文档

控制台用户和程序用户分离

更新时间:

不建议为一个RAM用户同时创建用于控制台操作的登录密码和用于API调用的AccessKey。

风险说明

在任何场景下,我们都推荐单一职责原则。当身份同时被控制台和程序使用时,如果人员离职回收身份,会造成程序访问失败,进而造成业务故障。

风险等级

中风险。

最佳实践

应用程序用户和人员用户分离,避免混用。具体如下:

  • 应用程序用户:仅启用OpenAPI调用访问方式。且不同的应用程序、不同的测试环境建议使用不同的RAM用户,并授予最小权限。

  • 人员用户:仅启用控制台访问方式。更加推荐通过单点登录(SSO登录)方式,降低身份暴露风险。

治理建议

  1. 判断当前RAM用户(User1)有无访问控制台的需求。

  2. 创建一个新的RAM用户(User2),启用控制台访问方式。

    具体操作,请参见创建RAM用户启用控制台登录

  3. 为RAM用户(User2)授予与RAM用户(User1)相同的权限策略。

    具体操作,请参见为RAM用户授权

  4. 禁用RAM用户(User1)的控制台访问方式,仅启用OpenAPI调用访问方式。

    具体操作,请参见修改控制台登录设置

治理难度

治理难度低。