返回博客

安全地共享云基础设施

author
罗伯特·詹金2016-08-10 · 1 min read
安全地共享云基础设施

我们很高兴地宣布,现在能够以安全的方式在账户之间共享基础设施。您还可以定义对这些共享资源可以采取的操作,从而为您提供细粒度的控制。这一新功能将允许您与一个或多个其他账户共享各种资源集。我们将每个策略称为访问控制列表,简称 ACL。您可以根据需要拥有任意数量的 ACL,并且您所做的更改是实时的,因此会立即生效。更不用说,所有 ACL 都是完全免费使用的。

该框架旨在简单、透明且易于维护。真正的安全来自于人们实际使用并积极维护的工具,因此我们在共享云基础设施时也采用了这一原则。

我在下方附上了一个非常易于遵循的指南,以帮助您启动并运行您的第一个 ACL,以及一个 YouTube 视频 演示。我自己在我的账户中使用它们与同事共享资源,因此我相信您在开始使用它们时也不会遇到任何问题。此外,在最后我举了几个例子,说明您如何使用新的 ACL 框架。

安全共享的三个简单步骤

那么,让我们开始吧。我们制定了一个简单的三个步骤来开始使用 ACL。您会发现新板块已经在您 webapp 的账户中上线了:

Cloud ACL, share cloud resources securely

云 ACL:安全地共享云资源

步骤 1:创建标签

首先,我们需要设置一个标签来识别我们想要共享哪些资源。导航到 webapp 的“标签”(Tags) 部分,然后点击 ‘创建’ 按钮。假设我们想要共享数据库服务器,并创建一个名为 database 的标签:

Create a new cloud infrastructure tag

创建新的云基础设施标签

我们现在已经创建了第一个标签,您会注意到资源列下显示为 ‘0’,这意味着我们还没有标记任何资源:

Cloud infrastructure tags

云基础设施标签

步骤 2:标记云基础设施

现在导航到计算 (compute) 部分,选择您要添加标签的数据库服务器(请注意,如果您标记了某台服务器,我们将自动标记与其关联的任何云盘和网络策略):

Organise your cloud servers with tags

使用标签组织您的云服务器

您现在可以看到这两台数据库服务器已成功添加了标签:

Database cloud servers with new tag

带有新标签的数据库云服务器

步骤 3:创建访问控制列表

现在我们的基础设施已经标记好了,我们准备好共享资源了。我们现在可以返回 ACL 部分,然后点击创建以添加新的 ACL:

Create an ACL for your cloud infrastructure

为您的云基础设施创建 ACL

为您的访问控制策略命名,并设置您想要授予的权限。我将允许启动/停止、打开 VNC(对系统恢复很有用)和编辑(这也需要列表权限)。我不打算允许挂载或克隆,因此该策略更多的是按原样管理服务器,而不是扩展或对云服务器设置进行重大更改:

Junior database administrator ACL

初级数据库管理员 ACL

现在,让我们将 database 标签添加到此 ACL:

Attaching a tag to an ACL

将标签附加到 ACL

最后,我们需要将我们的数据库管理员添加到该策略中,当然还要保存该策略:

Adding people to your ACL

将人员添加到您的 ACL

注意:出于安全原因,我们对 UUID 进行了混淆处理。

我们的 ACL 现在已激活并正在共享我们设置的资源。返回到我的服务器列表,您现在会注意到数据库服务器名称前出现了一个图标,表示它目前正在被积极共享:

Cloud servers with active sharing

处于活动共享状态的云服务器

当然,在另一端,共享的云基础设施现在应该出现在我们数据库管理员的账户中(在这种情况下,是 CloudSigma 的 Patrick!):

Shared cloud servers now visible

共享云服务器现在可见

接下来,您会注意到不同的图标,它描绘了与您的账户共享的资源,而不是您与他人共享的资源。您还可以在 Patrick 的存储部分中看到与服务器关联的云盘:

Drives of shared cloud servers

共享云服务器的云盘

Patrick现在可以打开VNC以及我’授予他的其他操作。在任何时候,我都可以使用数据库标签添加和删除基础设施,或者更改已授予的权限。此外,您还可以为基础设施添加多个标签,因此您完全可以拥有带有多个标签并针对其发布了多个策略的服务器。

使用场景 1:外部承包商

您可能正在与开发新服务的外部承包商进行合作,您希望他们能够访问该项目所需管理的基础设施,但您不’想授予他们对您的 CloudSigma 账户和基础设施的完整访问权限。通过使用 ACL,您现在可以安全地与他们共享所需的基础设施,而不会损害安全性。您只需为该项目创建一个标签,让’我们称之为 Project X。接下来,只需用新创建 of Project X 标签标记您想要共享的所有资源。最后,转到 ACL 区域并创建一个新的 ACL。决定您要共享哪些资源以及他们需要执行哪些操作,并通过提供他们的电子邮件和 UUID 将他们的账户添加到该 ACL 中(您极有可能需要向他们索要其 CloudSigma UUID)。瞧!Project X 基础设施现在将自动出现在他们的账户中。

现在,假设项目已准备就绪或承包商离职,您只需从资源中移除 Project X 标签,它就将不’再被共享,或者将外部承包商从 ACL 中移除(您可以向策略中添加任意数量的人员,因此您可能希望保留该策略但剔除特定个人)。就这么’简单。

使用场景 2:数据库管理员

在这个例子中,您可能需要一个基于角色的权限集。因为这样,您组织中具有特定角色的成员就可以访问他们所需的基础设施,而无法访问超出其职责范围的其他基础设施。这也与本文指南中所概述的使用场景相同。

例如,让’我们假设您只想允许您的数据库管理员访问您基础设施中的数据库服务器。这很’简单,首先创建一个名为 ‘database’ 的标签。其次,用这个 database 标签标记您所有的数据库服务器。最后,创建一个 ACL 来设定您想要授予的权限,添加新创建的 database 标签,然后将您的数据库管理员账户信息添加到该 ACL 中。搞定。

最重要的是,如果您有其他需要数据库管理员访问的数据库服务器,您只需将 database 标签添加到该服务器即可。就这’样,权限将自动从 ACL 实时同步,您的数据库管理员将在其账户中看到他们有权访问的新数据库服务器。或者,假设您想取消访问权限?只需移除 database 标签等即可。

我希望您会像我一样发现这个功能非常有用。如果您需要任何帮助,只需使用我们的在线聊天支持,他们提供 24/7 全天候服务,并且非常熟悉 ACL 功能。

祝您使用愉快,

Robert

author

罗伯特·詹金

作者 · CloudSigma

Preslav Dobrev 是 CloudSigma 的创意设计师,专注于通过传统和创新营销渠道打造一致的企业形象。他擅长将艺术愿景与战略营销相融合,创造具有影响力的品牌叙事。

评论

暂无评论。发表第一条评论吧。