风险说明
针对RAM身份的权限管理,建议遵循最小化原则,仅授予必要的权限。对于拥有账单和费用中心产品(BSS)写权限的RAM身份来说,可以修改订单、发票、合同、账单等信息,执行交易、提现等资金操作,管理不善可能会造成资产损失。
风险等级
高风险。
最佳实践
在当前阿里云账号下,拥有bss:*、bssapi:*、bss:PayOrder、bss:Modify*、bss:Create*、bss:*Order*、bss:Delete*等写类型权限的RAM身份数小于等于3个,则认为满足要求。
治理建议
针对人员身份,建议根据人员职能划分权限,例如:系统管理员、网络管理员、数据库管理员、安全管理员等。通过导入模板方式为对应职能身份创建权限策略,并根据自身需求进行调整。具体操作,请参见通过导入模板创建自定义权限策略。
针对程序身份,非必要不授予BSS相关权限,建议根据程序所需要访问的API和资源等创建自定义权限策略,精细化授权。具体操作,请参见创建自定义权限策略。
治理难度
治理难度中。
文档内容是否对您有帮助?