日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

身份管理

更新時間:

為確保您的阿里云賬號及云資源使用安全,如非必要都應避免直接使用阿里云主賬號來訪問Anycast EIP。推薦的做法是使用RAM提供的身份,包括RAM用戶和RAM角色來訪問Anycast EIP。

RAM用戶

RAM用戶需要由阿里云賬號(主賬號)或擁有管理員權限的RAM用戶、RAM角色來創建,且必須在獲得授權后才能登錄控制臺或使用API訪問阿里云賬號下的資源。對于RAM用戶的使用,建議您:

  • 使用阿里云賬號創建一個RAM用戶,并為RAM用戶授予管理員權限,后續使用有管理員權限的RAM用戶創建并管理其他RAM用戶。

  • 將人員用戶和程序用戶分離。

    創建RAM用戶時,支持設置控制臺訪問OpenAPI調用訪問兩種訪問方式。控制臺用戶使用賬號密碼訪問云產品控制臺,API用戶使用訪問密鑰AK(AccessKey)調用API訪問云資源。建議您將兩個不同的使用場景分離,避免誤操作導致服務受到影響。對于通過控制臺訪問的用戶,推薦為其開啟MFA 多因素認證。

  • 按需為RAM用戶分配最小權限。

    最小權限是指授予用戶執行某項任務所需的權限,不授予其他無需用到的權限。最小授權可以避免用戶操作權限過大,提高數據安全性,減少潛在的安全威脅和權限濫用風險。

  • 不要把RAM用戶的AccessKey ID和AccessKey Secret保存在工程代碼中,否則可能導致AK泄露,威脅您賬號下所有資源的安全。

  • 滿足條件時對RAM用戶設置SSO單點登錄功能,實現直接使用企業自有的身份登錄并訪問阿里云資源。

RAM用戶相關操作

RAM用戶組

當您的阿里云賬號下有多個RAM用戶時,可以通過創建用戶組對職責相同的RAM用戶進行分組管理和批量授權,實現高效地管理RAM用戶及其權限。對于RAM用戶組的使用,建議您:

  • 在對RAM用戶組授權時遵循最小權限策略原則。

  • 在RAM用戶職責發生變化時將其從不再歸屬的用戶組中移除,避免權限濫用。

  • 在某個用戶組不再需要某些權限時移除用戶組對應的權限。

RAM用戶組相關操作

RAM角色

RAM角色是一種虛擬用戶,可以被授予一組權限策略。與RAM用戶不同,RAM角色沒有永久身份憑證(登錄密碼或訪問密鑰),需要被一個可信實體扮演。扮演成功后,可信實體將獲得RAM角色的臨時身份憑證,即安全令牌(STS Token),使用該安全令牌就能以RAM角色身份訪問被授權的資源。

以下是使用RAM角色的安全建議:

  • 創建RAM角色后,請勿隨意變更RAM角色的可信實體。修改RAM角色信任策略中的可信實體,可能會導致原受信對象權限缺失,影響業務正常運行。也可能會因增加受信對象,帶來過度授權的風險。特殊情況必須修改時請務必在測試賬號充分測試,確保功能正常使用后,再應用到正式生產賬號。

  • 可信實體的RAM用戶獲得相關授權后即可以調用AssumeRole - 獲取扮演角色的臨時身份憑證接口獲取RAM角色的STS Token。STS Token自頒發后將在一段時間內有效,建議您設置合理的Token有效期,避免有效期過長帶來安全風險。

    說明

    STS Token有效期的最大值為角色的最大會話時間。從安全的角度考慮,應將角色最大會話時間也設置在合理范圍。

  • 滿足條件時對RAM角色設置SSO單點登錄功能,實現直接使用企業自有的身份登錄并訪問阿里云資源。

RAM角色相關操作

身份管理相關文檔