幾日前,同僚幫客戶購買了幾台伺服器、一個SSL證書,因為客戶沒有阿裡雲賬号,就直接在同僚的賬号下代為購買了,但沒過多久這個客戶提出要對這些産品進行獨立管理,但這個同僚的賬号下不僅有幫這個客戶購買的伺服器,還有其他一些業務應用伺服器,SSL證書也是同樣的情況,總之就是要能夠對這些資源進行細粒度的通路控制,讓這個客戶隻能通路和管理到屬于自己的資源。
要實作這個功能,在阿裡雲上有三種方式:
最初,可以通過編寫自定義政策實作。
需要為這個客戶單獨建立一個自定義政策,這裡的關鍵是要用阿裡雲的資源描述符準确的定位需要授權的資源。
例如這裡描述了一台ECS伺服器:
"Resource": "acs:ecs:::instance/i-947rvXXXX
像這種東西,我們就不能指望随便找個人就能設定明白了。
後來,為了降低使用門檻,阿裡雲推出了圖形化的政策編輯界面,像這樣:
但還是需要使用“代碼”來定位和描述資源。誰能告訴我SSL證書的資源描述應該怎麼寫?
随着資源組的推出,終于不用再寫代碼了。
用資源組解決同僚遇到的問題隻需三步:
第一步、建立一個新的資源組:
第二步、從預設資源組中轉出SSL證書到新建立的資源組:
第三步、在新建立的資源組中為RAM賬戶授權。(PS:假設已經為我們的客戶建立了RAM子賬号,另外阿裡雲的權限政策名稱支援中文搜尋,定位需要的權限很容易)
這樣我們敬愛的使用者在用為其建立的RAM子賬号登陸後就隻能管理在資源組中的ECS伺服器和SSL證書了。
目前除了ECS伺服器和SSL證書外,阿裡雲資源組還支援對如下資源進行細粒度的管理:
雲資料庫RDS、負載均衡SLB、内容分發網絡CDN、專有網絡VPC、共享帶寬、彈性公網IP、雲解析DNS、全局流量管理(類F5 GSLB全局負載均衡)、Private Zone (内網DNS)、新BGP高防IP、阿裡雲Elasticsearch、DDoS防護包(機房側抗DDoS)、資料庫審計、堡壘機、WAF、加密服務、物聯網(裝置或産品)、雲資料庫Redis版、雲資料庫POLARDB、E-MapReduce。
目前支援資源組的服務:
有了資源組,不管是在組織内、還是跨組織的資源配置設定和管理都将更加簡單高效,最重要的是内勤小白也能用的明白,我想這就是雲資源通路控制該有的樣子吧。