咨询第一定律:不管客户和你说什么,问题总会有。
咨询第二定律:不管一开始看起来什么样,它永远是人的问题。
咨询第三定律:永远别忘了客户是按小时付费,而不是按解决方案付费的。
————《咨询的奥秘》
在上周的《看云栖说云栖 —— 云操作系统的视窗界面》中,SAP告诉我们如何使用资源目录来解决多个云账号的统一管理问题。这里的资源目录是阿里云开发的一项资源管理功能,通过资源目录可以根据实际的组织架构创建对应的资源架构,并在对应的架构节点上创建或者邀请云账号加入。新创建的云账号可以没有登陆的功能而只是资源的容器。假如是没有登陆功能的云账号被称为资源账号,有登陆功能的账号被称为云账号,资源账号可以转化为云账号。而创建资源目录的云账号被称为根账号。根账号自动拥有被邀请进资源目录的云账号中资源的访问权限,并可以成为其他云账号的付款账号,为其购买的云资源支付费用。
通常情况下,不应使用根账号访问资源目录中的资源,而是应该创建RAM子账号、RAM角色通过授权来使用这些资源,而且作为纯粹资源容器的资源账号下的资源只能通过RAM账号和RAM角色访问,而不能通过根账号直接访问,从而安全性更高。
RAM子账号是一种实体身份,有确定的身份ID和身份凭证,通常与某个确定的人或应用程序一一对应。一个云账号下可以创建多个RAM子账号。
RAM角色是一种虚拟用户,没有确定的身份认证密钥,需要被一个受信的实体用户扮演才能正常使用。RAM角色可以被赋予一组权限策略,在被拥有实体身份的账号扮演后实体将拥有这组权限来对资源进行访问。
RAM子账户和RAM角色不仅支持在阿里云体系内使用,还支持SSO(单点登录),可以和企业内部的本地idP进行整合,阿里云支持的本地idP包括:Microsoft Active Directory Federation Service(AD FS)、Shibboleth等。
阿里云支持两种SSO方式:
- 用户SSO:通过SSO来确定RAM用户,用户登录后,使用RAM用户访问阿里云。用户SSO方式需要定期在企业内部和阿里云之间进行RAM用户同步。
- 角色SSO:通过SSO来确定RAM角色,用户登录后,使用该RAM角色的令牌来获取资源的访问权限。使用该方式的前提是要访问的资源支持通过STS令牌方式进行访问。
云账号在被创建或者邀请进入资源目录后可以将本账号下的资源共享给一个或多个在同一资源目录下的云账号,这个功能叫做资源共享。这些在同一资源目录下的账号统称为成员账号。
目前仅支持把vSwitch共享给其他成员账号。资源共享的一个典型应用场景是一个账号创建一个VPC并将其中的vSwitch共享给其他成员账号。其他成员账号就可以在这个vSwitch下部署云资源,从而以便捷的方式实现多个云账号下的资源互通和共享。
