ID と権限
最小権限の原則に基づいて Alibaba Cloud アカウントを構成します。
ユーザーグループに権限を付与して、責任を個別に割り当て、権限の変更を迅速に行えるようにします。
Alibaba Cloud アカウントを使用する代わりに、Resource Access Management ( RAM ) ユーザーとしてクラウド リソースにアクセスし、RAM ユーザーに適切なポリシーをアタッチします。
Alibaba Cloud アカウントまたは RAM ユーザーの AccessKey ペアの代わりに、インスタンス ロールまたは Security Token Service ( STS ) トークンを使用してクラウド リソースにアクセスし、付与される権限を制限します。
不要になった RAM ユーザー、RAM ロール、権限、キー、または認証情報を削除し、RAM ユーザーとアプリケーションのキーを定期的にローテーションします。
Alibaba Cloud アカウントの AccessKey ID または AccessKey シークレットを公開しないでください。コードにプレーンテキストの AccessKey ペアを書き込んで、GitHub などの外部プラットフォームに公開したり、他のユーザーがアクセスできる場所に保存したりしないでください。
パスワードを定期的に変更し、パスワードが強度要件を満たしていることを確認します。
パスワードの漏洩によって引き起こされる複数のプラットフォームのリソースへのセキュリティ上の脅威から保護するために、他のプラットフォームのパスワードとは異なる複雑なパスワードを Alibaba Cloud アカウントに設定します。ホスト上の異なるアカウントに同じパスワードまたはキーペアを使用しないでください。
監視と監査
アカウント操作を定期的に監査します。
ActionTrail などの Alibaba Cloud サービスを使用して、管理コンソールでの操作と Alibaba Cloud アカウント内の API 呼び出しのログを記録することをお勧めします。