本文目录导读:
云端工程的访问权限设置通常涉及身份认证、权限管理和网络控制三个核心层面,具体的设置方法取决于你使用的云平台(如阿里云、腾讯云、AWS)以及具体产品(如ECS服务器、OSS存储、云数据库等)。
以下是通用的设置步骤和最佳实践:
第一步:进入权限管理控制台
- 登录云平台控制台,找到访问控制或身份与访问管理服务。
- 阿里云:RAM(资源访问管理)
- 腾讯云:CAM(访问管理)
- AWS:IAM(身份和访问管理)
- 华为云:IAM(身份与访问管理)
第二步:创建或管理用户/角色
访问权限通常授予以下对象:
- RAM/CAM/IAM 用户:给具体的人员(如开发者、运维)使用。
- RAM/CAM/IAM 角色:给云服务(如函数计算、ECS实例)或第三方应用使用。
- 子账号:主账号下隔离出的不同账户。
操作步骤:
- 在用户管理页面,点击“创建用户”。
- 设置登录密码、显示名、手机号等认证信息。
- (可选)启用多因素认证(MFA,即多因素认证),增加安全性。
第三步:设置权限策略(核心)
这是控制“谁能访问什么资源”的关键,策略通常以JSON格式定义。
常见的权限粒度控制方式:
| 控制粒度 | 说明 | 示例 |
|---|---|---|
| 资源级别 | 精确到某个具体的实例或桶。 | oss:GetObject 只允许读取 my-bucket/file.txt |
| 操作级别 | 允许或禁止某个API操作。 | 允许 ecs:StartInstance,禁止 ecs:DeleteInstance |
| 条件限制 | 增加IP地址、时间、设备等条件。 | 只允许来自公司VPN IP地址的访问 |
操作步骤:
- 进入“权限管理” -> “策略管理” -> “创建自定义策略”。
- 选择授权方式:
- 系统策略(推荐新手):选择内置的预设权限,如“只读访问OSS”、“管理员权限”。
- 自定义策略(推荐高级用户):通过可视化界面或JSON编写精细规则。
- 指定资源范围:
- 允许访问所有资源(
“Resource”: “*”)或指定资源(“Resource”: “acs:oss:cn-hangzhou:12345:my-bucket/*”)。
- 允许访问所有资源(
- 关联用户/角色:将创建好的策略授权给特定的用户或角色。
第四步:针对特定产品的访问设置
不同产品有独有的控制方式,常见设置如下:
云服务器 ECS/EC2(SSH/RDP 访问)
- 安全组(防火墙):这是最常用且最有效的访问控制,在云服务器控制台 -> 网络与安全 -> 安全组。
- 添加入站规则:
- SSH (Linux):协议 TCP,端口 22,授权对象设为
0.0.0/0(允许所有人,不推荐)或你的公司/家庭公网IP(如123.123.123/32)。 - RDP (Windows):协议 TCP,端口 3389,同上。
- Web服务 (HTTP/HTTPS):协议 TCP,端口 80/443,授权对象
0.0.0/0。
- SSH (Linux):协议 TCP,端口 22,授权对象设为
- 添加入站规则:
- 密钥对:Linux 服务器推荐禁用密码登录,仅使用密钥对认证。
对象存储 OSS/S3(文件访问)
- 桶 (Bucket) 策略:设置整个桶的访问权限(公开读、私有等)。
- ACL (访问控制列表):针对单个文件或目录设置权限。
- 签名URL (临时访问):生成带有效期的链接,供他人临时下载/上传文件。
- 操作:在文件详情页,选择“分享” -> “生成临时URL”,设置过期时间。
- 跨域设置 (CORS):如果你的网页应用(前端)需要通过 JavaScript 访问该存储,需要在设置中配置允许的域名。
云数据库 RDS/MySQL/PostgreSQL
- 白名单(IP 访问控制):在云数据库控制台 -> 数据安全 -> 白名单设置。
- 添加 IP 地址:仅允许你指定的IP地址(如开发者电脑IP、应用服务器IP)访问数据库。绝对不要使用
0.0.0/0。
- 添加 IP 地址:仅允许你指定的IP地址(如开发者电脑IP、应用服务器IP)访问数据库。绝对不要使用
- 账号权限:创建数据库账号时,分配
SELECT、INSERT、UPDATE、DDL(数据定义语言)等具体权限,遵循最小权限原则。
第五步:使用最佳实践(避免常见风险)
- 最小权限原则:用户/程序只需要完成工作所需的最少权限,不要给所有人管理员权限。
- 不使用根账号/主账号:日常管理使用子账号或RAM用户,根账号只用于关键操作(如账号设置、关停服务)。
- 使用角色而非长期密钥:对于部署在云上的应用(如函数计算、Kubernetes集群),使用角色自动获取临时密钥,避免在代码或配置文件中写死AccessKey。
- 启用日志审计:开启云审计服务(如阿里云ActionTrail、AWS CloudTrail),记录所有访问和操作记录,便于事后排查。
- 定期审查:定期检查用户列表和权限策略,移除长期不使用的账号和过期密钥。
一个典型的云端工程访问权限设置流程
- 创建IAM用户:创建
developer-zhang用户。 - 设置条件:为该用户关联策略,允许对
prod-database数据库执行 只读查询,且限制 来源IP必须为公司VPN网段。 - 配置安全组:在云服务器控制台,将云服务器的安全组入站规则设置为仅允许
developer-zhang本机IP(或公司VPN网段)访问 SSH 22端口。 - 设置存储桶:在对象存储中,将生产数据桶设置为私有,并创建临时签名URL供前端应用访问。
- 使用角色:为运行在Kubernetes中的后端服务创建一个服务角色,授权它访问消息队列和云数据库。
如果你能提供更具体的场景(是给同事远程连接服务器?还是给外部客户查看文件?还是给API接口授权?),我可以给出更针对性的操作步骤。
标签: 访问控制
版权声明:除非特别标注,否则均为本站原创文章,转载时请以链接形式注明文章出处。
