身份管理
為確保您的阿里云賬號(hào)及云資源使用安全,如非必要都應(yīng)避免直接使用阿里云賬號(hào)(即主賬號(hào))來訪問<云行情。推薦的做法是使用RAM身份(即RAM用戶和RAM角色)來訪問云行情。
RAM用戶
RAM用戶需要由阿里云賬號(hào)(即主賬號(hào))或擁有管理員權(quán)限的RAM用戶、RAM角色來創(chuàng)建,且必須在獲得授權(quán)后才能登錄控制臺(tái)或使用API訪問阿里云賬號(hào)下的資源。
對(duì)于RAM用戶的使用,建議您:
使用阿里云賬號(hào)創(chuàng)建一個(gè)RAM用戶,并為RAM用戶授予管理員權(quán)限,后續(xù)使用有管理員權(quán)限的RAM用戶創(chuàng)建并管理其他RAM用戶。
將人員用戶和程序用戶分離。
創(chuàng)建RAM用戶時(shí),支持設(shè)置控制臺(tái)訪問和OpenAPI調(diào)用訪問兩種訪問方式。控制臺(tái)用戶使用賬號(hào)密碼訪問云產(chǎn)品控制臺(tái),API用戶使用訪問密鑰AK(AccessKey)調(diào)用API訪問云資源。建議您將兩個(gè)不同的使用場(chǎng)景分離,避免誤操作導(dǎo)致服務(wù)受到影響。對(duì)于通過控制臺(tái)訪問的用戶,推薦為其開啟MFA多因素認(rèn)證。
按需為RAM用戶分配最小權(quán)限。
最小權(quán)限是指授予用戶執(zhí)行某項(xiàng)任務(wù)所需的權(quán)限,不授予其他無需用到的權(quán)限。最小授權(quán)可以避免用戶操作權(quán)限過大,提高數(shù)據(jù)安全性,減少因權(quán)限濫用導(dǎo)致的安全風(fēng)險(xiǎn)。
不要把RAM用戶的AccessKey ID和AccessKey Secret保存在工程代碼中,否則可能導(dǎo)致AK泄露,威脅您賬號(hào)下所有資源的安全。建議您使用STS或環(huán)境變量等方式獲取訪問授權(quán)。
滿足條件時(shí)對(duì)RAM用戶設(shè)置SSO單點(diǎn)登錄功能,實(shí)現(xiàn)直接使用企業(yè)自有的身份登錄并訪問阿里云資源。
RAM用戶相關(guān)操作
RAM用戶組
當(dāng)您的阿里云賬號(hào)下有多個(gè)RAM用戶時(shí),可以通過創(chuàng)建用戶組對(duì)職責(zé)相同的RAM用戶進(jìn)行分組管理和批量授權(quán),實(shí)現(xiàn)高效地管理RAM用戶及其權(quán)限。對(duì)于RAM用戶組的使用,建議您:
在對(duì)RAM用戶組授權(quán)時(shí)遵循最小權(quán)限策略原則。
在RAM用戶職責(zé)發(fā)生變化時(shí)將其從不再歸屬的用戶組中移除,避免權(quán)限濫用。
在某個(gè)用戶組不再需要某些權(quán)限時(shí)移除用戶組對(duì)應(yīng)的權(quán)限。
RAM用戶組相關(guān)操作
RAM角色
RAM角色是一種虛擬用戶,可以被授予一組權(quán)限策略。與RAM用戶不同,RAM角色沒有永久身份憑證(登錄密碼或訪問密鑰),需要被一個(gè)可信實(shí)體扮演。扮演成功后,可信實(shí)體將獲得RAM角色的臨時(shí)身份憑證,即安全令牌(STS Token),使用該安全令牌就能以RAM角色身份訪問被授權(quán)的資源。
以下是使用RAM角色的安全建議:
創(chuàng)建RAM角色后,請(qǐng)勿隨意變更RAM角色的可信實(shí)體。修改RAM角色信任策略中的可信實(shí)體,可能會(huì)導(dǎo)致原受信對(duì)象權(quán)限缺失,影響業(yè)務(wù)正常運(yùn)行。也可能會(huì)因增加受信對(duì)象,帶來過度授權(quán)的風(fēng)險(xiǎn)。特殊情況必須修改時(shí)請(qǐng)務(wù)必在測(cè)試賬號(hào)充分測(cè)試,確保功能正常使用后,再應(yīng)用到正式生產(chǎn)賬號(hào)。
可信實(shí)體的RAM用戶獲得相關(guān)授權(quán)后即可以調(diào)用AssumeRole - 獲取扮演角色的臨時(shí)身份憑證接口獲取RAM角色的STS Token。STS Token自頒發(fā)后將在一段時(shí)間內(nèi)有效,建議您設(shè)置合理的Token有效期,避免有效期過長(zhǎng)帶來安全風(fēng)險(xiǎn)。
說明STS Token有效期的最大值為角色的最大會(huì)話時(shí)間。從安全的角度考慮,應(yīng)將角色最大會(huì)話時(shí)間也設(shè)置在合理范圍。
滿足條件時(shí)對(duì)RAM角色設(shè)置SSO單點(diǎn)登錄功能,實(shí)現(xiàn)直接使用企業(yè)自有的身份登錄并訪問阿里云資源。