身份认证安全
严控主账号凭证:天翼云主账号是资源归属与计费的核心主体,拥有全量资源访问权限。建议仅使用密码登录控制台,不创建主账号访问密钥(AK/SK) ,减少因密钥泄露导致的全局风险;若需通过 API/SDK 调用服务,请勿直接将访问密钥嵌入到代码中,减少访问密钥被泄露的风险。
启用多因素认证(MFA):MFA是一种非常简单的安全实践方法,建议您给天翼云帐号以及您帐号中具备较高权限的用户开启MFA功能,它能够在用户名和密码之外再额外增加一层保护。启用MFA后,用户登录控制台时,系统将要求用户输入用户名和密码(第一安全要素),以及来自其MFA设备的验证码(第二安全要素)。这些多重要素结合起来将为您的账户和资源提供更高的安全保护。
创建单独的IAM用户:天翼云统一身份认证(IAM)允许用户创建多个子用户,并为每个子用户分配不同的权限策略。如果有任何人需要访问您天翼云帐号中的资源,请不要将帐号的密码共享给他们,而是在您的帐号中给他们创建单独的IAM用户并分配相应的权限,同时,作为天翼云帐号主体,建议您不使用帐号访问天翼云,而是为自己创建一个IAM用户,并授予该用户管理权限,以使用该IAM用户代替帐号进行日常管理工作,保护帐号的安全。
访问控制安全
基于 “最小权限原则” 与 “职责分离原则”,通过 IAM 用户组、策略配置等功能,实现权限的精细化管控与团队间隔离。
授予最小权限:使用IAM提供的系统权限,或者自己创建自定义策略,给帐号中的用户仅授予刚好能完成工作所需的权限,通过最小权限原则,可以帮助您安全地控制用户对天翼云云资源的访问。
人员授权 :用户可以为不同的用户分配不同的角色和权限。例如,管理员可以拥有对所有资源的完全访问权限,而普通用户可能只能访问特定的云服务器或存储资源。通过合理分配权限,用户可以确保每个用户只能访问他们需要的资源,从而降低安全风险。
资源组细粒度资源管理 :天翼云支持资源组功能,用户可以将资源分组管理,并为每个资源组设置不同的访问策略。这样,用户可以更方便地管理资源,并确保只有授权用户才能访问特定资源组中的资源。
动态维护权限与凭证
定期修改身份凭证:定期进行密码或密钥修改可以将不小心泄露信息的风险降至最低。定期更改账号密码可以通过账号中心-密码修改进行。轮换访问密钥可以通过创建两个访问密钥进行,将两个访问密钥作为一主一备,一开始先使用主访问密钥一,一段时间后,使用备访问密钥二,然后在控制台删除主访问密钥一,并重新生成一个访问密钥,在您的应用程序中定期轮换使用。
定期审计权限配置:定期核查用户组策略与用户权限,清理冗余策略(如已停用服务的权限)、回收离职人员账号,确保权限与当前业务匹配。
及时删除不需要的身份凭证:对于仅需登录控制台的 IAM 用户,不创建访问密钥,以降低安全风险。若已创建访问密钥,应及时删除,避免不必要的安全隐患。此外,定期查看 IAM 用户的“最近一次登录时间”,判断其凭证是否仍有必要保留。对于长期未登录的用户,应采取措施,及时修改其身份凭证,包括更新密码和删除访问密钥,以确保账户安全。
