身份与访问控制用于确保只有满足特定权限授权条件的管理员用户和终端用户,才能访问或操作您指定的阿里云资源,避免您的云资源被未经授权的用户恶意访问,以满足合规审计的需求。本文介绍无影云电脑企业版在身份与访问管理方面的安全能力。
01 账号管理
1.1 使用RAM用户作为管理员账号
阿里云账号作为主账号,对该账号下的云资源具备最高的访问权限,因此也蕴含潜在的风险。按照最小化授权的原则,建议您使用RAM用户作为管理员账号来登录无影云电脑企业版控制台,并根据需要为RAM用户授予适当的权限。
|
1.2 终端用户账号生命周期
无影云电脑企业版的管理员可以将云资源(即云电脑)分配给终端用户账号使用。为了确保云资源在终端用户账号生命周期各阶段的安全性,请根据需要及时采取以下行动:
及时收回分配给终端用户账号的云电脑
按需禁用终端用户账号
及时删除不再需要使用的终端用户账号
|
1.3 终端用户账号密码有效期
终端用户便捷账号的密码有效期默认为永久有效。您可以设置30~365天的有效期。当密码到期后,终端用户必须先修改密码才能继续登录。
|
02 权限管理
2.1 基于访问控制RAM的管理员分级分权
使用无影云电脑企业版时,您可以借助访问控制 RAM(Resource Access Management)实现权限管理,实现以不同RAM用户对云电脑的不同方面进行管控。
|
2.2 基于无影权限体系的管理员分级分权
以阿里云主账号登录无影云电脑控制台时,该账号具备所有的权限,可以使用控制台上提供的所有管控功能,也可以操作所有的资源。对于组织结构庞大、部门多、员工数量多、云电脑数量多的客户而言,如果只有一名管理员来承担所有的管控工作,一方面可能会有工作量过大的问题,另一方面可能也会不符合企业内部的权限隔离要求。此时,就需要有一名或多名子管理员来分担,但这种场景会有以下需求:
实施功能权限隔离:例如,子管理员A仅可创建和管理用户,但不可创建和管理云电脑;子管理员B仅可查看所有数据,不可执行其他操作。
实施数据权限隔离:例如,子管理员C仅可查看和管理研发部门的云电脑,子管理员D仅可查看和管理设计部门的云电脑。
无影云电脑企业版提供的权限管理模块可以满足上述需求。
|
在左侧导航栏,选择。
在管理员权限页面单击创建管理员,然后输入以下配置信息,并单击创建。
关联RAM:子管理员需要使用RAM用户来登录控制台完成管理工作,因此需要关联一个RAM用户。您可以执行以下操作之一:
选择一个当前阿里云主账号下已有的RAM账号:选择存量RAM账号,并从下拉列表中选择一个。
新建一个RAM账号:选择新建RAM账号,并在弹出的访问控制快速授权页面上单击确认授权。
说明RAM用户的用户名和初始密码会通过您填写的邮箱或手机号发送给子管理员。
管理员昵称:输入子管理员的显示名称。
角色:从默认角色或者您创建的自定义角色中选择子管理员要扮演的角色。该角色决定子管理员具备哪些功能权限。
邮箱:输入子管理员的邮箱,用于接收RAM用户登录凭证等相关通知。
(可选)电话:输入子管理员的手机号码,用于接收RAM用户登录凭证等相关通知。
在管理员权限页面上找到上一步创建的子管理员,在其操作列单击授权管理。
在授权管理面板上,设置该子管理员的授权范围,并单击确定。您可以从资源类型和资源组维度添加授权,最终的授权范围为二者的并集。
资源类型:可选择云电脑或用户。
重要选择任意一种资源类型,即表示该子管理员将具备所选资源类型的全部资源管理权限,包括后续新增的该类型的资源。例如,如果选择云电脑,则该子管理员将具备当前阿里云账号下所有云电脑以及将来新购的所有云电脑的管理权限。
资源组:在可授权资源组区域选择要为该子管理员添加授权的资源组,并单击图标,以将该资源组移动至已授权资源组区域。
03 身份认证
3.1 多因素认证MFA
多因素认证MFA(Multi-Factor Authentication)是一种简单有效的安全实践,在用户名和密码之外再增加一层安全保护,用于管理员登录控制台或终端用户登录终端时的二次身份验证(不影响通过AccessKey的API调用),以此保护您的账号和云资源。
|
为管理员(阿里云账号)开启MFA
使用阿里云账号(主账号)登录阿里云控制台。
将鼠标悬停在右上角头像的位置,单击安全设置。
在左侧导航栏,单击账号安全。
在虚拟MFA区域,单击绑定。
在验证身份页面,选择合适的方式并根据页面提示进行身份验证。
在安装应用页面,单击下一步。
在移动设备端,添加虚拟MFA设备。
说明如下以Android系统上的阿里云应用为例。
登录阿里云应用。
在页面右上角,先点击+图标,然后点击
图标。单击+图标,选择合适的方式添加虚拟MFA设备。
扫码添加(推荐):单击扫码添加,扫描阿里云控制台绑定MFA页面出现的二维码,然后单击确定。
手动添加:在移动设备端,单击手动添加,输入账号和密钥,然后单击确定。
说明在阿里云控制台绑定MFA页面,鼠标悬停在扫描失败处查看账号和密钥。
在阿里云控制台,输入移动设备端显示的动态验证码,单击下一步,完成绑定。
说明移动设备端的阿里云应用会显示您当前账号的动态验证码,每30秒更新一次。
为管理员(RAM用户)开启MFA
阿里云账号(主账号)或RAM管理员登录RAM控制台。
在左侧导航栏,选择。
在用户登录名称/显示名称列,单击目标RAM用户名称。
在认证管理页签下的安全信息管理区域,复制绑定VMFA链接,然后在浏览器中打开该链接。
在移动端,添加虚拟MFA设备。
说明如下以Android系统上的阿里云App为例。
登录阿里云App。
在页面右上角,点击
图标。
点击+图标,选择合适的方式添加虚拟MFA设备。
扫码添加(推荐):在移动端,先点击扫码添加,然后扫描阿里云控制台绑定虚拟MFA页面上的二维码,最后点击确定。
手动添加:在移动端,先点击手动添加,然后填写阿里云控制台绑定虚拟MFA页面上的账号和密钥,最后点击确定。
在阿里云控制台,输入移动端显示的动态验证码,然后单击确定。
为终端用户账号开启MFA(组织ID维度)
登录无影云电脑企业版控制台。
在左侧导航栏,选择。
在登录页面的安全配置页签上,将多因素设备认证设为开启。
在认证方式对话框中选择一种方式。
重要若选择短信验证码,则只有已配置手机号的用户账号才能完成验证并登录;若选择邮箱验证码,则只有已配置邮箱地址的用户账号才能完成验证并登录。
设置完毕后如需更换,请在认证方式右侧单击修改,并重新选择。
为终端用户账号开启MFA(办公网络维度)
登录无影云电脑企业版控制台。
在左侧导航栏,选择。
在顶部菜单栏左上角处选择目标地域。
在办公网络页面,单击目标办公网络的办公网络ID。
在页面底部的其他信息区域打开多因素设备认证开关,并在确认对话框中单击确定。
说明请确保已经关闭客户端登录校验和SSO设置。
3.2 限定登录终端
除了人员有身份之外,终端也有身份,以SN或UUID来标识,它们是终端设备的可信身份标识,具备不可篡改、不可伪造、全球唯一的安全属性。管理员可以开启可信设备认证,并为终端用户添加限定登录终端,添加后,终端用户只能登录添加的终端,不能登录其他终端。
|
3.3 客户端登录校验
该配置默认关闭。开启后,终端用户从新的设备登录无影终端时需完成短信或邮箱验证码校验,校验通过后方可成功登录。
|
3.4 生物特征识别
当硬件终端进入锁屏状态时,除了可以用解锁密码解锁之外,对于部分已集成指纹识别模组的无影硬件终端(例如无影魔方Pro AS06、无影方舟Pro NS01),也可以使用指纹ID来解锁硬件终端,进一步提高安全性。
|
04 访问控制
4.1 终端访问管控
云电脑策略支持通过登录方式管控和云电脑访问IP白名单的策略项进行终端访问管控。建议您合理配置云电脑策略,确保终端用户只能登录您指定类型的无影终端,且只能从您指定的IP地址网段连接云电脑。
登录方式管控规则用于限制终端用户可以使用哪种无影终端连接云电脑。
示例场景:为了保障企业信息安全,管理员将规则设置为仅允许使用Windows客户端、macOS客户端和无影自研硬件终端连接云电脑。
云电脑访问IP白名单规则用于限制哪些IP地址段的无影终端可以连接云电脑。
示例场景:为了保障企业信息安全,管理员将办公场所的无影终端IP地址网段添加至白名单,因此员工只能通过办公场所的无影终端连接云电脑,在其他场所无法连接。
|
4.2 超时自动退出登录
该功能默认关闭。开启后,若终端用户登录了您指定类型的无影终端,但没有连接任何云资源(包括云电脑、云应用、云手机、企业网盘等),则当达到您在此处设置的超时时长,无影终端将自动退出登录,从而有效保护云资源的数据安全。
|