一分钟了解阿里云产品：访问控制

一、             概述

阿里云发布的产品种类繁多，今天让我们一起来了解下访问控制这款产品吧。

什么是访问控制呢？

访问控制（Resource Access Management）是一个稳定可靠的集中式访问控制服务。您可以通过访问控制将阿里云资源的访问及管理权限分配给您的企业成员或合作伙伴。使用RAM，您可以创建、管理用户账号（比如员工、系统或应用程序），并可以控制这些用户账号对您名下资源具有的操作权限。当您的企业存在多用户协同操作资源时，使用RAM可以让您避免与其他用户共享云账号密钥，按需为用户分配最小权限，从而降低您的企业信息安全风险。

那么，访问控制有什么优势呢？

访问控制在功能上也做到了让用户满意。RAM包括下列功能：

• 集中控制RAM用户及其密钥：可以在云账号下创建并管理用户及其访问密钥，并可以为用户绑定/解绑多因素认证设备。

• 集中控制RAM用户的访问权限：可以为每个用户或用户组绑定一个或多个授权策略，限制用户对指定资源的操作权限。

• 集中控制RAM用户的资源访问方式：可以要求用户必须使用安全信道（如SSL）、指定时间范围、以及在指定源IP条件下才能操作指定的云资源。

• 集中控制RAM角色与外部账号的身份联盟管理：可以使用RAM角色与外部身份系统进行关联，满足直接使用外部身份登录到一个RAM角色身份访问阿里云控制台或API。

• 集中控制云资源：可以对用户创建的实例或数据进行集中控制。当用户离开您的组织时，这些实例或数据仍然受您的完全控制。

可能您会问到，“我处在什么样的应用或服务场景时，可以选择访问控制呢？”这里介绍下访问控制的常见应用场景：

• 企业子账号管理与分权。

• 不同企业之间的资源操作与授权管理。

• 云服务之间的资源代理操作与授权管理。

• 身份联盟（eg, 支持SSO）与授权管理。

• 针对不可信客户端App的临时授权管理。

访问控制典型特性介绍：

https://www.aliyun.com/product/ram/?spm=5176.383518.3.45.HRa8Y5

二、             技术点（访问控制五大热点技术问题分析）

在上一篇文章中，我们为大家介绍访问控制的概况，访问控制（Resource Access Management）是一个稳定可靠的集中式访问控制服务。您可以通过访问控制将阿里云资源的访问及管理权限分配给您的企业成员或合作伙伴。那在使用过程中，经常遇到的热门技术问题有哪些呢？

为主账号开启多因素认证：

https://help.aliyun.com/document_detail/ram/quick-start/bind_mfa.html?spm=5176.docram/intro/intro.6.88.SxB7OE

给员工创建RAM用户账号：

https://help.aliyun.com/document_detail/ram/quick-start/create-login-user.html?spm=5176.docram/quick-start/bind_mfa.6.89.ncyw8Z

为您的应用系统创建RAM用户账号：

https://help.aliyun.com/document_detail/ram/quick-start/create-app-user.html?spm=5176.docram/quick-start/create-login-user.6.90.sTtzIT

给RAM用户授权：

https://help.aliyun.com/document_detail/ram/quick-start/grant-user-permission.html?spm=5176.docram/quick-start/create-app-user.6.91.q7Qhz8

最佳实践原则：

https://help.aliyun.com/document_detail/ram/best-practice/best_practices.html?spm=5176.docram/best-practice/multiple_protection_to_root.6.94.YRYJ9E

希望上面的内容，能够对大家有所帮助。

三、             体验（授权用户客户端直接访问云存储）

STS是阿里云为客户提供的一种安全令牌管理服务，它是资源访问管理(RAM)产品家族中的一员。通过STS，获得许可的云服务或RAM用户可以自主颁发自定义时效和子权限的一个访问令牌。获得访问令牌的应用程序可以使用令牌直接调用阿里云服务API操作资源。

下面我们假设一个场景：您购买的OSS存储桶名称是thevideos，对第1个售出的安防监控设备命名为Device-001，每个设备都有自己的OSS存储目录，不同设备之间的数据存储和访问是隔离的。针对这一具体场景，我们来逐步揭开使用STS授权的面纱。

初始化配置与部署

在使用STS之前，我们需要在RAM中进行适当的配置，具体流程如下图所示。

请使用您的云账号身份登陆阿里云RAM管理控制台，执行以下操作：

1. 为AppServer创建一个RAM用户身份

进入RAM控制台，选择用户管理 -> 新建用户，填写登录名，并选择“为该用户自动生成AccessKey”，选择确定后RAM会创建用户并为该用户创建AccessKeyId和AccessKeySecret。

2. 为AppServer创建一个RAM角色并授权

进入RAM控制台，选择角色管理 -> 新建角色，在创建角色的弹窗中，选择角色类型为用户角色 -> 选择允许扮演此角色的可信身份 -> 填写角色名称和备注 ->创建成功。

然后再给角色授权。在角色详情页中，选择“添加授权策略”，这里选择“AliyunOSSFullAccess”系统授权策略，完成授权。

3. 授权AppServer用户可以扮演该角色。

进入用户授权策略页面，选择添加授权策略，选择AliyunSTSAssumeRoleAccess系统授权策略即可。

4. 部署AppServer。

临时授权令牌的颁发与使用

RAM配置完成后，AppServer便可以使用STS为客户端颁发临时授权令牌，具体流程如下图所示。

我们假设当客户端设备连接到AppServer之后，开始向AppServer请求访问OSS的临时授权令牌。

安全性分析

避免安全风险的最佳实践原则之一是让每个子系统在运行时都使用最小权限。那么，当一个子系统被攻破时，它不会对全局造成系统性破坏。

(1)由于AppServer的角色拥有OSS完全访问权限，所以您在实施中应使用sessionAccessPolicy来进一步限制STS令牌的权限，从而满足最小授权原则。

(2) AppServer也有可能被攻击，所以您也应该对代表AppServer的RAM用户及RAM角色授予最小权限。

以上就是使用访问控制的体验过程，希望大家能有所收获。

如果您想详细了解访问控制，请访问：

https://bbs.aliyun.com/read/258090.html?spm=5176.bbsl279.0.0.nHO7tz