阅读417 返回首页    go 微软 go windows

企业子账号管理与分权__使用场景_用户指南_访问控制-阿里云

场景描述

企业A的某个项目(Project-X)上云,购买了多种云资源(如ECS实例/RDS实例/SLB实例/OSS存储桶/...)。项目里有多个员工需要操作这些云资源,比如有的负责购买,有的负责运维,还有的负责线上应用。由于每个员工的工作职责不一样,需要的权限也不一样。出于安全或信任的考虑,A不希望将云账号密钥直接透露给员工,而希望能给员工创建相应的用户账号。用户账号只能在授权的前提下操作资源,不需要对用户账号进行独立的计量计费,所有开销都算在A的头上。当然,A随时可以撤销用户账号身上的权限,也可以随时删除其创建的用户账号。

需求说明

  • 杜绝多员工共享主账号,防止主账号密码或AK泄露导致风险不可控
  • 给不同员工分配独立的用户账号(或操作员账号)并独立分配权限,做到责权一致
  • 所有用户账号的所有操作行为可审计
  • 不需要分别核算每个操作人员的成本,所发生费用统一计入主账号账单

解决方法

使用RAM的用户账号与授权管理功能,如下图所示:

RAM用户账号与授权管理

操作流程如下:

  • 给主账号绑定MFA设备。给主账号设置多因素认证,避免因主账号密码泄露导致风险。
  • 开通RAM ( https://www.aliyun.com/product/ram )
  • 创建用户账号。为不同员工(或应用系统)创建RAM用户账号,并按需设置登录密码或创建AccessKey。
  • 创建群组。如果有多个员工的职责相同,建议创建群组,并将用户添加到群组。
  • 授权。给群组或用户添加一条或多条系统授权策略。如果需要更细粒度的授权,可以创建自定义授权策略,然后给群组或用户授权。

最后更新:2016-11-24 11:23:47

  上一篇:go 资源访问控制__授权管理_用户指南_访问控制-阿里云
  下一篇:go 针对移动App的临时授权管理__使用场景_用户指南_访问控制-阿里云