阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 1762阅读
  • 0回复

[云安全技术和产品专区 ]访问控制RAM 操作指导

级别: 论坛粉丝
发帖
1227
云币
2325
本文分别从 [backcolor=transparent]登录验证、[backcolor=transparent]账号授权、[backcolor=transparent]权限分配 三方面 提供 RAM 的操作建议,帮助您更有效地使用 RAM 进行用户身份管理和资源访问控制。 SLNOOEN  
3?h!nVI+2J  
登录验证 3]'h(C  
为根账户和 RAM 用户启用 MFA AOL=;z9c#  
  • 建议您 为根账户绑定 MFA(Multi-factor authentication,多因素认证),每次使用根账户时都强制使用多因素认证。
  • 如果您创建了 RAM 用户,并且给用户授予了高风险操作权限(比如,停止虚拟机,删除存储桶),那么建议您 给 RAM 用户绑定 MFA
D0S^Msk9L  
为用户登录配置密码策略 lSd tw b  
Dq!YB[Z$:  
定期轮转用户登录密码和访问密钥 mN R}%s  
  • 建议您或 RAM 用户要定期轮换登录密码或访问密钥。 在您不知情的时候,如果出现凭证泄露,那么凭证的使用期限也是受限制的。
  • 您可以通过 设置密码策略 来强制 RAM 用户轮换登录密码或访问密钥的周期。
ab)ckRC  
账号授权 *(i%\  
遵循最小授权原则 X ) =-a  
最小授权原则是安全设计的基本原则。当您需要 给 RAM 用户授权 时,请授予刚好满足他工作所需的权限,而不要过度授权。 -(%Xq{  
比如,在您的组织中,如果 Developers 组员(或者一个应用系统)的工作职责只需要读取 OSS 存储桶里的数据,那么就只给这个组(或应用系统)授予 OSS 资源的只读权限,而不要授权 OSS 资源的所有权限,更不要授予对所有产品资源的访问权限。 q %tq9%  
_wW"Tn]  
使用策略限制条件来增强安全性 33hP/p%  
建议您给用户授权时 设置策略限制条件,这样可以增强安全性。 ,L>{(Q)  
比如,授权用户 Alice 可以关停 ECS 实例,限制条件是 Alice 必须在指定时间、并且您公司网络中执行该操作。 +>a(9r|:  
UA0( cK  
及时撤销用户不再需要的权限 l}g_<  
当一个用户由于工作职责变更而不再使用权限时,您应该及时 将用户的权限撤销。撤销方法请参考 给 RAM 用户授权 中的 [backcolor=transparent]后续操作。 Q4N0j' QA  
这样,如果在不知情的时候,当用户的访问凭证泄露时对您带来的安全风险最小。 ?&U~X)Q  
>%t5j?p  
权限分配 z!k  
不要为根账户创建访问密钥 pg<c vok  
由于根账户对名下资源有完全控制权限,所以为了避免因访问密钥泄露所带来的灾难性损失,不建议您创建根账号访问密钥并使用该密钥进行日常工作。 '=K~M  
U}<zn+SI#V  
使用群组给 RAM 用户分配权限 0\"]XYOH  
给 RAM 用户授权 时,除了对 RAM 用户直接绑定授权策略,更方便的做法是创建与人员工作职责相关的 群组(如admins、developers、accounting等),为每个群组绑定合适的授权策略,然后把用户加入这些群组。群组内的所有用户共享相同的权限。 ;1TQr3w  
这样,如果您需要修改群组内所有人的权限,只需在一处修改即可。当您的组织人员发生调动时,您只需更改用户所属的群组即可。 D42!#  
su8()]|0x  
将用户管理、权限管理与资源管理分离 kO/;lrwC  
在使用 RAM 时,您应该考虑创建不同的 RAM 用户,其职责分别是 RAM 用户管理、RAM 权限分配,以及各产品的资源操作管理。一个好的分权体系应该支持权力制衡,尽可能地降低安全风险。 y,<\d/YY@  
_XI,z0(  
将控制台用户与 API 用户分离 =`V9{$i  
不建议给一个 RAM 用户同时创建用于控制台操作的登录密码和用于 API 操作的访问密钥。通常只给员工创建登录密码,给系统或应用程序只创建访问密钥。 9Z3Y,`R,  
[ 此帖被反向一觉在2017-10-31 15:03重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)