对象存储 OSS
阿里云对象存储 OSS(Object Storage Service)是一款海量、安全、低成本、高可靠的云备份服务,提供最高可达 99.995 % 的服务可用性。多种存储类型供选择,全面优化存储成本。
访问控制ACL权限:读写权限 ACL 用于定义用户或用户组被授予的访问权限。收到某个资源的请求后,OSS 会检查相应的 ACL 以验证请求者是否拥有所需的访问权限。Bucket Policy:Bucket Policy 是 OSS 推出的针对 Bucket 的授权策略,您可以通过 Bucket Policy 授权其他用户访问您指定的 OSS 资源。RAM Policy:RAM Policy 是...
来自:
云产品
专有网络 VPC
阿里云专有网络VPC(Virtual Private Cloud),是由虚拟网络设备(如虚拟交换机/虚拟路由器)组成的虚拟专有网络服务,帮助您基于阿里云构建一个逻辑隔离的私有云。您可以通过专线/VPN等方式与传统数据中心连接,组成一个按需定制的免费虚拟专有网络环境,实现应用的平滑迁移上云。
使用安全组功能,可以将专有网络中的产品实例划分成不同的安全域,并为每个安全域定义不同的访问控制规则.RAM访问控制.可通过 RAM 实现对网络的权限管理.灵活的访问控制规则,满足政务、金融等行业用户的安全隔离规范需求.按需绑定弹性IP到相同地域下VPC类型的云产品实例上,可实现与公网互访.公网出入口管理.使用NAT网关...
来自:
云产品
基于函数计算FC实现企业级权限精准控制Kafka跨实例消息同步
应用场景 在大数据场景,企业的Kafka实例可能存在多种情况,比如使用阿里云Kafka服务,可能是自建开源Kafka,或者是其他云上的云Kafka。不同的业务使用不同类型的Kafka实例,在这个前提下Kafka实例之间可能会需要消息同步的情况: 同帐号容灾场景:比如Kafka实例都是阿里云Kafka,但是Kafka实例会有主备之分,需要将主Kafka实例的消息实时同步到备Kafka。 跨帐号或异地容灾:这类场景比如主Kafka是阿里云Kafka,备Kafka是IDC开源自建Kafka,或者是其他云上的Kafka。 不同业务之间消息同步:因为现在的业务通常不会是信息孤岛,都需要消息互通,所以可能是A业务的Kafka实例消息需要同步到B业务的Kafka实例,并且这两个Kafka实例归属不同的RAM角色,有自己独自的权限控制。 解决问题 解决使用开源组件做消息同步的高成本问题。 解决使用开源组件做消息同步的并发性能、稳定性问题。 解决使用开源组件做消息同步的可靠性问题(重试机制,容错机制,死信队列等)。 大幅提升构建消息同步架构的效率,降低构建复杂度问题。
创建kafka-ram-b权限策略 步骤1 根据3.2的操作步骤,再次创建kafka-ram-b权限策略,策略脚本与kafka-ram-a一致,与kafka-ram-a权限策略不同的是在指定资源时,资源ID是业务系统Kafka云上备份 实例的ID。(ID同样可以在CADT中找到)文档版本:20240330 31基于函数计算FC实现企业级权限精准控制Kafka跨实例消息同步 场景验证 3....
基于DDH+MyBase降本合规
出版、金融、保险等传统行业一方面希望能借助云计算以更好地适应业务发展需求(政策上云),另一方面出于对降低单实例部署成本(CPU 超分超配)以及满足更严格合规和监管要求的考虑,希望能对云上资源有更多的自主控制权(监管合规)。从业务系统架构云上部署的角度,基于专有宿主机DDH 和云数据库专属集群MyBase 的解决方案,可以很好地满足这两方面的需求。 解决问题: 1. 国家政策上云趋势和需求 2. 更严格的云上安全合规要求 3. 对云上资源有更灵活的管控权 4. 有效降低企业上云的整体拥有成本(TCO) 方案优势: 1、单租户隔离 DDH和 MyBase都可以提供宿主机级别物理隔离,可以独占资源,可以开放更多接口 , 同时杜绝 多租户间 干扰 。 2、安全合规:在完备的隔离基础之上,开放更多数据库权限和 OS权限 。 3、资源灵活部署和调度 创建 ECS实例、从共享宿主机迁移 ECS实例至专有宿主机或在专有宿主机之间迁移 ECS实例时,若您不指定专有宿主机,系统将自动帮您选择专有宿主机部署实例。 针对于初始部署数据库实例时,提 供紧凑型和均衡型两种方式将数据库实例分不到不同的主机上。 4、超配 降本 DDH和 MyBase组合的方式可以实现资源自定义 CPU内存 配比以及CPU超分 ,可以降低单 ECS实例以及云数据库实例的部署成本。
RAM(Resource Access Management):是阿里云为客户提供的用户身份管理与 访问控制服务。使用 RAM,您可以创建、管理用户账号(比如员工、系统或应用 程序),并可以控制这些用户账号对您名下资源具有的操作权限。当您的企业存在 多用户协同操作资源时,RAM可以按需为用户分配最小权限,从而让您避免与其 他用户共享云账号...
企业多账号环境下的安全资源统一管控最佳实践
某地产公司在上海、杭州设有两个分公司,公司使用阿里云支撑各分公司的 IT 业务系统,这些系统由各分公司独立负责,包括独立负责云上业务账号的创建、员工权限的分配管理、资源的购买、IT 风险的管控、安全管理等。由于公司业务发展较快,各分公司创建了非常多的业务账号来承载新的业务,每个业务账号独立管理,带来了非常大的管理问题。人员权限管理混乱,离职员工在云上的身份梳理不清难以及时清理造成极大的安全隐患;账号权限过大、使用弱密码可能造成账号被盗数据泄露;公司内部缺乏统一的合规基线和安全管控,各业务系统各自为政,数据泄露、业务中断、安全入侵风险升级。 为了提升云上的管控效率和安全性,总公司成立新的信息安全中心和阿里云对接。信息安全中心的定位是统一采购安全产品,集中保障云上资源的安全性。
步骤15 访问控制策略(ACL)即 Access Control List,可以通过一系列规则对报文进行过滤,是 云防火墙一种重要的安全隔离手段。云防火墙的访问控制策略根据生效位置的不同分 为三层,分别是:互联网边界防火墙的访问控制策略、VPC 间防火墙访问控制策略和 主机间防火墙访问控制策略。文档版本:20220224 39 企业多账号环境下的...
EMR集群安全认证和授权管理
场景描述 阿里云EMR服务Kafka和Hadoop安全集群使 用Kerberos进行用户安全认证,通过Apache Ranger服务进行访问授权管理。本最佳实践中以 Apache Web服务器日志为例,演示基于Kafka 和Hadoop的生态组件构建日志大数据仓库,并 介绍在整个数据流程中,如何通过Kerberos和 Ranger进行认证和授权的相关配置。 解决问题 1.创建基于Kerberos的EMR Kafka和 Hadoop集群。 2.EMR服务的Kafka和Hadoop集群中 Kerberos相关配置和使用方法。 3.Ranger中添加Kafka、HDFS、Hive和 Hbase服务和访问策略。 4.Flume中和Kafka、HDFS相关的安全配 置。 产品列表:E-MapReduce、专有网络VPC、云服务器ECS、云数据库RDS版
由于该 用户已经通过了验证(即,该用户已经拥有票证授予票证 TGT),因此当其尝试访 问文件时,NFS 客户机系统将自动透明地从 KDC获取 NFS服务的票证(TGS)。例如,假定用户 joe在服务器 boston上使用 rlogin。由于该用户已经通过了验证(即,该用户已经拥有票证授予票证 TGT),所以在运行 rlogin命令时,该用户将 自动...
CDH迁移升级CDP最佳实践
当前 CDH 免费版停止下载,终止服务,针对需要企业版服务能力并且CDH 升级过程对业务影响较小的客户,通过安装新的 CDP 集群,将现有数据拷贝至新集群,然后将新集群切换为生产集群,升级过程没有数据丢失风险,停机时间较短,适合大部分互联网客户升级使用。
Ranger有更好的 UI,更灵活的访问 控制模型,该模型包括基于属性的访问控制以及与 Atlas集成。为了简化迁移过程,Ranger 2.0版本还进行了功能扩展,例如:支持基于角色的权限 管理、提供 HDFS ACL Sync功能,理论上可以实现 1 对 1权限映射。3.1.2.迁移方法 Cloudera提供两类 Sentry迁移工具:Replication Manager:在定制 ...
企业级云上网络解决方案
企业级云上网络解决方案充分利用阿里云的相关产品能力,构建一张安全灵活可靠的云上网络平台。在满足业务可靠性、可扩展性等要求的同时,也能够满足企业在运维、安全和财务管理等方面的要求,支持企业业务系统向云计算平台进行迁移部署。
本解决方案可以让您快速构建一个企业级混合云网络架构,将企业的所有场景纳入到一张大的企业网内,IT 运维可以方便的对整网进行管控,包括路由控制,ACL 规则,权限管理等都通过统一的控制台进行操作,大大优化企业网的可靠性,安全性和可管理性.云上云下互联互通.企业内部系统的互联互通通常需要额外的设备来加强安全性,...
来自:
解决方案
远程办公-AD管控下的弹性云桌面
在弹性云桌面中部署企业基础办公环境时,IT人员通常会面临以下问题,本文希望通过场景实践的方式,示范如何结合使用不同阿里云产品,来解决这些问题:用户如何管理?企业已有AD用户如何上云?云上共享文件服务权限怎么管?数据安全问题有保障吗?该如何设置?云桌面能使用本地机房或IDC中的服务吗? 本文使用的应用场景: 场景1:客户A在云上新建Windows ActiveDirectory(以下简称AD);弹性云桌面,和NAS文件存储服务部署在AD所在的VPC内。场景2:客户B在阿里云上已有AD和NAS。弹性云桌面创建在与AD不同的VPC中。AD与云桌面的VPC通过CEN连接。场景3:客户C在云下IDC有自建AD和文件服务。弹性云桌面创建在阿里云上。云下机房与阿里云弹性云桌面所在VPC通过IPsec VPN连接。 方案优势: 易部署:弹性云桌面支持快速便捷的桌面环境创建、部署、统一管控与运维。 CEN和VPN网关服务开通即用,配置实时生效,快速完成部署。 低成本:弹性云桌面无需前期传统硬件投资,帮您快速构建安全、高性能、低成本的桌面办公体系。可广泛应用于具有高数据安全管控、高性能计算等要求的金融、设计、视频、教育等领域。VPN网关基于Internet建立加密通道,比建立专线更便宜,快速实现混合云。 安全性:VPN网关使用IKE(秘钥交换协议)和IPSec对传输数据或进行加密,保证数据安全可靠。云桌面自带的安全策略保证数据不落地。 集中管控:通过Windows AD对云桌面用户和共享文件服务进行统一权限管控。可实现AD用户自动同步上云,和文件级别的权限管控。
如果不是通过本地磁盘路径 C:\myshare访问 文件系统,而是通过普通网络路径\ as-mount-point.nas.aliyuncs.com\myshare访 问,在设置 ACL时,会遇到因 RPC服务器不可用而无法确定 NAS挂载点是否已加 入域的情况。如下图所示。步骤1 打开 Windows的文件资源管理器(File Explorer),单击 C:/盘符→myshare。文档版本:...
混合云存储构建VMware虚拟化平台
场景描述 本文以混合云存储阵列SA2600系统为例,介绍如 何在混合云存储环境下部署VMware虚拟化平台, 以及混合云环境下虚拟机的部署、扩容、云备份等功 能演示。 解决问题 1.如何使用混合云存储部署VMware虚拟化平台。 2.存储阵列在混合云环境下的使用,比如虚拟机部 署、扩容、云备份等。 产品列表 1.混合云存储阵列 2.对象存储OSS
访问控制RAM:RAM使您能够安全地集中管理对阿里云服务和资源的访问。您 可以使用RAM创建和管理用户和组,并使用各种权限来允许或拒绝他们对云资 源的访问。更多信息,请参见https://www.aliyun.com/product/ram。 对象存储OSS:OSS是海量、安全、低成本、高可靠的云存储服务,提供 99.9999999999%的数据可靠性。使用...
云消息队列 ApsaraMQ
云消息队列 ApsaraMQ 是阿里云自主研发的消息队列服务系列产品的总称,旨在为开发者和企业的不同业务场景提供强大、可靠、低成本、高弹性且易于管理的消息服务。云消息队列 ApsaraMQ 全系列产品提供 Serverless 化的消息服务,按实际使用量付费,自适应弹性,跨可用区容灾,帮助客户降低使用和维护成本,专注业务创新。
ACL 2.0 升级访问安全机制,用户认证和权限校验分离,可灵活配置和扩展,引入新策略兼顾安全与性能.更稳定更安全.ApsaraMQ Copilot,让消息服务走进智能化免运维的新时代,为企业提供消息集成链路健康管家。提供了全链路健康度智能巡检与诊断,量化分析和灵活配置,一键提交根因分析等功能.智能化免运维.技术沙龙直播回放.
来自:
云产品
官网最佳实践频道浏览
介绍如何使用RAM子用户登录阿里云官网全文浏览最佳实践频道内容。
操作步骤 使用云账号登录阿里云官网(www.aliyun.com )访问 访问控制(RAM)控制台 官网首页导航进入控制台 文档版本:20200630 III 官网最佳实践频道浏览最佳实践 产品与服务 搜索 访问控制 进入访问控制控制台 人员管理>用户页面,单击新建用户。在新建用户页面,完成以下配置,并单击确定。配置项 说明 文档版本:...
ACK容器平台集群安全控制
场景描述 本方案实践主要是通过一些实践示例来介绍 用户对于在阿里云上使用Kubernetes集群服 务的容器平台安全管控的实践验证与使用建 议。 方案优势 容器集群部署快捷 授权与安全策略配置方便 丰富的安全控制实践介绍 解决问题 容器集群API Server的安全访问控 制 容器服务多租户场景下的授权管理 容器中的敏感信息数据的存储 容器服务集群安全策略配置管理 产品列表 容器服务Kubernetes版 负载均衡SLB 专有网络VPC 访问控制RAM
方案优势 容器集群部署快捷 授权与安全策略配置方便 丰富的安全控制实践介绍 解决问题 产品列表 容器集群 API Server的安全访问控制 容器服务 Kubernetes版 容器服务多租户场景下的授权管理 负载均衡 SLB 容器中的敏感信息数据的存储 专有网络 VPC 容器服务集群安全策略配置管理 访问控制 RAM 最佳实践频道 阿里云最佳实践...
影视数据分发汇集与传输加速
场景描述 使用阿里云对象存储服务OSS及OSSBrowser 工具,实现影视数据多用户多地域分发、汇集, 以及传输加速的最佳实践。 解决问题 1.跨地域、多角色、分权限文件上传、下载。 2.基于OSS及其客户端实现Serverless文件 分发服务(可替换传统FTP服务)。 3.OSS文件传输全球加速。 产品列表 lOSS lRAM
产品列表 对象存储 OSS 访问控制 RAM 阿里云最佳实践技术分享群 最佳实践频道 如二维码过期,请搜索群号:31852400 错误!未知的文档属性名称 错误!未知的文档属性名称/文档版本信息 阿里云 企业上云实践 影视数据分发汇集与传输加速 文档版本:20220507 文档版本:错误!未知的文档属性名称 II 影视数据分发汇集与传输加速 ...
DDH集群运维管理
场景描述 当前许多企业的IDC业务场景,资源管理 等使用习惯与公共云不同,使用DDH集群 管理,继承IDC虚拟化使用习惯,比如自 定义ECS规格。同时针对CPU负载较低 的场景,通过CPU超分,可以有效提高资 源利用率,节省整体成本。并且可以通过账 号授权业务团队,结合云监控资源使用率, 方便业务使用的同时又能有效遏制资源浪 费。 方案优势 1.使用专有宿主机集群构建云上环境,通 过超分提高资源利用率,降低企业成 本。 2.通过访问控制授权,云监控资源,完成 专有宿主机集群运维管理使用闭环。 产品列表 访问控制RAM 专有网络VPC 云服务器ECS 云监控CloudMonitor
产品列表 方案优势 访问控制RAM 1.使用专有宿主机集群构建云上环境,通 专有网络VPC 过超分提高资源利用率,降低企业成 云服务器ECS 本。 云监控CloudMonitor 2.通过访问控制授权,云监控资源,完成 专有宿主机集群运维管理使用闭环。云服务器ECS(产品名称)文档模板(手册名称)/文档版本信息 阿里云 DDH集群...
- 产品推荐
- 这些文档可能帮助您