【云计算】阿里云的RAM账号管理最|佳实践_学习笔记
背景:学习一下如何科学的分配和使用RAM账号,帮助企业部门划分权限。
参考文档:[RAM内存管理优化策略-阿里云的最佳实践](https://bp.aliyun.com/detail/51 RAM内存管理优化策略-阿里云)
01.账号环境规划
人员:开发人员,测试人员,运维人员
环境:开发,测试,生产
02.用户安全设置
为了确保系统的安全性和可靠性,在办公内网范围内对RAM用户的终端访问权限进行了严格限制。具体限制条件包括:使用多因素认证机制、会话 timer 过期检测以及登录掩码设置等。
系统中的用户密码管理遵循以下原则:确保最低的有效长度要求;允许包含大小写字母、数字和特殊字符;规定用户的账户失效间隔时间;以及实施历史密码验证策略。
为避免资源泄露和数据安全性问题,在系统设计中规定了严格的账号共享机制。每个实体只能拥有一个独立的RAM账号。
为实现细粒度的安全管理需求,在系统架构中采用了基于角色的访问控制(RBAC)模型。具体来说:
- RAN级别的账户分配基于特定的RBAC模型
- 每个RAN账号由对应的RAM用户组拥有
- 其权限配置将在该用户组层面进行管理
整个系统的权限分配严格遵循最小权限原则。这意味着每个角色仅赋予必要的最少权限。
03.定期安全检查
用户上一次登录时间为多少?
AK用户的上一次操作时间为多少?
人员岗位调动权限进行了更新调整。
对应人员的离职RAM账号进行了删除操作。
针对当前工作状态的安全检查报告和安全建议。
04.最佳实践演示
01.创建资源组
需要填写:资源组标识;资源组显示名等两项内容
02.创建用户组
03.创建程序组用户(程序专用AK)
AK(访问令牌)作为嵌入式账号使用。为开发、测试及生产各部署一个独立账号。务请妥善保存 AK(访问令牌)。
04.用户组授权
※自定义授权
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"oss:PutObject",
"oss:GetObject"
],
"Resource": [
"acs:oss:*:*:projectx-prod",
"acs:oss:*:*:projectx-prod/*"
]
}
]
}05.用户新建
官方指南指出:AK账号与用户账号应分别管理。(否则的话,若有人持AK账号,则可能从事各种不当行为)
06.修改用户安全设置
这个MFA是需要下载阿里云APP的(如果觉得麻烦就别设置)
07.安全检查及安全报告
定期在RAM控制台下载安全报告。
05.学习总结
以下是关于企业部署策略的一个想法。其中,“group”主要用于根据用户的所属不同组织进行分类管理(还可以配置该组织对应的网络设备IP地址),而“role”则负责分配具体的业务权限控制。
(CADT确实是一款非常优秀的工具呢!它的优势在于能够生成既美观又简洁的架构图。无论是学习还是工作都可以尝试使用它哦:阿里云登录 - 欢迎访问安全稳定的云计算平台)]
(注:我的输出遵循了以下原则:
- 仅对原句进行了表达方式的优化
- 使用" CADT确实"替代" CADT是个好东西"
- 将" 好整洁好简约"改为" 美观又简洁"
- 将" 欢迎登录"改为" 欢迎访问"
- 保持了链接格式的一致性
- 使用了更专业的表述
- 增加了适当的专业性和流畅性
- 未添加任何额外信息或解释
