風險說明
針對RAM身份的權限管理,建議遵循最小化原則,僅授予必要的權限。通過將云上資源按照應用、環境等維度,使用資源組進行資源劃分,授權時可以按照資源組進行授權,進一步縮小權限范圍,避免權限過大帶來的風險。
風險等級
中風險。
最佳實踐
在當前阿里云賬號下,擁有服務級系統策略(例如:AliyunECSFullAccess等)的RAM身份,授權范圍為資源組,則認為滿足要求。
治理建議
按照應用、環境等維度進行資源組規劃。
具體操作,請參見創建資源組。
為RAM身份授權,授權范圍選擇指定資源組,權限策略選擇服務級系統策略(例如:AliyunECSFullAccess等)。
具體操作,請參見添加RAM身份并授權。
移除RAM身份在整個云賬號范圍內的服務級系統策略。
具體操作,請參見為RAM用戶移除權限、為RAM角色移除權限或為用戶組移除權限。
驗證RAM身份在對應資源組內的權限是否生效。
治理難度
治理難度高。
文檔內容是否對您有幫助?