将有Admin权限的RAM身份的授权收敛到资源组

风险说明

针对RAM身份的权限管理,建议遵循最小化原则,仅授予必要的权限。通过将云上资源按照应用、环境等维度,使用资源组进行资源划分,授权时可以按照资源组进行授权,进一步缩小权限范围,避免权限过大带来的风险。

风险等级

高风险。

最佳实践

在当前账号下,拥有AdministratorAccess权限的RAM身份,授权范围为资源组,则认为满足要求。

治理建议

  1. 按照应用、环境等维度进行资源组规划。

    具体操作,请参见创建资源组

  2. 为RAM身份授权,授权范围选择指定资源组,权限策略选择AdministratorAccess系统策略。

    具体操作,请参见添加RAM身份并授权

  3. 移除RAM身份在整个云账号范围内的AdministratorAccess系统策略。

    具体操作,请参见为RAM用户移除权限为RAM角色移除权限为用户组移除权限

  4. 验证RAM身份在对应资源组内的权限是否生效。

治理难度

治理难度高。