企业上云最佳实践：账号安全管理之 RAM 访问控制-白红宇

数字化时代背景下，越来越多的企业选择上云。企业上云不仅可以驱动流程创新和业务创新，还会为企业带来新的利润增长点，呈现出更为弹性化、安全化、智能化、高效化的运维特性。

然而企业上云往往会面临各种各样的安全威胁，数据丢失、系统漏洞、账号共享、外部攻击等等不一而足。其中最严重的威胁莫过于账号密码或 AK （Access Key）泄露——也许你会侥幸认为“这不会发生在我身上”，但是根据 CSA 2016 对某知名云服务商的客户安全威胁分析报告，特权账户密码 / AK 等敏感数据泄露已成为云安全 Top 12 威胁之首，所以你的账号密码和 AK 很有可能早已落入他人之手。

一旦泄露密码或 AK，势必会造成数据丢失，严重情况下甚至会导致企业破产。那么面对密码或 AK泄露，企业应如何补救？阿里云 RAM 服务为你解答。

0f8cf0876592c988d71004ccac276f68e3c1f424

近来一些大型的安全事故，譬如2017年7月19日，道琼斯220万客户信息从某知名云服务商外泄；9月8日，美国信用机构Equifax的1.43亿用户信息泄露；11月30日，美国防部100GB顶级机密数据在某知名云服务商上曝光；12月2日，美国国家信用联合会NCF 111G 数据在某知名云服务商上遭遇泄露......，数不胜数。那么，如何才能从根本上降低或避免因为账号密码或 AK 泄露所导致的信息安全风险，近日，阿里云为企业上云提供了免费的身份管理与访问控制服务RAM，在降低上述风险的同时，还支持通过在手机端进行管控操作，全方位保护账号安全。

“同学们，都醒醒，老师开始划重点了！”

重点1：禁止云账号密码共享

账号密码泄露的罪魁祸首之一就是多人共享云账号密码，很多人都知道的“秘密”就不是秘密了。共享账号密码存在很多问题，不仅容易泄露，而且还无法限制每个人的权限，无法审计和追踪单独个人的具体行为。

解决云账号共享问题的办法就是为每个员工创建独立的 RAM 用户账号，让员工使用 RAM 用户账号进行日常工作。

点击此处，即刻进入开始管理你的用户。

重点2：开启 MFA

MFA（Multi-Factor Authentication）是一种简单有效的安全实践方法，它能在用户名和密码之外再额外增加一层安全保护。启用 MFA 后，用户在登录阿里云网站时，系统将要求输入用户名和密码（第一安全要素），然后要求输入来自 MFA 设备或手机短信的一次性验证码（第二安全要素）——多重要素的结合将为你的账户提供更全面的安全保护，密码泄露不再是问题。

步骤1：在你的私人移动设备上安装好支持 MFA 的应用 App，推荐使用阿里云官方出品的移动客户端 “”；

步骤2：为你的云账号开启 MFA：登录 PC 端控制台，进入“账号管理” -> “安全设置”，选择 “虚拟 MFA” 进行设置；

39ccb052e73c0d7e4f7ba0c18a4c68436454a326

步骤3：为 RAM 用户开启 MFA：访问 “ RAM 控制台” -> “用户管理”，选择用户，进入用户详情页进行操作。

ed46f5c3fbd28a2baf436cb5b5681c3af12546f5

重点3：使用群组给 RAM 用户分配权限

当你的组织拥有较多员工，或他们分管不同的业务，更好的做法是创建与人员工作职责相关的群组（如 admins、developers、accounting 等），为每个群组绑定相应的授权策略，群组内所有用户共享相同的权限，便于统一管理。

而且当组织人员再次扩充时，只需在创建新用户时直接将他添加到特定群组中，无需重复配置权限。当组织人员发生调动时，也只需更改用户所属的群组即可——这些操作都可以在上便捷完成，动动手指轻松搞定。

重点4：遵循最小授权原则，及时撤销不再需要的权限

最小授权原则是安全设计的基本原则，当你给 RAM 用户授权时，请授予他刚好满足工作所需的权限，不能过度授权。

比如在组织中，如果 Developers 组员（或者一个应用系统）的工作职责只需要读取 OSS 存储桶里的数据，那么就只给这个组（或应用系统）授予 OSS 资源的只读权限，而不授权 OSS 资源的所有权限，更不要授予对所有产品资源的访问权限。

当你的某位组织人员因工作职责变更而不再使用权限时，还应该及时将该用户的权限撤销。当然，就算你出差在外也完全不用担心，提供了完整的 RAM 管理功能，随时随地帮助解决燃眉之急。

RAM 同样支持 API 用户（系统或应用程序）的访问授权，你可以为程序创建专属的 RAM 用户，并分配访问密钥 AccessKey。

重点5：实践刚需——使用“ RAM 小 AK ”取代云账号“大 AK ”

云账号AK俗称“大 AK”，它具有该账户的所有资源 API 访问权限，而且无法设置多因素认证，这就意味着大 AK一旦丢失，风险极不可控。因此强烈建议删除“大 AK”，使用 RAM 用户AK（俗称“小 AK”）来进行 API 调用则更为安全。

进入 AK 控制台之后，阿里云会引导用户快速创建 RAM 用户 AK。

87abd15aad5d3a31bf75bf2ba057a2da0e984a8f

实践进阶：自定义策略，限制 RAM 小 AK 的访问源 IP 地址

假设企业 IP 出口的地址范围是 42.120.72.0/22，要求所有的数据访问请求必须来自于你的企业网络，同时要确保万一 AK 泄露到外网那也不能访问云上数据——这该怎么实现呢？以下分享一个实例。

首先，你需要创建一条自定义授权策略（ DenyAccessPolicyWithIpConditions ），拒绝所指 IP 范围之外的所有请求。

dfe0a897d3f01105ce3df8aed9b89162fe0ec4af

然后，给 RAM 用户组（假设为 oss-readers 用户组）授权，如下图样例所示，包括允许访问 OSS 的授权策略和DenyAccessPolicyWithIpConditions 策略。

0abe9801a7ee19720ae03e40097d41009ca71748

通过以下的重点讲解和实践示例，相信你对阿里云 RAM 服务有了全面的认知。话不多说，即刻动手开启 RAM 最佳实践吧！