几日前,同事帮客户购买了几台服务器、一个SSL证书,因为客户没有阿里云账号,就直接在同事的账号下代为购买了,但没过多久这个客户提出要对这些产品进行独立管理,但这个同事的账号下不仅有帮这个客户购买的服务器,还有其他一些业务应用服务器,SSL证书也是同样的情况,总之就是要能够对这些资源进行细粒度的访问控制,让这个客户只能访问和管理到属于自己的资源。
要实现这个功能,在阿里云上有三种方式:
最初,可以通过编写自定义策略实现。
需要为这个客户单独建立一个自定义策略,这里的关键是要用阿里云的资源描述符准确的定位需要授权的资源。
例如这里描述了一台ECS服务器:
"Resource": "acs:ecs:::instance/i-947rvXXXX
像这种东西,我们就不能指望随便找个人就能设置明白了。
后来,为了降低使用门槛,阿里云推出了图形化的策略编辑界面,像这样:
但还是需要使用“代码”来定位和描述资源。谁能告诉我SSL证书的资源描述应该怎么写?
随着资源组的推出,终于不用再写代码了。
用资源组解决同事遇到的问题只需三步:
第一步、创建一个新的资源组:
第二步、从默认资源组中转出SSL证书到新创建的资源组:
第三步、在新创建的资源组中为RAM账户授权。(PS:假设已经为我们的客户创建了RAM子账号,另外阿里云的权限策略名称支持中文搜索,定位需要的权限很容易)
这样我们敬爱的用户在用为其创建的RAM子账号登陆后就只能管理在资源组中的ECS服务器和SSL证书了。
目前除了ECS服务器和SSL证书外,阿里云资源组还支持对如下资源进行细粒度的管理:
云数据库RDS、负载均衡SLB、内容分发网络CDN、专有网络VPC、共享带宽、弹性公网IP、云解析DNS、全局流量管理(类F5 GSLB全局负载均衡)、Private Zone (内网DNS)、新BGP高防IP、阿里云Elasticsearch、DDoS防护包(机房侧抗DDoS)、数据库审计、堡垒机、WAF、加密服务、物联网(设备或产品)、云数据库Redis版、云数据库POLARDB、E-MapReduce。
目前支持资源组的服务:
有了资源组,不管是在组织内、还是跨组织的资源分配和管理都将更加简单高效,最重要的是内勤小白也能用的明白,我想这就是云资源访问控制该有的样子吧。
