身份管理
為確保您的阿里云賬號及云資源使用安全,如非必要都應(yīng)避免直接使用阿里云賬號(即主賬號)來訪問信息核驗(yàn)。推薦的做法是使用RAM身份(即RAM用戶)來訪問信息核驗(yàn)。
RAM用戶
RAM用戶需要由阿里云賬號(即主賬號)或擁有管理員權(quán)限的RAM用戶、RAM角色來創(chuàng)建,且必須在獲得授權(quán)后才能登錄控制臺或使用API訪問阿里云賬號下的資源。
對于RAM用戶的使用,建議您:
使用阿里云賬號創(chuàng)建一個(gè)RAM用戶,并為RAM用戶授予管理員權(quán)限,后續(xù)使用有管理員權(quán)限的RAM用戶創(chuàng)建并管理其他RAM用戶。
將人員用戶和程序用戶分離。
創(chuàng)建RAM用戶時(shí),支持設(shè)置控制臺訪問和OpenAPI調(diào)用訪問兩種訪問方式。控制臺用戶使用賬號密碼訪問云產(chǎn)品控制臺,API用戶使用訪問密鑰AK(AccessKey)調(diào)用API訪問云資源。建議您將兩個(gè)不同的使用場景分離,避免誤操作導(dǎo)致服務(wù)受到影響。對于通過控制臺訪問的用戶,推薦為其開啟MFA多因素認(rèn)證。
按需為RAM用戶分配最小權(quán)限。
最小權(quán)限是指授予用戶執(zhí)行某項(xiàng)任務(wù)所需的權(quán)限,不授予其他無需用到的權(quán)限。最小授權(quán)可以避免用戶操作權(quán)限過大,提高數(shù)據(jù)安全性,減少因權(quán)限濫用導(dǎo)致的安全風(fēng)險(xiǎn)。
不要把RAM用戶的AccessKey ID和AccessKey Secret保存在工程代碼中,否則可能導(dǎo)致AK泄露,威脅您賬號下所有資源的安全。建議您使用STS或環(huán)境變量等方式獲取訪問授權(quán)。
滿足條件時(shí)對RAM用戶設(shè)置SSO單點(diǎn)登錄功能,實(shí)現(xiàn)直接使用企業(yè)自有的身份登錄并訪問阿里云資源。
RAM用戶相關(guān)操作
RAM用戶組
當(dāng)您的阿里云賬號下有多個(gè)RAM用戶時(shí),可以通過創(chuàng)建用戶組對職責(zé)相同的RAM用戶進(jìn)行分組管理和批量授權(quán),實(shí)現(xiàn)高效地管理RAM用戶及其權(quán)限。對于RAM用戶組的使用,建議您:
在對RAM用戶組授權(quán)時(shí)遵循最小權(quán)限策略原則。
在RAM用戶職責(zé)發(fā)生變化時(shí)將其從不再歸屬的用戶組中移除,避免權(quán)限濫用。
在某個(gè)用戶組不再需要某些權(quán)限時(shí)移除用戶組對應(yīng)的權(quán)限。