阿里云身份管理与访问控制之信任管理: 角色扮演, 临时身份和安全令牌

本文介绍了阿里云访问控制中的角色扮演和临时身份特性。这两个特性帮助客户管理好对合作伙伴, 云服务协同应用, 以及客户应用服务的信任与访问授权, 构成了阿里云安全受控的合作生态的技术基础设施的一部分。

信任管理

云平台中的资源, 我们可以授权给信任的员工, 合作伙伴, 平台服务, 我们自己部署的应用等不同的身份来访问.

  1. 合作伙伴A来负责代运维一组Linux服务器, 除此以外不能访问其他资源; 合作伙伴B来负责维护RDB服务, 除此以外不能访问其他资源;
  2. 授权给阿里云的多媒体处理服务来处理存放在OSS中指定目录中的图片和视频, 但不能访问其他目录里中的资源.
  3. 部署在ECS中的运维工具, 能够根据负载变动情况, 自动关闭一些ECS机器, 或自动升级或启动一些ECS机器.

这些应用场景中的信任管理, 都是通过角色扮演和临时身份实现的.

角色扮演

阿里云账号中的资源分权访问, 对于员工可以使用子用户来实现. 对于不适合子用户(含子用户组)授权的情况, 采取基于角色扮演的授权方法更安全便捷.

比如, 合作伙伴帮助做运维时, 会在他们自己的主账号中管理自身的员工子用户, 我们所需要做的是创建一个(或多个)与他们的主账号绑定的角色,  并把角色与合适的访问控制策略绑定.

如上图,我们的主账号为A1,两家服务商的主账号分别为P1和P2。在我们的访问控制管理界面上,我们可以创建角色A1P11和A1P21,分别绑定了子账号P1和P2。服务商P1可以在自己的访问控制管理界面上,授予其子用户P1U1、P1U2、P1U3等扮演角色A1P11的权限;服务商P2可以在自己的访问控制管理界面上,授予其子用户P2U1、P2U2、P2U3等扮演角色A1P21的权限。

角色A1P11、A1P21能访问哪些资源,由A1通过关联访问控制策略来设置;哪些人能扮演角色,由合作方P1、P2分别控制。

这种基于角色扮演的代理授权方式, 是一种安全而又便捷的信任管理方式. 阿里云为角色切换及操作过程提供了操作记录供安全审计, 进一步提升了可追溯性和安全性.

角色扮演(或角色切换)的过程, 隐含了创建临时身份(临时子用户)的过程. 跨账号的角色是账号对账号的关系, 并不会限制实际的扮演者是合作账号内的哪一个子用户.

当合作账号内的某个子用户开始扮演角色时, 系统会在我们的账号内创建一个临时的子用户. 当合作账号内的另一个子用户开始扮演角色时, 系统会创建另外一个临时的子用户. 当合作账号的子用户完成了工作, 退出所扮演的角色时, 临时子用户的生命周期就结束了 (不再可用, 但仍然存在于操作记录中).

临时身份和令牌

通过管理控制台进行角色扮演和角色切换过程中创建的临时身份是不可见的。在基于API的访问中, 临时身份以令牌的形式存在, 对API的开发者用户而言是必须理解的概念.

通过STS (Security Token Service)创建的临时身份也叫做令牌,是有过期时间的安全访问凭证。它的临时身份信息由Access Key和Security Token组成。其中Access Key包括Key ID和Key Secret,用于API请求的签名。

在常见的API的访问控制中,一般只使用Security Token即可实现安全身份管理,比如互联网开放平台上最常用的访问控制规范oauth2(不使用MAC signature时);而在云平台中,对API请求签名,能进一步提高安全性。

在阿里云OpenAPI中, 令牌的创建需要调用API assumeRole.

client = AcsClient(access_key_id, access_key_secret, region_id)
sts_request = AssumeRoleRequest.AssumeRoleRequest()
sts_request.set_RoleArn(role_arn)
sts_request.set_RoleSessionName(sts_session_name)

sts_response_str = client.do_action_with_exception(sts_request)
sts_response_json = json.loads(sts_response_str)
sts_cred_dict = sts_response_json['Credentials']
sts_cred = credentials.StsTokenCredential(
    sts_access_key_id=sts_cred_dict['AccessKeyId'],
    sts_access_key_secret=sts_cred_dict['AccessKeySecret'],
    sts_token=sts_cred_dict['SecurityToken']
)

获得了令牌以后, 就可以用于调用阿里云的其他的OpenAPI了, 比如下面的例子, 调用ECS API列出ECS 实例列表.

stsClient = AcsClient(region_id=region_id, credential=sts_cred)
request = DescribeInstancesRequest.DescribeInstancesRequest()
request.set_PageSize(50)
response = stsClient.do_action_with_exception(request)

完整的代码请参考 `https://gitee.com/iam2cloud/acs_ram_demo`.

云服务协同, ECS上的应用与角色扮演

前面我们提到了用户(子用户)扮演角色; 此外, 云平台所提供的服务之间协作时, 我们所订购的服务A要去自动访问服务B或C时, 我们就需要创建一个合适的角色, 该角色允许操作服务B的资源, 并授信服务A来扮演该角色. 服务A在后台会自动依据所授予的角色来调用STS服务, 生成临时身份和令牌, 用于调用服务B或C的API.

目前已经可以支持这种授权方式的服务有:  多媒体转码服务, 归档存储服务, 日志服务, API网关服务, 函数计算服务.

云平台提供的这些服务, 可以通过该服务的管理控制台或OpenAPI来配置所授予的服务角色, 服务获取临时身份和令牌的过程是不可见的.

与云平台提供的服务相比, ECS实例中的应用服务是一种特殊的服务, 由客户自己负责部署. ECS实例中的应用服务要通过平台的API访问云资源时, 可以通过ECS实例的元数据服务来获取临时身份和安全令牌.

阿里云平台中的ECS实例通过以下地址访问其metadata:

curl http://100.100.100.200/latest/meta-data/

其中, 该实例所扮演的角色所生成的临时身份和安全令牌路径为:

ram/security-credentials/[role-name]

下面的代码是一个完整的例子:

 $curl http://100.100.100.200/latest/meta-data/ram/security-credentials/ecs-i-1
 {
  "AccessKeyId" : "STS.123",
  "AccessKeySecret" : "123456",
  "Expiration" : "2018-06-01T15:44:32Z",
  "SecurityToken" : "C1111111111111111111111111111111111111111111111111111111111111111==",
  "LastUpdated" : "2018-06-01T09:44:32Z",
  "Code" : "Success"
}

参考文档

  1. 角色身份的概念理解 https://help.aliyun.com/document_detail/28649.html
  2. 合作伙伴间(跨主账号)基于角色扮演的授权管理场景 https://help.aliyun.com/document_detail/28658.html
  3. STS SDK Python示例 https://help.aliyun.com/document_detail/28797.html
  4. 函数计算中的服务角色授权示例 https://yq.aliyun.com/articles/152077
  5. 通过控制台授予ECS 实例服务角色 https://help.aliyun.com/document_detail/61175.html
  6. 移动应用APP使用临时身份和安全令牌的解决方案https://help.aliyun.com/document_detail/28657.html. 需要注意的是, 这个解决方案在实现移动APP从后台服务端获取临时身份和安全令牌时, 还需要保证后台服务需要保证对移动APP进行身份识别并保证传送过程的加密安全.