阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 1702阅读
  • 0回复

[云安全技术和产品专区 ]访问控制主账号安全实践

级别: 论坛粉丝
发帖
1227
云币
2325
阿里主账号相当于您的所有云资源管控的 root 账号。一旦主账号的登录密码或 API 访问密钥丢失或泄露,将会对您的企业造成不可估量的损失。 YoSBS   
那么,在使用阿里云服务时,如何保护您的主账号安全?请参考本文提供的主账号安全实践若干原则。 rxOv YF  
原则 1:给主账号开启多因素认证 MC1&X'  
dB8 e  
原则 2:不要使用主账号进行日常运维管理操作 !.7m4mKzo  
  • 给员工 创建 RAM 用户账号 进行日常的运维管理操作。
  • 为财务人员创建独立的 RAM 用户账号。
  • 创建独立的 RAM 用户账号来作为 RAM 管理员。
m,Mg  
原则 3:不要为主账号创建 AccessKey ])#?rRw  
!Y*O0_  
AccessKey 与登录密码具有同样的特权,AccessKey 用于程序访问,登录密码用于控制台登录。由于 AccessKey 通常以明文形式保存在配置文件中,泄露的风险更高。 0y%s\,PsT  
给所有的应用系统 配置 RAM 用户身份,并在 给 RAM 用户授权 时遵循最小授权原则。 26MoYO!k  
M&KJZ  
原则 4:使用带 IP 限制条件的授权策略进行授权 yY!@FGsA  
授予所有的特权操作 必须受 IP 条件限制(acs:SourceIp) = cI> {  
那么,即使 RAM 用户的登录密码或 AccessKey 泄露,只有攻击者没有渗透进入您的可信网络,那么攻击者也无能为力。 pwl7aC+6d  
A`V:r2hnb  
原则 5:使用带 MFA 限制条件的授权策略进行授权 ?>mpUH  
授予所有的特权操作 必须受 MFA 条件限制(acs:MFAPresent) LAuaowE\v  
那么,即使 RAM 用户的登录密码或 AccessKey 泄露,只要 MFA 设备没有丢失,攻击者也无能为力。 Wqe0m_7  
更多限制条件,请参考 Policy 语法结构 {*X|)nr  
没有绝对的安全,只有最佳的实践。只有遵循最佳安全实践原则,综合利用这些保护机制,相信可以极大提高对您的账号资产的保护。 HG3iK  
[ 此帖被反向一觉在2017-10-31 15:04重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)