201601上海云栖大会Workshop - 通过访问控制服务管理云上资源的权限

目标

• 了解访问控制服务要解决的问题以及所提供的功能
• 能够创建并配置一个只读访问日志服务的子用户

准备工作

• 创建云账号，并进行实名认证
• 开通访问控制服务( https://www.aliyun.com/product/ram )

步骤

1. 开通访问控制服务

首先，您需要开通访问控制服务；进入阿里云官网首页(http://www.aliyun.com), 选择顶部导航栏的“产品”，进入“管理与监控”类目，您可以看到“访问控制(公测中)”，点击进入

进入RAM详情页，点击"获取使用资格"进入开通页

点击“立即开通”，即可启用访问控制服务；

2. 配置企业别名

进入RAM控制台，选择左侧“设置”菜单，进入菜单后，选择“企业别名设置”选项卡，您可以在此页面设置通过编辑“企业别名”来设置您的企业别名；

这里的企业别名是一个全局唯一的标识，所以这里您需要使用一个别人没有使用过的名称，示例中我们使用"aliyuncs"作为企业别名;

我们一会会用到这个企业别名；

3. 创建子用户

进入RAM控制台，选择左侧的“子用户”菜单，然后点击右上角的“新建用户”按钮，您就可以看到“创建用户”的窗口；这里需要为子用户起一个名称，示例中我们起名叫“jasongao”。

4. 为子用户分配只读权限

进入RAM控制台“用户管理”页，找到刚刚创建的子用户，选择右侧的“授权”，会弹出“编辑授权策略”窗口。

在弹出的授权列表中的搜索框中输入“Log”找到和日志服务相关的权限，然后选择第二条"AliyunLogReadonlyAccess"，点击“>”添加授权

然后点击“确定”保存修改。

5. 启用子用户控制台登录功能

进入RAM控制台“用户管理”页，找到刚刚创建的子用户，选择右侧的“管理”进入子用户详情页；

进入子用户详情页后，点击“启用控制台登录”按钮

启用控制台登录功能时，您需要为此用户设置初始密码。这里有一个选项“下次登录成功后重置密码”，如果这个子帐号是为别人创建，建议勾选。

6. 使用子用户登录

进入RAM控制台概览页，您可以看到您的子用户登录链接，点击进入登录页

进入登录页后，可以看到“企业别名”默认已经填好，然后需要填入刚刚创建的子用户用户名和密码，然后点击登录。

登录成功后需要设置新的密码，输入新密码，然后点击“确认重置”，即可进入子用户控制台首页；

7. 只读访问日志服务控制台

子用户成功登录后，选择“日志服务”进入日志服务控制台

进入日志服务控制台后，选择您刚才创建的日志项目

然后我们可以看到这个项目中的LogStore列表，选中查看，进入日志查看页：

然后查询日期选择“一天”，点击查询，即可查询日志；

下面我们来尝试一些破坏性的工作，例如删除LogStore;

这时控制会报错“当前操作未被授权”

大功告成，您已经成功的创建了日志服务只读帐号；

补充实验一： 带IP条件的访问控制只读访问云服务器

1. 获取当前IP地址

访问 http://ip.taobao.com/ipSearch.php

需要多刷几次页面，您的出口IP可能一个IP段而不是单个IP，这里我们假设出口IP是

42.121.84.160

2. 创建一个带有IP限制的自定义授权策略

使用主帐号进入RAM控制台，选择左侧的“授权策略管理”，然后点击右上角的“新建授权策略”，在弹出的窗口中选择“空白模板”

然后这里我们将授权策略名称命名为"ecsip", 策略内容为

{
    "Statement": [
        {
            "Action": [
                "ecs:Describe*"
            ],
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "IpAddress": {
                    "acs:SourceIp": [
                        "42.121.84.160"
                    ]
                }
            }
        },
        {
            "Action": "ecs:*",
            "Effect": "Allow",
            "Resource": "*",
            "Condition": {
                "IpAddress": {
                    "acs:SourceIp": [
                        "11.22.33.44"
                    ]
                }
            }
        }
    ],
    "Version": "1"
}

这个授权策略表示，允许从IP"42.121.84.160"只读查看云服务器信息；并且允许从IP"11.22.33.44"对ECS做任何操作；

注意，这里需要将IP地址"42.121.84.160"替换为您的公网IP；

点击“新建授权策略”完成策略的创建

3. 为子用户授权ecsip授权策略

进入子用户列表，点击相应子用户条目右侧的授权选项，并添加ecsip授权策略

4. 使用子用户登录ECS控制台，查看服务器信息

因为我们为当前IP授权了查看云服务器的权限，所以这时我们可以看到云服务器的所有信息；

5. 尝试进行破坏性操作：重启服务器

虽然我们刚才也授权了云服务器的所有权限，但是加入了IP(11.22.33.44)这个IP无效IP的限定，所以最终应当无法重启服务器；

我们进入一台ECS的详情页，然后点击右上角的重启按钮

然后系统让我们选择是否强制重启，随意选择，点击确定

提示没有权限，符合预期；

补充实验二： 为子用户启用多因素认证

1. 启用子帐号MFA登录功能

使用主帐号进入访问控制服务控制台，进入相应的子用户详情页，点击“必须开启多因素认证”为子用户开启多因素认证功能；

2. 使用子帐号登录控制台

回到RAM控制台概览页，使用子帐号登录链接登录子帐号

这时您会发现，系统要求子用户必须绑定多因素认证器才可继续登录；

3. 安装多因素验证器客户端

点击页面上的“身份宝”超链接进入身份宝安装页，然后使用手机扫码工具扫描身份宝安装二维码；

然后可以看到手机端的身份宝安装页

如果您使用的微信扫码工具，请在扫码后请点击右上角的"..."，然后选择“在浏览器中打开”

4. 绑定多因素认证器

安装成功后，打开身份宝，点击“添加账户”

然后选择“扫描二维码”

进入二维码扫描界面后，扫描MFA绑定页的二维码

当手机端成功扫描二维码后，在手机端可以看到一个每30秒变化一次的6位数字口令

然后您需要将连续两组不相同的口令按顺序填入右侧，点击“确定启用”即完成MFA绑定

5. 重新登录子用户，验证多因素验证口令