开发者社区> 陈鹏飞Figo Chen> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

如何限制只有启用了MFA认证的用户才能操作OSS资源?

简介: 第一章:用户使用场景介绍   阿里云控制台提供了各个产品相关图形化配置,并且功能比较齐全。对于用户来说,学习成本低、易操作、易上手。因此,绝大多数用户使用主账号登录控制台进行日常的运维管理操作。由于主账号对其名下的所有阿里云资源都拥有完全控制的权限,一旦主账号的登录密码泄露,该账号下的资产将面临极大的损失,甚至有可能被他人恶意使用而造成相关法律风险。
+关注继续查看

第一章:用户使用场景介绍

  阿里云控制台提供了各个产品相关图形化配置,并且功能比较齐全。对于用户来说,学习成本低、易操作、易上手。因此,绝大多数用户使用主账号登录控制台进行日常的运维管理操作。由于主账号对其名下的所有阿里云资源都拥有完全控制的权限,一旦主账号的登录密码泄露,该账号下的资产将面临极大的损失,甚至有可能被他人恶意使用而造成相关法律风险。
  因此,我们建议您禁用主账号进行相关操作,而是通过授权子账号的方式进行运维和开发管理。而对于不得不使用控制台进行操作的场景,我们建议您对账号启用MFA,以提高账号的安全性。

第二章:为主账号/子账号启用MFA

  为主账号/子账号启用MFA的相关操作方法请参见:账号设置MFA操作方法

第三章:为子账号配置RAM policy 已拒绝非MFA认证的操作请求

  当为主账号以及子账号启用MFA后,用户每次登录控制台的操作都需要输入MFA安全码。因此,可以保证控制台相关操作的安全。但是SDK、API以及工具的相关操作默认不传递MFA参数。因此,对于启用了MFA认证的账号,仍然使用AK信息,不通过MFA二次认证而继续使用SDK、API以及工具操作OSS相关资源。为了实现拒绝子账号所有非MFA二次认证的操作请求,需要对子账号额外赋予RAM Policy。具体RAM Policy策略模板如下:

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "oss:*"
            ],
            "Resource": [
                "acs:oss:*:*:*"
            ],
            "Condition": {
                "Bool": {
                    "acs:MFAPresent": [
                        "true"
                    ]
                }
            }
        }
    ]
}

  设置如上RAM policy策略后,该账号的所有请求操作都需要进过MFA进行二次认证。因此账号登录控制台,输入MFA安全码后,就可以进行正常操作。但是该用户如果使用API、SDK或者工具进行操作,就会提示授权失败如下所示:

D:\5-AK账号\ossutil64>ossutil64.exe ls  oss://test-hangzhou-2025/ -e http://oss-
cn-hangzhou.aliyuncs.com
Error: oss: service returned error: StatusCode=403, ErrorCode=AccessDenied, Erro
rMessage=The bucket you visit is not belong to you., RequestId=5C52AB7E880904877
DF82E2E, Bucket=test-hangzhou-2025!

第四章:FAQ

  1. Bucket Policy的条件参数是否支持设置"MFAPresent"参数?

    • 当前不支持。后续规划支持该特性;
  2. 对于有API、SDK或者工具操作是否支持指定MFA参数?

    • 当前不支持;

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
开源操作系统社区 OpenCloudOS 正式成立,由开放原子开源基金会托管和监督
开源操作系统社区 OpenCloudOS 正式成立,由开放原子开源基金会托管和监督
22 0
小技巧!CSS 提取图片主题色功能探索
小技巧!CSS 提取图片主题色功能探索
131 0
对象存储 OSS图片高级压缩的功能使用及示例
OSS提供图片高级压缩功能,可以更加高效地将图片转换为 HEIF 或 Webp M6 等高压缩比格式。
7208 0
js 操作select和option常用代码整理
1、获取选中select的value和text,html代码如下:    one   two   three $("#mySelect").val(); //获取选中记录的value值 $("#mySelect option:selected").
911 0
C# 加密解密(DES,3DES,MD5,Base64) 类
原文:C# 加密解密(DES,3DES,MD5,Base64) 类 保存! public sealed class EncryptUtils { #region Base64加密解密 /// /// Base64加密 ...
1085 0
ORACLE EBS财务全模块操作手册中文版
http://wenku.baidu.com/view/316ca2f8c8d376eeaeaa315b.html
883 0
108_《Delphi5企业级解决方案及应用剖析》
《Delphi5企业级解决方案及应用剖析》 Delphi 教程 系列书籍 (108) 《Delphi5企业级解决方案及应用剖析》 网友(邦)整理 EMail: shuaihj@163.com 下载地址: 下载 作者: 刘艺 丛书名: 软件开发技术丛书 出版社:机械工业出版社 ISBN:7111082265 上架时间:2000-7-1 出版日期:2000 年9月 页码:410 版次:1-1 内容简介 本书是一部面向企业级应用的Delphi 5高级编程开发专著。
1139 0
30
文章
0
问答
来源圈子
更多
阿里云存储基于飞天盘古2.0分布式存储系统,产品包括对象存储OSS、块存储Block Storage、共享文件存储NAS、表格存储、日志存储与分析、归档存储及混合云存储等,充分满足用户数据存储和迁移上云需求,连续三年跻身全球云存储魔力象限四强。
+ 订阅
文章排行榜
最热
最新
相关电子书
更多
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
冬季实战营第三期:MySQL数据库进阶实战
立即下载