阿里云身份管理与访问控制之信任管理: 角色扮演, 临时身份和安全令牌

本文介绍了阿里云访问控制中的角色扮演和临时身份特性。这两个特性帮助客户管理好对合作伙伴, 云服务协同应用, 以及客户应用服务的信任与访问授权, 构成了阿里云安全受控的合作生态的技术基础设施的一部分。

信任管理

云平台中的资源, 我们可以授权给信任的员工, 合作伙伴, 平台服务, 我们自己部署的应用等不同的身份来访问.

  1. 合作伙伴A来负责代运维一组Linux服务器, 除此以外不能访问其他资源; 合作伙伴B来负责维护RDB服务, 除此以外不能访问其他资源;
  2. 授权给阿里云的多媒体处理服务来处理存放在OSS中指定目录中的图片和视频, 但不能访问其他目录里中的资源.
  3. 部署在ECS中的运维工具, 能够根据负载变动情况, 自动关闭一些ECS机器, 或自动升级或启动一些ECS机器.

这些应用场景中的信任管理, 都是通过角色扮演和临时身份实现的.

角色扮演

阿里云账号中的资源分权访问, 对于员工可以使用子用户来实现. 对于不适合子用户(含子用户组)授权的情况, 采取基于角色扮演的授权方法更安全便捷.

比如, 合作伙伴帮助做运维时, 会在他们自己的主账号中管理自身的员工子用户, 我们所需要做的是创建一个(或多个)与他们的主账号绑定的角色,  并把角色与合适的访问控制策略绑定.

如上图,我们的主账号为A1,两家服务商的主账号分别为P1和P2。在我们的访问控制管理界面上,我们可以创建角色A1P11和A1P21,分别绑定了子账号P1和P2。服务商P1可以在自己的访问控制管理界面上,授予其子用户P1U1、P1U2、P1U3等扮演角色A1P11的权限;服务商P2可以在自己的访问控制管理界面上,授予其子用户P2U1、P2U2 …

Continue Reading

阿里云身份管理与资源访问控制入门 - 子账号登录

像阿里云这样的大型公有云平台, 通常都提供了很多的云计算资源, 一定规模的企业用户会有多个工作人员需要管理不同的资源, 此时如果仍然使用单一账号来进行操作, 不符合信息安全的要求. 阿里云提供了"访问控制"服务, 提供简单的用户身份管理和丰富的资源访问管理的功能, 可以创建多个用户. 用户可以属于不同的用户组, 用户或组可以赋予不同的访问控制策略, 从而帮助企业客户实施简单的账号管理和安全的访问控制.

值得一提的是, 身份与访问控制管理一般简称为IAM, 即 Identity and Access Management. 不过, 在阿里云, 它被称为 RAM, 即 Resource Access Management, 强调了以云计算资源为中心的访问控制模型. 只是这个简写通常是计算机内存的简写, 第一眼看起来让人困惑.

阿里云提供了一个5分钟左右的视频, 介绍了"访问控制"服务的简单操作, 非常易懂. 其产品概述链接为 https://www.aliyun.com/product/ram

本博文是作者在观看了上述链接中的视频简介, 开通了个人账号的"访问控制"服务, 初步实验以后所做的笔记.

引入了访问控制模型以后, 原来的账号 …

Continue Reading

学习 httpd 2.4 的 authn 和 authz 机制

引子

Openstack Keystone 的 federation 是基于 httpd auth 架构而实现的。Mod_auth_shibboleth, mod_auth_openidc 是针对 SAML 和 OpenID Connect 协议而实现的httpd auth 扩展模块。因此,深入理解 http auth 机制,是运营 Keystone Federation 系统的必备技术能力。

身份认证和访问控制

验证,就是检验用户提供的身份信息,证明用户是否是其所声称的那个用户。比如,要求用户输入手机号码,然后发送验证码到用户的手机上,用户再把验证码填回到界面上,系统就可以检查手机号和验证码是否匹配。如果匹配,证明该用户就是该手机号的持有人(不考虑手机被借用或盗用的情况)。其他常见的验证方式包括,通过手机上的app扫描用户界面上的二维码;使用用户名和密码进行验证;或者使用这几种方式的组合等。

访问控制,授权,鉴权。 权限定义, 授权,将权限授予某个用户 …

Continue Reading