企业上云的资源访问管理最佳实践 ——RAM产品介绍

ZDNET至顶网CIO与应用频道 07月23日 北京消息（文/邓晓蕾）： 
1. 引言

阿里云已经为客户提供了丰富的云基础设施服务（比如ECS计算、VPC网络、RDS关系数据库、OSS存储、ODPS数据分析等）。这里再向大家介绍一款特殊的基础服务——资源访问管理RAM (Resource Access Management)。

什么是RAM服务？它能帮助客户解决什么问题？它与阿里云其它基础设施服务是什么关系？详细介绍之前先给大家做个类比。

我们将您租用的阿里云基础设施服务比做租房子。如果您租房是为了自住，那么一个房子只有一把钥匙也许您是可以接受的。当您有亲朋好友来访时，您可以将钥匙交给他们。

如果您租房/租楼是为了开酒店或开厂，那么还只有一把钥匙就有问题了。比如开酒店，您需要雇佣前台服务员、客房服务员和厨师。您希望厨师只能进厨房，客房服务员只能在09:00~17:00之间、在客人允许的前提下才能进入客房收拾房间，而只有前台服务员才能给客人办理住宿以及为客人颁发临时房卡。

如果没有RAM，您在租楼之后，则需要再构建一套“身份与访问管理”系统，以满足星级酒店安全管理的需要。但独立构建这样的安全管理系统不仅需要专业人才，而且研发成本也不低。在有了RAM之后，您只需要再租用一个RAM服务实例就可以轻松实现“租楼开酒店”的梦想。而且，RAM服务对客户来说还是免费的。

2. 云资源管理之痛

在创业之初，企业对云资源的安全管理要求不高，可以接受使用一个访问密钥(AccessKey)来操作所有资源。但随着时间推移，初创企业成长为大型的公司，或是大型企业客户迁移上云，他们的组织结构更加复杂，对云资源的安全管理需求非常强烈。

“我的云账号购买了200个ECS实例、20个RDS实例、5个SLB实例、10PB的OSS Bucket存储空间。我有好几个项目团队都需要使用这些资源，但现在没办法做授权，我只能将云账号登录密码和AccessKey交给所有项目团队共用。但这么做又令我惴惴不安，因为担心类似Code Spaces公司因AWS密钥泄露而倒闭的悲剧在我们公司上演。我希望阿里云能有办法帮助我来控制用户对资源的访问管理安全。”
—— 阿里云客户X公司

如果您是阿里云的企业客户，您一定和X公司一样遭遇过或正在忍受着这样的痛。将云账号的登录密码或访问密钥交给员工们使用，问题很严重：（1）密钥泄露的风险高；（2）无法限制用户的操作权限，很容易产生误操作。

现在，您的这种痛即将要终结了。阿里云提供了RAM服务，它可以帮助您很好地解决云资源安全管理问题。

3. RAM简介

RAM是阿里云为客户提供的集中式用户身份与访问控制管理服务。与阿里云提供的其它服务类似，RAM被抽象成云账户下的一种资源，但在每个云账户下只允许存在一个RAM实例。

下面是一个云账户下的资源关系图，它展现了RAM与其它云服务之间的关系。

通过RAM，您可以在您的云账号下创建并管理多个用户，每个用户都有唯一的用户名、登录密码或访问密钥。RAM用户有时也被称为子账号，它是代表任意的通过控制台或OpenAPI操作阿里云资源的人、系统或应用程序。通过RAM，您还可以控制您的用户对基础设施云服务的访问权限，实现角色分离和最小特权的安全最佳实践。

云账户与RAM用户的关系：
• 从归属关系上看，云账户与RAM用户是一种主子关系。云账户是阿里云资源归属、资源使用计量计费的基本主体。RAM用户只能存在于某个云账户下的RAM实例中。RAM用户不拥有资源，在被授权操作时所创建的资源归属于主账户；RAM用户不拥有账单，被授权操作时所发生的费用也计入主账户账单。
• 从权限角度看，云账户与RAM用户是一种root与user的关系（类比Linux系统）。Root对资源拥有一切操作控制权限，而user只能拥有被root所授予的某些权限，而且root在任何时刻都可以撤销user身上的权限。

4. 走进RAM

假设您就是X公司的管理者。当年您为X公司注册了云账号(company-x@aliyun.com)，并购买了基础设施服务ECS、RDS和OSS。自从公司上云之后，业务发展迅猛，团队不断壮大，云资源越来越多。但是资源操作和管理都是使用一个大账号所带来的安全问题越来越突出。

假设X公司组织结构如下图所示。一共有HR、研发和运维三个部门。HR只能管人，研发人员只能使用资源，而运维人员可以管理资源（比如启停虚拟机）。下面我们看看如何使用RAM来帮助您逐步实现对资源访问的安全管理。

第1步：给主账号开启多因素认证

考虑到之前您可能已经将主账号密码与他人分享，密码泄露的可能性较高。强烈建议您给主账号开通多因素认证（Multi-Factor Authentication, MFA）。阿里云账号已经支持标准的虚拟MFA，它是一种可以安装在移动设备（如智能手机、智能手表）上的应用程序，使用起来非常方便。当您在账号中心启用虚拟MFA功能之后，在您登录阿里云平台时，除了校验用户名和密码（第一安全要素），系统还会要求您提供由虚拟MFA应用程序所产生的动态安全码（第二安全要素）。多重要素结合起来可以为您的账户提供更高的安全保护。

第2步：创建用户并给用户分组

根据上述的组织结构，您需要分别给员工A、B、C、D、E分别创建不同的用户账号，再给应用app创建一个用户账号。然后创建三个组分别对应HR、研发和运维组，再将不同用户添加到合适的组中去（注意用户D是同时属于研发组和运维组）。

进一步，根据不同用户的需要，分别为他们设置登录密码或访问密钥。对于应用app而言，它只可能通过OpenAPI访问云资源，所以只需要给它创建访问密钥即可。而对于员工而言，如果只需要通过控制台操作云资源，那么就只给他设置登录密码即可。

再进一步，考虑到运维操作一般都是特别敏感，您可能会担心运维人员的账号密码泄露会带来巨大的风险，那么您可以为这些账号设置登录时强制多因素认证，而且可以将账号密码和多因素认证设备交给不同的人员分开保管，这样可以做到必须两人同时在场时才能完成某些操作。

第3步：给不同用户组分配最小权限

RAM提供了多种系统授权策略模板供您选择使用。比如，您需要给运维组授予对ECS、RDS的所有操作权限，给研发组授予对ECS、RDS的只读操作权限以及对OSS的所有操作权限，给HR组授予对RAM用户管理操作权限。

如果您觉得RAM默认提供的系统授权策略模板对资源的控制粒度不够精细，那么您也可以在RAM中自定义授权策略模板。自定义授权策略可以支持非常精细的访问控制粒度，比如精确定义API操作名称和资源实例名称；也可以支持多种条件限制操作表达式用于实现对资源操作方式的灵活控制，比如限制操作者的源IP地址。自定义授权策略可以满足用户对资源访问控制粒度的诸多苛刻需求，从而满足用户对“最小授权（只授予满足用户需要的最小权限）”的完美实施。

举个条件授权的例子，如果您担心研发人员密钥泄露而导致公司的OSS数据泄露到公司外部，那么您可以在给研发组授权访问OSS数据时附加限制条件，比如要求必须在公司（使用acs:SourceIP条件表达式）并且在上班时间段（使用acs:CurrentTime条件表达式）才能操作OSS。

第4步：员工换岗、入职与离职的处理

当员工从一个岗位换到另一个岗位之后，您只需要将对应的用户账号从一个组移到另一个组，仅此而已。如果有员工入职，那么只需为新员工创建新的用户账号，设置登录密码或访问密钥，然后添加到相应的用户组。如果是离职，那么只需在RAM控制台中执行用户删除操作即可，RAM会自动删除用户的所有访问权限。

第5步：使用STS给临时用户授权

有时存在一些用户（人或应用程序），他们并不经常访问您的云资源，只是偶尔需要访问一次，我们称这些用户为“临时用户”。您可以通过STS (Security Token Service，它是RAM的一个扩展授权服务) 来为这些用户颁发访问令牌。颁发令牌时，您可以根据需要来定义令牌的权限和自动过期时间。

使用STS访问令牌给临时用户授权的好处是让授权更加可控。您不必为临时用户创建一个RAM用户账号及密钥，因为RAM用户密钥都是长期有效的，但临时用户并不需要长期的资源访问。

此外，您也可以授权允许一个RAM用户使用STS服务颁发访问令牌，以实现对RAM用户的进一步分权。

第6步：让主账号“好好休息”

当您的员工和应用系统都开始使用RAM用户账号之后，您将不必再使用主账号去做日常工作了。为了降低主账号泄露的风险，建议您不要为主账号创建访问密钥，并且将主账号密码和多因素认证设备都放在公司的保险柜里，让它“好好休息”。

关于RAM的更多信息请参考RAM在线文档。http://docs.aliyun.com/#/pub/ram

5. 结语

云资源信息安全管理是一个比传统信息安全管理要更加复杂的课题。企业上云之后，安全管理需要客户和云服务商共同参与，安全责任也需要客户和云服务商共同承担。这不仅是一门信息安全技术，更是一门管理科学。业界有句行话，“要做到十分安全，三分靠技术，七分靠管理。” 阿里云会将安全技术做到满分，但这也还不够，我们仍然需要客户能掌握这些安全技术并在云资源安全管理中执行安全最佳实践，才能最终保障客户的云上信息安全。

深入了解阿里云：http://click.aliyun.com/m/1354/