身份管理
為確保您的阿里云賬號及云資源使用安全,如非必要都應(yīng)避免直接使用阿里云賬號(即主賬號)來訪問云治理中心。推薦的做法是使用RAM身份(即RAM用戶和RAM角色)來訪問云治理中心。
RAM用戶
RAM用戶需要由阿里云賬號(即主賬號)或擁有管理員權(quán)限的RAM用戶、RAM角色來創(chuàng)建,且必須在獲得授權(quán)后才能登錄控制臺或使用API訪問阿里云賬號下的資源。
對于RAM用戶的使用,建議您:
使用阿里云賬號創(chuàng)建一個RAM用戶,并為RAM用戶授予管理員權(quán)限,后續(xù)使用有管理員權(quán)限的RAM用戶創(chuàng)建并管理其他RAM用戶。
將人員用戶和程序用戶分離。
創(chuàng)建RAM用戶時,支持設(shè)置控制臺訪問和OpenAPI調(diào)用訪問兩種訪問方式。控制臺用戶使用賬號密碼訪問云產(chǎn)品控制臺,API用戶使用訪問密鑰AK(AccessKey)調(diào)用API訪問云資源。建議您將兩個不同的使用場景分離,避免誤操作導致服務(wù)受到影響。對于通過控制臺訪問的用戶,推薦為其開啟MFA多因素認證。
按需為RAM用戶分配最小權(quán)限。
最小權(quán)限是指授予用戶執(zhí)行某項任務(wù)所需的權(quán)限,不授予其他無需用到的權(quán)限。最小授權(quán)可以避免用戶操作權(quán)限過大,提高數(shù)據(jù)安全性,減少因權(quán)限濫用導致的安全風險。
不要把RAM用戶的AccessKey ID和AccessKey Secret保存在工程代碼中,否則可能導致AK泄露,威脅您賬號下所有資源的安全。建議您使用STS或環(huán)境變量等方式獲取訪問授權(quán)。
滿足條件時對RAM用戶設(shè)置SSO單點登錄功能,實現(xiàn)直接使用企業(yè)自有的身份登錄并訪問阿里云資源。
RAM用戶相關(guān)操作
RAM用戶組
當您的阿里云賬號下有多個RAM用戶時,可以通過創(chuàng)建用戶組對職責相同的RAM用戶進行分組管理和批量授權(quán),實現(xiàn)高效地管理RAM用戶及其權(quán)限。對于RAM用戶組的使用,建議您:
在對RAM用戶組授權(quán)時遵循最小權(quán)限策略原則。
在RAM用戶職責發(fā)生變化時將其從不再歸屬的用戶組中移除,避免權(quán)限濫用。
在某個用戶組不再需要某些權(quán)限時移除用戶組對應(yīng)的權(quán)限。
RAM用戶組相關(guān)操作
RAM角色
RAM角色是一種虛擬用戶,可以被授予一組權(quán)限策略。與RAM用戶不同,RAM角色沒有永久身份憑證(登錄密碼或訪問密鑰),需要被一個可信實體扮演。扮演成功后,可信實體將獲得RAM角色的臨時身份憑證,即安全令牌(STS Token),使用該安全令牌就能以RAM角色身份訪問被授權(quán)的資源。
以下是使用RAM角色的安全建議:
創(chuàng)建RAM角色后,請勿隨意變更RAM角色的可信實體。修改RAM角色信任策略中的可信實體,可能會導致原受信對象權(quán)限缺失,影響業(yè)務(wù)正常運行。也可能會因增加受信對象,帶來過度授權(quán)的風險。特殊情況必須修改時請務(wù)必在測試賬號充分測試,確保功能正常使用后,再應(yīng)用到正式生產(chǎn)賬號。
可信實體的RAM用戶獲得相關(guān)授權(quán)后即可以調(diào)用AssumeRole - 獲取扮演角色的臨時身份憑證接口獲取RAM角色的STS Token。STS Token自頒發(fā)后將在一段時間內(nèi)有效,建議您設(shè)置合理的Token有效期,避免有效期過長帶來安全風險。
說明STS Token有效期的最大值為角色的最大會話時間。從安全的角度考慮,應(yīng)將角色最大會話時間也設(shè)置在合理范圍。
滿足條件時對RAM角色設(shè)置SSO單點登錄功能,實現(xiàn)直接使用企業(yè)自有的身份登錄并訪問阿里云資源。