身份與權限

• 賬號設置遵循最小權限原則。

• 將權限分配給用戶組，實現(xiàn)職責分離和方便快速變更權限。

• 使用RAM用戶而不是阿里云賬號訪問云資源，并合理設置RAM用戶權限策略。

• 訪問云資源應使用實例角色或臨時憑證（STS）而不是云賬號或RAM用戶的AccessKey，并盡可能控制權限范圍。

• 定期檢查并移除不需要的用戶、角色、權限、密鑰或憑據(jù)，并定期輪換用戶和應用程序的密鑰。

• 不要泄露AccessKey ID和AccessKey Secret，不要將AccessKey明文寫入到代碼中并公開到GitHub等平臺上或存放在可以被其他用戶讀取到的位置。

• 定期修改密碼、設置密碼時需符合密碼強度校驗。

• 設置與其他平臺不一致的復雜賬號密碼，避免不慎泄露后影響多個平臺中資源的安全。主機上不同賬號間不應共享密碼或密鑰對。

監(jiān)控與審計

定期對賬號操作進行審計。

建議使用操作審計等阿里云服務記錄當前賬號下管理控制臺操作和OpenAPI的調用日志。