闲置RAM用户是指启用了控制台登录方式,但从未登录过控制台的RAM用户或超过90天未登录控制台的RAM用户,建议您定期清理闲置RAM用户。
风险说明
RAM用户启用控制台登录时会设置登录密码。时间越长,密码暴露的风险就越高,一旦密码泄露,攻击者就可能登录到控制台,造成安全风险。
风险等级
中风险。
最佳实践
对于人员用户,建议使用单点登录(SSO登录)方式访问控制台,降低身份暴露风险。
如果暂无条件使用单点登录(SSO登录)方式,建议定期审计有控制台登录权限的RAM用户的使用情况,定期清理闲置RAM用户。
治理建议
对于确定没有登录控制台需求的闲置RAM用户,禁用控制台访问方式。
具体操作,请参见修改控制台登录设置。
如果闲置RAM用户没有AccessKey,且能够确定该RAM用户不再被任何人使用,且没有在一些云服务中作为特定身份使用,则在禁用控制台登录方式一定时间后(例如:3个月),将该RAM用户删除。需要确认的场景如下:
容器镜像服务ACR中用于镜像拉取的账号。
DataWorks中用于特定计算任务的账号。
其他PaaS、SaaS类产品:云效、云呼叫中心、企业级分布式应用服务EDAS或数据管理DMS等。
治理难度
治理难度低。
文档内容是否对您有帮助?