不同的企業管理模式可能導致身份權限管理中面對不同的風險，常見的風險如下：

• 高權限風險。活躍的管控賬號直接為主賬號或具備管理員權限的子賬號，可能給運維人員的誤操作提供了更大的空間，對資源錯誤的變更、釋放、主機升級都可能造成業務中斷。

• 較弱的認證機制和密碼策略。這可能增加賬號被盜用的可能性，進而遭到惡意破壞和數據竊取。

• 閑置的有效賬號。長期閑置的具備一定權限的賬號可能是離職員工的曾用賬號，閑置賬號不及時回收可能成為安全管理的盲區，被惡意利用。

• 缺乏操作審計監管。企業不監控和收集云上的訪問事件，將無法及時發現訪問事件背后的惡意意圖，如高頻的登錄失敗、無權限訪問、異常訪問等。在真正發生惡意操作后也難以復盤和追責。

企業的權限管理人員在日常工作中可能需要解答下面幾個問題：

• 為什么需要進行身份權限風險治理？收益是什么？

• 應該什么時候采取風險治理措施？

企業應根據云上運維人員數量、運維人員的工作邊界、需托管的業務數量、需托管的云上IT規模、具體托管的業務內容等實際情況來制定自己的身份權限治理基線，以下提供較通用的基線策略，可以作為參考：

• 賬號基本安全

  • 為云賬號開啟多因素認證（MFA）。

  • 避免使用主賬號訪問密鑰（AK）。

• 使用訪問控制

  • 使用云平臺的訪問控制產品。避免直接使用主賬號，通過創建子賬號并授予最小必要權限來進行云上管控。

  • 為所有子賬號開啟多因素認證（MFA）。

  • 限定云上活躍的子賬號和角色白名單。

  • 必須采用強密碼策略。

    • 密碼有效期不超過90天。

    • 密碼最小長度不小于8位。

    • 密碼中必須包含大小寫字母、數字、特殊符號。

    • 禁止使用前3次使用過的密碼。

    • 一小時內最多允許輸入5次錯誤密碼進行登錄。

  • 避免同一個子賬號同時具備控制臺登錄權限和AK訪問權限。

  • 避免存在空的用戶組和未放入用戶組的子賬號，對用戶組授權避免直接對子賬號授權。

  • 避免長期存在未授權的子賬號，或未綁定到子賬號的權限策略。

  • 僅為有限的人員設置管理員權限，并嚴格禁止賬號共享使用。

  • 預定義固定的用戶名、角色名和相應權限，變更時收到告警并自動修復。

  • 使用Policy Conditions精確權限的生效條件，例如：

    • 使用IP條件，限制僅能在公司或通過VPN來管控阿里云資源。

    • 使用時間條件，限制僅允許在工作時間進行資源變更。

• 充分審計

  • 將所有賬號的操作事件統一歸集到權限隔離的審計賬號，并做安全分析。

  • 當認證協議和密碼策略發現變更時需收到告警。

  • 當根賬號活躍時收到告警。

  • 定期對比子賬號實際操作行為和授權策略，避免冗余授權。

• 持續治理

  • 使用云上具備監控和持續檢測能力的治理工具。

  • 開啟云平臺推薦的治理基線，結合企業自身實際需求實現自定義策略。