IAM最佳实践

本文涉及的产品
RDS MySQL Serverless 基础系列,0.5-2RCU 50GB
云数据库 RDS PostgreSQL,高可用系列 2核4GB
RDS MySQL Serverless 高可用系列,价值2615元额度,1个月
简介: 企业上云最基本的账户权限安全实践

企业使用公有云服务的第一件事情就是创建云帐号,有了帐号之后如何让企业员工安全合规的使用云帐号下的各种资源是开启云之旅后的第一个考验。

云计算厂商针对企业上云后面临的第一个需求已经推出了完善的解决方案--Identity and Access ManagementIAM可以帮助云帐号安全地控制对云计算服务资源的访问。企业可以使用IAM控制对哪个用户进行身份验证 (登录) 和授权 (具有权限) 以使用资源。

云厂商是否提供完善的IAM服务可以作为整体产品解决方案是否成熟的一个衡量指标,比如AWS的IAM和阿里云的访问控制都是较为成熟完善的产品。国内某个以AI能力为卖点的云厂商,在IAM产品方面几乎为零,很难相信对安全合规有需求的企业会完整使用他的云产品作为解决方案。


IAM通常提供以下功能:

对云账户的共享访问权限

允许在一个云账户下创建并管理多个用户身份,并允许给单个身份或一组身份(既可以是当前云帐号下也可以是其他云帐号下)分配不同的权限策略,从而实现不同用户拥有不同的云资源访问权限,而不必共享云帐号根用户的密码或访问密钥。

精细权限

可以针对不同资源向不同人员授予不同权限。可以要求用户必须使用安全信道(如 SSL)、在指定时间范围、或在指定源 IP 条件下才能操作指定的云资源。

多重验证 (MFA)

可以向云账户和各个用户添加双重身份验证以实现更高安全性。借助MFA,用户不仅必须提供使用账户所需的密码或访问密钥,还必须提供来自经过特殊配置的设备的代码。

联合身份

可以允许已在其他位置(例如,在企业网络中或通过 Internet 身份提供商)获得密码的用户获取对云账户的用户访问权限。

后面会有专门的文章来讲如何实践联合身份。

统一账单

云账户接收包括所有用户的资源操作所发生费用的统一账单。

尽管IAM提供了上面种种功能,云帐号的管理者仍可通过一些最佳实践来更好的使用IAM产品来提升安全级别和减少运维成本。

IAM最佳实践

  • 尽量不要使用云帐号的根用户,不要为根用户创建AK。云帐号管理员也使用各自独立的子账号。
  • 为企业中每一个需要使用云服务的员工单独创建子账户,且默认不允许创建AK。便于员工离职的时候,通过删除帐号来完全清理用户在云计算平台的各种权限。
  • 密码安全实践,

    • 限制密码强度不少于8位,必须由大小写字母、数字和符号中的三种组成
    • 强制密码过期时间不超过90天,且过期后不可登录。
    • 新密码至少禁止使用前3次密码
    • 设置密码重试约束,例如,一小时内使用错误密码最大尝试9次登录
  • 强制所有用户启用两步认证
  • 对访问网络有限制的企业,可以开启登录IP限制。
  • [推荐做法]已有SSO单点登录系统的企业,可以通过SAML 2.0标准实现从企业本地账号系统登录到阿里云,从而满足企业的统一用户登录认证要求。
  • 细粒度的权限管理,

    • 为各种云资源创建最细粒度的权限策略。例如,分别为RDS实例rds-instance-1创建只读权限策略rds-instance-1-readonly-access,RDS实例rds-instance-2创建只读权限策略rds-instance-2-readonly-access
    • 根据职能、部门等维度为云帐号子用户创建用户组。例如,按项目创建用户组,group-project-agroup-project-b。如果project-a用户需要访问rds-instance-1的信息,将自定义权限rds-instance-1-readonly-access授权给group-project-a。再将相关用户加到用户组group-project-a中,这样这些用户就具有只读访问RDS实例rds-instance-1的权限。而不是将所有RDS的读写权限都授予这些用户,最大限度的保证用户不获取超过实际需要的权限
    • 在实际场景中,通常会通过云计算服务的API来完成某些周期性任务,比如每日RDS中的慢查询统计、云帐号每日花费统计等。这些任务都需要一个云帐号的AK来完成API的身份认证。最佳的做法是,为每类相关的任务创建一个功能性子账号,禁用他们的web登录,且遵循特殊的命名规范(functional-开头),比如functional-rds-statsfunctional-cost-stats。创建最小的权限策略,然后分配给这些功能性用户。例如,functional-rds-stats仅被授予RDS只读权限,functional-cost-stats仅被授予费用的只读权限。为这些子账号创建AK,每类任务使用不同的AK来完成API认证,而不是都使用同一个AK。这样的好处是,不同类型任务的AK具有不同的权限,最大限度的保护了云帐号的安全,并且这些AK不跟实际的员工子账号关联,不会因为员工帐号的变更而受影响。如有更高的安全合规的要求下,可以定期作废已有AK,创建新AK替换。至于AK怎样安全管理,之后会有专门的文章来详解。
相关实践学习
每个IT人都想学的“Web应用上云经典架构”实战
本实验从Web应用上云这个最基本的、最普遍的需求出发,帮助IT从业者们通过“阿里云Web应用上云解决方案”,了解一个企业级Web应用上云的常见架构,了解如何构建一个高可用、可扩展的企业级应用架构。
MySQL数据库入门学习
本课程通过最流行的开源数据库MySQL带你了解数据库的世界。   相关的阿里云产品:云数据库RDS MySQL 版 阿里云关系型数据库RDS(Relational Database Service)是一种稳定可靠、可弹性伸缩的在线数据库服务,提供容灾、备份、恢复、迁移等方面的全套解决方案,彻底解决数据库运维的烦恼。 了解产品详情: https://www.aliyun.com/product/rds/mysql 
目录
相关文章
|
弹性计算 安全 API
访问控制(RAM)|凭证安全管理与最佳实践
本文分享将为您介绍从访问云资源的人员/程序身份两种身份类型,介绍云上凭证的认证方式、安全风险及凭证管理的最佳实践。
103113 7
|
安全 云计算
身份和访问管理(IAM)软件市场现状及未来发展趋势
本文研究全球及中国市场身份和访问管理(IAM)软件现状及未来发展趋势,侧重分析全球及中国市场的主要企业,同时对比北美、欧洲、中国、日本、东南亚和印度等地区的现状及未来发展趋势
身份和访问管理(IAM)软件市场现状及未来发展趋势
|
运维 监控 安全
云计算MSP行业调研报告
# 1. 概述 ## 1.1 背景和概念 企业上云是当前的大势所趋,但企业上云并非坦途。随着业务、数据等向云端迁移,企业在上云过程中会各种复杂的问题,比如平台选择、系统迁移、多云管理、应用优化以及成本核算和安全管理等问题。要解决这些问题,就需要专业的团队来指导,因此诞生了云MSP。 云MSP即云管理服务提供商(Cloud Management Service Provider),通常是指对接
4649 0
云计算MSP行业调研报告
|
Kubernetes Cloud Native 开发工具
Argo与Flux在云原生GitOps实践上的能力对比与分析
随着云原生技术的普及和落地,越来越多的云原生应用被部署到生产环境中,由于云原生应用通常都是基于云的分布式部署模式,且每个应用可能是由多个功能组件互相调用来一起提供完整的服务的,每个组件都有自己独立的迭代流程和计划。在这种情况下,功能组件越多,意味着应用的发布管理越复杂,如果没有一个好的方案或者系统来管理复杂应用的发布上线的话,业务面临的风险也是非常大的。开源社区在复杂应用发布管理方面逐渐开始发力,
5029 1
Argo与Flux在云原生GitOps实践上的能力对比与分析
|
9月前
|
弹性计算 监控 安全
打造安全云环境:深入理解阿里云权限体系
本文将探讨阿里云上的权限管理,帮助理解其背后原理并掌握实践方法。主要内容分为三部分:一是访问控制基本原理,强调避免使用root身份,介绍权限策略语言和类型;二是五种典型的授权方式,包括服务级、操作级和资源级授权等;三是多账号环境下的集中化权限管理,重点介绍如何使用管控策略实现安全合规的集中管控。通过这些内容,用户可以更好地理解和应用阿里云的权限管理体系,确保云资源的安全与高效管理。
|
10月前
|
存储 云安全 人工智能
带你读《阿里云安全白皮书》(二十四)——云上安全建设最佳实践(2)
本文介绍了阿里云在AI大模型云上安全方面的最佳实践,涵盖数据安全、模型安全、内容安全和合规性四大关键挑战。阿里云通过数据加密、私有链接传输、机密计算等技术手段,确保数据和模型的安全性;同时,提供内容安全检测、Prompt问答护栏等功能,保障生成内容的合法合规。此外,阿里云还帮助企业完成算法及模型备案,助力客户在AI大模型时代安全、合规地发展。
|
弹性计算 安全 应用服务中间件
阿里云网络系列之经典网络和专有网络
阿里云面向客户提供的网络类型服务有经典网络和专有网络两种,但这两者有什么区别呢?阿里官网给的解释是: 经典网络:IP地址由阿里云统一分配,配置简便,使用方便,适合对操作易用性要求比较高、需要快速使用 ECS 的用户。
94052 1
使用阿里云快速构建海外镜像实战案例
关于如何使用阿里云服务快速构建海外镜像的实战案例,包括在GitHub创建项目和在阿里云配置镜像仓库的详细步骤。
498 2
使用阿里云快速构建海外镜像实战案例
|
存储 安全 物联网
探索IAM的重要性及其在各行业的应用
本周聚焦IAM(身份与访问管理)的重要性及其对各行业的影响。IAM作为网络安全核心,不仅保护数字身份、限制未授权访问,还能帮助企业实现法规遵从,平衡安全与风险,提升品牌信誉。无论医疗、教育、政府、制造还是金融行业,IAM都能提供定制化解决方案,应对数据安全挑战。借助IAM,组织可有效管理用户访问、保护敏感信息,同时简化合规流程,为数字化转型奠定坚实基础。
336 0
|
监控 安全 Linux
在Linux中,什么是入侵检测系统(IDS)和入侵防御系统(IPS)?
在Linux中,什么是入侵检测系统(IDS)和入侵防御系统(IPS)?