身份權限治理根據企業上云安全實踐,持續檢測阿里云賬號(主賬號)及其下的RAM用戶是否存在身份權限的安全風險,幫助您及時發現治理缺失,并提供友好的治理引導,幫助您完善云上身份權限治理的配置。
開通身份權限治理
身份權限治理功能需要開通后才能正常使用。一旦開通,不支持關閉。
使用阿里云賬號登錄RAM控制臺。
在左側導航欄,單擊概覽。
單擊治理檢測頁簽,然后在治理檢測區域,單擊開通服務。
在開通身份權限治理服務對話框,閱讀并同意服務協議,然后單擊立即開通。
開通身份權限治理功能后,系統會自動開始檢測。您也可以單擊重新檢測,手動進行檢測。
說明治理數據大約每4小時更新1次,4小時以內重新檢測不會生成新的報告。
查看身份權限治理的數據
等待檢測完成后,您可以查看待治理項的詳細數據。
在治理檢測頁簽下的檢測項目區域,查看待治理項。
您也可以在治理檢測區域,單擊下載報告,下載檢測數據在本地查看。
單擊目標待治理項。
關于治理項,請參見身份權限治理檢測項。
在檢測詳情頁面,查看檢測詳情和治理方案,然后跳轉到對應的控制臺完善治理項。
身份權限治理檢測項
分類 | 檢測項 | 治理方案 |
AccessKey管理 | 不使用主賬號AccessKey(從未使用) | |
不使用主賬號AccessKey(90天內使用中) | ||
不使用主賬號AccessKey(超過90天未使用) | ||
RAM用戶的AccessKey定期輪轉 | ||
無閑置RAM用戶的AccessKey(從未使用) | ||
無閑置RAM用戶的AccessKey(超過90天未使用) | ||
RAM用戶不能同時啟用兩個AccessKey | ||
RAM用戶管理 | 人員用戶和程序用戶分離 | |
無閑置RAM用戶(從未登錄) | ||
無閑置RAM用戶(超過90天未登錄) | ||
不使用主賬號登錄 | ||
密碼和MFA管理 | 主賬號是否設置MFA | |
RAM用戶開啟MFA | ||
設置較強的密碼強度規則 | ||
安全使用建議 | 使用SSO登錄控制臺 | |
高危權限管理 | 避免為過多RAM身份授予Admin權限 | |
避免為過多RAM身份授予RAM高危權限 | ||
避免為過多RAM身份授予費用中心高危權限 | ||
避免為過多RAM身份授予OSS、SLS高危權限 | ||
細粒度權限管理 | 對OSS、SLS的訪問進行收斂 | |
對可訪問操作的范圍進行收斂 | ||
授權效率 | 有Admin權限的RAM身份,授權范圍為資源組 | |
有服務級系統策略的RAM身份,授權范圍為資源組 |