本文以電商網站項目為例,為您介紹使用訪問控制RAM進行賬號權限管理的最佳實踐,闡述單個RAM賬號場景下用戶管理、資源分組、權限配置、訪問控制的治理方法及原則。
準備工作
某電商網站項目需要使用訪問控制RAM進行賬號權限管理,可以通過ROS的模板示例RAM賬號權限管理自動化搭建單個RAM賬號場景下用戶管理、權限配置的環境,搭建環境前需要進行以下操作:
請確保您可以訪問云服務器ECS、專有網絡VPC、阿里云關系型數據庫RDS、對象存儲OSS和訪問控制RAM。
請確保您已經為開發環境資源、生產環境資源和測試環境資源創建資源組,并獲取相應的資源組ID。關于創建資源組的具體操作,請參見創建資源組。
步驟一:創建資源棧
登錄資源編排控制臺。
在左側導航欄,單擊解決方案中心。
查找模板RAM賬號權限管理。
單擊創建資源棧。
在配置參數頁面,輸入資源棧名稱,并設置以下參數。
模塊
參數
說明
示例
RESOURCE
開發資源組ID
開發環境資源所在的資源組ID。
rg-aekzs3xmizs****
生產資源組ID
生產環境資源所在的資源組ID。
rg-aekzko7fsuj****
測試資源組ID
測試環境資源所在的資源組ID。
rg-aekzsvnra53****
VPC
開發環境專有網絡網段
開發環境的專有網絡網段。
172.16.0.0/12
生產環境專有網絡網段
生產環境的專有網絡網段。
10.0.0.0/8
測試環境專有網絡網段
測試環境的專有網絡網段。
192.168.0.0/16
交換機可用區
專有網絡下的交換機可用區ID。
華東1可用區K
開發交換機網段
開發環境的交換機網段。
必須為專有網絡子網段。
172.16.10.0/24
生產交換機網段
生產環境的交換機網段。
必須為專有網絡子網段。
10.0.10.0/24
測試交換機網段
測試環境的交換機網段。
必須為專有網絡子網段。
192.168.10.0/24
ECS
實例規格
ECS實例的規格。
請選用有效的實例規格。更多信息,請參見實例規格族。
ecs.c5.large
鏡像
ECS鏡像ID。默認使用centos_7。
更多信息,請參見鏡像概述。
centos_7
系統盤類型
ECS系統盤的類型。取值:
cloud_efficiency:高效云盤。
cloud_ssd:SSD云盤。
cloud_essd:ESSD云盤。
cloud:普通云盤。
ephemeral_ssd:本地SSD盤。
更多信息,請參見云盤概述。
cloud_efficiency
系統盤空間
系統盤大小。
取值范圍:40~500。
單位:GB。
40
實例密碼
ECS實例的密碼。
Test_12****
RDS
類型與版本號
RDS數據庫的類型與版本號。
MySQL-5.7
實例規格
RDS實例的規格。
請選用有效的實例規格。更多信息,請參見主實例規格列表。
rds.mysql.s2.large
存儲空間
RDS的存儲空間。
取值范圍:5~1000,每5 GB進行遞增。
單位:GB。
5
OSS
讀寫權限
OSS存儲空間文件訪問權限。取值:
private:對文件的所有訪問操作都需要進行身份驗證。
public-read:對文件寫操作需要進行身份驗證,可以對文件進行匿名讀取。
public-read-write:所有人都可以對文件進行讀寫操作。
private
存儲類型
OSS存儲空間文件存儲類型。取值:
Standard:標準存儲類型。
IA:低頻訪問存儲類型。
Archive:歸檔存儲類型。
Standard
開發存儲空間名稱
開發環境OSS存儲空間名稱。
ros-projects-dev
生產存儲空間名稱
生產環境OSS存儲空間名稱。
ros-projects-prod
測試存儲空間名稱
測試環境OSS存儲空間名稱。
ros-projects-test
代碼發布空間名稱
用于代碼發布的OSS存儲空間名稱。
ros-projects-code
其他存儲空間名稱
用于其他用途的OSS存儲空間名稱。
ros-projects-other
發布存儲空間發布目錄
開發環境OSS存儲目錄名稱。
release
發布存儲空間生產目錄
生產環境OSS存儲目錄名稱。
prod
RAM
運維用戶組名稱
運維用戶組的名稱。
sa
開發用戶組名稱
開發用戶組的名稱。
dev
測試用戶組名稱
測試用戶組的名稱。
test
開發環境程序用戶組名稱
開發環境的用戶組名稱。
app-dev
生產環境程序用戶組名稱
生產環境的用戶組名稱。
app-prod
測試環境程序用戶組名稱
測試環境的用戶組名稱。
app-test
開發權限用戶名
開發賬號RAM用戶名稱。
sts_dev
生產權限用戶名
生產賬號RAM用戶名稱。
sts_prod
測試權限用戶名
測試賬號RAM用戶名稱。
sts_test
單擊創建。
在資源棧信息頁簽查看資源棧狀態。資源棧創建成功后,單擊輸出,獲取開發、測試、生產環境所對應的AccessKey ID和AccessKey Secret。
步驟二:查看資源
在左側導航欄,單擊資源棧。
在資源棧列表頁面,單擊目標資源棧名稱。
單擊資源頁簽,查看資源信息。
本示例中,資源信息如下表所示。
資源
數量
資源說明
規格說明
ALIYUN::RAM::Group
6
創建六個RAM用戶組。用戶組對職責相同的RAM用戶進行分類并授權,可以更加高效地管理用戶及其權限。
無
ALIYUN::ECS::SecurityGroup
3
創建三個安全組,用于在云端劃分安全域。
無
ALIYUN::RDS::DBInstance
1
創建一個阿里云關系型數據庫RDS實例,用于存儲數據。
rds.mysql.s2.large:通用型2核4 GB。
存儲空間:20 GB。
ALIYUN::ECS::VSwitch
3
創建三個交換機,用于管理單個可用區下的實例。
無
ALIYUN::OSS::Bucket
5
創建五個對象存儲空間,用于存儲開發、生產、測試環境的數據。
無
ALIYUN::ECS::Instance
3
創建三個云服務器,用于承載開發、生產、測試環境的業務。
總數量:3臺。
實例規格:ecs.c5.large。
磁盤類別:高效云盤。
系統盤空間:40 GB。
分配公網IP:否。
ALIYUN::RAM::Role
3
創建三個RAM角色,用于頒發短時有效的訪問令牌(STS令牌),使其成為一種更安全的授予訪問權限的方法。
無
ALIYUN::RAM::User
3
創建三個RAM用戶,通常是組織中需要訪問云資源的人員或應用程序。
無
ALIYUN::ECS::VPC
3
創建三個專有網絡,用于增強云上網絡的安全性。
無
說明資源收費情況,請參見官網報價或各產品定價文檔。