身份與存取控制是為了實現集中管理阿里雲上的使用者身份,只有通過這個身份的認證,並且滿足了特定許可權授權條件下的使用者才能夠訪問或操作您所指定的阿里雲資源,避免您的雲資源被未經授權的使用者惡意訪問,以滿足合規審計的需求。本文從提升身份認證安全性、提升存取控制安全性和進階提升身份與許可權的安全性三方面介紹Elastic Compute Service在身份與存取控制方面支援的安全能力。
建議您開啟主帳號MFA的多因素認證來增強阿里雲帳號的安全性,不建議使用主帳號的AccessKey,而是給應用頒發子AccessKey,避免將明文的AccessKey暴露到外部的開發平台上,同時定期清理長期不使用的RAM使用者,儘可能使用具有時效性的臨時STS Token。
建議您可以利用ECS已經預定義的系統策略和自訂的RAM策略,為不同職責的人員授予許可權;可以基於資源群組,按照雲資源的用途、部門結構等不同的維度來管理資源,授予不同使用者訪問不同資源群組的許可權;也可以使用標籤對雲資源進行細粒度的資源管理和控制。
建議您將RAM角色關聯到具體的ECS執行個體而不是使用明文的AccessKey;同時建議您能夠啟用Action TrailActionTrail,可以進行事後的行為分析和安全跟蹤,來識別潛在的安全風險,滿足合規審計的需求。
提升身份認證的安全性
身份認證指的是通過憑證資訊來認證使用者的真實身份,通常是指通過密碼或存取金鑰登入ECS執行個體,也就是AccessKey機制來進行身份認證。
開啟MFA多因素帳號認證
功能介紹
多因素認證MFA(Multi Factor Authentication)是一種簡單有效安全實踐,在使用者名稱和密碼之外再增加一層安全保護,用於登入控制台或進行敏感操作時的二次身分識別驗證(不影響通過AccessKey的API調用),以此保護您的帳號更安全。更多資訊,請參見什麼是MFA。
配置方式
不推薦您直接使用阿里雲主帳號的AccessKey登入ECS執行個體,建議您為阿里雲帳號啟用MFA多因素認證,即在使用者名稱和密碼(第一層安全要素)的基礎上,增加了MFA安全碼(第二層安全要素,MFA裝置產生的安全碼),以提高帳號的安全性。具體操作,請參見為阿里雲帳號綁定MFA裝置。
使用RAM使用者而不是阿里雲帳號,併合理設定權限原則
確保使用者訪問ECS資源時使用最小化許可權,避免共用帳號或過於寬泛的授權。
如果您購買了多台Elastic Compute Service執行個體,您的組織裡有多個使用者(例如員工、系統或應用程式)需要使用這些執行個體,您可以通過存取控制RAM使用阿里雲帳號建立多個RAM使用者,並為RAM使用者授予特定權限原則使其有許可權使用這些執行個體,從而避免了將同一個AccessKey分發給多人的安全風險,實現在帳號維度上對Elastic Compute Service資源進行細粒度的存取控制。具體操作,請參見RAM使用者。
通過身份認證後RAM會產生兩類身份,一類是實體身份(RAM使用者),另一類是虛擬身份(RAM角色),虛擬身份往往需要被實體使用者扮演才會生效。更多介紹,請參見身份管理。
AccessKey防泄密
阿里雲帳號AccessKey是客戶訪問阿里雲API的密鑰,請務必妥善保管。請勿通過任何方式(如GitHub等)將AccessKey公開至外部渠道,以免被惡意利用而造成安全威脅。AccessKey泄露會威脅所有資源的安全,根據如下AccessKey資訊使用的安全建議,可以有效降低AccessKey泄露的風險。
不要將AccessKey內嵌程式碼中。
定期輪換AccessKey。
定期吊銷不需要的AccessKey。
遵循最小許可權原則,使用RAM使用者。
可以開啟
acs:SourceIp限定公網IP網段訪問阿里雲API。通過設定
acs:SecureTransport取值為true,表示通過HTTPS方式訪問阿里雲。
提升存取控制安全性
不同職責的人員授予許可權
當您的企業存在多使用者協同操作資源的情境時,RAM可以讓您避免與其他使用者共用阿里雲帳號密鑰,按需為使用者指派最小許可權,從而降低企業的資訊安全風險。
預設情況下阿里雲主帳號控制了資源的所有許可權,主帳號建立的RAM使用者是預設沒有任何許可權的,因此需要通過授權的方式給RAM使用者授權。授權操作分為兩步:
建立權限原則。
目前支援系統權限原則和自訂權限原則兩種策略。系統權限原則由阿里雲進行維護,使用者只能使用不能修改。自訂權限原則由使用者自主建立、更新和刪除。
ECS的系統權限原則:Elastic Compute Service系統權限原則參考
ECS的自訂權限原則:Elastic Compute Service自訂權限原則參考
為RAM使用者/角色授權。
為RAM使用者/角色綁定一個或多個權限原則,授權範圍可以是整個雲帳號的資源也可以是在阿里雲帳號下指定的一個資源群組內的資源,綁定的權限原則可以是系統策略也可以是自訂策略。
使用資源群組進行細粒度的資源管理
功能介紹
資源群組是根據資源的用途,許可權,歸屬等維度,對您所擁有的雲資源進行分組,從而實現企業內部多使用者、多專案的資源的分級管理,每個雲資源目前只能屬於一個資源群組,加入到資源群組,它不會改變雲資源間的關聯關係。比如可以按照雲資源的用途來進行分組,將生產環境的執行個體和測試環境的執行個體,分別放入到生產環境和測試環境的兩個資源群組中。更多資訊,請參見什麼是資源群組。
配置方式
建立資源群組的操作,請參見建立資源群組。
將ECS執行個體加入資源群組。
使用標籤對Elastic Compute Service資源進行分類和管理的案例請參見使用資源群組限制RAM使用者管理指定的ECS執行個體、使用資源群組對ECS執行個體進行分賬。
使用標籤進行細粒度的資源管理
功能介紹
除了使用資源群組外,也可以使用標籤來劃分不同的資源,相比於資源群組,標籤是一種更加靈活的資源劃分維度或者工具,比如可以按照地區、部門、環境分別給資源打上多個標籤,同一個資源可以支援多個標籤,基於標籤來對ECS資源實現訪問的控制。更多資訊,請參見什麼是標籤。
配置方式
建立標籤並為ECS執行個體綁定標籤的操作,請參見標籤。
使用標籤對Elastic Compute Service資源進行分類和管理的案例請參見使用標籤對ECS執行個體進行分組授權、使用標籤限制RAM使用者管理指定的ECS執行個體。
進階提升身份與存取控制的安全性
使用執行個體RAM角色而不是AccessKey
功能介紹
一般情況下,ECS執行個體的應用程式是通過阿里雲帳號或RAM使用者的AccessKey訪問阿里雲各產品的API。為了滿足調用需求,需要直接把AccessKey固化在執行個體中,例如寫在設定檔中。但是這種方式許可權過高,存在泄露資訊和難以維護等問題。因此,阿里雲推出了執行個體RAM角色解決這些問題,一方面可以保證AccessKey安全,另一方面也可以藉助RAM實現許可權的精細化控制和管理。
配置方式
執行個體RAM角色允許您將一個角色關聯到ECS執行個體,在執行個體內部基於STS(Security Token Service)臨時憑證訪問其他雲產品的API。由於臨時身份憑證僅可在執行個體內部擷取,並且無需配置AccessKey,這不僅確保了雲帳號AccessKey的安全性,還能夠通過存取控制RAM實現精細化的控制與許可權管理。具體操作,請參見執行個體RAM角色。
啟用Action Trail
功能介紹
Action Trail(ActionTrail)是阿里雲提供的雲帳號資源操作記錄的查詢和投遞服務,可用於安全分析、資源變更追蹤以及合規性審計等情境。Action Trail支援將管控事件投遞到Log ServiceSLS的LogStore或Object Storage Service的儲存空間中,滿足即時審計、問題回溯分析等需求。更多資訊,請參見什麼是Action Trail。
您可以在Action Trail中查詢您操作Elastic Compute Service產生的管控事件,請參見Elastic Compute Service的審計事件。當ECS操作出現異常時,您可以快速查詢事件並擷取事件發生的時間、地區、ECS執行個體等資訊,以便快速解決您的問題。
配置方式
Elastic Compute Service預設已與Action Trail服務整合,預設開啟,無需手動設定。