前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >账号管理实践 - 通过CAM限制子账号权限

账号管理实践 - 通过CAM限制子账号权限

原创
作者头像
本地专用集群CDC
发布2022-11-16 12:14:43
4.3K0
发布2022-11-16 12:14:43
举报
文章被收录于专栏:CDC上云实践

大型企业、组织使用云平台时,需要考虑多个员工、多种角色的权限划,比如,

  • 管理员和使用者权限分离
  • 不同部门赋予不同权限
  • 严格控制某些敏感操作或敏感资源的权限

腾讯云提供了访问管理(CAM)来帮助客户实现权限管理,借助CAM可实现权限的精细化控制和高效管理,

本文目的是通过对CAM的要点介绍,帮助客户快速了解CAM和相关最佳实践,在了解这些后,再结合CAM的官方文档可以更高效的设计适合组织的权限管理策略。

一、概要说明

1、什么是访问管理(CAM)

访问管理CAM是腾讯云提供的权限管理类功能,结合子账号能力,实现多账号登录+子账号权限控制的效果。

CAM文档首页:https://cloud.tencent.com/document/product/598

CAM控制台:https://console.cloud.tencent.com/cam/overview

2、CAM可实现的效果

常见的应用场景如下,

  • 创建管理员账号:给子账号赋予Administer权限即可给予主账号全量权限,
  • 读写权限分离:腾讯云的API操作已默认按读写分类,同时预置策略支持,
  • 创建普通员工账号并赋予:通过腾讯云控制台可以创建子账号,给子账号绑定一个受限制的自定义策略即可,
  • 划分资源仅部分账号可见:借助标签(TAG)能力,将资源,
  • 给同岗位员工赋予相同权限:通过CAM的角色能力实现。

3、CAM策略原理

CAM的权限策略由3个最基本的属性组成权限规则,

  • 子账号:赋予使用者的账号,可协同主账号共同管理账号下资源,并被主账号进行权限管理,
  • 操作:用户可以对资源进行的操作,背后就对应云API,比如RunInstance是创建CVM,
  • 资源:对应具体云资源,比如一台云服务器CVM,一个虚拟网络VPC,

当然为了方便实用,再基本元素之上也提供了高阶功能,比如用角色可以实现给多个子账号赋予相同策略,自定义策略可以包含涉及多个资源的多个操作配置。

三、最佳实践推荐

1、粒度越细越安全

  • 尽量给每个部门或者每个人一个子账号,
  • 除了分离权限,腾讯云默认的操作审计能力会记录每个子账号的每个操作,包含来源IP、子账号ID等信息,可以有效分析异常行为。

2、主账号、管理员、使用者分离

  • 主账号具备最高权限,不建议日常使用,仅作为备用手段,不允许日常登录和操作,严格限制登录IP,
  • 创建多个具备权限子账号,作为管理员,
  • 创建多个只具备一定操作权限和一定资源权限的子账号,作为使用者

3、严格控制高敏感权限

  • 关闭财务权限,禁止子账号进行任何消费行为
  • 关闭CAM权限,禁止子账号对CAM进行管理

4、读写权限分离

  • CAM中所有操作天然分读写属性,比如创建CVM为写操作,查看CVM为读操作
  • 资源管理者分配读权限,仅查看资源则只分配读权限

5、通过角色为不同岗位员工快速分配操作权限

  • 角色可以认为是一类模板工具,角色可以绑定给子账号,从而快速将角色附带的策略应用多个子账号之上
  • 比如定义「运维」、「研发」、「产品」等角色,然后绑定给指定员工子账号

6、通过标签为不同团队员工划分不同资源权限

  • 腾讯云绝大部分云资源都可以进行打标签操作
  • 子账号赋予权限时,可以通过标签进行模糊匹配
  • 以上2个能力结合,可以实现指定子账号仅可见指定标签的资源

四、实际操作案例(创建子账号、并限制仅可见部分指定CVM)

1、准备测试资源

准备两台云服务器CVM,后续配置将实现,主账号可见所有实例,子账号A仅可见部分实例。

2、创建和配置标签

给实例A配置标签 User:UserA(可任意自定义字段,与后续子账号绑定标签时匹配即可),

实例B无需绑定标签,按照本指引配置完成后,没有绑定标签的实例,子账号A均不可见。

3、创建子账号

进入 访问管理CAM 控制台,选择「用户-用户列表-快速创建」,

仅需要配置以下两项,其他项暂时可不管,配置完成后点击「创建用户」,

  • 用户名:UserA(可以随意指定,仅做参考)
  • 用户权限:删除掉「AdministratorAccess」,否则子账号将拥有所有权限

4、创建策略,并给子账号绑定策略

回到 访问管理CAM 控制台,选择「策略-创建自定义策略-按标签授权」,

在第一步配置以下2个操作,

  • 添加服务与操作:选择「云服务器CVM-全部操作」
  • 选择标签:选择步骤2中创建并绑定到实例A上的标签

然后选择「下一步」,关联步骤3中创建的子账号,点击「完成」,可以进入子账号UserA的详情页中查看绑定的策略。

5、登录子账号

进入用户UserA的详情列表,可以获取快捷登录的链接,同时记得进入上图的「安全」页签里去设置初始密码。

6、检验配置效果

可以看到子账号UserA仅能看到带有User:UserA的标签的实例A,没有指定标签的实例B不可见了,效果符合预期。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 一、概要说明
    • 1、什么是访问管理(CAM)
      • 2、CAM可实现的效果
        • 3、CAM策略原理
        • 三、最佳实践推荐
          • 1、粒度越细越安全
            • 2、主账号、管理员、使用者分离
              • 3、严格控制高敏感权限
                • 4、读写权限分离
                  • 5、通过角色为不同岗位员工快速分配操作权限
                    • 6、通过标签为不同团队员工划分不同资源权限
                    • 四、实际操作案例(创建子账号、并限制仅可见部分指定CVM)
                      • 1、准备测试资源
                        • 2、创建和配置标签
                          • 3、创建子账号
                            • 4、创建策略,并给子账号绑定策略
                              • 5、登录子账号
                                • 6、检验配置效果
                                相关产品与服务
                                云服务器
                                云服务器(Cloud Virtual Machine,CVM)提供安全可靠的弹性计算服务。 您可以实时扩展或缩减计算资源,适应变化的业务需求,并只需按实际使用的资源计费。使用 CVM 可以极大降低您的软硬件采购成本,简化 IT 运维工作。
                                领券
                                问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档