BpClientCase(id=2, title=杭州点望科技有限公司, thumbnail=https://channel-static-resource-online.oss-cn-hangzhou.aliyuncs.com/bp-admin/sr-RNY0ES2WYNGWO0WD.png, status=1, sort=1, tagList=[BpClientTag(id=3, name=新零售, status=1, sort=3)], extensionList=[BpClientCaseExtension(id=1893, title=客户简介, description=
亲宝宝是杭州点望科技有限公司面向孕期家庭以及0至6岁幼儿宝宝推出的,提供成长记录云空间、智能育儿助手、自有品牌商品、线上早教在内的一项专业贴心的服务。这项始于家庭亲子相册的服务,最初的设想是帮助小宝宝的爸爸妈妈、爷爷奶奶、姥爷姥姥等亲人随时把拍摄的所有照片,通过“亲宝宝”APP汇集起来,记录小宝宝的成长过程,承载起全家人的美好回忆与快乐时光。
, sort=5, simpleDescription=亲宝宝是杭州点望科技有限公司面向孕期家庭以及0至6岁幼儿宝宝推出的,提供成长记录云空间、智能育儿助手、自有品牌商品、线上早教在内的一项专业贴心的服务。这项始于家庭亲子相册的服务,最初的设想是帮助小宝宝的爸爸妈妈、爷爷奶奶、姥爷姥姥等亲人随时把拍摄的所有照片,通过“亲宝宝”APP汇集起来,记录小宝宝的成长过程,承载起全家人的美好回忆与快乐时光。), BpClientCaseExtension(id=1892, title=客户需求, description=
客户业务及技术挑战:
1、由于历史原因启用了主账号的AK,存在严重的安全隐患。子账号的AK调用链路和使用场景也缺乏有效的排查手段。如何在满足业务实际需要且不影响线上业务的同时,通过有效的管理手段对AK的使用现状进行整改实现云上资产安全加固,成为运维人员迫切需要解决的问题。
2、客户的图片转码和内容安全检测应用部署在ACK,业务高峰期时需要手动在控制台添加ECS扩容,效率低,无法及时响应业务。另一方面,弹性按量资源长时间运行,成本上有不小的压力。
, sort=4, simpleDescription=客户业务及技术挑战:1、由于历史原因启用了主账号的AK,存在严重的安全隐患。子账号的AK调用链路和使用场景也缺乏有效的排查手段。如何在满足业务实际需要且不影响线上业务的同时,通过有效的管理手段对AK的使用现状进行整改实现云上资产安全加固,成为运维人员迫切需要解决的问题。2、客户的图片转码和内容安全检测应用部署在ACK,业务高峰期时需要手动在控制台添加ECS扩容,效率低,无法及时响应业务。另一方面,弹性按量资源长时间运行,成本上有不小的压力。), BpClientCaseExtension(id=1891, title=客户价值, description=
1、资产安全:
a.通过开通操作审计ActionTail,排查所有AK的调用路径。通过“先禁用后删除”的策略清理非必要AK。推动DataWorks支持子账号AK,实现最终主账号AK的停用。创建跟踪保留账号的读写事件投递到日志服务,方便事后的操作审计。
b.主账号创建管理员权限的RAM子账号,日常运维管理通过有管理员权限的RAM子账号进行。主账号不参与。开通MFA多因素认证,保证账号登录安全。
c.亲宝宝APP主要的应用场景就是用户通过APP上传图片视频到对象存储OSS,因为服务端需要对图片进行处理所以没有采纳STS的方式实现APP直传文件到OSS,而是APP发送请求到服务端,调用AK上传到OSS统一由服务端完成。核心AK的授权策略严格限制了IP调用来源,进一步保证AK调用的环境安全。
d.亲宝宝基于EMR+OSS架构落地云上数据湖方案,其中EMR中的ECS需要访问OSS对象存储,启用了ECS RAM role的方式,直接从授权的ECS上向元数据中心发起STS调用获取临时token的认证信息访问OSS,避免AK的使用和泄露。
2、效率提升:
在已有的ACK集群安装 virtual-node 组件添加虚拟节点,实现 ECS + ECI 计算资源的混合部署,安装virtual-kubelet-autoscaler 组件在业务访问高峰期自动快速扩容到 ECI。原来在控制台手动扩容ECS需要 8 分钟,通过 ECI 将扩容时间大幅缩短至 2 分钟,且全流程都是系统自动完成无需人工干预,极大提升运维效率,在对已有业务部署无任何侵入性的前提下,保障高峰期业务正常平稳运行。结合预留实例券RI对长时间运行的按量资源进行费用抵扣,保证资源灵活性的同时降低使用成本。
, sort=3, simpleDescription=1、资产安全: a.通过开通操作审计ActionTail,排查所有AK的调用路径。通过“先禁用后删除”的策略清理非必要AK。推动DataWorks支持子账号AK,实现最终主账号AK的停用。创建跟踪保留账号的读写事件投递到日志服务,方便事后的操作审计。 b.主账号创建管理员权限的RAM子账号,日常运维管理通过有管理员权限的RAM子账号进行。主账号不参与。开通MFA多因素认证,保证账号登录安全。 c.亲宝宝APP主要的应用场景就是用户通过APP上传图片视频到对象存储OSS,因为服务端需要对图片进行处理所以没有采纳STS的方式实现APP直传文件到OSS,而是APP发送请求到服务端,调用AK上传到OSS统一由服务端完成。核心AK的授权策略严格限制了IP调用来源,进一步保证AK调用的环境安全。 d.亲宝宝基于EMR+OSS架构落地云上数据湖方案,其中EMR中的ECS需要访问OSS对象存储,启用了ECSRAMrole的方式,直接从授权的ECS上向元数据中心发起STS调用获取临时token的认证信息访问OSS,避免AK的使用和泄露。2、效率提升:在已有的ACK集群安装virtual-node组件添加虚拟节点,实现ECS+ECI计算资源的混合部署,安装virtual-kubelet-autoscaler组件在业务访问高峰期自动快速扩容到ECI。原来在控制台手动扩容ECS需要8分钟,通过ECI将扩容时间大幅缩短至2分钟,且全流程都是系统自动完成无需人工干预,极大提升运维效率,在对已有业务部署无任何侵入性的前提下,保障高峰期业务正常平稳运行。结合预留实例券RI对长时间运行的按量资源进行费用抵扣,保证资源灵活性的同时降低使用成本。), BpClientCaseExtension(id=1890, title=客户之声, description=
阿里云AK防泄漏最佳实践为我们权限体系优化提供了较完善的解决方案,特别是在大数据产品应用过程中,我们参考了最佳实践,顺利完成了AK整合,更加有效地保证云上资产安全。在亲宝宝视频图片转码及鉴黄业务中,我们经常在节假日,周末会遇到流量高峰,为充分利用集群弹性资源,我们参考了基于ECI的ACK集群高弹性架构最佳实践,快速实现基于ECI的serverless改造,帮助我们打造高效业务的同时合理降低了研发成本,感谢阿里云最佳实践团队。
, sort=2, simpleDescription=阿里云AK防泄漏最佳实践为我们权限体系优化提供了较完善的解决方案,特别是在大数据产品应用过程中,我们参考了最佳实践,顺利完成了AK整合,更加有效地保证云上资产安全。在亲宝宝视频图片转码及鉴黄业务中,我们经常在节假日,周末会遇到流量高峰,为充分利用集群弹性资源,我们参考了基于ECI的ACK集群高弹性架构最佳实践,快速实现基于ECI的serverless改造,帮助我们打造高效业务的同时合理降低了研发成本,感谢阿里云最佳实践团队。), BpClientCaseExtension(id=1889, title=解说人, description=
运维负责人 薛明
, sort=1, simpleDescription=运维负责人薛明)], fileList=[BpFile(id=221, bpId=142, name=AK防泄漏, author=null, keyword=null, description=正确使用AK可以有效降低安全风险,尽量使用临时AK Token或最小粒度授权的子账号AK。, position=null, ossUrl=bp-S30QQ6U5JRLVZ13M.pdf, tags=null, level=2, tagList=null, products=null, productList=[Product(id=41, name=云服务器ECS, description=云服务器 ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,助您降低 IT 成本,提升运维效率,使您更专注于核心业务创新。
, link=https://www.aliyun.com/product/ecs
, productName=null, logo=null, code=ecs), Product(id=50, name=访问控制, description=RAM 使您能够安全地集中管理对阿里云服务和资源的访问。您可以使用 RAM 创建和管理用户和组,并使用各种权限来允许或拒绝他们对云资源的访问。
, link=https://www.aliyun.com/product/ram
, productName=null, logo=null, code=ram), Product(id=64, name=云安全中心, description=云安全中心是一个实时识别、分析、预警安全威胁的统一安全管理系统,通过防勒索、防病毒、防篡改、合规检查等安全能力,帮助用户实现威胁检测、响应、溯源的自动化安全运营闭环,保护云上资产和本地主机并满足监管合规要求。
, link=https://www.aliyun.com/product/sas
, productName=null, logo=null, code=sas), Product(id=72, name=操作审计, description=操作审计(ActionTrail)会记录您的云账户资源操作,提供操作记录查询,并可以将审计事件保存到您指定的日志服务Logstore或者OSS存储空间。利用ActionTrail保存的所有操作记录,您可以实现安全分析、资源变更追踪以及合规性审计。
, link=https://www.aliyun.com/product/actiontrail
, productName=null, logo=null, code=actiontrail), Product(id=151, name=云速搭CADT, description=云速搭CADT是一款为上云应用提供自助式云架构管理的产品,显著地降低应用云上管理的难度和时间成本。本产品提供丰富的预制应用架构模板,同时也支持自助拖拽方式定义应用云上架构;支持较多阿里云服务的配置和管理。用户可以方便的对云上架构方案的成本、部署、运维、回收进行全生命周期的管理。, link=https://www.aliyun.com/product/developerservices/cadt, productName=null, logo=null, code=bpstudio)], hotspot=null, oneClick=null, createTime=null, modifiedTime=null, timeConsuming=null, status=0, pdfDescription=null, templateId=null, freetry=null, visitTime=null, visitCount=null, video_url=null, buttonName=null, buttonUrl=null, targetId=null, partner=null, partnerUrl=null, partnerLogo=null, cooperation=null, cooperationList=null)], description=最佳实践助力亲宝宝完成AK安全改造及构建高弹性低成本容器集群, voiceId=4, voice=BpClientVoice(id=4, title=最佳实践助力亲宝宝完成AK安全改造及构建高弹性低成本容器集群, description=亲宝宝是杭州点望科技有限公司面向孕期家庭以及0至6岁幼儿宝宝推出的,提供成长记录云空间、智能育儿助手、自有品牌商品、线上早教在内的一项专业贴心的服务。这项始于家庭亲子相册的服务,最初的设想是帮助小宝宝的爸爸妈妈、爷爷奶奶、姥爷姥姥等亲人随时把拍摄的所有照片,通过“亲宝宝”APP汇集起来,记录小宝宝的成长过程,承载起全家人的美好回忆与快乐时光。阿里云AK防泄漏最佳实践为我们权限体系优化提供了较完善的解决方案,特别是在大数据产品应用过程中,我们参考了最佳实践,顺利完成了AK整合,更加有效地保证云上资产安全。在亲宝宝视频图片转码及鉴黄业务中,我们经常在节假日,周末会遇到流量高峰,为充分利用集群弹性资源,我们参考了基于ECI的ACK集群高弹性架构最佳实践,快速实现基于ECI的serverless改造,帮助我们打造高效业务的同时合理降低了研发成本,感谢阿里云最佳实践团队。, videoUrl=http://cloud.video.taobao.com/play/u/3581694279/p/1/e/6/t/1/296335768292.mp4, status=1, sort=1, tagList=[BpClientTag(id=4, name=文化产业, status=1, sort=1)], company=杭州点望科技有限公司, thumbnail=https://channel-static-resource-online.oss-cn-hangzhou.aliyuncs.com/bp-admin/sr-TE4FM2303GND5F8D.png, ccase=BpClientCase(id=2, title=杭州点望科技有限公司, thumbnail=https://channel-static-resource-online.oss-cn-hangzhou.aliyuncs.com/bp-admin/sr-RNY0ES2WYNGWO0WD.png, status=1, sort=1, tagList=null, extensionList=null, fileList=null, description=最佳实践助力亲宝宝完成AK安全改造及构建高弹性低成本容器集群, voiceId=4, voice=null, partner=, partnerUrl=, partnerLogo=, projectName=), poster=https://channel-static-resource-online.oss-cn-hangzhou.aliyuncs.com/bp-admin/sr-WG1PR90UX9WE3APX.jpg), partner=, partnerUrl=, partnerLogo=, projectName=)