安全包括網絡安全、主機安全、數據安全、物理安全、審計合規等等,本文將從權限管理與隔離的角度來考慮系統安全。包括為系統和管理人員分配具有恰當角色的子賬號、使用不同項目做全局性的權限和資源隔離,在API及CLI等使用的API密鑰進行保管與重置處理,以及使用臨時令牌對應用程序提供臨時授權。
01
UAM—使用合適的賬號及角色
使用子賬號
在雲平臺中主賬號可以管理所有資源、子賬號、角色等,但在實際管理資源時切勿使用主賬號,避免主賬號權限洩露給團隊其他人員。研發、測試、運維、財務、審計等不同人員僅使用分配的子賬號,完成所有操作,並且根據操作日誌ULog可以定位到具體操作人員。
多因子認證
為雲賬戶與所有成員(子賬號)分別開啟雙因子安全登錄服務,可選擇微信密保或掃碼登錄二者中的一種,確保賬號安全。
選用合適的角色
02
項目—做全局性隔離
項目可認為是雲賬戶下承載資源的沙箱,您創建的所有資源可以選擇“默認項目”,也可創建新項目來承載,不同項目之間資源和業務在網絡與邏輯是隔離開的。
項目之間默認網絡與邏輯隔離,即項目A的主機無法綁定項目B的EIP,默認也無法與項目B的主機內網通信。資源不能在項目間遷移,即項目A內的主機無法遷移至項目B,因其不在一個基礎網絡內,且邏輯上也是隔離的。
由於一個雲賬戶下可能有多個項目,無論您通過console或API管理雲資源,都必須先指定項目。
在業務規劃之後,如需連通多個項目,可以通過界面或API來完成“項目聯通”。
03
API密鑰,實現API側的權限管理
API密鑰用於API、SDK、CLI對於UCloud平臺資源和服務請求,相當於控制檯的賬號和密碼,因此需要保管好API密鑰,僅分發給認證的、必須授權的程序來使用。
API密鑰獲取及使用
通過控制檯界面可以獲取API密鑰,需要綁定手機的短信驗證碼驗證。如果僅對有限程序提供API訪問權限,可以設置“允許訪問的IP”,僅允許源IP在配置項中的IP進行訪問。
日常使用Tips
演講者在進行Demo時,在顯示控制檯密鑰或在代碼中進行展示時會洩露API密鑰,因為會議錄製的視頻、參會者拍照、在線觀眾截屏都會把API密鑰洩露出去;
代碼提交至Github,往往在提交至Github等公共代碼平臺或共享給其他人員時,會把API密鑰一併提交或共享,造成洩露;
不必要的程序應用,臨時授權不建議給API密鑰,或者需嚴格界定使用時間,並在臨時使用完成後重置API並更新所有程序中的API密鑰變量。
API密鑰重置
如果一旦API密鑰洩露或者被公開,如果設置“允許訪問的IP”會起到一定保護作用,但也不能保證API密鑰不被利用。必須將API密鑰進行重置,通過控制檯界面也可以完成,此過程也需要綁定手機的短信驗證碼驗證。
另外建議根據使用頻率定期重置更新API密鑰,降低API密鑰洩露的風險。
04
UToken—簡化公私鑰認證過程
UToken 是UCloud推出的臨時令牌服務,用戶可以通過持有臨時令牌的方式訪問已接入的UCloud其他產品,從而避免繁瑣的公私鑰認證過程和賬號權限控制。
用戶組:自定義的用戶組,該用戶組與賬號及所屬項目組綁定。
令牌:自定義的令牌,用來代表用戶組的身份。
3步使用UToken來獲取授權並訪問服務。
Step1:創建用戶組
對於創建好的用戶組,如果希望該用戶組有訪問該服務的權限(即該用戶組的令牌可以用來訪問該服務),則需要對用戶組進行授權。
Step3:創建令牌
當用戶組授權給服務之後,該用戶組下的所有的令牌將可以用來訪問對應的服務。令牌是依託於用戶組存在的,創建完用戶組之後,才可以在該用戶組下創建令牌。
在雲平臺上構建雲服務,需要考慮權限的設置,避免因為人員管理和權限管理的疏忽,造成不必要的損失。
熱文回顧
長按識別二維碼關注UCloud
新鮮資訊早知道
閱讀更多 陳欣怡 的文章
