為AccessKey及權限的治理提供最佳實踐,從AccessKey、阿里云賬號、RAM用戶的設置和使用方式等方面進行檢測。本文為您介紹AccessKey及權限治理最佳實踐合規(guī)包中的默認規(guī)則。
規(guī)則名稱 | 規(guī)則描述 |
RAM用戶下AccessKey的創(chuàng)建時間距離檢查時間不超過指定天數,視為“合規(guī)”。默認值:90天。 | |
RAM用戶AccessKey的最后使用時間距今天數小于參數設置的天數,視為“合規(guī)”。默認值:90天。 | |
RAM用戶未同時開啟控制臺訪問和API調用訪問,視為“合規(guī)”。 | |
如果RAM用戶在最近90天有登錄行為,視為“合規(guī)”。如果RAM用戶的最近登錄時間為空,則檢查更新時間,當更新時間小于等于90天時,視為“合規(guī)”。未開啟控制臺訪問的用戶視為“不適用”。 | |
RAM用戶存在狀態(tài)為激活同時創(chuàng)建時間超過了指定天數的AccessKey數量小于2個,視為“合規(guī)”。建議RAM用戶最多存在1個有效AccessKey,輪換時可短時間內持有2個。 | |
RAM用戶密碼策略中各項配置滿足參數設置的值,視為“合規(guī)”。 | |
RAM用戶、RAM用戶組、RAM角色均未擁有Resource為 | |
阿里云賬號開啟MFA,視為“合規(guī)”。 | |
啟用ACK集群的RRSA功能,視為“合規(guī)”。RRSA功能可以在集群內實現Pod維度的OpenAPI權限隔離,從而實現云資源訪問權限的細粒度隔離,降低安全風險。 | |
ECS實例被授予了實例RAM角色,視為“合規(guī)”。 | |
函數計算服務配置了服務角色,視為“合規(guī)”。避免因暴露阿里云賬號密鑰,造成安全風險。 |