全部产品
访问控制

RAM 操作指导

更新时间:2017-09-15 10:32:39   分享:   

本文分别从 登录验证账号授权权限分配 三方面 提供 RAM 的操作建议,帮助您更有效地使用 RAM 进行用户身份管理和资源访问控制。

登录验证

为根账户和 RAM 用户启用 MFA

  • 建议您 为根账户绑定 MFA(Multi-factor authentication,多因素认证),每次使用根账户时都强制使用多因素认证。
  • 如果您创建了 RAM 用户,并且给用户授予了高风险操作权限(比如,停止虚拟机,删除存储桶),那么建议您 给 RAM 用户绑定 MFA

为用户登录配置强密码策略

定期轮转用户登录密码和访问密钥

  • 建议您或 RAM 用户要定期轮换登录密码或访问密钥。 在您不知情的时候,如果出现凭证泄露,那么凭证的使用期限也是受限制的。
  • 您可以通过 设置密码策略 来强制 RAM 用户轮换登录密码或访问密钥的周期。

账号授权

遵循最小授权原则

最小授权原则是安全设计的基本原则。当您需要 给 RAM 用户授权 时,请授予刚好满足他工作所需的权限,而不要过度授权。

比如,在您的组织中,如果 Developers 组员(或者一个应用系统)的工作职责只需要读取 OSS 存储桶里的数据,那么就只给这个组(或应用系统)授予 OSS 资源的只读权限,而不要授权 OSS 资源的所有权限,更不要授予对所有产品资源的访问权限。

使用策略限制条件来增强安全性

建议您给用户授权时 设置策略限制条件,这样可以增强安全性。

比如,授权用户 Alice 可以关停 ECS 实例,限制条件是 Alice 必须在指定时间、并且您公司网络中执行该操作。

及时撤销用户不再需要的权限

当一个用户由于工作职责变更而不再使用权限时,您应该及时 将用户的权限撤销。撤销方法请参考 给 RAM 用户授权 中的 后续操作

这样,如果在不知情的时候,当用户的访问凭证泄露时对您带来的安全风险最小。

权限分配

不要为根账户创建访问密钥

由于根账户对名下资源有完全控制权限,所以为了避免因访问密钥泄露所带来的灾难性损失,不建议您创建根账号访问密钥并使用该密钥进行日常工作。

使用群组给 RAM 用户分配权限

给 RAM 用户授权 时,除了对 RAM 用户直接绑定授权策略,更方便的做法是创建与人员工作职责相关的 群组(如admins、developers、accounting等),为每个群组绑定合适的授权策略,然后把用户加入这些群组。群组内的所有用户共享相同的权限。

这样,如果您需要修改群组内所有人的权限,只需在一处修改即可。当您的组织人员发生调动时,您只需更改用户所属的群组即可。

将用户管理、权限管理与资源管理分离

在使用 RAM 时,您应该考虑创建不同的 RAM 用户,其职责分别是 RAM 用户管理、RAM 权限分配,以及各产品的资源操作管理。一个好的分权体系应该支持权力制衡,尽可能地降低安全风险。

将控制台用户与 API 用户分离

不建议给一个 RAM 用户同时创建用于控制台操作的登录密码和用于 API 操作的访问密钥。通常只给员工创建登录密码,给系统或应用程序只创建访问密钥。

本文导读目录
本文导读目录
以上内容是否对您有帮助?