最佳实践和典型案例

最佳实践

一、为云账户与所有成员(子账号)分别开启双因子安全登录服务,可选择微信密保或扫码登录二者中的一种,确保账号安全。

../_images/bestcase1.png

二、定期更换登录密码,密码最好包括大小写字母、数字、特殊字符,不包含常见英文单词。

三、遵循最小授权原则。在授权一个成员角色时,请授予刚好满足他工作所需的角色。如您公司的某运维人员工作职责只需要查看所有云主机的负载情况,那就只授予其一个『云主机只读』的角色。

../_images/bestcase2.png

四、开启API访问控制,只允许您公司的出口IP通过API管理云资源,而不是所有IP。

../_images/bestcase3.png

典型案例

小明是某著名科技公司的技术骨干,后决定和几个老朋友一起出来创业。公司成立伊始,小明经朋友的推荐在浪潮云服务注册了一个账户(xiaoming@sina.com),试用了InServer、eip、Indb等云产品,几经评估,最终选择了浪潮云服务作为其云服务提供商,并将之前试用的Inhost、eip、Indb正式续费一年,以此享受买10个月送2个月的优惠。

1、除了安全,还是安全

创业的艰辛自不必多谈,七八个人窝在一间几十平米的房子里,经过几个月的奋斗,新产品终于面世,外界反响还不错。考虑到帐号密码被泄露的可能性非常大,而一旦被泄露,对公司的前途影响简直不可想象。

小明在咨询了浪潮云服务的技术支持后,知道浪潮云服务提供微信动态密保和手机扫码登录两种双因子安全登录服务,其中微信密保支持使用微信绑定帐号,每次登录时除了要输入帐号密码,必须从微信获取动态验证码输入方可登录,不必安装或购买任何MFA设备。扫码登录更加便捷,只需要安装洋葱APP,每次登录时只需要使用洋葱APP扫码便可登录,完全免费。

几经考虑,小明选择了扫码登录的方案。手机随身携带,并在洋葱APP中开启了人脸识别,只有小明才可以启动洋葱APP,相对微信验证码,安全级别更加高而且算是正式告别了密码时代。

2、多人协作,其乐融融

在对产品做了多次优化和升级后,用户数量越来越多,公司也进入了快速发展阶段,研发团队也已经高大数十人,所有人都使用xiaoming@sina.com管理云资源既不方便,也不安全。

小明便启用了账号与权限管理服务,为每个有管理云资源需求的小伙伴都创建了一个帐号,并将这些帐号加入到xiaoming@sina.com账户的唯一项目”x计划”内,这样每位小伙伴都能用自己的账号登陆浪潮云服务的云控制台管理云资源,小明只要查看操作日志,就能知道哪位小伙伴对那些资源做了哪些操作。

后续小明又在项目管理员这个初始角色的基础下,创建了其他角色,并将其授予对应的子帐号。每个角色拥有特定的权限,比如web开发工程师这个角色只有InServer这个产品的查看及操作权限,但没有创建与删除权限。如果某个帐号在『x计划』中的角色是web开发工程师,那么这个帐号便只有InServer这个产品的查看与操作权限。

3、多业务管理,没什么大不了

在进行『x计划』的过程中,小明团队的几个小伙伴发现了一个新兴的市场机会,并将其命名为『y任务』。

为了确保业务安全,小明创建了一个新项目并命名为”y任务”。将负责『y任务』的小伙伴移入到”y任务”,由于这群不小伙伴不在负责x计划,因此也将他们移出”x计划”项目。

这样负责y任务的小伙伴便只能管理用于部署y任务的云资源,且y任务和x计划在不同的基础网络下,互不影响。

4、跨项目通信,很简单

y任务的发展超乎想象,小明觉得有两个产品做深度结合。但这就需要y任务和x计划的资源能够实现内部通信。

小明登录浪潮云服务控制台后,进入账号与权限管理下的项目管理,在x计划的联通项目处,将x计划与y任务联通。

联通之后,x计划与y任务的InServer、Indb、Inmem便可实现内网通信。

© copyright 2013, 浪潮云服务. created using sphinx 1.3.3.