点击链接下载查看完整版内容👉：《阿里云安全白皮书（2024版）》

点击链接下载查看上文👉：带你读《阿里云安全白皮书》（十七）——云上安全重要支柱（11）

全链路身份管控与精细化授权

随着数智化发展的深入，企业需维护大量的资产和数据。这导致访问和管理这些资产和数据的身 份权限体系变得极其复杂。

阿里云提供了细粒度的权限管理能力以及完整的身份、凭证保护方案，覆盖了阿里云全链路的产 品品类，以满足各种场景下、不同体量的客户对数据资产访问控制策略的需求，从而保护其数据 资产的安全性。

同时云平台具备标准性、可扩展性，同时云平台具备标准性、可扩展性，能够帮助企业将云上身份与企业内部身份关联起来，构成一张身份网络。在提升企业安全效率的同时，又减少了风险暴 露面。在提升企业安全效率的同时，又减少了风险暴露面。

1 云上身份与细粒度权限管理

阿里云的身份体系中，云账号为云上资源的载体，默认拥有账号内资源的所有管控权限，同时用 户可以通过为员工和程序应用创建 RAM 用户、RAM 角色身份，并分配不同的权限，来满足不 同场景的使用需要。身份与权限体系相当于云上资源的门锁，若门锁不安全，云上资源的安全性 也无从谈起。

主账号及 RAM 用户支持通过用户名密码登录阿里云管理控制台，为避免账号 密码泄露引入安全风险，用户可以对账号启用多重身份验证（MFA，Multi- factor Authentication），通过多因素核身的方式（如输入短信验证码）， 来帮助客户控制账号密码泄露的风险。拥有 RAM 访问控制权限的管理员还可 以配置 RAM 用户的密码策略、MFA 验证规则，以及通过最小化权限授权， 来进一步控制用户密码被盗带来的风险。

为进一步控制云上账号被盗后产生的风险，阿里云将陆续为所有 RAM 用户开 启登录时强制进行 MFA 多因素认证，有效地阻止用户被盗用登录。当有迹象 表明用户控制台密码存在泄露风险时，阿里云会对 RAM 用户进行临时限制登 录保护，客户需要重置 RAM 用户密码后才能重新登录使用。

RAM 用户和 RAM 角色的权限，可以通过访问控制 RAM 来进行限制。访问 控制 RAM（Resource Access Management） 是阿里云提供的管理用户 身份与资源访问权限的服务。客户可以使用 RAM 访问控制产品创建代表员 工或应用程序的 RAM 用户，并可以控制这些 RAM 用户对资源的操作权限。 阿里云支持客户为不同场景、不同员工创建不同的 RAM 用户，按需为用户 分配最小权限，从而降低企业的信息安全风险。RAM 机制支持用户组功能，  以支持对职责相同的多个 RAM 用户进行批量管理。