ram_best-practice
访问控制(公测中)最佳实践
最佳实践
基本指导原则
最佳实践原则
为根账户和RAM用户启用MFA
建议您为根账户绑定MFA,每次使用根账户时都强制使用多因素认证。如果您创建了RAM用户,并且给用户授予了高风险操作权限(比如,停止虚拟机,删除存储桶),那么建议您给RAM用户绑定MFA。
使用群组给RAM用户分配权限
一般情况下,您不必对RAM用户直接绑定授权策略,更方便的做法是创建与人员工作职责相关的群组(如admins、developers、accounting等),为每个群组绑定合适的授权策略,然后把用户加入这些群组。群组内的所有用户共享相同的权限。这样,如果您需要修改群组内所有人的权限,只需在一处修改即可。当您的组织人员发生调动时,您只需更改用户所属的群组即可。
将用户管理、权限管理与资源管理分离
一个好的分权体系应该支持权力制衡,尽可能地降低安全风险。在使用RAM时,您应该考虑创建不同的RAM用户,其职责分别是RAM用户管理、RAM权限权限、以及各产品的资源操作管理。
为用户登录配置强密码策略
如果您允许用户更改登录密码,那么应该要求他们创建强密码并且定期轮换。您可以通过RAM控制台为RAM用户创建密码策略,如最短长度、是否需要非字母字符、必须进行轮换的频率等等。
定期轮转用户登录密码和访问密钥
建议您或RAM用户要定期轮换登录密码或访问密钥。在您不知情的时候,如果出现凭证泄露,那么凭证的使用期限也是受限制的。您可以通过设置密码策略来强制RAM用户轮换登录密码或访问密钥的周期。
撤销用户不再需要的权限
当一个用户由于工作职责变更而不再使用权限时,您应该及时将该用户的权限进行撤销。这样,如果在不知情的时候,当用户的访问凭证泄露时对您带来的安全风险最小。
将控制台用户与API用户分离
不建议给一个RAM用户同时创建用于控制台操作的登录密码和用于API操作的访问密钥。通常只给员工创建登录密码,给系统或应用程序只创建访问密钥。
使用策略限制条件来增强安全性
建议您给用户授权时设置策略限制条件,这样可以增强安全性。比如,授权用户Alice可以关停ECS实例,限制
q q q q q
q q
条件是Alice必须在指定时间、并且您公司网络中执行该操作。
不要为根账户创建访问密钥
由于根账户对名下资源有完全控制权限,所以为了避免因访问密钥泄露所带来的灾难性损失,我们不建议创建根账号访问密钥并使用该密钥进行日常工作。创建根账号的访问密钥需要通过登录阿里云控制台才能完成,该操作需要多因素认证,并且还支持严格的风控检查。只要根账户不主动创建访问密钥,账号名下的资产安全风险可控。
遵循最小授权原则
最小授权原则是安全设计的基本原则。当您需要给用户授权时,请授予刚好满足他工作所需的权限,而不要过渡授权。比如,在您的组织中,如果Developers组员(或者一个应用系统)的工作职责只需要读取OSS存储桶里的数据,那么就只给这个组(或应用系统)授予OSS资源的只读权限,而不要授权OSS资源的所有权限,更不要授予对所有产品资源的访问权限。
多种机制保护主账户安全
使用多重机制保护主账户安全
主账号相当于您的所有云资源管控的root账号,一旦主账号的登录密码或API访问密钥丢失或泄露,将会对您的企业造成不可估量的损失,而且极有可能导致企业破产。
那如何保护您的root账号安全呢?
原则一:给root账号开启多因素认证(二步认证)
给root账号开启多因素认证(MFA),不要与他人共享MFA设备
给授予特权操作的RAM用户也开启多因素认证。特权操作通常指管理用户、授权、停止/释放实例、修改实例配置、删除数据等。
原则二:不要使用root账号进行日常运维管理操作
给员工创建RAM用户账号进行日常的运维管理操作
为财务人员创建独立的RAM用户账号
创建独立的RAM用户账号来作为RAM管理员
原则三:不要为root账号创建AccessKey
AccessKey与登录密码具有同样的特权,AccessKey用于程序访问,登录密码用于控制台登录。由于AccessKey通常以明文形式保存在配置文件中,泄露的风险更高。
给所有的应用系统配置使用RAM用户身份并遵循最小授权原则。
原则四:使用带IP限制条件的授权策略进行授权
授予所有的特权操作必须受IP条件限制(acs:SourceIp)。那么,即使RAM用户的登录密码或AccessKey泄露
,只有攻击者没有渗透进入您的可信网络,那么攻击者也无能为力。
原则五:使用带MFA限制条件的授权策略进行授权
授予所有的特权操作必须受MFA条件限制(acs:MFAPresent)。那么,即使RAM用户的登录密码或AccessKey泄露,只有MFA设备没有丢失,攻击者也无能为力。
没有绝对的安全,只有最佳的实践。只有遵循最佳安全实践原则,综合利用这些保护机制,相信可以极大提高对您的账号资产的保护。