【最佳实践】如何授权子账号查看某一个Bucket的运维监控数据?

最新推荐文章于 2021-02-18 00:41:45 发布
最新推荐文章于 2021-02-18 00:41:45 发布
阅读量781 收藏 1
点赞数
文章标签: 运维 数据库 大数据
原文链接:https://yq.aliyun.com/articles/622183
版权

一、如何在控制台上查看Bucket的运维监控信息?

  1. 方式一:通过根账号登录OSS控制台进行访问

    1. 通过阿里云根账号登录OSS控制台能够查看到所有Bucket的运维监控信息。但是在企业的实际运行过程中,直接使用根账号进行操作,安全风险极大。并且该方式查看到的是所有Bucket的信息,无法精确到指定的Bucket信息;

  2. 方式二:通过RAM 授权子账号在控制台查看

    1. 由于查看OSS的监控信息,需要获取云监控相关的授权。我们采用RAM提供的默认授权。给针对的子账号授予如下RAM默认授权:

      1. “只读访问云监控的权限”;
      2. AliyunOSSFullAccess;
    2. 使用该方式授权后,可以允许子账号登录控制台查看Bucket的授权信息,而且避免了使用根账号授权过大的风险。但是该授权方式也存在漏洞,就是该子账号能够查看所有Bucket的监控信息。

那么如何授权子账号在控制台上查看指定Bucket的监控信息(包括概览、基础数据、热点统计、API统计、文件访问统计)?
由于当前云监控(CloudMonitor)不支持细颗粒度资源描述,只支持*通配。因此我们要针对RAM提供的默认“只读访问云监控的授权”进行改造。想起RAM policy配置操作如下:

二、RAM Policy配置操作

2.1前提准备

  • 创建1个子账号;
  • 创建对应的Bucket;

2.2通过RAM policy授权步骤如下:

  • 创建1个查看Bucket概要信息的RAM Policy:授权子账号能够查看Bucket的概要信息;
  • 创建1个云监控的RAM Policy:使之能够查看某个指定的Bucket监控信息;

2.3创建查看Bucket 的RAM Policy:

查看Bucket的概要信息以及监控信息需要获取“GetBucketInfo”的授权。此外登录控制台访问额外还需要'GetBucketACL'的授权。因此,我们创建1个RAM Policy(例如,名称为 GetBucketInfoPolicy)。如下示例中Bucket名称是“test-beijing-2019”:

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "oss:GetBucketAcl",
        "oss:GetBucketinfo"
      ],
      "Resource": [
        "acs:oss:*:*:test-beijing-2019"
      ],
      "Condition": {}
    }
  ]
}

2.4创建云监控的RAM Policy:

在控制台查看Bucket的监控信息(包括概览、基础数据、热点统计、API统计、文件访问统计),需要云监控相关授权。但是由于云监控需要ListBuckets权限,该授权能够允许查看所有的Bucket信息。因此,我们针对RAM 提供的默认云监控Policy进行改造。相关RAM Policy 如下:

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "cms:Get*",
        "cms:List*",
        "cms:Query*",
        "cms:BatchQuery*"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "ecs:DescribeInstances",
        "rds:DescribeDBInstances",
        "slb:DescribeLoadBalancer*",
        "vpc:DescribeEipAddresses",
        "vpc:DescribeRouterInterfaces",
        "vpc:DescribeGlobalAccelerationInstances",
        "vpc:DescribeVpnGateways",
        "vpc:DescribeNatGateways",
        "vpc:DescribeBandwidthPackages",
        "vpc:DescribeCommonBandwidthPackages",   
        "log:ListProject",
        "cdn:DescribeUserDomains",
        "mns:ListQueue",
        "mns:ListTopic",
        "ess:DescribeScalingGroups",
        "ocs:DescribeInstances",
        "kvstore:DescribeInstances",
        "hbase:DescribeClusterList",
        "hitsdb:DescribeHiTSDBInstanceList",
        "dds:DescribeDBInstances",
        "petadata:DescribeInstances",
        "petadata:DescribeDatabases",
        "gpdb:DescribeDBInstances",
        "emr:ListClusters",
        "opensearch:ListApps",
        "elasticsearch:ListInstance"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}

如上RAM Policy,相比于RAM 提供的默认Policy: “AliyunCloudMonitorReadOnlyAccess”。我们取消了"oss:ListBuckets"授权操作。
PS:取消"oss:ListBuckets"的目的就是禁止云监控默认列出所有Bucket的监控信息。

2.5控制台查看效果

  1. 我们将如上2个RAM Policy授权给新建的子账号;
  2. 使用子账号登录控制台后,由于没有ListBuckets权限,所以控制台不会展示Bucket列表信息。因此需要我们在控制台的左上角“我的访问路径”中手工添加对应的Bucket名称。
  3. 添加Bucket名称后,刷新控制台后,我们就能够在控制台查看到指定Bucket的监控信息了;

image

图1:授权子账号登录控制台查看指定Bucket监控信息

【补充说明】:由于是修改了默认的云监控授权,因此子账号无法在“云监控”页面查看指定bucket的监控信息。
image

weixin_33881140
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
阿里云oss独立为用户授权一个Bucketk控制权限
hanzhuhuaa的博客
05-25 768
阿里云oss存储
如何给oss设置账号控制指定的oss资源文件
Amazing__M的博客
09-29 2849
OSS默认的AccessKey是您访问阿里云API的密钥,具有该账户完全的权限。如果通过其他方式(eg, Github)将AccessKey公开到外部渠道,那么将会对OSS上的资源文件产生威胁。可能会造成无法估计的损失。今天为大家带来如何给OSS分配一个accesskey(以下简称AK)来控制指定的文件资源。不多逼逼,先看其中的一种错误的授权方式: 以下的这种授权方式应该是让授权的AK使用OSS...
[阿里OSS存储对象之Bucket访问]
程序车轮
04-13 1万+
       Bucket是OSS上的命名空间,权限控制、日志记录等高级功能的管理实体;Bucket名称在整个OSS服务中具有全局唯一性,且不能修改;存储在OSS上的每个Object必须都包含在某个Bucket中。一个应用,例如图片分享网站,可以对应一个或多个Bucket一个用户最多可创建10个Bucket,但每个Bucket中存放的Object的数量和大小总和没有限制,用户不需要考虑数据的可扩...
阿里云Oss用户管理Bucket操作
AnMo2017的博客
09-27 2817
使用Oss存储 最近在使用Oss存储的时候发现本身的AccessKey权限太大,如果泄露AccessKey的话,可能会对已经存在Oss的文件有隐患,然后就用用户AccessKey对Bucket的操作。 第一步: 点击头像,选择accesskeys 第二步: 点击“开始使用用户AccessKey” 第三步: 新建用户,完成以后会自动有用户的AccessKey ID和Access Key...
最佳实践】如何通过OSS的Bucket Policy设置访问授权
weixin_34357436的博客
07-03 4817
如何让1个外部用户访问某个OSS资源?  某大型企业A使用OSS作为后端资源存储平台,当该企业期望将内部数据分享给下游合作伙伴B,那么基于阿里云OSS平台,有多少种方式呢? 方式1:基于Bucket 以及Object ACL:  Bucket 所有者将需要分享的文件ACL设置为“Public”模式,那么外部用户可以直接访问该文件的URL,而不需要通过身份...
数据湖+运维监控技术教程
最新发布
07-11
### 数据湖+运维监控技术教程 #### 一、数据湖概述 **1.1 数据湖的概念** 数据湖是一种能够存储海量原始数据的架构体系,它支持存储多种类型的原始数据,包括但不限于结构化数据、半结构化数据以及非结构化数据...
index-bucket:一个简单的索引数据库库与数据模型紧密结合
04-30
"索引桶"(index-bucket)是一个专门为JavaScript设计的轻量级数据库库,它将数据模型与索引紧密集成,为高效的数据操作提供解决方案。这个库特别适合于那些需要快速查询和更新小型到中型数据集的应用场景。 ### ...
小米数据存储服务在云端的最佳实践.pdf
10-10
3. **S3 Inventory**:这是一个管理工具,用于定期生成存储在bucket中的对象列表,帮助小米了解数据分布和更新存储策略。通过S3 Inventory,小米可以更有效地监控和审计数据,进行数据分析或合规性检查。 4. **S3 ...
阿里云配置 RAM账号 关于 OSS的 单个bucket权限
11-07
打开访问控制控制台,创建一个新的 RAM 用户。如果已经有现有的 RAM 用户,可以跳过这一步骤。 Step 2: 创建权限策略 新建权限策略,点击脚本编辑,复制以下策略: ```json { "Version": "1", "Statement":...
issue-migrator:将GitHub问题数据迁移到可导入的BitBucket问题数据
05-19
按照和指定的格式,将GitHub问题数据迁移为可导入的BitBucket问题数据。 用法 usage: migrateissuedata.py [-h] -o ORG -r REPO [-u USERNAME] [-p PASSWORD] Migrate GitHub issue data to import-ready BitBucket...
mysql 如何添加账号_phpmyadmin如何分配账号
weixin_28761725的博客
02-18 199
phpmyadmin如何分配账号,用户,权限,文本,主机,选项phpmyadmin如何分配账号易采站长站,站长之家为您整理了phpmyadmin如何分配账号的相关内容。phpmyadmin如何分配账号?phpmyadmin添加普通用户管理账号phpmyadmin是一款mysql图形管理的界面了,我们在此来为各位介绍在phpmyadmin增加mysql用户了,希望本文章可以给各位朋友带来帮助...
阿里云配置使用自定义 OSS Bucket 时的 RAM 访问权限控制
qq_34874784的博客
07-30 2198
当用户需要使用自定义 OSS bucket 时,需要为账号添加 RAM 角色,并为该 RAM 角色授予对 OSS bucket 操作的权限,然后容器镜像服务才能正常访问该 OSS bucket。 步骤一:创建 RAM 角色 容器镜像服务访问自定义 OSS bucket 时,需要为阿里云账号创建的角色名为 AliyunContainerRegistryCustomizedOSSBucketRole。 云账号登录RAM控制台。 在左侧导航栏,单击RAM角色管理。 单击创建RAM角色。 选择可信实体类
友盟账号授权账号管理
博客简介
10-09 3565
友盟单个账号下面应用太多,管理不方便时,可以把应用授权给其它账号进行管理。 授权账号管理入口藏得比较深,可以直接访问下面的链接进行授权管理: https://mobile.umeng.com/platform/users/authorised_users/author_create 查看授权给我的应用: ...
还在写RAM policy授权脚本?试试通过Bucket Policy一键配置细颗粒度访问权限 ...
weixin_33910460的博客
01-22 563
一、阿里云提供完善且全面的权限管控体系 阿里云提供业内最为完善的权限管控体系,涵盖了“基于资源的权限管理”以及“基于用户的权限管理”层面。并且阿里云“访问控制”采用基于ABAC(Attribute Based Access Control)而不是简单的RBAC(Role Based Access Control),用户可以访问者的当前环境属性(例...
阿里云对象存储OSS使用记录: 如何把oss中Bucket的文件URL连接设置成永久有效
热门推荐
weixiao的博客
09-23 2万+
  一、OSS本身的权限控制 1.权限类型 Bucket目前有三种访问权限:public-read-write,public-read和private; 2.权限设定与获取 通过控制台设置Bucket级别和object级别的操作; 控制台: Bucket:控制台—>OSS-->选择具体的bucket—>基础设置 Object:控制台—>OSS-->...
oss 客户端查看私有bucket
weixin_34095889的博客
04-01 1064
2019独角兽企业重金招聘Python工程师标准>>> ...
oss账号_OSS授权每个Bucket单独权限
weixin_32865039的博客
01-17 969
安全如果多个Bucket 使用一个AccessKey,这样就暴漏了安全痛点,万一谁手欠来个一键乱搞,那就真的懵逼了。配置新建独立账号保存AccessKey备用授权Bucket新建权限策略内容【dev-zhaopai-admin是Bucket的名称】{"Version": "1","Statement": [{"Effect": "Allow","Action": ["oss:ListBucket...
最佳实践:通过RAM授权账号支持在OSS控制台查询资源的基础数据信息
weixin_34370347的博客
07-09 229
账号进入控制台可以方便地查询到名下所有资源Bucket)的总存储量、及流量、请求次数的相关数据, 但作为运维或技术管理人员一般只有账号权限,如何能够拥有主账号一样的数据查询权限呢? 小编特意为大家整理了一篇如何通过RAM授权监控数据只读权限,来支持OSS控制台显示Bucket基础数据的方法。 具体操作步骤如下: 1. 主账号登录RAM访问控...
oss账号_阿里云使用RAM账号授权管理oss对象存储
05-20
1. 创建RAM账号:在阿里云控制台中创建一个RAM账号,并为其分配OSS的操作权限。 2. 创建OSS Bucket:在阿里云控制台中创建一个OSS Bucket,并设置相应的访问权限。 3. 创建RAM用户组:在阿里云控制台中创建一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值