电脑
网络
使用场景:企业用户账号管理与分权场景描述企业A的某项目上云,购买了多种云资源(如CEC实例/CLB实例/COS对象存储桶等)。项目里有多个员工需要操作这些云资源,比如有的负责购买,有的负责运维等。由于每个员工的工作职责不一样,需要的权限也不一样。出于安全或信任的考虑,项目负责人不希望将云账号密钥直接透露给员工,而希望能给员工创建相应的子账号。用户账号只能在授权的前提下操作资源,不需要对子账号进行独立的计量计费,所有开销都从A的账户中扣除。同时,A随时可以撤销子账号的权限,也可以随时删除其创建的子账号。
需求说明· 杜绝多员工共享主账号,防止主账号密码或AK泄露导致风险不可控· 给不同员工分配独立用户账号,并独立分配权限,做到责权一致· 所有用户账号的所有操作行为可审计· 无需核算每个操作人员的成本,所有费用统一计入主账号账单
解决方案使用IAM用户账号与授权管理功能,如下图所示:
CIAM最佳实践不要为主账户创建访问密钥由于主账户对名下资源有完全控制权限,所以为了避免因访问密钥泄露所带来的灾难性损失,我们不建议创建主账号访问密钥并使用该密钥进行日常工作。只要主账户不主动创建访问密钥,账号名下的资产安全风险可控。
将控制台用户与API用户分离不建议给一个CIAM子用户同时创建用于控制台操作的登录密码和用于API操作的访问密钥。通常只给员工创建登录密码,给系统或应用程序只创建访问密钥。
使用群组给IAM用户分配权限一般情况下,您不必对CIAM子用户直接绑定授权策略,更方便的做法是创建与人员工作职责相关的群组(如admins、developers、accounting等),为每个群组绑定合适的授权策略,然后将子用户加入这些群组,群组内的所有用户共享相同的权限。这样,如果您需要修改群组内所有人的权限,只需在一处修改即可。当您的组织人员发生调动时,您只需更改用户所属的群组即可。
遵循最小授权原则最小授权原则是安全设计的基本原则。当您需要给用户授权时,请授予刚好满足他工作所需的权限,不要过渡授权。比如,在您的组织中,如果Developers组员(或者一个应用系统)的工作职责只需要读取COS存储桶里的数据,那么就只给这个组(或应用系统)授予COS资源的只读权限,而不要授权COS资源的所有权限,更不要授予对所有产品资源的访问权限。