备案控制台
探索云世界
开发者社区 数据库 文章 正文

IAM最佳实践

2019-03-19 6386
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
云数据库 RDS MySQL Serverless,0.5-2RCU 50GB
推荐场景:
学生管理系统数据库设计 搭建个人博客
云数据库 RDS MySQL Serverless,价值2615元额度,1个月
简介: 企业上云最基本的账户权限安全实践

企业使用公有云服务的第一件事情就是创建云帐号,有了帐号之后如何让企业员工安全合规的使用云帐号下的各种资源是开启云之旅后的第一个考验。

云计算厂商针对企业上云后面临的第一个需求已经推出了完善的解决方案--Identity and Access ManagementIAM可以帮助云帐号安全地控制对云计算服务资源的访问。企业可以使用IAM控制对哪个用户进行身份验证 (登录) 和授权 (具有权限) 以使用资源。

云厂商是否提供完善的IAM服务可以作为整体产品解决方案是否成熟的一个衡量指标,比如AWS的IAM和阿里云的访问控制都是较为成熟完善的产品。国内某个以AI能力为卖点的云厂商,在IAM产品方面几乎为零,很难相信对安全合规有需求的企业会完整使用他的云产品作为解决方案。


IAM通常提供以下功能:

对云账户的共享访问权限

允许在一个云账户下创建并管理多个用户身份,并允许给单个身份或一组身份(既可以是当前云帐号下也可以是其他云帐号下)分配不同的权限策略,从而实现不同用户拥有不同的云资源访问权限,而不必共享云帐号根用户的密码或访问密钥。

精细权限

可以针对不同资源向不同人员授予不同权限。可以要求用户必须使用安全信道(如 SSL)、在指定时间范围、或在指定源 IP 条件下才能操作指定的云资源。

多重验证 (MFA)

可以向云账户和各个用户添加双重身份验证以实现更高安全性。借助MFA,用户不仅必须提供使用账户所需的密码或访问密钥,还必须提供来自经过特殊配置的设备的代码。

联合身份

可以允许已在其他位置(例如,在企业网络中或通过 Internet 身份提供商)获得密码的用户获取对云账户的用户访问权限。

后面会有专门的文章来讲如何实践联合身份。

统一账单

云账户接收包括所有用户的资源操作所发生费用的统一账单。

尽管IAM提供了上面种种功能,云帐号的管理者仍可通过一些最佳实践来更好的使用IAM产品来提升安全级别和减少运维成本。

IAM最佳实践

  • 尽量不要使用云帐号的根用户,不要为根用户创建AK。云帐号管理员也使用各自独立的子账号。
  • 为企业中每一个需要使用云服务的员工单独创建子账户,且默认不允许创建AK。便于员工离职的时候,通过删除帐号来完全清理用户在云计算平台的各种权限。

  • 密码安全实践,

    • 限制密码强度不少于8位,必须由大小写字母、数字和符号中的三种组成
    • 强制密码过期时间不超过90天,且过期后不可登录。
    • 新密码至少禁止使用前3次密码
    • 设置密码重试约束,例如,一小时内使用错误密码最大尝试9次登录
  • 强制所有用户启用两步认证
  • 对访问网络有限制的企业,可以开启登录IP限制。
  • [推荐做法]已有SSO单点登录系统的企业,可以通过SAML 2.0标准实现从企业本地账号系统登录到阿里云,从而满足企业的统一用户登录认证要求。

  • 细粒度的权限管理,

    • 为各种云资源创建最细粒度的权限策略。例如,分别为RDS实例rds-instance-1创建只读权限策略rds-instance-1-readonly-access,RDS实例rds-instance-2创建只读权限策略rds-instance-2-readonly-access
    • 根据职能、部门等维度为云帐号子用户创建用户组。例如,按项目创建用户组,group-project-agroup-project-b。如果project-a用户需要访问rds-instance-1的信息,将自定义权限rds-instance-1-readonly-access授权给group-project-a。再将相关用户加到用户组group-project-a中,这样这些用户就具有只读访问RDS实例rds-instance-1的权限。而不是将所有RDS的读写权限都授予这些用户,最大限度的保证用户不获取超过实际需要的权限
    • 在实际场景中,通常会通过云计算服务的API来完成某些周期性任务,比如每日RDS中的慢查询统计、云帐号每日花费统计等。这些任务都需要一个云帐号的AK来完成API的身份认证。最佳的做法是,为每类相关的任务创建一个功能性子账号,禁用他们的web登录,且遵循特殊的命名规范(functional-开头),比如functional-rds-statsfunctional-cost-stats。创建最小的权限策略,然后分配给这些功能性用户。例如,functional-rds-stats仅被授予RDS只读权限,functional-cost-stats仅被授予费用的只读权限。为这些子账号创建AK,每类任务使用不同的AK来完成API认证,而不是都使用同一个AK。这样的好处是,不同类型任务的AK具有不同的权限,最大限度的保护了云帐号的安全,并且这些AK不跟实际的员工子账号关联,不会因为员工帐号的变更而受影响。如有更高的安全合规的要求下,可以定期作废已有AK,创建新AK替换。至于AK怎样安全管理,之后会有专门的文章来详解。
文章标签:
云数据库 RDS MySQL 版
数据安全/隐私保护
安全
关系型数据库
RDS
云计算
相关实践学习
基于CentOS快速搭建LAMP环境
本教程介绍如何搭建LAMP环境,其中LAMP分别代表Linux、Apache、MySQL和PHP。
全面了解阿里云能为你做什么
阿里云在全球各地部署高效节能的绿色数据中心,利用清洁计算为万物互联的新世界提供源源不断的能源动力,目前开服的区域包括中国(华北、华东、华南、香港)、新加坡、美国(美东、美西)、欧洲、中东、澳大利亚、日本。目前阿里云的产品涵盖弹性计算、数据库、存储与CDN、分析与搜索、云通信、网络、管理与监控、应用服务、互联网中间件、移动服务、视频服务等。通过本课程,来了解阿里云能够为你的业务带来哪些帮助     相关的阿里云产品:云服务器ECS 云服务器 ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,助您降低 IT 成本,提升运维效率,使您更专注于核心业务创新。产品详情: https://www.aliyun.com/product/ecs
zxkane
目录
相关文章
开放平台
|
5月前
|
SQL 弹性计算 监控
构建多账号云环境的解决方案|多账号云上操作日志统一审计
操作审计(ActionTrail)是阿里云提供的云账号资源操作记录的查询和投递服务,可用于安全分析、资源变更追踪以及合规性审计等场景。企业在阿里云采用多账号的资源结构时,如何满对跨账号跨地域的云上操作日志进行统一归集留存和分析,是企业上云管云过程的必备环节。此次分享为您介绍如何使用操作审计产品进行中心化的审计,提升云上多账号操作的可控可见性,及时发现问题、响应问题,规避潜在风险。
开放平台
261 0
开放平台
|
5月前
|
运维 安全 测试技术
构建多账号云环境的解决方案|高效构建安全合规的新账号
随着企业将业务迁移上云,为了应对复杂的业务与组织关系,越来越多的企业会采用多账号来部署云环境。对于新业务上线,企业会先创建一个云账号来部署资源。通过控制台上的账号注册流程需要完成企业实名认证,这个流程周期较长。等新账号注册下来之后,企业还需要配置账号内的安全合规基线,开通相关云服务,配置网络等一系列动作,费时费力。「账号工厂」就是这样一个解决方案,帮助企业在多账号场景下高效便捷的创建受管控的安全合规云账号。
开放平台
93 1
晚风_END
|
5月前
|
Kubernetes Cloud Native 安全
猿创征文|云原生|kubernetes学习之多账户管理--权限精细化分配方案(两种方式-sa和用户)
猿创征文|云原生|kubernetes学习之多账户管理--权限精细化分配方案(两种方式-sa和用户)
晚风_END
85 0
开放平台
|
5月前
|
运维 监控 安全
构建多账号云环境的解决方案|多账号配置统一合规审计
配置审计(Cloud Config)是提供了面向资源配置的审计服务,可以持续监控资源的配置变更,并在变更时自动触发合规评估,确保持续性合规。为了解决企业运维和安全人员业检查资源合规配置的效率难题,配置审计为客户提供了多账号的统一审计能力。用户可以在管理账号或者委派账号中统一设置合规基线并应用,从而可以实时查看企业下经过汇总的不合规资源。
开放平台
63959 36
开放平台
|
7月前
|
运维 安全 大数据
构建多账号云环境的解决方案|多账号身份权限集中管理
企业客户在阿里云采用多账号的资源结构,如果需要在每个账号内配置身份和权限,管理成本和安全风险都会大大增加。阿里云开放平台云SSO产品专家 夜来为您介绍如何使用云SSO进行多账号身份权限统一管理,包括与企业自有身份系统集成、统一的身份管理和多账号的权限配置。
开放平台
1054 5
架构师研究会
|
12月前
|
机器学习/深度学习 人工智能 安全
【应用安全】什么是身份和访问管理 (IAM)?
【应用安全】什么是身份和访问管理 (IAM)?
架构师研究会
619 0
config_developer
|
数据采集 SQL 弹性计算
快速集成阿里云资源到企业CMDB-配置审计
配置审计提供跨云产品、跨地域、跨账号的资源集成能力,可以帮助企业快速将阿里云资源集成到企业自建的CMDB中。
config_developer
921 0
快速集成阿里云资源到企业CMDB-配置审计
拉格朗日(Lagrange)
|
数据安全/隐私保护
10-企业权限管理-用户详情
10-企业权限管理-用户详情
拉格朗日(Lagrange)
217 0
10-企业权限管理-用户详情
架构师研究会
|
存储 安全 程序员
【应用安全】细粒度授权和其他IAM关键条款
身份和访问管理(IAM)的世界有自己的语言,随着新技术的出现和安全威胁的变化,它也在不断发展。
架构师研究会
273 0
游客redwa5szueasc
|
运维 监控 API
谈身份管理之进阶篇 - 快速了解从管理到治理的最佳方案
云上身份安全是当今企业管理者和云上运维团队所面临的挑战之一,针对云上身份管理不全面所产生的风险究竟又哪些?又应当如何应对?本文将结合案例和最佳实践与您分享。
游客redwa5szueasc
889 0
谈身份管理之进阶篇 - 快速了解从管理到治理的最佳方案

热门文章

最新文章

  • 1
    哪种词向量模型更胜一筹?Word2Vec,WordRank or FastText?
  • 2
    《CMOS集成电路后端设计与实战》——3.3 标准单元设计流程
  • 3
    linux 跟阿铭学linux tomcat
  • 4
    [Erlang 0044] Erlang Shell History
  • 5
    ArcGIS Engine开发之旅05---空间数据库
  • 6
    [译]IActivityToolboxService
  • 7
    威刚发布工业级SSD IM2P3388 可在恶劣环境下工作
  • 8
    想让微信公众号文章上“朋友圈热文”?看看这个
  • 9
    yum(针对rhel6.2)
  • 10
    OpenLDAP+FreeRADIUS+MySQL+RP-PPPOE 构建PPPOE服务器
  • 1
    【大模型】LLM与传统聊天机器人的区别是什么?
    18
  • 2
    【AI 生成式】半监督学习和自监督学习的概念
    16
  • 3
    【AI 生成式】生成式人工智能在内容创作和版权方面有何影响?
    17
  • 4
    【AI 生成式】生成式人工智能如何在虚拟现实和游戏中使用?
    16
  • 5
    【AI 生成式】描述生成式 AI 在医疗保健和药物发现中的应用
    16
  • 6
    【AI 生成式】生成式人工智能未来有哪些潜在的进步?
    12
  • 7
    揭秘产品经理成功的秘密:最重要的是什么?
    12
  • 8
    【AI 生成式】生成式 AI 中变分自动编码器 (VAE) 的概念
    13
  • 9
    【AI 生成式】如何利用生成式人工智能进行机器学习的数据增强?
    14
  • 10
    【AI 生成式】生成式 AI 在自然语言生成中的作用
    9

    • 相关课程

    更多
  • IDaaS企业身份管理
  • 数据库治理的最佳实践
  • 批量云资源管理与自动化运维
  • 云上资源部署模式:从 IaC 理解 ROS
  • 体验-Kubernetes 对象及资源规范
  • 数据库仓库升级交付实践指引

    • 相关电子书

    更多
  • 阿里云构建多账号云环境白皮书
  • MaxCompute多租户数据安全体系介绍及实践
  • 基于Terraform的自动化管理云上资源实践

    • 相关实验场景

    更多
  • 通过SAE实现企业应用的云上托管
  • 使用OpenAPI管理云上资源
  • 使用资源编排自动化开通云服务
  • 多账号体系下使用日志服务中心化的管理日志
    • 下一篇
    2024年阿里云免费云服务器及学生云服务器申请教程参考