閱讀572 返回首頁    go 群英

多種機製保護主賬戶安全__最佳實踐_訪問控製-阿裏雲

主賬號相當於您的所有雲資源管控的root賬號,一旦主賬號的登錄密碼或API訪問密鑰丟失或泄露,將會對您的企業造成不可估量的損失,而且極有可能導致企業破產。

那如何保護您的root賬號安全呢?

原則一:給root賬號開啟多因素認證(二步認證)

  • 給root賬號開啟多因素認證(MFA),不要與他人共享MFA設備
  • 給授予特權操作的RAM用戶也開啟多因素認證。特權操作通常指管理用戶、授權、停止/釋放實例、修改實例配置、刪除數據等。

原則二:不要使用root賬號進行日常運維管理操作

  • 給員工創建RAM用戶賬號進行日常的運維管理操作
  • 為財務人員創建獨立的RAM用戶賬號
  • 創建獨立的RAM用戶賬號來作為RAM管理員

原則三:不要為root賬號創建AccessKey

  • AccessKey與登錄密碼具有同樣的特權,AccessKey用於程序訪問,登錄密碼用於控製台登錄。由於AccessKey通常以明文形式保存在配置文件中,泄露的風險更高。
  • 給所有的應用係統配置使用RAM用戶身份並遵循最小授權原則。

原則四:使用帶IP限製條件的授權策略進行授權

授予所有的特權操作必須受IP條件限製(acs:SourceIp)。那麼,即使RAM用戶的登錄密碼或AccessKey泄露,隻有攻擊者沒有滲透進入您的可信網絡,那麼攻擊者也無能為力。

原則五:使用帶MFA限製條件的授權策略進行授權

授予所有的特權操作必須受MFA條件限製(acs:MFAPresent)。那麼,即使RAM用戶的登錄密碼或AccessKey泄露,隻有MFA設備沒有丟失,攻擊者也無能為力。

沒有絕對的安全,隻有最佳的實踐。隻有遵循最佳安全實踐原則,綜合利用這些保護機製,相信可以極大提高對您的賬號資產的保護。

最後更新:2016-11-23 17:16:05

  上一篇:go 基本指導原則__最佳實踐_訪問控製-阿裏雲
  下一篇:go 用戶__身份管理_指南_訪問控製-阿裏雲