开发者社区> 问答> 正文

用户账户安全包括哪四个方面?

已解决

用户账户安全包括哪四个方面?

展开
收起
游客lmkkns5ck6auu 2022-11-02 15:36:04 853 0
来自:阿里云认证
1 条回答
写回答
取消 提交回答
  • 推荐回答

    在整体的云上安全架构中,用户的账户安全涵盖了所有层面。 • 云上用户的账户安全主要体现在五个方面,包括身份认证(Authentication)、 访问授权(Authorization)、账号管理(Account)、操作审计(Audit)和应用 管理(Application),即账户安全中的 5A 要素。

    • 一个云服务或云产品可能提供了 5A 中的多个维度能力。 用户账户安全包括以下四个方面:

    a) 身份认证 通过凭证信息认证用户的真实身份,通常指通过登录密码或访问密钥 AK 来进行认 证。 • 账号密码认证:使用主账号或 RAM 用户的密码登录阿里云控制台并对云上资源 进行操作。 • Access Key(AK)认证:Access Key(AK)是用户调用云服务 API 的身份凭证, 用于在用户通过 API 访问阿里云资源时对用户身份进行认证。AK ID 用于标识用 户,AK Secret 用来验证用户身份的合法性。不建议用户为其云账号(即主账号) 创建 AK 凭证。 • STS 认证:为 RAM 用户、阿里云服务、身份提供商等受信实体提供短期访问资 源的权限凭证。 • MFA 认证:在用户名和密码之外再额外增加一层安全保护。启用 MFA 后,用户 登录阿里云时,系统将要求输入用户名和密码(第一安全要素),然后要求输入 来自其 MFA 设备的可变验证码(第二安全要素),支持基于软件的虚拟 MFA 设 备。 • SSO 认证:支持基于 SAML2.0 的单点登录,支持使用企业自有身份系统的登录 服务登录访问阿里云。 • SSH 密钥对:将公钥配置在 Linux 实例中,在本地或者另外一个实例中,可以 使用私钥通过 SSH 命令或相关工具登录之前有公钥配置的实例,而不需要输入 密码。

    b) 账号管理和访问授权 • 阿里云账号和 RAM:用户管理与资源访问权限控制服务,RAM 使得一个阿里主 账号可拥有多个独立的子用户(RAM 用户)。 • RAM 用户:云账号下为企业员工、系统或应用程序创建独立的 RAM 用户账号。 • RAM 角色:解决跨云帐号的资源授权、不同云服务之间的资源访问授权、给移 动 App 颁发临时授权令牌、进行角色 SSO 登录等场景。 • 资源目录(Resource Directory):面向企业客户提供的一套基于多账号的分级 管理服务。

    c) 操作审计 • ActionTrail:提供统一的云资源操作日志管理,记录云账号下的用户登录及资源 访问操作。 • 堡垒机:集中运维身份鉴别、账号管控、系统操作审计等多种功能,基于协议正 向代理实现。

    d) 应用管理 • 应用身份服务:集中式身份管理服务,提供统一的应用门户、用户目录、单点登 录、集中授权、以及行为审计等中台服务。整合部署在本地或云端的系统,实现 一个账号打通所有应用服务。

    以上内容摘自《阿里云认证的解析与实战-云计算ACP认证》电子书,点击https://developer.aliyun.com/ebook/download/7808 可下载完整版

    2022-11-02 22:50:16
    赞同 展开评论 打赏
问答分类:
问答地址:
来源圈子
更多
收录在圈子:
+ 订阅
阿里云认证的泛云生态人才交流绿洲,持续带来丰富多样的认证活动、行业资讯,以及实时的线上学习交流机会,希望大家都能加入一起玩!诚邀您加入阿里云认证官方学习福利群:33715706。
问答排行榜
最热
最新

相关电子书

更多
安全机制与User账户身份验证实战 立即下载
低代码开发师(初级)实战教程 立即下载
阿里巴巴DevOps 最佳实践手册 立即下载