風險說明

針對RAM身份的權限管理，建議遵循最小化原則，僅授予必要的權限。擁有oss:Delete*或log:Delete*相關權限的RAM身份，可以刪除存儲在OSS或SLS中的數據，管理不善可能會造成數據丟失。擁有oss:PutBucketAcl、oss:PutObjectAcl、oss:PutBucketPolicy等權限的RAM身份，可以修改OSS Bucket內文件的訪問權限，導致OSS文件被外部訪問，可能會造成未經授權的數據訪問。

風險等級

高風險。

最佳實踐

在當前阿里云賬號下，擁有oss:Delete*、oss:Put*Acl、oss:Put*Policy、log:Delete*、log:Update*權限的RAM身份數小于等于3個，則認為滿足要求。

治理建議

• 針對人員身份，建議根據人員職能劃分權限，例如：系統管理員、網絡管理員、數據庫管理員、安全管理員等。通過導入模板方式為對應職能身份創建權限策略，并根據自身需求進行調整。具體操作，請參見通過導入模板創建自定義權限策略。

• 針對程序身份，非必要不授予刪除Bucket、刪除Log store、刪除Log project、修改Bucket Policy等相關權限，建議根據程序所需要訪問的API和資源等創建自定義權限策略，精細化授權。具體操作，請參見創建自定義權限策略。

治理難度

治理難度中。