对云资源的信息安全保护与风险控制能力是企业成功上云的关键!
企业在DevOps、计算环境、应用程序、数据访问等全栈系统统一实施“最小权限原则”,降低云资源的攻击平面,才能有效控制企业上云的信息安全风险。
阿里云访问控制RAM新版本历时多个月设计开发,于近日宣布正式在中国站和国际站同步上线发布。本次优化改版,在原有基础能力上又进一步提升了产品功能和用户体验。包括在功能、产品使用便捷性、安全实践引导、交互体验等多方面都进行了大量优化。
1、与外部IdP的联合登录
很多企业希望使用自有的(包括由其他厂商提供的)身份系统来统一管理企业用户到本地以及云上应用的联合登录(Federated Single Sign On),以满足企业安全及合规性要求。本次新版上线SSO单点登录功能,解决大企业客户期待已久的需求。
该项功能支持企业级 IdPs (identity providers)广泛使用的SAML 2.0 (Security Assertion Markup Language 2.0)身份联盟开放标准。通过开启联盟登录,用户可以使用组织内的账号认证机制登录到阿里云管理控制台。
2、安全实践的精确引导
在展现用户AK和Login的上次使用时间方面,RAM访问控制新版进一步赋能客户完成AK和密码轮转。在删除用户之前,确认该用户是否在近期有活动,以避免因删除造成员工无法完成操作、或对企业在运行中的业务造成影响。
除此之外,新版本控制台在概览页面,还可以提供RAM安全管理最佳实践的8项客户配置状态检查分。逐项检查客户的账号安全配置是否符合最佳实践,引导用户逐项完成配置,确保云上操作的安全性。
3、操作体验全面升级
RAM访问控制新版提供可视化的自定义策略编辑器,针对有细粒度授权需求的企业客户,不需要撰写脚本只需通过选择配置生成自定义策略,降低了使用门槛。(目前支持部分重点产品,未来将逐步支持更多产品)
优化用户创建流程,可以在创建用户的同时进行基础安全配置,创建完成之后紧接着进行用户的授权,流程一体化减少操作步骤。同时支持批量创建,一次可创建10个以内的用户。
控制台整体改版也引人瞩目,主要是在交互体验上全面改进,包括减少页面的层级、增加更多使用引导等方面,极大方便了用户使用。
4、文档指南
同时,RAM访问控制新版还丰富了产品文档,特别是用户指南章节,更多地从使用场景引导客户合理地配置权限。提供更多最佳实践和相应的操作指引,更容易学习和理解。
阿里云RAM访问控制新版发布会
https://yq.aliyun.com/live/641
了解产品,欢迎点击
https://promotion.aliyun.com/ntms/act/ramnew.html
RAM权限控制全新版本亮相,部分用户已经抢先获得试用资格,请在Ram控制台(https://ram.console.aliyun.com)点击右下角切换新版试用。
那么问题来了:
阿里云代金券 x 5
福禄寿淘公仔 x 1
您是怎么进行云上操作的权限管理呢?
云上操作的权限管理还是在为客户开通子账号时发现的一个功能, 是从搜索框搜索相关关键词进入的 ;
您是否使用过RAM产品进行用户和权限的管理?
试用过, 进入RAM访问控制系统中操作, 过程相对来说还是很流畅的, 暂时没有什么问题 ;
您所在的企业对SSO单点登录有需求吗?
这种场景少见, 暂时没有 ;
您认为使用RAM访问控制,最大的作用是什么?
账号与其权限管理 ,
角色与其权限管理 ;
另外的建议 :
应当在 账号管理
中, 开放一个针对个人的入口, 使得自己了解相关的权限与应用;
RAM入口很难找, 建议将个人信息栏中的 accesskeys
新增/变更为 RAM
或者其他文案;
假若有幸得奖, 我希望能是 福禄寿淘公仔
这是很久之前的一个话题了,不过最近有些想法,来回答一下。
使用 ram 进行管理。
使用过,上周刚给 OSS 进行了授权,不过OSS 的权限管理不够细致。只有全局和只读两个权限,自定义权限显示不支持 OSS 产品。在权限细分方面希望更好一些。
现在还没有。
明确每个人,每个角色的权限,防止越权出现事故。
您是怎么进行云上操作的权限管理呢?
首先是分账号,即不同的客户,用不同的账号。然后才是RAM访问控制。对不同的产品,及不同的人员分配不同的产品管理权限。这样业务逻辑会比较清晰,虽然增加了一定的管理成本,但是后续的隐患就减少了很多。
您是否使用过RAM产品进行用户和权限的管理?
使用过,这个产品很不错,而且还是免费的,可以说,在同类产品里,非常有竞争力。而且,对于大项目而言,真的是刚需功能。如果没有RAM,真不知道该怎么进行账号的权限管理,毕竟账号里有这么多产品,又要给不同的员工进行管理。全部用一个账号登录,实在是非常危险。
您所在的企业对SSO单点登录有需求吗?
现在还没有,不过感觉很快就会有了。业务总是在不停的发展,对产品的使用深度,也是逐渐加深,等到了一定程度,单点登录是无法避免的。
您认为使用RAM访问控制,最大的作用是什么?
最大的作用是做到了专人专用。每个人对自己的权限、产品界线都很清晰,也不会造成其他不相关产品的信息泄露等。
1.您是怎么进行云上操作的权限管理呢?
我是通过RAM ,实现的。
2.您是否使用过RAM产品进行用户和权限的管理?
目前主要是用在ECS分权管理,和oss的权限管理。就ECS而言,我们不同的业务系统外包给不同的公司,而不同的业务系统又对应者不同的服务器。如果我们只提供 操作系统的管理权限,而不提供ECS的管理权限,势必会影响到ECS的运维工作。这也是我们使用分权管理的初衷。比如说我需要将一台ECS最大限度的授权给外包公司,又不泄露其他ECS的信息(ip 地址到期日期等等)。需要通过tag来实现,但实现的方式并不是那么友好,首先我需要了解不同操作涉及的云资源,就更换系统盘而言,就涉及了更换系统盘的权限,镜像资源,停开机操作等。配置起来学习成本较高。此外,部分云资源还不支持tag,比如说eip ,我就无法对其进行授权了。
3.您所在的企业对SSO单点登录有需求吗?
就我们而言,需求不大,企业的业务系统一般是员工在使用,而运维又是外包的,就我们的情况而言,并不是那么强烈。统管类平台或许会有这方面的需求。
4.您认为使用RAM访问控制,最大的作用是什么?
在确保云资源的管理工作正常开展的情况下,最大限度的防止资源在企业内部的非授权访问,提升系统的安全性。
对的, RAM入口真的很难找, 可以说你们不说我不知道有这项功能 ;