阿里云 访问控制RAM

https://help.aliyun.com/product/28625.html

为用户分配最小权限

别名主要用于 RAM 用户登录以及成功登录后的显示名。

强烈建议您给主账号绑定多因素认证。

设置MFA

https://help.aliyun.com/document_detail/28635.html

安装虚拟MFA应用程序

基于TOTP(Time-Based One-Time Password)的动态密码生成器.

动态口令生成

1. 建议您为应用程序周期性更换AK，避免因为AK泄露导致风险。

创建自定义授权策略

如果您有更细粒度的授权需求，比如授权用户bob只能对oss://sample_bucket/bob/下的所有对象执行只读操作、而且限制IP来源必须为您的公司网络(可以通过搜索引擎查询“我的IP”来获知您的公司网络IP地址)，那么您可以通过创建自定义授权策略来进行访问控制。

在创建自定义授权策略时，您需要了解授权策略语言的基本结构和语法，相关内容的详细描述请参考授权策略语言描述。

给RAM用户授权

选择“用户管理”，选择相应的用户，点击“授权”。或者，进入用户详情页面-> 用户授权策略，在弹窗中选择合适的授权策略名称进行授权即可。

安全实践：

为根账户绑定MFA，每次使用根账户时都强制使用多因素认证。如果您创建了RAM用户，并且给用户授予了高风险操作权限（比如，停止虚拟机，删除存储桶），那么建议您给RAM用户绑定MFA。

为用户登录配置强密码策略

遵循最小授权原则

使用策略限制条件来增强安全性

比如，授权用户Alice可以关停ECS实例，限制条件是Alice必须在指定时间、并且您公司网络中执行该操作。

不要为根账户创建访问密钥

由于根账户对名下资源有完全控制权限，所以为了避免因访问密钥泄露所带来的灾难性损失，不建议您创建根账号访问密钥并使用该密钥进行日常工作。

将控制台用户与API用户分离

不建议给一个RAM用户同时创建用于控制台操作的登录密码和用于API操作的访问密钥。通常只给员工创建登录密码，给系统或应用程序只创建访问密钥。

使用带IP限制条件的授权策略进行授权

授予所有的特权操作必须受IP条件限制（acs:SourceIp）。那么，即使RAM用户的登录密码或AccessKey泄露，只有攻击者没有渗透进入您的可信网络，那么攻击者也无能为力。