风险说明
针对RAM身份的权限管理,建议遵循最小化原则,仅授予必要的权限。拥有oss:Delete*或log:Delete*相关权限的RAM身份,可以删除存储在OSS或SLS中的数据,管理不善可能会造成数据丢失。拥有oss:PutBucketAcl、oss:PutObjectAcl、oss:PutBucketPolicy等权限的RAM身份,可以修改OSS Bucket内文件的访问权限,导致OSS文件被外部访问,可能会造成未经授权的数据访问。
风险等级
高风险。
最佳实践
在当前阿里云账号下,拥有oss:Delete*、oss:Put*Acl、oss:Put*Policy、log:Delete*、log:Update*权限的RAM身份数小于等于3个,则认为满足要求。
治理建议
针对人员身份,建议根据人员职能划分权限,例如:系统管理员、网络管理员、数据库管理员、安全管理员等。通过导入模板方式为对应职能身份创建权限策略,并根据自身需求进行调整。具体操作,请参见通过导入模板创建自定义权限策略。
针对程序身份,非必要不授予删除Bucket、删除Log store、删除Log project、修改Bucket Policy等相关权限,建议根据程序所需要访问的API和资源等创建自定义权限策略,精细化授权。具体操作,请参见创建自定义权限策略。
治理难度
治理难度中。
文档内容是否对您有帮助?