本文介紹怎樣利用阿裡雲資源編排服務(ros),一步建立阿裡雲資源(以oss為例)、建立多個子帳号,并付給子帳号不同的資源通路權限。
先試為快,一步建立 >>
阿裡雲資源通路控制服務(ram),幫助您把不同的資源權限配置設定給特定的使用者(比如員工、系統或應用程式),達到最小特權的安全實踐。例如,授權某個子使用者管理兩台指定的ecs執行個體。
資源編排服務按照三種粒度進行通路控制:
aliyun::ram::user
給目前賬号建立子賬号,同時給子帳号指定授權政策
aliyun::ram::group
建立使用者組,如果給組指定授權政策,組中的每個使用者都預設擁有了相同的通路權限
aliyun::ram::role
建立角色,如果給角色設定授權政策,那麼扮演此角色的使用者即擁有了此通路權限
應用場景:
在某款app的開發過程中,需要将部分資料存儲到oss中。管理者建立ros-bucket,考慮到權限隔離的問題,開發小組中隻有lisir擁有ros-bucket的<code>讀寫權限</code>,其他人隻有<code>隻讀權限</code>,邏輯結構如下圖:
實踐:
建立<code>bucket(ros-bucket)</code>
作為被通路的資源
建立使用者組<code>group(devgroup)</code>
建立兩個<code>user</code>
user(lisir)
user(developer), 加入使用者組 devgroup
建立兩個<code>policy</code>
fullaccesspolicy 擁有bucket的讀寫權限,并為組devgroup授權
readonlypolicy 擁有bucket的隻讀權限,并為user(lisir)授權
aliyun::oss::bucket 參考模闆定義,<code>accesscontrol</code>配置為<code>private</code>。隻有目前賬号可以對該bucket内的object進行讀寫操作。
aliyun::ram::group 參考模闆定義,這裡定義組名為devgroup。
aliyun::ram::user 參考模闆定義,建立兩個子帳号,并分别配置登入名和密碼。然後把developer加入到組devgroup。
aliyun::ram::managedpolicy 參考模闆定義。policy文法定義參考。
fullaccesspolicy
允許oss類型資源的所有操作
然後為user(lisir)授權
readonlypolicy
允許對oss類型資源進行擷取bucket清單操作。
然後限制對mybucket隻能進行讀取操作。
最後為組(devgroup)授權
點選連結到ros控制台建立資源棧,建立完成的資源清單如下圖:
用子帳号<code>lisir</code>登入oss控制台,可以對ros-bucket進行上傳檔案、删除檔案等任何操作。例如,可以上傳幾個檔案,如下圖所示:
用子帳号<code>developer</code>登入控制台并上傳檔案, 系統提示沒有權限。如下圖所示:
完整的模闆 下載下傳位址