用管控策略设定多账号组织全局访问边界
由多賬號上云模式說起
多賬號上云模式的產生
我們的企業客戶上云,一般都是從嘗試部署少量業務開始,然后逐步將更多業務采用云上架構。隨著企業上云的進一步深入,越來越多的企業業務被放在了云端,這使得企業采購的云資源迅速增多,資源、項目、人員、權限的管理變得極其復雜,僅僅使用一個賬號,使得問題被放大,很難得到有效解決。單賬號負載過重已無力支撐,許多企業開始創建更多賬號以分散業務壓力。于是,許多企業選擇使用了更多賬號,對應其不同的業務。因此,從賬號的使用方面看,企業使用的賬號數量逐步增多,多賬號上云模式逐漸成為多業務上云的重要選項。
多賬號模式的優勢
諸多企業選擇采用多賬號模式上云,也是由于多賬號相對單賬號而言,有著不可替代的優勢。
- 使用多賬號的邏輯強隔離,實現企業不同業務應用間的相互獨立
賬號與賬號之間默認是隔離的。這將避免不同業務間發生依賴項沖突或資源爭用,甚至可以支持為每個業務設置明確的資源限制。
- 利用多賬號分散風險,最大程度提升資源安全邊界,盡可能將危害降到最低
消除安全“核按鈕”。當非法用戶竊取到一個高權限時,“爆炸半徑”被限定到單個賬號內,而不影響企業所有業務。
- 輕松應對大型企業多分公司關系,支持多種法律實體、多種結算模式共存
每個賬號都可對應唯一一個法律主體,多賬號環境天然支持集團企業的多分公司主體、以及不同業務的不同結算模式。
- 多賬號易于結構化管理,業務的拆分和融合變得簡單
業務過多導致“臃腫”不利于管理,業務間也非扁平形態,存在業務關聯的“組織性”要求,單個賬號很難解決,多賬號卻易于實現;同時,借助賬號的獨立性,它們可輕松地拆分或融合于不同的管控域,與企業業務適配聯動。
多賬號架構的挑戰
多賬號的采用,如果不去有序的管理它,也會有很多麻煩。
比如,賬號散落沒有集中、沒有結構化,就無法做到組織化管理。再比如,上層管理者如何能夠一眼全局、如何能夠集中管控,都是影響企業業務效率的問題,需要解決。
無序管理的多賬號一盤散沙,有序管理是企業多賬號模式促進生產效率的第一要務。
從多賬號組織化問題看,阿里云的資源目錄產品,可以很好地解決多賬號有序管理問題。這是資源目錄的基礎能力之一。
資源目錄是阿里云面向企業客戶,提供的基于多賬號的管理與治理服務。詳細了解資源目錄
大家可以看到,上圖中,利用資源目錄的組織能力,企業可以很快的構建屬于自己的業務架構,將企業多賬號按照業務關系聚合,形成結構化易管理的形態,并提供閉環的企業云資源管理服務,以此來適配業務的管理需要。
多賬號模式下的權限管控問題
阿里云諸多大客戶對于企業TopDown管控越來越重視。
隨著客戶業務的大量上云,員工(user)被密集且復雜的授予各種資源、服務的權限以運作這些業務,企業管理端很難非常細致地考量每個業務的具體授權,但希望能夠從頂層做出企業的全局管控,即制定企業“大規范”以限定用戶權限邊界,以免超出公司的合規范圍。
如何能夠簡單高效的解決這個問題?以下是資源目錄管控策略產品設計的初衷。
管控策略產品定義與實現
管控策略(Control Policy,下文簡稱CP) 是一種基于資源結構(資源目錄中的組織單元或成員賬號)的訪問控制策略,可以統一管理資源目錄各層級內資源訪問的權限邊界,建立企業整體訪問控制原則或局部專用原則。管控策略只定義權限邊界,并不真正授予權限,您還需要在某個成員賬號中使用訪問控制(RAM)設置權限后,相應身份才具備對資源的訪問權限。
從企業上云的角度看,管控策略的實施對象是企業用戶對所需云資源的操作行為。從企業用戶訂購云資源、配置和使用云資源、最后到銷毀云資源,管控策略可以對企業用戶操作云資源的整個生命周期行為作出預設的前置校驗,阻止不符合預設規則的操作發生,最終達到規范企業用戶對云資源使用行為的目的。
管控策略的實現機制
在鑒權引擎中增加管控策略校驗
管控策略(CP)是如何實現權限管控效果的呢?
上圖所示為用戶訪問資源請求的鑒權流程。管控策略在鑒權引擎中增加前置校驗邏輯,在正式鑒權之前就對操作發生的邊界進行判定:對于Explicit Deny(顯式拒絕)或Implicit Deny(隱式拒絕),將直接做出「拒絕」結果,僅當管控策略的判定結果是Allow(允許)時,鑒權引擎才會進行下一步判定。您可以詳細了解權限判定流程
基于資源目錄實現從上至下的管控
當企業創建了一個資源目錄,并為每個部門創建了成員賬號后,如果對各成員賬號的行為不加以管控,就會破壞運維規則,帶來安全風險和成本浪費。利用資源目錄-管控策略功能,企業可以通過企業管理賬號集中制定管理規則,并將這些管理規則應用于資源目錄的各級組織結構(資源夾、成員賬號)上,管控各成員賬號內資源的訪問規則,確保安全合規和成本可控。例如:禁止成員賬號申請域名,禁止成員賬號刪除日志記錄等。
當成員賬號中的RAM用戶或角色訪問阿里云服務時,阿里云將會先進行管控策略檢查,再進行賬號內的RAM權限檢查。具體如下:
- 管控策略鑒權從被訪問資源所在賬號開始,沿著資源目錄層級逐級向上進行。
- 在任一層級進行管控策略鑒權時,命中拒絕(Deny)策略時都可以直接判定結果為拒絕(Explicit Deny),結束整個管控策略鑒權流程,并且不再進行賬號內基于RAM權限策略的鑒權,直接拒絕請求。
- 在任一層級進行管控策略鑒權時,如果既未命中拒絕(Deny)策略,也未命中允許(Allow)策略,同樣直接判定結果為拒絕(Explicit Deny),不再進入下一個層級鑒權,結束整個管控策略鑒權流程,并且不再進行賬號內基于RAM權限策略的鑒權,直接拒絕請求。
- 在某一層級鑒權中,如果未命中拒絕(Deny)策略,而命中了允許(Allow)策略,則本層級鑒權通過,繼續在父節點上進行管控策略鑒權,直至Root資源夾為止。如果Root資源夾鑒權結果也為通過,則整個管控策略鑒權通過,接下來進入賬號內基于RAM權限策略的鑒權,詳情請參見權限策略判定流程。
管控策略的用法說明
管控策略的語言
CP使用與RAM基本相同的語法結構。您可以詳細了解權限策略語法和結構
CP語法結構中包含版本號和授權語句列表,每條授權語句包括授權效力(Effect)、操作(Action)、資源(Resource)以及限制條件(Condition,可選項)。其中CP較RAM的Condition支持上,多了一種條件Key:acs:PrincipalARN,實現對執行者身份(目前支持Role)的條件檢查,主要應用場景為下文中提到的「避免指定云服務訪問被管控」。您可以了解更多CP語言的使用方法
管控策略的影響效果
您可以將自定義CP綁定到資源目錄的任意節點,包含任何一個資源夾或成員賬號。CP具備基于資源目錄樹形結構從上向下繼承的特點,例如:為父資源夾設置管控策略A,為子資源夾設置管控策略B,則管控策略A和管控策略B都會在子資源夾及其下的成員賬號中生效。
- CP僅影響資源目錄內的成員賬號下的資源訪問。它對資源目錄企業管理賬號(MA)下的資源訪問不會產生影響,因為MA并不屬于RD;
- CP僅影響成員賬號內的RAM用戶和角色訪問,不能管控賬號的根用戶(Root user)訪問。我們建議您在資源目錄內使用資源賬號類型成員,這一成員類型禁用了根用戶;關于資源目錄成員類型,請參見文檔
- CP基于資源的訪問生效。無論是資源目錄內的用戶,還是外部用戶,訪問資源目錄內的資源時,都會受到CP的管控;例如,您對資源目錄內的A賬號綁定了一個CP,同樣適用于在資源目錄外部的B賬號內的用戶訪問A賬號內的資源時的管控
- CP同樣影響基于資源的授權策略。例如,在資源目錄內的A賬號中OSS bucket上授予資源目錄外部的B賬號內的用戶訪問,此訪問行為同樣受到綁定在A賬號的CP影響
- CP對服務關聯角色(Service Linked Role)不生效。關于服務關聯角色的詳情,請參見服務關聯角色
避免指定云服務訪問被管控
管控策略將對被管控成員賬號中的資源訪問權限限定邊界,邊界之外的權限將不允許生效,此限定同樣影響阿里云服務對該成員賬號訪問的有效性。
阿里云服務可能使用服務角色(Service Role)訪問您賬號中的資源,以實現云服務的某些功能。當一個服務角色的權限超過管控策略的邊界時,此權限會受到管控策略的約束,這可能導致云服務的某些功能不能正常使用。如果這正是您配置管控策略期望的結果,則無需進行其他額外操作,但是,如果您不希望這些云服務被管控,您可以采用以下方法進行處理:
管控策略使用限制與參考
阿里云資源目錄-管控策略目前已支持對152款云產品,您可以查看支持管控策略的云服務
管控策略的使用限制如下:
- 資源目錄內最多允許創建自定義管控策略的數量為1500個;
- 每個節點(資源夾、成員賬號)最多允許綁定自定義管控策略的數量為10個;
- 每個自定義策略的最大長度2048個字符。
我們建議您先進行局部小范圍測試,確保策略的有效性與預期一致,然后再綁定到全部目標節點(資源夾、成員賬號)。
您在編寫自定義管控策略時,可參考自定義管控策略示例
原文鏈接:https://developer.aliyun.com/article/784642?
版權聲明:本文內容由阿里云實名注冊用戶自發貢獻,版權歸原作者所有,阿里云開發者社區不擁有其著作權,亦不承擔相應法律責任。具體規則請查看《阿里云開發者社區用戶服務協議》和《阿里云開發者社區知識產權保護指引》。如果您發現本社區中有涉嫌抄襲的內容,填寫侵權投訴表單進行舉報,一經查實,本社區將立刻刪除涉嫌侵權內容。總結
以上是生活随笔為你收集整理的用管控策略设定多账号组织全局访问边界的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 云钉一体应用创新:音视频如何带来灵活高效
- 下一篇: 看全域消费者运营Quick Audien