談身份管理之基礎篇 - 保障雲上安全，從[規範賬号使用]開始

引言

2021年初，國内一起删庫跑路事件的判決公布，某企業員工利用其擔任公司資料庫管理者并掌握公司财務系統root權限的便利，登入公司财務系統伺服器删除了财務資料及相關應用程式，緻使公司财務系統無法登入，最終被判處有期徒刑7年。

這起雲上安全事故的發生雖是由于惡意人為所導緻的，但也暴露了雲上身份權限的風險。而身份和密鑰的管理，是企業上雲的重中之重；每年國内外都有因為身份和密鑰的管理不善，或洩露，或誤操作導緻嚴重的生産事故或者資料洩露。本期小編将重點聊聊雲上身份的那些值得關注的事兒。

第一步，雲上安全從保障雲賬号安全使用開始

我們開始使用阿裡雲服務前，首先需要注冊一個阿裡雲賬号，它相當于作業系統的root或Administrator，是以有時稱它為主賬号或根賬号。我們使用阿裡雲賬号進行資源的購買和服務的開通，也同時對名下所有資源擁有完全控制權限。主賬号對應着完全不受限的權限，讓我們列舉一下因主賬号未規範使用所導緻的安全隐患：

× 不要使用主賬号進行日常操作：不但有誤操作的風險，還有賬号被盜而導緻的資料洩露、資料被删除等更大的風險。

× 不要使用主賬号的AccessKey（簡稱AK）：在阿裡雲，使用者可以使用AccessKey構造一個API請求（或者使用雲服務SDK）來操作資源。AK一旦暴露公網，将失去整個主賬号的控制權限，極大機率造成難以評估的損失，并無法做到及時止血。

第二步，啟動RAM使用者，授予不同權限并配置設定給不同人員使用

正因為主賬号使用風險大，阿裡雲RAM為使用者提供權限受控的子賬号（RAM SubUser）和角色（RAM Role）通路雲服務，避免讓使用者直接使用主賬号通路。這期将重點談談，利用RAM把主賬号的權限按需授予賬号内的子賬号，以及使用者常見的問題。

RAM使用者建立與授權

通過RAM為名下的不同操作員建立獨立的RAM使用者并授予相應權限。

要點一：員工不要共享賬号，包括密碼，MFA，AK。

要點二：遵循“最小權限”的授權原則，除此之外，還可以通過限制通路發生時的環境條件，來保障RAM使用者的安全使用：

• 登入場景是否通過MFA校驗
• 限制通路者的登入IP位址
• 限制通路者的登入時間段
• 限制通路方式（HTTPS/HTTP）

設定合适的密碼政策

• 設定RAM使用者密碼強度

為了保護賬号安全，您可以編輯密碼規則，包括密碼強度（長度+字元）、密碼過期政策 、重複曆史密碼政策以及錯誤密碼最大重試次數政策進行密碼設定。

• 啟用多因素認證

為通路者設定MFA驗證，動态密碼将消除密碼洩露傷害。

通路密鑰（AccessKey）的規範使用

通路密鑰（AccessKey）是RAM使用者的長期憑證。如果為RAM使用者建立了通路密鑰，RAM使用者可以通過API或其他開發工具通路阿裡雲資源。AccessKey包括AccessKey ID和AccessKey Secret。其中AccessKey ID用于辨別使用者，AccessKey Secret是用來驗證使用者身份合法性的密鑰。

1. AccessKeySecret隻在首次建立時顯示，不提供後續查詢：

假設通過API可以查詢到其他的AccessKeySecret，那所有的AccessKey都有洩露的風險，安全問題防不勝防，是以請在建立AccessKey時及時儲存。

2. 一個子使用者最多擁有兩個AccessKey：

為了保障使用安全， 使用者應隻使用一個AK，另外一個AK則是用來進行永久AK的定期輪轉使用，或者面對洩露情況，進行緊急輪轉，已降低損失。

3. AK需要定期輪轉：

如果您的通路密鑰已經使用3個月以上，建議您及時輪換通路密鑰，降低通路密鑰被洩露的風險。首先建立用于輪換的第二個通路密鑰。再禁用（而不是删除）原來的通路密鑰。然後，驗證使用通路密鑰的所有應用程式或系統是否正常運作。最後删除原來的通路密鑰。

定期審計賬号的使用，回收不活躍的身份密鑰

• 通過ActionTrail可以檢視使用者對資源執行個體進行操作的記錄。
• 通過使用者憑證報告（CredentialReport）全局把控員工的密鑰情況：密碼登入記錄、AK使用記錄、AK輪轉記錄。

  

身份/密鑰先禁用再删除

身份/密鑰需要遵循先禁用再删除的原則，避免删除正在隻用的AK，影響業務進度，造成生産事故：

• 确認密鑰不在使用
• 禁用密鑰，随時可恢複
• 密鑰禁用一段時間後，确認無任何不良影響，再删除密鑰

最佳實踐分享：保持企業雲賬号最基本的安全性、運維便捷性而進行的最小化配置。

初創企業IT治理樣闆間

初創企業樣闆間是保持企業雲賬号最基本的安全性、運維便捷性而進行的最小化配置，降低初創企業随着規模擴大逐漸提升的雲上風險，讓初創企業可以快速實作：

• 主賬号安全
• 權限可控
• 網絡隔離

同時可以通過控制台操作、Terraform代碼、CLI代碼這3種方式進行快速啟用。

點選進一步了解：

https://help.aliyun.com/document_detail/172542.html