Resource Access Management：企業上雲安全實踐

避免直接使用主帳號根使用者身份

當您在阿里雲完成註冊後，就會獲得一個雲帳號（主帳號）。如果您是個人開發人員，雲帳號會綁定您的個人實名資訊，如果是企業註冊，雲帳號將綁定企業的實名認證資訊、資金帳號、合約資訊、發票資訊等。

雲帳號預設擁有一個根使用者（root）身份，註冊的使用者名稱和密碼就是根使用者訪問阿里雲控制台的憑證，根使用者存在的風險如下：

• 許可權大：根使用者預設擁有帳號的所有存取權限，一旦帳號密碼泄露，風險極高。

• 密碼容易泄露：多人共用的情況下，每個人都持有該帳號的使用者名稱和密碼，這會增加密碼泄露的可能。

• 無法溯源：多人共用的情況下，雲上的動作記錄中無法區分出是組織中哪個人使用了該身份進行了操作，也無法進行進一步溯源。

如果為根使用者建立的AccessKey（簡稱AK），存在的風險如下：

• 許可權大：根使用者的AccessKey同樣擁有帳號的所有存取權限，一旦泄露，風險極高。

• AccessKey泄露影響大：AccessKey作為永久憑證，除非主動禁用否則長期有效，如果將主帳號AccessKey用於業務，當發生泄露風險時禁用會影響線上業務，又不能限制AccessKey的許可權，無法快速解除風險。

因此，對於主帳號的管理，阿里雲建議：

• 使用者名稱和密碼請由管理員妥善保管，一定不要在企業員工間大範圍共用。

• 為主帳號根使用者身份設定綁定U2F安全密鑰，為密碼增加一重保障。

• 僅在必要時使用主帳號使用者名稱和密碼登入控制台。

• 儘可能不使用主帳號AccessKey。

使用RAM使用者身份憑證

在企業人員、應用程式需要訪問阿里雲資源時，應為其分配RAM使用者身份憑證。通過RAM為不同操作員建立獨立的RAM使用者，進行分權管理，替代使用阿里雲帳號（主帳號）進行日常營運管理。具體操作，請參見建立RAM使用者。

• 人員訪問：優先推薦使用SSO單點登入整合。若無法進行SSO整合，為RAM使用者開啟控制台密碼登入時必須綁定MFA裝置。不要多人共用一個RAM使用者身份，密碼共用會增加泄露的風險，且無法從審計上區分真實操作者，增加內部管理難度。

• 程式訪問：部署在阿里雲的應用程式優先選擇無永久AK方案，使用STS Token臨時憑證，降低憑證泄露的風險。更多資訊，請參見使用訪問憑據訪問阿里雲OpenAPI最佳實務。非部署在阿里雲的應用、開發調試等情境必須要使用AccessKey的，您可以建立RAM使用者的AccessKey。每個RAM使用者最多建立兩個AccessKey，其中一個AccessKey用於業務，另一個AccessKey留作輪轉。

使用SSO單點登入

人員訪問優先推薦使用SSO單點登入整合。開啟SSO單點登入後，企業內部帳號進行統一的身份認證，實現使用企業本地帳號登入並訪問阿里雲資源。且單點登入認證由企業身份系統完成，無需在阿里雲為RAM使用者佈建密碼，減少了密碼泄露的風險。更多資訊，請參見SSO概覽。

為RAM使用者佈建強密碼原則

若不能進行單點登入整合，需要為人員建立RAM使用者使用密碼登入控制台。您可以在RAM控制台設定RAM使用者密碼強度，例如：密碼長度、必須包含的字元類型、有效期間等。此外，如果允許RAM使用者更改登入密碼，那麼應該要求RAM使用者建立強密碼並且定期修改登入密碼。

為RAM使用者開啟多因素認證

為使用密碼登入阿里雲的RAM使用者開啟多因素認證（Multi-factor authentication，MFA）可以提高帳號的安全性，在使用者名稱和密碼之外再增加一層安全保護。

啟用多因素認證並綁定多因素認證裝置後，RAM使用者再次登入阿里雲或在控制台進行敏感操作時，系統將要求輸入兩層安全要素：

1. 第一層安全要素：輸入使用者名稱和密碼。

2. 第二層安全要素：輸入虛擬MFA裝置產生的驗證碼、通過通行密鑰認證或輸入安全郵箱驗證碼。

自2025年03月17日起阿里雲為所有RAM使用者預設開啟登入時必須進行MFA驗證，強烈建議您不要調整配置，減少密碼泄露風險。若要求所有RAM使用者每次登入驗證存在困難，建議設定為僅在異常登入時驗證，該配置項要求所有控制台登入的RAM使用者必須綁定MFA裝置，但僅在阿里雲平台檢測到登入異常時要求MFA驗證，減少登入驗證的頻次。具體操作，請參見為RAM使用者綁定MFA裝置。

使用通行密鑰登入

通行密鑰（Passkey）是一種可以替代密碼的更為安全的認證方式，阿里雲支援RAM使用者使用通行密鑰登入以及使用通行密鑰作為多因素認證（MFA）手段之一。藉助通行密鑰，您可以使用膝上型電腦、手機等裝置內建的指紋、人臉或數字 PIN 碼認證方式，完成登入或MFA驗證。具體操作，請參見為RAM使用者綁定通行密鑰。

• 基於通行密鑰驗證原理的安全性保證，RAM使用者可使用通行密鑰直接登入，無需再進行MFA驗證。

• 建議RAM使用者同時綁定一項MFA裝置，以便在裝置更換或故障時通過密碼加MFA登入。

RAM使用者分組管理

當阿里雲帳號下存在很多RAM使用者時，可以通過RAM使用者組對職責相同的RAM使用者進行分組並授權。具體操作，請參見建立RAM使用者組、為RAM使用者組授權。

限制登入控制台IP地址（登入掩碼）

登入掩碼功能能夠限制使用者僅在可信的網路環境下訪問阿里雲控制台，您可以在登入掩碼中設定企業可信IP地址/IP位址區段，使用者在該範圍之外的網路環境下登入將會被拒絕。具體操作，請參見網路訪問限制設定。

程式訪問使用臨時身份憑證

存取金鑰AccessKey（簡稱AK）是阿里雲提供給阿里雲帳號（主帳號）和RAM使用者（子帳號）的永久訪問憑據，一組由AccessKey ID和AccessKey Secret組成的金鑰組。不合理地使用永久訪問憑據會造成很多風險，例如：應用研發人員將固定AccessKey明文寫入了代碼中，並將其上傳到了GitHub等公開倉庫，造成了AccessKey泄露，最終導致業務受損。

建議您儘可能通過RAM角色扮演的方式擷取臨時訪問憑據STS Token，替代永久AccessKey。STS Token產生後，在超過角色最大會話時間（小時級）後，會自動失效，可大幅降低訪問憑據泄露的風險。

因此，部署在阿里雲的應用程式優先選擇STS Token臨時憑證，避免使用永久AK。更多資訊，請參見使用訪問憑據訪問阿里雲OpenAPI最佳實務。

不將AccessKey資訊明文寫入程式碼在代碼中

應用研發人員將永久訪問憑據AccessKey資訊明文寫入了代碼，將代碼公開上傳到Github等代碼倉庫，或在進行分享時將帶有AccessKey資訊的原始碼直接分享出去，極易造成AK泄露。

必須要使用AccessKey時，您可以使用Credentials工具、Key Management Service或配置系統內容變數等方式管理訪問憑證。一旦發現AccessKey泄露，請務必儘快使用建立AK輪轉已泄露的AK。更多資訊，請參見使用訪問憑據訪問阿里雲OpenAPI最佳實務。

及時清理閑置RAM使用者和閑置AccessKey

企業員工離職、夥伴解除合作後，若不及時清理其持有的RAM使用者和AK憑證，仍然可以訪問企業的雲上資源，容易發生惡意盜用事件。同時，長期閑置的使用者和AK疏於管理，即使被盜也可能無法及時發現。

阿里雲自2024年09月起陸續為使用者開啟了2年以上閑置使用者自動禁用控制台登入，和2年以上閑置AccessKey自動禁用功能，該功能一旦開啟將會持續運行，每日對合格憑證進行禁用。

限制使用AccessKey的API請求來源IP地址

通過AccessKey網路訪問限制策略，限制使用AccessKey的API請求來源IP地址，將AccessKey調用來源控制在可信的網路環境內，提升AccessKey的安全性。

• 若已有AccessKey疑似或明確泄露，首先為該AK設定網路存取控制策略，限制只有在可信的網路環境內調用，直接攔截外部例外狀況調用。

• 梳理各帳號業務的網路情況，設定帳號級或重要業務AK級網路控制策略，提前預防外部例外狀況調用。