簡介： 身份和密鑰的管理，是企業上云的重中之重；每年國內外都有因為身份和密鑰的管理不善，或泄露，或誤操作導致嚴重的生產事故或者數據泄露。本期小編將重點聊聊云上身份的那些值得關注的事兒。

引言

2021年初，國內一起刪庫跑路事件的判決公布，某企業員工利用其擔任公司數據庫管理員并掌握公司財務系統root權限的便利，登錄公司財務系統服務器刪除了財務數據及相關應用程序，致使公司財務系統無法登錄，最終被判處有期徒刑7年。

?

這起云上安全事故的發生雖是由于惡意人為所導致的，但也暴露了云上身份權限的風險。而身份和密鑰的管理，是企業上云的重中之重；每年國內外都有因為身份和密鑰的管理不善，或泄露，或誤操作導致嚴重的生產事故或者數據泄露。本期小編將重點聊聊云上身份的那些值得關注的事兒。

?

第一步，云上安全從保障云賬號安全使用開始

我們開始使用阿里云服務前，首先需要注冊一個阿里云賬號，它相當于操作系統的root或Administrator，所以有時稱它為主賬號或根賬號。我們使用阿里云賬號進行資源的購買和服務的開通，也同時對名下所有資源擁有完全控制權限。主賬號對應著完全不受限的權限，讓我們列舉一下因主賬號未規范使用所導致的安全隱患：

×?不要使用主賬號進行日常操作：不但有誤操作的風險，還有賬號被盜而導致的數據泄露、數據被刪除等更大的風險。

×?不要使用主賬號的AccessKey（簡稱AK）：在阿里云，用戶可以使用AccessKey構造一個API請求（或者使用云服務SDK）來操作資源。AK一旦暴露公網，將失去整個主賬號的控制權限，極大概率造成難以評估的損失，并無法做到及時止血。

?

第二步，啟動RAM用戶，授予不同權限并分配給不同人員使用

正因為主賬號使用風險大，阿里云RAM為用戶提供權限受控的子賬號（RAM SubUser）和角色（RAM Role）訪問云服務，避免讓用戶直接使用主賬號訪問。這期將重點談談，利用RAM把主賬號的權限按需授予賬號內的子賬號，以及用戶常見的問題。

?

RAM用戶創建與授權

通過RAM為名下的不同操作員創建獨立的RAM用戶并授予相應權限。

要點一：員工不要共享賬號，包括密碼，MFA，AK。

要點二：遵循“最小權限”的授權原則，除此之外，還可以通過限制訪問發生時的環境條件，來保障RAM用戶的安全使用：

• 登錄場景是否通過MFA校驗
• 限制訪問者的登錄IP地址
• 限制訪問者的登錄時間段
• 限制訪問方式（HTTPS/HTTP）

?

設置合適的密碼策略

• 設置RAM用戶密碼強度

為了保護賬號安全，您可以編輯密碼規則，包括密碼強度（長度+字符）、密碼過期策略 、重復歷史密碼策略以及錯誤密碼最大重試次數策略進行密碼設置。

• 啟用多因素認證

為訪問者設置MFA驗證，動態口令將消除密碼泄露傷害。

?

訪問密鑰（AccessKey）的規范使用

訪問密鑰（AccessKey）是RAM用戶的長期憑證。如果為RAM用戶創建了訪問密鑰，RAM用戶可以通過API或其他開發工具訪問阿里云資源。AccessKey包括AccessKey ID和AccessKey Secret。其中AccessKey ID用于標識用戶，AccessKey Secret是用來驗證用戶身份合法性的密鑰。

1. AccessKeySecret只在首次創建時顯示，不提供后續查詢：

假設通過API可以查詢到其他的AccessKeySecret，那所有的AccessKey都有泄露的風險，安全問題防不勝防，因此請在創建AccessKey時及時保存。

2. 一個子用戶最多擁有兩個AccessKey：

為了保障使用安全， 用戶應只使用一個AK，另外一個AK則是用來進行永久AK的定期輪轉使用，或者面對泄露情況，進行緊急輪轉，已降低損失。

3. AK需要定期輪轉：

如果您的訪問密鑰已經使用3個月以上，建議您及時輪換訪問密鑰，降低訪問密鑰被泄露的風險。首先創建用于輪換的第二個訪問密鑰。再禁用（而不是刪除）原來的訪問密鑰。然后，驗證使用訪問密鑰的所有應用程序或系統是否正常運行。最后刪除原來的訪問密鑰。

?

定期審計賬號的使用，回收不活躍的身份密鑰

• 通過ActionTrail可以查看用戶對資源實例進行操作的記錄。
• 通過用戶憑證報告（CredentialReport）全局把控員工的密鑰情況：密碼登錄記錄、AK使用記錄、AK輪轉記錄。

?

身份/密鑰先禁用再刪除

身份/密鑰需要遵循先禁用再刪除的原則，避免刪除正在只用的AK，影響業務進度，造成生產事故：

• 確認密鑰不在使用
• 禁用密鑰，隨時可恢復
• 密鑰禁用一段時間后，確認無任何不良影響，再刪除密鑰

?

最佳實踐分享：保持企業云賬號最基本的安全性、運維便捷性而進行的最小化配置。

初創企業IT治理樣板間

初創企業樣板間是保持企業云賬號最基本的安全性、運維便捷性而進行的最小化配置，降低初創企業隨著規模擴大逐漸提升的云上風險，讓初創企業可以快速實現：

• 主賬號安全
• 權限可控
• 網絡隔離

同時可以通過控制臺操作、Terraform代碼、CLI代碼這3種方式進行快速啟用。

原文鏈接

本文為阿里云原創內容，未經允許不得轉載

總結

以上是生活随笔為你收集整理的谈身份管理之基础篇 - 保障云上安全，从[规范账号使用]开始的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。