欢迎来到天天文库
浏览记录
ID:36204902
大小:131.29 KB
页数:4页
时间:2019-05-07
《阿里云-访问控制服务最佳实践-D》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、访问控制最佳实践移动开发平台DPA/帮助手册最佳实践最佳实践原则为根账户和RAM用户启用MFA建议您为根账户绑定MFA,每次使用根账户时都强制使用多因素认证。如果您创建了RAM用户,并且给用户授予了高风险操作权限(比如,停止虚拟机,删除存储桶),那么建议您给RAM用户绑定MFA。使用群组给RAM用户分配权限一般情况下,您不必对RAM用户直接绑定授权策略,更方便的做法是创建与人员工作职责相关的群组(如admins、developers、accounting等),为每个群组绑定合适的授权策略,然后把用户加入这些群组。群组内的所有用户共享相同的权限。这样,如果您需要修改
2、群组内所有人的权限,只需在一处修改即可。当您的组织人员发生调动时,您只需更改用户所属的群组即可。将用户管理、权限管理与资源管理分离一个好的分权体系应该支持权力制衡,尽可能地降低安全风险。在使用RAM时,您应该考虑创建不同的RAM用户,其职责分别是RAM用户管理、RAM权限权限、以及各产品的资源操作管理。为用户登录配置强密码策略如果您允许用户更改登录密码,那么应该要求他们创建强密码并且定期轮换。您可以通过RAM控制台为RAM用户创建密码策略,如最短长度、是否需要非字母字符、必须进行轮换的频率等等。定期轮转用户登录密码和访问密钥建议您或RAM用户要定期轮换登录密码或访
3、问密钥。在您不知情的时候,如果出现凭证泄露,那么凭证的使用期限也是受限制的。您可以通过设置密码策略来强制RAM用户轮换登录密码或访问密钥的周期。撤销用户不再需要的权限当一个用户由于工作职责变更而不再使用权限时,您应该及时将该用户的权限进行撤销。这样,如果在不知情的时候,当用户的访问凭证泄露时对您带来的安全风险最小。3移动开发平台DPA/帮助手册将控制台用户与API用户分离不建议给一个RAM用户同时创建用于控制台操作的登录密码和用于API操作的访问密钥。通常只给员工创建登录密码,给系统或应用程序只创建访问密钥。使用策略限制条件来增强安全性建议您给用户授权时设置策略限
4、制条件,这样可以增强安全性。比如,授权用户Alice可以关停ECS实例,限制条件是Alice必须在指定时间、并且您公司网络中执行该操作。不要为根账户创建访问密钥由于根账户对名下资源有完全控制权限,所以为了避免因访问密钥泄露所带来的灾难性损失,我们不建议创建根账号访问密钥并使用该密钥进行日常工作。创建根账号的访问密钥需要通过登录阿里云控制台才能完成,该操作需要多因素认证,并且还支持严格的风控检查。只要根账户不主动创建访问密钥,账号名下的资产安全风险可控。遵循最小授权原则最小授权原则是安全设计的基本原则。当您需要给用户授权时,请授予刚好满足他工作所需的权限,而不要过渡
5、授权。比如,在您的组织中,如果Developers组员(或者一个应用系统)的工作职责只需要读取OSS存储桶里的数据,那么就只给这个组(或应用系统)授予OSS资源的只读权限,而不要授权OSS资源的所有权限,更不要授予对所有产品资源的访问权限。使用多重机制保护主账户安全主账号相当于您的所有云资源管控的root账号,一旦主账号的登录密码或API访问密钥丢失或泄露,将会对您的企业造成不可估量的损失,而且极有可能导致企业破产。那如何保护您的root账号安全呢?原则一:给root账号开启多因素认证(二步认证)-给root账号开启多因素认证(MFA),不要与他人共享MFA设备-
6、给授予特权操作的RAM用户也开启多因素认证。特权操作通常指管理用户、授权、停止/释放实例、修改实例配置、删除数据等。原则二:不要使用root账号进行日常运维管理操作-给员工创建RAM用户账号进行日常的运维管理操作3移动开发平台DPA/帮助手册-为财务人员创建独立的RAM用户账号-创建独立的RAM用户账号来作为RAM管理员原则三:不要为root账号创建AccessKey-AccessKey与登录密码具有同样的特权,AccessKey用于程序访问,登录密码用于控制台登录。由于AccessKey通常以明文形式保存在配置文件中,泄露的风险更高。-给所有的应用系统配置使用R
7、AM用户身份并遵循最小授权原则。原则四:使用带IP限制条件的授权策略进行授权授予所有的特权操作必须受IP条件限制(acs:SourceIp)。那么,即使RAM用户的登录密码或AccessKey泄露,只有攻击者没有渗透进入您的可信网络,那么攻击者也无能为力。原则五:使用带MFA限制条件的授权策略进行授权授予所有的特权操作必须受MFA条件限制(acs:MFAPresent)。那么,即使RAM用户的登录密码或AccessKey泄露,只有MFA设备没有丢失,攻击者也无能为力。没有绝对的安全,只有最佳的实践。只有遵循最佳安全实践原则,综合利用这些保护机制,相信可以极大提高对
8、您的账号资
此文档下载收益归作者所有