风险说明
针对RAM身份的权限管理,建议遵循最小化原则,仅授予必要的权限。尤其对于数据类产品的访问,例如:OSS、SLS等,建议精细化授权,降低身份泄露导致的数据泄露风险。
风险等级
高风险。
最佳实践
在当前阿里云账号下,如果RAM身份绑定了数据类产品相关的操作权限,必须进行精细化授权,请勿通过通配符*进行批量授权,则认为满足要求。
治理建议
通过导入模板方式为RAM身份创建权限策略,指定其访问某些Bucket、Logstore、Log Project等资源。导入模板后,建议根据自身需求进一步缩小权限。具体操作,请参见通过导入模板创建自定义权限策略。
治理难度
治理难度中。
文档内容是否对您有帮助?