文档

身份权限治理概览

更新时间:

身份权限治理根据企业上云安全实践,持续检测阿里云账号(主账号)及其下的RAM用户是否存在身份权限的安全风险,帮助您及时发现治理缺失,并提供友好的治理引导,帮助您完善云上身份权限治理的配置。

开通身份权限治理

身份权限治理功能需要开通后才能正常使用。一旦开通,不支持关闭。

  1. 使用阿里云账号登录RAM控制台

  2. 在左侧导航栏,单击概览

  3. 单击治理检测页签,然后在治理检测区域,单击开通服务

  4. 开通身份权限治理服务对话框,阅读并同意服务协议,然后单击立即开通

    开通身份权限治理功能后,系统会自动开始检测。您也可以单击重新检测,手动进行检测。

    说明

    治理数据大约每4小时更新1次,4小时以内重新检测不会生成新的报告。

查看身份权限治理的数据

等待检测完成后,您可以查看待治理项的详细数据。

  1. 治理检测页签下的检测项目区域,查看待治理项。

    您也可以在治理检测区域,单击下载报告,下载检测数据在本地查看。

  2. 单击目标待治理项。

    关于治理项,请参见身份权限治理检测项

  3. 检测详情页面,查看检测详情和治理方案,然后跳转到对应的控制台完善治理项。

身份权限治理检测项

分类

检测项

治理方案

AccessKey管理

不使用主账号AccessKey(从未使用)

不使用主账号AccessKey

不使用主账号AccessKey(90天内使用中)

不使用主账号AccessKey(超过90天未使用)

RAM用户的AccessKey定期轮转

定期轮转RAM用户AccessKey

无闲置RAM用户的AccessKey(从未使用)

清理RAM用户的闲置AccessKey

无闲置RAM用户的AccessKey(超过90天未使用)

RAM用户不能同时启用两个AccessKey

RAM用户不能同时启用两个AccessKey

RAM用户管理

人员用户和程序用户分离

控制台用户和程序用户分离

无闲置RAM用户(从未登录)

清理闲置RAM用户

无闲置RAM用户(超过90天未登录)

不使用主账号登录

不使用主账号登录

密码和MFA管理

主账号是否设置MFA

主账号启用MFA

RAM用户开启MFA

为RAM用户绑定多因素认证设备

设置较强的密码强度规则

设置较强的密码强度规则

安全使用建议

使用SSO登录控制台

SSO方式的适用场景

高危权限管理

避免为过多RAM身份授予Admin权限

避免为过多RAM身份授予Admin权限

避免为过多RAM身份授予RAM高危权限

避免为过多RAM身份授予RAM高危权限

避免为过多RAM身份授予费用中心高危权限

避免为过多RAM身份授予费用中心高危权限

避免为过多RAM身份授予OSS、SLS高危权限

避免为过多RAM身份授予OSS、SLS高危权限

细粒度权限管理

对OSS、SLS的访问进行收敛

对OSS、SLS的访问进行收敛

对可访问操作的范围进行收敛

对可访问操作的范围进行收敛

授权效率

有Admin权限的RAM身份,授权范围为资源组

将有Admin权限的RAM身份的授权收敛到资源组

有服务级系统策略的RAM身份,授权范围为资源组

将有服务级系统策略的RAM身份的授权收敛到资源组