背景:学习一下如何科学的分配和使用RAM账号,帮助企业部门划分权限。
参考文档:RAM账号权限管理-最佳实践-阿里云
01.账号环境规划人员:开发人员,测试人员,运维人员
环境:开发,测试,生产
02.用户安全设置 RAM用户访问控制台限制在办公内网(多因素设备,session过期,登录掩码设置)用户密码规则(密码长度,大小写特殊字符数字,密码有效期,历史密码检查策略)RAM账号禁止共享,一个实体一个账号RAN账号归属于某个RAM用户组,授权策略在RAM用户组上配置,账号和权限解耦所有RAM账号遵守最小授权原则03.定期安全检查 用户上次登录时间AK上次使用时间人员岗位调动权限更新,人员离职RAM账号删除安全检查报告及安全建议04.最佳实践演示 01.创建资源组需要填写:资源组标识;资源组显示名等两项内容
02.创建用户组
03.创建程序组用户(程序专用AK)
就是放在程序里面AK(Access Key)的专属账号,开发测试生产各一个,切记保存好AK。
04.用户组授权 ※自定义授权 { "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "oss:PutObject", "oss:GetObject" ],"Resource": [ "acs:oss:*:*:projectx-prod", "acs:oss:*:*:projectx-prod/*" ] } ] } 05.用户新建来自官方的建议:AK和用户账号分开。(也对,不然用户拿着AK可以干很多坏事...)
06.修改用户安全设置
这个MFA是需要下载阿里云APP的(如果觉得麻烦就别设置)
07.安全检查及安全报告
定期在RAM控制台下载安全报告。
05.学习总结以下是我目前想到的一个企业部署策略,重点是group是逻辑区分每个用户的所属组织(也可以设置一下组织的公司IP),而role则承担着实际业务的权限区分
(CADT是个好东西哈哈哈哈,它画出来的架构图好整洁好简约,欢迎大家去用:阿里云登录 - 欢迎登录阿里云,安全稳定的云计算服务平台)