為保證您資源的資料安全,您需要對訪問負載平衡的使用者進行必要的管控,允許被授權的使用者訪問資源或進行相關操作。負載平衡支援阿里雲存取控制RAM,實現雲資源的存取控制和管理。
阿里雲存取控制RAM將使用者身份分為兩種類型:實體使用者身份和虛擬使用者身份。劃分不同類型的使用者身份,可以協助您更好地對不同使用者進行許可權管理和存取控制。
阿里雲帳號
預設情況下,資源只能被阿里雲帳號所訪問,任何其他使用者訪問都需要獲得阿里雲帳號的授權。
建議您結合業務需求,進行以下設定或操作,保護您的阿里雲帳號安全:
如非必要,避免使用阿里雲帳號進行API訪問或日常營運操作,建議您使用RAM使用者進行操作。避免為阿里雲帳號建立存取金鑰(AccessKey)。阿里雲不會明文儲存您的阿里雲帳號密碼,而是儲存SHA256雜湊(Hash)且加鹽(Salt)值。
推薦您在阿里雲帳號下建立RAM使用者,並授予相關許可權,後續使用該RAM使用者執行操作。
詳細介紹,請參見建立RAM使用者。
妥善保管您的AccessKey(存取金鑰),不要隨意泄露或者將AccessKey寫入到任何可能被他人擷取到的地方(例如嵌入到工程代碼中)。
如果您的AccessKey已經使用超過90天,建議您儘快輪轉,降低AccessKey被泄露的風險。
相關操作,請參見輪轉RAM使用者的AccessKey。
如果您想檢測是否有AccessKey泄露到Github,可使用Security Center的AK泄露檢測功能。該功能支援免費使用。
為阿里雲帳號設定登入保持時間(大於等於1小時,小於等於24小時),超出該時間帳號會自動結束登入。
有關阿里雲帳號的詳細介紹,請參見安全設定概覽。
為阿里雲帳號設定登入掩碼,實現僅可以通過指定IP地址登入並訪問阿里雲資源。
對阿里雲帳號和RAM使用者佈建MFA,用於登入控制台或進行敏感操作時的二次身分識別驗證。
RAM使用者帳號AK只支援在建立時顯示,不支援查看;且每個RAM使用者最多可建立2個AK、每個阿里雲帳號最多可建立5個AK。
支援對RAM使用者的密碼設定有效期間和到期後是否限制登入。
RAM使用者
RAM使用者需要由阿里雲帳號(主帳號)或擁有管理員權限的RAM使用者、RAM角色來建立,且必須在獲得授權後,才能登入控制台或使用API訪問阿里雲帳號下的資源。
當您的企業存在多使用者協同訪問資源的情境時,使用RAM使用者可以實現不同RAM使用者擁有不同資源存取權限的目的,可按需為使用者指派最小許可權,避免多使用者共用阿里雲帳號密碼或存取金鑰,從而降低企業的安全風險。
每個RAM使用者可以分配有不同的密碼或AccessKey(即AK),消除雲帳號共用帶來的安全風險。同時可為不同的RAM使用者指派不同的工作許可權。
建立RAM使用者時,支援同時設定多種不同的訪問方式,但建議您針對不同用途的RAM使用者僅設定一種登入方式,以提高帳號的安全性。
例如:如果RAM使用者代表的是應用程式,則需要通過API訪問資源,您只需為它建立存取金鑰。如果RAM使用者代表的是員工,則需要通過控制台訪問資源,您只需為它設定登入密碼。
如有需要,對RAM使用者佈建SSO單點登入功能,實現直接使用企業自有的身份登入並訪問阿里雲資源。
角色配額限定在一定的範圍內,超過配額後將無法建立更多角色。相關介紹,請參見使用限制。
RAM使用者組
當您的阿里雲帳號下有多個RAM使用者時,可以通過建立使用者組對職責相同的RAM使用者分組進行授權,實現高效地管理RAM使用者及其許可權。
當多個RAM使用者需要授予相同許可權時,通過將其添加到使用者組,針對使用者組設定權限原則,即可讓該使用者組下的所有RAM使用者應用該權限原則。
在RAM使用者職責發生變化時,只需將其移動到相應職責的使用者組下,不會對其他RAM使用者產生影響。
當某個使用者組不再需要某些許可權時,可以直接為使用者組移除許可權。移除許可權後,該使用者組中的多個RAM使用者將無法再訪問指定許可權的資源。詳細資料,請參見為使用者組移除許可權。
RAM角色
RAM角色(RAM role)與RAM使用者一樣,都是阿里雲支援的RAM身份類型的一種。RAM角色是一種虛擬使用者,沒有確定的身份認證密鑰,需要被一個受信的實體使用者扮演,扮演成功後實體使用者將獲得RAM角色的安全性權杖,使用這個安全性權杖就能以角色身份訪問被授權的資源。
RAM角色建立後,預設無任何許可權,需管理員對RAM角色授權後,該角色才能通過控制台和API訪問並使用雲資源。詳情請參見為RAM角色授權。
支援為RAM角色頒發有時效性限制的存取權杖(STS令牌),這種授予存取權限的方式更安全。
詳細資料,請參見什麼是STS。
每個RAM角色支援設定最大會話時間,角色的會話時間長度超出最大會話時間的設定範圍時,相關操作會失敗。
最大會話時間支援修改。詳細資料,請參見設定RAM角色最大會話時間。