不创建或使用阿里云账号(主账号)访问密钥(AccessKey)。
风险说明
主账号AccessKey等同于主账号完全管理权限,而且无法进行条件限制(例如:访问来源IP地址、访问时间等),一旦泄露风险极大。
风险等级
高风险。
最佳实践
不使用主账号AccessKey。如果存在使用中的主账号AccessKey,建议替换为具有适当权限的RAM用户的AccessKey。
治理建议
根据不同情况的AccessKey,治理建议分别如下:
针对从未使用的主账号AccessKey
建议您直接禁用该AccessKey。禁用90天后,如果没有发生与该AccessKey相关的问题,则可以直接删除该AccessKey。
针对超过90天未使用的主账号AccessKey
您需要确认该AccessKey是否在程序或应用中存在:
如果确认不存在,建议您直接禁用该AccessKey。禁用90天后,如果没有发生与该AccessKey相关的问题,则可以直接删除该AccessKey。
如果确认存在,您需要按以下步骤将主账号AccessKey替换为具有适当权限的RAM用户的AccessKey。
在RAM控制台,创建RAM用户。
具体操作,请参见创建RAM用户。
为RAM用户授予您程序或应用所需的访问权限。
建议您遵循最小化授权原则为RAM用户授予恰好够用的权限。您可以创建自定义策略,进行精细化授权。如果您对自定义策略还不太了解,也可以先使用阿里云定义的系统策略进行粗粒度授权,并在之后基于对业务的进一步分析,对权限进行收缩。具体操作,请参见创建自定义权限策略和为RAM用户授权。
为RAM用户创建AccessKey。
具体操作,请参见创建RAM用户的AccessKey。
在程序或应用的测试环境中,将主账号AccessKey替换为RAM用户AccessKey,并验证程序或应用可以正常运行。
在程序或应用的生产环境中,将主账号AccessKey替换为RAM用户AccessKey,并验证程序或应用可以正常运行。
禁用主账号AccessKey。
禁用90天后,如果没有发生与该主账号AccessKey相关的问题,则可以直接删除该主账号AccessKey。
针对90天内使用中的AccessKey
您需要按以下步骤将主账号AccessKey替换为具有适当权限的RAM用户的AccessKey。
在RAM控制台,创建RAM用户。
具体操作,请参见创建RAM用户。
为RAM用户授予您程序或应用所需的访问权限。
建议您遵循最小化授权原则为RAM用户授予恰好够用的权限。您可以创建自定义策略,进行精细化授权。如果您对自定义策略还不太了解,也可以先使用阿里云定义的系统策略进行粗粒度授权,并在之后基于对业务的进一步分析,对权限进行收缩。具体操作,请参见创建自定义权限策略和为RAM用户授权。
为RAM用户创建AccessKey。
具体操作,请参见创建RAM用户的AccessKey。
在程序或应用的测试环境中,将主账号AccessKey替换为RAM用户AccessKey,并验证程序或应用可以正常运行。
在程序或应用的生产环境中,将主账号AccessKey替换为RAM用户AccessKey,并验证程序或应用可以正常运行。
禁用主账号AccessKey。
禁用90天后,如果没有发生与该主账号AccessKey相关的问题,则可以直接删除该主账号AccessKey。
治理难度
治理难度中。