谈身份管理之基础篇 - 保障云上安全,从[规范账号使用]开始

简介: 身份和密钥的管理,是企业上云的重中之重;每年国内外都有因为身份和密钥的管理不善,或泄露,或误操作导致严重的生产事故或者数据泄露。本期小编将重点聊聊云上身份的那些值得关注的事儿。

huagai_VCG41172483014_RF_2M.jpg

引言

2021年初,国内一起删库跑路事件的判决公布,某企业员工利用其担任公司数据库管理员并掌握公司财务系统root权限的便利,登录公司财务系统服务器删除了财务数据及相关应用程序,致使公司财务系统无法登录,最终被判处有期徒刑7年。


这起云上安全事故的发生虽是由于恶意人为所导致的,但也暴露了云上身份权限的风险。而身份和密钥的管理,是企业上云的重中之重;每年国内外都有因为身份和密钥的管理不善,或泄露,或误操作导致严重的生产事故或者数据泄露。本期小编将重点聊聊云上身份的那些值得关注的事儿。


第一步,云上安全从保障云账号安全使用开始

我们开始使用阿里云服务前,首先需要注册一个阿里云账号,它相当于操作系统的root或Administrator,所以有时称它为主账号或根账号。我们使用阿里云账号进行资源的购买和服务的开通,也同时对名下所有资源拥有完全控制权限。主账号对应着完全不受限的权限,让我们列举一下因主账号未规范使用所导致的安全隐患:

× 不要使用主账号进行日常操作:不但有误操作的风险,还有账号被盗而导致的数据泄露、数据被删除等更大的风险。

× 不要使用主账号的AccessKey(简称AK):在阿里云,用户可以使用AccessKey构造一个API请求(或者使用云服务SDK)来操作资源。AK一旦暴露公网,将失去整个主账号的控制权限,极大概率造成难以评估的损失,并无法做到及时止血。


第二步,启动RAM用户,授予不同权限并分配给不同人员使用

正因为主账号使用风险大,阿里云RAM为用户提供权限受控的子账号(RAM SubUser)和角色(RAM Role)访问云服务,避免让用户直接使用主账号访问。这期将重点谈谈,利用RAM把主账号的权限按需授予账号内的子账号,以及用户常见的问题。


RAM用户创建与授权

通过RAM为名下的不同操作员创建独立的RAM用户并授予相应权限。

要点一:员工不要共享账号,包括密码,MFA,AK。

要点二:遵循“最小权限”的授权原则,除此之外,还可以通过限制访问发生时的环境条件,来保障RAM用户的安全使用:

  • 登录场景是否通过MFA校验
  • 限制访问者的登录IP地址
  • 限制访问者的登录时间段
  • 限制访问方式(HTTPS/HTTP)


设置合适的密码策略

  • 设置RAM用户密码强度

为了保护账号安全,您可以编辑密码规则,包括密码强度(长度+字符)、密码过期策略 、重复历史密码策略以及错误密码最大重试次数策略进行密码设置。

  • 启用多因素认证

为访问者设置MFA验证,动态口令将消除密码泄露伤害。


访问密钥(AccessKey)的规范使用

访问密钥(AccessKey)是RAM用户的长期凭证。如果为RAM用户创建了访问密钥,RAM用户可以通过API或其他开发工具访问阿里云资源。AccessKey包括AccessKey IDAccessKey Secret。其中AccessKey ID用于标识用户,AccessKey Secret是用来验证用户身份合法性的密钥。

1. AccessKeySecret只在首次创建时显示,不提供后续查询:

假设通过API可以查询到其他的AccessKeySecret,那所有的AccessKey都有泄露的风险,安全问题防不胜防,因此请在创建AccessKey时及时保存。

2. 一个子用户最多拥有两个AccessKey:

为了保障使用安全, 用户应只使用一个AK,另外一个AK则是用来进行永久AK的定期轮转使用,或者面对泄露情况,进行紧急轮转,已降低损失。

3. AK需要定期轮转:

如果您的访问密钥已经使用3个月以上,建议您及时轮换访问密钥,降低访问密钥被泄露的风险。首先创建用于轮换的第二个访问密钥。再禁用(而不是删除)原来的访问密钥。然后,验证使用访问密钥的所有应用程序或系统是否正常运行。最后删除原来的访问密钥。


定期审计账号的使用,回收不活跃的身份密钥

  • 通过ActionTrail可以查看用户对资源实例进行操作的记录。
  • 通过用户凭证报告(CredentialReport)全局把控员工的密钥情况:密码登录记录、AK使用记录、AK轮转记录。image.png


身份/密钥先禁用再删除

身份/密钥需要遵循先禁用再删除的原则,避免删除正在只用的AK,影响业务进度,造成生产事故:

  • 确认密钥不在使用
  • 禁用密钥,随时可恢复
  • 密钥禁用一段时间后,确认无任何不良影响,再删除密钥


最佳实践分享:保持企业云账号最基本的安全性、运维便捷性而进行的最小化配置。

初创企业IT治理样板间

初创企业样板间是保持企业云账号最基本的安全性、运维便捷性而进行的最小化配置,降低初创企业随着规模扩大逐渐提升的云上风险,让初创企业可以快速实现:

  • 主账号安全
  • 权限可控
  • 网络隔离

同时可以通过控制操作、Terraform代码、CLI代码这3种方式进行快速启用。

点击进一步了解:https://help.aliyun.com/document_detail/172542.html

相关文章
软件体系结构 - 系统工程【切克兰德方法】
软件体系结构 - 系统工程【切克兰德方法】
1003 0
|
计算机视觉 C++ Windows
关于 百度飞浆paddleOCR编译32位版本 的解决方案
关于 百度飞浆paddleOCR编译32位版本 的解决方案
关于 百度飞浆paddleOCR编译32位版本 的解决方案
|
6月前
|
弹性计算 容灾 数据库
2026年阿里云服务器地域与可用区全解析:分布、选择与机房查询
阿里云服务器的地域与可用区布局是保障业务稳定性、降低访问延迟的核心基础。其全球数据中心覆盖多国家和地区,国内以北京、杭州、上海等为核心节点,海外延伸至新加坡、东京、法兰克福等关键城市,不同地域与可用区在网络、容灾能力上差异显著。本文结合官方最新数据,详解地域与可用区的概念、分布规律、选择逻辑及机房地址查询方法,为业务部署提供客观参考。
|
监控 Ubuntu 算法
chrony介绍和安装
Chrony是一款高精度网络时间同步工具,支持NTP协议,提供纳秒级时钟校准,适用于服务器及对时间精度要求高的系统。具备自动漂移补偿、断网恢复、灵活配置等特性,广泛用于Linux环境的时间管理。
2711 0
|
4月前
|
Linux API iOS开发
OpenClaw从搭建到精通进阶:云端/本地系统部署、免费大模型对接、Skill集成与自动化工作完整实践
OpenClaw(曾用名Clawdbot)作为一款可本地部署、支持技能扩展的自主AI智能体,已成为个人与小型团队实现信息检索、任务自动化、工作流编排的核心工具。从简单的提醒、天气查询,到实时数据抓取、定时任务、多平台消息整合,OpenClaw可通过轻量化配置实现效率翻倍。本文基于2026年最新环境,完整覆盖阿里云轻量服务器部署、macOS/Linux/Windows 11三平台本地搭建、阿里云百炼API与免费大模型对接、高频技能集成、Cron定时任务、CLI高效命令、常见问题排查,所有操作均可直接复制执行,无需额外依赖。
790 2
|
3月前
|
人工智能 安全 Unix
担忧打破网络攻防平衡,Anthropic决定“雪藏”最强模型Mythos
4月7日,Anthropic受限发布最强模型Claude Mythos Preview,其自主发现零日漏洞(如OpenBSD中潜伏27年的漏洞)与构建攻击链能力远超现有工具。因风险极高,Anthropic决策未公开模型,而是启动“Glasswing”计划,仅向AWS、苹果、谷歌等12家科技巨头及40余家关键基础设施机构开放,以优先强化全球网络安全防御体系。
513 0
|
7月前
|
人工智能 弹性计算 安全
阿里云组合购套餐云产品配置及价格汇总,覆盖众多热门上云场景,组合购买价格更实惠
对于很多上云用户来说,业务上云往往不仅需要云服务器,同时还需要建站产品、oss云存储产品、SSL数字证书等其他云产品,为进一步降低企业用户上云的技术门槛与成本投入,阿里云推出各种云产品的“超值组合购”专项活动。本文为大家汇总了目前云产品组合购中各个套餐的主要云产品信息及价格,以供大家参考和选择。
|
缓存 NoSQL Java
基于SpringBoot的Redis开发实战教程
Redis在Spring Boot中的应用非常广泛,其高性能和灵活性使其成为构建高效分布式系统的理想选择。通过深入理解本文的内容,您可以更好地利用Redis的特性,为应用程序提供高效的缓存和消息处理能力。
1543 79
|
数据采集 Web App开发 JavaScript
爬虫技术升级:如何结合DrissionPage和Auth代理插件实现数据采集
本文介绍了在Python中使用DrissionPage库和Auth代理Chrome插件抓取163新闻网站数据的方法。针对许多爬虫框架不支持代理认证的问题,文章提出了通过代码生成包含认证信息的Chrome插件来配置代理。示例代码展示了如何创建插件并利用DrissionPage进行网页自动化,成功访问需要代理的网站并打印页面标题。该方法有效解决了代理认证难题,提高了爬虫的效率和安全性,适用于各种需要代理认证的网页数据采集。
1896 0
爬虫技术升级:如何结合DrissionPage和Auth代理插件实现数据采集
|
JavaScript 前端开发 容器
this、self、window、top 在 JavaScript 中的区别深入研究
在 JavaScript 开发中,`this`、`self`、`window` 和 `top` 是四个常用的概念。`this` 指向当前执行上下文的对象,其值取决于函数调用方式;`self` 在全局作用域中等同于 `window`,常用于 Web Workers;`window` 代表浏览器窗口,是全局变量的容器;`top` 指向最顶层窗口,用于判断是否在框架中。理解这些概念有助于编写健壮的代码。
539 1
this、self、window、top 在 JavaScript 中的区别深入研究