身份管理
为保证您资源的数据安全,您需要对访问负载均衡的用户进行必要的管控,允许被授权的用户访问资源或进行相关操作。负载均衡支持阿里云访问控制RAM,实现云资源的访问控制和管理。
阿里云访问控制RAM将用户身份分为两种类型:实体用户身份和虚拟用户身份。划分不同类型的用户身份,可以帮助您更好地对不同用户进行权限管理和访问控制。
阿里云账号
默认情况下,资源只能被阿里云账号所访问,任何其他用户访问都需要获得阿里云账号的授权。
建议您结合业务需求,进行以下设置或操作,保护您的阿里云账号安全:
如非必要,避免使用阿里云账号进行API访问或日常运维操作,建议您使用RAM用户进行操作。避免为阿里云账号创建访问密钥(AccessKey)。阿里云不会明文保存您的阿里云账号密码,而是保存SHA256哈希(Hash)且加盐(Salt)值。
推荐您在阿里云账号下创建RAM用户,并授予相关权限,后续使用该RAM用户执行操作。
详细介绍,请参见创建RAM用户。
妥善保管您的AccessKey(访问密钥),不要随意泄露或者将AccessKey写入到任何可能被他人获取到的地方(例如嵌入到工程代码中)。
如果您的AccessKey已经使用超过90天,建议您尽快轮转,降低AccessKey被泄露的风险。
相关操作,请参见轮转RAM用户的AccessKey。
如果您想检测是否有AccessKey泄露到Github,可使用云安全中心的AK泄露检测功能。该功能支持免费使用。
为阿里云账号设置登录保持时间(大于等于1小时,小于等于24小时),超出该时间账号会自动退出登录。
有关阿里云账号的详细介绍,请参见安全设置概览。
为阿里云账号设置登录掩码,实现仅可以通过指定IP地址登录并访问阿里云资源。
对阿里云账号和RAM用户设置MFA,用于登录控制台或进行敏感操作时的二次身份验证。
RAM用户账号AK只支持在创建时显示,不支持查看;且每个RAM用户最多可创建2个AK、每个阿里云账号最多可创建5个AK。
支持对RAM用户的密码设置有效期和过期后是否限制登录。
RAM用户
RAM用户需要由阿里云账号(主账号)或拥有管理员权限的RAM用户、RAM角色来创建,且必须在获得授权后,才能登录控制台或使用API访问阿里云账号下的资源。
当您的企业存在多用户协同访问资源的场景时,使用RAM用户可以实现不同RAM用户拥有不同资源访问权限的目的,可按需为用户分配最小权限,避免多用户共享阿里云账号密码或访问密钥,从而降低企业的安全风险。
每个RAM用户可以分配有不同的密码或AccessKey(即AK),消除云账号共享带来的安全风险。同时可为不同的RAM用户分配不同的工作权限。
创建RAM用户时,支持同时设置多种不同的访问方式,但建议您针对不同用途的RAM用户仅设置一种登录方式,以提高账号的安全性。
例如:如果RAM用户代表的是应用程序,则需要通过API访问资源,您只需为它创建访问密钥。如果RAM用户代表的是员工,则需要通过控制台访问资源,您只需为它设置登录密码。
如有需要,对RAM用户设置SSO单点登录功能,实现直接使用企业自有的身份登录并访问阿里云资源。
角色配额限定在一定的范围内,超过配额后将无法创建更多角色。相关介绍,请参见使用限制。
RAM用户组
当您的阿里云账号下有多个RAM用户时,可以通过创建用户组对职责相同的RAM用户分组进行授权,实现高效地管理RAM用户及其权限。
当多个RAM用户需要授予相同权限时,通过将其添加到用户组,针对用户组设置权限策略,即可让该用户组下的所有RAM用户应用该权限策略。
在RAM用户职责发生变化时,只需将其移动到相应职责的用户组下,不会对其他RAM用户产生影响。
当某个用户组不再需要某些权限时,可以直接为用户组移除权限。移除权限后,该用户组中的多个RAM用户将无法再访问指定权限的资源。详细信息,请参见为用户组移除权限。
RAM角色
RAM角色(RAM role)与RAM用户一样,都是阿里云支持的RAM身份类型的一种。RAM角色是一种虚拟用户,没有确定的身份认证密钥,需要被一个受信的实体用户扮演,扮演成功后实体用户将获得RAM角色的安全令牌,使用这个安全令牌就能以角色身份访问被授权的资源。
RAM角色创建后,默认无任何权限,需管理员对RAM角色授权后,该角色才能通过控制台和API访问并使用云资源。详情请参见为RAM角色授权。
支持为RAM角色颁发有时效性限制的访问令牌(STS令牌),这种授予访问权限的方式更安全。
详细信息,请参见什么是STS。
每个RAM角色支持设置最大会话时间,角色的会话时长超出最大会话时间的设置范围时,相关操作会失败。
最大会话时间支持修改。详细信息,请参见设置角色最大会话时间。