此文档帮助用户最大程度有效地、安全地使用网易云访问控制服务

本文分别从 账号登录、账号授权、权限分配 三个方面说明 SAM 基本指导原则，帮助用户更有效地使用 SAM 进行账号身份管理和资源访问控制。

账号登录

使用子账号访问网易云

• 请尽量不要使用根账号的身份凭证访问网易云，更不要将身份凭证共享给他人。建议为所有需要访问网易云的用户创建子账号，同时给该子账号授权相应的管理权限。
• 删除或禁用主账号的所有 Access Key 。

定期轮转用户登录所用身份凭证

• 建议主账号和子账号要定期更换登录密码或访问密钥，这样可以让身份凭证泄漏时的影响时间受限。同时密码最好包括大小写字母、数字、特殊字符，不包含常见英文单词。

账号授权

遵循最小授权原则

• 最小权限原则是一项标准的安全原则。即仅授予执行任务所需的最小权限，不要授予更多无关权限。当用户为子账号授权时，建议授予刚好满足该子账号用户工作所需的权限，而不要过度授权。

例如，一个用户仅是 NOS 服务的使用者，那么不需要将其他服务的资源访问权限（如 RDS 读写权限）授予给该用户。

及时撤销用户不再需要的权限

• 当一个用户由于工作职责改变而不再需要某项权限时，应该及时将该用户的此项权限撤销。这样，在不知情的情况下，子账号的访问凭证泄漏时对用户带来的风险最小。

权限分配

将用户管理、权限管理和资源管理分离

• 在使用 SAM 服务时，用户应该为不同类别的职责创建不同的 SAM 用户，比如 SAM 用户管理，SAM 权限分配，以及各产品的资源操作管理。这样一个分权的账号体系应该支持权力制衡，尽量降低账号的安全风险。

不要为主账号创建访问密钥

• 由于主账户对名下资源拥有完全控制权限，为了避免因访问密钥泄露所带来的灾难性损失，不建议为主账号创建访问密钥，也不建议使用主账号进行日常工作。

使用群组给 SAM 用户分配权限

• 在为 SAM 用户分配权限时，除了可以直接给 SAM 用户绑定授权策略，还可以创建与人员工作相关的群组来为 SAM 用户授权，如 admins、dbas、developers 等。用户可以为每个群组绑定适合该群组工作职能的授权策略，然后把 SAM 用户加入到相应的群组中。群组内的所有 SAM 用户共享同样的权限。
• 如果需要修改群组内所有用户的某个权限时，只需修改群组的策略即可，无需为每个用户都修改。
• 如果组织内有工作人员因工作发生调动而要改变权限时，只需变更该用户所属的群组即可。

分离控制台用户与 API 用户

• 建议根据使用场景为只需要登录控制台操作的员工创建登录密码，而为需要使用 API 操作的系统或应用程序创建访问密钥。