阿里云安全最佳实践推荐使用最小权限用户进行操作。账号的根用户(主账号)默认具备Administrator权限,具有极高的安全风险,不符合安全实践要求。资源目录中建议禁用所有账号的根用户(主账号),启用可配置适当权限的RAM用户执行所有操作。
问题原因
资源目录的关键操作仅支持具有访问权限的RAM用户操作,主要是因为:
符合最小权限原则。
规避账号的根用户(主账号)权限滥用导致的安全风险。
为企业员工分配对应的RAM用户,系统会记录RAM用户的操作行为,方便审计回溯。
问题现象和解决方案
问题现象 | 解决方案 |
管理账号的根用户(主账号)无权登入成员账号。 | 为管理账号创建一个RAM用户,授予资源目录的管理权限(AliyunResourceDirectoryFullAccess)或操作所需的最小权限。同时,为该RAM用户授予RAM角色扮演权限(AliyunSTSAssumeRoleAccess)。使用该RAM用户登入成员账号。具体操作,请参见通过RAM角色登录阿里云控制台。 说明 AliyunResourceDirectoryFullAccess是管理资源目录服务的最大权限,如果只是做部分操作,建议您仅授予操作所需的最小权限。鉴权列表详情,请参见资源目录鉴权列表。 |
管理账号的根用户(主账号)无权删除资源账号。 | 为管理账号创建一个RAM用户,授予资源目录的管理权限(AliyunResourceDirectoryFullAccess)或操作所需的最小权限。同时,必须开启成员删除许可。具体操作,请参见开启成员删除许可和删除资源账号类型的成员。 说明 AliyunResourceDirectoryFullAccess是管理资源目录服务的最大权限,如果只是做部分操作,建议您仅授予操作所需的最小权限。鉴权列表详情,请参见资源目录鉴权列表。 |
管理账号的根用户(主账号)无权切换成员账号类型、无权为成员绑定安全手机。 | 为管理账号创建一个RAM用户,授予资源目录的管理权限(AliyunResourceDirectoryFullAccess)或操作所需的最小权限。使用该RAM用户切换成员账号类型、为成员绑定安全手机。 说明 AliyunResourceDirectoryFullAccess是管理资源目录服务的最大权限,如果只是做部分操作,建议您仅授予操作所需的最小权限。鉴权列表详情,请参见资源目录鉴权列表。 |
无法通过资源账号的根用户(主账号)登录阿里云控制台。 | 资源目录中创建的资源账号,本身没有根用户(主账号),所以无法通过主账号用户名和密码登录的方式登录阿里云控制台,您需要通过RAM用户或RAM角色登录控制台。具体操作,请参见通过RAM角色登录阿里云控制台或通过RAM用户登录阿里云控制台。 说明 如果某些特殊场景,您必须通过资源账号的根用户(主账号)登录,您可以将成员的类型由资源账号切换为云账号。具体操作,请参见如何通过成员的根用户(主账号)登录控制台?。 |
- 本页导读 (1)