不使用主賬號登錄
不使用阿里云賬號(主賬號)的用戶名和密碼登錄阿里云控制臺。
風(fēng)險說明
主賬號權(quán)限極大,無法進行條件限制(例如:訪問來源IP地址、訪問時間等),多人共用時無法在審計日志中區(qū)分出具體使用人,一旦泄露風(fēng)險極大。
風(fēng)險等級
高風(fēng)險。
最佳實踐
不使用主賬號的用戶名和密碼登錄阿里云控制臺進行日常操作。日常操作使用SSO單點登錄或RAM用戶登錄的方式,同時,建議為主賬號啟用MFA,提高賬號安全性。
治理建議
為主賬號啟用MFA。具體操作,請參見為阿里云賬號啟用多因素認證。
使用SSO單點登錄方式訪問阿里云控制臺,減少固定賬號和密碼的使用。
對于無法進行SSO單點登錄的場景,建議您創(chuàng)建一個RAM用戶作為管理員,授予AdministratorAccess權(quán)限,啟用MFA,日常操作由該管理員完成。更多信息,請參見SSO概覽、創(chuàng)建RAM用戶、為RAM用戶授權(quán)、為RAM用戶綁定多因素認證設(shè)備。
治理難度
治理難度低。