風險說明

針對RAM身份的權限管理，建議遵循最小化原則，僅授予必要的權限。通過將云上資源按照應用、環境等維度，使用資源組進行資源劃分，授權時可以按照資源組進行授權，進一步縮小權限范圍，避免權限過大帶來的風險。

風險等級

中風險。

最佳實踐

在當前阿里云賬號下，擁有服務級系統策略（例如：AliyunECSFullAccess等）的RAM身份，授權范圍為資源組，則認為滿足要求。

治理建議

1. 按照應用、環境等維度進行資源組規劃。

   具體操作，請參見創建資源組。

2. 為RAM身份授權，授權范圍選擇指定資源組，權限策略選擇服務級系統策略（例如：AliyunECSFullAccess等）。

   具體操作，請參見添加RAM身份并授權。

3. 移除RAM身份在整個云賬號范圍內的服務級系統策略。

   具體操作，請參見為RAM用戶移除權限、為RAM角色移除權限或為用戶組移除權限。

4. 驗證RAM身份在對應資源組內的權限是否生效。

治理難度

治理難度高。