Atlantis权限控制:细粒度管理团队对基础设施的操作权限
项目地址: https://gitcode.com/gh_mirrors/at/atlantis 在团队协作管理基础设施即代码(IaC)的过程中,如何确保只有授权人员能够执行敏感操作(如生产环境部署)是核心安全挑战。Atlantis通过多层次权限控制机制,提供了从全局到项目级别的细粒度权限管理方案,帮助团队在协作效率与安全合规之间取得平衡。本文将详细介绍Atlantis的权限控制体系,包括认证流程、配置方式及实战案例,帮助团队构建安全的基础设施操作流程。
权限控制核心场景与挑战
基础设施即代码的普及使得开发与运维团队能够高效协作,但也带来了权限管理的复杂性。典型挑战包括:如何限制开发人员对生产环境的操作权限、如何确保变更符合团队的审批流程、如何防止恶意或误操作导致的基础设施故障。Atlantis的权限控制体系针对这些场景提供了系统性解决方案,其核心价值在于:
- 环境隔离:允许开发环境自由操作,同时严格控制生产环境权限
- 最小权限原则:根据用户角色分配必要权限,降低安全风险
- 合规审计:所有操作均需经过授权和记录,满足合规要求
Atlantis的权限控制功能主要通过repo-and-project-permissions.md和server-side-repo-config.md两个核心配置文件实现,支持从全局到项目级别的多层级权限定义。
权限认证工作流解析
Atlantis采用双重检查机制确保权限验证的完整性,整个认证流程分为两个关键阶段:
双重检查机制
- 前置检查:在验证变量文件、仓库元数据和PR状态之前执行,主要验证用户对整个仓库的基本操作权限
- 后置检查:在执行前置工作流钩子、处理仓库配置并确定受影响项目后执行,针对具体项目进行权限验证
这种设计的主要原因是在前置检查阶段,部分关键信息(如受影响的具体项目)可能尚未确定,尤其是当仓库使用钩子生成或修改配置时。双重检查确保了即使在复杂场景下,权限验证也能准确执行。
权限检查决策流程
Atlantis权限检查的核心决策逻辑如下:
- 当使用外部命令进行权限验证时,Atlantis会检查命令退出码是否为0且最后一行输出是否为"pass"
- 非零退出码表示命令执行失败(如配置错误),而非权限验证失败
- 权限验证失败应返回0退出码,并在输出中说明原因
这种设计允许管理员实现复杂的权限逻辑,同时保持Atlantis核心的简洁性和灵活性。
全局权限配置:--gh-team-allowlist
对于大多数基础权限控制需求,Atlantis提供的--gh-team-allowlist命令行选项足够满足需求。该选项允许管理员配置全局权限策略,适用于所有仓库。
基本配置方法
通过在启动Atlantis服务器时指定--gh-team-allowlist选项,可以定义允许执行Atlantis命令的GitHub团队:
atlantis server --gh-team-allowlist="myorg/admins,myorg/terraform-users"
此配置将允许"myorg"组织下的"admins"和"terraform-users"团队成员执行Atlantis命令。这种方式适用于权限需求相对简单的团队,配置简单直观。
适用场景与局限性
--gh-team-allowlist适用于以下场景:
- 团队需要统一的基础权限控制策略
- 所有仓库的权限要求基本一致
- 不需要基于环境、项目或命令类型进行差异化权限控制
其主要局限性在于缺乏灵活性,无法针对不同仓库、项目或命令类型设置差异化权限。当团队需要更精细的权限控制时,应考虑使用外部命令方式。
细粒度权限控制:外部授权命令
对于需要复杂权限逻辑的场景,Atlantis支持通过外部命令实现高度定制化的权限控制。管理员可以编写脚本集成现有权限系统或实现复杂的业务规则。
配置外部授权命令
外部授权命令通过服务器端配置文件server-side-repo-config.md定义。以下是基本配置示例:
# repos.yaml
repos:
- id: /.*/
team_authz:
command: "/scripts/authorization-check.sh"
args: ["--env", "production"]
在这个配置中,所有仓库(通过正则表达式/.*/匹配)将使用/scripts/authorization-check.sh脚本进行权限验证,并传递额外参数--env production。
外部命令输入参数
外部授权命令将接收以下参数和环境变量,提供丰富的上下文信息用于权限决策:
命令行参数:
external_command [external_args...] atlantis_command repo [teams...]atlantis_command: 正在执行的Atlantis命令(plan, apply等)repo: 仓库全名(格式: owner/repo_name)teams: 用户所属的团队列表
环境变量:
- 基础信息:
USER_NAME(执行命令的用户名)、COMMAND_NAME(命令名称)等 - PR信息:
PULL_NUM(PR编号)、PULL_AUTHOR(PR作者)、HEAD_BRANCH_NAME(头部分支)等 - 项目信息:
PROJECT_NAME(项目名称)、REPO_REL_PATH(项目相对路径)等
完整的参数和环境变量列表可参考repo-and-project-permissions.md的"External Command Execution"部分。
生产环境权限控制实例
以下是一个外部授权命令的实际示例,限制只有特定团队可以对生产环境执行apply命令:
#!/bin/bash
# /scripts/authorization-check.sh
# 定义允许操作生产环境的团队
PROD_TEAM="myorg/prod-deployers"
# 从参数和环境变量获取上下文信息
COMMAND="$1"
REPO="$2"
USER_TEAMS=("${@:3}") # 从第三个参数开始是用户所属团队
PROJECT="${PROJECT_NAME}"
# 检查是否是对生产环境执行apply命令
if [ "${COMMAND}" == "apply" ] && [ "${PROJECT}" == "production" ]; then
# 检查用户是否属于生产授权团队
if [[ " ${USER_TEAMS[@]} " =~ " ${PROD_TEAM} " ]]; then
echo "pass"
exit 0
else
echo "用户必须是${PROD_TEAM}团队成员才能对生产环境执行apply操作"
exit 0 # 注意:权限验证失败时仍返回0退出码
fi
fi
# 其他情况默认允许
echo "pass"
exit 0
这个脚本实现了以下逻辑:
- 仅对生产环境的
apply命令进行特殊控制 - 验证用户是否属于授权团队
- 对未授权用户提供明确的拒绝原因
- 允许其他所有操作
管理员可以根据实际需求扩展此脚本,例如添加时间限制(只允许工作时间部署)、多级审批等复杂逻辑。
仓库级权限配置:服务器端配置文件
当需要针对不同仓库设置差异化权限策略时,Atlantis提供了服务器端仓库配置文件功能。通过此功能,管理员可以为不同仓库定义独立的权限规则和工作流。
启用服务器端配置
要使用服务器端仓库配置,需要创建一个配置文件(如repos.yaml),并通过--repo-config选项指定:
atlantis server --repo-config=path/to/repos.yaml
如果不希望将配置文件写入磁盘,还可以使用--repo-config-json选项或ATLANTIS_REPO_CONFIG_JSON环境变量直接传递JSON格式的配置。
仓库匹配规则
服务器端配置文件使用id字段标识仓库,可以是精确匹配或正则表达式匹配:
# repos.yaml
repos:
# 正则表达式匹配所有仓库
- id: /.*/
apply_requirements: [approved]
# 精确匹配特定仓库
- id: github.com/myorg/production-repo
apply_requirements: [approved, mergeable]
allowed_overrides: [] # 禁止此仓库覆盖配置
配置匹配遵循"最后匹配优先"原则,当多个规则匹配同一个仓库时,靠后的规则将覆盖前面的规则。
按环境隔离的权限策略
通过服务器端配置,可以为不同环境的仓库设置差异化权限。例如,对开发环境放宽限制,对生产环境严格控制:
# repos.yaml
repos:
# 开发环境仓库配置
- id: /.*-dev/
apply_requirements: [] # 不需要审批
allowed_overrides: [apply_requirements, workflow]
allow_custom_workflows: true
# 生产环境仓库配置
- id: /.*-prod/
apply_requirements: [approved, mergeable, undiverged]
allowed_overrides: [] # 禁止覆盖配置
allow_custom_workflows: false # 禁止自定义工作流
team_authz:
command: "/scripts/prod-auth.sh" # 生产环境专用授权命令
这个配置实现了:
- 开发环境:无需审批,允许自定义工作流,灵活性高
- 生产环境:需要审批、PR可合并且与基础分支同步,禁止自定义工作流,使用专用授权命令
应用要求配置详解
apply_requirements是控制权限的关键配置项,支持以下值的组合:
approved:要求PR必须经过批准mergeable:要求PR处于可合并状态(无冲突)undiverged:要求PR分支与基础分支同步
例如,要求PR必须经过批准且无冲突才能执行apply:
repos:
- id: github.com/myorg/critical-infra
apply_requirements: [approved, mergeable]
通过command-requirements.md可以查看完整的要求配置选项和行为说明。
允许部分配置覆盖
通过allowed_overrides选项,可以精细控制仓库级atlantis.yaml文件能够覆盖哪些服务器端配置:
# repos.yaml
repos:
- id: github.com/myorg/team-repo
apply_requirements: [approved] # 默认要求审批
allowed_overrides: [apply_requirements, workflow] # 允许覆盖的配置项
配置后,团队可以在自己的atlantis.yaml中覆盖这些允许的配置:
# 仓库中的atlantis.yaml
version: 3
projects:
- dir: .
apply_requirements: [] # 移除审批要求
workflow: custom-workflow # 使用自定义工作流
这种方式平衡了集中控制和团队自治,管理员可以决定哪些配置允许团队自定义,哪些配置必须全局统一。
项目级权限控制:atlantis.yaml配置
在Atlantis的权限体系中,项目级配置是最细粒度的控制层,允许在仓库内按项目或目录定义权限策略。这种级别的控制通过仓库根目录或项目目录下的atlantis.yaml文件实现。
项目级权限配置基础
项目级权限配置主要通过plan_requirements和apply_requirements字段实现:
# atlantis.yaml
version: 3
projects:
- name: frontend-dev
dir: terraform/frontend/dev
plan_requirements: [] # 无特殊要求
apply_requirements: [] # 无特殊要求
- name: frontend-prod
dir: terraform/frontend/prod
plan_requirements: [approved]
apply_requirements: [approved, mergeable]
这个配置为同一个仓库中的开发和生产项目设置了不同的权限要求:开发环境无需审批,生产环境需要审批且PR必须可合并。
按分支控制权限
结合branch字段,可以实现基于分支的权限控制,例如只允许从特定分支部署到生产环境:
# atlantis.yaml
version: 3
projects:
- name: backend-prod
dir: terraform/backend/prod
branch: /^release\/v.*/ # 只允许release分支
apply_requirements: [approved, mergeable]
项目级工作流隔离
通过为不同项目指定不同的工作流,可以实现更精细的权限控制。例如,为生产项目指定包含额外审批步骤的工作流:
# atlantis.yaml
version: 3
projects:
- name: backend-prod
dir: terraform/backend/prod
workflow: production-workflow
workflows:
production-workflow:
plan:
steps:
- init
- plan
- run: /scripts/security-scan.sh # 额外的安全扫描步骤
apply:
steps:
- run: /scripts/get-manager-approval.sh # 经理审批检查
- apply
这个自定义工作流在标准plan/apply流程中加入了安全扫描和经理审批步骤,进一步增强了生产环境的权限控制。
权限控制最佳实践与案例
多环境权限矩阵
大型团队通常需要根据环境和操作类型定义清晰的权限矩阵。以下是一个典型的权限矩阵示例:
| 用户角色 | 开发环境(plan) | 开发环境(apply) | 测试环境(plan) | 测试环境(apply) | 生产环境(plan) | 生产环境(apply) |
|---|---|---|---|---|---|---|
| 开发人员 | 允许 | 允许 | 允许 | 需审批 | 只读 | 禁止 |
| 测试人员 | 只读 | 禁止 | 允许 | 允许 | 只读 | 禁止 |
| 运维人员 | 允许 | 允许 | 允许 | 允许 | 允许 | 需审批 |
| 安全团队 | 只读 | 禁止 | 只读 | 禁止 | 允许 | 需审批 |
| 管理员 | 允许 | 允许 | 允许 | 允许 | 允许 | 允许 |
通过Atlantis实现这一矩阵的方法是:
- 在GitHub/GitLab中创建对应角色的团队
- 使用服务器端配置为不同环境的仓库设置权限策略
- 编写外部授权命令实现矩阵中的权限逻辑
生产环境部署的多层防御策略
对于生产环境,建议实施多层防御的权限策略:
- 团队级控制:只有特定团队可以执行生产环境操作
- 命令级控制:plan无限制,apply需要额外审批
- 时间窗口控制:只允许在指定时间段内执行生产部署
- 变更大小控制:超过一定规模的变更需要高级别审批
- 自动化策略检查:使用OPA/Conftest验证变更是否符合安全策略
以下是实现时间窗口控制的外部命令示例:
#!/bin/bash
# 生产环境仅允许在工作时间部署
if [ "${COMMAND}" == "apply" ] && [ "${PROJECT_NAME}" == "production" ]; then
# 获取当前时间(UTC)和星期几(1=周一,7=周日)
hour=$(date -u +%H)
day=$(date -u +%u)
# 允许时间: 周一至周五, 08:00-18:00 UTC (对应北京时间16:00-次日02:00)
if [ $day -ge 1 ] && [ $day -le 5 ] && [ $hour -ge 8 ] && [ $hour -lt 18 ]; then
echo "pass"
exit 0
else
echo "生产环境部署仅允许在工作日08:00-18:00 UTC进行"
exit 0
fi
fi
echo "pass"
exit 0
常见权限问题排查
权限问题是Atlantis使用中的常见挑战,以下是排查权限问题的建议步骤:
- 检查Atlantis日志:查看Atlantis服务器日志,寻找权限相关错误
- 验证团队成员资格:确认用户确实属于所需团队
- 测试外部授权命令:手动运行外部授权命令,传递相关参数进行测试
- 检查仓库匹配规则:确认服务器端配置中的仓库ID匹配正确
- 审查PR状态:确认PR满足apply_requirements中指定的所有要求
- 检查工作流配置:确认是否使用了覆盖默认权限的自定义工作流
Atlantis提供了详细的faq.md和troubleshooting.md文档,可帮助解决常见权限问题。
总结与进阶方向
Atlantis提供了从全局到项目级别的多层权限控制机制,通过灵活配置可以满足各种团队规模和安全需求。从简单的团队白名单到复杂的外部授权命令,Atlantis的权限系统能够适应从初创公司到大型企业的各种场景。
权限控制实施路径
对于初次实施Atlantis权限控制的团队,建议按以下路径逐步深入:
- 基础配置:使用
--gh-team-allowlist设置基本团队权限 - 仓库级控制:通过服务器端配置实现环境隔离
- 高级控制:引入外部授权命令实现复杂业务规则
- 全面防护:结合策略检查、工作流控制实现纵深防御
进阶集成方向
Atlantis权限系统可以与以下工具集成,实现更强大的权限控制:
- IAM系统集成:与企业IAM系统(如LDAP、Okta)同步用户信息
- 工单系统集成:要求生产变更关联已批准的工单
- 审计系统集成:将权限检查结果发送到审计系统
- 聊天工具通知:关键权限变更实时通知安全团队
- 自动化安全扫描:在权限检查过程中集成安全扫描
通过这些高级集成,Atlantis不仅能控制基础设施操作权限,还能成为企业DevSecOps流程的核心枢纽,在保障安全的同时不影响开发效率。
要深入了解Atlantis权限控制的更多细节,可以参考官方文档中的security.md和repo-and-project-permissions.md,这些文档提供了权限控制的完整技术细节和高级配置示例。
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
