阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 1705阅读
  • 0回复

[云安全技术和产品专区 ]访问控制主账号安全实践

级别: 论坛粉丝
发帖
1227
云币
2325
阿里主账号相当于您的所有云资源管控的 root 账号。一旦主账号的登录密码或 API 访问密钥丢失或泄露,将会对您的企业造成不可估量的损失。 /%A*aGyIc  
那么,在使用阿里云服务时,如何保护您的主账号安全?请参考本文提供的主账号安全实践若干原则。 T0rG M  
原则 1:给主账号开启多因素认证 #$qTFN  
hTi$.y!k  
原则 2:不要使用主账号进行日常运维管理操作 WU=59gB+jL  
  • 给员工 创建 RAM 用户账号 进行日常的运维管理操作。
  • 为财务人员创建独立的 RAM 用户账号。
  • 创建独立的 RAM 用户账号来作为 RAM 管理员。
dL )<% o  
原则 3:不要为主账号创建 AccessKey }Y36C.@H  
(0y~%J  
AccessKey 与登录密码具有同样的特权,AccessKey 用于程序访问,登录密码用于控制台登录。由于 AccessKey 通常以明文形式保存在配置文件中,泄露的风险更高。 fMyti$1~  
给所有的应用系统 配置 RAM 用户身份,并在 给 RAM 用户授权 时遵循最小授权原则。 ,]c 1A$Sr0  
ChXq4]  
原则 4:使用带 IP 限制条件的授权策略进行授权 I83<r9  
授予所有的特权操作 必须受 IP 条件限制(acs:SourceIp) < F+l  
那么,即使 RAM 用户的登录密码或 AccessKey 泄露,只有攻击者没有渗透进入您的可信网络,那么攻击者也无能为力。 HEc+;O1<  
`~CQU  
原则 5:使用带 MFA 限制条件的授权策略进行授权 +pn N!:q  
授予所有的特权操作 必须受 MFA 条件限制(acs:MFAPresent) F;0}x;:>  
那么,即使 RAM 用户的登录密码或 AccessKey 泄露,只要 MFA 设备没有丢失,攻击者也无能为力。 W'+:'_{j:  
更多限制条件,请参考 Policy 语法结构 ~|xA4u5LG  
没有绝对的安全,只有最佳的实践。只有遵循最佳安全实践原则,综合利用这些保护机制,相信可以极大提高对您的账号资产的保护。 E#t>Qn  
[ 此帖被反向一觉在2017-10-31 15:04重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)