日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

AI 助理
備案控制臺
文檔
輸入文檔關(guān)鍵字查找
首頁 云盒 安全合規(guī) 身份與訪問安全

身份與訪問安全

更新時間:
產(chǎn)品詳情
我的收藏

訪問控制RAM是阿里云提供的一項管理用戶身份與資源訪問權(quán)限的服務(wù)。RAM支持AccessKey等多種身份認證方式,支持通過權(quán)限策略控制賬號對云資源的訪問和操作權(quán)限,確保云資源使用的安全性。

身份認證

身份認證是指驗證云資源訪問身份的合法性,既包括人員使用賬號登錄和操作時的認證,也包括應(yīng)用程序訪問API接口時的認證。身份認證是保證云中用戶資源不被非法訪問的關(guān)鍵基礎(chǔ)性措施。云服務(wù)提供常用的訪問認證方式包括:

類型

認證方式

說明

相關(guān)文檔

應(yīng)用認證

AccessKey認證

AccessKey(簡稱AK)沒有過期時間限制,認證憑據(jù)是AccessKey ID和AccessKey Secret,其中AccessKey Secret必須保密,否則攻擊者將泄露憑據(jù)并使用合法的身份訪問云資源,包括竊取數(shù)據(jù)。

創(chuàng)建AccessKey

AccessKey認證 派生密鑰(OSS必須)

簽名版本4(推薦)

STS認證

STS的認證憑據(jù)是STS Token,具有時效性,減少了直接使用某資源訪問身份的AccessKey而導(dǎo)致密鑰可能泄露的風險。為獲取STS Token,需要創(chuàng)建一個專門權(quán)限的RAM用戶(子賬號),使用該RAM用戶的AccessKey認證調(diào)用接口獲取某RAM角色的STS Token。該方式可以用于給不安全設(shè)備臨時授權(quán)。

什么是STS

實例RAM角色

實例RAM角色是直接授予具體ECS實例某權(quán)限的角色,從而獲得訪問授權(quán)云資源的權(quán)限。ECS實例內(nèi)的應(yīng)用先訪問元數(shù)據(jù)服務(wù)器獲取角色的臨時STS Token,再使用STS Token訪問云服務(wù)接口。該方式不用在實例中保存身份憑據(jù),避免了身份憑據(jù)泄露風險。

通過ECS實例RAM角色授權(quán)ECS訪問其他云資源

人員認證

SSO認證

SSO(Single Sign On,單點登錄)允許用戶使用企業(yè)自有的身份系統(tǒng)實現(xiàn)與阿里云的SSO,將企業(yè)中的用戶身份與阿里云RAM用戶、角色關(guān)聯(lián)起來,獲得訪問云資源的權(quán)限。

SSO概覽

OAuth認證

OAuth允許為Web、移動端、桌面應(yīng)用以及服務(wù)器應(yīng)用授權(quán)訪問阿里云資源。

OAuth應(yīng)用概覽

防止身份憑據(jù)泄露

身份憑據(jù)泄露會導(dǎo)致用戶云資源被非法訪問、數(shù)據(jù)泄露,以下為相關(guān)安全建議:

  • 為阿里云賬號(主賬號)和RAM用戶(子賬號)啟用多因素認證MFA。建議為阿里云賬號綁定MFA,每次使用時都強制使用多因素認證。如果RAM用戶具備高風險操作權(quán)限(例如停止ECS實例、刪除OSS Bucket等),建議為該RAM用戶綁定MFA。

  • 不要為阿里云賬號(主賬號)創(chuàng)建AK。阿里云賬號(主賬號)對名下資源擁有完全控制權(quán)限,身份憑據(jù)泄露會引起嚴重后果。

  • 根據(jù)權(quán)限分離和最小授權(quán)原則使用RAM用戶。完善的分權(quán)體系應(yīng)支持權(quán)力制衡,盡可能地降低安全風險。在使用RAM時,用戶應(yīng)該考慮為不同權(quán)限創(chuàng)建不同的RAM用戶。在對RAM用戶賦予權(quán)限時應(yīng)授予僅需的操作和對象。

  • 人員操作賬號與API身份賬號應(yīng)當分離。

  • 使用RAM用戶的AccessKey時,推薦限制客戶端的白名單地址,防止AK泄露后被任意利用。更多信息,請參見通過RAM限制用戶的訪問IP地址。

  • 為防止AK泄露,推薦ECS應(yīng)用使用角色扮演方式訪問云資源。更多信息,請參見通過ECS實例RAM角色授權(quán)ECS訪問其他云資源

  • 不可信終端(如移動終端、個人電腦)盡量使用STS Token或SSO、OAuth方式訪問云資源,避免使用AK。

  • 不要將AK嵌入代碼中,定期更新AK,定期吊銷不需要的AK。

  • 開啟操作日志審計,并將其投遞至OSS和SLS保存和審計。

  • 云安全中心具有檢查配置中AK、告警AK泄露至Github、告警異常調(diào)用的能力,推薦關(guān)注和使用。更多信息,請參見AK和賬密防泄漏最佳實踐。

  • 關(guān)注ActionTrail云資源操作日志,從中可以發(fā)現(xiàn)異常的操作或來源IP。更多信息,請參見ActionTrail操作事件

訪問授權(quán)

訪問授權(quán)是限制合法身份的訪問權(quán)限,限制身份的使用環(huán)境、授權(quán)的資源范圍、允許的操作等。阿里云通過創(chuàng)建RAM用戶、角色,并為其配置權(quán)限策略,實現(xiàn)訪問授權(quán)。RAM權(quán)限策略可以細化到對某個操作和資源的細粒度授權(quán),還可以支持多種限制條件(如限制源IP地址、訪問時間等),更多信息,請參見權(quán)限策略概覽

重要

與公共云不同,除了云盒對應(yīng)的阿里云賬號(主賬號)外,不能授權(quán)其他阿里云賬號訪問云盒服務(wù)。

RAM用戶需要由阿里云賬號管理員為其授權(quán)后才能訪問阿里云賬號下的資源。為保證資源的數(shù)據(jù)安全,建議您遵循最小授權(quán)原則為允許訪問云資源的身份授予恰好夠用的權(quán)限。授權(quán)的詳細操作請參見:

對接企業(yè)身份管理系統(tǒng)

如果企業(yè)已有身份管理系統(tǒng),出于管理維護成本考慮不希望在云端創(chuàng)建和管理用戶,則可以通過RAM角色SSO或用戶SSO來解決。相關(guān)參考如下: