了解通路控制服務要解決的問題以及所提供的功能
能夠建立并配置一個隻讀通路日志服務的子使用者
建立雲賬号,并進行實名認證
開通通路控制服務( https://www.aliyun.com/product/ram )
首先,您需要開通通路控制服務;進入阿裡雲官網首頁(http://www.aliyun.com), 選擇頂部導航欄的“産品”,進入“管理與監控”類目,您可以看到“通路控制(公測中)”,點選進入
進入ram詳情頁,點選"擷取使用資格"進入開通頁
點選“立即開通”,即可啟用通路控制服務;
進入ram控制台,選擇左側“設定”菜單,進入菜單後,選擇“企業别名設定”頁籤,您可以在此頁面設定通過編輯“企業别名”來設定您的企業别名;
這裡的企業别名是一個全局唯一的辨別,是以這裡您需要使用一個别人沒有使用過的名稱,示例中我們使用"aliyuncs"作為企業别名;
我們一會會用到這個企業别名;
進入ram控制台,選擇左側的“子使用者”菜單,然後點選右上角的“建立使用者”按鈕,您就可以看到“建立使用者”的視窗;這裡需要為子使用者起一個名稱,示例中我們起名叫“jasongao”。
進入ram控制台“使用者管理”頁,找到剛剛建立的子使用者,選擇右側的“授權”,會彈出“編輯授權政策”視窗。
在彈出的授權清單中的搜尋框中輸入“log”找到和日志服務相關的權限,然後選擇第二條"aliyunlogreadonlyaccess",點選“>”添加授權
然後點選“确定”儲存修改。
進入ram控制台“使用者管理”頁,找到剛剛建立的子使用者,選擇右側的“管理”進入子使用者詳情頁;
進入子使用者詳情頁後,點選“啟用控制台登入”按鈕
啟用控制台登入功能時,您需要為此使用者設定初始密碼。這裡有一個選項“下次登入成功後重置密碼”,如果這個子帳号是為别人建立,建議勾選。
進入ram控制台概覽頁,您可以看到您的子使用者登入連結,點選進入登入頁
進入登入頁後,可以看到“企業别名”預設已經填好,然後需要填入剛剛建立的子使用者使用者名和密碼,然後點選登入。
登入成功後需要設定新的密碼,輸入新密碼,然後點選“确認重置”,即可進入子使用者控制台首頁;
子使用者成功登入後,選擇“日志服務”進入日志服務控制台
進入日志服務控制台後,選擇您剛才建立的日志項目
然後我們可以看到這個項目中的logstore清單,選中檢視,進入日志檢視頁:
然後查詢日期選擇“一天”,點選查詢,即可查詢日志;
下面我們來嘗試一些破壞性的工作,例如删除logstore;
這時控制會報錯“目前操作未被授權”
大功告成,您已經成功的建立了日志服務隻讀帳号;
通路 http://ip.taobao.com/ipsearch.php
需要多刷幾次頁面,您的出口ip可能一個ip段而不是單個ip,這裡我們假設出口ip是
使用主帳号進入ram控制台,選擇左側的“授權政策管理”,然後點選右上角的“建立授權政策”,在彈出的視窗中選擇“空白模闆”
然後這裡我們将授權政策名稱命名為"ecsip", 政策内容為
這個授權政策表示,允許從ip"42.121.84.160"隻讀檢視雲伺服器資訊;并且允許從ip"11.22.33.44"對ecs做任何操作;
注意,這裡需要将ip位址"42.121.84.160"替換為您的公網ip;
點選“建立授權政策”完成政策的建立
進入子使用者清單,點選相應子使用者條目右側的授權選項,并添加ecsip授權政策
因為我們為目前ip授權了檢視雲伺服器的權限,是以這時我們可以看到雲伺服器的所有資訊;
雖然我們剛才也授權了雲伺服器的所有權限,但是加入了ip(11.22.33.44)這個ip無效ip的限定,是以最終應當無法重新開機伺服器;
我們進入一台ecs的詳情頁,然後點選右上角的重新開機按鈕
然後系統讓我們選擇是否強制重新開機,随意選擇,點選确定
提示沒有權限,符合預期;
使用主帳号進入通路控制服務控制台,進入相應的子使用者詳情頁,點選“必須開啟多因素認證”為子使用者開啟多因素認證功能;
回到ram控制台概覽頁,使用子帳号登入連結登入子帳号
這時您會發現,系統要求子使用者必須綁定多因素認證器才可繼續登入;
點選頁面上的“身份寶”超連結進入身份寶安裝頁,然後使用手機掃碼工具掃描身份寶安裝二維碼;
然後可以看到手機端的身份寶安裝頁
如果您使用的微信掃碼工具,請在掃碼後請點選右上角的"...",然後選擇“在浏覽器中打開”
安裝成功後,打開身份寶,點選“添加賬戶”
然後選擇“掃描二維碼”
進入二維碼掃描界面後,掃描mfa綁定頁的二維碼
當手機端成功掃描二維碼後,在手機端可以看到一個每30秒變化一次的6位數字密碼
然後您需要将連續兩組不相同的密碼按順序填入右側,點選“确定啟用”即完成mfa綁定