用户账户安全包括哪四个方面？

在整体的云上安全架构中，用户的账户安全涵盖了所有层面。 • 云上用户的账户安全主要体现在五个方面，包括身份认证（Authentication）、 访问授权（Authorization）、账号管理（Account）、操作审计（Audit）和应用 管理（Application），即账户安全中的 5A 要素。

• 一个云服务或云产品可能提供了 5A 中的多个维度能力。 用户账户安全包括以下四个方面：

a) 身份认证 通过凭证信息认证用户的真实身份，通常指通过登录密码或访问密钥 AK 来进行认 证。 • 账号密码认证：使用主账号或 RAM 用户的密码登录阿里云控制台并对云上资源 进行操作。 • Access Key（AK）认证：Access Key（AK）是用户调用云服务 API 的身份凭证， 用于在用户通过 API 访问阿里云资源时对用户身份进行认证。AK ID 用于标识用 户，AK Secret 用来验证用户身份的合法性。不建议用户为其云账号（即主账号） 创建 AK 凭证。 • STS 认证：为 RAM 用户、阿里云服务、身份提供商等受信实体提供短期访问资 源的权限凭证。 • MFA 认证：在用户名和密码之外再额外增加一层安全保护。启用 MFA 后，用户 登录阿里云时，系统将要求输入用户名和密码（第一安全要素），然后要求输入 来自其 MFA 设备的可变验证码（第二安全要素），支持基于软件的虚拟 MFA 设 备。 • SSO 认证：支持基于 SAML2.0 的单点登录，支持使用企业自有身份系统的登录 服务登录访问阿里云。 • SSH 密钥对：将公钥配置在 Linux 实例中，在本地或者另外一个实例中，可以 使用私钥通过 SSH 命令或相关工具登录之前有公钥配置的实例，而不需要输入 密码。

b) 账号管理和访问授权 • 阿里云账号和 RAM：用户管理与资源访问权限控制服务，RAM 使得一个阿里主 账号可拥有多个独立的子用户（RAM 用户）。 • RAM 用户：云账号下为企业员工、系统或应用程序创建独立的 RAM 用户账号。 • RAM 角色：解决跨云帐号的资源授权、不同云服务之间的资源访问授权、给移 动 App 颁发临时授权令牌、进行角色 SSO 登录等场景。 • 资源目录（Resource Directory）：面向企业客户提供的一套基于多账号的分级 管理服务。

c) 操作审计 • ActionTrail：提供统一的云资源操作日志管理，记录云账号下的用户登录及资源 访问操作。 • 堡垒机：集中运维身份鉴别、账号管控、系统操作审计等多种功能，基于协议正 向代理实现。

d) 应用管理 • 应用身份服务：集中式身份管理服务，提供统一的应用门户、用户目录、单点登 录、集中授权、以及行为审计等中台服务。整合部署在本地或云端的系统，实现 一个账号打通所有应用服务。

以上内容摘自《阿里云认证的解析与实战-云计算ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7808 可下载完整版