身份权限治理根据企业上云安全实践,持续检测阿里云账号(主账号)及其下的RAM用户是否存在身份权限的安全风险,帮助您及时发现治理缺失,并提供友好的治理引导,帮助您完善云上身份权限治理的配置。
开通身份权限治理
身份权限治理功能需要开通后才能正常使用。一旦开通,不支持关闭。
使用阿里云账号登录RAM控制台。
在左侧导航栏,单击概览。
单击治理检测页签,然后在治理检测区域,单击开通服务。
在开通身份权限治理服务对话框,阅读并同意服务协议,然后单击立即开通。
开通身份权限治理功能后,系统会自动开始检测。您也可以单击重新检测,手动进行检测。
说明治理数据大约每4小时更新1次,4小时以内重新检测不会生成新的报告。
查看身份权限治理的数据
等待检测完成后,您可以查看待治理项的详细数据。
在治理检测页签下的检测项目区域,查看待治理项。
您也可以在治理检测区域,单击下载报告,下载检测数据在本地查看。
单击目标待治理项。
关于治理项,请参见身份权限治理检测项。
在检测详情页面,查看检测详情和治理方案,然后跳转到对应的控制台完善治理项。
身份权限治理检测项
分类 | 检测项 | 治理方案 |
AccessKey管理 | 不使用主账号AccessKey(从未使用) | |
不使用主账号AccessKey(90天内使用中) | ||
不使用主账号AccessKey(超过90天未使用) | ||
RAM用户的AccessKey定期轮转 | ||
无闲置RAM用户的AccessKey(从未使用) | ||
无闲置RAM用户的AccessKey(超过90天未使用) | ||
RAM用户不能同时启用两个AccessKey | ||
RAM用户管理 | 人员用户和程序用户分离 | |
无闲置RAM用户(从未登录) | ||
无闲置RAM用户(超过90天未登录) | ||
不使用主账号登录 | ||
密码和MFA管理 | 主账号是否设置MFA | |
RAM用户开启MFA | ||
设置较强的密码强度规则 | ||
安全使用建议 | 使用SSO登录控制台 | |
高危权限管理 | 避免为过多RAM身份授予Admin权限 | |
避免为过多RAM身份授予RAM高危权限 | ||
避免为过多RAM身份授予费用中心高危权限 | ||
避免为过多RAM身份授予OSS、SLS高危权限 | ||
细粒度权限管理 | 对OSS、SLS的访问进行收敛 | |
对可访问操作的范围进行收敛 | ||
授权效率 | 有Admin权限的RAM身份,授权范围为资源组 | |
有服务级系统策略的RAM身份,授权范围为资源组 |