阿里云权限
阿里云权限
建议为 VulnSky 使用独立 RAM 用户,只授予实验所需的 OSS、ECS 镜像和目标实例权限。
实际授权时请结合你的账号、bucket、区域和目标 ECS 做资源范围限制。
API 能力
| 服务 | 用途 | 典型权限 |
|---|---|---|
| STS | 检查 AccessKey 身份。 | sts:GetCallerIdentity |
| OSS | 列目录、检查对象、上传 QCOW2、生成下载链接、查询 bucket 区域。 | oss:ListObjects、oss:GetObject、oss:PutObject、oss:GetBucketInfo |
| ECS | 查询 ECS、镜像和导入任务。 | ecs:DescribeInstances、ecs:DescribeImages、ecs:DescribeTasks |
| ECS | 从 OSS 导入自定义镜像。 | ecs:ImportImage |
| ECS | 停机、启动和替换目标 ECS 系统盘。 | ecs:StopInstance、ecs:StartInstance、ecs:ReplaceSystemDisk |
授权建议
- 使用独立 RAM 用户,不要使用主账号 AccessKey。
- 把 OSS 权限限制到专门保存靶场镜像的 bucket。
- 把 ECS 变更权限限制到实验用实例,避免误操作生产环境。
- 课程场景下可以为不同班级或实验批次准备不同 profile。
- 定期轮换 AccessKey,并确保
.env、profiles/*.env不进入 Git。
高风险操作
deploy 和 ecs reimage 会替换系统盘。执行前确认目标实例是教学靶机,并已经保存需要保留的数据。
发布前自检
配置好 RAM 权限后,先运行:
vulnsky doctor --redactdoctor 会检查 profile、AccessKey、OSS bucket、区域一致性和 ECS 可见性。