風險說明

針對RAM身份的權限管理，建議遵循最小化原則，僅授予必要的權限。具有RAM產品寫權限的RAM身份，可以創建新的身份或修改已有身份的權限，造成過度授權，為賬號內資源的安全性和保密性帶來風險。

風險等級

高風險。

最佳實踐

在當前阿里云賬號下，擁有ram:*、ram:Create*、ram:Update*、ram:Delete*等寫類型權限的RAM身份數小于等于3個，則認為滿足要求。

治理建議

• 針對人員身份，建議根據人員職能劃分權限，例如：系統管理員、網絡管理員、數據庫管理員、安全管理員等。通過導入模板方式為對應職能身份創建權限策略，并根據自身需求進行調整。具體操作，請參見通過導入模板創建自定義權限策略。

• 針對程序身份，非必要不授予RAM相關權限，建議根據程序所需要訪問的API和資源等創建自定義權限策略，精細化授權。具體操作，請參見創建自定義權限策略。

治理難度

治理難度中。