201601上海云栖大会Workshop - 通过访问控制服务管理云上资源的权限

本文涉及的产品
日志服务 SLS,月写入数据量 50GB 1个月
访问控制,不限时长
简介:

目标

  • 了解访问控制服务要解决的问题以及所提供的功能
  • 能够创建并配置一个只读访问日志服务的子用户

准备工作

步骤

1. 开通访问控制服务

首先,您需要开通访问控制服务;进入阿里云官网首页(http://www.aliyun.com), 选择顶部导航栏的“产品”,进入“管理与监控”类目,您可以看到“访问控制(公测中)”,点击进入

screenshot

进入RAM详情页,点击"获取使用资格"进入开通页

screenshot

点击“立即开通”,即可启用访问控制服务;

screenshot

2. 配置企业别名

进入RAM控制台,选择左侧“设置”菜单,进入菜单后,选择“企业别名设置”选项卡,您可以在此页面设置通过编辑“企业别名”来设置您的企业别名;

screenshot

这里的企业别名是一个全局唯一的标识,所以这里您需要使用一个别人没有使用过的名称,示例中我们使用"aliyuncs"作为企业别名;

screenshot

我们一会会用到这个企业别名;

3. 创建子用户

进入RAM控制台,选择左侧的“子用户”菜单,然后点击右上角的“新建用户”按钮,您就可以看到“创建用户”的窗口;这里需要为子用户起一个名称,示例中我们起名叫“jasongao”。

screenshot

4. 为子用户分配只读权限

进入RAM控制台“用户管理”页,找到刚刚创建的子用户,选择右侧的“授权”,会弹出“编辑授权策略”窗口。

screenshot

在弹出的授权列表中的搜索框中输入“Log”找到和日志服务相关的权限,然后选择第二条"AliyunLogReadonlyAccess",点击“>”添加授权

screenshot

然后点击“确定”保存修改。

screenshot

5. 启用子用户控制台登录功能

进入RAM控制台“用户管理”页,找到刚刚创建的子用户,选择右侧的“管理”进入子用户详情页;

screenshot

进入子用户详情页后,点击“启用控制台登录”按钮

screenshot

启用控制台登录功能时,您需要为此用户设置初始密码。这里有一个选项“下次登录成功后重置密码”,如果这个子帐号是为别人创建,建议勾选。

screenshot

6. 使用子用户登录

进入RAM控制台概览页,您可以看到您的子用户登录链接,点击进入登录页

screenshot

进入登录页后,可以看到“企业别名”默认已经填好,然后需要填入刚刚创建的子用户用户名和密码,然后点击登录。

screenshot

登录成功后需要设置新的密码,输入新密码,然后点击“确认重置”,即可进入子用户控制台首页;

screenshot

7. 只读访问日志服务控制台

子用户成功登录后,选择“日志服务”进入日志服务控制台

screenshot

进入日志服务控制台后,选择您刚才创建的日志项目

screenshot

然后我们可以看到这个项目中的LogStore列表,选中查看,进入日志查看页:

screenshot

然后查询日期选择“一天”,点击查询,即可查询日志;

screenshot

下面我们来尝试一些破坏性的工作,例如删除LogStore;

screenshot

这时控制会报错“当前操作未被授权”

screenshot

大功告成,您已经成功的创建了日志服务只读帐号;

补充实验一: 带IP条件的访问控制只读访问云服务器

1. 获取当前IP地址

访问 http://ip.taobao.com/ipSearch.php

需要多刷几次页面,您的出口IP可能一个IP段而不是单个IP,这里我们假设出口IP是

42.121.84.160

2. 创建一个带有IP限制的自定义授权策略

使用主帐号进入RAM控制台,选择左侧的“授权策略管理”,然后点击右上角的“新建授权策略”,在弹出的窗口中选择“空白模板”

screenshot

然后这里我们将授权策略名称命名为"ecsip", 策略内容为

{
    "Statement": [
        {
            "Action": [
                "ecs:Describe*"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "IpAddress": {
                    "acs:SourceIp": [
                        "42.121.84.160"
                    ]
                }
            }
        },
        {
            "Action": "ecs:*",
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "IpAddress": {
                    "acs:SourceIp": [
                        "11.22.33.44"
                    ]
                }
            }
        }
    ],
    "Version": "1"
}

这个授权策略表示,允许从IP"42.121.84.160"只读查看云服务器信息;并且允许从IP"11.22.33.44"对ECS做任何操作;

注意,这里需要将IP地址"42.121.84.160"替换为您的公网IP;

screenshot

点击“新建授权策略”完成策略的创建

3. 为子用户授权ecsip授权策略

进入子用户列表,点击相应子用户条目右侧的授权选项,并添加ecsip授权策略

screenshot

4. 使用子用户登录ECS控制台,查看服务器信息

因为我们为当前IP授权了查看云服务器的权限,所以这时我们可以看到云服务器的所有信息;

screenshot

5. 尝试进行破坏性操作:重启服务器

虽然我们刚才也授权了云服务器的所有权限,但是加入了IP(11.22.33.44)这个IP无效IP的限定,所以最终应当无法重启服务器;

我们进入一台ECS的详情页,然后点击右上角的重启按钮

screenshot

然后系统让我们选择是否强制重启,随意选择,点击确定

screenshot

提示没有权限,符合预期;

screenshot

补充实验二: 为子用户启用多因素认证

1. 启用子帐号MFA登录功能

使用主帐号进入访问控制服务控制台,进入相应的子用户详情页,点击“必须开启多因素认证”为子用户开启多因素认证功能;

screenshot

2. 使用子帐号登录控制台

回到RAM控制台概览页,使用子帐号登录链接登录子帐号

screenshot

这时您会发现,系统要求子用户必须绑定多因素认证器才可继续登录;

3. 安装多因素验证器客户端

点击页面上的“身份宝”超链接进入身份宝安装页,然后使用手机扫码工具扫描身份宝安装二维码;

screenshot

然后可以看到手机端的身份宝安装页

screenshot

如果您使用的微信扫码工具,请在扫码后请点击右上角的"...",然后选择“在浏览器中打开”

screenshot

4. 绑定多因素认证器

安装成功后,打开身份宝,点击“添加账户”

screenshot

然后选择“扫描二维码”

screenshot

进入二维码扫描界面后,扫描MFA绑定页的二维码

screenshot

screenshot

当手机端成功扫描二维码后,在手机端可以看到一个每30秒变化一次的6位数字口令

screenshot

然后您需要将连续两组不相同的口令按顺序填入右侧,点击“确定启用”即完成MFA绑定

screenshot

5. 重新登录子用户,验证多因素验证口令

screenshot

相关实践学习
消息队列+Serverless+Tablestore:实现高弹性的电商订单系统
基于消息队列以及函数计算,快速部署一个高弹性的商品订单系统,能够应对抢购场景下的高并发情况。
云安全基础课 - 访问控制概述
课程大纲 课程目标和内容介绍视频时长 访问控制概述视频时长 身份标识和认证技术视频时长 授权机制视频时长 访问控制的常见攻击视频时长
目录
相关文章
|
3天前
|
安全 网络安全 数据安全/隐私保护
访问控制列表(ACL)是网络安全中的一种重要机制,用于定义和管理对网络资源的访问权限
访问控制列表(ACL)是网络安全中的一种重要机制,用于定义和管理对网络资源的访问权限。它通过设置一系列规则,控制谁可以访问特定资源、在什么条件下访问以及可以执行哪些操作。ACL 可以应用于路由器、防火墙等设备,分为标准、扩展、基于时间和基于用户等多种类型,广泛用于企业网络和互联网中,以增强安全性和精细管理。
24 7
|
2月前
|
网络协议 大数据 云栖大会
2024云栖大会 预告:IPv6与DNS基础资源专场
2024云栖大会 预告:IPv6与DNS基础资源专场
2024云栖大会 预告:IPv6与DNS基础资源专场
|
2月前
|
人工智能 Cloud Native Serverless
来云栖大会!探展云上开发,沉浸式体验云原生 + AI 新奇玩法
计算馆将展示中国最先进的云计算产业链全景,从底层硬件到数据创新,从云计算基础设施到数据管理服务、人工智能平台和模型服务,全景式呈现 AI 时代云计算最新技术形态和产品进展。计算馆有哪些推荐?往下看!
|
6月前
|
安全 网络安全 数据安全/隐私保护
【专栏】IT 知识百科:访问控制列表(ACL)是网络安全的关键机制,用于定义和管理网络资源的访问权限
【4月更文挑战第28天】访问控制列表(ACL)是网络安全的关键机制,用于定义和管理网络资源的访问权限。ACL工作原理包括定义规则、匹配规则和执行操作。标准ACL基于源IP过滤,扩展ACL则提供更多筛选条件。时间及用户基础的ACL提供更细化的控制。优点在于增强安全性和精细管理,但管理复杂性和性能影响也是挑战。未来,ACL将趋向智能化和自动化,与更多安全技术结合,以提升网络安全。**
404 0
|
3月前
|
监控 安全 数据安全/隐私保护
什么是访问控制服务?
【8月更文挑战第31天】
58 0
|
5月前
|
Java 数据安全/隐私保护
Java基础手册二(类和对象 对象创建和使用 面向对象封装性 构造方法与参数传递 this关键字 static关键字 继承 多态 方法覆盖 final关键字 访问控制权限修饰符)
Java基础手册二(类和对象 对象创建和使用 面向对象封装性 构造方法与参数传递 this关键字 static关键字 继承 多态 方法覆盖 final关键字 访问控制权限修饰符)
34 0
|
6月前
|
Web App开发 存储 Linux
Linux Apache服务详解——Apache服务访问控制
Linux Apache服务详解——Apache服务访问控制
435 7
|
6月前
|
数据库 数据安全/隐私保护
在阿里云中,访问控制(Resource Access Management,简称RAM)是权限管理系统,主要用于控制账号在阿里云中
在阿里云中,访问控制(Resource Access Management,简称RAM)是权限管理系统,主要用于控制账号在阿里云中
653 3
|
6月前
|
存储 数据安全/隐私保护 C++
第十五章:C++访问控制权限、继承和多态详解
第十五章:C++访问控制权限、继承和多态详解
288 0
|
11月前
|
人工智能 安全 架构师
2023云栖大会 | 阿里云无影打造企业云新生态,携手合作伙伴共话云上解决方案
2023云栖大会上,阿里云宣布无影全新升级2.0,对整体工具层、架构层和应用层进行全方位的重构和创新,并发布了无影企业云平台。11月1日的无影生态合作专场发布了产品伙伴合作计划,与首批企业云生态合作伙伴TCL、乐播投屏、贝锐向日葵、紫猫云电脑、广闻实业共同探讨如何基于企业云平台打造定制化的云电脑产品及解决方案,助力千行百业数字化。
1127 2