BpClientCase(id=2, title=杭州点望科技有限公司, thumbnail=https://channel-static-resource-online.oss-cn-hangzhou.aliyuncs.com/bp-admin/sr-RNY0ES2WYNGWO0WD.png, status=1, sort=1, tagList=null, extensionList=[BpClientCaseExtension(id=1893, title=客户简介, description=

亲宝宝是杭州点望科技有限公司面向孕期家庭以及0至6岁幼儿宝宝推出的，提供成长记录云空间、智能育儿助手、自有品牌商品、线上早教在内的一项专业贴心的服务。这项始于家庭亲子相册的服务，最初的设想是帮助小宝宝的爸爸妈妈、爷爷奶奶、姥爷姥姥等亲人随时把拍摄的所有照片，通过“亲宝宝”APP汇集起来，记录小宝宝的成长过程，承载起全家人的美好回忆与快乐时光。

, sort=5, simpleDescription=亲宝宝是杭州点望科技有限公司面向孕期家庭以及0至6岁幼儿宝宝推出的，提供成长记录云空间、智能育儿助手、自有品牌商品、线上早教在内的一项专业贴心的服务。这项始于家庭亲子相册的服务，最初的设想是帮助小宝宝的爸爸妈妈、爷爷奶奶、姥爷姥姥等亲人随时把拍摄的所有照片，通过“亲宝宝”APP汇集起来，记录小宝宝的成长过程，承载起全家人的美好回忆与快乐时光。), BpClientCaseExtension(id=1892, title=客户需求, description=

客户业务及技术挑战：

1、由于历史原因启用了主账号的AK，存在严重的安全隐患。子账号的AK调用链路和使用场景也缺乏有效的排查手段。如何在满足业务实际需要且不影响线上业务的同时，通过有效的管理手段对AK的使用现状进行整改实现云上资产安全加固，成为运维人员迫切需要解决的问题。

2、客户的图片转码和内容安全检测应用部署在ACK，业务高峰期时需要手动在控制台添加ECS扩容，效率低，无法及时响应业务。另一方面，弹性按量资源长时间运行，成本上有不小的压力。

, sort=4, simpleDescription=客户业务及技术挑战：1、由于历史原因启用了主账号的AK，存在严重的安全隐患。子账号的AK调用链路和使用场景也缺乏有效的排查手段。如何在满足业务实际需要且不影响线上业务的同时，通过有效的管理手段对AK的使用现状进行整改实现云上资产安全加固，成为运维人员迫切需要解决的问题。2、客户的图片转码和内容安全检测应用部署在ACK，业务高峰期时需要手动在控制台添加ECS扩容，效率低，无法及时响应业务。另一方面，弹性按量资源长时间运行，成本上有不小的压力。), BpClientCaseExtension(id=1891, title=客户价值, description=

1、资产安全：

    a.通过开通操作审计ActionTail，排查所有AK的调用路径。通过“先禁用后删除”的策略清理非必要AK。推动DataWorks支持子账号AK，实现最终主账号AK的停用。创建跟踪保留账号的读写事件投递到日志服务，方便事后的操作审计。

    b.主账号创建管理员权限的RAM子账号，日常运维管理通过有管理员权限的RAM子账号进行。主账号不参与。开通MFA多因素认证，保证账号登录安全。

    c.亲宝宝APP主要的应用场景就是用户通过APP上传图片视频到对象存储OSS，因为服务端需要对图片进行处理所以没有采纳STS的方式实现APP直传文件到OSS，而是APP发送请求到服务端，调用AK上传到OSS统一由服务端完成。核心AK的授权策略严格限制了IP调用来源，进一步保证AK调用的环境安全。

    d.亲宝宝基于EMR+OSS架构落地云上数据湖方案，其中EMR中的ECS需要访问OSS对象存储，启用了ECS RAM role的方式，直接从授权的ECS上向元数据中心发起STS调用获取临时token的认证信息访问OSS，避免AK的使用和泄露。

2、效率提升：

在已有的ACK集群安装 virtual-node 组件添加虚拟节点，实现 ECS + ECI 计算资源的混合部署，安装virtual-kubelet-autoscaler 组件在业务访问高峰期自动快速扩容到 ECI。原来在控制台手动扩容ECS需要 8 分钟，通过 ECI 将扩容时间大幅缩短至 2 分钟，且全流程都是系统自动完成无需人工干预，极大提升运维效率，在对已有业务部署无任何侵入性的前提下，保障高峰期业务正常平稳运行。结合预留实例券RI对长时间运行的按量资源进行费用抵扣，保证资源灵活性的同时降低使用成本。

, sort=3, simpleDescription=1、资产安全： a.通过开通操作审计ActionTail，排查所有AK的调用路径。通过“先禁用后删除”的策略清理非必要AK。推动DataWorks支持子账号AK，实现最终主账号AK的停用。创建跟踪保留账号的读写事件投递到日志服务，方便事后的操作审计。 b.主账号创建管理员权限的RAM子账号，日常运维管理通过有管理员权限的RAM子账号进行。主账号不参与。开通MFA多因素认证，保证账号登录安全。 c.亲宝宝APP主要的应用场景就是用户通过APP上传图片视频到对象存储OSS，因为服务端需要对图片进行处理所以没有采纳STS的方式实现APP直传文件到OSS，而是APP发送请求到服务端，调用AK上传到OSS统一由服务端完成。核心AK的授权策略严格限制了IP调用来源，进一步保证AK调用的环境安全。 d.亲宝宝基于EMR+OSS架构落地云上数据湖方案，其中EMR中的ECS需要访问OSS对象存储，启用了ECSRAMrole的方式，直接从授权的ECS上向元数据中心发起STS调用获取临时token的认证信息访问OSS，避免AK的使用和泄露。2、效率提升：在已有的ACK集群安装virtual-node组件添加虚拟节点，实现ECS+ECI计算资源的混合部署，安装virtual-kubelet-autoscaler组件在业务访问高峰期自动快速扩容到ECI。原来在控制台手动扩容ECS需要8分钟，通过ECI将扩容时间大幅缩短至2分钟，且全流程都是系统自动完成无需人工干预，极大提升运维效率，在对已有业务部署无任何侵入性的前提下，保障高峰期业务正常平稳运行。结合预留实例券RI对长时间运行的按量资源进行费用抵扣，保证资源灵活性的同时降低使用成本。), BpClientCaseExtension(id=1890, title=客户之声, description=

阿里云AK防泄漏最佳实践为我们权限体系优化提供了较完善的解决方案，特别是在大数据产品应用过程中，我们参考了最佳实践，顺利完成了AK整合，更加有效地保证云上资产安全。在亲宝宝视频图片转码及鉴黄业务中，我们经常在节假日，周末会遇到流量高峰，为充分利用集群弹性资源，我们参考了基于ECI的ACK集群高弹性架构最佳实践，快速实现基于ECI的serverless改造，帮助我们打造高效业务的同时合理降低了研发成本，感谢阿里云最佳实践团队。

, sort=2, simpleDescription=阿里云AK防泄漏最佳实践为我们权限体系优化提供了较完善的解决方案，特别是在大数据产品应用过程中，我们参考了最佳实践，顺利完成了AK整合，更加有效地保证云上资产安全。在亲宝宝视频图片转码及鉴黄业务中，我们经常在节假日，周末会遇到流量高峰，为充分利用集群弹性资源，我们参考了基于ECI的ACK集群高弹性架构最佳实践，快速实现基于ECI的serverless改造，帮助我们打造高效业务的同时合理降低了研发成本，感谢阿里云最佳实践团队。), BpClientCaseExtension(id=1889, title=解说人, description=

运维负责人  薛明

, sort=1, simpleDescription=运维负责人薛明)], fileList=[BpFile(id=221, bpId=142, name=AK防泄漏, author=null, keyword=null, description=正确使用AK可以有效降低安全风险，尽量使用临时AK Token或最小粒度授权的子账号AK。, position=null, ossUrl=bp-S30QQ6U5JRLVZ13M.pdf, tags=null, level=2, tagList=null, products=null, productList=[Product(id=41, name=云服务器ECS, description=云服务器 ECS（Elastic Compute Service）是一种弹性可伸缩的计算服务，助您降低 IT 成本，提升运维效率，使您更专注于核心业务创新。 , link=https://www.aliyun.com/product/ecs , productName=null, logo=null, code=ecs), Product(id=50, name=访问控制, description=RAM 使您能够安全地集中管理对阿里云服务和资源的访问。您可以使用 RAM 创建和管理用户和组，并使用各种权限来允许或拒绝他们对云资源的访问。 , link=https://www.aliyun.com/product/ram , productName=null, logo=null, code=ram), Product(id=64, name=云安全中心, description=云安全中心是一个实时识别、分析、预警安全威胁的统一安全管理系统，通过防勒索、防病毒、防篡改、合规检查等安全能力，帮助用户实现威胁检测、响应、溯源的自动化安全运营闭环，保护云上资产和本地主机并满足监管合规要求。 , link=https://www.aliyun.com/product/sas , productName=null, logo=null, code=sas), Product(id=72, name=操作审计, description=操作审计(ActionTrail)会记录您的云账户资源操作，提供操作记录查询，并可以将审计事件保存到您指定的日志服务Logstore或者OSS存储空间。利用ActionTrail保存的所有操作记录，您可以实现安全分析、资源变更追踪以及合规性审计。 , link=https://www.aliyun.com/product/actiontrail , productName=null, logo=null, code=actiontrail), Product(id=151, name=云速搭CADT, description=云速搭CADT是一款为上云应用提供自助式云架构管理的产品，显著地降低应用云上管理的难度和时间成本。本产品提供丰富的预制应用架构模板，同时也支持自助拖拽方式定义应用云上架构；支持较多阿里云服务的配置和管理。用户可以方便的对云上架构方案的成本、部署、运维、回收进行全生命周期的管理。, link=https://www.aliyun.com/product/developerservices/cadt, productName=null, logo=null, code=bpstudio)], hotspot=null, oneClick=null, createTime=null, modifiedTime=null, timeConsuming=null, status=0, pdfDescription=null, templateId=null, freetry=null, visitTime=null, visitCount=null, video_url=null, buttonName=null, buttonUrl=null, targetId=null, partner=null, partnerUrl=null, partnerLogo=null, cooperation=null, cooperationList=null)], description=最佳实践助力亲宝宝完成AK安全改造及构建高弹性低成本容器集群, voiceId=4, voice=null, partner=, partnerUrl=, partnerLogo=, projectName=)