為確保您的阿里雲帳號及雲資源使用安全,如非必要都應避免直接使用阿里雲帳號(即主帳號)來訪問<雲產品名稱>。推薦的做法是使用RAM身份(即RAM使用者和RAM角色)來訪問<雲產品名稱>。
RAM使用者
RAM使用者需要由阿里雲帳號(即主帳號)或擁有管理員權限的RAM使用者、RAM角色來建立,且必須在獲得授權後才能登入控制台或使用API訪問阿里雲帳號下的資源。
對於RAM使用者的使用,建議您:
使用阿里雲帳號建立一個RAM使用者,並為RAM使用者授予管理員權限,後續使用有管理員權限的RAM使用者建立並管理其他RAM使用者。
將人員使用者和程式使用者分離。
建立RAM使用者時,支援設定控制台訪問和OpenAPI調用訪問兩種訪問方式。控制台使用者使用帳號密碼訪問雲產品控制台,API使用者使用存取金鑰AK(AccessKey)調用API訪問雲資源。建議您將兩個不同的使用情境分離,避免誤操作導致服務受到影響。對於通過控制台訪問的使用者,推薦為其開啟MFA多因素認證。
按需為RAM使用者指派最小許可權。
最小許可權是指授予使用者執行某項任務所需的許可權,不授予其他無需用到的許可權。最小授權可以避免使用者操作許可權過大,提高資料安全性,減少因許可權濫用導致的安全風險。
不要把RAM使用者的AccessKey ID和AccessKey Secret儲存在工程代碼中,否則可能導致AK泄露,威脅您帳號下所有資源的安全。建議您使用STS或環境變數等方式擷取訪問授權。
滿足條件時對RAM使用者佈建SSO單點登入功能,實現直接使用企業自有的身份登入並訪問阿里雲資源。
RAM使用者相關操作
RAM使用者組
當您的阿里雲帳號下有多個RAM使用者時,可以通過建立使用者組對職責相同的RAM使用者進行分組管理和大量授權,實現高效地管理RAM使用者及其許可權。對於RAM使用者組的使用,建議您:
在對RAM使用者組授權時遵循最小權限原則原則。
在RAM使用者職責發生變化時將其從不再歸屬的使用者組中移除,避免許可權濫用。
在某個使用者組不再需要某些許可權時移除使用者組對應的許可權。
RAM使用者組相關操作
RAM角色
RAM角色是一種虛擬使用者,可以被授予一組權限原則。與RAM使用者不同,RAM角色沒有永久身份憑證(登入密碼或存取金鑰),需要被一個可信實體扮演。扮演成功後,可信實體將獲得RAM角色的臨時身份憑證,即安全性權杖(STS Token),使用該安全性權杖就能以RAM角色身份訪問被授權的資源。
以下是使用RAM角色的安全建議:
建立RAM角色後,請勿隨意變更RAM角色的可信實體。修改RAM角色信任策略中的可信實體,可能會導致原受信對象許可權缺失,影響業務正常運行。也可能會因增加受信對象,帶來過度授權的風險。特殊情況必須修改時請務必在測試帳號充分測試,確保功能正常使用後,再應用到正式生產帳號。
可信實體的RAM使用者獲得相關授權後即可以調用AssumeRole - 擷取扮演角色的臨時身份憑證介面擷取RAM角色的STS Token。STS Token自頒發後將在一段時間內有效,建議您設定合理的Token有效期間,避免有效期間過長帶來安全風險。
說明STS Token有效期間的最大值為角色的最大會話時間。從安全的角度考慮,應將角色最大會話時間也設定在合理範圍。
滿足條件時對RAM角色設定SSO單點登入功能,實現直接使用企業自有的身份登入並訪問阿里雲資源。