本文为您介绍当企业上云之后,通过RAM进行安全管控,帮助您实现简单管理账号、统一分配权限、集中管控资源,建立安全完善的资源控制体系。

前提条件

请确保您已经注册了阿里云账号。如还未注册,请先完成账号注册。详情请参见账号注册

背景信息

某些公司使用RAM初期,对RAM的优势不够了解,也对云资源的安全管理要求不高。但是当初创企业成长为大型公司,或大型企业客户迁移上云,他们的组织结构更加复杂,对云资源的安全管理需求也更加强烈,需要建立安全完善的资源控制体系。

  • 存在多用户协同操作,RAM用户分工不同,各司其职。
  • 云账号不想与其他RAM用户共享云账号密钥,密钥泄露风险较大。
  • RAM用户对资源的访问方式多种多样,资源泄露风险高。
  • 某些RAM用户离开组织时,需要收回其对资源的访问权限。

解决方案

使用RAM,您可以创建、管理RAM用户,并可以控制这些RAM用户对资源的操作权限。当您的企业存在多用户协同操作资源时,使用RAM可以让您避免与其他用户共享云账号密钥,按需为用户分配最小权限,管理更加方便,权限更加明确,信息更加安全。


解决方案

安全管理实施方案

  • 创建独立的RAM用户

    企业只需使用一个云账号。通过RAM为名下的不同操作员创建独立的RAM用户,进行分权管理,不使用云账号进行日常运维管理。

    详情请参见创建RAM用户

  • 将控制台用户与API用户分离

    不建议给一个RAM用户同时创建用于控制台操作的登录密码和用于API操作的访问密钥。

    • 对于应用程序账号,只需要通过OpenAPI访问云资源,只需要给它创建访问密钥即可。
    • 对于员工账号,只需要通过控制台操作云资源,只需要设置登录密码即可。

    详情请参见创建RAM用户

  • 创建用户并进行分组

    当云账号下有多个RAM用户时,可以通过创建用户组对职责相同的RAM用户进行分类并授权。

    详情请参见创建用户组

  • 给不同用户组分配最小权限

    您可以使用系统策略为用户或用户组绑定合理的权限策略,如果您需要更精细粒度的权限策略,也可以选择使用自定义策略。通过为用户或用户组授予最小权限,可以更好的限制用户对资源的操作权限。

    详情请参见创建自定义策略

  • 为用户登录配置强密码策略

    您可以通过RAM控制台设置密码策略,如密码长度、密码中必须包含元素、密码有效期等。如果允许子用户更改登录密码,那么应该要求他们创建强密码并且定期轮换登录密码或访问密钥。

    详情请参见设置RAM用户安全策略

  • 为云账号开启多因素认证

    开启多因素认证(Multi-factor authentication,MFA)可以提高账号的安全性,在用户名和密码之外再增加一层安全保护。启用MFA后,用户登录阿里云时,系统将要求输入两层安全要素:

    1. 第一安全要素:用户名和密码
    2. 第二安全要素:多因素认证设备生成的验证码

    详情请参见为云账号设置多因素认证

  • 为用户开启SSO单点登录功能

    开启SSO单点登录后,企业内部账号进行统一的身份认证,实现使用企业本地账号登录阿里云才能访问相应资源。

    详情请参见用户SSO概览

  • 不要为云账号创建访问密钥

    由于云账号对名下资源有完全控制权限,AccessKey与登录密码具有同样的权力,AccessKey用于程序访问,登录密码用于控制台登录。为了避免因访问密钥泄露带来的信息泄露,不建议您创建云账号访问密钥并使用该密钥进行日常工作。

    您可以通过为RAM用户创建访问密钥,使用RAM用户进行日常工作。

    详情请参见为RAM用户创建访问密钥

  • 使用策略限制条件来增强安全性

    要求用户必须使用安全信道(例如:SSL)、在指定时间范围或在指定源IP条件下才能操作指定的云资源。

    详情请参见权限策略基本元素

  • 集中控制云资源

    阿里云默认云账号是资源的拥有者,掌握完全控制权。RAM用户对资源只有使用权,没有所有权。这一特性可以方便您对用户创建的实例或数据进行集中控制。

    • 当用户离开组织:只需要将对应的账号移除,即可撤销所有权限。
    • 当用户加入组织:只需创建新的账号,设置登录密码或访问密钥并为 RAM 用户授权。

    详情请参见为RAM用户授权

  • 使用STS给用户授权临时权限

    STS (Security Token Service)是RAM的一个扩展授权服务,使用STS访问令牌可以给用户授予临时权限,您可以根据需要来定义访问令牌的权限和自动过期时间,可以让授权更加可控。

    详情请参见什么是STS

操作结果

遵循最佳安全实践原则,企业上云之后,综合利用这些保护机制,建立安全完善的资源控制体系,可以更有效的保护账号及资产的安全。

更多信息

企业上云以后通过RAM进行运维划分,根据不同的职责,划分不同的运维人员,方便管理和控制。详情请参见RAM对多运维人员的权限管控