RAM账号权限管理最佳实践

本文以电商网站项目为例,为您介绍使用访问控制RAM进行账号权限管理的最佳实践,阐述单个RAM账号场景下用户管理、资源分组、权限配置、访问控制的治理方法及原则。

准备工作

某电商网站项目需要使用访问控制RAM进行账号权限管理,可以通过ROS的模板示例RAM账号权限管理自动化搭建单个RAM账号场景下用户管理、权限配置的环境,搭建环境前需要进行以下操作:

  • 请确保您可以访问云服务器ECS、专有网络VPC、阿里云关系型数据库RDS、对象存储OSS和访问控制RAM。

  • 请确保您已经为开发环境资源、生产环境资源和测试环境资源创建资源组,并获取相应的资源组ID。关于创建资源组的具体操作,请参见创建资源组

步骤一:创建资源栈

  1. 登录资源编排控制台

  2. 在左侧导航栏,单击解决方案中心

  3. 查找模板RAM账号权限管理

  4. 单击创建资源栈

  5. 配置参数页面,输入资源栈名称,并设置以下参数。

    模块

    参数

    说明

    示例

    RESOURCE

    开发资源组ID

    开发环境资源所在的资源组ID。

    rg-aekzs3xmizs****

    生产资源组ID

    生产环境资源所在的资源组ID。

    rg-aekzko7fsuj****

    测试资源组ID

    测试环境资源所在的资源组ID。

    rg-aekzsvnra53****

    VPC

    开发环境专有网络网段

    开发环境的专有网络网段。

    172.16.0.0/12

    生产环境专有网络网段

    生产环境的专有网络网段。

    10.0.0.0/8

    测试环境专有网络网段

    测试环境的专有网络网段。

    192.168.0.0/16

    交换机可用区

    专有网络下的交换机可用区ID。

    华东1可用区K

    开发交换机网段

    开发环境的交换机网段。

    必须为专有网络子网段。

    172.16.10.0/24

    生产交换机网段

    生产环境的交换机网段。

    必须为专有网络子网段。

    10.0.10.0/24

    测试交换机网段

    测试环境的交换机网段。

    必须为专有网络子网段。

    192.168.10.0/24

    ECS

    实例规格

    ECS实例的规格。

    请选用有效的实例规格。更多信息,请参见实例规格族

    ecs.c5.large

    镜像

    ECS镜像ID。默认使用centos_7。

    更多信息,请参见镜像概述

    centos_7

    系统盘类型

    ECS系统盘的类型。取值:

    • cloud_efficiency:高效云盘。

    • cloud_ssd:SSD云盘。

    • cloud_essd:ESSD云盘。

    • cloud:普通云盘。

    • ephemeral_ssd:本地SSD盘。

    更多信息,请参见云盘概述

    cloud_efficiency

    系统盘空间

    系统盘大小。

    取值范围:40~500。

    单位:GB。

    40

    实例密码

    ECS实例的密码。

    Test_12****

    RDS

    类型与版本号

    RDS数据库的类型与版本号。

    MySQL-5.7

    实例规格

    RDS实例的规格。

    请选用有效的实例规格。更多信息,请参见主实例规格列表

    rds.mysql.s2.large

    存储空间

    RDS的存储空间。

    取值范围:5~1000,每5 GB进行递增。

    单位:GB。

    5

    OSS

    读写权限

    OSS存储空间文件访问权限。取值:

    • private:对文件的所有访问操作都需要进行身份验证。

    • public-read:对文件写操作需要进行身份验证,可以对文件进行匿名读取。

    • public-read-write:所有人都可以对文件进行读写操作。

    private

    存储类型

    OSS存储空间文件存储类型。取值:

    • Standard:标准存储类型。

    • IA:低频访问存储类型。

    • Archive:归档存储类型。

    Standard

    开发存储空间名称

    开发环境OSS存储空间名称。

    ros-projects-dev

    生产存储空间名称

    生产环境OSS存储空间名称。

    ros-projects-prod

    测试存储空间名称

    测试环境OSS存储空间名称。

    ros-projects-test

    代码发布空间名称

    用于代码发布的OSS存储空间名称。

    ros-projects-code

    其他存储空间名称

    用于其他用途的OSS存储空间名称。

    ros-projects-other

    发布存储空间发布目录

    开发环境OSS存储目录名称。

    release

    发布存储空间生产目录

    生产环境OSS存储目录名称。

    prod

    RAM

    运维用户组名称

    运维用户组的名称。

    sa

    开发用户组名称

    开发用户组的名称。

    dev

    测试用户组名称

    测试用户组的名称。

    test

    开发环境程序用户组名称

    开发环境的用户组名称。

    app-dev

    生产环境程序用户组名称

    生产环境的用户组名称。

    app-prod

    测试环境程序用户组名称

    测试环境的用户组名称。

    app-test

    开发权限用户名

    开发账号RAM用户名称。

    sts_dev

    生产权限用户名

    生产账号RAM用户名称。

    sts_prod

    测试权限用户名

    测试账号RAM用户名称。

    sts_test

  6. 单击创建

  7. 资源栈信息页签查看资源栈状态。资源栈创建成功后,单击输出,获取开发、测试、生产环境所对应的AccessKey ID和AccessKey Secret。

步骤二:查看资源

  1. 在左侧导航栏,单击资源栈

  2. 资源栈列表页面,单击目标资源栈名称。

  3. 单击资源页签,查看资源信息。

    本示例中,资源信息如下表所示。

    资源

    数量

    资源说明

    规格说明

    ALIYUN::RAM::Group

    6

    创建六个RAM用户组。用户组对职责相同的RAM用户进行分类并授权,可以更加高效地管理用户及其权限。

    ALIYUN::ECS::SecurityGroup

    3

    创建三个安全组,用于在云端划分安全域。

    ALIYUN::RDS::DBInstance

    1

    创建一个阿里云关系型数据库RDS实例,用于存储数据。

    • rds.mysql.s2.large:通用型2核4 GB。

    • 存储空间:20 GB。

    ALIYUN::ECS::VSwitch

    3

    创建三个交换机,用于管理单个可用区下的实例。

    ALIYUN::OSS::Bucket

    5

    创建五个对象存储空间,用于存储开发、生产、测试环境的数据。

    ALIYUN::ECS::Instance

    3

    创建三个云服务器,用于承载开发、生产、测试环境的业务。

    • 总数量:3台。

    • 实例规格:ecs.c5.large。

    • 磁盘类别:高效云盘。

    • 系统盘空间:40 GB。

    • 分配公网IP:否。

    ALIYUN::RAM::Role

    3

    创建三个RAM角色,用于颁发短时有效的访问令牌(STS令牌),使其成为一种更安全的授予访问权限的方法。

    ALIYUN::RAM::User

    3

    创建三个RAM用户,通常是组织中需要访问云资源的人员或应用程序。

    ALIYUN::ECS::VPC

    3

    创建三个专有网络,用于增强云上网络的安全性。

    说明

    资源收费情况,请参见官网报价或各产品定价文档。