手动为Kubernetes节点添加阿里云RAM角色
容器服务Kubernetes需要通过节点的RAM角色权限来访问云服务。早期创建的集群没有设置相应的RAM角色,如果不先对进群内的节点进行RAM角色绑定,而直接升级集群的话,则会影响云监控、ingress和cloud-controller-manager等组件的正常工作。可以通过以下步骤手动为ECS 绑定RAM角色。
步骤1
首先,我们需要确认Kubernetes节点是否已经绑定了RAM角色。打开...
查看全文 >>
RAM 子账号在 ECS 控制台创建实例该授哪些权限
所需授权的API Actions
DescribeImages
DescribeVpcs
DescribeVSwitches
DescribeSecurityGroups
DescribeKeyPairs
DescribeTags
CreateInstance 创建包年包月ECS授该权限,若需要查看包年包月订单并支付订单需要授权 AliyunBSSOrderAccess 系统策略
RunIns...
查看全文 >>
安全管理最佳实践系列:给ECS实例配置一个RAM角色身份(使用动态STS-Token访问云服务API)
问题描述
AK(AccessKey)是代表用户身份的钥匙,是用户访问阿里云API的身份认证密钥。如果部署在ECS实例中的应用程序需要访问各种阿里云服务API,用户通常会将AK保存在应用程序的配置文件中,使得应用程序能读取AK来调用阿里云服务API。这里存在两个问题:(1) 保密性问题。不管AK以何种形式存在于实例中,它都可能随着快照、镜像及镜像创建出来的实例被泄露。(2) 难运维性问题。由于AK...
查看全文 >>
云服务器 ECS 最佳实践:借助于实例 RAM 角色访问其它云产品 API
借助于实例 RAM 角色访问其它云产品 API
概述
以往部署在 ECS 实例中的应用程序如果需要访问阿里云其他云产品的 API,您通常需要借助 Access Key ID 和 Access Key Secret(下文简称 AK)来实现。AK 是您访问阿里云 API 的密钥,具有相应账号的完整权限。为了方便应用程序对 AK 的管理,您通常需要将 AK 保存在应用程序的配置文件中或以其他方式保存...
查看全文 >>
ECS实例RAM角色实践
ECS实例RAM角色快速入门
概述
以往部署在ECS实例中的应用程序如果需要访问阿里云其他云产品的API,通常需要借助于AccessKeyId和AccessKeySecret(下文简称AK)来实现。AK是用户访问阿里云API的密钥,具有相应账户的完整权限。但是为了方便应用程序对AK的管理,用户通常需要将AK保存在应用程序的配置文件中或以其他方式保存在实例中。这在一定程度上增加了AK管理上的复杂性...
查看全文 >>
如何使用标签(TAG RAM)控制对ECS 资源的访问?
问题
如何创建RAM (Resource Access Management)策略以使用标签控制对 云服务器(Elastic Compute Service,ECS)实例的访问?
场景描述
控制对ECS 实例部署的访问,具体操作如下所示
添加标签:向实例中添加特定标签,您希望向用户或组授予对这些实例的访问权限。
创建RAM策略:创建一个 RAM 策略,以授予对任何带该特定标签的实例的访问权...
查看全文 >>
Terraform 助力 ECS 实例借助 RAM 管理阿里云产品
众所周知,不论以怎样的方式访问阿里云产品的 API,拥有账号完整权限的密钥AK(Access Key ID 和 Access Key Secret,简称 AK)是必不可少的参数。因此,对 AK 的有效管理是每个调用阿里云 API 的应用程序首先需要解决的问题。
对于部署在 ECS 实例上的应用程序而言,为了方便对 AK 的管理,通常需要将 AK 保存在应用程序的配置文件中或 ECS 实例的环境变...
查看全文 >>
手动为Kubernetes Worker节点添加实例角色
手动为Kubernetes Worker节点添加实例角色
容器服务Kubernetes通过节点的实例角色权限来访问云服务。早期创建的集群没有设置相应的实例角色,可以通过以下步骤手动为ECS attach 实例角色。
步骤1.
打开ECS控制台, 找到您需要添加实例角色的ECS,点击[更多]->[实例设置]-> [授予/收回RAM角色]
步骤2.
在弹出的框中选择一个已有的Kuber...
查看全文 >>
高阶实践:强制TAG——自动化打标签运维
问题
基于访问控制 (RAM) 策略来授予子账号(RAM User)在指定的标签(TAG)下 管理 ECS 中 资源(支持标签的资源)的权限, 该策略必须限制在标签(TAG)级别权限,以便 RAM 子账号可以管理包含特定标签的 ECS 资源。
场景描述
使用指定标签(TAG)为子账号(RAM User)限定访问ECS资源的边界,这里指支持标签的ECS资源:实例/磁盘/网卡/安全组/快照/镜像/密...
查看全文 >>
如何在阿里云上安全的存放您的配置 - 续
在《如何在阿里云上安全的存放您的配置》一文中,我们介绍了如何通过ACM存放您的敏感配置,并进行加密。这样做的目的有两个:
在应用程序或对应生产环境容器或系统中,无需持久化任何敏感数据信息(如数据库连接串,等),以防止生产环境或开发过程中的敏感信息泄露。
配置数据在配置中心存放且全程加密,进一步保证数据的安全性。
然而在之前文章中,其中一个遗留问题是如何存放访问ACM配置本身的敏感信息,比如要...
查看全文 >>
