當企業上雲之後,RAM可以協助您實現簡單管理帳號、統一分配許可權、集中管控資源,從而建立安全、完善的資源控制體系。

背景資訊

某些企業使用RAM初期,對RAM的優勢不夠瞭解,也對資源的安全管理要求不高。然而,當初創企業成長為大型企業或大型企業客戶遷移上雲後,組織圖更加複雜,對資源的安全管理需求也更加強烈,需要建立安全、完善的資源控制體系。

  • 存在多使用者協同操作,RAM使用者分工不同,各司其職。
  • 阿里雲帳號不想與其他RAM使用者共用阿里雲帳號存取金鑰(AccessKey),存取金鑰泄露風險較大。
  • RAM使用者對資源的訪問方式多種多樣,資源流失風險高。
  • 某些RAM使用者離開組織時,需要收回其對資源的存取權限。

解決方案

使用RAM,您可以建立、管理RAM使用者,並可以控制這些RAM使用者對資源的操作許可權。當您的企業存在多使用者協同操作資源時,使用RAM可以讓您避免與其他使用者共用阿里雲帳號存取金鑰,按需為使用者指派最小許可權,管理更加方便,許可權更加明確,資訊更加安全。

安全管理原則

  • 建立獨立的RAM使用者

    企業只需使用一個阿里雲帳號。通過RAM為名下的不同操作員建立獨立的RAM使用者,進行分權管理,不使用阿里雲帳號進行日常營運管理。

    具體操作,請參見建立RAM使用者

  • 將控制台使用者與API使用者分離

    不建議為一個RAM使用者同時建立用於控制台操作的登入密碼和用於API調用的存取金鑰。具體如下:

    • 應用程式帳號:只需要通過API訪問資源,建立存取金鑰即可。
    • 員工帳號:只需要通過控制台操作資源,設定登入密碼即可。

    具體操作,請參見建立RAM使用者

  • 建立RAM使用者並進行分組

    當阿里雲帳號下有多個RAM使用者時,可以通過建立使用者組對職責相同的RAM使用者進行分類並授權。

    具體操作,請參見建立使用者組

  • 為不同使用者組分配最小許可權

    您可以使用系統策略或自訂策略為RAM使用者或使用者組授權。自訂策略可以滿足您精細化授權的需求。通過為RAM使用者或使用者組授予最小許可權,可以更好地限制RAM使用者對資源的操作許可權。

    说明 當業務情境比較簡單時,您可以直接建立RAM使用者並為其授權。當業務情境越來越複雜,RAM使用者數量越來越多時,推薦您將相同職責的RAM使用者添加到使用者組,然後為使用者組授權,以此降低管理的複雜性。

    具體操作,請參見建立自訂權限原則為使用者組授權

  • 為RAM使用者配置強密碼原則

    您可以通過RAM控制台設定密碼原則,例如:密碼長度、密碼中必須包含元素、密碼有效期間等。如果允許RAM使用者更改登入密碼,那麼應該要求RAM使用者建立強密碼並且定期輪換登入密碼或存取金鑰。

    具體操作,請參見設定RAM使用者安全性原則

  • 為阿里雲帳號開啟多因素認證

    開啟多因素認證(Multi-factor authentication,MFA)可以提高帳號的安全性,在使用者名稱和密碼之外再增加一層安全保護。啟用MFA後,再次登入阿里雲時,系統將要求輸入兩層安全要素:

    1. 第一層安全要素:使用者名稱和密碼。
    2. 第二層安全要素:輸入虛擬MFA裝置產生的驗證碼,或通過U2F安全密鑰認證。

    具體操作,請參見為阿里雲帳號啟用多因素認證

  • 為使用者開啟SSO單點登入功能

    開啟SSO單點登入後,企業內部帳號進行統一的身份認證,實現使用企業本地帳號登入並訪問阿里雲資源。

    更多資訊,請參見SSO概覽

  • 不要為阿里雲帳號建立存取金鑰

    存取金鑰用於API調用訪問,登入密碼用於控制台訪問,兩者具有同樣的許可權。由於阿里雲帳號對名下資源有完全控制許可權,為了避免因存取金鑰泄露帶來的安全風險,不建議您為阿里雲帳號建立存取金鑰並使用該存取金鑰進行日常工作。

    您可以為RAM使用者建立存取金鑰,使用RAM使用者進行日常工作。

    具體操作,請參見為RAM使用者建立存取金鑰

  • 使用權限原則條件來增強安全性

    您可以在自訂權限原則中設定條件,實現在指定時間範圍或指定IP等條件滿足時才能訪問某資源。

    更多資訊,請參見權限原則基本元素

  • 集中控制資源

    預設阿里雲帳號是資源的擁有者,掌握完全控制權。RAM使用者對資源只有使用權,沒有所有權。這一特性可以方便您對使用者建立的執行個體或資料進行集中控制。具體如下:

    • 當使用者離開組織:只需要將對應的RAM使用者移除,即可撤銷所有許可權。
    • 當使用者加入組織:只需建立新的RAM使用者,設定登入密碼或存取金鑰並為其授權。

    具體操作,請參見為RAM使用者授權

  • 使用RAM角色進行臨時授權

    RAM角色不具備永久身份憑證,可以通過STS擷取可以自訂時效和存取權限的臨時身份憑證(STS Token),然後使用STS Token訪問阿里雲資源。

    更多資訊,請參見什麼是STS

操作結果

遵循最佳安全實踐原則,企業上雲之後,綜合利用這些保護機制,建立安全完善的資源控制體系,可以更有效地保護帳號及資產的安全。

更多資訊

企業上雲以後通過RAM進行營運劃分,根據不同的職責,劃分不同的營運人員,方便管理和控制。更多資訊,請參見通過RAM管控多營運人員的許可權