全部文档
当前文档
最近更新时间:2026-05-19 15:13:51
为了帮助您安全的控制对金山云资源的访问,请遵循以下IAM安全使用建议:
金山账号是您金山云资源归属、资源使用计费的主体,对其所拥有的资源及云服务具有完全访问权限。密码与访问密钥(AK/SK)均为账号的身份凭证,具有同等效力:密码用于登录控制台,是您必须具备的身份凭证;访问密钥用于通过开发工具进行编程调用,是可选的辅助身份凭证。为提升账号安全性,建议您仅使用密码登录控制台,无需为账号创建访问密钥,避免因密钥泄露带来信息安全风险。
当您使用API、CLI、SDK等开发工具访问云服务时,请勿直接将访问密钥嵌入代码中,以降低密钥泄露风险。
若有人员需要访问您金山账号中的资源,请不要共享账号密码,应为其创建单独的IAM用户并分配相应权限。同时,建议您不要直接使用主账号访问金山云,而是为自己创建一个具备管理权限的IAM用户,通过该用户进行日常管理操作,以保护主账号安全。
IAM支持为用户设置API访问和控制台密码登录访问两种方式,请根据以下建议为IAM用户配置访问方式:
如果IAM用户仅需登录管理控制台访问云服务,建议选择“控制台密码登录”方式,凭证类型为密码。
如果IAM用户仅需通过API访问金山云服务,建议选择“编程访问”,凭证类型为访问密钥。
如果IAM用户需要同时访问控制台和使用部分API,建议同时开启“控制台密码登录”(凭证类型为密码)和“编程访问”(凭证类型为访问密钥)。
最小权限原则是标准的安全实践建议,您可以使用IAM提供的系统权限,或创建自定义策略,为账号用户仅授予完成工作所需的最小权限,从而安全控制用户对金山云资源的访问。
同时,建议为使用API、CLI、SDK等开发工具访问云服务的IAM用户分配自定义策略,通过精细化权限控制,降低因访问密钥泄露对账号造成的影响。
Multi-Factor Authentication(简称MFA)是一种简单有效的安全实践方法,建议您为金山账号及账号中具备较高权限的用户开启MFA功能,在用户名和密码之外增加一层安全保护。启用MFA后,用户登录控制台时,系统将要求输入用户名和密码(第一安全要素),以及来自MFA设备的验证码(第二安全要素)。多重要素结合将为您的账户和资源提供更高安全保障。请参考文档:子用户MFA设置
在IAM控制台设置强密码策略,例如设置密码最小长度、限制同一字符连续出现的最大次数、禁止使用历史密码等,确保用户使用复杂度高的强密码。
设置敏感操作保护后,当您或账号用户执行敏感操作(如删除资源、生成访问密钥等)时,系统将要求输入验证码进行验证,避免因误操作带来风险和损失。
定期修改密码,可在您不知情的凭证泄露情况下,将安全风险降至更低。
您可以通过设置密码有效期策略实现定期修改密码,账号用户需在指定时间内修改密码,否则密码将失效。IAM会在密码到期前7天开始提示用户修改密码。
对于仅需登录控制台的IAM用户,无需为其创建访问密钥,已创建的请及时删除。您还可以通过IAM用户的“最近一次登录时间”判断其凭证是否必要,对于不再需要的子用户,请删除子用户;对于需要暂时停用的子账号,立即开启子账号禁用。
纯净模式
