朕亦甚想你——从后宫管理看阿里云访问控制(下)

2024-01-21 11:59

本文主要是介绍朕亦甚想你——从后宫管理看阿里云访问控制(下),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

相关文章:"朕亦甚想你"——从后宫管理看阿里云访问控制(上)

授权策略管理

  控制台上,授权策略管理界面,如下图所示。

_

  系统授权策略,阿里云提供的一组通用授权策略,主要针对不同产品的只读权限、所有权限。对于阿里云提供的这组授权策略,用户只能用于授权,不能编辑和修改。更详细的解释,请参看 系统授权策略。
  有4个重要的系统授权策略您需要了解,应该会使用到它们。

系统授权策略说明备注
AdministratorAccess管理所有阿里云资源的权限用户下所有阿里云服务的所有权限
AliyunOSSFullAccess管理开放存储服务(OSS)权限用户下OSS所有Bucket和Object的所有权限
AliyunOSSReadOnlyAccess只读访问开放存储服务(OSS)的权限可以读取/列举OSS的所有Bucket和Object
AliyunSTSAssumeRoleAccess调用STS服务AssumeRole接口的权限子用户角色扮演需要拥有该权限

  如果您有更细粒度的授权需求,需要创建自定义授权策略。创建OSS的自定义授权策略,强烈建议使用 RAM Policy Editor 生成。控制台上授权策略管理的路径如下:

  • 创建自定义授权策略:访问控制 -> 授权策略管理 -> 自定义授权策略 -> 新建授权策略
  • 查看自定义授权策略:访问控制 -> 授权策略管理 -> 自定义授权策略 -> 查看
  • 修改自定义授权策略:访问控制 -> 授权策略管理 -> 自定义授权策略 -> 修改
  • 删除自定义授权策略:访问控制 -> 授权策略管理 -> 自定义授权策略 -> 删除

扮演角色

流程

  后宫中人员充当角色,需要皇后的遴选或批准。阿里云访问控制中临时用户怎么扮演角色呢?流程如下:

_

  上述步骤详细说明如下表:

步骤说明
1.创建角色并授权在控制台完成,步骤请参考“授权->授权->角色授权”。
2.创建子用户并授权AliyunSTSAssumeRoleAccess在控制台完成,步骤请参考“授权->授权->子用户授权”。只能由子用户申请角色扮演,主用户、临时用户不可以。子用户必须授予AliyunSTSAssumeRoleAccess权限后,才能申请角色扮演。
在后宫,皇上是不管理宫女、宦官等角色的。皇上许可后,皇后管理后宫各角色。皇上许可相当于授予了AliyunSTSAssumeRoleAccess权限。
3.申请临时用户扮演角色需要使用STS SDK的完成,调用AssumeRole接口。下面重点讲述,给出Java SDK的示例。
临时用户的权限跟扮演的角色有关,跟子用户的权限没有关系。
4.临时用户密钥AssumeRole接口会返回密钥,即AccessKeyID、AccessKeySecret、SecurityToken。
5.密钥返回给临时用户临时用户获取到密钥。
6.使用密钥访问OSS临时用户使用密钥访问OSS等阿里云服务。

  第3步,需要使用STS SDK完成。以Java SDK说明使用方法。在Maven工程中添加如下依赖。

<dependency><groupId>com.aliyun</groupId><artifactId>aliyun-java-sdk-sts</artifactId><version>2.1.6</version>
</dependency>
<dependency><groupId>com.aliyun</groupId><artifactId>aliyun-java-sdk-core</artifactId><version>2.1.7</version>
</dependency>

代码如下:

public class StsServiceSample {// 目前只有"cn-hangzhou"这个region可用, 不要使用填写其他region的值public static final String REGION_CN_HANGZHOU = "cn-hangzhou";// 当前 STS API 版本public static final String STS_API_VERSION = "2015-04-01";// STS服务必须为 HTTPSpublic static final ProtocolType STS_PROTOCOL_TYPE = ProtocolType.HTTPS;static AssumeRoleResponse assumeRole(String accessKeyId,String accessKeySecret, String roleArn, String roleSessionName, String policy, long expired, ProtocolType protocolType)
throws ClientException {// 创建一个 Aliyun Acs Client, 用于发起 OpenAPI 请求IClientProfile profile = DefaultProfile.getProfile(REGION_CN_HANGZHOU, accessKeyId, accessKeySecret);DefaultAcsClient client = new DefaultAcsClient(profile);// 创建一个 AssumeRoleRequest 并设置请求参数final AssumeRoleRequest request = new AssumeRoleRequest();request.setVersion(STS_API_VERSION);request.setMethod(MethodType.POST);request.setProtocol(protocolType);request.setRoleArn(roleArn);request.setRoleSessionName(roleSessionName);request.setPolicy(policy);request.setDurationSeconds(expired);// 发起请求,并得到responsereturn client.getAcsResponse(request);}public static void main(String[] args) {// 只有 子账号才能调用 AssumeRole接口// 阿里云主账号的AccessKeys不能用于发起AssumeRole请求// 请首先在RAM控制台创建子用户,并为这个用户创建AccessKeysString accessKeyId = "b6R5********SQmR";String accessKeySecret = "QzubQ****Dzzc****eCdD****LPjF4";// AssumeRole API 请求参数: RoleArn, RoleSessionName, Policy, and// DurationSeconds// RoleArn可以到控制台上获取,路径是 访问控制 > 角色管理 > 角色名称 > 基本信息 > ArnString roleArn = "acs:ram::10858****7845250:role/accessossforinnerrole";// RoleSessionName 是临时Token的会话名称,自己指定用于标识你的用户,主要用于审计,或者用于区分Token颁发给谁// 但是注意RoleSessionName的长度和规则,不要有空格,只能有'-' '_' 字母和数字等字符// 具体规则请参考API文档中的格式要求String roleSessionName = "alice-001";// 如何定制你的policy,如果policy为null,则STS的权限与roleArn的policy的定义的权限String policy = null;// 过期时间设置默认是一小时,单位秒有效值是[900, 3600],即15分钟到60分钟。long expired = 3600;try {AssumeRoleResponse response = assumeRole(accessKeyId,accessKeySecret, roleArn, roleSessionName, policy, expired, STS_PROTOCOL_TYPE);System.out.println("Expiration: " + response.getCredentials().getExpiration());System.out.println("Access Key Id: " + response.getCredentials().getAccessKeyId());System.out.println("Access Key Secret: " + response.getCredentials().getAccessKeySecret());System.out.println("Security Token: " + response.getCredentials().getSecurityToken());} catch (ClientException e) {System.out.println("Error code: " + e.getErrCode());System.out.println("Error message: " + e.getErrMsg());}}
}

  上面代码的完整示例,请参看 GitHub ;

  其它的STS SDK的使用示例,请参考:

  • Java STS Demo ;
  • PHP STS Demo ;
  • Ruby STS Demo ;
  • JS STS Demo ;
  • C STS Demo 。

  STS SDK使用更详细的说明,请参看 STS SDK使用手册 。

角色扮演常见问题

  角色扮演场景错误及原因如下:

序号问题原因
1ErrorCode: NoPermission
ErrorMessage: Roles may not be assumed by root accounts.
使用主用户的密钥调用AssumeRole,请使用子用户的密钥。
2ErrorCode: MissingSecurityToken
ErrorMessage: SecurityToken is mandatory for this action.
使用临时用户的密钥调用AssumeRole,请使用子用户的密钥。
3Error code: InvalidAccessKeyId.NotFound
Error message: Specified access key is not found
AccessKeyId无效,请检查是否写错,特别是前后不能后空格。
4Error code: InvalidAccessKeyId.Inactive
Error message: Specified access key is disabled.
使用的子用户的密钥,已经被禁止,请启用密钥或更换密钥。 密钥是否被禁止,请控制台的“访问控制->用户管理->管理->用户详情->用户AccessKey”确认,并开启。
5ErrorCode: InvalidParameter.PolicyGrammar
ErrorMessage: The parameter Policy has not passed grammar check.
角色扮演时指定的授权策略无效。AssumeRole时可以指定授权(Policy),也可以不指定。如果指定授权策略,则临时用户的权限是指定的授权策略和角色权限的交集;如果不指定授权策略,临时用户的权限是角色的权限。
报该错误时,请检查指定的授权策略Policy。不推荐临时用户扮演角色时指定授权策略。如果的确需要使用授权策略,强烈建使用 RAM Policy Editor 生成授权策略。
6ErrorCode: InvalidParameter.RoleSessionName
ErrorMessage: The parameter RoleSessionName is wrongly formed.
角色扮演时指定RoleSessionName无效。此参数用来区分不同的Token,以标明谁在使用此Token,便于审计; 格式:^[a-zA-Z0-9.@-_]+$,2-32个字符,了解更多请参看 扮演角色操作接口。如命名a,1,abc\*abc,忍者神龟等都是非法的
7ErrorCode: InvalidParameter.DurationSeconds
Error message: The Min/Max value of DurationSeconds is 15min/1hr.
角色扮演时指定的过期时间无效,即AssumeRoleRequest.setDurationSeconds参数无效。角色扮演时可以指定过期时间,单位为秒,有效时间是900 ~ 3600,如assumeRoleRequest.setDurationSeconds(60L * 20); 20分钟内有效。
8ErrorCode: NoPermission
ErrorMessage: No permission perform sts:AssumeRole on this Role. Maybe you are not authorized to perform sts:AssumeRole or the specified role does not trust you
原因1:AssumeRole的子用户没有权限,请给子用户授予AliyunSTSAssumeRoleAccess系统授权策略。请在“访问控制->用户管理->授权->可选授权策略名称”中给子用户授权AliyunSTSAssumeRoleAccess。
原因2:申请角色扮演的子用户的云账号ID与角色的“受信云账号ID”不符,请角色创建者确认并修改。子用户的云账号ID,即创建子用户的主用户的ID;角色的云账号ID,即创建角色的主用户的云账号ID。请在如下位置确认修改 访问控制 -> 角色管理 -> 管理 -> 角色详细 -> 编辑基本信息 中确认修改。
原因3:角色的类型错误,如果角色的类型分为“用户角色”和“服务角色”,服务角色不能使用AssumeRole扮演临时用户。

最佳实践

  典型使用场景,请参看 RAM使用场景 。

  最佳实践原则,请参看 最佳实践原则 。

  最佳实践补充:

  • 权限分配要简洁明了,便于管理;
  • 子用户最好只有一个授权策略,或只加入一个群;
  • 角色最好只有一个授权策略;
  • 自定义授权策略命名尽量符合含义,备注中详细说明授予的权限和资源;
  • 授权策略尽量使用系统授权策略,更精细的权限管理,请使用RAM Policy Editor生成;
  • 子用户有重复授权现象,请使用群组;
  • 群组要有尽量少、尽量清晰的授权策略;
  • 扮演时角色尽量不指定policy,通过角色的权限控制。

常见问题及排查

OSS 403问题

  OSS返回的常见错误,请参看 OSS的错误响应。
  其中403错误及原因如下表:

| 错误 | 错误码错误信息 | 错误原因 | 解决办法 |
| -------------- | --------------------------- | ---------------------------------------- | ------------------ |
| UserDisable.UserDisable | ErrorCode: UserDisable
ErrorMessage: UserDisable | 用户欠费或者因为安全原因被禁止访问 | OSS常见错误及排查 |
| RequestTimeTooSkewed | ErrorCode: RequestTimeTooSkewed
ErrorMessage: The difference between the request time and the current time is too large. | 发起请求的时间和服务器时间超出15分钟,一般是客户端系统时间错误 | OSS常见错误及排查 |
| InvalidAccessKeyId | ErrorCode: InvalidAccessKeyId
ErrorMessage: The OSS Access Key Id you provided does not exist in our records. | AccessKeyId无效/被禁止或者过期。 | OSS常见错误及排查 |
| SignatureDoesNotMatch | ErrorCode: SignatureDoesNotMatch
ErrorMessage: The request signature we calculated does not match the signature you provided. Check your key and signing method. | 客户端和服务计算的签名不符 | OSS常见错误及排查 |
| PostObject | ErrorCode: AccessDenied
ErrorMessage: Invalid according to Policy: Policy expired.
ErrorCode: AccessDenied
ErrorMessage: Invalid according to Policy: Policy Condition failed: … | PostObject中Policy无效 | PostObject |
| Cors | ErrorCode: AccessForbidden
ErrorMessage: CORSResponse: This CORS request is not allowed. This is usually because the evalution of Origin, request method / Access-Control-Request-Method or Access-Control-Requet-Headers are not whitelisted by the resource's CORS spec. | CORS没有配置或配置不对 | OSS设置跨域访问 |
| Refers | ErrorCode: AccessDenied
ErrorMessage: You are denied by bucket referer policy. | 请检查Bucket的Refers配置 | OSS防盗链 |
| AccessDenied | 见下面表权限问题错误及原因 | 无权限 | 下面详细讲述 |
| 其它小类错误 | | | |

权限问题

  权限问题错误及原因见下表:

序号错误原因
1ErrorCode: AccessDenied
ErrorMessage: The bucket you are attempting to access must be addressed using the specified endpoint. Please send all future requests to this endpoint.
Bucket和Endpoint不符
2ErrorCode: AccessDenied
ErrorMessage: You are forbidden to list buckets.
没有listBuckets权限
3ErrorCode: AccessDenied
ErrorMessage: You do not have write acl permission on this object
无setObjectAcl权限
4ErrorCode: AccessDenied
ErrorMessage: You do not have read acl permission on this object.
无getObjectAcl权限
5ErrorCode: AccessDenied
ErrorMessage: The bucket you visit is not belong to you.
子用户没有Bucket管理的权限(如getBucketAcl CreateBucket、deleteBucket setBucketReferer、 getBucketReferer等)
6ErrorCode: AccessDenied
ErrorMessage: You have no right to access this object because of bucket acl.
子用户/临时用户没有访问Object的权限(如putObject getObject、appendObject deleteObject、postObject)等
7ErrorCode: AccessDenied
ErrorMessage: Access denied by authorizer's policy.
临时用户访问无权限,该临时用户角色扮演指定授权策略,该授权策略无权限
8ErrorCode: AccessDenied
ErrorMessage: You have no right to access this object.
子用户/临时用户无当前操作权限(如initiateMultipartUpload等)

问题排查

  先熟悉如下操作:

  • 怎么辨别密钥是主用户、子用户还是临时用户的?
    临时的用户的密钥的AccessKeyID,以STS开头比较好辨认,如“STS.MpsSonrqGM8bGjR6CRKNMoHXe”。是否是主用户的密钥,需要到 控制台 查看AccessKeyID是否存在,如果存在说明是主用户;如果不存在,该用户子用户。在“访问控制 -> 用户管理 -> 管理 -> 用户详情 -> 用户AccessKey”,查看子用户的AccessKeyID,并找到对应的子用户。
  • 怎么查看子用户的权限,即子用户的授权策略?
    在控制台的如下位置查看,访问控制 ->用户管理 -> 管理(操作下方) -> 用户授权策略 -> 个人授权策略/加入组的授权策略 -> 查看权限。
  • 怎么查看临时用户的权限,即对应角色的权限?
    在控制的如下位置查看,临时用户 -> 访问控制 -> 角色管理 -> 管理(操作下方) -> 角色授权策略 -> 查看权限。

访问权限错误流程如下图。

_

权限检查流程一般如下:

_

如果检查不出来需要调试,步骤如下:

_

附录

常见问题排查连接

  OSS常见错误及排查  https://help.aliyun.com/document_detail/31945.html
  OSS授权常见问题  https://help.aliyun.com/knowledge_list/9091191.html

常用链接汇总

  阿里云官网  https://www.aliyun.com/
  阿里云控制台  https://home.console.aliyun.com/
  控制台访问控制主页面  https://ram.console.aliyun.com/
  控制台主用户密钥  https://ak-console.aliyun.com/
  阿里云访问控制帮助与文档  https://help.aliyun.com/product/8315075_28625.html
  阿里云授权策略语言  https://help.aliyun.com/document_detail/28664.html
  访问控制系统授权策略  https://help.aliyun.com/document_detail/28652.html
  访问控制角色扮演示例  https://help.aliyun.com/document_detail/28788.html
  对象存储OSS常见错误  https://help.aliyun.com/document_detail/32005.html
  对象存储OSS帮助与文档  https://help.aliyun.com/product/8314910_31815.html
  对象存储OSS安全管理  https://help.aliyun.com/document_detail/31867.html
  对象存储OSS常用授权策略  https://help.aliyun.com/knowledge_list/9091191.html
  OSS上做RAM主子账号的授权  http://www.atatech.org/articles/42666
  OSS授权策略生成工具RAM Policy Editor  http://oss-demo.aliyuncs.com/ram-policy-editor
  OSS常见错误及排查  https://help.aliyun.com/document_detail/31945.html

相关文章:"朕亦甚想你"——从后宫管理看阿里云访问控制(上)

这篇关于朕亦甚想你——从后宫管理看阿里云访问控制(下)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


原文地址:https://blog.csdn.net/weixin_33861800/article/details/90627522
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.chinasem.cn/article/629474

相关文章

Redis实现RBAC权限管理

《Redis实现RBAC权限管理》本文主要介绍了Redis实现RBAC权限管理,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧... 目录1. 什么是 RBAC?2. 为什么使用 Redis 实现 RBAC?3. 设计 RBAC 数据结构

mac安装nvm(node.js)多版本管理实践步骤

《mac安装nvm(node.js)多版本管理实践步骤》:本文主要介绍mac安装nvm(node.js)多版本管理的相关资料,NVM是一个用于管理多个Node.js版本的命令行工具,它允许开发者在... 目录NVM功能简介MAC安装实践一、下载nvm二、安装nvm三、安装node.js总结NVM功能简介N

SpringBoot中使用 ThreadLocal 进行多线程上下文管理及注意事项小结

《SpringBoot中使用ThreadLocal进行多线程上下文管理及注意事项小结》本文详细介绍了ThreadLocal的原理、使用场景和示例代码,并在SpringBoot中使用ThreadLo... 目录前言技术积累1.什么是 ThreadLocal2. ThreadLocal 的原理2.1 线程隔离2

Linux内存泄露的原因排查和解决方案(内存管理方法)

《Linux内存泄露的原因排查和解决方案(内存管理方法)》文章主要介绍了运维团队在Linux处理LB服务内存暴涨、内存报警问题的过程,从发现问题、排查原因到制定解决方案,并从中学习了Linux内存管理... 目录一、问题二、排查过程三、解决方案四、内存管理方法1)linux内存寻址2)Linux分页机制3)

高效管理你的Linux系统: Debian操作系统常用命令指南

《高效管理你的Linux系统:Debian操作系统常用命令指南》在Debian操作系统中,了解和掌握常用命令对于提高工作效率和系统管理至关重要,本文将详细介绍Debian的常用命令,帮助读者更好地使... Debian是一个流行的linux发行版,它以其稳定性、强大的软件包管理和丰富的社区资源而闻名。在使用

SpringBoot使用minio进行文件管理的流程步骤

《SpringBoot使用minio进行文件管理的流程步骤》MinIO是一个高性能的对象存储系统,兼容AmazonS3API,该软件设计用于处理非结构化数据,如图片、视频、日志文件以及备份数据等,本文... 目录一、拉取minio镜像二、创建配置文件和上传文件的目录三、启动容器四、浏览器登录 minio五、

IDEA中的Kafka管理神器详解

《IDEA中的Kafka管理神器详解》这款基于IDEA插件实现的Kafka管理工具,能够在本地IDE环境中直接运行,简化了设置流程,为开发者提供了更加紧密集成、高效且直观的Kafka操作体验... 目录免安装:IDEA中的Kafka管理神器!简介安装必要的插件创建 Kafka 连接第一步:创建连接第二步:选

综合安防管理平台LntonAIServer视频监控汇聚抖动检测算法优势

LntonAIServer视频质量诊断功能中的抖动检测是一个专门针对视频稳定性进行分析的功能。抖动通常是指视频帧之间的不必要运动,这种运动可能是由于摄像机的移动、传输中的错误或编解码问题导致的。抖动检测对于确保视频内容的平滑性和观看体验至关重要。 优势 1. 提高图像质量 - 清晰度提升:减少抖动,提高图像的清晰度和细节表现力,使得监控画面更加真实可信。 - 细节增强:在低光条件下,抖

阿里开源语音识别SenseVoiceWindows环境部署

SenseVoice介绍 SenseVoice 专注于高精度多语言语音识别、情感辨识和音频事件检测多语言识别: 采用超过 40 万小时数据训练,支持超过 50 种语言,识别效果上优于 Whisper 模型。富文本识别:具备优秀的情感识别,能够在测试数据上达到和超过目前最佳情感识别模型的效果。支持声音事件检测能力,支持音乐、掌声、笑声、哭声、咳嗽、喷嚏等多种常见人机交互事件进行检测。高效推

软考系统规划与管理师考试证书含金量高吗?

2024年软考系统规划与管理师考试报名时间节点: 报名时间:2024年上半年软考将于3月中旬陆续开始报名 考试时间:上半年5月25日到28日,下半年11月9日到12日 分数线:所有科目成绩均须达到45分以上(包括45分)方可通过考试 成绩查询:可在“中国计算机技术职业资格网”上查询软考成绩 出成绩时间:预计在11月左右 证书领取时间:一般在考试成绩公布后3~4个月,各地领取时间有所不同