背景：学习一下如何科学的分配和使用RAM账号，帮助企业部门划分权限。

参考文档：RAM账号权限管理-最佳实践-阿里云

01.账号环境规划

人员：开发人员，测试人员，运维人员

环境：开发，测试，生产

 02.用户安全设置

• RAM用户访问控制台限制在办公内网（多因素设备，session过期，登录掩码设置）
• 用户密码规则（密码长度，大小写特殊字符数字，密码有效期，历史密码检查策略）
• RAM账号禁止共享，一个实体一个账号
• RAN账号归属于某个RAM用户组，授权策略在RAM用户组上配置，账号和权限解耦
• 所有RAM账号遵守最小授权原则

03.定期安全检查

• 用户上次登录时间
• AK上次使用时间
• 人员岗位调动权限更新，人员离职RAM账号删除
• 安全检查报告及安全建议

04.最佳实践演示

01.创建资源组

需要填写：资源组标识；资源组显示名等两项内容

 

02.创建用户组

 

03.创建程序组用户（程序专用AK） 

就是放在程序里面AK(Access Key)的专属账号，开发测试生产各一个，切记保存好AK。

04.用户组授权 

※自定义授权

{ 
"Version": "1", 
"Statement": [ 
{ 
"Effect": "Allow", 
"Action": [ 
"oss:PutObject", 
"oss:GetObject" 
],
"Resource": [ 
"acs:oss:*:*:projectx-prod", 
"acs:oss:*:*:projectx-prod/*" 
] 
} 
] 
}

05.用户新建

来自官方的建议：AK和用户账号分开。（也对，不然用户拿着AK可以干很多坏事...）

 

 

 06.修改用户安全设置

这个MFA是需要下载阿里云APP的（如果觉得麻烦就别设置）

 

07.安全检查及安全报告

定期在RAM控制台下载安全报告。

05.学习总结

以下是我目前想到的一个企业部署策略，重点是group是逻辑区分每个用户的所属组织（也可以设置一下组织的公司IP），而role则承担着实际业务的权限区分

（CADT是个好东西哈哈哈哈，它画出来的架构图好整洁好简约，欢迎大家去用：阿里云登录 - 欢迎登录阿里云，安全稳定的云计算服务平台）