訪問控制

訪問控制（認證和授權服務），簡稱CIAM。

CIAM是資源訪問(wen)控制服務，主(zhu)要(yao)作(zuo)用在(zai)于集中(zhong)管理(li)子賬號(hao)，控制子賬號(hao)可以訪問(wen)哪些資源，通過(guo)CIAM，解決了公有云環境中(zhong)如(ru)下兩個安全問(wen)題：

• 每次的API調用者是否為可信實體
• 調用API的可信實體是否被授權訪問資源

應用場景與實踐

IAM使用場景

使用場景：企業用戶賬號管理與分權

場景描述

企業A的(de)(de)(de)(de)某(mou)項目上云(yun)，購買了多(duo)種(zhong)云(yun)資源(yuan)(yuan)（如(ru)CEC實例(li)(li)/CLB實例(li)(li)/COS對象存(cun)儲桶等）。項目里有(you)多(duo)個員(yuan)工(gong)需(xu)(xu)(xu)要(yao)(yao)操(cao)作(zuo)這些(xie)云(yun)資源(yuan)(yuan)，比如(ru)有(you)的(de)(de)(de)(de)負責(ze)(ze)購買，有(you)的(de)(de)(de)(de)負責(ze)(ze)運(yun)維等。由(you)于每個員(yuan)工(gong)的(de)(de)(de)(de)工(gong)作(zuo)職責(ze)(ze)不(bu)一(yi)樣(yang)，需(xu)(xu)(xu)要(yao)(yao)的(de)(de)(de)(de)權(quan)限也不(bu)一(yi)樣(yang)。出于安全或信任的(de)(de)(de)(de)考慮，項目負責(ze)(ze)人不(bu)希望將云(yun)賬號(hao)密(mi)鑰直接透露給員(yuan)工(gong)，而希望能給員(yuan)工(gong)創(chuang)建相應(ying)的(de)(de)(de)(de)子(zi)賬號(hao)。用戶(hu)賬號(hao)只能在授(shou)權(quan)的(de)(de)(de)(de)前(qian)提(ti)下操(cao)作(zuo)資源(yuan)(yuan)，不(bu)需(xu)(xu)(xu)要(yao)(yao)對子(zi)賬號(hao)進行獨立的(de)(de)(de)(de)計(ji)量計(ji)費(fei)，所有(you)開銷(xiao)都從A的(de)(de)(de)(de)賬戶(hu)中扣除。同時(shi)，A隨時(shi)可以撤銷(xiao)子(zi)賬號(hao)的(de)(de)(de)(de)權(quan)限，也可以隨時(shi)刪除其(qi)創(chuang)建的(de)(de)(de)(de)子(zi)賬號(hao)。

需求說明

• 杜絕多員工共享主賬號，防止主賬號密碼或AK泄露導致風險不可控
• 給不同員工分配獨立用戶賬號，并獨立分配權限，做到責權一致
• 所有用戶賬號的所有操作行為可審計
• 無需核算每個操作人員的成本，所有費用統一計入主賬號賬單

解決方案

使用IAM用戶賬號與授權(quan)管理功能，如下圖所示：

CIAM最佳實踐

不要為主賬戶創建訪問密鑰

由(you)于主(zhu)賬(zhang)戶對(dui)名下(xia)資源有完全控(kong)制權(quan)限，所以為了避免因訪(fang)問(wen)(wen)密(mi)鑰泄露所帶來(lai)的災(zai)難性損失，我們不建議(yi)創建主(zhu)賬(zhang)號(hao)(hao)訪(fang)問(wen)(wen)密(mi)鑰并使用(yong)該密(mi)鑰進行日(ri)常工作。只要主(zhu)賬(zhang)戶不主(zhu)動創建訪(fang)問(wen)(wen)密(mi)鑰，賬(zhang)號(hao)(hao)名下(xia)的資產安全風險可控(kong)。

將控制臺用戶與API用戶分離

不建議給一個CIAM子用(yong)戶同時創(chuang)建用(yong)于(yu)控制臺操作(zuo)的登錄(lu)密碼和用(yong)于(yu)API操作(zuo)的訪問密鑰(yao)。通常只給員工(gong)創(chuang)建登錄(lu)密碼，給系統或應用(yong)程(cheng)序只創(chuang)建訪問密鑰(yao)。

撤銷用戶不再需要的權限

當一個用(yong)戶(hu)由于工作職責(ze)變更而不再使用(yong)權(quan)限時(shi)(shi)，您應該及時(shi)(shi)將該用(yong)戶(hu)的(de)權(quan)限進行撤銷。這樣(yang)，如果在不知情的(de)時(shi)(shi)候，當用(yong)戶(hu)的(de)訪(fang)問憑證泄露時(shi)(shi)對您帶來的(de)安全風險最小。

使用用戶組給IAM用戶分配權限

一般情(qing)況下，您不必對(dui)CIAM子用(yong)(yong)(yong)(yong)戶(hu)(hu)(hu)直接綁定權(quan)限(xian)策(ce)略，更方便的(de)做法(fa)是創(chuang)建與(yu)人(ren)(ren)員工作職責相(xiang)關的(de)用(yong)(yong)(yong)(yong)戶(hu)(hu)(hu)組(zu)(zu)(zu)(zu)(zu)（如admins、developers、accounting等(deng)），為(wei)每個用(yong)(yong)(yong)(yong)戶(hu)(hu)(hu)組(zu)(zu)(zu)(zu)(zu)綁定合適的(de)權(quan)限(xian)策(ce)略，然后將子用(yong)(yong)(yong)(yong)戶(hu)(hu)(hu)加入這(zhe)(zhe)些用(yong)(yong)(yong)(yong)戶(hu)(hu)(hu)組(zu)(zu)(zu)(zu)(zu)，用(yong)(yong)(yong)(yong)戶(hu)(hu)(hu)組(zu)(zu)(zu)(zu)(zu)內的(de)所有(you)用(yong)(yong)(yong)(yong)戶(hu)(hu)(hu)共享相(xiang)同的(de)權(quan)限(xian)。這(zhe)(zhe)樣(yang)，如果您需(xu)要修(xiu)改(gai)用(yong)(yong)(yong)(yong)戶(hu)(hu)(hu)組(zu)(zu)(zu)(zu)(zu)內所有(you)人(ren)(ren)的(de)權(quan)限(xian)，只需(xu)在(zai)一處修(xiu)改(gai)即(ji)可(ke)。當(dang)您的(de)組(zu)(zu)(zu)(zu)(zu)織人(ren)(ren)員發生調動時，您只需(xu)更改(gai)用(yong)(yong)(yong)(yong)戶(hu)(hu)(hu)所屬的(de)用(yong)(yong)(yong)(yong)戶(hu)(hu)(hu)組(zu)(zu)(zu)(zu)(zu)即(ji)可(ke)。

遵循最小授權原則

最小授(shou)(shou)權(quan)原(yuan)則是安(an)全(quan)設計的基本原(yuan)則。當您(nin)需要(yao)(yao)(yao)給用戶授(shou)(shou)權(quan)時，請授(shou)(shou)予(yu)剛好滿(man)足他工(gong)作(zuo)所需的權(quan)限(xian)，不要(yao)(yao)(yao)過渡(du)授(shou)(shou)權(quan)。比如(ru)(ru)，在您(nin)的組(zu)織中，如(ru)(ru)果Developers組(zu)員（或者一個(ge)應(ying)用系統(tong)(tong)）的工(gong)作(zuo)職責(ze)只需要(yao)(yao)(yao)讀(du)取COS存儲桶里的數據(ju)，那么就只給這個(ge)組(zu)（或應(ying)用系統(tong)(tong)）授(shou)(shou)予(yu)COS資(zi)源(yuan)的只讀(du)權(quan)限(xian)，而(er)不要(yao)(yao)(yao)授(shou)(shou)權(quan)COS資(zi)源(yuan)的所有權(quan)限(xian)，更不要(yao)(yao)(yao)授(shou)(shou)予(yu)對所有產品資(zi)源(yuan)的訪(fang)問(wen)權(quan)限(xian)。