阿里云主账号相当于您的所有云资源管控的 root 账号。一旦主账号的登录密码或 API 访问密钥丢失或泄露,将会对您的企业造成不可估量的损失。

那么,在使用阿里云服务时,如何保护您的主账号安全呢?请参考本文提供的主账号安全实践若干原则。

原则 1:给主账号开启多因素认证

  • 给主账号开启多因素认证(MFA),不要与他人共享 MFA 设备。
  • 给授予特权操作的RAM 用户也开启多因素认证。特权操作通常指管理用户、授权、停止/释放实例、修改实例配置、删除数据等。

原则 2:不要使用主账号进行日常运维管理操作

  • 给员工创建 RAM 用户账号,进行日常的运维管理操作。
  • 为财务人员创建独立的 RAM 用户账号。
  • 创建独立的 RAM 用户账号来作为 RAM 管理员。

原则 3:不要为主账号创建 AccessKey

AccessKey 与登录密码具有同样的特权,AccessKey 用于程序访问,登录密码用于控制台登录。由于 AccessKey 通常以明文形式保存在配置文件中,泄露的风险更高。

给所有的应用系统配置 RAM 用户身份,并在 为 RAM 用户授权 时遵循最小授权原则。

原则 4:使用带 IP 限制条件的授权策略进行授权

授予所有的特权操作 必须受 IP 条件限制(acs:SourceIp)

那么,即使 RAM 用户的登录密码或 AccessKey 泄露,只有攻击者没有渗透进入您的可信网络,那么攻击者也无能为力。

原则 5:使用带 MFA 限制条件的授权策略进行授权

授予所有的特权操作 必须受 MFA 条件限制(acs:MFAPresent)

那么,即使 RAM 用户的登录密码或 AccessKey 泄露,只要 MFA 设备没有丢失,攻击者也无能为力。

更多限制条件,请参考 Policy语法结构

没有绝对的安全,只有最佳的实践。只有遵循最佳安全实践原则,综合利用这些保护机制,相信可以极大提高对您的账号资产的保护。