阿里云-訪問控制服務最佳實踐-D_第1頁
阿里云-訪問控制服務最佳實踐-D_第2頁
阿里云-訪問控制服務最佳實踐-D_第3頁
阿里云-訪問控制服務最佳實踐-D_第4頁
全文預覽已結束

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

1、訪問控制最佳實踐DPA/幫助手冊DPA/幫助手冊 PAGE 3 PAGE 3最佳實踐最佳實踐原則為根賬戶和RAM用戶啟用MFA建議您為根賬戶綁定MFA,每次使用根賬戶時都強制使用多因素認證。如果您創(chuàng)建了RAM用戶,并且給用戶授 予了高風險操作權限(比如,停止虛擬機,刪除存儲桶),那么建議您給RAM用戶綁定MFA。使用群組給RAM用戶分配權限一般情況下,您不必對RAM用戶直接綁定授權策略,更方便的做法是創(chuàng)建與人員工作職責相關的群組(如等),為每個群組綁定合適的授權策略,然后把用戶加入這些群組。群組 內的所有用戶共享相同的權限。這樣,如果您需要修改群組內所有人的權限,只需在一處修改即可。當您的組

2、織人員發(fā)生調動時,您只需更改用戶所屬的群組即可。將用戶管理、權限管理與資源管理分離一個好的分權體系應該支持權力制衡,盡可能地降低安全風險。在使用RAM時,您應該考慮創(chuàng)建不同的RAM用 戶,其職責分別是RAM用戶管理、RAM權限權限、以及各產(chǎn)品的資源操作管理。為用戶登錄配置強密碼策略如果您允許用戶更改登錄密碼,那么應該要求他們創(chuàng)建強密碼并且定期輪換。您可以通過RAM控制臺為RAM用 戶創(chuàng)建密碼策略,如最短長度、是否需要非字母字符、必須進行輪換的頻率等等。定期輪轉用戶登錄密碼和訪問密鑰建議您或RAM用戶要定期輪換登錄密碼或訪問密鑰。在您不知情的時候,如果出現(xiàn)憑證泄露,那么憑證的使用 期限也是受限制

3、的。您可以通過設置密碼策略來強制RAM用戶輪換登錄密碼或訪問密鑰的周期。撤銷用戶不再需要的權限當一個用戶由于工作職責變更而不再使用權限時,您應該及時將該用戶的權限進行撤銷。這樣,如果在不知情 的時候,當用戶的訪問憑證泄露時對您帶來的安全風險最小。將控制臺用戶與API用戶分離不建議給一個RAM用戶同時創(chuàng)建用于控制臺操作的登錄密碼和用于API操作的訪問密鑰。通常只給員工創(chuàng)建登 錄密碼,給系統(tǒng)或應用程序只創(chuàng)建訪問密鑰。使用策略限制條件來增強安全性建議您給用戶授權時設置策略限制條件,這樣可以增強安全性。比如,授權用戶Alice可以關停ECS實例,限制 條件是Alice必須在指定時間、并且您公司網(wǎng)絡中執(zhí)

4、行該操作。不要為根賬戶創(chuàng)建訪問密鑰由于根賬戶對名下資源有完全控制權限,所以為了避免因訪問密鑰泄露所帶來的災難性損失,我們不建議創(chuàng)建 根賬號訪問密鑰并使用該密鑰進行日常工作。創(chuàng)建根賬號的訪問密鑰需要通過登錄阿里云控制臺才能完成,該 操作需要多因素認證,并且還支持嚴格的風控檢查。只要根賬戶不主動創(chuàng)建訪問密鑰,賬號名下的資產(chǎn)安全風 險可控。遵循最小授權原則最小授權原則是安全設計的基本原則。當您需要給用戶授權時,請授予剛好滿足他工作所需的權限,而不要過 渡授權。比如,在您的組織中,如果Developers組員(或者一個應用系統(tǒng))的工作職責只需要讀取OSS存儲桶 里的數(shù)據(jù),那么就只給這個組(或應用系統(tǒng))

5、授予OSS資源的只讀權限,而不要授權OSS資源的所有權限,更 不要授予對所有產(chǎn)品資源的訪問權限。使用多重機制保護主賬戶安全主賬號相當于您的所有云資源管控的root賬號,一旦主賬號的登錄密碼或API訪問密鑰丟失或泄露,將會對您的 企業(yè)造成不可估量的損失,而且極有可能導致企業(yè)破產(chǎn)。那如何保護您的root賬號安全呢?原則一:給root賬號開啟多因素認證(二步認證)給root賬號開啟多因素認證(MFA),不要與他人共享MFA設備給授予特權操作的RAM用戶也開啟多因素認證。特權操作通常指管理用戶、授權、停止/釋放實例、 修改實例配置、刪除數(shù)據(jù)等。原則二:不要使用root賬號進行日常運維管理操作給員工創(chuàng)建

6、RAM用戶賬號進行日常的運維管理操作為財務人員創(chuàng)建獨立的RAM用戶賬號創(chuàng)建獨立的RAM用戶賬號來作為RAM管理員原則三:不要為root賬號創(chuàng)建AccessKey,AccessKey用于程序訪問,登錄密碼用于控制臺登錄。由于AccessKey通常以明文形式保存在配置文件中,泄露的風險更高。給所有的應用系統(tǒng)配置使用RAM用戶身份并遵循最小授權原則。原則四:使用帶IP限制條件的授權策略進行授權授予所有的特權操作必須受IP條件限制(acs:SourceIp)。那么,即使RAM用戶的登錄密碼或AccessKey泄露,只有攻擊者沒有滲透進入您的可信網(wǎng)絡,那么攻擊者也無能為力。原則五:使用帶MFA限制條件的授權策略進行授權授予所有的特權操作必須受MFA條件限制(acs:MFAPresent)。那么,即使RAM用戶的登

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論