避免为过多RAM身份授予Admin权限

风险说明

针对RAM身份的权限管理，建议遵循最小化原则，仅授予必要的权限。Admin权限可以对账号下的任意资源执行任意操作，策略中Resource为*，且Action也为*。例如：AdministratorAccess系统策略就是一种Admin权限。避免给过多的RAM身份（RAM用户、RAM角色、RAM用户组）授予Admin权限，以免身份泄露对业务造成影响。

风险等级

高风险。

最佳实践

在当前阿里云账号下，拥有Admin权限的RAM身份数小于等于3个，则认为满足要求。

治理建议

• 针对人员身份，建议根据人员职能划分权限，例如：系统管理员、网络管理员、数据库管理员、安全管理员等。通过创建自定义权限策略的方式为对应职能身份创建权限策略，并根据自身需求进行调整。具体操作，请参见创建自定义权限策略。

• 针对程序身份，非必要不授予Admin权限，建议根据程序所需要访问的API和资源等创建自定义权限策略，精细化授权。具体操作，请参见创建自定义权限策略。

治理难度

治理难度中等。