一、什么是RBAC模型
RBAC(Role-Based Access Control)即:基于角色的权限控制。通过角色关联用户,角色关联权限的方式间接赋予用户权限。
如下图:
有人会问为什么不直接给用户分配权限,还多此一举的增加角色这一环节呢?
其实是可以直接给用户分配权限,只是直接给用户分配权限,少了一层关系,扩展性弱了许多,适合那些用户数量、角色类型少的平台。
对于通常的系统,比如:存在多个用户拥有相同的权限,在分配的时候就要分别为这几个用户指定相同的权限,修改时也要为这几个用户的权限进行一一修改。有了角色后,我们只需要为该角色制定好权限后,将相同权限的用户都指定为同一个角色即可,便于权限管理。
对于批量的用户权限调整,只需调整用户关联的角色权限,无需对每一个用户都进行权限调整,既大幅提升权限调整的效率,又降低了漏调权限的概率。
二、AWS Identity and Access Management(IAM)身份及访问管理
安全地管理身份以及对 AWS 服务和资源的访问
工作原理
通过 AWS Identity and Access Management(IAM),您可以指定谁或什么能够访问 AWS 中的服务和资源、集中管理精细权限,并分析访问权限以优化跨 AWS 的权限。
三、阿里云访问控制(Resource Access Management)服务是一个集中管理云上身份及访问权限的管理服务。您可以通过访问控制将阿里云资源的访问及管理权限分配给您的企业成员或合作伙伴。
功能特性
RAM允许在一个阿里云账号下创建并管理多个身份,并允许给单个身份或一组身份分配不同的权限,从而实现不同用户拥有不同资源访问权限的目的。RAM的功能特性如下:
- 集中控制RAM用户及其密钥:管理每个RAM用户及其访问密钥,为用户绑定多因素认证MFA(Multi Factor Authentication)设备。
- 集中控制RAM用户的访问权限:控制每个RAM用户访问资源的权限。
- 集中控制RAM用户的资源访问方式:确保RAM用户在指定的时间和网络环境下,通过安全信道访问特定的阿里云资源。
- 集中控制云资源:对RAM用户创建的实例或数据进行集中控制。当用户离开组织时,实例或数据不会丢失。
- 单点登录SSO(Single Sign On)管理:支持与企业身份提供商IdP(Identity Provider)进行用户SSO或角色SSO。
产品优势
使用RAM,您可以创建、管理RAM用户(例如员工、系统或应用程序),并可以控制这些RAM用户对资源的操作权限。当您的企业存在多用户协同操作资源的场景时,RAM可以让您避免与其他用户共享阿里云账号密钥,按需为用户分配最小权限,从而降低企业的信息安全风险。
应用场景
| 应用场景 | 描述 |
|---|---|
| 用户管理与分权 | 企业A的某个项目(Project-X)上云,购买了多种阿里云资源,例如:ECS实例、RDS实例、SLB实例和OSS存储空间等。项目里有多个员工需要操作这些资源,由于每个员工的工作职责不同,需要的权限也不同。 |
| 移动应用使用临时安全令牌访问阿里云 | 企业A开发了一款移动应用(App),并购买了对象存储(OSS)服务。App需要直连OSS上传或下载数据,但是App运行在用户自己的移动设备上,这些设备不受企业A的控制。 |
| 跨阿里云账号的资源授权 | 企业A购买了多种阿里云资源来开展业务,例如:ECS实例、RDS实例、SLB实例和OSS存储空间等。企业A希望将部分业务授权给企业B。 |
| 对云上应用进行动态身份管理与授权 | 企业A购买了ECS实例,并计划在ECS中部署企业的应用程序。这些应用程序需要使用访问密钥(AccessKey)访问其它云服务API。 |
原创文章,作者:奋斗,如若转载,请注明出处:https://blog.ytso.com/notes/294465.html