阅读572 返回首页    go iPhone_iPad_Mac_apple

多种机制保护主账户安全__最佳实践_访问控制-阿里云

主账号相当于您的所有云资源管控的root账号,一旦主账号的登录密码或API访问密钥丢失或泄露,将会对您的企业造成不可估量的损失,而且极有可能导致企业破产。

那如何保护您的root账号安全呢?

原则一:给root账号开启多因素认证(二步认证)

  • 给root账号开启多因素认证(MFA),不要与他人共享MFA设备
  • 给授予特权操作的RAM用户也开启多因素认证。特权操作通常指管理用户、授权、停止/释放实例、修改实例配置、删除数据等。

原则二:不要使用root账号进行日常运维管理操作

  • 给员工创建RAM用户账号进行日常的运维管理操作
  • 为财务人员创建独立的RAM用户账号
  • 创建独立的RAM用户账号来作为RAM管理员

原则三:不要为root账号创建AccessKey

  • AccessKey与登录密码具有同样的特权,AccessKey用于程序访问,登录密码用于控制台登录。由于AccessKey通常以明文形式保存在配置文件中,泄露的风险更高。
  • 给所有的应用系统配置使用RAM用户身份并遵循最小授权原则。

原则四:使用带IP限制条件的授权策略进行授权

授予所有的特权操作必须受IP条件限制(acs:SourceIp)。那么,即使RAM用户的登录密码或AccessKey泄露,只有攻击者没有渗透进入您的可信网络,那么攻击者也无能为力。

原则五:使用带MFA限制条件的授权策略进行授权

授予所有的特权操作必须受MFA条件限制(acs:MFAPresent)。那么,即使RAM用户的登录密码或AccessKey泄露,只有MFA设备没有丢失,攻击者也无能为力。

没有绝对的安全,只有最佳的实践。只有遵循最佳安全实践原则,综合利用这些保护机制,相信可以极大提高对您的账号资产的保护。

最后更新:2016-11-23 17:16:05

  上一篇:go 基本指导原则__最佳实践_访问控制-阿里云
  下一篇:go 用户__身份管理_指南_访问控制-阿里云