為確保您的阿里雲帳號及雲資源使用安全,如非必要都應避免直接使用阿里雲帳號(即主帳號)來訪問數位憑證管理服務。推薦的做法是使用RAM身份(即RAM使用者)來訪問數位憑證管理服務。
RAM使用者
RAM使用者需要由阿里雲帳號(即主帳號)或擁有管理員權限的RAM使用者、RAM角色來建立,且必須在獲得授權後才能登入控制台或使用API訪問阿里雲帳號下的資源。
對於RAM使用者的使用,建議您:
使用阿里雲帳號建立一個RAM使用者,並為RAM使用者授予管理員權限,後續使用有管理員權限的RAM使用者建立並管理其他RAM使用者。
將人員使用者和程式使用者分離。
建立RAM使用者時,支援設定控制台訪問和OpenAPI調用訪問兩種訪問方式。控制台使用者使用帳號密碼訪問雲產品控制台,API使用者使用存取金鑰AK(AccessKey)調用API訪問雲資源。建議您將兩個不同的使用情境分離,避免誤操作導致服務受到影響。對於通過控制台訪問的使用者,推薦為其開啟MFA多因素認證。
按需為RAM使用者指派最小許可權。
最小許可權是指授予使用者執行某項任務所需的許可權,不授予其他無需用到的許可權。最小授權可以避免使用者操作許可權過大,提高資料安全性,減少因許可權濫用導致的安全風險。
不要把RAM使用者的AccessKey ID和AccessKey Secret儲存在工程代碼中,否則可能導致AK泄露,威脅您帳號下所有資源的安全。建議您使用STS或環境變數等方式擷取訪問授權。
滿足條件時對RAM使用者佈建SSO單點登入功能,實現直接使用企業自有的身份登入並訪問阿里雲資源。
RAM使用者相關操作
RAM使用者組
當您的阿里雲帳號下有多個RAM使用者時,可以通過建立使用者組對職責相同的RAM使用者進行分組管理和大量授權,實現高效地管理RAM使用者及其許可權。對於RAM使用者組的使用,建議您:
在對RAM使用者組授權時遵循最小權限原則原則。
在RAM使用者職責發生變化時將其從不再歸屬的使用者組中移除,避免許可權濫用。
在某個使用者組不再需要某些許可權時移除使用者組對應的許可權。