为确保您的阿里云账号及云资源使用安全,如非必要都应避免直接使用阿里云账号(即主账号)来访问金融级实人认证服务。推荐的做法是使用RAM身份(即RAM用户)来访问金融级实人认证服务。
RAM用户
RAM用户需要由阿里云账号(即主账号)或拥有管理员权限的RAM用户、RAM角色来创建,且必须在获得授权后才能登录控制台或使用API访问阿里云账号下的资源。
对于RAM用户的使用,建议您:
使用阿里云账号创建一个RAM用户,并为RAM用户授予管理员权限,后续使用有管理员权限的RAM用户创建并管理其他RAM用户。
根据实际需求为RAM用户分配最小必要权限。最小权限原则指仅授予用户完成特定任务所必需的权限,不得包含与该任务无关的其他权限。遵循该原则可有效限制用户操作范围,提升数据安全性,并降低因权限滥用引发的安全风险。
将控制台用户和API用户分离,避免误操作导致服务受到影响。
控制台用户:建议使用账号和密码访问云产品控制台,亦可使用STS(Security Token Service)临时凭证访问。推荐为所有控制台用户启用MFA(多因素认证)。若满足条件,可为RAM用户配置SSO(单点登录),使其通过企业自有身份系统直接访问阿里云资源。
API用户:使用AccessKey(AK)调用云服务API。严禁将RAM用户的AccessKey ID与AccessKey Secret硬编码于应用程序源码中,以防密钥泄露,危及账号下全部资源安全。建议采用STS临时凭证或通过环境变量等方式安全传递访问凭证。
RAM用户相关操作
RAM用户组
当您的阿里云账号下有多个RAM用户时,可以通过创建用户组对职责相同的RAM用户进行分组管理和批量授权,高效地管理RAM用户及其权限。
对于RAM用户组的使用,建议您:
在对RAM用户组授权时遵循最小权限策略原则。
在RAM用户职责发生变化时将其从不再归属的用户组中移除,避免权限滥用。
在某个用户组不再需要某些权限时移除用户组对应的权限。