企业上云最佳实践:账号安全管理之 RAM 访问控制

  • 时间:
  • 浏览:1
  • 来源:uu快3骗局_uu快3心得_开奖

 

 

步骤3:为 RAM 用户开启 MFA:访问 “ RAM 控制台” -> “用户管理”,选用用户,进入用户详情页进行操作。

 

近来其他大型的安全事故,譬如2017年7月19日,道琼斯240万 客户信息从某知名云服务商外泄;9月8日,美国信用机构Equifax的1.43亿用户信息泄露;11月150日,美国防部1150GB顶级机密数据在某知名云服务商上曝光;12月2日,美国国家信用联合会NCF 111G 数据在某知名云服务商上遭遇泄露......,数不胜数。都可不还都能否 不能 ,如可不能从根本上降低或处置可能性账号密码或 AK 泄露所原应的信息安全风险,近日,阿里云为企业上云提供了免费的身份管理与访问控制服务RAM,在降低上述风险的一同,还支持通过 阿里云APP 在手机端进行管控操作,全方位保护账号安全。

RAM 同样支持 API 用户(系统或应用线程池)的访问授权,让人为线程池创建专属的 RAM 用户,并分配访问密钥 AccessKey。

当你的组织拥有较多员工,或朋友分管不同的业务,更好的做法是创建与人员工作职责相关的群组(如 admins、developers、accounting 等),为每个群组绑定相应的授权策略,群组内所有用户共享相同的权限,便于统一管理。

 

点击此处,即刻进入 RAM控制台 结束了了英文管理你的用户。

步骤2:为你的云账号开启 MFA:登录 PC 端控制台,进入“账号管理” -> “安全设置”,选用 “虚拟 MFA” 进行设置;

进入 AK 控制台日后,阿里云会引导用户快速创建 RAM 用户 AK。

假设企业 IP 出口的地址范围是 42.120.72.0/22,要求所有的数据访问请求都可不还都能否 不能 来自于你的企业网络,同都可不还都能否 不能 确保万一 AK 泄露到外网那要是能访问云上数据——这该为什么会么会实现呢?以下分享另三个 实例。

云账号AK俗称“大 AK”,它具有该账户的所有资源 API 访问权限,日后无法设置多因素认证,这就原应大 AK一旦丢失,风险极不可控。日后强烈建议删除“大 AK”,使用 RAM 用户AK(俗称“小 AK”)来进行 API 调用则更为安全。

 “同学们,都醒醒,老师结束了了英文划重点了!”

数字化时代背景下,不让 的企业选用上云。企业上云不仅都可不还都能否 不能 驱动流程创新和业务创新,都不 为企业带来新的利润增长点,呈现出更为弹性化、安全化、智能化、高效化的运维特性。

首先,你都可不还都能否 不能 创建三根自定义授权策略( DenyAccessPolicyWithIpConditions ),拒绝所指 IP 范围之外的所有请求。

步骤1:在你的私人移动设备上安装好支持 MFA 的应用 App,推荐使用阿里云官方出品的移动客户端 “阿里云APP”;

当你的某位组织人员因工作职责变更而不再使用权限时,还应该及时将该用户的权限收回 。当然,就算你出差在外也完整不让担心,阿里云APP 提供了完整的 RAM 管理功能,随时随地帮助处置燃眉之急。

比如在组织中,可能性 Developers 组员(可能性另三个 应用系统)的工作职责只都可不还都能否 不能 读取 OSS 存储桶里的数据,都可不还都能否 不能 就只让人是什么组(或应用系统)授予 OSS 资源的只读权限,而不授权 OSS 资源的所有权限,更并不授予对所有产品资源的访问权限。

然而企业上云往往会面临各种各样的安全威胁,数据丢失、系统漏洞、账号共享、内外部攻击等等不一而足。其中最严重的威胁莫过于账号密码或 AK (Access Key)泄露——你爱不爱我让人侥幸认为“这不让处在在我身上”,日后根据 CSA 2016 对 某知名云服务商的客户安全威胁分析报告,特权账户密码 / AK 等敏感数据泄露已成为云安全 Top 12 威胁之首,所以你的账号密码和 AK 很有可能性早已落入他人之手。

MFA(Multi-Factor Authentication)是有有一种简单有效的安全实践妙招 ,它能在用户名和密码之外再额外增加一层安全保护。启用 MFA 后,用户在登录阿里云网站时,系统将要求输入用户名和密码(第一安完整分),以时会求输入来自 MFA 设备或手机短信的一次性验证码(第二安完整分)——多重部分的结合将为你的账户提供更全面的安全保护,密码泄露不再是问題。

账号密码泄露的罪魁祸首之一要是多人共享云账号密码,所以人都知道的“秘密”就都不 秘密了。共享账号密码处在所以问題,不仅容易泄露,日后还无法限制每当事人的权限,无法审计和追踪单独当事人的具体行为。

处置云账号共享问題的妙招 要是为每个员工创建独立的 RAM 用户账号,让员工使用 RAM 用户账号进行日常工作。

最小授权原则是安全设计的基本原则,当你给 RAM 用户授权时,请授予他刚好满足工作所需的权限,都可不还都能否 过度授权。

 

通过以下的重点讲解和实践示例,相信你对阿里云 RAM 服务有了全面的认知。话不让 说,即刻动手开启 RAM 最佳实践吧!

一旦泄露密码或 AK,势必会造成数据丢失,严重请况下甚至会原应企业破产。都可不还都能否 不能 面对密码或 AK泄露,企业应如可处置?阿里云 RAM 服务为你解答。

日后,给 RAM 用户组(假设为 oss-readers 用户组)授权,如下图样例所示,包括允许访问 OSS 的授权策略和DenyAccessPolicyWithIpConditions 策略。

日后当组织人员再次扩充时,只需在创建新用户时直接将他加进到特定群组中,不让重复配置权限。当组织人员处在调动时,也只需更改用户所属的群组即可——哪些操作都都可不还都能否 不能 在 阿里云APP 上便捷完成,动动手指轻松拿下。