阿里云SSO和RAM概述

随着企业上云的趋势越来越明显，阿里云提供的各类服务成为了许多企业的首选。为了确保云上资源的安全管理，阿里云提供了单点登录（SSO）和资源访问管理（RAM）两种权限控制机制。

企业在使用阿里云SSO并配置RAM权限时，需要结合TLS技术设计安全的访问控制策略，通常会面临哪些挑战？

1. 权限策略复杂性

• 在配置RAM和云SSO权限时，定义和管理复杂的权限策略可能会导致误配置，从而引发安全漏洞。确保策略的精细化和准确性是一个挑战，需要规范化的权限配置。

2. 合规性和法规要求

• 企业需要确保其访问控制策略符合行业标准和法规要求。不断变化的合规性要求可能需要企业不断调整和更新其安全策略。

3. 跨部门协作

• 配置和管理SSO、RAM和TLS涉及多个部门的协作，包括IT、安全和业务部门。协调这些部门的工作，确保一致的安全策略和实施，是一个复杂的过程。
• 用户需要了解如何使用SSO和遵循安全最佳实践
• 程序开发者需要了解RAM User如何使用TLS调研阿里云API接口，实现资源的管理

本文将详细介绍联蔚盘云Cloud Teams是如何在阿里云环境中为客户配置和管理SSO和RAM权限，并结合TLS技术设计安全的访问控制策略。

阿里云的权限控制

云SSO

什么是云SSO

云SSO提供基于阿里云资源目录RD（Resource Directory）的多账号统一身份管理与访问控制。使用云SSO，用户可以统一管理企业中使用阿里云的用户，一次性配置企业身份管理系统与阿里云的单点登录，并统一配置所有用户对RD账号的访问权限。

云 SSO 的功能特性

1. 统一管理使用阿里云的用户

云SSO提供一个原生的身份目录，可以将所有需要访问阿里云的用户在该目录中维护。既可以手动管理用户与用户组，也可以借助SCIM协议从企业身份管理系统同步用户和用户组到云SSO身份目录中。

2. 与企业身份管理系统进行统一单点登录配置

虽然可以选择让云SSO身份目录中的用户使用其用户名、密码和多因素认证（MFA）的方式访问阿里云，但更好的方式是与企业身份管理系统进行单点登录（SSO），以最大限度地优化用户体验，同时降低安全风险。云SSO支持基于SAML 2.0协议的企业级单点登录，只需要在云SSO和企业身份管理系统中进行一次性地简单配置，即可完成单点登录配置。

3. 统一配置所有用户对RD账号的访问权限

借助与RD的深度集成，在云SSO中可以统一配置用户或用户组对整个RD内的任意成员账号的访问权限。云SSO管理员可以根据RD的组织结构，选择不同成员账号为其分配可访问的身份（用户或用户组）以及具体的访问权限，且该权限可以随时修改和删除。

4. 统一的用户门户

云SSO提供统一的用户门户，企业员工只要登录到用户门户，即可一站式获取其具有权限的所有RD账号列表，然后直接登录到阿里云控制台，并可在多个账号间轻松切换。

RAM(访问控制)

什么是 RAM

访问控制RAM（Resource Access Management）是阿里云提供的细粒度权限控制服务，允许用户管理和控制阿里云资源的访问权限。RAM特别适用于程序化访问和管理云资源。

RAM 的功能特性

统一管理访问身份及权限

1. 集中式访问控制

• 集中管理RAM用户：管理每个RAM用户及其登录密码或访问密钥，为RAM用户绑定多因素认证MFA（Multi Factor Authentication）设备。
• 集中控制RAM用户的访问权限：控制每个RAM用户访问资源的权限。
• 集中控制RAM用户的资源访问方式：确保RAM用户在指定的时间和网络环境下，通过安全信道访问特定的阿里云资源。

2. 外部身份集成

• 单点登录SSO（Single Sign On）：支持阿里云与企业身份提供商IdP（Identity Provider）进行用户SSO或角色SSO，使用企业IdP中的账号登录阿里云。
• 钉钉账号集成：为RAM用户绑定一个钉钉账号，然后就可以使用该钉钉账号登录阿里云。
• SCIM用户同步：通过SCIM协议将企业内部账号同步到RAM。更多信息，请参见通过SCIM协议将企业内部账号同步到阿里云RAM。

精细多元的权限设置能力

1. 丰富的权限策略

• RAM提供了多种满足日常运维人员职责所需要的系统权限策略。如果系统权限策略不能满足使用需求，还可以通过图形化工具快速地创建自定义权限策略。

2. 精细的控制粒度

• 支持在资源级和操作级向RAM用户、RAM用户组和RAM角色授予访问权限。
• 支持根据请求源IP地址、日期时间、资源标签等条件属性创建更精细的资源访问控制策略。
• 支持指定授权范围为整个阿里云账号或指定资源组。

TLS安全设计

什么是TLS

传输层安全（Transport Layer Security, TLS）是一种加密协议，旨在确保数据在网络传输过程中的安全。TLS对于保护敏感数据、防止中间人攻击等至关重要。

TLS主要分为两层，底层的是TLS记录协议，主要负责使用对称密码对消息进行加密。

上层的是TLS握手协议，主要分为握手协议，密码规格变更协议和应用数据协议4个部分。

• 握手协议负责在客户端和服务器端商定密码算法和共享密钥，包括证书认证，是4个协议中最最复杂的部分。
• 密码规格变更协议负责向通信对象传达变更密码方式的信号
• 警告协议负责在发生错误的时候将错误传达给对方
• 应用数据协议负责将TLS承载的应用数据传达给通信对象的协议。

阿里云上的TLS设计

不管是云SSO还是RAM，在阿里云上主要都是通过策略来实现权限的控制。

通过策略中的设置Condition下acs:SecureTransport的值为true来实现用户强制TLS的访问方式访问阿里云，以下是TLS访问方式的设计示例：

{"Statement": [{"Action": "ecs:*","Effect": "Allow","Resource": "*","Condition": {        "Bool": {"acs:SecureTransport": "true"}}}],"Version": "1"
}

客户综合实践

结合上文SSO与RAM权限控制和TLS加密，为客户在阿里云上设计全面的安全策略，保证为客户云上访问流量都是TLS，以确保云上资源的安全性。

在客户云上资源和权限管理上，联蔚盘云Cloud Teams统一使用Terraform编排。

在RAM和云SSO的管理上，Cloud Teams严格规范：

1. 用户只能通过云SSO登录到阿里云Console，并且只能拥有所属项目组资源的只读权限，Console权限非特殊申请只有只读。

• 访问配置使用自定义配置了TLS的策略，不使用系统策略
• 授权是基于云SSO用户组授权，不对单用户授权

2. RAM User只用于程序使用，提供AKSK，并且AKSK六个月通知轮换一次。

• RAM User的权限都是基于资源组授权，不是账号级别，只能访问属于本身项目的资源
• RAM User的权限只使用自定义配置了TLS的策略，不需要系统策略

RAM Application User实践

TF中TLS的编排设计

Cloud Teams按账号和项目区分Terraform层级关系。在每个账号目录下，会统一有一个属于RAM Policy的目录，该目录编排阿里云上需要用到 AKSK 访问的资源权限。

项目目录会通过Terraform Data的方法，引入RAM Policy目录定义好的 RAM Policy，进行RAM User授权。这种设计可以使得复杂业务场景，多项目下，相同资源的Policy复用。

实践

RAM Policy目录TF代码

# local.tf
# 创建资源的Policy
resource "alicloud_ram_policy" "ram_policy" {document         = file("./ram_policy_app_prd_sls.json")policy_name      = "ram-policy-app-prd-sls"version          = "1"
}# ram_policy_app_prd_sls.json
# 每一个资源一个 json 文件
{"Version": "1","Statement": [{"Action": "log:*","Resource": "*","Effect": "Allow","Condition": {       "Bool": {"acs:SecureTransport": "true"}}},{"Action": "ram:CreateServiceLinkedRole","Resource": "*","Effect": "Allow","Condition": {"StringEquals": {"ram:ServiceName": ["audit.log.aliyuncs.com","alert.log.aliyuncs.com","middlewarelens.log.aliyuncs.com","storagelens.log.aliyuncs.com","ai-lens.log.aliyuncs.com","securitylens.log.aliyuncs.com"]},"Bool": {"acs:SecureTransport": "true"}}},{"Effect": "Deny","Action": ["log:CreateProject","log:DeleteProject","log:TagResources","log:UntagResources"],"Resource": ["*"],"Condition": {}}]
}

项目目录TF代码

provide.tf
## ram
data "terraform_remote_state" "policies_01" {backend = "azurerm"config = {storage_account_name = "xxx"container_name = "xxxx"key    = "account_name/ram" # ram Policy 目录environment = "china"}
}local.tf
## ram
resource "alicloud_resource_manager_policy_attachment" "resource_manager_policy_attach" {policy_name       = data.terraform_remote_state.policies_01.outputs.ram_policy_names[0]policy_type       = "Custom"principal_name    = "account_name" # 这里写需要授权的 RAM User账号principal_type    = "IMSUser"resource_group_id = "rg-xxxx" # 这里是资源组，基于资源组授权，RAM User账号只能访问属于自己项目的资源
}

云SSO用户实践

在云SSO场景下，不需要单独分出策略的Policy目录，因为云SSO的授权不能基于资源组，只能把资源组写进Policy中。

访问配置的内置策略示例：

{"Version": "1","Statement": [{"Effect": "Allow","Action": ["*:Describe*","*:List*","*:Get*","*:BatchGet*","*:Query*","*:BatchQuery*","actiontrail:Lookup*","actiontrail:Check*","dm:Desc*","dm:SenderStatistics*","ram:GenerateCredentialReport","cloudsso:Check*","notifications:Read*","selectdb:Check*","hbr:Search*","hbr:BrowseFiles","hbr:BatchCountTables","hbr:CheckRole","hbr:PreCheckSourceGroup"],"Resource": "*","Condition": {"StringEquals": {"acs:ResourceGroupId": ["rg-xxxxxx", # 项目所属的资源组ID，在多账号的情况下，这个是其他子账号的资源组ID"rg-xxxxxx"]},"Bool": {"acs:SecureTransport": "true" # tls 安全设计}}}]
}