享云之路 | 从云平台的权限管理看安全

安全包括网络安全、主机安全、数据安全、物理安全、审计合规等等，本文将从权限管理与隔离的角度来考虑系统安全。包括为系统和管理人员分配具有恰当角色的子账号、使用不同项目做全局性的权限和资源隔离，在API及CLI等使用的API密钥进行保管与重置处理，以及使用临时令牌对应用程序提供临时授权。

 UAM—使用合适的账号及角色

 使用子账号

在云平台中主账号可以管理所有资源、子账号、角色等，但在实际管理资源时切勿使用主账号，避免主账号权限泄露给团队其他人员。研发、测试、运维、财务、审计等不同人员仅使用分配的子账号，完成所有操作，并且根据操作日志ULog可以定位到具体操作人员。

 多因子认证

为云账户与所有成员（子账号）分别开启双因子安全登录服务，可选择微信密保或扫码登录二者中的一种，确保账号安全。

 选用合适的角色

02

 项目—做全局性隔离

项目可认为是云账户下承载资源的沙箱，您创建的所有资源可以选择“默认项目”，也可创建新项目来承载，不同项目之间资源和业务在网络与逻辑是隔离开的。

03

 API密钥，实现API侧的权限管理

API密钥用于API、SDK、CLI对于UCloud平台资源和服务请求，相当于控制台的账号和密码，因此需要保管好API密钥，仅分发给认证的、必须授权的程序来使用。

 API密钥获取及使用

通过控制台界面可以获取API密钥，需要绑定手机的短信验证码验证。如果仅对有限程序提供API访问权限，可以设置“允许访问的IP”，仅允许源IP在配置项中的IP进行访问。

 日常使用Tips

 API密钥重置

如果一旦API密钥泄露或者被公开，如果设置“允许访问的IP”会起到一定保护作用，但也不能保证API密钥不被利用。必须将API密钥进行重置，通过控制台界面也可以完成，此过程也需要绑定手机的短信验证码验证。

另外建议根据使用频率定期重置更新API密钥，降低API密钥泄露的风险。

04

 UToken—简化公私钥认证过程

UToken 是UCloud推出的临时令牌服务，用户可以通过持有临时令牌的方式访问已接入的UCloud其他产品，从而避免繁琐的公私钥认证过程和账号权限控制。

用户组：自定义的用户组，该用户组与账号及所属项目组绑定。

令牌：自定义的令牌，用来代表用户组的身份。

3步使用UToken来获取授权并访问服务。

Step1：创建用户组

Step2：授权组

对于创建好的用户组，如果希望该用户组有访问该服务的权限（即该用户组的令牌可以用来访问该服务），则需要对用户组进行授权。

Step3：创建令牌

当用户组授权给服务之后，该用户组下的所有的令牌将可以用来访问对应的服务。令牌是依托于用户组存在的，创建完用户组之后，才可以在该用户组下创建令牌。

在云平台上构建云服务，需要考虑权限的设置，避免因为人员管理和权限管理的疏忽，造成不必要的损失。

热文回顾

1、UCloud荣膺“2018年中国产学研合作创新示范企业”

2、UCloud与中国银行签订战略协议，助力云计算赋能产业互联网

3、未来十年，全力 To B | UCloud联合发布《企业上云—享云白皮书》

4、这是1000万程序员都想要的格子衫 | UCloud金格子衫奖背后的故事

长按识别二维码关注UCloud

新鲜资讯早知道