全部产品
存储与CDN 数据库 安全 应用服务 数加·人工智能 数加·大数据基础服务 互联网中间件 视频服务 开发者工具 解决方案 物联网
访问控制

主账号安全实践

更新时间:2017-09-15 10:32:39

阿里云主账号相当于您的所有云资源管控的 root 账号。一旦主账号的登录密码或 API 访问密钥丢失或泄露,将会对您的企业造成不可估量的损失。

那么,在使用阿里云服务时,如何保护您的主账号安全呢?请参考本文提供的主账号安全实践若干原则。

原则 1:给主账号开启多因素认证

原则 2:不要使用主账号进行日常运维管理操作

  • 给员工 创建 RAM 用户账号 进行日常的运维管理操作。
  • 为财务人员创建独立的 RAM 用户账号。
  • 创建独立的 RAM 用户账号来作为 RAM 管理员。

原则 3:不要为主账号创建 AccessKey

AccessKey 与登录密码具有同样的特权,AccessKey 用于程序访问,登录密码用于控制台登录。由于 AccessKey 通常以明文形式保存在配置文件中,泄露的风险更高。

给所有的应用系统 配置 RAM 用户身份,并在 给 RAM 用户授权 时遵循最小授权原则。

原则 4:使用带 IP 限制条件的授权策略进行授权

授予所有的特权操作 必须受 IP 条件限制(acs:SourceIp)

那么,即使 RAM 用户的登录密码或 AccessKey 泄露,只有攻击者没有渗透进入您的可信网络,那么攻击者也无能为力。

原则 5:使用带 MFA 限制条件的授权策略进行授权

授予所有的特权操作 必须受 MFA 条件限制(acs:MFAPresent)

那么,即使 RAM 用户的登录密码或 AccessKey 泄露,只要 MFA 设备没有丢失,攻击者也无能为力。

更多限制条件,请参考 Policy 语法结构

没有绝对的安全,只有最佳的实践。只有遵循最佳安全实践原则,综合利用这些保护机制,相信可以极大提高对您的账号资产的保护。

本文导读目录