清理闲置RAM用户

闲置RAM用户是指启用了控制台登录方式,但从未登录过控制台的RAM用户或超过90天未登录控制台的RAM用户,建议您定期清理闲置RAM用户。

风险说明

RAM用户启用控制台登录时会设置登录密码。时间越长,密码暴露的风险就越高,一旦密码泄露,攻击者就可能登录到控制台,造成安全风险。

风险等级

中风险。

最佳实践

对于人员用户,建议使用单点登录(SSO登录)方式访问控制台,降低身份暴露风险。

如果暂无条件使用单点登录(SSO登录)方式,建议定期审计有控制台登录权限的RAM用户的使用情况,定期清理闲置RAM用户。

治理建议

  • 对于确定没有登录控制台需求的闲置RAM用户,禁用控制台访问方式。

    具体操作,请参见修改控制台登录设置

  • 如果闲置RAM用户没有AccessKey,且能够确定该RAM用户不再被任何人使用,且没有在一些云服务中作为特定身份使用,则在禁用控制台登录方式一定时间后(例如:3个月),将该RAM用户删除。需要确认的场景如下:

    • 容器镜像服务ACR中用于镜像拉取的账号。

    • DataWorks中用于特定计算任务的账号。

    • 其他PaaS、SaaS类产品:云效、云呼叫中心、企业级分布式应用服务EDAS或数据管理DMS等。

治理难度

治理难度低。