本文介绍了当企业有多种云资源,使用 RAM 的授权管理功能,实现用户分权及资源统一管理。

背景信息

企业 A 的某个项目(Project-X)上云,购买了多种阿里云产品,例如:ECS 实例、RDS 实例、SLB 实例、OSS 存储空间等。项目里有多个员工需要操作这些云资源,由于每个员工的工作职责不同,需要的权限也不一样。企业 A 希望能够达到以下要求:

  • 出于安全或信任的考虑,A 不希望将云账号密钥直接透露给员工,而希望能给员工创建独立账号。
  • 用户账号只能在授权的前提下操作资源。

    A 随时可以撤销用户账号身上的权限,也可以随时删除其创建的用户账号。

  • 不需要对用户账号进行独立的计量计费,所有开销都算在 A 的头上。

需求分析

  • 杜绝多员工共享主账号,防止主账号密码或 AK 泄露导致风险不可控。
  • 给不同员工分配独立的用户账号(或操作员账号)并独立分配权限,做到责权一致。
  • 所有用户账号的所有操作行为可审计。
  • 不需要分别核算每个操作人员的成本,所发生费用统一计入主账号账单。

企业场景解决方案

图 1. 企业场景解决方案

企业场景解决方案

实现用户管理与分权的操作步骤

  1. 为云账号设置多因素认证,避免因主账号密码泄露导致风险。
  2. 创建用户。为不同员工(或应用系统)创建 RAM 用户账号,并按需设置登录密码或创建 AccessKey。
  3. 创建群组。如果有多个员工的职责相同,建议创建用户组,并将用户添加到用户组。
  4. 为 RAM 用户授权。给用户或用户组添加一条或多条系统策略。如果需要更细粒度的授权,可以创建创建自定义授权策略 ,然后给用户或用户组授权。