概念说明访问控制访问控制(RAM)是阿里云提供的管理用户身份与资源访问权限的服务。阿里云账号(主账号)
开始使用阿里云服务前,首先需要注册一个阿里云账号。阿里云账号是阿里云资源归属、资源使用计量计费的基本主体。阿里云账号为其名下所拥有的资源付费,并对其名下所有资源拥有完全控制权限。
默认情况下,资源只能被阿里云账号所访问,任何其他用户访问都需要获得阿里云账号的显式授权。阿里云账号就是操作系统的Root或Administrator,所以我们有时称它为根账号或主账号。
身份访问控制(RAM)中有三种身份:RAM用户、用户组和RAM角色。其中RAM用户和用户组是RAM的一种实体身份类型,RAM角色是一种虚拟用户身份。RAM用户(子账号)
RAM用户是RAM的一种实体身份类型,有确定的身份ID和身份凭证,它通常与某个确定的人或应用程序一一对应。
- 一个阿里云账号下可以创建多个RAM用户,对应企业内的员工、系统或应用程序。
- RAM用户不拥有资源,不能独立计量计费,由所属阿里云账号统一控制和付费。
- RAM用户归属于阿里云账号,只能在所属阿里云账号的空间下可见,而不是独立的阿里云账号。
- RAM用户必须在获得阿里云账号的授权后才能登录控制台或使用API操作阿里云账号下的资源。
用户组
用户组是RAM的一种实体身份类型,用户组可以对职责相同的RAM用户进行分类并授权,从而更好的管理用户及其权限。
- 在RAM用户职责发生变化时,只需将其移动到相应职责的用户组下,不会对其他RAM用户产生影响。
- 当用户组的权限发生变化时,只需修改用户组的权限策略,即可应用到所有RAM用户。
RAM角色
RAM角色是一种虚拟用户,与实体用户(阿里云账号、RAM用户和云服务)和教科书式角色(Textbook role)不同。
- 实体用户:拥有确定的登录密码或访问密钥。
- 教科书式角色:教科书式角色或传统意义上的角色是指一组权限集合,类似于RAM里的权限策略。如果一个用户被赋予了这种角色,也就意味着该用户被赋予了一组权限,可以访问被授权的资源。
- RAM角色:RAM角色有确定的身份,可以被赋予一组权限策略,但没有确定的登录密码或访问密钥。RAM角色需要被一个受信的实体用户扮演,扮演成功后实体用户将获得RAM角色的安全令牌,使用这个安全令牌就能以角色身份访问被授权的资源。
根据RAM可信实体的不同,RAM支持以下三种类型的角色:
- 阿里云账号:允许RAM用户所扮演的角色。扮演角色的RAM用户可以属于自己的阿里云账号,也可以属于其他阿里云账号。此类角色主要用来解决跨账号访问和临时授权问题。
- 阿里云服务:允许云服务所扮演的角色。此类角色主要用于授权云服务代理您进行资源操作。
- 身份提供商:允许受信身份提供商下的用户所扮演的角色。此类角色主要用于实现与阿里云的单点登录(SSO)。
默认域名
阿里云为每个阿里云账号分配了一个默认域名,格式为:<AccountAlias>.onaliyun.com
。默认域名可作为RAM用户登录或单点登录(SSO)等场景下该阿里云账号的唯一标识符。
账号别名(企业别名)
当RAM用户登录时,登录名称的后缀表示可以使用账号别名、默认域名或域别名中的任何一种。
每个阿里云账号可以在RAM中设置一个全局唯一的账号别名。账号别名主要用于RAM用户登录,登录成功后可作为显示名。
例如:企业可以为其阿里云账号设置账号别名为:company1,该阿里云账号下的RAM用户alice可以使用alice@company1进行登录,登录成功后,用户的显示名为:alice@company1。
域别名
如果您持有公网上可以解析的域名,那么您可以使用该域名替代您的默认域名,该域名称为域别名。域别名就是指默认域名的别名。
登录密码
登录密码是登录阿里云的身份凭证,用于证明用户真实身份的凭证。
访问密钥
访问密钥指的是访问身份验证中用到的AccessKey ID和AccessKey Secret。您可以使用访问密钥(或阿里云服务SDK)创建一个API请求,RAM通过使用AccessKey ID和AccessKey Secret对称加密的方法来验证某个请求的发送者身份,身份验证成功后将可以操作相应资源。
AccessKey ID和AccessKey Secret一起使用,AccessKey ID用于标识用户,AccessKey Secret用于验证用户的密钥。
多因素认证
多因素认证(MFA)是一种简单有效的最佳安全实践,在用户名和密码之外再增加一层安全保护。这些要素结合起来将为您的账号提供更高的安全保护。启用多因素认证后,再次登录阿里云时,系统将要求输入两层安全要素:
- 第一层安全要素:用户名和密码。
- 第二层安全要素:多因素认证设备生成的验证码。
服务提供商服务提供商(SP)是指利用IdP的身份管理功能,为用户提供具体服务的应用。SP会使用IdP提供的用户信息。一些非SAML协议的身份系统(例如:OpenID Connect),也把服务提供商称作IdP的信赖方。身份提供商
身份提供商(IdP)是一个包含有关外部身份提供商元数据的RAM实体,它可以提供身份管理服务。
- 企业本地IdP:Microsoft Active Directory Federation Service (AD FS)以及Shibboleth等。
- Cloud IdP:Azure AD、Google G Suite、Okta以及OneLogin等。
安全断言标记语言安全断言标记语言(SAML 2.0)是实现企业级用户身份认证的标准协议,它是SP和IdP之间实现沟通的技术实现方式之一。SAML 2.0已经是目前实现企业级SSO的一种事实标准。单点登录
阿里云支持基于SAML 2.0的单点登录SSO(Single Sign On),也称为身份联合登录。
企业根据自身需要,使用支持SAML 2.0的企业IdP(例如:AD FS)与阿里云进行SSO。阿里云提供以下两种基于SAML 2.0协议的SSO方式:
- 用户SSO:阿里云通过IdP颁发的SAML断言确定企业用户与阿里云RAM用户的对应关系 。企业用户登录后,使用该RAM用户访问阿里云。
- 角色SSO:阿里云通过IdP颁发的SAML断言确定企业用户在阿里云上可以使用的RAM角色。企业用户登录后,使用SAML断言中指定的RAM角色访问阿里云。
元数据文档元数据文档由企业IdP提供,一般为XML格式,包含IdP的登录服务地址、用于验证签名的公钥及断言格式等信息。SAML断言SAML协议中用于描述认证请求和认证响应的核心元素。例如:用户的具体属性就包含在认证响应的断言里。信赖建立在SP和IdP之间的互信机制,通常由公钥和私钥来实现。SP通过可信的方式获取IdP的SAML元数据,元数据中包含IdP签发SAML断言的签名验证公钥,SP则使用公钥来验证断言的完整性。阿里云OAuth 2.0服务对用户进行认证,接受用户对应用的授权,生成代表用户身份的令牌并返回给被授权的应用。OAuth应用
获取用户授权,并获取代表用户身份的令牌,从而可以访问阿里云。
OAuth 2.0服务目前支持的应用类型包括:
- WebApp:指基于浏览器交互的网络应用。
- NativeApp:指操作系统中运行的本地应用,主要为运行在桌面操作系统或移动操作系统中的应用。
- ServerApp:指直接访问阿里云服务,而无需依赖用户登录的应用,目前仅支持基于SCIM协议的用户同步应用。
OAuth范围OAuth 2.0服务通过OAuth范围来限定应用扮演用户登录阿里云后可以访问的范围。权限策略
权限策略是用语法结构描述的一组权限的集合,可以精确地描述被授权的资源集、操作集以及授权条件。权限策略是描述权限集的一种简单语言规范。
在RAM中,权限策略是一种资源实体。RAM支持以下两种权限策略:
- 阿里云管理的系统策略:统一由阿里云创建,用户只能使用不能修改,策略的版本更新由阿里云维护。
- 客户管理的自定义策略:用户可以自主创建、更新和删除,策略的版本更新由客户自己维护。
通过为RAM用户、用户组或RAM角色绑定权限策略,可以获得权限策略中指定的访问权限。
权限
权限是指是否允许用户对某种资源执行某种操作,权限分为:允许(Allow)或拒绝(Deny)。
操作分为两大类:
- 资源管控操作:指云资源的生命周期管理及运维管理操作,所面向的用户一般是资源购买者或组织内的运维员工。例如:ECS实例的创建、停止或重启,OSS存储空间的创建、修改或删除等。
- 资源使用操作:指使用资源的核心功能,所面向的用户一般是组织内的研发员工或应用系统。例如:ECS实例操作系统中的用户操作,OSS存储空间的数据上传或下载。
说明
- 对于弹性计算和数据库等产品,资源管控操作可以通过RAM来管理,而资源使用操作是在每个产品的实例内进行管理。例如:ECS实例操作系统的权限控制或MySQL数据库提供的权限控制。
- 对于存储类等产品,例如:OSS或Table Store等,资源管控操作和资源使用操作都可以通过RAM来实现。
资源资源(Resource)是云服务呈现给用户与之交互的对象实体的一种抽象,例如:OSS存储空间或ECS实例等。限制条件限制条件(Condition)是权限策略基本元素之一,表示授权生效的限制条件。操作操作(Action)是权限策略基本元素之一,表示对具体资源的操作。取值为:云服务所定义的API操作名称。效力效力(Effect)是权限策略基本元素之一,表示授权效力。取值为:允许(Allow)或拒绝(Deny)。被授权主体被授权主体(Principal)是指策略中定义的权限主体,被授权主体可以为RAM用户、用户组或RAM角色。资源目录资源目录RD(Resource Directory)是阿里云面向企业客户提供的一套多级账号和资源关系管理服务。标签标签是云资源的标识,可以帮助您从不同维度对具有相同特征的云资源进行分类、搜索和聚合,让资源管理变得更加轻松。系统标签由系统自动定义的标签,只能查看,不能编辑。自定义标签由用户自定义的标签。标签键值对(Key-Value)
标签由一个键值对(Key-Value)组成,包含标签键(Key)、标签值(Value)。
资源共享资源共享(Resource Sharing)是指多账号间通过共享的方式将一个账号下的指定资源共享给一个或多个目标账号使用。资源所有者资源所有者是资源共享的发起方,也是共享资源的拥有者,通常为资源目录的企业管理账号或成员账号。共享的资源共享的资源通常为某个云服务的某类资源。例如:专有网络(VPC)的交换机(VSwitch)。资源使用者资源使用者是资源共享的受益方,对共享的资源具有特定的操作权限,通常为资源目录内的一个或多个成员账号。
共享单元共享单元是资源共享的实例。共享单元本身也是一种云资源,拥有独立的ID和ARN(Aliyun Resource Name)。共享单元包括:资源所有者、资源使用者和共享的资源。资源组资源组(Resource Group)是在阿里云账号下进行资源分组管理的一种机制。资源组帮助您解决单个云账号内多项目或多应用的资源分组,以及用户授权管理的复杂性问题。资源夹资源夹是资源目录内的组织单元,通常用于指代企业的分公司、业务线或产品项目。每个资源夹下可以放置成员账号,并允许嵌套子资源夹,最终形成树形的资源组织关系。Root资源夹Root资源夹位于资源目录的顶层,没有父资源夹。资源关系依据Root资源夹向下分布。成员账号
在资源目录内,成员账号作为资源容器,是一种资源分组单位。成员账号通常用于指代一个项目或应用,每个成员账号中的资源相对其他成员账号中的资源是物理隔离的。您可以通过企业管理账号授予RAM用户、RAM用户组或RAM角色对成员账号内资源的访问权限。
成员账号分为如下两种类型:
- 资源账号
您在资源目录中创建的成员默认为资源账号。资源账号不允许开启Root登录权限,具有更高的安全性。
- 云账号
云账号就是阿里云账号作为资源目录成员的称呼,您可以邀请已存在的阿里云账号加入到资源目录中。阿里云账号具有Root登录权限。
企业管理账号
企业管理账号是资源目录的超级管理员,也是开通资源目录的初始账号,对其创建的资源目录和成员账号拥有完全控制权限。只有通过企业实名认证的阿里云账号才能开通资源目录,每个资源目录有且只有一个企业管理账号。
为了确保企业管理账号的安全,建议您创建一个新的阿里云账号作为企业管理账号,避免将已有用途的云账号作为企业管理账号。同时,您可以为企业管理账号创建一个RAM用户并授予管理员权限,使用该RAM用户管理整个资源目录。资源目录中的所有操作都必须由企业管理账号或具有管理员权限的RAM用户执行。
操作审计操作审计(ActionTrail)帮助您监控并记录阿里云账号的活动,包括通过阿里云控制台、OpenAPI、开发者工具对云上产品和服务的访问和使用行为。您可以将这些行为事件下载或保存到日志服务或OSS存储空间,然后进行行为分析、安全分析、资源变更行为追踪和行为合规性审计等操作。影子跟踪如果您创建跟踪的同时追踪了多个地域的操作事件,则操作审计会在相关地域创建相同配置的跟踪来收集这些地域的操作事件,这种跟踪叫做影子跟踪。平台事件跟踪平台事件跟踪是阿里云账号创建的用于记录平台操作事件的跟踪。多账号跟踪多账号跟踪是企业管理账号创建的用于记录所有成员账号操作事件的跟踪。多账号跟踪会把所有成员账号的操作事件投递到多账号跟踪设置的OSS存储空间或SLS Logstore中。单账号跟踪单账号跟踪是阿里云账号创建的用于记录当前账号操作事件的跟踪。跟踪通过设置跟踪将操作事件保存到指定的OSS存储空间和SLS Logstore下,便于进一步分析和存储。根据创建者和作用范围的不同分为单账号跟踪、多账号跟踪和平台事件跟踪。Home地域Home地域是发起创建跟踪操作的地域。全局事件全局事件是全局服务的操作事件。在操作审计控制台的事件查询页面,选择任意地域均可看到全量的全局事件。但当事件被投递到用户设置的OSS存储空间时,全局事件与跟踪的Home地域事件放在同一个目录下。全局服务全局服务是不区分地域的服务,例如:RAM。全局服务会产出全局事件。平台操作事件平台操作事件是阿里云运维团队针对用户服务的维护操作所产生的事件。您可以通过平台操作审计创建跟踪,记录此类事件。操作事件操作事件是用户通过阿里云控制台、OpenAPI、开发者工具访问和管控云上服务所产生的事件记录。操作事件包含时间、人员、资源、操作类型、操作结果、来源IP等信息。配置审计配置审计(Config)是一项资源审计服务,为您提供面向资源的配置历史追踪、配置合规审计等能力。面对大量资源,帮您轻松实现基础设施的自主监管,确保持续性合规。企业版配置审计在云上使用多个企业管理账号的企业客户,可将配置审计升级为企业版配置审计,实现跨账号的中心化合规管理。配置审计与资源目录相结合,使企业客户可以在企业管理账号中对所有成员账号的资源配置进行合规审计。个人版配置审计如果您无跨账号合规管理的需求,则您可以使用个人版配置审计,管理单个阿里云账号下资源的合规审计。等保预检等保2.0预检为云上的合规检测,为您动态且持续地检测阿里云上资源的合规性,从而避免正式检测时多次反复整改,帮助您快速通过等保检测。合规时间线规则评估在资源配置变更发生时触发,配置时间线会有一个对应的合规时间线,是每次合规评估结果的历史记录。合规时间线的合规评估记录与规则触发方式有关。
- 如果规则为定时触发,则只包括定时评估的记录。
- 如果规则为资源配置变更触发,则只包括配置变更时评估的记录。
- 如果规则同时为定时触发和资源配置变更触发,则同时包括定时和配置变更时评估的记录。
规则规则指用于判断资源配置是否合规的规则函数。配置审计使用函数计算中的函数来承载规则代码。规则绑定资源类型后,当该资源类型中的资源发生配置变更时,自动触发规则评估,检查本次配置变更的合规性。您也可以设置规则定时触发,配置审计定时为您检查所有资源的合规性。配置审计支持的规则如下:
- 托管规则
- 自定义规则
- 使用函数计算新建规则
您需要先在函数计算控制台新建函数,再在配置审计控制台上选择函数ARN。
- 使用可视化编辑器新建规则
- 使用函数计算新建规则
配置时间线配置审计为您提供每个监控范围内资源的配置时间线。
- 对于您开通配置审计服务时已保有的资源,配置时间线的起点是服务开通时间。
- 对于您开通配置审计服务后新建的资源,配置时间线的起点是资源新建时间。配置审计每10分钟记录一次资源配置变更,如果资源配置变更,则会在配置时间线出现一个节点,显示该时间点的资源配置详情、变更详情,以及该变更涉及的操作事件。
监控范围监控范围指监控资源类型的范围,监控的粒度是资源类型。
- 当某个资源类型在监控范围内时,当前阿里云账号下该资源类型的所有资源都会被追踪,每10分钟记录一次配置变更。
- 当某个资源类型被移出监控范围时,当前阿里云账号下该资源类型的所有资源都停止记录配置变更。
资源配置详情配置审计通过云服务开放的资源查询接口可获取当前阿里云账号下的所有资源。您可以在资源列表中查看各个资源的配置信息,也可以快速跳转到指定资源的云服务控制台,对其进行管理。资源类型资源类型是一组实体资源的归类。例如:云服务器ECS实例的资源类型为ECS实例。资源可以分为以下几类:
- 计算实例、存储实例等实体资源。
- 工作组、工作流等应用级产品的管理资源。
- 角色、策略等权限相关的管理资源。
云企业网CEN云企业网(Cloud Enterprise Network)是承载在阿里云提供的高性能、低延迟的私有全球网络上的一张高可用网络。云企业网可帮助您在不同地域VPC间,VPC与本地数据中心间搭建私网通信通道,通过自动路由分发及学习,提高网络的快速收敛和跨网络通信的质量和安全性,实现全网资源的互通,帮助您打造一张具有企业级规模和通信能力的互联网络。转发路由器TR一个云企业网实例将在每个地域内创建一个转发路由器(Transit Router),作为您在每个地域内的网络管理运维中心。转发路由器可以帮您连接当前地域的网络实例,作为与同地域或跨地域网络实例互通的桥梁。转发路由器也是各个地域内路由表、路由策略、跨地域连接等功能的载体,您可以通过转发路由器添加路由、设置路由策略等,实现您多样化的组网和网络管理需求。专有网络VPC专有网络VPC(Virtual Private Cloud)是用户基于阿里云创建的自定义私有网络,不同的专有网络之间二层逻辑隔离,用户可以在自己创建的专有网络内创建和管理云产品实例,比如ECS、负载均衡、RDS等。专有网络是您自己独有的云上私有网络。您可以完全掌控自己的专有网络,例如选择IP地址范围、配置路由表和网关等,您可以在自己定义的专有网络中使用阿里云资源如云服务器、云数据库RDS版和负载均衡等。交换机vSwitch交换机(vSwitch)是组成专有网络的基础网络设备,用来连接不同的云资源实例。专有网络是地域级别的资源,专有网络不可以跨地域,但包含所属地域的所有可用区。您可以在每个可用区内创建一个或多个交换机来划分子网。高速通道EC高速通道(Express Connect)用于建立线下IDC和云上CEN间的私网通信通道,为客户提供一条高灵活度、高质量和高安全性的跨网络通信链路。智能接入网关SAG智能接入网关(Smart Access Gateway)是阿里云提供的一站式快速上云解决方案。企业可通过智能接入网关实现Internet就近加密接入,获得更加智能、更加可靠、更加安全的上云体验。
原创文章,作者:奋斗,如若转载,请注明出处:https://blog.ytso.com/153946.html