權限管理
云上的權限管理是為了控制某個身份在什么條件下對哪些資源能夠執行哪些操作。阿里云上的授權方式分為以下幾種:
基于身份的授權:主要是指針對 RAM 用戶、用戶組或角色進行授權。
基于資源的授權:部分云產品支持為某個特定資源綁定權限。如 OSS 的 Bucket Policy,支持向其他賬號的 RAM 用戶授予訪問權限,以及向匿名用戶授予帶特定 IP 條件限制的訪問權限。
管控策略(Control Policy):管控策略是一種針對啟用了資源目錄(Resource Directory,簡稱 RD)的多賬號組織,基于資源結構(資源夾或成員)的訪問控制策略,可以統一管理資源目錄各層級內資源訪問的權限邊界,建立企業整體訪問控制原則或局部專用原則。管控策略只定義權限邊界,并不真正授予權限。
會話策略(Session Policy):在角色扮演的過程中,可以指定一個會話策略,定義本次扮演中可以獲得權限,進一步縮小角色權限的范圍。同樣,會話策略只限定權限,并不真正授予權限。
無論基于何種授權方式,合理的權限設置能夠阻止未經授權的訪問,保護云上資產和數據的安全。因此,云上的權限管理的核心原則就是權限最小化,只給身份授予必要的權限,確保權限最小夠用。
基于該原則,針對不同身份類型的授權,在阿里云上有以下最佳實踐可以參考。
人員身份的權限管理
基于人員職能進行授權
對于組織來說,不同職責的人需要訪問云上不同類型的資源。安全管理員往往需要訪問安全產品,如云安全中心、云防火墻等,但數據庫管理員往往只需要訪問數據庫相關的產品,如云數據庫 RDS 等。但對于同一職責,尤其是一些基礎職能,如財務、數據庫管理員、安全管理員、審計員等,所需要訪問和管理的資源范圍往往是一致的。因此,建議針對人員職能劃分,進行權限的抽象,簡化授權過程,降低管理成本。
在對職能權限進行抽象后,可以通過將人員身份加入到指定職能用戶組的方式進行組織,提升授權效率。
按資源范圍授權
雖然權限管理的核心原則是最小化授權,但如果為組織中的每個人員身份都定制化權限,對于大型組織來說,會大大降低管理效率。因此,按照人員所管理的業務應用對應的資源范圍進行授權,能夠簡化授權邏輯,提高權限策略復用率,進而在權限最小化和管理效率中取得平衡。
在云上,建議通過阿里云賬號或資源組兩種方式,區分不同業務應用的資源。如果企業使用多個阿里云賬號管理云資源,則可以使用資源目錄構建企業組織結構,對賬號和資源進行集中、有序地管理,不同的業務應用按賬號維度進行區分,授權時應用范圍選擇整個云賬號。如果企業使用一個阿里云賬號管理所有云資源,各個項目組可以使用資源組作為資源隔離和權限管理的容器,在授權時應用范圍選擇指定資源組。
因此,在用云過程中通過合理的資源規劃,按照資源范圍進行授權,能夠提升整體的權限管理效率。
程序身份的權限管理
精細化授權
除一些特定業務場景外,應用程序所需要訪問的阿里云資源,對應進行的操作是可以預期的,盡可能的通過自定義權限策略來定義該程序身份所需要的最小權限。比如一個用戶社區需要展示用戶頭像,支持頭像上傳,那么該程序僅需要特定 OSS Bucket 的 GetObject 和 PutObject 權限即可。相反,如果直接使用系統策略,給該程序授予 AliyunOSSFullAccess 權限,那么一旦該程序身份泄漏,攻擊者就有該云賬號下所有 OSS Bucket 的所有權限,風險極高。
通用的最佳實踐
定期審查權限
在授權完成后,還需要定期對權限的授予進行審計確保每個身份的權限持續滿足最小夠用原則。需要重點關注的場景:
特權身份:比如擁有所有產品權限的管理員,擁有 RAM 等管理與治理相關產品所有權限的身份,都屬于重點審計對象。確保這些身份擁有這些特權是合理的。
閑置權限:除了特權身份外,對于其他產品權限,也可以結合云上的操作審計日志,判斷該身份的權限是否有閑置情況。
設置權限邊界
對于云上有多個阿里云賬號的組織,可以基于資源目錄管控策略,限制成員賬號內的 RAM 身份權限范圍,禁用一些高危操作降低身份泄漏風險。如禁止成員刪除域名或修改域名解析記錄、禁止成員刪除日志記錄等。
在綁定管控策略前,建議先進行局部小范圍測試,確保策略的有效性與預期一致,然后再綁定到全部目標節點(資源夾、成員)。