風險說明
針對RAM身份的權限管理,建議遵循最小化原則,僅授予必要的權限。擁有oss:Delete*
或log:Delete*
相關權限的RAM身份,可以刪除存儲在OSS或SLS中的數據,管理不善可能會造成數據丟失。擁有oss:PutBucketAcl
、oss:PutObjectAcl
、oss:PutBucketPolicy
等權限的RAM身份,可以修改OSS Bucket內文件的訪問權限,導致OSS文件被外部訪問,可能會造成未經授權的數據訪問。
風險等級
高風險。
最佳實踐
在當前阿里云賬號下,擁有oss:Delete*
、oss:Put*Acl
、oss:Put*Policy
、log:Delete*
、log:Update*
權限的RAM身份數小于等于3個,則認為滿足要求。
治理建議
針對人員身份,建議根據人員職能劃分權限,例如:系統管理員、網絡管理員、數據庫管理員、安全管理員等。通過導入模板方式為對應職能身份創建權限策略,并根據自身需求進行調整。具體操作,請參見通過導入模板創建自定義權限策略。
針對程序身份,非必要不授予刪除Bucket、刪除Log store、刪除Log project、修改Bucket Policy等相關權限,建議根據程序所需要訪問的API和資源等創建自定義權限策略,精細化授權。具體操作,請參見創建自定義權限策略。
治理難度
治理難度中。
文檔內容是否對您有幫助?