账号安全建议方案

最近更新时间:2021-10-29 14:28:03

查看PDF

安全保护

主账户和用户均启用 MFA

建议您为所有用户都绑定MFA(Multi-factor authentication,多因素认证),子用户的MFA设置在访问控制-人员管理-子用户的详情页面。

定期强制修改登录密码和轮转访问密钥

对主账户和子用户,建议定期强制修改登录密码并轮转访问密钥,这样即使安全凭证在不知情下泄露,由于定期轮转,其使用期限也受限,能够保障账户下云计算资源的安全。

提高密码的复杂度,降低弱口令破解、撞库风险

登录配置强密码策略,如混合使用中英文、符号、大小写,提高密码位数等措施。

使用子用户访问金山云

在日常进行云资源操作管理时,最大程度上减少主账号的身份凭证访问金山云的使用,更不要将身份凭证共享给他人,养成赋权子用户管理的习惯。

授权制约

遵循最小授权原则

最小授权原则是安全设计的基本原则,其要求给用户授权时,只授予满足工作所需要的权限的最小集合,从而防止过度授权而引起的权限滥用并降低账号泄露后的安全风险。

使用策略限制条件来增强安全性

建议您给用户授权时设置策略限制条件,约束生效场景,以增强安全等级。比如撰写策略时,condition配置(限制IP访问,地域,时间)等。

及时撤销无用权限

当一个子用户的身份由于工作职责变更而不再使用某些操作权限时,应当即使撤销该用户的权限。

权限配置

分离控制台与openAPI权限

不建议给一个子用户同时使用控制台和操作openAPI的权限。通常,对于员工,给予其子用户身份的登录密码并赋予相应操作权限,而对于系统或者应用程序,则给予其子用户身份的访问密钥。

不要为主账户创建访问密钥

由于主账户对名下资源拥有完全控制权限,包括所有控制台操作和openAPI访问,为避免主账户访问密钥泄露带来的灾难性损失,不建议为主账户创建访问密钥;建议通过创建子用户及其访问密钥,通过适当授权来执行必要操作控制。

将身份管理、策略及授权管理、操作与资源管理分离

为最大限度降低安全风险,需要将系统的权限进行较好的划分。在使用访问控制时,首先应该考虑将子用户的身份管理、策略及授权管理以及各产品的操作和资源管理权限进行分权,为每种权限建立不同的IAM用户并赋予不同的策略。

使用用户组功能给子用户分配权限

除了对子用户直接绑定授权策略,您可以通过新建群组的功能,来对差异化的职能用户进行赋权操作,并实现集中管理。可以通过为每个群组绑定合适的授权策略,依据组织变动调整或移除用户,即能实现群组内的所有用户共享相同的权限时时生效。

文档内容是否对您有帮助?

根本没帮助
文档较差
文档一般
文档不错
文档很好

在文档使用中是否遇到以下问题

内容不全,不深入
内容更新不及时
描述不清晰,比较混乱
系统或功能太复杂,缺乏足够的引导
内容冗长

更多建议

0/200

评价建议不能为空

提交成功!

非常感谢您的反馈,我们会继续努力做到更好!

问题反馈