访问控制主账号安全实践-问答-阿里云开发者社区-阿里云

开发者社区> 问答> 正文

访问控制主账号安全实践

反向一觉 2017-10-31 15:03:36 1923
阿里云主账号相当于您的所有云资源管控的 root 账号。一旦主账号的登录密码或 API 访问密钥丢失或泄露,将会对您的企业造成不可估量的损失。
那么,在使用阿里云服务时,如何保护您的主账号安全呢?请参考本文提供的主账号安全实践若干原则。
原则 1:给主账号开启多因素认证

原则 2:不要使用主账号进行日常运维管理操作
  • 给员工 创建 RAM 用户账号 进行日常的运维管理操作。
  • 为财务人员创建独立的 RAM 用户账号。
  • 创建独立的 RAM 用户账号来作为 RAM 管理员。

原则 3:不要为主账号创建 AccessKey

AccessKey 与登录密码具有同样的特权,AccessKey 用于程序访问,登录密码用于控制台登录。由于 AccessKey 通常以明文形式保存在配置文件中,泄露的风险更高。
给所有的应用系统 配置 RAM 用户身份,并在 给 RAM 用户授权 时遵循最小授权原则。

原则 4:使用带 IP 限制条件的授权策略进行授权
授予所有的特权操作 必须受 IP 条件限制(acs:SourceIp)
那么,即使 RAM 用户的登录密码或 AccessKey 泄露,只有攻击者没有渗透进入您的可信网络,那么攻击者也无能为力。

原则 5:使用带 MFA 限制条件的授权策略进行授权
授予所有的特权操作 必须受 MFA 条件限制(acs:MFAPresent)
那么,即使 RAM 用户的登录密码或 AccessKey 泄露,只要 MFA 设备没有丢失,攻击者也无能为力。
更多限制条件,请参考 Policy 语法结构
没有绝对的安全,只有最佳的实践。只有遵循最佳安全实践原则,综合利用这些保护机制,相信可以极大提高对您的账号资产的保护。
运维 安全 API 数据安全/隐私保护
分享到
取消 提交回答
全部回答(0)
+ 订阅

云安全开发者的大本营

推荐文章
相似问题