此文档帮助用户最大程度有效地、安全地使用网易云访问控制服务

本文分别从 账号登录账号授权权限分配 三个方面说明 SAM 基本指导原则,帮助用户更有效地使用 SAM 进行账号身份管理和资源访问控制。

账号登录

使用子账号访问网易云

  • 请尽量不要使用根账号的身份凭证访问网易云,更不要将身份凭证共享给他人。建议为所有需要访问网易云的用户创建子账号,同时给该子账号授权相应的管理权限。
  • 删除或禁用主账号的所有 Access Key 。

定期轮转用户登录所用身份凭证

  • 建议主账号和子账号要定期更换登录密码或访问密钥,这样可以让身份凭证泄漏时的影响时间受限。同时密码最好包括大小写字母、数字、特殊字符,不包含常见英文单词。

账号授权

遵循最小授权原则

  • 最小权限原则是一项标准的安全原则。即仅授予执行任务所需的最小权限,不要授予更多无关权限。当用户为子账号授权时,建议授予刚好满足该子账号用户工作所需的权限,而不要过度授权。

例如,一个用户仅是 NOS 服务的使用者,那么不需要将其他服务的资源访问权限(如 RDS 读写权限)授予给该用户。

及时撤销用户不再需要的权限

  • 当一个用户由于工作职责改变而不再需要某项权限时,应该及时将该用户的此项权限撤销。这样,在不知情的情况下,子账号的访问凭证泄漏时对用户带来的风险最小。

权限分配

将用户管理、权限管理和资源管理分离

  • 在使用 SAM 服务时,用户应该为不同类别的职责创建不同的 SAM 用户,比如 SAM 用户管理,SAM 权限分配,以及各产品的资源操作管理。这样一个分权的账号体系应该支持权力制衡,尽量降低账号的安全风险。

不要为主账号创建访问密钥

  • 由于主账户对名下资源拥有完全控制权限,为了避免因访问密钥泄露所带来的灾难性损失,不建议为主账号创建访问密钥,也不建议使用主账号进行日常工作。

使用群组给 SAM 用户分配权限

  • 在为 SAM 用户分配权限时,除了可以直接给 SAM 用户绑定授权策略,还可以创建与人员工作相关的群组来为 SAM 用户授权,如 admins、dbas、developers 等。用户可以为每个群组绑定适合该群组工作职能的授权策略,然后把 SAM 用户加入到相应的群组中。群组内的所有 SAM 用户共享同样的权限。
  • 如果需要修改群组内所有用户的某个权限时,只需修改群组的策略即可,无需为每个用户都修改。
  • 如果组织内有工作人员因工作发生调动而要改变权限时,只需变更该用户所属的群组即可。

分离控制台用户与 API 用户

  • 建议根据使用场景为只需要登录控制台操作的员工创建登录密码,而为需要使用 API 操作的系统或应用程序创建访问密钥。