阿里云密钥获取
阿里云官网:https://www.aliyun.com
获取密钥页面:https://usercenter.console.aliyun.com/#/manage/ak
-
打开 获取密钥页面 获取密钥信息 :
云账号 AccessKey 是您访问阿里云 API 的密钥,具有该账户完全的权限,请您务必妥善保管!不要通过任何方式(e.g. Github)将 AccessKey 公开到外部渠道,以避免被他人利用而造成 安全威胁 。
强烈建议您遵循 阿里云安全最佳实践 ,使用 RAM 子用户 AccessKey 来进行 API 调用。
安全建议
- 创建独立的RAM用户
企业只需使用一个云账号。通过RAM为名下的不同操作员创建独立的RAM用户,进行分权管理,不使用云账号进行日常运维管理。
详情请参见创建RAM用户 。
-
将控制台用户与API用户分离
不建议给一个RAM用户同时创建用于控制台操作的登录密码和用于API操作的访问密钥。应用程序账号:只需要通过OpenAPI访问云资源,创建访问密钥即可。
员工账号:只需要通过控制台操作云资源,设置登录密码即可。
详情请参见创建RAM用户 。 -
创建用户并进行分组
当云账号下有多个RAM用户时,可以通过创建用户组对职责相同的RAM用户进行分类并授权。详情请参见创建用户组 。
-
给不同用户组分配最小权限
您可以使用系统策略为用户或用户组绑定合理的权限策略,如果您需要更精细粒度的权限策略,也可以选择使用自定义策略。通过为用户或用户组授予最小权限,可以更好的限制用户对资源的操作权限。详情请参见创建自定义策略 。
-
为用户登录配置强密码策略
您可以通过RAM控制台设置密码策略,如密码长度、密码中必须包含元素、密码有效期等。如果允许RAM用户更改登录密码,那么应该要求RAM用户创建强密码并且定期轮换登录密码或访问密钥。详情请参见设置RAM用户安全策略 。
-
为云账号开启多因素认证
开启多因素认证(Multi-factor authentication,MFA)可以提高账号的安全性,在用户名和密码之外再增加一层安全保护。启用MFA后,用户登录阿里云时,系统将要求输入两层安全要素:第一安全要素:用户名和密码
第二安全要素:多因素认证设备生成的验证码
详情请参见为云账号设置多因素认证 。 -
为用户开启SSO单点登录功能
开启SSO单点登录后,企业内部账号进行统一的身份认证,实现使用企业本地账号登录阿里云才能访问相应资源。详情请参见SSO概览 。
-
不要为云账号创建访问密钥
由于云账号对名下资源有完全控制权限,AccessKey与登录密码具有同样的权力,AccessKey用于程序访问,登录密码用于控制台登录。为了避免因访问密钥泄露带来的信息泄露,不建议您创建云账号访问密钥并使用该密钥进行日常工作。您可以通过为RAM用户创建访问密钥,使用RAM用户进行日常工作。
详情请参见为RAM用户创建访问密钥 。
-
使用策略限制条件来增强安全性
要求用户必须使用安全信道(例如:SSL)、在指定时间范围或在指定源IP条件下才能操作指定的云资源。详情请参见权限策略基本元素 。
-
集中控制云资源
阿里云默认云账号是资源的拥有者,掌握完全控制权。RAM用户对资源只有使用权,没有所有权。这一特性可以方便您对用户创建的实例或数据进行集中控制。当用户离开组织:只需要将对应的账号移除,即可撤销所有权限。
当用户加入组织:只需创建新的账号,设置登录密码或访问密钥并为RAM用户授权。
详情请参见为RAM用户授权 。 -
使用STS给用户授权临时权限
STS (Security Token Service)是RAM的一个扩展授权服务,使用STS访问令牌可以给用户授予临时权限,您可以根据需要来定义访问令牌的权限和自动过期时间,可以让授权更加可控。详情请参见什么是STS 。