Z przyjemnością ogłaszamy możliwość bezpiecznego udostępniania infrastruktury między kontami. Możesz również zdefiniować, jakie działania można podejmować w stosunku do tych udostępnionych zasobów, co zapewnia precyzyjną kontrolę. Ta nowa funkcjonalność pozwoli Ci udostępniać różne zestawy zasobów jednemu lub większej liczbie innych kont. Każdą taką regułę nazywamy listą kontroli dostępu (Access Control List), w skrócie ACL. Możesz mieć tyle list ACL, ile potrzebujesz, a wprowadzane zmiany są wdrażane na żywo, więc wchodzą w życie natychmiast. Nie wspominając o tym, że korzystanie ze wszystkich list ACL jest całkowicie bezpłatne.
Struktura ta została zaprojektowana tak, aby była prosta, przejrzysta i łatwa w utrzymaniu. Prawdziwe bezpieczeństwo wynika z narzędzi, z których ludzie rzeczywiście korzystają i które aktywnie utrzymują, dlatego zastosowaliśmy tę zasadę przy udostępnianiu infrastruktury chmurowej.
Poniżej zamieszczam bardzo prosty przewodnik, który pomoże Ci uruchomić pierwszą listę ACL, a także film na YouTube prezentujący działanie. Sam używam ich na swoim koncie do udostępniania zasobów współpracownikom, więc jestem pewien, że Ty również nie będziesz mieć problemów z ich uruchomieniem. Ponadto na końcu przytoczyłem kilka przykładów użycia nowej struktury ACL.
Trzy proste kroki do bezpiecznego udostępniania
Zacznijmy więc. Przygotowaliśmy prosty, trzyetapowy proces rozpoczęcia pracy z listami ACL. Nową sekcję znajdziesz już na swoim koncie w aplikacji internetowej:
Chmurowe listy ACL: bezpiecznie udostępniaj zasoby chmurowe
Krok 1: Utwórz tag
Po pierwsze, musimy utworzyć tag, aby zidentyfikować, które zasoby chcemy udostępnić. Przejdź do sekcji Tagi w aplikacji internetowej i kliknij przycisk ‘utwórz’. Załóżmy, że chcemy udostępnić serwery baz danych i utwórzmy tag o nazwie database:
Utwórz nowy tag infrastruktury chmurowej
Mamy już utworzony nasz pierwszy tag i zauważysz, że w kolumnie zasobów widnieje ‘0’, co oznacza, że nie otagowaliśmy jeszcze żadnych zasobów:
Tagi infrastruktury chmurowej
Krok 2: Otaguj infrastrukturę chmurową
Teraz przejdź do sekcji compute, aby wybrać serwery baz danych, do których chcesz dodać tag (pamiętaj, że jeśli otagujesz serwer, automatycznie otagujemy również wszystkie powiązane z nim dyski i reguły sieciowe):
Organizuj swoje serwery chmurowe za pomocą tagów
Teraz możesz zobaczyć, że tag został pomyślnie dodany do dwóch serwerów baz danych:
Chmurowe serwery baz danych z nowym tagiem
Krok 3: Utwórz listę kontroli dostępu
Teraz, gdy nasza infrastruktura jest już otagowana, jesteśmy gotowi do udostępnienia zasobów. Możemy wrócić do sekcji ACL i kliknąć utwórz, aby dodać nową listę ACL:
Utwórz listę ACL dla swojej infrastruktury chmurowej
Nadaj nazwę swojej regule kontroli dostępu i skonfiguruj uprawnienia, które chcesz przyznać. Zezwolę na start/stop, otwieranie VNC (przydatne do odzyskiwania systemu) oraz edycję (która wymaga również uprawnienia do wyświetlania listy). Nie zezwolę na podłączanie ani klonowanie, więc reguła dotyczy raczej zarządzania serwerem w obecnym stanie, a nie skalowania czy wprowadzania dużych zmian w konfiguracji serwera chmurowego:
Lista ACL młodszego administratora baz danych
Teraz dodajmy tag database do tej listy ACL:
Przypisywanie tagu do listy ACL
Na koniec musimy dodać naszego administratora bazy danych do reguły i oczywiście zapisać regułę:
Dodawanie osób do listy ACL
Uwaga: Ze względów bezpieczeństwa zamaskowaliśmy identyfikator UUID.
Nasza lista ACL jest teraz aktywna i udostępnia skonfigurowane przez nas zasoby. Po powrocie do mojej listy serwerów zauważysz, że przed nazwami serwerów baz danych pojawiła się ikona wskazująca, że są one obecnie aktywnie udostępniane:
Serwery chmurowe z aktywnym udostępnianiem
Oczywiście po drugiej stronie udostępniona infrastruktura chmurowa powinna teraz pojawić się na koncie naszego administratora baz danych (w tym przypadku drugiego współzałożyciela firmy CloudSigma, Patricka!):
Udostępnione serwery chmurowe są teraz widoczne
Następnie zauważysz inną ikonę przedstawiającą zasoby udostępnione Twojemu kontu, w przeciwieństwie do zasobów, które udostępniasz innym. Możesz również zobaczyć dyski powiązane z serwerami w sekcji pamięci masowej Patricka:
Dyski udostępnionych serwerów chmurowych
Patrick może teraz otworzyć VNC i wykonywać inne czynności, które mu udostępniłem. W dowolnym momencie mogę dodawać i usuwać infrastrukturę za pomocą tagu bazy danych lub zmieniać przyznane uprawnienia. Ponadto do infrastruktury można dodawać wiele tagów, więc można sobie wyobrazić serwery z wieloma tagami i wieloma przypisanymi do nich zasadami.
Przypadek użycia 1: Zewnętrzny wykonawca
Możesz współpracować z zewnętrznym wykonawcą opracowującym nową usługę i chcesz, aby miał on dostęp do infrastruktury, którą musi zarządzać w ramach tego projektu, ale nie chcesz dawać mu pełnego dostępu do swojego konta i infrastruktury CloudSigma. Korzystając z list ACL, możesz teraz bezpiecznie udostępniać im potrzebną infrastrukturę bez uszczerbku dla bezpieczeństwa. Wszystko, co musisz zrobić, to utworzyć tag dla projektu, nazwijmy go Projekt X. Następnie po prostu oznacz wszystkie zasoby, które chcesz udostępnić, nowo utworzonym tagiem Projekt X. Na koniec przejdź do sekcji ACL i utwórz nową listę ACL. Zdecyduj, które zasoby chcesz udostępnić i jakie działania mają oni wykonywać, a następnie dodaj ich konto do listy ACL, podając ich adres e-mail i UUID (najprawdopodobniej będziesz musiał poprosić ich o UUID CloudSigma). I gotowe, infrastruktura Projektu X pojawi się automatycznie na ich koncie.
Załóżmy teraz, że projekt jest gotowy lub wykonawca odchodzi – wystarczy usunąć tag Projekt X z zasobu, a nie będzie on już udostępniany, lub usunąć zewnętrznego wykonawcę z listy ACL (do polityki można dodać dowolną liczbę osób, więc możesz chcieć zachować politykę, ale usunąć konkretną osobę). To takie proste.
Przypadek użycia 2: Administrator bazy danych
W tym przykładzie możesz chcieć zastosować zestaw uprawnień oparty na rolach. Dzięki temu osoba o określonej roli w Twojej organizacji może mieć dostęp do infrastruktury, której potrzebuje, ale nie do innej infrastruktury, która wykracza poza jej obowiązki. Jest to ten sam przypadek użycia, który został opisany również w przewodniku w tym poście.
Na przykład załóżmy, że chcesz zezwolić administratorowi bazy danych na dostęp wyłącznie do serwerów baz danych w Twojej infrastrukturze. To całkiem proste: najpierw utwórz tag o nazwie ‘database’. Po drugie, oznacz wszystkie swoje serwery baz danych tym tagiem bazy danych. Na koniec utwórz listę ACL określającą uprawnienia, które chcesz nadać, dodaj nowo utworzony tag bazy danych, a następnie dodaj dane konta administratora bazy danych do tej listy ACL. Gotowe.
Co najważniejsze, jeśli masz dodatkowe serwery baz danych, do których administrator bazy danych musi mieć dostęp, wystarczy dodać do tego serwera tag bazy danych. To wszystko – uprawnienia zostaną automatycznie przesłane z listy ACL w czasie rzeczywistym, a administrator bazy danych zobaczy na swoim koncie nowy serwer bazy danych, do którego ma dostęp. Albo załóżmy, że chcesz odebrać dostęp? Po prostu usuń tag bazy danych itp.
Mam nadzieję, że ta funkcja okaże się dla Ciebie tak samo przydatna, jak dla mnie. A jeśli potrzebujesz pomocy, skorzystaj z naszego czatu na żywo, który jest dostępny 24/7 i doskonale zna funkcjonalność ACL.
Udanego korzystania z chmury,
Robert
Komentarze
Brak komentarzy. Bądź pierwszy.