您可以看到您的子用户登录链接,点击进入登录页

screenshot

进入登录页后,可以看到“企业别名”默认已经填好,然后需要填入刚刚创建的子用户用户名和密码,然后点击登录。

screenshot

登录成功后需要设置新的密码,输入新密码,然后点击“确认重置”,即可进入子用户控制台首页;

screenshot

7. 只读访问日志服务控制台

子用户成功登录后,选择“日志服务”进入日志服务控制台

screenshot

进入日志服务控制台后,选择您刚才创建的日志项目

screenshot

然后我们可以看到这个项目中的LogStore列表,选中查看,进入日志查看页:

screenshot

然后查询日期选择“一天”,点击查询,即可查询日志;

screenshot

下面我们来尝试一些破坏性的工作,例如删除LogStore;

screenshot

这时控制会报错“当前操作未被授权”

screenshot

大功告成,您已经成功的创建了日志服务只读帐号;

补充实验一: 带IP条件的访问控制只读访问云服务器

1. 获取当前IP地址

访问 http://ip.taobao.com/ipSearch.php

需要多刷几次页面,您的出口IP可能一个IP段而不是单个IP,这里我们假设出口IP是

42.121.84.160

2. 创建一个带有IP限制的自定义授权策略

使用主帐号进入RAM控制台,选择左侧的“授权策略管理”,然后点击右上角的“新建授权策略”,在弹出的窗口中选择“空白模板”

screenshot

然后这里我们将授权策略名称命名为"ecsip", 策略内容为

{
    "Statement": [
        {
            "Action": [
                "ecs:Describe*"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "IpAddress": {
                    "acs:SourceIp": [
                        "42.121.84.160"
                    ]
                }
            }
        },
        {
            "Action": "ecs:*",
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "IpAddress": {
                    "acs:SourceIp": [
                        "11.22.33.44"
                    ]
                }
            }
        }
    ],
    "Version": "1"
}

这个授权策略表示,允许从IP"42.121.84.160"只读查看云服务器信息;并且允许从IP"11.22.33.44"对ECS做任何操作;

注意,这里需要将IP地址"42.121.84.160"替换为您的公网IP;

screenshot

点击“新建授权策略”完成策略的创建

3. 为子用户授权ecsip授权策略

进入子用户列表,点击相应子用户条目右侧的授权选项,并添加ecsip授权策略

screenshot

4. 使用子用户登录ECS控制台,查看服务器信息

因为我们为当前IP授权了查看云服务器的权限,所以这时我们可以看到云服务器的所有信息;

screenshot

5. 尝试进行破坏性操作:重启服务器

虽然我们刚才也授权了云服务器的所有权限,但是加入了IP(11.22.33.44)这个IP无效IP的限定,所以最终应当无法重启服务器;

我们进入一台ECS的详情页,然后点击右上角的重启按钮

screenshot

然后系统让我们选择是否强制重启,随意选择,点击确定

screenshot

提示没有权限,符合预期;

screenshot

补充实验二: 为子用户启用多因素认证

1. 启用子帐号MFA登录功能

使用主帐号进入访问控制服务控制台,进入相应的子用户详情页,点击“必须开启多因素认证”为子用户开启多因素认证功能;

screenshot

2. 使用子帐号登录控制台

回到RAM控制台概览页,使用子帐号登录链接登录子帐号

screenshot

这时您会发现,系统要求子用户必须绑定多因素认证器才可继续登录;

3. 安装多因素验证器客户端

点击页面上的“身份宝”超链接进入身份宝安装页,然后使用手机扫码工具扫描身份宝安装二维码;

screenshot

然后可以看到手机端的身份宝安装页

screenshot

如果您使用的微信扫码工具,请在扫码后请点击右上角的"...",然后选择“在浏览器中打开”

screenshot

4. 绑定多因素认证器

安装成功后,打开身份宝,点击“添加账户”

screenshot

然后选择“扫描二维码”

screenshot

进入二维码扫描界面后,扫描MFA绑定页的二维码

screenshot

screenshot

当手机端成功扫描二维码后,在手机端可以看到一个每30秒变化一次的6位数字口令

screenshot

然后您需要将连续两组不相同的口令按顺序填入右侧,点击“确定启用”即完成MFA绑定

screenshot

5. 重新登录子用户,验证多因素验证口令

screenshot

相关实践学习
消息队列+Serverless+Tablestore:实现高弹性的电商订单系统
基于消息队列以及函数计算,快速部署一个高弹性的商品订单系统,能够应对抢购场景下的高并发情况。
云安全基础课 - 访问控制概述
课程大纲 课程目标和内容介绍视频时长 访问控制概述视频时长 身份标识和认证技术视频时长 授权机制视频时长 访问控制的常见攻击视频时长
目录
相关文章
|
1月前
|
安全 网络安全 数据安全/隐私保护
访问控制列表(ACL)是网络安全中的一种重要机制,用于定义和管理对网络资源的访问权限
访问控制列表(ACL)是网络安全中的一种重要机制,用于定义和管理对网络资源的访问权限。它通过设置一系列规则,控制谁可以访问特定资源、在什么条件下访问以及可以执行哪些操作。ACL 可以应用于路由器、防火墙等设备,分为标准、扩展、基于时间和基于用户等多种类型,广泛用于企业网络和互联网中,以增强安全性和精细管理。
219 7
|
1月前
|
安全 网络安全 数据安全/隐私保护
访问控制列表(ACL)是网络安全管理的重要工具,用于定义和管理网络资源的访问权限。
访问控制列表(ACL)是网络安全管理的重要工具,用于定义和管理网络资源的访问权限。ACL 可应用于路由器、防火墙等设备,通过设定规则控制访问。其类型包括标准、扩展、基于时间和基于用户的ACL,广泛用于企业网络和互联网安全中,以增强安全性、实现精细管理和灵活调整。然而,ACL 也存在管理复杂和可能影响性能的局限性。未来,ACL 将趋向智能化和自动化,与其他安全技术结合,提供更全面的安全保障。
101 4
|
3月前
|
人工智能 Linux 云栖大会
看过来!2024 云栖大会操作系统技术 Workshop 怎么玩?
报名倒计时2天啦,欢迎大家来“操作系统技术Workshop”打卡。专家讲解原理、现场实战演练,AI、C++ 20专场任选。
看过来!2024 云栖大会操作系统技术 Workshop 怎么玩?
|
3月前
|
网络协议 大数据 云栖大会
2024云栖大会 预告:IPv6与DNS基础资源专场
2024云栖大会 预告:IPv6与DNS基础资源专场
2024云栖大会 预告:IPv6与DNS基础资源专场
|
3月前
|
人工智能 Cloud Native Serverless
来云栖大会!探展云上开发,沉浸式体验云原生 + AI 新奇玩法
计算馆将展示中国最先进的云计算产业链全景,从底层硬件到数据创新,从云计算基础设施到数据管理服务、人工智能平台和模型服务,全景式呈现 AI 时代云计算最新技术形态和产品进展。计算馆有哪些推荐?往下看!
|
7月前
|
安全 网络安全 数据安全/隐私保护
【专栏】IT 知识百科:访问控制列表(ACL)是网络安全的关键机制,用于定义和管理网络资源的访问权限
【4月更文挑战第28天】访问控制列表(ACL)是网络安全的关键机制,用于定义和管理网络资源的访问权限。ACL工作原理包括定义规则、匹配规则和执行操作。标准ACL基于源IP过滤,扩展ACL则提供更多筛选条件。时间及用户基础的ACL提供更细化的控制。优点在于增强安全性和精细管理,但管理复杂性和性能影响也是挑战。未来,ACL将趋向智能化和自动化,与更多安全技术结合,以提升网络安全。**
436 0
|
4月前
|
监控 安全 数据安全/隐私保护
什么是访问控制服务?
【8月更文挑战第31天】
91 0
|
6月前
|
Java 数据安全/隐私保护
Java基础手册二(类和对象 对象创建和使用 面向对象封装性 构造方法与参数传递 this关键字 static关键字 继承 多态 方法覆盖 final关键字 访问控制权限修饰符)
Java基础手册二(类和对象 对象创建和使用 面向对象封装性 构造方法与参数传递 this关键字 static关键字 继承 多态 方法覆盖 final关键字 访问控制权限修饰符)
38 0
|
7月前
|
Web App开发 存储 Linux
Linux Apache服务详解——Apache服务访问控制
Linux Apache服务详解——Apache服务访问控制
458 7
|
7月前
|
存储 数据安全/隐私保护 C++
第十五章:C++访问控制权限、继承和多态详解
第十五章:C++访问控制权限、继承和多态详解
308 0

热门文章

最新文章