日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

身份管理

更新時(shí)間:

為確保您的阿里云賬號(hào)及云資源使用安全,如非必要都應(yīng)避免直接使用阿里云賬號(hào)(即主賬號(hào))來(lái)訪問(wèn)智能聯(lián)絡(luò)中心。推薦的做法是使用RAM身份(即RAM用戶和RAM角色)來(lái)訪問(wèn)智能聯(lián)絡(luò)中心。

RAM用戶

RAM用戶需要由阿里云賬號(hào)(即主賬號(hào))或擁有管理員權(quán)限的RAM用戶、RAM角色來(lái)創(chuàng)建,且必須在獲得授權(quán)后才能登錄控制臺(tái)或使用API訪問(wèn)阿里云賬號(hào)下的資源。

對(duì)于RAM用戶的使用,建議您:

  • 使用阿里云賬號(hào)創(chuàng)建一個(gè)RAM用戶,并為RAM用戶授予管理員權(quán)限,后續(xù)使用有管理員權(quán)限的RAM用戶創(chuàng)建并管理其他RAM用戶。

  • 將人員用戶和程序用戶分離。

    創(chuàng)建RAM用戶時(shí),支持設(shè)置控制臺(tái)訪問(wèn)OpenAPI調(diào)用訪問(wèn)兩種訪問(wèn)方式。控制臺(tái)用戶使用賬號(hào)密碼訪問(wèn)云產(chǎn)品控制臺(tái),API用戶使用訪問(wèn)密鑰AK(AccessKey)調(diào)用API訪問(wèn)云資源。建議您將兩個(gè)不同的使用場(chǎng)景分離,避免誤操作導(dǎo)致服務(wù)受到影響。對(duì)于通過(guò)控制臺(tái)訪問(wèn)的用戶,推薦為其開(kāi)啟MFA多因素認(rèn)證。

  • 按需為RAM用戶分配最小權(quán)限。

    最小權(quán)限是指授予用戶執(zhí)行某項(xiàng)任務(wù)所需的權(quán)限,不授予其他無(wú)需用到的權(quán)限。最小授權(quán)可以避免用戶操作權(quán)限過(guò)大,提高數(shù)據(jù)安全性,減少因權(quán)限濫用導(dǎo)致的安全風(fēng)險(xiǎn)。

  • 不要把RAM用戶的AccessKey ID和AccessKey Secret保存在工程代碼中,否則可能導(dǎo)致AK泄露,威脅您賬號(hào)下所有資源的安全。建議您使用STS或環(huán)境變量等方式獲取訪問(wèn)授權(quán)。

  • 滿足條件時(shí)對(duì)RAM用戶設(shè)置SSO單點(diǎn)登錄功能,實(shí)現(xiàn)直接使用企業(yè)自有的身份登錄并訪問(wèn)阿里云資源。

RAM用戶相關(guān)操作

RAM用戶組

當(dāng)您的阿里云賬號(hào)下有多個(gè)RAM用戶時(shí),可以通過(guò)創(chuàng)建用戶組對(duì)職責(zé)相同的RAM用戶進(jìn)行分組管理和批量授權(quán),實(shí)現(xiàn)高效地管理RAM用戶及其權(quán)限。對(duì)于RAM用戶組的使用,建議您:

  • 在對(duì)RAM用戶組授權(quán)時(shí)遵循最小權(quán)限策略原則。

  • 在RAM用戶職責(zé)發(fā)生變化時(shí)將其從不再歸屬的用戶組中移除,避免權(quán)限濫用。

  • 在某個(gè)用戶組不再需要某些權(quán)限時(shí)移除用戶組對(duì)應(yīng)的權(quán)限。

RAM用戶組相關(guān)操作

RAM角色

RAM角色是一種虛擬用戶,可以被授予一組權(quán)限策略。與RAM用戶不同,RAM角色沒(méi)有永久身份憑證(登錄密碼或訪問(wèn)密鑰),需要被一個(gè)可信實(shí)體扮演。扮演成功后,可信實(shí)體將獲得RAM角色的臨時(shí)身份憑證,即安全令牌(STS Token),使用該安全令牌就能以RAM角色身份訪問(wèn)被授權(quán)的資源。

以下是使用RAM角色的安全建議:

  • 創(chuàng)建RAM角色后,請(qǐng)勿隨意變更RAM角色的可信實(shí)體。修改RAM角色信任策略中的可信實(shí)體,可能會(huì)導(dǎo)致原受信對(duì)象權(quán)限缺失,影響業(yè)務(wù)正常運(yùn)行。也可能會(huì)因增加受信對(duì)象,帶來(lái)過(guò)度授權(quán)的風(fēng)險(xiǎn)。特殊情況必須修改時(shí)請(qǐng)務(wù)必在測(cè)試賬號(hào)充分測(cè)試,確保功能正常使用后,再應(yīng)用到正式生產(chǎn)賬號(hào)。

  • 可信實(shí)體的RAM用戶獲得相關(guān)授權(quán)后即可以調(diào)用AssumeRole - 獲取扮演角色的臨時(shí)身份憑證接口獲取RAM角色的STS Token。STS Token自頒發(fā)后將在一段時(shí)間內(nèi)有效,建議您設(shè)置合理的Token有效期,避免有效期過(guò)長(zhǎng)帶來(lái)安全風(fēng)險(xiǎn)。

    說(shuō)明

    STS Token有效期的最大值為角色的最大會(huì)話時(shí)間。從安全的角度考慮,應(yīng)將角色最大會(huì)話時(shí)間也設(shè)置在合理范圍。

  • 滿足條件時(shí)對(duì)RAM角色設(shè)置SSO單點(diǎn)登錄功能,實(shí)現(xiàn)直接使用企業(yè)自有的身份登錄并訪問(wèn)阿里云資源。

RAM角色相關(guān)操作

身份管理相關(guān)文檔