风险说明
针对RAM身份的权限管理,建议遵循最小化原则,仅授予必要的权限。通过将云上资源按照应用、环境等维度,使用资源组进行资源划分,授权时可以按照资源组进行授权,进一步缩小权限范围,避免权限过大带来的风险。
风险等级
中风险。
最佳实践
在当前阿里云账号下,拥有服务级系统策略(例如:AliyunECSFullAccess等)的RAM身份,授权范围为资源组,则认为满足要求。
治理建议
按照应用、环境等维度进行资源组规划。
具体操作,请参见创建资源组。
为RAM身份授权,授权范围选择指定资源组,权限策略选择服务级系统策略(例如:AliyunECSFullAccess等)。
具体操作,请参见添加RAM身份并授权。
移除RAM身份在整个云账号范围内的服务级系统策略。
具体操作,请参见为RAM用户移除权限、为RAM角色移除权限或为用户组移除权限。
验证RAM身份在对应资源组内的权限是否生效。
治理难度
治理难度高。
文档内容是否对您有帮助?