風險說明

針對RAM身份的權限管理，建議遵循最小化原則，僅授予必要的權限。對于擁有賬單和費用中心產品（BSS）寫權限的RAM身份來說，可以修改訂單、發票、合同、賬單等信息，執行交易、提現等資金操作，管理不善可能會造成資產損失。

風險等級

高風險。

最佳實踐

在當前阿里云賬號下，擁有bss:*、bssapi:*、bss:PayOrder、bss:Modify*、bss:Create*、bss:*Order*、bss:Delete*等寫類型權限的RAM身份數小于等于3個，則認為滿足要求。

治理建議

• 針對人員身份，建議根據人員職能劃分權限，例如：系統管理員、網絡管理員、數據庫管理員、安全管理員等。通過導入模板方式為對應職能身份創建權限策略，并根據自身需求進行調整。具體操作，請參見通過導入模板創建自定義權限策略。

• 針對程序身份，非必要不授予BSS相關權限，建議根據程序所需要訪問的API和資源等創建自定義權限策略，精細化授權。具體操作，請參見創建自定義權限策略。

治理難度

治理難度中。