最佳实践

访问控制与安全息息相关,为帮助你保护在云基础服务的资源,我们提供了以下建议:

主账号最佳实践

主账号对云基础服务所有资源有完全控制权限,为防止因主账号泄露带来的灾难性损失,我们建议:

  • 不要使用主账号进行日常工作,使用相应权限的子账号代替;
  • 删除或禁用主账号的所有 Access Key;
  • 切勿与任何人分享主账号的密码或 Access Key;
  • 使用强密码,并定期修改。

子账号最佳实践

在创建策略时,授予最小权限是标准的安全建议,即授予刚好满足其工作所需的最低权限。定期检查策略,及时清理不需要的权限。例如:

  • 某个成员(或应用程序)只需要读取名为 mybucket 的桶内数据,那么我们建议只授予其对该桶的只读权限,而不是授予管理权限,所有桶的访问权限,甚至所有产品资源的访问权限;
  • 当某个成员(或应用程序)由于工作职责或程序逻辑变更而不再需要某项权限时,建议及时撤销其该权限。