• 阿里云 访问控制RAM


    为用户分配最小权限
    别名主要用于 RAM 用户登录以及成功登录后的显示名。
    强烈建议您给主账号绑定多因素认证。
    设置MFA
    安装虚拟MFA应用程序
    基于TOTP(Time-Based One-Time Password)的动态密码生成器.
    动态口令生成
    1. 建议您为应用程序周期性更换AK,避免因为AK泄露导致风险。
    创建自定义授权策略
    如果您有更细粒度的授权需求,比如授权用户bob只能对oss://sample_bucket/bob/下的所有对象执行只读操作、而且限制IP来源必须为您的公司网络(可以通过搜索引擎查询“我的IP”来获知您的公司网络IP地址),那么您可以通过创建自定义授权策略来进行访问控制。
    在创建自定义授权策略时,您需要了解授权策略语言的基本结构和语法,相关内容的详细描述请参考授权策略语言描述
    给RAM用户授权
    选择“用户管理”,选择相应的用户,点击“授权”。或者,进入用户详情页面-> 用户授权策略,在弹窗中选择合适的授权策略名称进行授权即可。
    安全实践:
    为根账户绑定MFA,每次使用根账户时都强制使用多因素认证。如果您创建了RAM用户,并且给用户授予了高风险操作权限(比如,停止虚拟机,删除存储桶),那么建议您给RAM用户绑定MFA。
    为用户登录配置强密码策略
    遵循最小授权原则
    使用策略限制条件来增强安全性
    比如,授权用户Alice可以关停ECS实例,限制条件是Alice必须在指定时间、并且您公司网络中执行该操作。
    不要为根账户创建访问密钥
    由于根账户对名下资源有完全控制权限,所以为了避免因访问密钥泄露所带来的灾难性损失,不建议您创建根账号访问密钥并使用该密钥进行日常工作。
    将控制台用户与API用户分离
    不建议给一个RAM用户同时创建用于控制台操作的登录密码和用于API操作的访问密钥。通常只给员工创建登录密码,给系统或应用程序只创建访问密钥。
    使用带IP限制条件的授权策略进行授权
    授予所有的特权操作必须受IP条件限制(acs:SourceIp)。那么,即使RAM用户的登录密码或AccessKey泄露,只有攻击者没有渗透进入您的可信网络,那么攻击者也无能为力。
  • 相关阅读:
    POS门店数据同步系统建模(1)
    Json Formatter 1.0 Json格式化工具
    XLSReadWriteII 使用
    POS门店数据同步系统建模(2)
    内存泄漏superobject
    使用电脑查看android手机的短信与修改cmd窗口编码
    wordpress站点修改站点地址引起的图片地址修改
    系统子模块_EM310初始化子系统流程图
    mark
    系统子模块_短信命令语法设计
  • 原文地址:https://www.cnblogs.com/elesos/p/6856368.html
Copyright © 2020-2023  润新知