对云资源的信息安全保护与风险控制能力是企业成功上云的关键!
企业在DevOps、计算环境、应用程序、数据访问等全栈系统统一实施“最小权限原则”,降低云资源的攻击平面,才能有效控制企业上云的信息安全风险。
阿里云访问控制RAM新版本历时多个月设计开发,于近日宣布正式在中国站和国际站同步上线发布。本次优化改版,在原有基础能力上又进一步提升了产品功能和用户体验。包括在功能、产品使用便捷性、安全实践引导、交互体验等多方面都进行了大量优化。
1、与外部IdP的联合登录
很多企业希望使用自有的(包括由其他厂商提供的)身份系统来统一管理企业用户到本地以及云上应用的联合登录(Federated Single Sign On),以满足企业安全及合规性要求。本次新版上线SSO单点登录功能,解决大企业客户期待已久的需求。
该项功能支持企业级 IdPs (identity providers)广泛使用的SAML 2.0 (Security Assertion Markup Language 2.0)身份联盟开放标准。通过开启联盟登录,用户可以使用组织内的账号认证机制登录到阿里云管理控制台。
2、安全实践的精确引导
在展现用户AK和Login的上次使用时间方面,RAM访问控制新版进一步赋能客户完成AK和密码轮转。在删除用户之前,确认该用户是否在近期有活动,以避免因删除造成员工无法完成操作、或对企业在运行中的业务造成影响。
除此之外,新版本控制台在概览页面,还可以提供RAM安全管理最佳实践的8项客户配置状态检查分。逐项检查客户的账号安全配置是否符合最佳实践,引导用户逐项完成配置,确保云上操作的安全性。
3、操作体验全面升级
RAM访问控制新版提供可视化的自定义策略编辑器,针对有细粒度授权需求的企业客户,不需要撰写脚本只需通过选择配置生成自定义策略,降低了使用门槛。(目前支持部分重点产品,未来将逐步支持更多产品)
优化用户创建流程,可以在创建用户的同时进行基础安全配置,创建完成之后紧接着进行用户的授权,流程一体化减少操作步骤。同时支持批量创建,一次可创建10个以内的用户。
控制台整体改版也引人瞩目,主要是在交互体验上全面改进,包括减少页面的层级、增加更多使用引导等方面,极大方便了用户使用。
4、文档指南
同时,RAM访问控制新版还丰富了产品文档,特别是用户指南章节,更多地从使用场景引导客户合理地配置权限。提供更多最佳实践和相应的操作指引,更容易学习和理解。
阿里云RAM访问控制新版发布会
https://yq.aliyun.com/live/641
了解产品,欢迎点击
https://promotion.aliyun.com/ntms/act/ramnew.html
RAM权限控制全新版本亮相,部分用户已经抢先获得试用资格,请在Ram控制台(https://ram.console.aliyun.com)点击右下角切换新版试用。
那么问题来了:
阿里云代金券 x 5
福禄寿淘公仔 x 1
bbskkb
复制链接去分享
1.您是怎么进行云上操作的权限管理呢?
我是通过RAM ,实现的。
2.您是否使用过RAM产品进行用户和权限的管理?
目前主要是用在ECS分权管理,和oss的权限管理。就ECS而言,我们不同的业务系统外包给不同的公司,而不同的业务系统又对应者不同的服务器。如果我们只提供 操作系统的管理权限,而不提供ECS的管理权限,势必会影响到ECS的运维工作。这也是我们使用分权管理的初衷。比如说我需要将一台ECS最大限度的授权给外包公司,又不泄露其他ECS的信息(ip 地址到期日期等等)。需要通过tag来实现,但实现的方式并不是那么友好,首先我需要了解不同操作涉及的云资源,就更换系统盘而言,就涉及了更换系统盘的权限,镜像资源,停开机操作等。配置起来学习成本较高。此外,部分云资源还不支持tag,比如说eip ,我就无法对其进行授权了。
3.您所在的企业对SSO单点登录有需求吗?
就我们而言,需求不大,企业的业务系统一般是员工在使用,而运维又是外包的,就我们的情况而言,并不是那么强烈。统管类平台或许会有这方面的需求。
4.您认为使用RAM访问控制,最大的作用是什么?
在确保云资源的管理工作正常开展的情况下,最大限度的防止资源在企业内部的非授权访问,提升系统的安全性。
不靠谱贝贝
复制链接去分享
