公司M购买了OSS服务,并在OSS上搭建一个云库,供公司职员使用。M公司分为技术部、销售部、运维部等部门。该公司的各部门主管将本部门的资料放存储在云库中,而且,公司的所有员工均可以对云库中的资料进行增删改查等操作。
某天,技术部门的工程师Tony,在查看云库中销售团队的某公司运维合同时,不小心误删除了合同。销售主管Alice了解到此情况后,勃然大怒。Alice找到了技术部主管Bob,并说明这种情况的严重性。Bob告诉Alice,阿里云提供访问控制服务,可以轻松实现对资源的权限控制,比如:员工不能任意增删改其他部门的资料。
Alice感觉很疑惑
Bob从头道来:
首先,简单普及下我们公司正在使用的阿里云OSS服务。对象存储服务 (Object Storage Service,以下简称OSS),是阿里云对外提供的海量,安全,低成本,高可靠的云存储服务。用户可以通过调用API,在任何应用、任何时间、任何地点上传*载下**数据。也可以通过用户Web控制台对数据进行简单的管理。OSS适合存放任意文件类型,适合各种网站、开发企业和开发者使用。
我们公司的云库对应OSS服务。不同的部门,比如销售部、技术部的文件夹对应OSS中的不同Bucket,Bucket作为OSS的存储空间,是存储文件(object)的容器。每个部门存储在OSS Bucket上的文件,也称作Object,是OSS存储数据的基本单元,也被称为OSS文件。不同上传方式,对象大小限制不同:分片上传最大支持48.8TB;其他上传方式最大支持5GB。
现在,我们公司的云库就是在阿里云的OSS上搭建的。但是,由于目前没有设置任何权限,因此,公司的所有员工都可以对OSS中的Object进行任何操作。比如Tony不小心删除销售部门的运维合同。
Alice:
那这个问题要如何解决?有没有什么方法限制员工对某个Object的操作权限呢?比如运维和技术部门的员工只能查看销售部门的合同,但是不能删除或者修改销售部门对应Bucket中的Object?
Bob:
这个是可以的,下面我要为你介绍的阿里云的访问控制也就是RAM服务。RAM提供的实际是一种长期有效的权限控制机制,通过分配不同权限的子账号,将不同的权限分给不同的用户,这样子账号仅能对已授权的OSS bucket进行操作。
公司账号也就是阿里云的主账号,是阿里云资源归属、资源使用计量计费的基本主体。当用户开始使用阿里云服务时,首先需要注册一个云账号。云账号为其名下所有的资源付费,并对其名下所有资源拥有完全权限。从权限管理的角度,云账号就是操作系统的root或Administrator,因此,我们也称其为“根账号”或“主账号”。
公司的部门中的每个员工,也可以看作RAM用户,也就是RAM子账户。RAM用户不拥有资源,没有独立的计量计费,这些用户由所属云账户统一控制和付费。RAM用户是所属云账户,只能在所属云账户的空间下可见,而不是独立的云账户。RAM用户必须在获得云账户的授权后,才能登录控制台或使用API操作云账户下的资源。公司的不同部门可以看作是多个RAM用户的集合,也就是RAM组,通过对RAM组的权限控制,从而限制RAM组中的子账号的访问权限。举个例子,我们创建两个RAM组,并分别命名为“技术部”,“销售部”。分别对两个RAM组进行权限限制,然后将Tony加入到“技术部”,这样Tony就不可以对“销售部”的资料修改了。
Alice:
那如何实现对RAM组设置权限呢?
Bob :
RAM服务提供“资源”功能,资源是云服务呈现给用户与之交互的对象实体的一种抽象,如OSS存储桶或对象。阿里云为每个资源定义了一个全局的阿里云资源名称(Aliyun Resource Name, ARN)。
针对如上的阿里云资源,阿里云提供“权限”功能,权限是允许(Allow)或拒绝(Deny)一个用户对某种资源执行某种操作,操作分为两大类:资源管控操作和资源使用操作。资源管控操作是指云资源的生命周期管理及运维管理操作比如OSS的Bucket创建、修改、删除等。资源使用操作是指使用资源的核心功能,比如OSS Bucket的数据上传/*载下**。
阿里云推出授权策略功能,一种简单语言规范用于描述如上的权限集。这样,我们就通过授权策略,轻松的限制Tony对OSS中的资源访问权限,避免如上的乌龙事件再次发生。
Alice恍然大悟:
非常感谢Bob,但是,最近在使用OSS管理时,每次都要登录到管理控台进行访问台,感觉有些麻烦。请问有什么简单方法么?比如客户端应用等”
Bob:
阿里云云市场有一款很成熟的OSS客户端产品,支持Windows操作系统,你可以通过这个客户端轻松快速管理OSS服务。不仅如此,刚刚提到的RAM授权功能,OSS Windows客户端也是支持的。”
Alice再次向Bob道谢,并在本地安装了OSS客户端,然后通过OSS客户端成功限制了公司其他员工的访问权限,再也没有发生Tony的乌龙事件。
云中沙箱OSS & RAM实验介绍
云中沙箱(http://www.aliyunedu.net)为学员提供一个云端实验平台,帮助用户熟练运用阿里云产品、技术、服务与解决方案,提升用户在阿里云上工作的操作能力。
云中沙箱提供“SL052 使用OSS客户端实现OSS文件上传*载下**和文件的访问控制”自助实验。本实验会自动创建1台Windows系统的ECS实例。首先,配置OSS Windows客户端的用户信息。然后,创建一个bucket,并上传和*载下**文件到新建bucket。最后,结合RAM服务,自定义策略,实现对子用户的OSS服务使用权限。
完成此实验后,可以掌握的能力有:
1:使用OSS Windows客户端上传和*载下**文件;
2:使用OSS Windows客户端实现RAM授权。
想要一起参与沙箱实验吗?复制以下链接即可与我们一起玩转OSS
https://www.aliyunedu.net/online-lab/91324cb9d65e4b828c62d586ab46f74d/detail
如何正确的使用权限控制让其他人能看不能动您的部门资料,赶紧订阅我们微信公众号去玩转沙箱实验把~我们的微信公众号:架构云专家频道。如果喜欢我们的话就赶紧订阅我们吧~~~每天定时推送新鲜干货~~~同步更新哟~~~