Ctrl+F / Command+F 全文检索

相关产品

客户案例

相关最佳实践
业务上云 |

传统企业、零售和游戏行业系统分级后单库单服系统云上搭建最佳实践,涉及大部分基础云产品。

专有网络 VPC 云服务器ECS 云数据库RDS MySQL 版 负载均衡 SLB CDN 云速搭
云上运维 | 安全&合规 |

以电商网站场景为例介绍如何使用访问控制服务(RAM)进行账号权限管理。

专有网络 VPC 云服务器ECS 云数据库RDS MySQL 版 对象存储 OSS 访问控制 云速搭
业务上云 |

使用云桌面和VPN网关产品快速构建远程办公环境,在云桌面可以访问企业IDC内的应用和资源

云服务器ECS NAT网关 VPN网关 智能接入网关 云桌面
DevOps | 容器&微服务 |

使用云效完成容器应用自动化构建和持续部署

专有网络 VPC 负载均衡 SLB 容器服务 ACK 云效 云速搭
安全&合规 |

使用阿里云实现电商网站运营期间的安全防护,包括防爬风险管理、DDoS防御、风险管理产品的能力及操作

云数据库RDS MySQL 版 负载均衡 SLB DDoS防护 风险识别 爬虫风险管理
数据分析 |

针对资讯聚合类业务场景,Step by Step介绍如何搭建实时数仓

专有网络 VPC 云服务器ECS 云数据库RDS MySQL 版 NAT网关 云原生数据仓库AnalyticDB MySQL版
数据库 |

介绍POLARDB的核心需求场景和MySQL迁移到POLARDB的最佳实践。

云数据库RDS MySQL 版 负载均衡 SLB 数据传输 云数据库PolarDB
容器&微服务 |

使用ACK上运行常规业务,业务突发波动时突增业务运行在ECI上/达到成本的最优控制

云数据库RDS MySQL 版 文件存储NAS 容器服务 ACK 云数据库 Redis 版 弹性容器实例 ECI 云速搭

温馨提示

未登录用户仅可预览8页内容,请您前往登录后浏览更多企业上云最佳实践案例内容。企业账号建议生成子账号授权访问。

BpFile(id=148, bpId=51, name=RAM账号权限管理, author=null, keyword=RAM,权限,云账号,用户,访问控制,身份管理, description=以电商网站场景为例介绍如何使用访问控制服务(RAM)进行账号权限管理。, position=null, ossUrl=bp-UDXEQQ48KPHHXUGT.pdf, tags=null, level=null, tagList=null, products=null, productList=null, hotspot=null, oneClick=1, createTime=null, modifiedTime=null, timeConsuming=null, status=1, pdfDescription=

场景描述 单账号体系下用户管理、资源分组、权限配置、访问 控制的治理方法及原则。以某电商网站项目为例,根 据研发、测试、生产环境划分及业务流程,使用阿里 云RAM访问控制服务规划实现资源分组、账号用户 体系、权限分配、安全加固、定期安全检查等措施的 最佳实践。 解决问题 l基于用户、用户组、角色建立用户体系及安全加固原则。 l用户、程序使用用户/角色身份原则。 l典型授权策略编写及授权配置示例。 l云上资源分组管理实践。 产品列表 l访问控制RAM l专有网络VPC l云服务器ECS l对象存储OSS l云数据库RDS l云数据库Redis l负载均衡SLB l内容分发CDN l资源编排ROS

, templateId=T0K9185LKUF2PCYG, freetry=null, visitTime=null, visitCount=null, video_url=https://yqh.aliyun.com/live/detail/21800, buttonName=null, buttonUrl=null, targetId=null, partner=null, partnerUrl=null, partnerLogo=null)
1 RAM 账号权限管理最佳实践 场景描述 单账号体系下用户管理、资源分组、权限配置、访 部署架构图 问控制的治理方法及原则。以某电商网站项目为例, 根据研发、测试、生产环境划分及业务流程,使用 阿里云 RAM访问控制服务规划实现资源分组、账 号用户体系、权限分配、安全加固、定期安全检查 等措施的最佳实践。 解决问题 l 基于用户、用户组、角色建立用户体系及安全加 固原则。 l 用户、程序使用用户/角色身份原则。 l 典型授权策略编写及授权配置示例。 l 云上资源分组管理实践。 最佳实践频道 阿里云最佳实践生态群 产品列表 l 访问控制 RAM l 专有网络 VPC l 云服务器 ECS l 对象存储 OSS l 云数据库 RDS l 云数据库 Redis l 负载均衡 SLB l 内容分发 CDN l 云架构设计工具 CADT
2云服务器 ECS(产品名称) 文档模板(手册名称)/文档版本信息 阿里云 企业上云实践 RAM 账号权限管理 最佳实践 文档版本:20201203 文档版本:20150122(发布日期) II
3RAM 账号权限管理最佳实践 文档版本信息 文档版本信息 文本信息 属性 内容 文档名称 RAM账号权限管理最佳实践 文档编号 051 文档版本 V1.6 版本日期 2020-12-03 文档状态 外部发布 制作人 谈慧杰 审阅人 游圣、明远 文档变更记录 版本编号 日期 作者 审核人 说明 V1.0 2019-05-24 谈慧杰 云滴 创建 V1.1 2019-07-10 筱晖 - 文档优化 V1.2 2019-08-09 谈慧杰 - 增加最佳实践概述章节 V1.3 2019-12-17 谈慧杰 - 增加概览页及内容优化 V1.4 2020-01-02 谈慧杰 - 概览页架构图更新 V1.5 2020-02-18 谈慧杰 - 提供资源编排模板 使用 CADT部署资源环境 V1.6 2020-12-03 谈慧杰 游圣、明远 增加示例代码 文档版本:20201203 I
4RAM 账号权限管理最佳实践 前言 前言 概述 本文以某电商网站项目的研发、测试、生产环境及用户账号权限规划,用户账号对各环境下资源 的操作权限配置实施为例,介绍使用阿里云 RAM访问控制服务进行账号权限管理的最佳实践, 阐述单账号体系下用户管理、资源分组、权限配置、访问控制的治理方法及原则。 名词解释 l 资源组:资源组是在阿里云账号下进行资源分组管理的一种机制,帮助您解决单个云账号 内的资源分组和授权管理。使用资源组的分组管理能力可以方便管理用户权限及资源。例 如,对单个云账号下多个地域、多种云资源进行集中的分组管理;为每个资源组设置管理 员,资源组管理员可以在资源组内独立管理用户权限;按资源组维度查看您的账单消费数 据,以解决不同业务的成本分摊问题。 l 访问控制:访问控制 RAM(Resource Access Management)是阿里云为客户提供的用户 身份管理与访问控制服务。使用 RAM,您可以创建、管理用户账号(比如员工、系统或应 用程序),并可以控制这些用户账号对您名下资源具有的操作权限。当您的企业存在多用户 协同操作资源时,RAM可以按需为用户分配最小权限,从而让您避免与其他用户共享云账 号密钥,降低您企业的信息安全风险。更多信息,请参见访问控制简介 (https://www.aliyun.com/product/ram)。 l STS:阿里云临时安全令牌 STS(Security Token Service)是阿里云提供的一种临时访问 权限管理服务。通过 STS服务,您所授权的身份主体(RAM用户、RAM用户组或 RAM 角色)可以获取一个自定义时效和访问权限的临时访问令牌。STS令牌持有者可以通过编 程方式访问被授权的阿里云服务 API或者登录阿里云控制台操作被授权的云资源。 l 专有网络:专有网络 VPC(Virtual Private Cloud)是用户基于阿里云创建的自定义私有网 络,不同的专有网络之间二层逻辑隔离,用户可以在自己创建的专有网络内创建和管理云 产品实例,比如 ECS、负载均衡、 RDS 等。更多信息,请参见专有网络简介 (https://www.aliyun.com/product/vpc)。 l 云服务器:云服务器 ECS(Elastic Compute Service)是一种简单高效、处理能力可弹性 伸缩的计算服务。ECS帮助您构建更稳定、安全的应用,提升运维效率,降低 IT成本,使 您更专注于核心业务创新。更多信息,请参见云服务器 ECS 简介 (https://www.aliyun.com/product/ecs)。 l 对象存储:对象存储服务 OSS(Object Storage Service)是一种海量、安全、低成本、高 文档版本:20201203 II
5RAM 账号权限管理最佳实践 前言 可靠的云存储服务,适合存放任意类型的文件。OSS的容量和处理能力弹性扩展,多种存 储类型供选择,全面优化存储成本。更多信息,请参见对象存储 OSS 简介 (https://www.aliyun.com/product/oss)。 l 云数据库 RDS:阿里云关系型数据库 RDS(Relational Database Service)是一种稳定可 靠、可弹性伸缩的在线数据库服务,提供容灾、备份、恢复、迁移等方面的全套解决方案, 彻底解决数据库运维的烦恼。更多信息,请参见云数据库 RDS 简介 (https://www.aliyun.com/product/rds/mysql)。 l 云架构设计工具 CADT:是一款为上云应用提供自助式云架构管理的产品,显著 地降低应用云上管理的难度和时间成本。本产品提供大量预制的应用架构模板, 同时也支持自助拖拽方式定义应用云上架构;支持大量阿里云服务的配置和管 理。用户可以方便的对云上架构方案的成本、部署、运维、回收进行全生命周期 的管理。更多信息,请参见云架构设计工具 CADT 简介 (https://help.aliyun.com/product/182827.html)。 文档版本:20201203 III
6RAM 账号权限管理最佳实践 目录 目录 文档版本信息 .............................................................................................................................................................. I 法律声明 ...................................................................................................................................................................... I 前言 ............................................................................................................................................................................. II 目录 ........................................................................................................................................................................... IV 最佳实践概述 ........................................................................................................................................................... VI 前置条件 ..................................................................................................................................................................... 1 资源规划 ..................................................................................................................................................................... 2 1. 创建资源组 ......................................................................................................................................................... 6 2. 添加基础资源 ...................................................................................................................................................... 8 2.1. 使用 CADT工具部署资源环境 ........................................................................................................... 8 2.2. 创建 OSS Bucket目录 .......................................................................................................................... 9 3. 加固 RAM用户安全设置 .................................................................................................................................. 13 4. 创建 RAM用户组、用户及角色 ...................................................................................................................... 17 5. 资源组权限配置 ................................................................................................................................................ 24 5.1. 创建权限策略 .................................................................................................................................... 24 5.2. 开发环境授权 .................................................................................................................................... 31 5.3. 测试环境授权 .................................................................................................................................... 36 5.4. 运维组授权(代管生产环境) ........................................................................................................ 40 6. 程序组、STS Token分发用户权限配置 ........................................................................................................... 44 6.1. 创建权限策略 .................................................................................................................................... 44 6.2. 程序用户组授权 ................................................................................................................................ 50 6.3. RAM角色授权 ................................................................................................................................... 54 6.4. STS Token分发用户授权 ................................................................................................................... 59 7. RAM控制台用户权限验证 ............................................................................................................................... 65 7.1. 新建用户并添加到用户组 ................................................................................................................ 65 7.2. 控制台用户验证 ................................................................................................................................ 68 7.2.1. RAM用户首次登录 ................................................................................................................... 69 7.2.2. 验证非办公环境无法登录 ........................................................................................................ 72 7.2.3. 办公网络环境登录 .................................................................................................................... 74 7.2.4. 验证 ECS权限 ............................................................................................................................ 78 7.2.5. 验证 VPC权限 ........................................................................................................................... 80 7.2.6. 验证 RDS权限 ........................................................................................................................... 81 7.2.7. 验证 OSS权限 ........................................................................................................................... 85 8. RAM程序用户权限验证 ................................................................................................................................... 94 8.1. 开发组程序用户 ................................................................................................................................ 94 8.1.1. 创建程序组用户 ........................................................................................................................ 94 8.1.2. 验证程序组用户权限 ................................................................................................................ 96 8.2. STS Token分发用户 ......................................................................................................................... 100 8.2.1. 安装 SDK环境 ......................................................................................................................... 100 8.2.2. 检查角色扮演权限 .................................................................................................................. 100 8.2.3. 验证上传文件权限 .................................................................................................................. 103 文档版本:20201203 IV
7RAM 账号权限管理最佳实践 目录 9. 安全检查及安全报告 ...................................................................................................................................... 106 文档版本:20201203 V
8RAM 账号权限管理最佳实践 最佳实践概述 最佳实践概述 本文介绍单账号体系下用户管理、资源分组、权限配置、访问控制的治理方法及原则。 以某电商网站项目为例,根据开发、测试、生产环境划分及业务流程,使用阿里云 RAM 访问控制服务规划实现资源分组、账号用户体系、权限分配、安全加固、定期安全检 查等措施的最佳实践。 账号规划 运营人员发布商品信息,顾客通过 web/移动端访问网站。 内部技术团队分为开发、测试和运维,环境分为开发环境、测试环境、生产环境。 环境规划 划分为开发环境、测试环境、生产环境。 文档版本:20201203 VI