避免為過多RAM身份授予OSS、SLS高危權(quán)限
風(fēng)險(xiǎn)說明
針對RAM身份的權(quán)限管理,建議遵循最小化原則,僅授予必要的權(quán)限。擁有oss:Delete*或log:Delete*相關(guān)權(quán)限的RAM身份,可以刪除存儲在OSS或SLS中的數(shù)據(jù),管理不善可能會造成數(shù)據(jù)丟失。擁有oss:PutBucketAcl、oss:PutObjectAcl、oss:PutBucketPolicy等權(quán)限的RAM身份,可以修改OSS Bucket內(nèi)文件的訪問權(quán)限,導(dǎo)致OSS文件被外部訪問,可能會造成未經(jīng)授權(quán)的數(shù)據(jù)訪問。
風(fēng)險(xiǎn)等級
高風(fēng)險(xiǎn)。
最佳實(shí)踐
在當(dāng)前阿里云賬號下,擁有oss:Delete*、oss:Put*Acl、oss:Put*Policy、log:Delete*、log:Update*權(quán)限的RAM身份數(shù)小于等于3個,則認(rèn)為滿足要求。
治理建議
針對人員身份,建議根據(jù)人員職能劃分權(quán)限,例如:系統(tǒng)管理員、網(wǎng)絡(luò)管理員、數(shù)據(jù)庫管理員、安全管理員等。通過導(dǎo)入模板方式為對應(yīng)職能身份創(chuàng)建權(quán)限策略,并根據(jù)自身需求進(jìn)行調(diào)整。具體操作,請參見通過導(dǎo)入模板創(chuàng)建自定義權(quán)限策略。
針對程序身份,非必要不授予刪除Bucket、刪除Log store、刪除Log project、修改Bucket Policy等相關(guān)權(quán)限,建議根據(jù)程序所需要訪問的API和資源等創(chuàng)建自定義權(quán)限策略,精細(xì)化授權(quán)。具體操作,請參見創(chuàng)建自定義權(quán)限策略。
治理難度
治理難度中。