云产品权限细粒度设置

本文涉及的产品
网络型负载均衡 NLB,每月750个小时 15LCU
传统型负载均衡 CLB,每月750个小时 15LCU
应用型负载均衡 ALB,每月750个小时 15LCU
简介: 1. 前言 aliyun ram 权限系统功能强大,大部分云产品实现了极其细粒度的权限控制,但是在默认的管理管理中,往往只有读写2种权限,对产品具体设置分细粒度和访问控制权限可以实现根据应用分配不同产品的权限。 应用设置与云资源以及人员的关系,对于已经上云的资源,按照应用所使用的云资源以及人员在应用的角色(owner,PE,Developer,reporter),配置相应权限;没有上云的产

1. 前言

aliyun ram 权限系统功能强大,大部分云产品实现了极其细粒度的权限控制,但是在默认的管理管理中,往往只有读写2种权限,对产品具体设置分细粒度和访问控制权限可以实现根据应用分配不同产品的权限。

应用设置与云资源以及人员的关系,对于已经上云的资源,按照应用所使用的云资源以及人员在应用的角色(owner,PE,Developer,reporter),配置相应权限;没有上云的产品,比如 vipserer,sunfire 等,先改造实现 aliyun ram 权限控制,然后配置权限。

2. ECS,SLB等云资源权限控制:

ecs,slb,vpc 等资源,可以按照通用的 ram 配置方式配置相应读写权限,具体参考:

云服务器(ECS): https://help.aliyun.com/document_detail/25497.html?spm=a2c4g.11186623.6.1094.6c741785TSA1Lw

负载均衡(SLB):https://help.aliyun.com/document_detail/27575.html?spm=a2c4g.11174283.6.661.415d1192HMMXV7

云数据库(RDS): https://help.aliyun.com/document_detail/26307.html?spm=a2c4g.11186623.6.1384.1a9d671ck4Iqmz

日志服务(SLS): https://help.aliyun.com/document_detail/89676.html?spm=a2c4g.11174283.6.984.71be1caaVdFKHW

云监控:  https://help.aliyun.com/document_detail/43170.html?spm=a2c4g.11174283.6.643.2b138f4fsieHDx

注:云监控目前不支持细粒度资源描述,资源授权用“*”通配。

 

范例:

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "ecs: AddTags",
                "ecs:DescribeInstances"
            ],
            "Resource": [
                "acs:ecs:$regionid:15619224785*****:instance/i-bp1bzvz55uz27hf*****"
            ],
            "Effect": "Allow"
        }
    ]
}

 

3. vipserver,switch,sentinel 等自部署云产品定义实现RAM 权限:

RAM 权限策略与语法:https://help.aliyun.com/document_detail/93739.html?spm=a2c4g.11186623.6.605.fdec2b578ZSwCx

参考新部署基础设施云产品接入过程:

3. Diamond(ACM)

前提条件:

   按照 EDAS 的 namespace 区分环境,按照 ACM 的 Group 区分不同的应用关联,应用和 ACM 的 Group 建立对应关系。  

   建立 ram 子用户,设置自定义策略授予子用户。

设置方式:

{
"Version": "1",
"Statement": [
 {
   "Action": [
     "acms:R"
   ],
   "Resource": [
           "*:*:*:*:cfg/1ca01ca0-11b0-1e01-0df1-d1010101bc10/GROUP",
           "*:*:*:*:cfg/1ca01ca0-11b0-1e01-0df1-d1010101bc10/GROUP_1"
       ],
   "Effect": "Allow"
 }
]
}

    完整控制权限:"acms:*"

   某个 namespace 下所有group,则不需要设置 /Group 段即可,不支持 group_name* 这样的通配符;

   多个 group 就列出多行;

   所有 namespaces 的某个一 group,可以使用:

 "Resource": [
           "*:*:*:*:cfg/*/DEFAULT_GROUP"
       ],

访问控制:

通过访问 acm 资源的账号拥有的账号的( ak/sk)权限调节。

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "NotIpAddress": {
                    "acs:SourceIp": [
                        "172.16.0.0/30"
                        "127.0.0.1"
                    ]
                }
            }
        }
    ]
}

综上所述,可以通过应用人员,应用与 ACM 关系关联,按照上述策略建立自定义策略,可以控制应用人员的读写ACM 配置。

4. MetaQ

前置条件:

   建立 ram 子用户,设置自定义策略授予子用户。

设置方式:

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "mq:SUB",
                "mq:OnsInstanceBaseInfo"
            ],
            "Resource": [
                "acs:mq:*:*:{instanceId}"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "mq:PUB",
                "mq:SUB"
            ],
            "Resource": [
                "acs:mq:*:*:appName*",
                "acs:mq:*:*:xapp*"
            ]
        },
        {    // 授予 Group 的权限
            "Effect":"Allow",
            "Action":[
                "mq:SUB"
            ],
            "Resource":[
                "acs:mq:*:*:{instanceId}%{groupId}"
            ]
        }
    ]
}

对应规则参考:https://help.aliyun.com/document_detail/112711.html?spm=a2c4g.11186623.6.610.f9601f39t23me9

根据应用对应的 topic 和 group,设置应用权限,区分读写权限。

Top,Group 支持通配符。

访问控制方法与 ACM 类似。

 

 

相关实践学习
2分钟自动化部署人生模拟器
本场景将带你借助云效流水线Flow实现人生模拟器小游戏的自动化部署
7天玩转云服务器
云服务器ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,可降低 IT 成本,提升运维效率。本课程手把手带你了解ECS、掌握基本操作、动手实操快照管理、镜像管理等。了解产品详情: https://www.aliyun.com/product/ecs
目录
相关文章
|
SQL 数据安全/隐私保护
通用数据级别权限的框架设计与实现(3)-数据列表的权限过滤
查看上篇文章通用数据级别权限的框架设计与实现(2)-数据权限的准备工作,我们开始数据列表的权限过滤. 原理:我们在做过滤列表时,根据用户权限自动注入到相关SQL中,实现相关过滤,如果拥有全部权限,则不生成相关SQL片段 首先我们来分析一下数据列表的SQL 能看到所有数据的SQL SELECT role.
1197 0
|
6月前
|
JSON 数据格式
|
数据安全/隐私保护
13-企业权限管理-用户关联角色操作
13-企业权限管理-用户关联角色操作
13-企业权限管理-用户关联角色操作
|
XML 安全 Java
7-企业权限管理-权限操作
7-企业权限管理-权限操作
7-企业权限管理-权限操作
|
数据安全/隐私保护
15-企业权限管理-方法级别权限控制
15-企业权限管理-方法级别权限控制
15-企业权限管理-方法级别权限控制
|
数据安全/隐私保护
14-企业权限管理-角色关联权限操作
14-企业权限管理-角色关联权限操作
|
数据安全/隐私保护
12-企业权限管理-资源权限
12-企业权限管理-资源权限
|
Kubernetes Cloud Native 安全
【应用安全】关于细粒度与粗粒度授权,您需要了解的内容
随着云原生安全和软件零信任方法的重要性日益增加,有关云资源访问级别的问题变得越来越重要。同样重要的是理解不同授权策略的价值。
|
SQL BI 数据安全/隐私保护
RBAC、控制权限设计、权限表设计 基于角色权限控制和基于资源权限控制的区别优劣
RBAC、控制权限设计、权限表设计 基于角色权限控制和基于资源权限控制的区别优劣
591 0
RBAC、控制权限设计、权限表设计 基于角色权限控制和基于资源权限控制的区别优劣

热门文章

最新文章