当企业上云之后,RAM可以帮助您实现简单管理账号、统一分配权限、集中管控资源,从而建立安全、完善的资源控制体系。
背景信息
某些企业使用RAM初期,对RAM的优势不够了解,也对资源的安全管理要求不高。然而,当初创企业成长为大型企业或大型企业客户迁移上云后,组织结构更加复杂,对资源的安全管理需求也更加强烈,需要建立安全、完善的资源控制体系。
- 存在多用户协同操作,RAM用户分工不同,各司其职。
- 阿里云账号不想与其他RAM用户共享阿里云账号访问密钥(AccessKey),访问密钥泄露风险较大。
- RAM用户对资源的访问方式多种多样,资源泄露风险高。
- 某些RAM用户离开组织时,需要收回其对资源的访问权限。
解决方案
使用RAM,您可以创建、管理RAM用户,并可以控制这些RAM用户对资源的操作权限。当您的企业存在多用户协同操作资源时,使用RAM可以让您避免与其他用户共享阿里云账号访问密钥,按需为用户分配最小权限,管理更加方便,权限更加明确,信息更加安全。
安全管理原则
- 创建独立的RAM用户
企业只需使用一个阿里云账号。通过RAM为名下的不同操作员创建独立的RAM用户,进行分权管理,不使用阿里云账号进行日常运维管理。
具体操作,请参见创建RAM用户。
- 将控制台用户与API用户分离
不建议为一个RAM用户同时创建用于控制台操作的登录密码和用于API调用的访问密钥。具体如下:
- 应用程序账号:只需要通过API访问资源,创建访问密钥即可。
- 员工账号:只需要通过控制台操作资源,设置登录密码即可。
具体操作,请参见创建RAM用户。
- 创建RAM用户并进行分组
当阿里云账号下有多个RAM用户时,可以通过创建用户组对职责相同的RAM用户进行分类并授权。
具体操作,请参见创建用户组。
- 为不同用户组分配最小权限
您可以使用系统策略或自定义策略为RAM用户或用户组授权。自定义策略可以满足您精细化授权的需求。通过为RAM用户或用户组授予最小权限,可以更好地限制RAM用户对资源的操作权限。
说明 当业务场景比较简单时,您可以直接创建RAM用户并为其授权。当业务场景越来越复杂,RAM用户数量越来越多时,推荐您将相同职责的RAM用户添加到用户组,然后为用户组授权,以此降低管理的复杂性。 - 为RAM用户配置强密码策略
您可以通过RAM控制台设置密码策略,例如:密码长度、密码中必须包含元素、密码有效期等。如果允许RAM用户更改登录密码,那么应该要求RAM用户创建强密码并且定期轮换登录密码或访问密钥。
具体操作,请参见设置RAM用户安全策略。
- 为阿里云账号开启多因素认证
开启多因素认证(Multi-factor authentication,MFA)可以提高账号的安全性,在用户名和密码之外再增加一层安全保护。启用MFA后,再次登录阿里云时,系统将要求输入两层安全要素:
- 第一层安全要素:用户名和密码。
- 第二层安全要素:输入虚拟MFA设备生成的验证码,或通过U2F安全密钥认证。
具体操作,请参见为阿里云账号启用多因素认证。
- 为用户开启SSO单点登录功能
开启SSO单点登录后,企业内部账号进行统一的身份认证,实现使用企业本地账号登录并访问阿里云资源。
更多信息,请参见SSO概览。
- 不要为阿里云账号创建访问密钥
访问密钥用于API调用访问,登录密码用于控制台访问,两者具有同样的权限。由于阿里云账号对名下资源有完全控制权限,为了避免因访问密钥泄露带来的安全风险,不建议您为阿里云账号创建访问密钥并使用该访问密钥进行日常工作。
您可以为RAM用户创建访问密钥,使用RAM用户进行日常工作。
具体操作,请参见为RAM用户创建访问密钥。
- 使用权限策略条件来增强安全性
您可以在自定义权限策略中设置条件,实现在指定时间范围或指定IP等条件满足时才能访问某资源。
更多信息,请参见权限策略基本元素。
- 集中控制资源
默认阿里云账号是资源的拥有者,掌握完全控制权。RAM用户对资源只有使用权,没有所有权。这一特性可以方便您对用户创建的实例或数据进行集中控制。具体如下:
- 当用户离开组织:只需要将对应的RAM用户移除,即可撤销所有权限。
- 当用户加入组织:只需创建新的RAM用户,设置登录密码或访问密钥并为其授权。
具体操作,请参见为RAM用户授权。
- 使用RAM角色进行临时授权
RAM角色不具备永久身份凭证,可以通过STS获取可以自定义时效和访问权限的临时身份凭证(STS Token),然后使用STS Token访问阿里云资源。
更多信息,请参见什么是STS。
操作结果
遵循最佳安全实践原则,企业上云之后,综合利用这些保护机制,建立安全完善的资源控制体系,可以更有效地保护账号及资产的安全。
更多信息
企业上云以后通过RAM进行运维划分,根据不同的职责,划分不同的运维人员,方便管理和控制。更多信息,请参见通过RAM管控多运维人员的权限。