安全最佳实践

身份与权限

  • 账号设置遵循最小权限原则。

  • 将权限分配给用户组,实现职责分离和方便快速变更权限。

  • 使用RAM用户而不是阿里云账号访问云资源,并合理设置RAM用户权限策略。

  • 访问云资源应使用实例角色或临时凭证(STS)而不是云账号或RAM用户的AccessKey,并尽可能控制权限范围。

  • 定期检查并移除不需要的用户、角色、权限、密钥或凭据,并定期轮换用户和应用程序的密钥。

  • 不要泄露AccessKey ID和AccessKey Secret,不要将AccessKey明文写入到代码中并公开到GitHub等平台上或存放在可以被其他用户读取到的位置。

  • 定期修改密码、设置密码时需符合密码强度校验。

  • 设置与其他平台不一致的复杂账号密码,避免不慎泄露后影响多个平台中资源的安全。主机上不同账号间不应共享密码或密钥对。

监控与审计

定期对账号操作进行审计。

建议使用操作审计等阿里云服务记录当前账号下管理控制台操作和OpenAPI的调用日志。