S potěšením oznamujeme možnost bezpečného sdílení infrastruktury mezi účty. Můžete také definovat, jaké akce lze s těmito sdílenými prostředky provádět, což vám dává detailní kontrolu. Tato nová funkce vám umožní sdílet různé sady prostředků s jedním nebo více dalšími účty. Každé takové pravidlo nazýváme Access Control List neboli zkráceně ACL. Můžete mít tolik ACL, kolik potřebujete, a změny, které provedete, se projeví okamžitě. Nemluvě o tom, že všechna ACL jsou zcela zdarma k použití.
Tento systém je navržen tak, aby byl jednoduchý, transparentní a snadno udržovatelný. Skutečná bezpečnost pochází z nástrojů, které lidé skutečně používají a aktivně udržují, proto jsme tento princip uplatnili i pro sdílení cloudové infrastruktury.
Níže uvádím velmi snadný návod, jak zprovoznit vaše první ACL, a také video na YouTube s ukázkou. Sám je používám ve svém účtu ke sdílení prostředků s kolegy, takže jsem si jistý, že s jejich zprovozněním nebudete mít žádné problémy. Na konci jsem také uvedl několik příkladů, jak můžete nový systém ACL využít.
Tři jednoduché kroky k bezpečnému sdílení
Pojďme tedy začít. Připravili jsme jednoduchý proces o třech krocích, jak s ACL začít. Novou sekci najdete již aktivní ve svém účtu ve webové aplikaci:
Cloudová ACL: sdílejte cloudové prostředky bezpečně
Krok 1: Vytvořte tag
Nejprve musíme nastavit tag, abychom identifikovali, které prostředky chceme sdílet. Přejdete do sekce Tags ve webové aplikaci a klikněte na tlačítko ‘create’. Předpokládejme, že chceme sdílet databázové servery, a vytvořme tag s názvem database:
Vytvořit nový tag cloudové infrastruktury
Nyní máme vytvořený náš první tag a všimnete si, že ve sloupci resources je uvedeno ‘0’, což znamená, že jsme ještě neoznačili žádné prostředky:
Tagy cloudové infrastruktury
Krok 2: Označte cloudovou infrastrukturu tagy
Nyní přejděte do sekce compute a vyberte databázové servery, ke kterým chcete tag přidat (vezměte prosím na vědomí, že pokud označíte server tagem, automaticky označíme i všechny disky a síťová pravidla s ním spojená):
Organizujte své cloudové servery pomocí tagů
Nyní můžete vidět, že k oběma databázovým serverům byl tag úspěšně přidán:
Databázové cloudové servery s novým tagem
Krok 3: Vytvořte Access Control List
Nyní, když máme naši infrastrukturu označenou tagy, jsme připraveni sdílet prostředky. Můžeme se vrátit do sekce ACLs a kliknutím na create přidat nové ACL:
Vytvořit ACL pro vaši cloudovou infrastrukturu
Pojmenujte své přístupové pravidlo a nastavte oprávnění, která chcete udělit. Povolím start/stop, open VNC (užitečné pro obnovu systému) a edit (které vyžaduje také oprávnění list). Nepovolím attach ani clone, takže pravidlo je spíše o správě serveru v aktuálním stavu než o škálování nebo provádění velkých změn v nastavení cloudového serveru:
ACL pro juniorního správce databáze
Nyní k tomuto ACL přidejme tag database:
Připojení tagu k ACL
Nakonec musíme k pravidlu přidat našeho správce databáze a samozřejmě pravidlo uložit:
Přidávání lidí do vašeho ACL
Poznámka: Z bezpečnostních důvodů jsme UUID zamaskovali.
Naše ACL je nyní aktivní a sdílí prostředky, které jsme nastavili. Při návratu do mého seznamu serverů si nyní všimnete, že se před názvem databázových serverů objevila ikona, která značí, že jsou v tuto chvíli aktivně sdíleny:
Cloudové servery s aktivním sdílením
Na druhé straně by se samozřejmě sdílená cloudová infrastruktura měla nyní objevit v účtu našeho správce databáze (v tomto případě druhého spoluzakladatele společnosti CloudSigma Patricka!):
Sdílené cloudové servery jsou nyní viditelné
Dále si všimnete jiné ikony znázorňující prostředky, které jsou sdíleny s vaším účtem, na rozdíl od prostředků, které sdílíte s ostatními. V Patrickově sekci úložiště můžete také vidět disky spojené s těmito servery:
Disky sdílených cloudových serverů
Patrick nyní může otevřít VNC a provádět další akce, které jsem mu udělil. Kdykoli mohu přidat nebo odebrat infrastrukturu pomocí značky databáze nebo změnit udělená oprávnění. K infrastruktuře můžete také přidat více značek, takže můžete mít servery s více značkami a více zásadami, které se na ně vztahují.
Případ použití 1: Externí dodavatel
Možná spolupracujete s externím dodavatelem, který vyvíjí novou službu, a chcete, aby měl přístup k infrastruktuře, kterou potřebuje pro tento projekt spravovat, ale nechcete mu poskytnout plný přístup k vašemu účtu a infrastruktuře CloudSigma. Pomocí ACL nyní můžete bezpečně sdílet potřebnou infrastrukturu, aniž byste ohrozili bezpečnost. Stačí vytvořit značku pro projekt, nazvěme ji Projekt X. Dále stačí označit všechny prostředky, které chcete sdílet, nově vytvořenou značkou Projekt X. Nakonec přejděte do sekce ACL a vytvořte nový ACL. Rozhodněte, které prostředky chcete sdílet a jaké akce mají provádět, a přidejte jejich účet do ACL zadáním jejich e-mailu a UUID (s největší pravděpodobností je budete muset požádat o jejich CloudSigma UUID). A je to, infrastruktura Projektu X se nyní automaticky objeví v jejich účtu.
Nyní řekněme, že projekt je hotový nebo dodavatel odchází. Stačí pouze odebrat značku Projekt X z daného prostředku a ten již nebude sdílen, nebo odebrat externího dodavatele z ACL (do zásady můžete přidat tolik lidí, kolik chcete, takže si můžete chtít zásadu ponechat, ale vyloučit konkrétního jednotlivce). Je to tak jednoduché.
Případ použití 2: Databázový administrátor
V tomto příkladu můžete chtít sadu oprávnění založenou na rolích. Protože osoba s konkrétní rolí v rámci vaší organizace může mít přístup k infrastruktuře, kterou potřebuje. Ale ne k jiné infrastruktuře, která nespadá do její odpovědnosti. To je stejný případ použití, jaký je popsán také v návodu v tomto příspěvku.
Předpokládejme například, že chcete svému databázovému administrátorovi povolit přístup pouze k databázovým serverům v rámci vaší infrastruktury. Je to docela jednoduché, nejprve vytvořte značku s názvem ‘database’. Za druhé, označte všechny své databázové servery touto značkou database. Nakonec vytvořte ACL definující oprávnění, která chcete udělit, přidejte nově vytvořenou značku database a poté přidejte údaje o účtu vašeho databázového administrátora do tohoto ACL. Hotovo.
Co je nejdůležitější, pokud máte další databázové servery, ke kterým potřebujete, aby měl váš databázový administrátor přístup, stačí k danému serveru přidat značku database. To je vše, oprávnění se automaticky přenesou z ACL v reálném čase a váš databázový administrátor uvidí ve svém účtu nový databázový server, ke kterému má přístup. Nebo řekněme, že chcete přístup odebrat? Jednoduše odeberte značku database atd.
Doufám, že pro vás bude tato funkce stejně užitečná jako pro mě. A pokud budete potřebovat jakoukoli pomoc, stačí využít naši podporu na živém chatu, která je k dispozici 24/7 a je s funkcí ACL velmi dobře obeznámena.
Příjemnou práci s počítačem,
Robert
Komentáře
Zatím žádné komentáře. Buďte první.