122      小米6

基本指導原則__最佳實踐_訪問控製-阿裏雲

為根賬戶和RAM用戶啟用MFA

建議您為根賬戶綁定MFA，每次使用根賬戶時都強製使用多因素認證。如果您創建了RAM用戶，並且給用戶授予了高風險操作權限（比如，停止虛擬機，刪除存儲桶），那麼建議您給RAM用戶綁定MFA。

使用群組給RAM用戶分配權限

一般情況下，您不必對RAM用戶直接綁定授權策略，更方便的做法是創建與人員工作職責相關的群組（如admins、developers、accounting等），為每個群組綁定合適的授權策略，然後把用戶加入這些群組。群組內的所有用戶共享相同的權限。這樣，如果您需要修改群組內所有人的權限，隻需在一處修改即可。當您的組織人員發生調動時，您隻需更改用戶所屬的群組即可。

將用戶管理、權限管理與資源管理分離

一個好的分權體係應該支持權力製衡，盡可能地降低安全風險。在使用RAM時，您應該考慮創建不同的RAM用戶，其職責分別是RAM用戶管理、RAM權限權限、以及各產品的資源操作管理。

為用戶登錄配置強密碼策略

如果您允許用戶更改登錄密碼，那麼應該要求他們創建強密碼並且定期輪換。您可以通過RAM控製台為RAM用戶創建密碼策略，如最短長度、是否需要非字母字符、必須進行輪換的頻率等等。

定期輪轉用戶登錄密碼和訪問密鑰

建議您或RAM用戶要定期輪換登錄密碼或訪問密鑰。在您不知情的時候，如果出現憑證泄露，那麼憑證的使用期限也是受限製的。您可以通過設置密碼策略來強製RAM用戶輪換登錄密碼或訪問密鑰的周期。

撤銷用戶不再需要的權限

當一個用戶由於工作職責變更而不再使用權限時，您應該及時將該用戶的權限進行撤銷。這樣，如果在不知情的時候，當用戶的訪問憑證泄露時對您帶來的安全風險最小。

將控製台用戶與API用戶分離

不建議給一個RAM用戶同時創建用於控製台操作的登錄密碼和用於API操作的訪問密鑰。通常隻給員工創建登錄密碼，給係統或應用程序隻創建訪問密鑰。

使用策略限製條件來增強安全性

建議您給用戶授權時設置策略限製條件，這樣可以增強安全性。比如，授權用戶Alice可以關停ECS實例，限製條件是Alice必須在指定時間、並且您公司網絡中執行該操作。

不要為根賬戶創建訪問密鑰

由於根賬戶對名下資源有完全控製權限，所以為了避免因訪問密鑰泄露所帶來的災難性損失，我們不建議創建根賬號訪問密鑰並使用該密鑰進行日常工作。創建根賬號的訪問密鑰需要通過登錄阿裏雲控製台才能完成，該操作需要多因素認證，並且還支持嚴格的風控檢查。隻要根賬戶不主動創建訪問密鑰，賬號名下的資產安全風險可控。

遵循最小授權原則

最小授權原則是安全設計的基本原則。當您需要給用戶授權時，請授予剛好滿足他工作所需的權限，而不要過渡授權。比如，在您的組織中，如果Developers組員（或者一個應用係統）的工作職責隻需要讀取OSS存儲桶裏的數據，那麼就隻給這個組（或應用係統）授予OSS資源的隻讀權限，而不要授權OSS資源的所有權限，更不要授予對所有產品資源的訪問權限。

最後更新：2016-11-24 11:23:47

  上一篇： RAM用戶登錄控製台__快速入門_訪問控製-阿裏雲

  下一篇： 多種機製保護主賬戶安全__最佳實踐_訪問控製-阿裏雲