阿里云账号安全机制说明和账号、密码管理安全建议

阿里云账号安全提供MFA、RAM等多种安全机制,aliyunbaike.com分享阿里云账号、密码管理安全建议:

开启MFA多因素账号认证

建议为阿里云账号启用MFA多因素认证,即在用户名和密码(第一层安全要素)的基础上,增加了MFA安全码(第二层安全要素,MFA设备生成的动态验证码),以提高账号的安全性。

使用RAM用户而不是阿里云账号,并合理设置权限策略

确保用户访问ECS资源时使用最小化权限,避免共享账号或过于宽泛的授权。使用访问控制RAM时,建议直接使用阿里云账号创建RAM用户(用户组)并授予特定权限策略,实现在账号维度上对云服务器ECS资源进行细粒度的访问控制。

RAM用户

如果您购买了多台云服务器ECS实例,您的组织里有多个用户(例如员工、系统或应用程序)需要使用这些实例,您可以创建多个子用户并通过授权的方式使部分用户能够有权限使用这些实例,从而避免了将同一个AccessKey分发给多人的安全风险。

用户组

您可以创建多个用户组,并授予不同的权限策略,以提高批量管理的效率。例如,为了加强网络安全控制,您可以给某个用户组授权一个权限策略,该策略可以规定:如果用户的IP地址不是来自企业网络,则拒绝此类用户请求访问相关的ECS资源。

您可以创建多个用户组来管理不同工作职责的人员。例如,如果某开发人员的工作职责发生转变,成为一名系统管理人员,您可以将其从Developers用户组移到SysAdmins用户组。

用户组的策略

SysAdmins:该用户组需要创建和管理权限。您可以给SysAdmins组授予一个权限策略,该策略授予用户组成员执行所有ECS操作的权限,包括ECS实例、镜像、快照和安全组等。

Developers:该用户组需要使用实例的权限。您可以给Developers组授予一个权限策略,该策略授予用户组成员调用DescribeInstances、StartInstance、StopInstance、RunInstances和DeleteInstance等权限。

云产品API调用使用实例角色而不是AK

一般情况下,ECS实例的应用程序是通过阿里云账号或者RAM用户的AccessKey访问阿里云各产品的API。为了满足调用需求,需要直接把AccessKey固化在实例中,例如写在配置文件中。但是这种方式权限过高,存在泄露信息和难以维护等问题。因此,阿里云推出了实例RAM角色解决这些问题,一方面可以保证AccessKey安全,另一方面也可以借助RAM实现权限的精细化控制和管理。

实例RAM角色(推荐使用加固模式访问元数据)允许您将一个角色关联到ECS实例,在实例内部基于STS(Security Token Service)临时凭证(临时凭证将周期性更新)访问其他云产品的API。

AK防泄密

阿里云账号AccessKey是客户访问阿里云API的密钥,请务必妥善保管。请勿通过任何方式(如GitHub等)将AccessKey公开至外部渠道,以免被恶意利用而造成安全威胁。AccessKey泄露会威胁所有资源的安全,根据如下AK信息使用的安全建议,可以有效降低AccessKey泄露的风险。

使用阿里云产品过程中需要遵循以下几点AK信息使用安全建议,以降低凭证泄露造成的影响:

  • 不要将AccessKey嵌入代码中。
  • 定期轮换AccessKey。
  • 定期吊销不需要的AccessKey。
  • 遵循最小权限原则,使用RAM用户。
  • 开启操作日志审计,并将其投递至OSS和SLS保存和审计。
  • 可以开启acs:SourceIp限定公网IP网段访问阿里云API。
  • 通过设置acs:SecureTransport取值为true,表示通过HTTPS方式访问阿里云。

账号、密码管理安全建议

类别 策略说明
阿里云账号
  • 管理员账号必须开启MFA认证。
  • 账号分级权限设置,最小权限授权原则。
  • 禁用root账号访问API或常用请求方法。
  • 建议使用服务目录集中身份管理。
密钥、凭据
  • 过期的证书、凭据禁止使用。
  • 根账号需要删除访问密钥。
  • 定期清理30天以上不再使用的密钥、凭据。
  • 监控密钥、凭据的最新使用情况。
  • 定期自动扫描您的Git仓库和历史记录,排查密钥泄露的可能性。
密码
  • 定期修改密码、设置密码时需符合密码强度校验。
  • 密码复杂度策略强制实施。
  • 设置与其他平台不一致的复杂账号密码,避免不慎泄露后影响多个平台中资源的安全。
  • 建议AK以及其他账号密码信息使用KMS安全托管,避免明文落盘存储。
  • 主机上不同账号之间不应共享密码或密钥对。
机密信息使用KMS安全加固托管 机密数据明文落盘存储会导致泄露风险,建议您提前开通密钥管理服务,无需自行研发和运维密码设施,即可在云服务中使用数据加密功能,例如在云服务器ECS中使用云盘加密、实例可信启动等功能。

2024阿里云服务器租用价格
①阿里云官方活动:https://t.aliyun.com/U/bLynLC 云服务器99元1年,新老同享,多配置特价
②代金券:领券入口 aliyun.club 免费领取12张代金券,总面值2088元优惠券。