开发者学堂课程【企业运维之弹性计算原理与实践:【视频】-《ECS 进阶概念-安全》】学习笔记(二),与课程紧密连接,让用户快速学习知识。
课程地址:https://developer.aliyun.com/learning/course/1039/detail/15317
【视频】-《ECS 进阶概念-安全》
内容介绍:
一、云安全概述
二、平台安全实践
三、主机安全实践
四、堡垒机运维安全审计
四、堡垒机运维安全审计
1、运维安全管理思路
云上控制台操作的东西接口操作的东西有接口审计进行审计,连接主机以及前面提到的不同的人要分不同的权限除了在机器内部进行一些配置还可以用别的方法进行处理,这些都是堡垒机可以做的。首先讲解堡垒机是什么,通常登陆ECS通过公网IP或者是内网IP直接通过客户端连接便可以连接上,这种情况连接上之后是没有任何审计的,在机器内部如果没有配置审计日志可能没有任何审计,而且存在风险ECS是暴露到公网上,堡垒机的诞生是在客户端是直接进行连接的,堡垒机是放了一个中转的服务器,先连到堡垒机。再通过目标连到ECS,在堡垒机可以进行一些权限控制比如用户连到堡垒机只允许访问比如有10台机器只允许访问10台机器,而且可以针对连接上来的账号做授权管理,比如允许执行RM命令或者是允许执行关键命令,在这一层面进行管理。当允许执行命令时直接在堡垒机进行拦截,堡垒机还可以进行录屏即通过堡垒机登上的机器都可以将操作用视频的方式记下来。如果遇到服务器出现问题可以需要查这段时间的操作记录,可以通过堡垒机登上去可以查看用户是什么时间登录的,登上去执行了什么动作,可以通过视频回放的方式展现出来,这时可以很方便的看到业务情况到底是谁进行了什么动作。用了堡垒机之后需要注意的是在客户端直接进行连接是不可以的,可以在ECS安全组中添加允许只放行堡垒机的IP,其他所有的IP全部进行拦截,这是所有的访问都通过堡垒机,所有的审计都需要通过堡垒机,这便是堡垒机堡垒机就是解决上述的事情。
做一个中转的服务器,在中转服务器上进行权限的控制,进行审计日志的记录。会涉及到很多东西比如人员管理、资产管理、介质管理等都是在堡垒机上面做的,实现策略或者应急预案包括高敏的命令,可以设置一个命令在执行某个命令的时候需要管理员进行审批,审批完成后才会执行或者是可以设置密码长度的要求、密码的复杂度都可以进行配置。网络安全等都是常规的配置,之后会统一进行演示。日志管理除了常规的登录日志还会提供视频的审计日志。资产管理可以先同步ECS到堡垒机里面,可以将人员管理同步进去,人员是最开始讲到的RAM账号即子账号,将子账号同步进去,给子账号分配不同的权限不同的主机,对于某一个子账号只允许登录某一个主机,或者登录之后指定执行某一个操作都是可以和RAM账号一键打通。
第一个目标是统一入口管理,解决登录分散的动作。前提是将其他的入口切掉。身份鉴别是通过双因子的启动,双因子是通常在登录账号时可能会遇到只需要输入用户名密码便会登上去,这是常规的登录认证的方式。双因子是除了输入密码之后还需要输入动态密码,动态的可能会按照APP进行绑定,密码是周期更新的比如60秒更新一次,这是动态的验证码。输入完密码密码正确之后会输入动态密码才可以登录上去,即使账号密码泄露没有动态密码无法登陆,因此是双重的保险。权限管控是账号的管控可以分职权对人员和资产进行划分那些人能管理哪些资产哪些人有什么权限可以进行精细化的控制,这在堡垒机上是可以进行配置的是基于RAM账号做的,当然账号不是只能用RAM,RAM是会更方便一点用的是同一套账号体系,登录ECS和堡垒机用的是同一个账号包括登录控制台进行账号的统一管理,避免一个人管理多个账号的繁杂。如果不想用这种方式统一管理也可以在堡垒机里面单独创建,用堡垒机的本地账号单独创建一个账号和RAM账号独立,比如临时分配一个账号也可以,但是使用起来不统一会比较不方便。
接下来是高危阻断,高危阻断有很多管理员执行RAM命令,一键全部将资料删除。针对这种情况在堡垒机里面可以进行拦截,当执行时可以设一个动作直接阻断或者是进行一个审批,可能执行到有风险的命令另一个管理员查看是否有风险,之后再进行审批完成下去,这是一方面。在云上遇到很多客户不要想着删数据离自己很远,删数据的情况是非常多的,在执行KS时不小心删除,这时在找回已经晚了如果没有快照是完全没有办法的,所以这是非常重要的一环。审计溯源是事后的一个动作,安全防护分为事前、事中、事后,事前要进行一些安全配置包括权限的管理分配以及快照的备份策略都属于事前的配置包括审计。事中是当业务正在受损时如何即使止损,事后是已经被入侵或者是数据已经被删除,如何恢复、审计需要找到导致的原因,是谁导致业务异常或者是进行了什么动作,这些都需要审计日志进行回放,进行回播的动作,一方面是记录操作一方面是回播操作。最后是一些监管的要求比如一些客户对安全的要求非常高,不允许公网直接登陆,可能会要求进行堡垒机的一些配置要求必须有堡垒机或者是必须要有什么日志、日志必须保留多长时间做一些非常严格的监管要求,堡垒机是满足要求的。
2、典型应用场景
典型场景的合规要求,金融行业的非常高的监管要求,大概是一个架构比如可能有RDS、ECS等很多服务器,前面管理通过ECS或者堡垒机,连接堡垒机连接资源,前面的账号需要做一个登录进行鉴权,鉴权认证登录之后进入到堡垒机,通过堡垒机进行运维动作这是基础的架构,后面是一个比较复杂的架构,多了其他的认证系统包括客户需要打通本地的认证系统都是可以的,可能会结合账号管理体系进行自定义开发,包括像RAM账号提供了ECS单点登录,或者是RDS身份管理的一些系统,都可以提供给客户做一些电子化开发的动作,电子开发需要针对一些比较严格的客户,通常使用云上的东西基本上能满足大部分的业务需求。
3、安全运维挑战
安全运维挑战之前也提到了很多,比如业务资源配置复杂需要进行统一管理或者一些用户仿冒登录以及账号泄露是比较麻烦的在之前,现在有很多措施、验证的动作包括审计的流程,这些都可以很好的控制。在没有堡垒之前需要进行权限管理ECS可能在sudowar里面有一个配置文件,里面可以添加一些命令即针对哪些账号可以执行哪些命令,这是非常复杂的权限管理。Windows可能会做一些预控或者是主策略加一些限制,给预账号每个账号分配权限,通过主策略进行权限设置会非常复杂。在堡垒机里面动作会完全简化,只需要在网页上点几下权限配置便可以全部完成,这是云上可以带来的便利。非法行为拦截可能之前很难做一些规避,之前没有堡垒机在运维上百台上千台机器时进行这样的配置,配置下发都需要很长时间,而且下发完之后还要考虑到对不同的业务会有不同的影响都需要考虑,现在都在堡垒机上进行统一管理会比较方便。溯源是之前提到的审计包括视频的回放,可以看到有很多角色要管理服务器,架构以及服务器都很多。某一个人登录上之后执行删除命令放在以前是很难管理的,很多人共用一套账号体系,共用一个根本无法知道是谁进行了什么操作,而且在一个公司出口IP也是一样的,可能无法通过IP进行区分,这时如果有人进行恶意动作根本无法审计。
4、高效运维
由上图可以看到,有一个堡垒机账号,通过RAM账号进行登录,通过SSH访问机器或者是通过RDP、SFTP访问机器,通过其他的比如恶意请求发送给管理员进行审批,审批到管理员可能会拒绝或者是无法通过,就会继续执行,这是业务的访问,日常也会进行一些巡检,比如业务要进行巡检监测包括服务器安全配置要进行一些安全检查,比如基线检查包括服务器密码长度的配置,可能需要进行巡检比如密码必须多少位或者是必须有大小写,这些都相当于进行开发的角色,完成之后通过堡垒机登录到服务器,可以进行一些运维。相当于进行三层角色运维里需要进行巡检,业务需要进行一些访问,进行一些配置检查,开发需要进行代码的发布或者测试。面对角色进行统一管理是堡垒机需要做的,统一入口管理,解决登录分散的问题。堡垒机中也可以使用密码或者密钥的登录,运维登陆堡垒机无需知道密码,账号密码是堡垒机的管理员配置好的,分配的账号密码去登录哪些机器都是已经配置好的,用户在使用的时候只知道堡垒机账户不知道ECS登录信息包括登录凭据、登录密码都是没有的。只是在堡垒机里面敲一下命令或者是点回车选择机器就可以直接登陆,之后会进行演示。权限可以最小化或者是重要资产或命令可以进行二次审批,远程开发针对运维,运维需要登录服务器,堡垒机可以提供公网的登录入口,登录上之后通过公网运维内网的机器。
5、安全运维
安全提到的比较多比如多因子认证,多因子可以针对某个人员开一个多因子,多因子其实有很多认证像AD认证或者是LDAP认证,两个是客户自建的认证体系,可能在本地的Windows里有预控服务器或者是index部署的LDAP的服务里面管理的是不同的账号,这些账号是和客户本地的业务系统打通的,比如客户在上云之前会有员工账号体系通常用预控或者LDAP的服务去做会比较简单一些,上云之后可能面临账号是否可以用本地的账号,可以打通AD的认证和本地的服务器打通,可以通过本地的员工账号不需要重新分配内容,员工使用原来的账号,可以直接通过本地的认证服务器认证,认证通过之后用堡垒机操作,这是之前提到的鉴权,可以先到服务器进行认证,认证通过之后再到堡垒机里面去。非法阻断比如配置了一个高危命令,配置rm-f是一个高危命令,配置的行为如果是直接拒绝则会自动拒绝掉,如果需要管理员配置的动作审批需要先到管理员,管理员审批通过再下发到堡垒机审计通过,堡垒机再去执行命令,这是高危命令的阻断。不仅是执行的命令在进行高危变更时有两个管理员两个运维一起做一个double qek之后在进行变更,一般需要做一个双重qek之后才可以上线。安全事件的追溯是录播的一种形式,用户在登陆堡垒机之后,在上面连接服务器,输入的任何动作都在视频里面。
6、运维全链路管控
上图为传统的形式直接会连上,相当于堡垒机下来之后进行连接进行各种各样的鉴权云上的鉴权、云下的鉴权,将所有的操作记录到审计在通过账号管理服务器,下面是将直连的方式掐掉不允许直连服务器。之前也有讲到事前、事中和事后,事前针对堡垒机可以做一些统一的账号管理账号划分、鉴权的一些服务的配置包括审计日志的规则、高危动作命令的拦截都是需要在事前配置好。事中是需要管理员审批通过之后才能执行,可能需要在事中做拦截,拦截掉之后在管理员审批完成之后执行高危的动作,需要依赖事前的配置需要将一些认为高危的命令事前配置上去,这样才会根据配置进行拦截。事后是要还原事件的过程,最后需要进行追责的动作或者是审计的动作来看一下是谁做的责任是谁,这些都需要事后的分析,这是整个的链路。
7、业务场景选型
堡垒机有一些基础业务或者是高可用的版本,堡垒机如果是单可用就可以用一个单点,挂其中任意一台链路都不通,这是单点针对基础的业务。高可用是业务通过LB,LB在底层做了高可用,自己就有热备,用户连到LB,LB转发到后面两台机器,后面两台机器作为堡垒机高可用的服务器,无论负责哪一台都可以连接到后端服务器,两台机器完全是一样的业务,一台损毁会有另外一台提供服务。高可用是堡垒机的双活架构运行,实时监控LB有监控探测的功能能够实时监控堡垒机后面的存活情况,除了做高可用之外,有两台机器负载能力比较高不同的请求比如10个请求每台机器只处理5个,单点则是10个请求全部是一台机器处理,一旦业务比较大时公司有上百个管理员都是可能的,单点一个机器扛不住,这这种情况下高可用只有一台机器损坏之后另外一台才会高负载,在下一节会讲高可用伸缩,除了应对高可用还可以自动扩能。正常情况下分担业务压力,故障时启用HA,一台机器损坏之后流量全部转移到另外一台机器上面,这是高可用提出的机制,保证业务时可用的。
8、远程运维解决方案
上图是运维的解决方案,可以做一个参考,已经满足了很多客户业务管理的需求,大部分都是可以满足的比如远程的终端办公终端可以通过加密或者其他的手段访问,堡垒机可以只放在内网可以通过VPN加密一次,再连到堡垒机进行ECS的一些动作。除了堡垒机还有其他的审计,数据库审计和ECS没有太大关系先不进行讲解。架构之前讲了很多就不再进行更多的讲解,大部分都是通过一层层的认证到达后端的服务器。事前像是实人认证、终端认证、令牌、类似UK的东西都是可以用来进行终端认证。事中是堡垒机的拦截动作或者是网络的管控发现网络的一些行为,VPN是建立一个加密隧道,通常在公网转述的报文会被劫持被别人截取,可以在中间加一层VPN的隧道,所以报文都在加密隧道加密之后存到服务端,服务端在进行解密发送到后端,在中间隧道抓到报文也是有密文的无法进行解密的处理。时候就是审计日志包括数据库审计都会有事后执行的记录。
9、云上应用系统安全解决方案
整体来看有网络层的防御,比如ECS最简单的是安全组除此之外在VPC里还有网络SL的策略也可以进行安全防护,网络上还有很多像网络安全的东西像云防火墙会在网络安全进行统一的讲解,边界防御也是云防火墙里的东西,抗D是高防的IP,业务请求先到高防的IP,再将流量进行反向代理到ECS,可以是ECS也可以是SID是相同的。dislosIP高防IP到ECS之间其实是公网的传输,可能会发现用完高防之后访问速度有一点变慢可能是公网是dislos的集群有很多回应IP,会随机的从回应IP里面回到ECS里面回过去,因为中间是公网,公网难免会受中间运营商的抖动或者是链路的抖动这是难免的,抖动时可能导致流量变慢,这些情况目前没有太好的办法避免,因为是公网传输的。
数据层的安全第一个讲的是备份,做重要的是备份,安全审计也是要做的,数据层面需要备份比如快照备份、数据库的应用之间进行备份,比如应用是数据库可以定期导出备份传到本地或者其他机器上进行备份或者传到OSS也行,这是应用层的备份。机器层里面的备份比如快照可以进行机器层的备份,另外一个备份是防盗锁的备份比如混合备份或者是HBR的产品比如传到指定的地方,出现异常在备份仓库里可以拿出,再将数据拷回,这是数据层面的东西重点是备份,不要想事后恢复,无论是误删除或者是勒索病毒恢复的可能性非常小。
运维的管理可以通过VPN加密隧道,避免通过公网流量截取到,通过堡垒机统一管理登录入口包括审计事后视频的录制。RAM的访问控制出了登陆堡垒机还需要登录阿里云官网,阿里云控制台登上去可能会执行很多操作,在控制台提供重置密码,机器便可以登录进去,在阿里云的控制台安全层面需要进行严格的控制权限最小化,包括业务系统可能调OSS,可能要用到RAM账号,用RAM账号可以进行AK用AK访问OSS传输数据,通过RAM进行精准的控制可以允许只访问某一个OSS可以做到最小化的控制。
接下主机层,主机层有很多的策略,有很多方面一方面是操作系统层面加固比如经常会遇到漏洞都是在操作系统或者主机层面需要进行定期升级软件包的操作,观察上云的动作看看哪些动作会导致风险做定期的规避,在以前很难关注有什么漏洞或者是什么应用报的漏洞,现在在云上有非常完善的机制比如云安全中心可以定期检测上游发布的漏洞,都会汇集到云安全中心上,云安全中心会进到主机进行检测应用或者软件包是否命中已知问题,命中之后全部都会给告警提示,这是操作系统层面的加固,云安全中心已经将这些问题全部汇总不需要在每个应用找哪个应用需要关注,会统一进行扫描。
主机防火墙分为很多种安全组以及VPC的网络SL都是在进行防护,这是在主机外面在ECS外层做的,不是在ECS内部做的。还有一些东西像Windows的软件防火墙都是在机器内部是软件的形式去实现的,如果用户不想要用安全组也可以,可以将安全组全放开但是不建议,如果确实有诉求可以全部放开统一用自己的方式管理防火墙是可以的,前提是能非常全面的控制,因为每台机器都能下发难免会漏到一些配置,因此建议统一用云上的防护。
防恶意代码系统安骑士里面会有漏洞检查,另一个是在恶意程序运行之前,在即将启动的时候可以检测到有一个恶意程序启动可以自动拦截不再执行,包括像常见的勒索病毒只要安骑士在机器内开了主动防御,在启动的时候会将勒索程序木马病毒拦截掉,而且可以将安骑士进程Q掉在执行恶意程序,可能会有这样的想法,安骑士是有守护进程的有自保护的功能像通常的Q动作、RM动作都无法破坏客户端,如果尝试破坏客户端都会被进行拦截,前提是要在控制台将自防护能力打开。
恶意代码有很多比如木马、、挖矿病毒、一个恶意的网络连接都是可以的,比如突然连接到矿池的IP可以进行扫描到或者是解析恶意的域名都会被检测到,这是主机安全系统(云安全中心)提到的,功能上提到的漏洞检测或者是恶意提醒的告警在基础版里都是提供的,像主动防御、精准防御可能需要更高级的东西。
除了主机层的防护之外机器类也会有应用存在漏洞比如之前报错的一些漏洞非常敏感的漏洞在安骑士中都是可以监测到,检测到用对应的架包或者架包对用的版本是否命中已知问题,都可以一键告警,这是针对应用层面的漏洞甚至有更多的漏洞都可以通过关键词扫描到告知目录下可能存在webshell文件,需要进行关注,这些都可以自动感知到,这便是漏洞扫描。
10、ECS 安全总结
需要定期备份数据,不能事后进行恢复,事后恢复的可能性非常小,在没有办法的情况下扫描尝试可不可以扫描到之前的文件。合理规划的安全域不同的人设不同的权限划不同的组,这些都是需要合理规划的地方。安全组的规则是争取最小化原则,非业务必须的端口均不对外开放,即使某个应用存在漏洞完全不开放外面则无法攻击进来。口令复杂度则不进行过多的讲解,建议使用密钥对的形式。保护端口安全一个是安全组规则第二个是端口如果必须暴露,暴露之后的防护像waf、云防火墙可以智能识别一些攻击,识别到的攻击会进行拦截。防护系统漏洞也是需要关注的比如很多系统层面的漏洞需要定期维护,大部分是更新的版本,比如很多客户在用2008的系统或者是其他的系统,这些系统在官方在社区都没有提供安全补丁,一旦发现漏洞完全没有办法规避,除非自己可以修护,因此已经停止维护的系统建议升级到最新版本,因为系统暴露出来不再进行维护。应用层面像云防火墙提供的虚拟补丁或者是URF进行拦截,通过请求参数或者通过URL里面的恶意的sercou可能尝试擦参数,其实在恶意的请求进来之前就可以进行识别并拦截。
12、演示
接下来演示在前面提到的东西,前面的密钥对的形式,密钥对在控制台如何操作,其实在本地是一个命令行扫描。首先在ECS控制台在安全一栏有一个密钥对,可以导入自己的密钥对也可以导入已有的密钥对,已有的密钥对可以在命令行生成。先演示用控制台自己创建,直接点击设好名字便可以创建,创建好之后会自动进行下载,如果想要查密钥的样子是不可能的,下载的是私钥,如果想要在进行下载已经是不可能的,下载之后需要妥善保管到本地,这时一个密钥要管理到一个ECS可以直接绑定,需要注意如果存在比较老的机器是不支持密钥的自动绑定,绑定选择一台ECS,密钥不支持Windows系列,绑定之后直接确定就可以。确定绑定完成还需要进行一个动作,绑定完成之后不是立即能用密钥登录,在绑定之后需要进行控制台的重启,重启的过程中底层才会将密钥对刷到机器内。如果在机器内部重启不会触发此动作。在面对自己的业务时需要安排合理的窗口期,还可以用导入密钥的方式导入自己的密钥,可以手动将密钥写到机器内部也可以。
本地可以指定密钥登录,可能常会遇到的错误比如bad permissions,密钥的权限要求非常严格不能太高的权限,默认是600
在登陆时无需输密码便可以登录,这是密钥对的登录方式。机器支持的登录方式可以进行查看输入-vvv进行调试,会将调试机型打出来,会告知优先接受的是publickey的密钥对,之后进行键盘交互的密码登陆方式,先尝试自己的密钥,发现密钥登陆不上之后会尝试输密码的方式。Permission denied的原因是在控制台绑密钥对的时候会自动将密码禁用掉,自动将密码登录禁用掉只允许publickey。在ssh目录下会有.cat私钥,没有指定的密钥会直接用Downloads/xiuguceshi.pen root@47.108.137.196文件链接进行密钥,很明显之前不是这个文件因此无法登陆,其他的登录是相同的。堡垒机的实例可以看到基本信息,更关注的是在里面如何配置,进去之后会看到一些统计信息有哪些用户有多少个主机实时连接的规划数运维的统计。进入到堡垒机里面第一步需要想哪些需要堡垒机进行管理要将机器加进去,直接导入选完地域之后选择实例就可以。
可以导入其他的来源机器,可以自己输入IP地址,输实例的信息,添加完资产之后可以看到两台测试机一台Windows一台Linux,可以将主机新建一个账号比如账号是用什么新建的可以登陆上来可以用密钥也可以用密码的方式,根据自己的需求而定。添加修补的账号给账号授权了一些机器在里面。可以看到通过导入RAM账号进行测试或者是自己新建本地账号,账号创建之后需要授权账号允许访问哪些机器用哪个账号访问机器需要进行绑定。配置完之后需要加一些授权规则比如哪些用户资产是什么样子的可以分一些用户、用户组、资产组等策略,剩下的可能是比较关心的即策略的控制比如新建一个策略,策略下面可以设置黑名单的命令或者白名单的命令,只允许执行下面的命令或者不允许执行下面的命令,以及命令需要进行审批,审批通过之后,才能进行集群的访问,协议也可以不允许复制粘贴,通常情况下Ctrl v 和Ctrl c可以将文件拷下来,通过堡垒机管理之后可以直接控制权限不允许去管理,有RDP、SSH、SFTP,SFTP是基于SSH文件管理的协议,可以更精准的控制哪些动作可以做哪些动作不可以做,也可以进行登录时段的控制比如只允许星期一登录是可以进行控制的,也可以是只允许哪些IP登录都可以进行严格的控制。主机是测对哪些用户生效,审批记录的动作可以进行演示,登录堡垒机的动作,xingu@tyihrfkgcq-public.bastionhost.aliyuncs.com-p 60022,这是堡垒机登录控制台的入口,默认端口是60022,这里用了子账号因此直接输入子账号的密码,登上来之后可以看到有两台机器,第一个机器是手动加的是没有绑主机账号的,所以这台机器大概率会登不上去,回车显示输入密码,因为没有账号密码所以无法登陆。下面的机器已经绑了账号密码,点击回车直接可以登上去,这台机器进行了密钥的动作。在资产中进行了绑定密钥的动作,先将账号删掉,将密码删掉改成密钥的方式,这时账号已经改掉之前设的是密码的登录的方法变成了用密钥登录的方式。再次进行尝试便可以直接进去,进来之后可以直接看到之前设的白名单黑名单的命令,设的是rm的命令,执行的时候会被告知权限是被拒绝的,命令是被直接终止的。刚才设置了哪些命令需要审批比如设置的chattr命令在执行的时候会被告知等待confirm需要确认,这时堡垒机在控制台便可以看到动作。在命令审批中可以看到是等待审批比如哪个人通过哪个IP登录上来执行了什么命令是需要进行审批,允许之后可以看到命令已经执行,因为没有加参数因此会直接报错告知没有加东西,命令会执行下去,这是堡垒机的操作审计。将终端退掉可以看到堡垒机审计的日志
比如之前登录的可以查看什么时候登录的,会话持续了多久,登录的IP是哪个,协议是什么都会进行记录,也可以看当时执行的动作,登录上去的所有动作都是视频会话,右边会全部将命令记下来以及视频的动作,每一部分做了什么操作都可以看到,为了防止有时命令审计Linux里面会记一条命令没有时间没有上下文不知道是哪个目录下的东西,所有有回放的情况下可以很快速的看到当时执行的界面对哪些文件有影响。实时监控、操作日志可以不用过多讲解,ECS有一个操作审计,里面有一个事件查询可以查询90天的动作,都是通过接口调用上来的操作,通过接口或者控制台下发,通过RM角色扮演是有记录的,里面记录了请求ID、请求报错。搜索ECS之后全部都是调用ECS的接口,describe是查询的接口,这是日志审计的功能可以直接查看。
之前也有提到RAM的自定义策略,自定义策略如何编写,在RAM的控制台,有很多系统策略及平台默认的策略管理所有资源的账号或者是管理ECS的账号,readonly可以看到只允许执行describe或者是list的接口以及查询、只读动作,如果是所有权限fall会是一个*号。接下来看自定义策略的创建,有一个可视化的创建服务是针对ECS或者是其他,要针对读操作,读操作已经全部列出选一项允许执行的操作,可以指定资源,可以添加资源输入地域比如允许北京的资源,会出现北京账号下的所有资源,条件也可以进行添加,条件有很多比如时间、云IP或者MFA双因子认证,比如ip是1.1.1.1才允许访问。
添加语句可以添加多条,不是只能写一个策略,可以先对ECS放行接下来对数据库放行,对数据的某个操作进行放行也授权同一个账号。生成的两个策略是合并在一起的,上面是添加的ECS下面是添加的 RDS 两个放在一个json中就可以,之后进行保存。策略存下来之后可以将策略授予给其他的子账号,子账号只允许有这个权限,这是RAM的策略。