带你读《从基础到应用云上安全航行指南》——干货长文快收藏!阿里云专家教你如何安全访问和管理ECS资源(3)

本文涉及的产品
无影云电脑企业版,4核8GB 120小时 1个月
无影云电脑个人版,1个月黄金款+200核时
资源编排,不限时长
简介: 带你读《从基础到应用云上安全航行指南》——干货长文快收藏!阿里云专家教你如何安全访问和管理ECS资源(3)

带你读《从基础到应用云上安全航行指南》——干货长文快收藏!阿里云专家教你如何安全访问和管理ECS资源(2):https://developer.aliyun.com/article/1441585


四、避免显示AK配置的最佳实践总结

接下来为大家介绍如何避免显示AK配置的最佳实践。

 

image.png

 

前面提到了RAM角色是一种虚拟的角色,ECS里面的RAM角色,它其实就是RAM角色的一种,他是使ECS的实例可以扮演某一种特定权限的角色,可以通过临时访问凭证STS去访问指定的云服务,比如ECS可以临时访问OSS的对象存储、访问数据库,这样最大的好处是您不需要在ECS内去保存用于访问云服务的明文AK信息,而且是由ECS的云服务通过角色扮演的方式来实现了与ECS实例和其他阿里云服务间的一安全通信。

为了实现这个效果,您可以在RAM的控制台上去创建一个RAM角色,指定的可信的实体类型是阿里云的服务,角色的类型是普通服务角色,授信的服务是ECS云服务器,为RAM角色进行授权,比如是可以只读的访问对象存储,在ECS的控制台上,选择指定的ECS实例,授予ECS实例的RAM角色就可以了。

image.png

接下来,我们通过给ECS关联的RAM角色来解决一个实际的安全隐患。

在很多用户的业务服务当中,经常会使用到MSE配置中心来管理日常、或者预发、或者线上各种环境的配置信息,由于配置项中往往存在敏感的数据,明文保存在配置中心是不安全的,但如果把配置项加密保存在MSE配置中心之后,又需要把加密之后的配置传给KMS进行解密,在过程中会使用到密钥等敏感的配置项,这些配置项如果在使用过程中落盘,比如落到了ECS实例里面,就会容易产生安全的风险。

这时候就可以通过给ECS的实例去关联一个RAM的角色,来无密钥的访问MSE的配置中心和KMS。通过给ECS的实例关联RAM角色,授予一个临时访问的权限,这时候就可以避免开发人员和用户,拥有解密配置项的能力。

这里ECS实例去访问MSE的配置管理的时候,使用的是MSESDK,在获取到了配置项,实际上这时候还是一个加密的配置项,这个加密配置项是封装在MSESDK当中的,这时候应用程序再拿加密的配置项,调用KMSSDK,调用KMSSDK之后返回的结果也是在KMSSDK中,这里面全过程中所有的敏感配置项都不会落盘,都是在内存当中。好处就是用户无论是KMS的密钥的管理员,还是MSE的配置的管理员,他们都获取不到敏感的信息。

五、总结

最后我们对本次分享做一个总结:本次分享一共有三大部分,分别是身份认证、访问控制和一些进阶的安全方案。

 

image.png

如何提升身份认证的安全性?建议您开启主账号MFA的多因素多因子认证来增强主账号的安全性,不建议使用主账号的AK,而是给应用颁发子AK,避免将明文的AK暴露到外部的开发平台上,同时定期的去清理长期不使用的RAM用户。尽可能的使用具有时效性的临时的STS token

提升访问控制安全性方面,建议您可以利用ECS已经预定义好的系统策略和自定义的RAM策略,为不同职责的人员授予权限,可以基于资源组,按照云资源的用途、部门结构等不同的维度来管理资源,授予不同用户访问不同资源组的权限,也可以使用标签对云资源进行细粒度的资源管理和控制。

在进阶方面,建议您可以使用ECS实例的RAM角色,将RAM角色关联到某个具体的ECS实例上,这样就可以避免将显示的AK配置落到ECS的本地,同时建议您能够启用操作审计ActionTrail,可以进行事后的行为分析和安全跟踪,来识别潜在的安全风险,满足合规审计的需求,建议您也开通免费的身份权限治理服务来定期检测身份和权限上的安全风险,及时完善云上身份和权限配置的安全性。

以上就是本次分享的全部内容。希望通过这个分享,能为您在

阿里云上安全的使用ECS,提供一些的帮助和建议,谢谢大家。

相关实践学习
2分钟自动化部署人生模拟器
本场景将带你借助云效流水线Flow实现人生模拟器小游戏的自动化部署
7天玩转云服务器
云服务器ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,可降低 IT 成本,提升运维效率。本课程手把手带你了解ECS、掌握基本操作、动手实操快照管理、镜像管理等。了解产品详情: https://www.aliyun.com/product/ecs
目录
相关文章
|
6天前
|
弹性计算
阿里云2核16G服务器多少钱一年?亲测价格查询1个月和1小时收费标准
阿里云2核16G服务器提供多种ECS实例规格,内存型r8i实例1年6折优惠价为1901元,按月收费334.19元,按小时收费0.696221元。更多规格及详细报价请访问阿里云ECS页面。
39 9
|
3天前
|
监控 Ubuntu Linux
使用VSCode通过SSH远程登录阿里云Linux服务器异常崩溃
通过 VSCode 的 Remote - SSH 插件远程连接阿里云 Ubuntu 22 服务器时,会因高 CPU 使用率导致连接断开。经排查发现,VSCode 连接根目录 ".." 时会频繁调用"rg"(ripgrep)进行文件搜索,导致 CPU 负载过高。解决方法是将连接目录改为"root"(或其他具体的路径),避免不必要的文件检索,从而恢复正常连接。
|
6天前
|
弹性计算 异构计算
2024年阿里云GPU服务器多少钱1小时?亲测价格查询方法
2024年阿里云GPU服务器每小时收费因实例规格不同而异。可通过阿里云GPU服务器页面选择“按量付费”查看具体价格。例如,NVIDIA A100的gn7e实例为34.742元/小时,NVIDIA A10的gn7i实例为12.710156元/小时。更多详情请访问阿里云官网。
39 2
|
3天前
|
弹性计算
阿里云2核16G云服务器多少钱?亲测ECS内存型r8i租赁价格
阿里云2核16G云服务器,内存型r8i实例1年6折优惠后价格为1901元,月付334.19元,按小时计费0.696221元。更多配置及优惠详情,请访问阿里云ECS页面。
|
24天前
|
存储 弹性计算 安全
阿里云第七代云服务器ECS性能、适用场景与价格参考
阿里云第七代云服务器ECS(Elastic Compute Service)作为阿里云最新一代的高性能计算产品,凭借其基于最新硬件架构和虚拟化技术的全面升级,在计算能力、存储性能、网络传输速度以及灵活性等多个方面实现了显著提升。这一代云服务器旨在为用户提供更为强大、稳定且可定制的云端基础设施服务,广泛适用于从基础的Web托管到复杂的高性能计算等多种应用场景。
|
23天前
|
弹性计算 网络安全
阿里云国际OpenAPI多接口快速管理ECS服务器教程
阿里云国际OpenAPI多接口快速管理ECS服务器教程
|
12天前
|
存储 弹性计算 NoSQL
"从入门到实践,全方位解析云服务器ECS的秘密——手把手教你轻松驾驭阿里云的强大计算力!"
【10月更文挑战第23天】云服务器ECS(Elastic Compute Service)是阿里云提供的基础云计算服务,允许用户在云端租用和管理虚拟服务器。ECS具有弹性伸缩、按需付费、简单易用等特点,适用于网站托管、数据库部署、大数据分析等多种场景。本文介绍ECS的基本概念、使用场景及快速上手指南。
49 3
|
17天前
|
存储 弹性计算 编解码
通过阿里云的活动租赁云服务器时如何选择实例规格?选择指南参考
新手用户通过阿里云的活动租赁云服务器的时候实例规格应该怎么选?目前在阿里云的活动中,可选的云服务器类型除了轻量应用服务器之外,云服务器的主要实例规格有经济型e、通用算力型u1和计算型c7与c8y、通用型g7与g8y、内存型r7与r8y等实例,但是对于新手来说,由于是初次购买,实例规格往往不知道怎么选择了。本文为大家展示阿里云目前活动中各云服务器实例规格性能、适用场景以及选择指南参考。
|
21天前
|
弹性计算 开发框架 .NET
阿里云服务器购买教程及云服务器地域、实例、操作系统、带宽等参数选择指南
对于初次购买阿里云服务器的用户来说,想使用阿里云服务器搭建网站或者运行APP、小程序等项目,第一步就是要先购买阿里云服务器,下面小编以图文形式给大家介绍一下阿里云服务器的购买流程,以及购买过程中如何云服务器地域、实例、带宽等关键配置和选择这些参数的一些注意事项,以供参考。
|
24天前
|
域名解析 网络协议 数据安全/隐私保护
阿里云轻量应用服务器搭建WordPress个人博客教程
阿里云轻量应用服务器搭建WordPress个人博客教程

相关产品

  • 云服务器 ECS