编辑: 丶蓶一 | 2015-12-22 |
【商标声明】 及其它腾讯云服务相关的商标均为腾讯云计算(北京)有限责任公司及其关联公司所有.本文档涉及的第三方主体 的商标,依法由权利人所有. 【服务声明】 本文档意在向客户介绍腾讯云全部或部分产品、服务的当时的整体概况,部分产品、服务的内容可能有所调整.您 所购买的腾讯云产品、服务的种类、服务标准等应由您与腾讯云之间的商业合同约定,除非双方另有约定,否则, 腾讯云对本文档内容不做任何明示或模式的承诺或保证. 访问管理 版权所有:腾讯云计算(北京)有限责任公司 第3 共4页 基本指导原则 1.开启 MFA 保护 为增强账号安全性,建议您为所有账号绑定 MFA;
为主账号及子账号都开启登录保护和敏感操作保护.对于支持邮 箱登录或者微信登录的强烈推荐进行 MFA 二次验证.开启 MFA 后,账号登录及敏感操作需进行二次校验.相关设 置请参考:子账号或协作者安全设置. 2.使用子账号访问腾讯云 请尽量不要使用主账号的身份凭证访问腾讯云,更不要将身份凭证共享给他人.一般情况下,应该为所有访问腾讯 云的用户创建子账号,同时授权该子账号相应的管理权限.相关设置请参考:用户类型. 3.使用组给子账号分配权限 按照工作职责定义好组,并给组分配相应的管理权限.然后把用户分配到对应的组里.这样,当您修改了组的权限 时,组里相关用户的权限随即发生了变更.另外,当组织架构发生调整时,只需要更新用户和组的关系即可.相关 设置请参考:用户组. 4.最小权限原则 最小权限原则是一项标准的安全原则.即仅授予执行任务所需的最小权限,不要授予更多无关权限.例如,一个用 户仅是 CDN 服务的使用者,那么不需要将其他服务的资源访问权限(如COS 读写权限)授予给该用户. 5.分子账号管理用户、权限和资源 建议同一个子账号不同时管理用户、权限和资源.应该让部分子账户管理用户,部分子账号管理权限,部分子账号 管理其他云资源. 6.定期轮转身份凭证 建议您或 CAM 用户要定期轮换登录密码或云 API 密钥.这样可以让身份凭证泄漏情况下的影响时间受限. 主账号密码设置请参考:账号相关. 子用户密码设置请参考:子用户基本操作指南. 7.删除不需要的证书和权限 删除用户不需要的证书以及用户不再需要的权限.尽量减少访问凭证泄漏后带来的安全风险. 8.使用策略条件来增强安全性 最佳实践 最近更新时间:2019-05-28 17:24:50 访问管理 版权所有:腾讯云计算(北京)有限责任公司 第4 共4页 尽可能的为策略定义更精细化的条件,约束策略生效的场景,强化安全性.如约束用户必须在指定的时间,指定的 服务器上执行某些操作等. 相关设置请参考:元素参考 condition.