使用OPA策略实现细粒度访问控制

服务网格ASM集成了开放策略代理(OPA)插件,通过OPA定义访问控制策略,可以使您的应用实现细粒度的访问控制。ASM支持在控制平面定义OPA策略,然后推送到数据平面集群中。本文介绍如何在ASM定义OPA策略实现访问应用时的权限细粒度控制,包括对请求URL、请求头信息中的Token等访问限制。

前提条件

背景信息

作为由CNCF托管的一个孵化项目,开放策略代理(OPA)是一个策略引擎,可用于为您的应用程序实现细粒度的访问控制。OPA作为通用策略引擎,可以与微服务一起部署为独立服务。为了保护应用程序,必须先授权对微服务的每个请求,然后才能对其进行处理。为了检查授权,微服务对OPA进行API调用,以确定请求是否被授权。OPA

步骤一:启用OPA插件和注入范围控制

  1. 登录ASM控制台,在左侧导航栏,选择服务网格 > 网格管理

  2. 网格管理页面,单击目标实例名称,然后在左侧导航栏,选择网格安全中心 > OPA策略

  3. OPA策略页面,选中启用开放策略代理OPA插件启用OPA注入范围控制,单击开启OPA功能,在提示对话框,单击确定

步骤二:创建OPA策略

在ASM控制平面创建ASMOPAPolicy资源,该资源会被推送到数据平面集群,然后Pod中OPA引擎使用该资源实现细粒度访问控制。

方式一:通过ASM控制台创建OPA策略

  1. 登录ASM控制台,在左侧导航栏,选择服务网格 > 网格管理

  2. 网格管理页面,单击目标实例名称,然后在左侧导航栏,选择网格安全中心 > OPA策略

  3. OPA策略页面,单击创建,选择default命名空间,设置OPA策略的名称bookinfo-opa,单击新增匹配标签,设置名称versionv1,将以下Rego规则复制到文本框,然后单击创建

    展开查看Rego规则

    package istio.authz
    import input.attributes.request.http as http_request
    allow {
        roles_for_user[r]
        required_roles[r]
    }
    roles_for_user[r] {
        r := user_roles[user_name][_]
    }
    required_roles[r] {
        perm := role_perms[r][_]
        perm.method = http_request.method
        perm.path = http_request.path
    }
    user_name = parsed {
        [_, encoded] := split(http_request.headers.authorization, " ")
        [parsed, _] := split(base64url.decode(encoded), ":")
    }
    user_roles = {
        "guest1": ["guest"],
        "admin1": ["admin"]
    }
    role_perms = {
        "guest": [
            {"method": "GET",  "path": "/productpage"},
        ],
        "admin": [
            {"method": "GET",  "path": "/productpage"},
            {"method": "GET",  "path": "/api/v1/products"},
        ],
    }

方式二:使用kubectl命令行创建OPA策略

  1. 使用以下内容,创建opa.yaml

    展开查看opa.yaml

    apiVersion: istio.alibabacloud.com/v1beta1
    kind: ASMOPAPolicy
    metadata:
      name: bookinfo-opa
      namespace: default
    spec:
      workloadSelector: 
         labels: 
           version: v1
      policy: |
        package istio.authz
        import input.attributes.request.http as http_request
        allow {
            roles_for_user[r]
            required_roles[r]
        }
        roles_for_user[r] {
            r := user_roles[user_name][_]
        }
        required_roles[r] {
            perm := role_perms[r][_]
            perm.method = http_request.method
            perm.path = http_request.path
        }
        user_name = parsed {
            [_, encoded] := split(http_request.headers.authorization, " ")
            [parsed, _] := split(base64url.decode(encoded), ":")
        }
        user_roles = {
            "guest1": ["guest"],
            "admin1": ["admin"]
        }
        role_perms = {
            "guest": [
                {"method": "GET",  "path": "/productpage"},
            ],
            "admin": [
                {"method": "GET",  "path": "/productpage"},
                {"method": "GET",  "path": "/api/v1/products"},
            ],
        }
    说明
    • OPA定义一个Pod的OPA策略时,只允许有一条default allow字段。如果多个OPA策略生效于一个Pod,且每个策略中都定义了default allow字段,则多条default allow字段会导致动态更新失败。

    • 设定OPA策略时,建议通过标签控制策略生效的范围,不恰当的Rego规则会导致无法访问服务。

    • OPA执行引擎和业务容器在一个Pod中,需要占用15081和9191端口。

    • OPA Policy中已经默认设置default allow = false ,不可以再重复设置default allow,否则会导致冲突。

    字段

    说明

    spec

    使用Rego语法表述的具体规则。关于Rego语法的更多信息,请参见Rego

    workloadSelector

    设定该OPA策略在此命名空间生效范围,如果不设定,默认在全部Pod中生效,设定后只生效于符合标签条件的Pod。

    user_roles

    为用户授予角色权限。本例设置guest1拥有guest角色权限,admin1拥有admin角色权限。

    role_perms

    设置角色拥有的权限。本文设置guest角色可以通过/productpage访问应用,admin角色可以通过/productpage/api/v1/products访问应用。

  2. 执行以下命令,创建OPA策略。

    关于如何通过kubectl连接ASM实例,请参见通过控制面kubectl访问Istio资源

    kubectl apply -f opa.yaml

步骤三:注入OPA代理

部署示例应用Bookinfo到ASM实例,确认每个Pod都注入了OPA代理。

  1. 部署示例应用Bookinfo到ASM实例。具体操作,请参见在ASM实例关联的集群中部署应用

  2. 创建入口网关、网关规则和虚拟服务。具体操作,请参见使用Istio资源实现版本流量路由

  3. 检查每个应用是否都注入OPA代理。

    1. 登录容器服务管理控制台,在左侧导航栏选择集群

    2. 集群列表页面,单击目标集群名称,然后在左侧导航栏,选择工作负载 > 容器组

    3. 容器组页面,从命名空间下拉列表中选择default,单击目标应用容器组的名称。

      容器页签下可以看到容器被注入了Sidecar代理(istio-proxy)和OPA代理(opa-istio)。依次检查每个应用的容器,确保每个容器都被注入了Sidecar代理和OPA代理。注入OPA代理

步骤四:验证使用OPA定义访问控制策略是否成功

  1. 执行以下命令,使用带有/productpage的URL访问应用。

    curl -X GET http://<入口网关的IP地址>/productpage --user guest1:password -I

    预期输出:

    HTTP/1.1 200 OK
  2. 执行以下命令,使用带有/api/v1/products的URL访问应用。

    curl -X GET http://<入口网关的IP地址>/api/v1/products --user guest1:password -I

    预期输出:

    HTTP/1.1 403 Forbidden

    可以看到guest1被授予guest角色,并且可以使用带有/productpage的URL访问应用,但不能使用带有/api/v1/products的URL访问应用。

  3. 执行以下命令,使用带有/productpage的URL访问应用。

    curl -X GET http://{{入口网关的IP地址}}/productpage --user admin1:password -I

    预期输出:

    HTTP/1.1 200 OK
  4. 执行以下命令,使用带有/api/v1/products的URL访问应用。

    curl -X GET http://<入口网关服务的IP地址>/api/v1/products --user admin1:password -I

    预期输出:

    HTTP/1.1 200 OK

    可以看到admin1被授予admin角色,并且可以使用带有/productpage/api/v1/products的URL访问应用。以上结果表明使用OPA定义访问控制策略成功。

步骤五:动态更新OPA策略

执行以下命令,修改OPA策略。

kubectl edit asmopapolicy bookinfo-opa -n default 

在返回结果中编辑OPA策略,使guest1同时用于guest和admin权限。

apiVersion: istio.alibabacloud.com/v1beta1
kind: ASMOPAPolicy
metadata:
  name: bookinfo-opa
  namespace: default
spec:
  policy: |
    package istio.authz
    import input.attributes.request.http as http_request
    allow {
        roles_for_user[r]
        required_roles[r]
    }
    roles_for_user[r] {
        r := user_roles[user_name][_]
    }
    required_roles[r] {
        perm := role_perms[r][_]
        perm.method = http_request.method
        perm.path = http_request.path
    }
    user_name = parsed {
        [_, encoded] := split(http_request.headers.authorization, " ")
        [parsed, _] := split(base64url.decode(encoded), ":")
    }
    user_roles = {
        "guest1": ["guest", "admin"],
        "admin1": ["admin"]
    }
    role_perms = {
        "guest": [
            {"method": "GET",  "path": "/productpage"},
        ],
        "admin": [
            {"method": "GET",  "path": "/productpage"},
            {"method": "GET",  "path": "/api/v1/products"},
        ],
    }
  • user_roles:为用户授予角色权限。本例设置guest1同时拥有guest和admin角色权限,admin1拥有admin角色权限。

  • role_perms:设置角色拥有的权限。本例设置guest角色可以通过/productpage访问应用,admin角色可以通过/productpage/api/v1/products访问应用。

步骤六:验证动态更新OPA策略是否成功

  1. 执行以下命令,使用带有/productpage的URL访问应用。

    curl -X GET http://<入口网关服务的IP地址>/productpage --user guest1:password -I

    预期输出:

    HTTP/1.1 200 OK
  2. 执行以下命令,使用带有/api/v1/products的URL访问应用。

    curl -X GET http://<入口网关服务的IP地址>/api/v1/products --user guest1:password -I

    预期输出:

    HTTP/1.1 200 OK

    在没有更新OPA策略之前,guest1只能使用带有/productpage的URL访问应用,但不能使用带有/api/v1/products的URL访问应用。更新OPA策略之后,guest1可以使用带有/productpage和/api/v1/products的URL访问应用。说明动态更新OPA策略成功。

场景示例

场景一:JWT请求授权

在接收用户请求时,认证请求头信息中的JWT Token是否可信,只有符合要求的请求才能访问到应用。

以下ASMOPAPolicy定义了只有通过get请求的方式,且JWT Token的RoleguestuserGroupvisitor的请求才能访问Productpage应用。

apiVersion: istio.alibabacloud.com/v1beta1
kind: ASMOPAPolicy
metadata:
  name: policy-jwt
  namespace: default
spec:
  policy: |
    package istio.authz

    allow {
      input.attributes.request.http.method == "GET"
      input.parsed_path[0] == "productpage"
      # set certificate 'B41BD5F462719C6D6118E673A2389'
      io.jwt.verify_hs256(bearer_token, "B41BD5F462719C6D6118E673A2389")
      claims.Role == "guest"
      claims.userGroup == "visitor"
    }
    claims := payload {
       [_, payload, _] := io.jwt.decode(bearer_token)
    }
    bearer_token := t {
      v := input.attributes.request.http.headers.authorization
      startswith(v, "Bearer ")
      t := substring(v, count("Bearer "), -1)
    }
  • input.attributes.request.http.method:请求方法,本文设置为GET

  • input.parsed_path[0]:访问的应用。

  • claims.Role:对JWT Token进行限制,本文设置Roleguest

  • claims.userGroup:对JWT Token进行限制,本文设置userGroupvisitor

使用JWT工具将RoleuserGroup等请求信息编码成JWT字符串。请求授权

执行以下命令,访问Productpage应用。

curl --location --request GET 'http://{入口网关服务的IP地址服务IP}/productpage' \
--header 'Authorization: Bearer 
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJuYW1lIjoiZ3Vlc3QxIiwiUm9sZSI6Imd1ZXN0IiwidXNlckdyb3VwIjoidmlzaXRvciJ9.44OnUFZwOzSWzC7hyVfcle-uYk8byv7q_BBxS10AEWc'

预期输出:

200

返回200,说明通过get请求的方式,且JWT Token的RoleguestuserGroupvisitor的请求访问Productpage应用成功。如果您使用错误的JWT Token,或者请求中不包含JWT Token,将会返回403,说明访问Productpage应用失败。

场景二:对HTTP请求的请求体body进行限制

对HTTP请求的请求体body进行限制,只有请求体body与JWT中的Role相同的请求才能访问应用。

以下ASMOPAPolicy定义了只有通过get请求的方式,且请求体body的username与JWT中的Role相同,并且userGroupmanager的请求才能访问Productpage应用。

apiVersion: istio.alibabacloud.com/v1beta1
kind: ASMOPAPolicy
metadata:
  name: policy-body
  namespace: default
spec:
  policy: |
    package istio.authz

    allow {
      input.attributes.request.http.method == "GET"
      input.parsed_path[0] == "productpage"
      io.jwt.verify_hs256(bearer_token, "B41BD5F462719C6D6118E673A2389")
      claims.Role == input.parsed_body.username
      claims.userGroup == "manager"
    }
    claims := payload {
       [_, payload, _] := io.jwt.decode(bearer_token)
    }
    bearer_token := t {
      v := input.attributes.request.http.headers.authorization
      startswith(v, "Bearer ")
      t := substring(v, count("Bearer "), -1)
    }
  • input.attributes.request.http.method:请求方法,本文设置为GET

  • input.parsed_path[0]:访问的应用。

  • claims.Role:对JWT Token进行限制,本文设置input.parsed_body.username,限制请求体body的username与JWT中的Role必须相同。

  • claims.userGroup:对JWT Token进行限制,本文设置userGroupmanager

使用JWT工具将RoleuserGroup等请求信息编码成JWT字符串。body

执行以下命令,访问Productpage应用。

curl --location --request GET 'http://{入口网关服务的IP地址}/productpage' \
--header 'Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJuYW1lIjoiZ3Vlc3QxIiwiUm9sZSI6ImFkbWluIiwidXNlckdyb3VwIjoibWFuYWdlciJ9.pAUvTeONHF-i5Ps-EUYYXk-hnaz-j-ZgP_wXJZMBiR0' \
--header 'Content-Type: application/json' \
--header 'Cookie: session=eyJ1c2VyIjoiYWRtaW4ifQ.YRz90g.GT34_5BqlFTwGqabZk_qGZzxYQ0' \
--data-raw '{
    "username":"admin",
    "password":"12****"
                

预期输出:

200

返回200,说明通过get请求的方式,请求体body的username与JWT中的Role相同,并且JWT Token中的userGroupmanager的请求访问Productpage应用成功。如果您使用错误的JWT Token,或者请求中不包含JWT Token,将会返回403,说明访问Productpage应用失败。

场景三:限制更多上下文信息

在场景二的基础上限制更多上下文信息,限制JWT中的username信息必须包含在bookinfo_managers范围内。

以下ASMOPAPolicy定义了只有通过get请求的方式,且请求体body的username与JWT中的Role相同,JWT中的username信息必须包含在bookinfo_managers范围内,userGroupmanager的请求才能访问Productpage。

apiVersion: istio.alibabacloud.com/v1beta1
kind: ASMOPAPolicy
metadata:
  name: policy-range
  namespace: default
spec:
  policy: |
    package istio.authz
    bookinfo_managers = [{"name": "user1"}, {"name": "user2"}, {"name": "user3"}]

    allow {
      input.attributes.request.http.method == "GET"
      input.parsed_path[0] == "productpage"
      io.jwt.verify_hs256(bearer_token, "B41BD5F462719C6D6118E673A2389")
      claims.Role == input.parsed_body.username
      claims.userGroup == "manager"
      claims.username == bookinfo_managers[_].name
    }
    claims := payload {
       [_, payload, _] := io.jwt.decode(bearer_token)
    }
    bearer_token := t {
      v := input.attributes.request.http.headers.authorization
      startswith(v, "Bearer ")
      t := substring(v, count("Bearer "), -1)
    }
  • input.attributes.request.http.method:请求方法,本文设置为GET

  • input.parsed_path[0]:访问的应用。

  • claims.Role:对JWT Token进行限制,本文设置input.parsed_body.username,限制请求体body的username与JWT中的Role必须相同。

  • claims.userGroup:对JWT Token进行限制,本文设置userGroupmanager

  • claims.username:对JWT Token进行限制,本文设置bookinfo_managers[_].name,限制JWT中的username信息必须包含在bookinfo_managers范围内。

使用JWT工具将请求信息编码成JWT字符串。上下文

执行以下命令,访问productpage应用。

curl --location --request GET 'http://{入口网关服务的IP地址}/productpage' \
--header 'Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6InVzZXIxIiwiUm9sZSI6ImFkbWluIiwidXNlckdyb3VwIjoibWFuYWdlciJ9.2X0Fmb96jBexLcVm_55t8ZY6XveSxUAsQ1j3ar5dI_g' \
--header 'Content-Type: application/json' \
--header 'Cookie: session=eyJ1c2VyIjoiYWRtaW4ifQ.YRz90g.GT34_5BqlFTwGqabZk_qGZzxYQ0' \
--data-raw '{
    "username":"admin",
    "password":"12****"
}'

预期输出:

200

返回200,说明通过get请求的方式,请求体body的username与JWT中的Role相同,JWT中的username信息必须包含在bookinfo_managers范围内。并且JWT Token中的userGroupmanager的请求访问Productpage应用成功。如果您使用错误的JWT Token,或者请求中不包含JWT Token,将会返回403,说明访问Productpage应用失败。

FAQ

如何查看哪些Pod使用OPA策略?

OPA的执行引擎以Sidecar的方式和业务容器部署在同一个Pod中。您需要进入到Pod中,执行以下命令,可以看到应用在Pod上的全部OPA策略。

curl 127.0.0.1:15081/v1/policies

如何对Rego语法进行测试?

OPA Policy Agent官方提供了在线测试工具,您可以使用该工具对Rego编写的策略进行测试。

相关文档

如果您之前使用的是Configmap配置OPA策略,您可以参考以下文档: