清理闲置RAM用户

风险说明

RAM用户启用控制台登录时会设置登录密码。时间越长，密码暴露的风险就越高，一旦密码泄露，攻击者就可能登录到控制台，造成安全风险。

风险等级

中风险。

最佳实践

对于人员用户，建议使用单点登录（SSO登录）方式访问控制台，降低身份暴露风险。

如果暂无条件使用单点登录（SSO登录）方式，建议定期审计有控制台登录权限的RAM用户的使用情况，定期清理闲置RAM用户。

治理建议

• 对于确定没有登录控制台需求的闲置RAM用户，禁用控制台访问方式。

  具体操作，请参见修改控制台登录设置。

• 如果闲置RAM用户没有AccessKey，且能够确定该RAM用户不再被任何人使用，且没有在一些云服务中作为特定身份使用，则在禁用控制台登录方式一定时间后（例如：3个月），将该RAM用户删除。需要确认的场景如下：

  • 容器镜像服务ACR中用于镜像拉取的账号。

  • DataWorks中用于特定计算任务的账号。

  • 其他PaaS、SaaS类产品：云效、云呼叫中心、企业级分布式应用服务EDAS或数据管理DMS等。

治理难度

治理难度低。