风险说明
针对RAM身份的权限管理,建议遵循最小化原则,仅授予必要的权限。具有RAM产品写权限的RAM身份,可以创建新的身份或修改已有身份的权限,造成过度授权,为账号内资源的安全性和保密性带来风险。
风险等级
高风险。
最佳实践
在当前阿里云账号下,拥有ram:*、ram:Create*、ram:Update*、ram:Delete*等写类型权限的RAM身份数小于等于3个,则认为满足要求。
治理建议
针对人员身份,建议根据人员职能划分权限,例如:系统管理员、网络管理员、数据库管理员、安全管理员等。通过导入模板方式为对应职能身份创建权限策略,并根据自身需求进行调整。具体操作,请参见通过导入模板创建自定义权限策略。
针对程序身份,非必要不授予RAM相关权限,建议根据程序所需要访问的API和资源等创建自定义权限策略,精细化授权。具体操作,请参见创建自定义权限策略。
治理难度
治理难度中。
文档内容是否对您有帮助?