背景信息
安全涵盖的范围广泛,阿里云保证自身云基础设施和服务的安全,例如机房、虚拟化平台等,但您在使用云产品的过程中遵循安全实践同样重要,例如阿里云账号安全、机密信息保管、权限控制等。
阿里云账号安全
开启MFA多因素账号认证
建议为阿里云账号启用MFA多因素认证,即在用户名和密码(第一层安全要素)的基础上,增加了MFA安全码(第二层安全要素,MFA设备生成的动态验证码),以提高账号的安全性。具体操作,请参见启用MFA。
使用RAM用户而不是阿里云账号,并合理设置权限策略
确保用户访问ECS资源时使用最小化权限,避免共享账号或过于宽泛的授权。使用访问控制RAM时,建议直接使用阿里云账号创建RAM用户(用户组)并授予特定权限策略,实现在账号维度上对云服务器ECS资源进行细粒度的访问控制。更多信息,请参见通过RAM用户控制资源访问。
云产品API调用使用实例角色而不是AK
一般情况下,ECS实例的应用程序是通过阿里云账号或者RAM用户的AccessKey访问阿里云各产品的API。为了满足调用需求,需要直接把AccessKey固化在实例中,例如写在配置文件中。但是这种方式权限过高,存在泄露信息和难以维护等问题。因此,阿里云推出了实例RAM角色解决这些问题,一方面可以保证AccessKey安全,另一方面也可以借助RAM实现权限的精细化控制和管理。
实例RAM角色(推荐使用加固模式访问元数据)允许您将一个角色关联到ECS实例,在实例内部基于STS(Security Token Service)临时凭证(临时凭证将周期性更新)访问其他云产品的API。更多信息,请参见实例RAM角色概述。
AK防泄密
阿里云账号AccessKey是客户访问阿里云API的密钥,请务必妥善保管。请勿通过任何方式(如GitHub等)将AccessKey公开至外部渠道,以免被恶意利用而造成安全威胁。AccessKey泄露会威胁所有资源的安全,根据如下AK信息使用的安全建议,可以有效降低AccessKey泄露的风险。
您在使用阿里云产品过程中需要遵循以下几点AK信息使用安全建议,以降低凭证泄露造成的影响:
不要将AccessKey嵌入代码中。
定期轮换AccessKey。
定期吊销不需要的AccessKey。
遵循最小权限原则,使用RAM用户。
开启操作日志审计,并将其投递至OSS和SLS保存和审计。
可以开启acs:SourceIp限定公网IP网段访问阿里云API。
通过设置acs:SecureTransport取值为true,表示通过HTTPS方式访问阿里云。
账号、密码管理安全建议
类别 | 策略说明 |
阿里云账号 | |
密钥、凭据 | |
密码 | |
机密信息使用KMS安全加固托管 | 机密数据明文落盘存储会导致泄露风险,建议您提前开通密钥管理服务,无需自行研发和运维密码设施,即可在云服务中使用数据加密功能,例如在云服务器ECS中使用云盘加密、实例可信启动等功能。 |
点击这里进入阿里云ECS官方页面,立即免费体验云服务器ECS>>>
湘公网安备43019002001857号
备案号:
客服1 