AccessKey及权限治理最佳实践

为AccessKey及权限的治理提供最佳实践,从AccessKey、阿里云账号、RAM用户的设置和使用方式等方面进行检测。本文为您介绍AccessKey及权限治理最佳实践合规包中的默认规则。

规则名称

规则描述

RAM用户的AccessKey在指定时间内轮换

RAM用户下AccessKey的创建时间距离检查时间不超过指定天数,视为“合规”。默认值:90天。

RAM用户不存在闲置AccessKey

RAM用户AccessKey的最后使用时间距今天数小于参数设置的天数,视为“合规”。默认值:90天。

RAM用户访问设置人员和程序分离

RAM用户未同时开启控制台访问和API调用访问,视为“合规”。

RAM用户在指定时间内有登录行为

如果RAM用户在最近90天有登录行为,视为“合规”。如果RAM用户的最近登录时间为空,则检查更新时间,当更新时间小于等于90天时,视为“合规”。未开启控制台访问的用户视为“不适用”。

RAM用户存在有效AccessKey不超过2个

RAM用户存在状态为激活同时创建时间超过了指定天数的AccessKey数量小于2个,视为“合规”。建议RAM用户最多存在1个有效AccessKey,轮换时可短时间内持有2个。

RAM用户密码策略符合要求

RAM用户密码策略中各项配置满足参数设置的值,视为“合规”。

不存在超级管理员

RAM用户、RAM用户组、RAM角色均未拥有Resource为*且Action为*的超级管理员权限,视为“合规”。

阿里云账号开启MFA

阿里云账号开启MFA,视为“合规”。

ACK集群启用RRSA功能

启用ACK集群的RRSA功能,视为“合规”。RRSA功能可以在集群内实现Pod维度的OpenAPI权限隔离,从而实现云资源访问权限的细粒度隔离,降低安全风险。

ECS实例被授予实例RAM角色

ECS实例被授予了实例RAM角色,视为“合规”。

函数计算服务配置了服务角色

函数计算服务配置了服务角色,视为“合规”。避免因暴露阿里云账号密钥,造成安全风险。