閑置RAM用戶是指啟用了控制臺登錄方式,但從未登錄過控制臺的RAM用戶或超過90天未登錄控制臺的RAM用戶,建議您定期清理閑置RAM用戶。
風險說明
RAM用戶啟用控制臺登錄時會設置登錄密碼。時間越長,密碼暴露的風險就越高,一旦密碼泄露,攻擊者就可能登錄到控制臺,造成安全風險。
風險等級
中風險。
最佳實踐
對于人員用戶,建議使用單點登錄(SSO登錄)方式訪問控制臺,降低身份暴露風險。
如果暫無條件使用單點登錄(SSO登錄)方式,建議定期審計有控制臺登錄權限的RAM用戶的使用情況,定期清理閑置RAM用戶。
治理建議
對于確定沒有登錄控制臺需求的閑置RAM用戶,禁用控制臺訪問方式。
具體操作,請參見修改控制臺登錄設置。
如果閑置RAM用戶沒有AccessKey,且能夠確定該RAM用戶不再被任何人使用,且沒有在一些云服務中作為特定身份使用,則在禁用控制臺登錄方式一定時間后(例如:3個月),將該RAM用戶刪除。需要確認的場景如下:
容器鏡像服務ACR中用于鏡像拉取的賬號。
DataWorks中用于特定計算任務的賬號。
其他PaaS、SaaS類產品:云效、云呼叫中心、企業級分布式應用服務EDAS或數據管理DMS等。
治理難度
治理難度低。
文檔內容是否對您有幫助?