S radosťou oznamujeme možnosť bezpečného zdieľania infraštruktúry medzi účtami. Môžete tiež definovať, aké akcie môžete s týmito zdieľanými prostriedkami vykonávať, čo vám poskytuje detailnú kontrolu. Táto nová funkcia vám umožní zdieľať rôzne sady prostriedkov s jedným alebo viacerými ďalšími účtami. Každé pravidlo nazývame zoznam riadenia prístupu alebo skrátene ACL. Môžete mať toľko ACL, koľko chcete, v závislosti od vašich potrieb, a zmeny, ktoré vykonáte, sa prejavia okamžite. Nehovoriac o tom, že všetky ACL sú úplne zadarmo.
Tento rámec je navrhnutý tak, aby bol jednoduchý, transparentný a ľahko udržiavateľný. Skutočná bezpečnosť pochádza z nástrojov, ktoré ľudia skutočne používajú a aktívne udržiavajú, preto sme tento princíp uplatnili aj pri zdieľaní cloudovej infraštruktúry.
Nižšie uvádzam veľmi jednoduchý návod, ktorý vám pomôže spustiť váš prvý ACL, ako aj video na YouTube s ukážkou. Sám ich používam vo svojom účte na zdieľanie prostriedkov s kolegami, takže som si istý, že s ich spustením nebudete mať žiadne problémy. Na konci som tiež uviedol niekoľko príkladov, ako môžete nový rámec ACL použiť.
Tri jednoduché kroky k bezpečnému zdieľaniu
Poďme teda začať. Vytvorili sme jednoduchý trojkrokový proces, ako začať s ACL. Novú sekciu nájdete už aktívnu vo svojom účte vo webovej aplikácii:
Cloudové ACL: zdieľajte cloudové prostriedky bezpečne
Krok 1: Vytvorte značku
Najprv musíme nastaviť značku, aby sme identifikovali, ktoré prostriedky chceme zdieľať. Prejdite do sekcie Tags (Značky) vo webovej aplikácii a kliknite na tlačidlo ‘create’ (vytvoriť). Predpokladajme, že chceme zdieľať databázové servery, a vytvorme značku s názvom database:
Vytvoriť novú značku cloudovej infraštruktúry
Teraz máme vytvorenú našu prvú značku a všimnete si, že v stĺpci prostriedkov je uvedené ‘0’, čo znamená, že sme zatiaľ neoznačili žiadne prostriedky:
Značky cloudovej infraštruktúry
Krok 2: Označte cloudovú infraštruktúru
Teraz prejdite do sekcie compute (výpočtový výkon) a vyberte databázové servery, ku ktorým chcete pridať značku (upozorňujeme, že ak označíte server, automaticky označíme aj všetky disky a sieťové pravidlá s ním spojené):
Usporiadajte si svoje cloudové servery pomocou značiek
Teraz môžete vidieť, že k dvom databázovým serverom bola značka úspešne pridaná:
Databázové cloudové servery s novou značkou
Krok 3: Vytvorte zoznam riadenia prístupu
Teraz, keď máme našu infraštruktúru označenú, sme pripravení zdieľať prostriedky. Môžeme sa vrátiť do sekcie ACLs a kliknutím na tlačidlo create (vytvoriť) pridať nový ACL:
Vytvoriť ACL pre vašu cloudovú infraštruktúru
Pomenujte svoje pravidlo riadenia prístupu a nastavte oprávnenia, ktoré chcete udeliť. Povolím štart/stop, otvorenie VNC (užitočné pre obnovu systému) a úpravu (ktorá vyžaduje aj oprávnenie na zobrazenie zoznamu). Nepovolím pripojenie ani klonovanie, takže pravidlo je skôr o správe servera v aktuálnom stave než o škálovaní alebo vykonávaní veľkých zmien v nastavení cloudového servera:
ACL pre junior databázového administrátora
Teraz pridajme k tomuto ACL značku database:
Priradenie značky k ACL
Nakoniec musíme do pravidla pridať nášho databázového administrátora a, samozrejme, pravidlo uložiť:
Pridávanie ľudí do vášho ACL
Poznámka: Z bezpečnostných dôvodov sme UUID maskovali.
Náš ACL je teraz aktívny a zdieľa prostriedky, ktoré sme nastavili. Keď sa vrátim do zoznamu serverov, všimnete si, že pred názvom databázových serverov sa objavila ikona, ktorá indikuje, že sa momentálne aktívne zdieľajú:
Cloudové servery s aktívnym zdieľaním
Na druhej strane by sa teraz, samozrejme, mala zdieľaná cloudová infraštruktúra objaviť v účte nášho databázového administrátora (v tomto prípade druhého spoluzakladateľa spoločnosti CloudSigma Patricka!):
Zdieľané cloudové servery sú teraz viditeľné
Ďalej si všimnete odlišnú ikonu znázorňujúcu prostriedky, ktoré sú zdieľané s vaším účtom, na rozdiel od prostriedkov, ktoré zdieľate s ostatnými. V Patrickovej sekcii úložiska môžete vidieť aj disky priradené k serverom:
Disky zdieľaných cloudových serverov
Patrick teraz môže otvoriť VNC a vykonávať ďalšie akcie, ktoré som mu udelil. Kedykoľvek môžem pridať a odobrať infraštruktúru pomocou značky databázy alebo zmeniť udelené oprávnenia. Taktiež môžete k infraštruktúre pridať viacero značiek, takže môžete mať servery s viacerými značkami a viacerými politikami, ktoré sa na ne vzťahujú.
Prípad použitia 1: Externý dodávateľ
Možno spolupracujete s externým dodávateľom, ktorý vyvíja novú službu, a chcete, aby mal prístup k infraštruktúre, ktorú potrebuje pre tento projekt spravovať, ale nechcete mu udeliť úplný prístup k vášmu CloudSigma účtu a infraštruktúre. Pomocou ACL teraz môžete bezpečne zdieľať potrebnú infraštruktúru bez ohrozenia bezpečnosti. Stačí vytvoriť značku pre projekt, nazvime ju Project X. Potom stačí označiť všetky prostriedky, ktoré chcete zdieľať, novovytvorenou značkou Project X. Nakoniec prejdite do sekcie ACL a vytvorte nový ACL. Rozhodnite sa, ktoré prostriedky chcete zdieľať a aké akcie majú vykonávať, a pridajte ich účet do ACL zadaním ich e-mailu a UUID (s najväčšou pravdepodobnosťou ich budete musieť požiadať o ich CloudSigma UUID). A je to, infraštruktúra Project X sa teraz automaticky zobrazí v ich účte.
Teraz predpokladajme, že projekt je hotový alebo dodávateľ odíde, stačí len odstrániť značku Project X z daného prostriedku a už sa nebude zdieľať, prípadne odstrániť externého dodávateľa z ACL (do politiky môžete pridať toľko ľudí, koľko chcete, takže si politiku môžete ponechať, ale vyradiť konkrétneho jednotlivca). Je to také jednoduché.
Prípad použitia 2: Správca databázy
V tomto príklade môžete chcieť sadu oprávnení založenú na rolách. Pretože osoba s konkrétnou rolou v rámci vašej organizácie môže mať prístup k infraštruktúre, ktorú potrebuje. Ale nie k inej infraštruktúre, ktorá nespadá pod jej zodpovednosť. Toto je rovnaký prípad použitia, aký je opísaný aj v návode v tomto príspevku.
Predpokladajme napríklad, že chcete správcovi databázy povoliť prístup len k databázovým serverom v rámci vašej infraštruktúry. Je to celkom jednoduché, najprv vytvorte značku s názvom ‘database’. Po druhé, označte všetky svoje databázové servery touto značkou database. Nakoniec vytvorte ACL definujúci oprávnenia, ktoré chcete udeliť, pridajte novovytvorenú značku database a potom pridajte údaje o účte vášho správcu databázy do tohto ACL. Hotovo.
Čo je najdôležitejšie, ak máte ďalšie databázové servery, ku ktorým potrebuje mať váš správca databázy prístup, stačí k danému serveru pridať značku database. To je všetko, oprávnenia sa automaticky prenesú z ACL v reálnom čase a váš správca databázy uvidí nový databázový server, ku ktorému má prístup, vo svojom účte. Alebo povedzme, že chcete prístup odobrať? Jednoducho odstráňte značku database atď.
Dúfam, že táto funkcia bude pre vás rovnako užitočná ako pre mňa. A ak by ste potrebovali akúkoľvek pomoc, stačí použiť našu podporu cez live chat, ktorá je k dispozícii 24/7 a je veľmi dobre oboznámená s funkčnosťou ACL.
Príjemnú prácu s počítačom,
Robert
Komentáre
Zatiaľ žiadne komentáre. Buďte prvý.