借助自定义角色——基于角色的访问控制 (RBAC) 功能,团队现在可以为个人分配与其操作和安全要求精确对齐的权限,从而强化最小权限原则。这使得权限管理更加精确,通过降低权限过高账户的风险,有助于增强整体基础设施的安全性。自定义角色让您可以完全控制谁可以在您的项目上做什么,从而提高云资源的整体安全性。
接下来,我们将详细介绍什么是自定义角色、它如何工作、主要功能、何时使用以及它如何帮助您的团队。
什么是自定义角色?
自定义角色是用户定义的权限集,允许组织根据其特定需求定制访问控制,超越预定义角色中可用的权限。换句话说,自定义角色让您可以创建自己的权限集,而不是仅仅依赖可能不适合您的默认预定义角色(如查看者、账单查看者等)。现在,用户可以定义更详细的自定义权限,以针对特定资源和需求。例如,用户可能只需要对 Droplet 的读取权限,但需要对 Kubernetes 的写入权限。
听听 DigitalOcean 的一位客户对使用自定义角色的评价。这位客户是一家收益管理公司(revenue management company)的联合创始人:
“自定义角色帮助我将我的团队引入 DigitalOcean 云平台,而无需授予所有访问权限。此功能帮助我管理公司内其他用户的访问权限,这是迈向更安全协作的一大进步,这一点至关重要。”
自定义角色的主要功能
自定义角色为拥有多个团队的现代数字原生企业提供三大主要功能:
- 定义特定权限
- 您可以从可用的 IAM 权限中选择与用户需要执行的特定任务相匹配的单个权限。
- 您可以避免授予特定角色不需要的权限,帮助您对环境保持更严格的控制。
- 控制对资源的访问
- 精细控制将用户可以执行的操作限制在非常具体的任务上,例如只读访问或管理用户角色。
- 当用户使用针对特定资源的特定权限定义自定义角色时,将实施精细控制。这些控制将应用于所有项目中使用的资源。
- 提高安全性和治理
- 管理员可以帮助确保用户只拥有他们需要的权限,从而最大限度地降低权限滥用或内部威胁的风险。
- 一家收益管理公司的联合创始人表示:“DigitalOcean 的自定义角色帮助我将我的团队引入平台,而无需授予所有访问权限。此功能帮助我管理公司内其他用户的访问权限,这是迈向更安全协作的一大进步,这一点至关重要。”
何时使用自定义角色与预定义角色
DigitalOcean 建议尽可能遵循最小权限原则,使用自定义角色。但时间和资源有限等限制可能会限制您在用户访问管理上花费的时间。这就是预定义角色发挥作用的地方!对于许多常见场景,预定义角色(如所有者、成员、修改者、账单、账单查看者和资源查看者)是分配访问权限的快速有效方式。如果不需要精细的访问控制,这些在云控制面板中方便提供的角色可以满足标准用例。
当预定义角色与您团队或在给定项目上工作的其他团队成员的具体职责不符时,自定义角色是最佳选择。例如,您可能需要授予用户对 Droplet 的只读访问权限,但需要对 Kubernetes 的写入权限,或者允许某人管理 App Platform,同时限制对 Droplet 的访问。由于这些功能不包含在预定义角色中,因此您需要自定义角色来定制这些权限。
自定义角色如何使您的团队受益
自定义角色为大大小小的组织提供了诸多好处,包括:
- 操作灵活性:借助自定义角色,您可以为兼职贡献者、承包商或专业团队成员定义角色,而无需赋予他们过高的权限。
- 更好的协作:涉及不同团队(工程、营销、运营)的项目在用户权限方面会迅速变得复杂。借助自定义角色,您可以根据每个团队成员的具体职责,明确界定谁可以访问什么,尤其是在快速发展的团队中。
- 提高安全性和合规性:自定义角色有助于为销毁资源或访问账单信息等敏感操作设置防护栏。
- 最小权限原则:作为身份和访问管理领域的一条经验法则,它有助于降低安全漏洞的几率,减少恶意软件传播,并提高整体系统稳定性和安全性。
中国区的 DigitalOcean 客户,如果在配置相关设置时,遇到问题,请联系我们
