"朕亦甚想你"——从后宫管理看阿里云访问控制(下)-阿里云开发者社区

开发者社区> 阿里云存储服务> 正文
登录阅读全文

"朕亦甚想你"——从后宫管理看阿里云访问控制(下)

简介: 本文从后宫切入,类比简述了阿里云访问控制(RAM)的概念。对用户授权、角色扮演给出详细的操作方法。然后以OSS为例,详细说明了权限问题的排除方法。本文的目的是让读者快速熟悉RAM、快速上手、快速解决遇到的问题。

相关文章:"朕亦甚想你"——从后宫管理看阿里云访问控制(上)

授权策略管理

  控制台上,授权策略管理界面,如下图所示。

_

  系统授权策略,阿里云提供的一组通用授权策略,主要针对不同产品的只读权限、所有权限。对于阿里云提供的这组授权策略,用户只能用于授权,不能编辑和修改。更详细的解释,请参看 系统授权策略
  有4个重要的系统授权策略您需要了解,应该会使用到它们。

系统授权策略 说明 备注
AdministratorAccess 管理所有阿里云资源的权限 用户下所有阿里云服务的所有权限
AliyunOSSFullAccess 管理开放存储服务(OSS)权限 用户下OSS所有Bucket和Object的所有权限
AliyunOSSReadOnlyAccess 只读访问开放存储服务(OSS)的权限 可以读取/列举OSS的所有Bucket和Object
AliyunSTSAssumeRoleAccess 调用STS服务AssumeRole接口的权限 子用户角色扮演需要拥有该权限

  如果您有更细粒度的授权需求,需要创建自定义授权策略。创建OSS的自定义授权策略,强烈建议使用 RAM Policy Editor 生成。控制台上授权策略管理的路径如下:

  • 创建自定义授权策略:访问控制 -> 授权策略管理 -> 自定义授权策略 -> 新建授权策略
  • 查看自定义授权策略:访问控制 -> 授权策略管理 -> 自定义授权策略 -> 查看
  • 修改自定义授权策略:访问控制 -> 授权策略管理 -> 自定义授权策略 -> 修改
  • 删除自定义授权策略:访问控制 -> 授权策略管理 -> 自定义授权策略 -> 删除

扮演角色

流程

  后宫中人员充当角色,需要皇后的遴选或批准。阿里云访问控制中临时用户怎么扮演角色呢?流程如下:

_

  上述步骤详细说明如下表:

步骤 说明
1.创建角色并授权 在控制台完成,步骤请参考“授权->授权->角色授权”。
2.创建子用户并授权AliyunSTSAssumeRoleAccess 在控制台完成,步骤请参考“授权->授权->子用户授权”。只能由子用户申请角色扮演,主用户、临时用户不可以。子用户必须授予AliyunSTSAssumeRoleAccess权限后,才能申请角色扮演。
在后宫,皇上是不管理宫女、宦官等角色的。皇上许可后,皇后管理后宫各角色。皇上许可相当于授予了AliyunSTSAssumeRoleAccess权限。
3.申请临时用户扮演角色 需要使用STS SDK的完成,调用AssumeRole接口。下面重点讲述,给出Java SDK的示例。
临时用户的权限跟扮演的角色有关,跟子用户的权限没有关系。
4.临时用户密钥 AssumeRole接口会返回密钥,即AccessKeyID、AccessKeySecret、SecurityToken。
5.密钥返回给临时用户 临时用户获取到密钥。
6.使用密钥访问OSS 临时用户使用密钥访问OSS等阿里云服务。

  第3步,需要使用STS SDK完成。以Java SDK说明使用方法。在Maven工程中添加如下依赖。

<dependency>
  <groupId>com.aliyun</groupId>
  <artifactId>aliyun-java-sdk-sts</artifactId>
  <version>2.1.6</version>
</dependency>
<dependency>
  <groupId>com.aliyun</groupId>
  <artifactId>aliyun-java-sdk-core</artifactId>
  <version>2.1.7</version>
</dependency>

代码如下:

public class StsServiceSample {
    // 目前只有"cn-hangzhou"这个region可用, 不要使用填写其他region的值
    public static final String REGION_CN_HANGZHOU = "cn-hangzhou";
    // 当前 STS API 版本
    public static final String STS_API_VERSION = "2015-04-01";
    // STS服务必须为 HTTPS
    public static final ProtocolType STS_PROTOCOL_TYPE = ProtocolType.HTTPS;

static AssumeRoleResponse assumeRole(String accessKeyId,String accessKeySecret, String roleArn, String roleSessionName, String policy, long expired, ProtocolType protocolType)
throws ClientException {
        // 创建一个 Aliyun Acs Client, 用于发起 OpenAPI 请求
        IClientProfile profile = DefaultProfile.getProfile(REGION_CN_HANGZHOU, 
                accessKeyId, accessKeySecret);
        DefaultAcsClient client = new DefaultAcsClient(profile);

        // 创建一个 AssumeRoleRequest 并设置请求参数
        final AssumeRoleRequest request = new AssumeRoleRequest();
        request.setVersion(STS_API_VERSION);
        request.setMethod(MethodType.POST);
        request.setProtocol(protocolType);
        request.setRoleArn(roleArn);
        request.setRoleSessionName(roleSessionName);
        request.setPolicy(policy);
        request.setDurationSeconds(expired);

        // 发起请求,并得到response
        return client.getAcsResponse(request);
    }

    public static void main(String[] args) {
        // 只有 子账号才能调用 AssumeRole接口
        // 阿里云主账号的AccessKeys不能用于发起AssumeRole请求
        // 请首先在RAM控制台创建子用户,并为这个用户创建AccessKeys
        String accessKeyId = "b6R5********SQmR";
        String accessKeySecret = "QzubQ****Dzzc****eCdD****LPjF4";
        
        // AssumeRole API 请求参数: RoleArn, RoleSessionName, Policy, and
        // DurationSeconds
        // RoleArn可以到控制台上获取,路径是 访问控制 > 角色管理 > 角色名称 > 基本信息 > Arn
        String roleArn = "acs:ram::10858****7845250:role/accessossforinnerrole";
        
        // RoleSessionName 是临时Token的会话名称,自己指定用于标识你的用户,主要用于审计,或者用于区分Token颁发给谁
        // 但是注意RoleSessionName的长度和规则,不要有空格,只能有'-' '_' 字母和数字等字符
        // 具体规则请参考API文档中的格式要求
        String roleSessionName = "alice-001";

        // 如何定制你的policy,如果policy为null,则STS的权限与roleArn的policy的定义的权限
        String policy = null;

        // 过期时间设置默认是一小时,单位秒有效值是[900, 3600],即15分钟到60分钟。
        long expired = 3600;

        try {
            AssumeRoleResponse response = assumeRole(accessKeyId,accessKeySecret, roleArn, roleSessionName, policy, expired, STS_PROTOCOL_TYPE);

            System.out.println("Expiration: " + response.getCredentials().getExpiration());
            System.out.println("Access Key Id: " + response.getCredentials().getAccessKeyId());
            System.out.println("Access Key Secret: " + response.getCredentials().getAccessKeySecret());
            System.out.println("Security Token: " + response.getCredentials().getSecurityToken());
        } catch (ClientException e) {
            System.out.println("Error code: " + e.getErrCode());
            System.out.println("Error message: " + e.getErrMsg());
        }
    }
}

  上面代码的完整示例,请参看 GitHub ;

  其它的STS SDK的使用示例,请参考:

  STS SDK使用更详细的说明,请参看 STS SDK使用手册

角色扮演常见问题

  角色扮演场景错误及原因如下:

序号 问题 原因
1 ErrorCode: NoPermission
ErrorMessage: Roles may not be assumed by root accounts.
使用主用户的密钥调用AssumeRole,请使用子用户的密钥。
2 ErrorCode: MissingSecurityToken
ErrorMessage: SecurityToken is mandatory for this action.
使用临时用户的密钥调用AssumeRole,请使用子用户的密钥。
3 Error code: InvalidAccessKeyId.NotFound
Error message: Specified access key is not found
AccessKeyId无效,请检查是否写错,特别是前后不能后空格。
4 Error code: InvalidAccessKeyId.Inactive
Error message: Specified access key is disabled.
使用的子用户的密钥,已经被禁止,请启用密钥或更换密钥。 密钥是否被禁止,请控制台的“访问控制->用户管理->管理->用户详情->用户AccessKey”确认,并开启。
5 ErrorCode: InvalidParameter.PolicyGrammar
ErrorMessage: The parameter Policy has not passed grammar check.
角色扮演时指定的授权策略无效。AssumeRole时可以指定授权(Policy),也可以不指定。如果指定授权策略,则临时用户的权限是指定的授权策略和角色权限的交集;如果不指定授权策略,临时用户的权限是角色的权限。
报该错误时,请检查指定的授权策略Policy。不推荐临时用户扮演角色时指定授权策略。如果的确需要使用授权策略,强烈建使用 RAM Policy Editor 生成授权策略。
6 ErrorCode: InvalidParameter.RoleSessionName
ErrorMessage: The parameter RoleSessionName is wrongly formed.
角色扮演时指定RoleSessionName无效。此参数用来区分不同的Token,以标明谁在使用此Token,便于审计; 格式:^[a-zA-Z0-9.@-_]+$,2-32个字符,了解更多请参看 扮演角色操作接口。如命名a,1,abc\*abc,忍者神龟等都是非法的
7 ErrorCode: InvalidParameter.DurationSeconds
Error message: The Min/Max value of DurationSeconds is 15min/1hr.
角色扮演时指定的过期时间无效,即AssumeRoleRequest.setDurationSeconds参数无效。角色扮演时可以指定过期时间,单位为秒,有效时间是900 ~ 3600,如assumeRoleRequest.setDurationSeconds(60L * 20); 20分钟内有效。
8 ErrorCode: NoPermission
ErrorMessage: No permission perform sts:AssumeRole on this Role. Maybe you are not authorized to perform sts:AssumeRole or the specified role does not trust you
原因1:AssumeRole的子用户没有权限,请给子用户授予AliyunSTSAssumeRoleAccess系统授权策略。请在“访问控制->用户管理->授权->可选授权策略名称”中给子用户授权AliyunSTSAssumeRoleAccess。
原因2:申请角色扮演的子用户的云账号ID与角色的“受信云账号ID”不符,请角色创建者确认并修改。子用户的云账号ID,即创建子用户的主用户的ID;角色的云账号ID,即创建角色的主用户的云账号ID。请在如下位置确认修改 访问控制 -> 角色管理 -> 管理 -> 角色详细 -> 编辑基本信息 中确认修改。
原因3:角色的类型错误,如果角色的类型分为“用户角色”和“服务角色”,服务角色不能使用AssumeRole扮演临时用户。

最佳实践

  典型使用场景,请参看 RAM使用场景

  最佳实践原则,请参看 最佳实践原则

  最佳实践补充:

  • 权限分配要简洁明了,便于管理;
  • 子用户最好只有一个授权策略,或只加入一个群;
  • 角色最好只有一个授权策略;
  • 自定义授权策略命名尽量符合含义,备注中详细说明授予的权限和资源;
  • 授权策略尽量使用系统授权策略,更精细的权限管理,请使用RAM Policy Editor生成;
  • 子用户有重复授权现象,请使用群组;
  • 群组要有尽量少、尽量清晰的授权策略;
  • 扮演时角色尽量不指定policy,通过角色的权限控制。

常见问题及排查

OSS 403问题

  OSS返回的常见错误,请参看 OSS的错误响应
  其中403错误及原因如下表:

| 错误 | 错误码错误信息 | 错误原因 | 解决办法 |
| -------------- | --------------------------- | ---------------------------------------- | ------------------ |
| UserDisable.UserDisable | ErrorCode: UserDisable
ErrorMessage: UserDisable | 用户欠费或者因为安全原因被禁止访问 | OSS常见错误及排查 |
| RequestTimeTooSkewed | ErrorCode: RequestTimeTooSkewed
ErrorMessage: The difference between the request time and the current time is too large. | 发起请求的时间和服务器时间超出15分钟,一般是客户端系统时间错误 | OSS常见错误及排查 |
| InvalidAccessKeyId | ErrorCode: InvalidAccessKeyId
ErrorMessage: The OSS Access Key Id you provided does not exist in our records. | AccessKeyId无效/被禁止或者过期。 | OSS常见错误及排查 |
| SignatureDoesNotMatch | ErrorCode: SignatureDoesNotMatch
ErrorMessage: The request signature we calculated does not match the signature you provided. Check your key and signing method. | 客户端和服务计算的签名不符 | OSS常见错误及排查 |
| PostObject | ErrorCode: AccessDenied
ErrorMessage: Invalid according to Policy: Policy expired.
ErrorCode: AccessDenied
ErrorMessage: Invalid according to Policy: Policy Condition failed: … | PostObject中Policy无效 | PostObject |
| Cors | ErrorCode: AccessForbidden
ErrorMessage: CORSResponse: This CORS request is not allowed. This is usually because the evalution of Origin, request method / Access-Control-Request-Method or Access-Control-Requet-Headers are not whitelisted by the resource's CORS spec. | CORS没有配置或配置不对 | OSS设置跨域访问 |
| Refers | ErrorCode: AccessDenied
ErrorMessage: You are denied by bucket referer policy. | 请检查Bucket的Refers配置 | OSS防盗链 |
| AccessDenied | 见下面表权限问题错误及原因 | 无权限 | 下面详细讲述 |
| 其它小类错误 | | | |

权限问题

  权限问题错误及原因见下表:

序号 错误 原因
1 ErrorCode: AccessDenied
ErrorMessage: The bucket you are attempting to access must be addressed using the specified endpoint. Please send all future requests to this endpoint.
Bucket和Endpoint不符
2 ErrorCode: AccessDenied
ErrorMessage: You are forbidden to list buckets.
没有listBuckets权限
3 ErrorCode: AccessDenied
ErrorMessage: You do not have write acl permission on this object
无setObjectAcl权限
4 ErrorCode: AccessDenied
ErrorMessage: You do not have read acl permission on this object.
无getObjectAcl权限
5 ErrorCode: AccessDenied
ErrorMessage: The bucket you visit is not belong to you.
子用户没有Bucket管理的权限(如getBucketAcl CreateBucket、deleteBucket setBucketReferer、 getBucketReferer等)
6 ErrorCode: AccessDenied
ErrorMessage: You have no right to access this object because of bucket acl.
子用户/临时用户没有访问Object的权限(如putObject getObject、appendObject deleteObject、postObject)等
7 ErrorCode: AccessDenied
ErrorMessage: Access denied by authorizer's policy.
临时用户访问无权限,该临时用户角色扮演指定授权策略,该授权策略无权限
8 ErrorCode: AccessDenied
ErrorMessage: You have no right to access this object.
子用户/临时用户无当前操作权限(如initiateMultipartUpload等)

问题排查

  先熟悉如下操作:

  • 怎么辨别密钥是主用户、子用户还是临时用户的?
    临时的用户的密钥的AccessKeyID,以STS开头比较好辨认,如“STS.MpsSonrqGM8bGjR6CRKNMoHXe”。是否是主用户的密钥,需要到 控制台 查看AccessKeyID是否存在,如果存在说明是主用户;如果不存在,该用户子用户。在“访问控制 -> 用户管理 -> 管理 -> 用户详情 -> 用户AccessKey”,查看子用户的AccessKeyID,并找到对应的子用户。
  • 怎么查看子用户的权限,即子用户的授权策略?
    在控制台的如下位置查看,访问控制 ->用户管理 -> 管理(操作下方) -> 用户授权策略 -> 个人授权策略/加入组的授权策略 -> 查看权限。
  • 怎么查看临时用户的权限,即对应角色的权限?
    在控制的如下位置查看,临时用户 -> 访问控制 -> 角色管理 -> 管理(操作下方) -> 角色授权策略 -> 查看权限。

访问权限错误流程如下图。

_

权限检查流程一般如下:

_

如果检查不出来需要调试,步骤如下:

_

附录

常见问题排查连接

  OSS常见错误及排查  https://help.aliyun.com/document_detail/31945.html
  OSS授权常见问题  https://help.aliyun.com/knowledge_list/9091191.html

常用链接汇总

  阿里云官网  https://www.aliyun.com/
  阿里云控制台  https://home.console.aliyun.com/
  控制台访问控制主页面  https://ram.console.aliyun.com/
  控制台主用户密钥  https://ak-console.aliyun.com/
  阿里云访问控制帮助与文档  https://help.aliyun.com/product/8315075_28625.html
  阿里云授权策略语言  https://help.aliyun.com/document_detail/28664.html
  访问控制系统授权策略  https://help.aliyun.com/document_detail/28652.html
  访问控制角色扮演示例  https://help.aliyun.com/document_detail/28788.html
  对象存储OSS常见错误  https://help.aliyun.com/document_detail/32005.html
  对象存储OSS帮助与文档  https://help.aliyun.com/product/8314910_31815.html
  对象存储OSS安全管理  https://help.aliyun.com/document_detail/31867.html
  对象存储OSS常用授权策略  https://help.aliyun.com/knowledge_list/9091191.html
  OSS上做RAM主子账号的授权  http://www.atatech.org/articles/42666
  OSS授权策略生成工具RAM Policy Editor  http://oss-demo.aliyuncs.com/ram-policy-editor
  OSS常见错误及排查  https://help.aliyun.com/document_detail/31945.html

相关文章:"朕亦甚想你"——从后宫管理看阿里云访问控制(上)

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享: