風險說明

針對RAM身份的權限管理，建議遵循最小化原則，僅授予必要的權限。Admin權限可以對賬號下的任意資源執行任意操作，避免給過多的RAM身份授予Admin權限，以免身份泄露對業務造成影響。

風險等級

高風險。

最佳實踐

在當前阿里云賬號下，擁有Admin權限的RAM身份數小于等于3個，則認為滿足要求。

治理建議

• 針對人員身份，建議根據人員職能劃分權限，例如：系統管理員、網絡管理員、數據庫管理員、安全管理員等。通過創建自定義權限策略的方式為對應職能身份創建權限策略，并根據自身需求進行調整。具體操作，請參見創建自定義權限策略。

• 針對程序身份，非必要不授予Admin權限，建議根據程序所需要訪問的API和資源等創建自定義權限策略，精細化授權。具體操作，請參見創建自定義權限策略。

治理難度

治理難度中。