本发明涉及云计算
技术领域:
:,特别是指一种适用于多云管理的用户同步及权限控制方法。
背景技术:
:随着云计算的快速发展,国内云平台厂家越来越多,客户通常会选择多个云平台来运行自己的应用。一方面是由于不同云平台的服务有各自的特点,能满足不同需求的应用运行;另一方面客户希望通过不同平台对应用进行灾备。多云管理已经逐渐成为云计算发展的趋势,但目前绝大多数的多云管理平台还在起步阶段;资源管理功能比较少,其用户管理基本上是采用单用户的模式;即通过一个云平台一个管理员用户的accesskey和secretkey或者用户名密码访问云平台api。然后在多云管理平台有自己独立的用户管理模块统一用户管理和权限管理。这种模式是比较简单地实现了多云管理,但是无法满足任何场景下的云资源管理需求;假如用户没有同步到云平台会导致所有用户需要直接使用云平台管理时都使用具有最高权限的账户访问,系统安全性和资源隔离性都没有办法满足。技术实现要素:本发明解决的技术问题在于提供一种适用于多云管理的用户同步及权限控制方法;解决传统多云管理中采用单用户模式接管云平台导致的多云管理和单云管理用户及权限不一致问题;确保用户安全访问云平台和资源隔离。本发明解决上述技术问题的技术方案是:所述的方法包括如下步骤:步骤1:多云管理平台定义用户管理组织结构,并确定组织与云平台租户的映射关系;步骤2:多云管理平台创建组织中的用户,并同步在云平台对应租户中创建用户;步骤3:多云管理平台定义用户功能权限,定期向各云平台同步用户功能权限;所述的用户功能权限是指用户管理云资源的操作权限,包括弹性计算服务的创建云服务器、删除云服务器、开机、关机等操作权限;步骤4:多云管理平台对特定云服务资源管理范围进行细粒度控制,并同步到云平台;所述的对特定云服务资源管理范围进行细粒度控制是指用户在拥有资源的功能管理权限基础上,对用户操作的资源范围、资源使用量等进行进一步的控制。所述的多云管理平台是指统一管理多个公有云或私有云的云管理平台,云平台是指云厂家提供云服务的平台,包括阿里云、华为云。所述的用户管理组织结构是指一个单位或企业中包含了哪些部门、部门的上下级关系以及部门包含的用户。所述的云平台租户在公有云领域通常是多租户模式,一个租户相当于一个云账号,即注册用户;而私有云领域通常是单租户模式,一个使用私有云的企业就是一个租户;租户下可以创建多用户进行资源管理的。所述的对用户操作的资源范围、资源使用量等进行进一步的控制;包括:某用户只能管理自己创建的云服务器、用户只能往对象存储的某个bucket上传5g大小的文件。本发明方法简单易用,云平台管理者在多云管理平台上以统一的操作方式管理自己的组织结构和用户权限,无需关心各异构云平台用户管理的差异,同时又能确保用户直接使用云平台进行管理时用户及权限的一致性,最大限度的满足用户管理云资源的安全性和隔离性要求。附图说明下面结合附图对本发明进一步说明:图1为本发明的流程图。具体实施方式为使本发明的目的、技术方案和优点更加清楚,下面将结合附图并以实际实施案例作进一步详细解说,本次实施案例以同步阿里云用户来说明,其他云平台只需要把租户及用户关系对应上,调用平台api即可实现相同效果。如图1所示,具体实施过程如下:1、多云管理平台定义用户管理组织结构,并确定组织与云平台租户的映射关系。(1)建立两个一级部门:部门a和部门b建立二级部门:a1、a2、b1,结构如下--部门a--部门a1--部门a2--部门b--部门b1(2)云平台创建两个租户:云账号a,云账号b(3)一二级部门间存在上下级管理关系,二级部门的资源实际是一级部门的子集,因此映射关系如下部门租户部门a、a1、a2云账号a部门b、b1云账号b2、多云管理平台创建组织中的用户,并同步在云平台对应租户中创建用户。(1)多云管理平台中分别在部门a和部门a1创建用户ua和用户ua1;(2)阿里云中提供ram服务对租户中的子用户进行统一管理,因此,同步在阿里云中创建子用户ua和用户ua1,调用创建用户接口使用云账号a的accesskey和secretkeyhttps://ram.aliyuncs.com/?action=createuser&username=uahttps://ram.aliyuncs.com/?action=createuser&username=ua13、多云管理平台定义用户功能权限,定期向各云平台同步用户功能权限。(1)多云管理平台对网络资源的规划创建由一级部门统一管理,设定ua为一级部门管理员,并拥有vpc创建权限。二级部门用户ua1仅有使用权限。(2)设置阿里云子用户的功能权限。多云管理平台功能权限通常批量设置,为了确保多云管理平台操作的快速响应,可以采用定时任务分批同步不同云服务的功能权限。创建权限策略:https://ram.aliyuncs.com/?action=createpolicy&policyname=一级部门管理员&policydocument={"statement":[{"action":["vpc:*"],"effect":"allow","resource":["acs:vpc:*:*:*"]}],"version":"1"}https://ram.aliyuncs.com/?action=createpolicy&policyname=二级部门用户&policydocument={"statement":[{"action":["vpc:"list*","vpc:get*"],"effect":"allow","resource":["acs:vpc:*:*:*"]}],"version":"1"}授权:https://ram.aliyuncs.com/?action=attachpolicytouser&policytype=custom&policyname=一级部门管理员&username=uahttps://ram.aliyuncs.com/?action=attachpolicytouser&policytype=custom&policyname=二级部门用户&username=ua14、多云管理平台对特定云服务资源管理范围进行细粒度控制,并同步到云平台。(1)多云管理平台限定用户ua1只能管理自己的云服务器,首先在多云管理平台查出用户ua1能管理哪些云服务器selectinstanceidfrominstancetablewhereowner=用户ua1andplatform=aliyun(2)同步在阿里云平台创建策略限定只能管理上述查询的云服务器并授权给用户ua1https://ram.aliyuncs.com/?action=createpolicy&policyname=自建云服务器&policydocument={"statement":[{"action":["ecs:*"],"effect":"allow","resource":["acs:ecs:*:*:instance/inst-001","acs:ecs:*:*:instance/inst-002"]}],"version":"1"}https://ram.aliyuncs.com/?action=attachpolicytouser&policytype=custom&policyname=自建云服务器&username=ua1。当前第1页12当前第1页12