某企业购买了多种阿里云资源,ECS实例、RDS实例、SLB实例、OSS存储空间和DNS域名解析等。企业里有多个部门多种角色需要操作这些云资源,由于每个人的工作职责不同,需要的权限也不同。

企业希望能够达到以下要求:

  • 不允许多人共享同一个云账号,共享云账号可能导致密码或访问密钥泄露。
  • 给每人创建独立账号(操作员账号)并独立分配权限,做到责权一致。
  • 每个人账号只能在授权的前提下操作资源,所有账号的所有操作行为可审计。
  • 随时可以撤销账号身上的权限,也可以随时删除其创建的用户账号。
  • 不需要对个人账号进行独立的计量计费,所有发生的费用统一计入云账号账单。

实现方法如下:

RAM.jpg

  • 为云账号设置多因素认证,避免因云账号密码泄露导致风险。
  • 为不同角色人员(应用系统)创建RAM用户,并按需设置登录密码或创建访问密钥。
  • 如果有多个人员的职责相同,建议创建用户组,并将用户添加到用户组。
  • 为RAM用户或用户组添加一条或多条系统策略。如果需要更细粒度的授权,可以创建自定义策略并为RAM用户或用户组进行授权。
  • 为不需要权限的RAM用户或用户组移除权限。

标签: 阿里云, 云小兵, RMA

添加新评论