三权分立最佳实践
介绍如何配置并使用三权分立
在实际的业务使用场景中,为了避免管理员拥有过度集中的权利带来的高风险,可以设置三权分立,将管理员的权限分给安全管理员和审计管理员。
三权分立后,系统管理员只对计算资源有管理权限,不再拥有创建用户、角色的权限以及-审计日志的权限;安全管理员对资源有-的权限,同时拥有创建用户、角色的相关权限;审计管理员默认只拥有-日志的权限。
权限说明
云联壹云平台初始化后将自动生成系统管理员、安全管理员和审计管理员的角色;并根据平台上的组织架构定义角色权限范围,生成以下角色。
| 角色 | 权限 | 权限范围 | 权限说明 |
|---|---|---|---|
| sys_opsadmin | sys_opsadmin | 系统 | 全局范围内的系统管理员,可以管理多个组织下的资源 |
| sys_secadmin | sys_secadmin | 系统 | 全局范围内的安全管理员,可以管理多个组织下的安全资源 |
| sys_adtadmin | sys_adtadmin | 系统 | 全局范围内的审计管理员,可以查看整个系统的审计日志 |
| domain_opsadmin | domain_opsadmin | 域 | 组织范围内的系统管理员,可以管理指定组织下的资源 |
| domain_secadmin | domain_secadmin | 域 | 组织范围内的安全管理员,可以管理指定组织下的安全资源 |
| domain_adtadmin | domain_adtadmin | 域 | 组织范围内的审计管理员,可以查看指定组织的审计日志 |
下表表示不同角色的用户对平台的管理权限。其中:
- 管理:表示支持对资源进行增删改查等相关操作;
- 只读:表示只可以查看资源列表及详情;
- “-” :表示不支持查看该类资源;
| 资源 | 系统管理员(sys_opsadmin) | 安全管理员(sys_secadmin) | 审计管理员(sys_adtadmin) | 普通用户 |
|---|---|---|---|---|
| 虚拟机 | 管理 | 管理 | - | 只读(VNC) |
| 反亲和组 | 管理 | 只读 | - | 只读 |
| 主机模板 | 管理 | 只读 | - | 只读 |
| 弹性伸缩组 | 管理 | 只读 | - | 只读 |
| 系统镜像 | 管理 | 管理 | - | 只读 |
| 主机镜像 | 管理 | 管理 | - | 只读 |
| 硬盘 | 管理 | 管理 | - | 只读 |
| 硬盘快照 | 管理 | 只读 | - | 只读 |
| 主机快照 | 管理 | 只读 | - | 只读 |
| 自动快照策略 | 管理 | 只读 | - | 只读 |
| 硬盘备份 | 管理 | 只读 | - | 只读 |
| 主机备份 | 管理 | 只读 | - | 只读 |
| 安全组 | 管理 | 管理 | - | 只读 |
| 区域 | 管理 | 只读 | - | 只读 |
| 可用区 | 管理 | 只读 | - | 只读 |
| VPC | 管理 | 只读 | - | 只读 |
| 二层网络 | 管理 | 只读 | - | 只读 |
| IP子网 | 管理 | 只读 | - | 只读 |
| 弹性公网IP | 管理 | 只读 | - | 只读 |
| 密钥 | 管理 | 只读 | - | 只读 |
| 套餐 | 管理 | 只读 | - | 只读 |
| 宿主机 | 管理 | 只读 | - | 只读 |
| 透传设备 | 管理 | 只读 | - | 只读 |
| 调度标签 | 管理 | 管理 | - | 只读 |
| 调度策略 | 管理 | 管理 | - | 只读 |
| 动态调度标签 | 管理 | 只读 | - | 只读 |
| 回收站 | 管理 | 管理 | - | 只读 |
| SSH代理节点 | 管理 | 只读 | - | 只读 |
| SSH代理服务 | 管理 | 只读 | - | 只读 |
| 块存储 | 管理 | 只读 | - | 只读 |
| 备份存储 | 管理 | 只读 | - | 只读 |
| 认证源 | - | 管理 | - | - |
| 域 | - | 管理 | - | - |
| 项目 | - | 管理 | - | - |
| 组 | - | 管理 | - | - |
| 用户 | - | 管理 | - | - |
| 角色 | - | 管理 | - | - |
| 权限 | - | 管理 | - | - |
| 操作日志 | - | - | 管理 | - |
| 日志管理 | - | - | 管理 | - |
| 标签 | - | 管理 | - | - |
| UI策略 | - | 管理 | - | - |
| 全局设置 | - | 管理 | - | - |
配置三权用户
平台内置角色后,需要将用户以对应角色加入项目中,拥有对应角色的权限。
新建系统管理员
- 在左侧导航栏,选择 “认证与安全/认证体系/用户” 菜单项,进入用户页面。
- 单击列表上方 “新建” 按钮,进入新建用户页面。
- 配置以下参数。
- 名称:设置用户的名称。
- 备注:设置用户的备注信息。
- 密码:设置用户的密码。
- 域:选择用户所属的域。
- 显示名:用户的显示名。
- 登录控制台:设置用户是否有登录云管平台的权限。
- 启用MFA:Multi-Factor Authentication,基于TOTP技术的多因素认证,用户需要通过两种的认证方式才能登录云联壹云平台。即除了使用用户名、密码外还需要使用MFA安全码验证登录。请确保全局配置中已启用了双因子认证,否则无法在用户处启用MFA。
- 单击 “新建” 按钮,新建用户并进入将用户加入项目(可选)页面。
- 若需要加入项目,则配置下面参数:
- 项目:选择用户需要加入的域和项目。
- 角色:设置用户加入项目时的角色,如sys_opsadmin或domain_opsadmin。
- 配置完成后,单击 “加入” 按钮,将用户加入项目。
新建安全管理员
- 在左侧导航栏,选择 “认证与安全/认证体系/用户” 菜单项,进入用户页面。
- 单击列表上方 “新建” 按钮,进入新建用户页面。
- 配置以下参数。
- 名称:设置用户的名称。
- 备注:设置用户的备注信息。
- 密码:设置用户的密码。
- 域:选择用户所属的域。
- 显示名:用户的显示名。
- 登录控制台:设置用户是否有登录云管平台的权限。
- 启用MFA:Multi-Factor Authentication,基于TOTP技术的多因素认证,用户需要通过两种的认证方式才能登录云联壹云平台。即除了使用用户名、密码外还需要使用MFA安全码验证登录。请确保全局配置中已启用了双因子认证,否则无法在用户处启用MFA。
- 单击 “新建” 按钮,新建用户并进入将用户加入项目(可选)页面。
- 若需要加入项目,则配置下面参数:
- 项目:选择用户需要加入的域和项目。
- 角色:设置用户加入项目时的角色,如sys_secadmin或domain_secadmin。
- 配置完成后,单击 “加入” 按钮,将用户加入项目。
新建审计管理员
- 在左侧导航栏,选择 “认证与安全/认证体系/用户” 菜单项,进入用户页面。
- 单击列表上方 “新建” 按钮,进入新建用户页面。
- 配置以下参数。
- 名称:设置用户的名称。
- 备注:设置用户的备注信息。
- 密码:设置用户的密码。
- 域:选择用户所属的域。
- 显示名:用户的显示名。
- 登录控制台:设置用户是否有登录云管平台的权限。
- 启用MFA:Multi-Factor Authentication,基于TOTP技术的多因素认证,用户需要通过两种的认证方式才能登录云联壹云平台。即除了使用用户名、密码外还需要使用MFA安全码验证登录。请确保全局配置中已启用了双因子认证,否则无法在用户处启用MFA。
- 单击 “新建” 按钮,新建用户并进入将用户加入项目(可选)页面。
- 若需要加入项目,则配置下面参数:
- 项目:选择用户需要加入的域和项目。
- 角色:设置用户加入项目时的角色,如sys_adtadmin或domain_adtadmin。
- 配置完成后,单击 “加入” 按钮,将用户加入项目。