1. 聚能聊>
  2. 话题详情

企业上云权限怎么管,别等出了问题追悔莫及!

对云资源的信息安全保护与风险控制能力是企业成功上云的关键!
企业在DevOps、计算环境、应用程序、数据访问等全栈系统统一实施“最小权限原则”,降低云资源的攻击平面,才能有效控制企业上云的信息安全风险。
阿里云访问控制RAM新版本历时多个月设计开发,于近日宣布正式在中国站和国际站同步上线发布。本次优化改版,在原有基础能力上又进一步提升了产品功能和用户体验。包括在功能、产品使用便捷性、安全实践引导、交互体验等多方面都进行了大量优化。

1、与外部IdP的联合登录
很多企业希望使用自有的(包括由其他厂商提供的)身份系统来统一管理企业用户到本地以及云上应用的联合登录(Federated Single Sign On),以满足企业安全及合规性要求。本次新版上线SSO单点登录功能,解决大企业客户期待已久的需求。
该项功能支持企业级 IdPs (identity providers)广泛使用的SAML 2.0 (Security Assertion Markup Language 2.0)身份联盟开放标准。通过开启联盟登录,用户可以使用组织内的账号认证机制登录到阿里云管理控制台。
1205_
2、安全实践的精确引导
在展现用户AK和Login的上次使用时间方面,RAM访问控制新版进一步赋能客户完成AK和密码轮转。在删除用户之前,确认该用户是否在近期有活动,以避免因删除造成员工无法完成操作、或对企业在运行中的业务造成影响。
除此之外,新版本控制台在概览页面,还可以提供RAM安全管理最佳实践的8项客户配置状态检查分。逐项检查客户的账号安全配置是否符合最佳实践,引导用户逐项完成配置,确保云上操作的安全性。

3、操作体验全面升级
RAM访问控制新版提供可视化的自定义策略编辑器,针对有细粒度授权需求的企业客户,不需要撰写脚本只需通过选择配置生成自定义策略,降低了使用门槛。(目前支持部分重点产品,未来将逐步支持更多产品)
优化用户创建流程,可以在创建用户的同时进行基础安全配置,创建完成之后紧接着进行用户的授权,流程一体化减少操作步骤。同时支持批量创建,一次可创建10个以内的用户。
控制台整体改版也引人瞩目,主要是在交互体验上全面改进,包括减少页面的层级、增加更多使用引导等方面,极大方便了用户使用。

4、文档指南
同时,RAM访问控制新版还丰富了产品文档,特别是用户指南章节,更多地从使用场景引导客户合理地配置权限。提供更多最佳实践和相应的操作指引,更容易学习和理解。

阿里云RAM访问控制新版发布会
https://yq.aliyun.com/live/641
了解产品,欢迎点击
https://promotion.aliyun.com/ntms/act/ramnew.html
RAM权限控制全新版本亮相,部分用户已经抢先获得试用资格,请在Ram控制台(https://ram.console.aliyun.com)点击右下角切换新版试用。

那么问题来了:

  1. 您是怎么进行云上操作的权限管理呢?
  2. 您是否使用过RAM产品进行用户和权限的管理?
  3. 您所在的企业对SSO单点登录有需求吗?
  4. 您认为使用RAM访问控制,最大的作用是什么?
参与话题

奖品区域 活动规则 11月后 结束

  • 奖品一

    阿里云代金券 x 5

  • 奖品二

    福禄寿淘公仔 x 1

2个回答

1

bbskkb 复制链接去分享

1.您是怎么进行云上操作的权限管理呢?

我是通过RAM ,实现的。

2.您是否使用过RAM产品进行用户和权限的管理?

目前主要是用在ECS分权管理,和oss的权限管理。就ECS而言,我们不同的业务系统外包给不同的公司,而不同的业务系统又对应者不同的服务器。如果我们只提供 操作系统的管理权限,而不提供ECS的管理权限,势必会影响到ECS的运维工作。这也是我们使用分权管理的初衷。比如说我需要将一台ECS最大限度的授权给外包公司,又不泄露其他ECS的信息(ip 地址到期日期等等)。需要通过tag来实现,但实现的方式并不是那么友好,首先我需要了解不同操作涉及的云资源,就更换系统盘而言,就涉及了更换系统盘的权限,镜像资源,停开机操作等。配置起来学习成本较高。此外,部分云资源还不支持tag,比如说eip ,我就无法对其进行授权了。

3.您所在的企业对SSO单点登录有需求吗?

就我们而言,需求不大,企业的业务系统一般是员工在使用,而运维又是外包的,就我们的情况而言,并不是那么强烈。统管类平台或许会有这方面的需求。

4.您认为使用RAM访问控制,最大的作用是什么?

在确保云资源的管理工作正常开展的情况下,最大限度的防止资源在企业内部的非授权访问,提升系统的安全性。

0

不靠谱贝贝 复制链接去分享

我来试试123456
1352
浏览
0
收藏
邀请他人互动
关注
2
粉丝
2239
话题
3

简介:

计算,存储,网络,数据库,企业应用服务,开发者服务统统在这里。
一个稳定可靠的集中式访问控制服务。您可以通过访问控制将阿里云资源的访问及管理权限分配给您的企业成员或合作伙伴。

用配置管理(Application Configuration Management,简称 ACM),其前身为淘...

定制建站一条龙服务,由客户经理与设计师提供一对一服务,帮助用户轻松建立企业官网

为您提供简单高效、处理能力可弹性伸缩的计算服务,帮助您快速构建更稳定、安全的应用,提升运维效率,降低 IT 成本...