为AccessKey及权限的治理提供最佳实践,从AccessKey、阿里云账号、RAM用户的设置和使用方式等方面进行检测。本文为您介绍AccessKey及权限治理最佳实践合规包中的默认规则。
规则名称 | 规则描述 |
RAM用户下AccessKey的创建时间距离检查时间不超过指定天数,视为“合规”。默认值:90天。 | |
RAM用户AccessKey的最后使用时间距今天数小于参数设置的天数,视为“合规”。默认值:90天。 | |
RAM用户未同时开启控制台访问和API调用访问,视为“合规”。 | |
如果RAM用户在最近90天有登录行为,视为“合规”。如果RAM用户的最近登录时间为空,则检查更新时间,当更新时间小于等于90天时,视为“合规”。未开启控制台访问的用户视为“不适用”。 | |
RAM用户存在状态为激活同时创建时间超过了指定天数的AccessKey数量小于2个,视为“合规”。建议RAM用户最多存在1个有效AccessKey,轮换时可短时间内持有2个。 | |
RAM用户密码策略中各项配置满足参数设置的值,视为“合规”。 | |
RAM用户、RAM用户组、RAM角色均未拥有Resource为 | |
阿里云账号开启MFA,视为“合规”。 | |
启用ACK集群的RRSA功能,视为“合规”。RRSA功能可以在集群内实现Pod维度的OpenAPI权限隔离,从而实现云资源访问权限的细粒度隔离,降低安全风险。 | |
ECS实例被授予了实例RAM角色,视为“合规”。 | |
函数计算服务配置了服务角色,视为“合规”。避免因暴露阿里云账号密钥,造成安全风险。 |