1. 聚能聊>
  2. 话题详情

企业上云权限怎么管,别等出了问题追悔莫及!

对云资源的信息安全保护与风险控制能力是企业成功上云的关键!
企业在DevOps、计算环境、应用程序、数据访问等全栈系统统一实施“最小权限原则”,降低云资源的攻击平面,才能有效控制企业上云的信息安全风险。
阿里云访问控制RAM新版本历时多个月设计开发,于近日宣布正式在中国站和国际站同步上线发布。本次优化改版,在原有基础能力上又进一步提升了产品功能和用户体验。包括在功能、产品使用便捷性、安全实践引导、交互体验等多方面都进行了大量优化。

1、与外部IdP的联合登录
很多企业希望使用自有的(包括由其他厂商提供的)身份系统来统一管理企业用户到本地以及云上应用的联合登录(Federated Single Sign On),以满足企业安全及合规性要求。本次新版上线SSO单点登录功能,解决大企业客户期待已久的需求。
该项功能支持企业级 IdPs (identity providers)广泛使用的SAML 2.0 (Security Assertion Markup Language 2.0)身份联盟开放标准。通过开启联盟登录,用户可以使用组织内的账号认证机制登录到阿里云管理控制台。
1205_
2、安全实践的精确引导
在展现用户AK和Login的上次使用时间方面,RAM访问控制新版进一步赋能客户完成AK和密码轮转。在删除用户之前,确认该用户是否在近期有活动,以避免因删除造成员工无法完成操作、或对企业在运行中的业务造成影响。
除此之外,新版本控制台在概览页面,还可以提供RAM安全管理最佳实践的8项客户配置状态检查分。逐项检查客户的账号安全配置是否符合最佳实践,引导用户逐项完成配置,确保云上操作的安全性。

3、操作体验全面升级
RAM访问控制新版提供可视化的自定义策略编辑器,针对有细粒度授权需求的企业客户,不需要撰写脚本只需通过选择配置生成自定义策略,降低了使用门槛。(目前支持部分重点产品,未来将逐步支持更多产品)
优化用户创建流程,可以在创建用户的同时进行基础安全配置,创建完成之后紧接着进行用户的授权,流程一体化减少操作步骤。同时支持批量创建,一次可创建10个以内的用户。
控制台整体改版也引人瞩目,主要是在交互体验上全面改进,包括减少页面的层级、增加更多使用引导等方面,极大方便了用户使用。

4、文档指南
同时,RAM访问控制新版还丰富了产品文档,特别是用户指南章节,更多地从使用场景引导客户合理地配置权限。提供更多最佳实践和相应的操作指引,更容易学习和理解。

阿里云RAM访问控制新版发布会
https://yq.aliyun.com/live/641
了解产品,欢迎点击
https://promotion.aliyun.com/ntms/act/ramnew.html
RAM权限控制全新版本亮相,部分用户已经抢先获得试用资格,请在Ram控制台(https://ram.console.aliyun.com)点击右下角切换新版试用。

那么问题来了:

  1. 您是怎么进行云上操作的权限管理呢?
  2. 您是否使用过RAM产品进行用户和权限的管理?
  3. 您所在的企业对SSO单点登录有需求吗?
  4. 您认为使用RAM访问控制,最大的作用是什么?
参与话题

奖品区域 活动规则 3月后 结束

  • 奖品一

    阿里云代金券 x 5

  • 奖品二

    福禄寿淘公仔 x 1

6个回答

3

矫情镇物 复制链接去分享

您是怎么进行云上操作的权限管理呢?

云上操作的权限管理还是在为客户开通子账号时发现的一个功能, 是从搜索框搜索相关关键词进入的 ;

您是否使用过RAM产品进行用户和权限的管理?

试用过, 进入RAM访问控制系统中操作, 过程相对来说还是很流畅的, 暂时没有什么问题 ;

您所在的企业对SSO单点登录有需求吗?

这种场景少见, 暂时没有 ;

您认为使用RAM访问控制,最大的作用是什么?

账号与其权限管理 ,
角色与其权限管理 ;


另外的建议 :

应当在 账号管理 中, 开放一个针对个人的入口, 使得自己了解相关的权限与应用;
RAM入口很难找, 建议将个人信息栏中的 accesskeys 新增/变更为 RAM 或者其他文案;


假若有幸得奖, 我希望能是 福禄寿淘公仔

var-abby 回复

对的, RAM入口真的很难找, 可以说你们不说我不知道有这项功能 ;

评论
1

浮生递归 复制链接去分享

您是怎么进行云上操作的权限管理呢?
首先是分账号,即不同的客户,用不同的账号。然后才是RAM访问控制。对不同的产品,及不同的人员分配不同的产品管理权限。这样业务逻辑会比较清晰,虽然增加了一定的管理成本,但是后续的隐患就减少了很多。

您是否使用过RAM产品进行用户和权限的管理?
使用过,这个产品很不错,而且还是免费的,可以说,在同类产品里,非常有竞争力。而且,对于大项目而言,真的是刚需功能。如果没有RAM,真不知道该怎么进行账号的权限管理,毕竟账号里有这么多产品,又要给不同的员工进行管理。全部用一个账号登录,实在是非常危险。

您所在的企业对SSO单点登录有需求吗?
现在还没有,不过感觉很快就会有了。业务总是在不停的发展,对产品的使用深度,也是逐渐加深,等到了一定程度,单点登录是无法避免的。

您认为使用RAM访问控制,最大的作用是什么?
最大的作用是做到了专人专用。每个人对自己的权限、产品界线都很清晰,也不会造成其他不相关产品的信息泄露等。

1

bbskkb 复制链接去分享

1.您是怎么进行云上操作的权限管理呢?

我是通过RAM ,实现的。

2.您是否使用过RAM产品进行用户和权限的管理?

目前主要是用在ECS分权管理,和oss的权限管理。就ECS而言,我们不同的业务系统外包给不同的公司,而不同的业务系统又对应者不同的服务器。如果我们只提供 操作系统的管理权限,而不提供ECS的管理权限,势必会影响到ECS的运维工作。这也是我们使用分权管理的初衷。比如说我需要将一台ECS最大限度的授权给外包公司,又不泄露其他ECS的信息(ip 地址到期日期等等)。需要通过tag来实现,但实现的方式并不是那么友好,首先我需要了解不同操作涉及的云资源,就更换系统盘而言,就涉及了更换系统盘的权限,镜像资源,停开机操作等。配置起来学习成本较高。此外,部分云资源还不支持tag,比如说eip ,我就无法对其进行授权了。

3.您所在的企业对SSO单点登录有需求吗?

就我们而言,需求不大,企业的业务系统一般是员工在使用,而运维又是外包的,就我们的情况而言,并不是那么强烈。统管类平台或许会有这方面的需求。

4.您认为使用RAM访问控制,最大的作用是什么?

在确保云资源的管理工作正常开展的情况下,最大限度的防止资源在企业内部的非授权访问,提升系统的安全性。

0

aoteman675 复制链接去分享

1.您是怎么进行云上操作的权限管理呢?
RAM,资源的权限授权。

2.您是否使用过RAM产品进行用户和权限的管理?
主要是业务系统给予不同部门管理,针对于OSS比较多,当然要保证每个账号能访问的资源不同,。

3.您所在的企业对SSO单点登录有需求吗?
暂无,RAM足够了

4.您认为使用RAM访问控制,最大的作用是什么?
主要是资源的安全性了,不能同样的资源,所有人都能访问,特别是OSS存储类需求较大。。

0

古散 复制链接去分享

您是怎么进行云上操作的权限管理呢?

划分角色权限子账号

您是否使用过RAM产品进行用户和权限的管理?
有使用过,不过操作有一点不方便(比如只允许对单个主机进行管理,现在可以实现功能但是需要写几行代码,希望把这个过程无代码可视化)
您所在的企业对SSO单点登录有需求吗?
目前没有

您认为使用RAM访问控制,最大的作用是什么?

避免无关的人拿到权限造成损失,同时便于追责回溯。

0

管理贝贝 复制链接去分享

我来试试123456