PDF《访问控制》

也可以支持多种条件限制操作表达式用于实现对资源操作方式的灵活控制,比如限制操作者的源 IP 地址. 自定义授权策略可以满足用户对资源访问控制粒度的诸多苛刻需求,从而满足用户对 最小授权(只授予满足 用户需要的最小权限) 的完美实施. 举个条件授权的例子,如果您担心研发人员密钥泄露而导致公司的 OSS 数据泄露到公司外部,那么您可以在给 研发组授权访问 OSS 数据时附加限制条件,比如要求必须在公司(使用 acs:SourceIP 条件表达式)并且在上 班时间段(使用acs:CurrentTime 条件表达式)才能操作 OSS . 第4步:员工换岗、入职与离职的处理 当员工从一个岗位换到另一个岗位之后,您只需要将对应的用户账号从一个组移到另一个组,仅此而已.如果 有员工入职,那么只需为新员工创建新的用户账号,设置登录密码或访问密钥,然后 添加到相应的用户组.如 果是离职,那么只需在 RAM 控制台中执行用户删除操作即可,RAM 会自动删除用户的所有访问权限. 访问控制 最佳实践

5 第5步:使用 STS 给临时用户授权 有时存在一些用户(人或应用程序),他们并不经常访问您的云资源,只是偶尔需要访问一次,我们称这些用 户为 临时用户 .您可以通过 STS (Security Token Service,它是 RAM 的一个扩展授权服务) 来为这些用 户颁发访问令牌.颁发令牌时,您可以根据需要来定义令牌的权限和自动过期时间. 使用 STS 访问令牌给临时用户授权的好处是让授权更加可控.您不必为临时用户创建一个 RAM 用户账号及密 钥,因为 RAM 用户密钥都是长期有效的,但临时用户并不需要长期的资源访问. 此外,您也可以授权允许一个 RAM 用户使用 STS 服务颁发访问令牌,以实现对 RAM 用户的进一步分权. 第6步:让主账号 好好休息 当您的员工和应用系统都开始使用 RAM 用户账号之后,您将不必再使用主账号去做日常工作了.为了降低主 账号泄露的风险,建议您不要为主账号创建访问密钥,并且将主账号密码和多因素认证设备都放在公司的保险 柜里,让它 好好休息 . 通过以上步骤,您可以体验到 RAM 丰富的资源控制能力,并可根据企业实际需求,制定适用的资源控制策略 ,协调好企业用户对上云资源的灵活访问控制. 访问控制 最佳实践 6 ........