编辑: hys520855 | 2017-09-21 |
【商标声明】 及其它腾讯云服务相关的商标均为腾讯云计算(北京)有限责任公司及其关联公司所有.本文档涉及的第三方 主体的商标,依法由权利人所有. 【服务声明】 本文档意在向客户介绍腾讯云全部或部分产品、服务的当时的整体概况,部分产品、服务的内容可能有所调整 .您所购买的腾讯云产品、服务的种类、服务标准等应由您与腾讯云之间的商业合同约定,除非双方另有约定 ,否则,腾讯云对本文档内容不做任何明示或模式的承诺或保证. 第2页共5页 版权所有:腾讯云计算(北京)有限责任公司 最佳实践产品文档 文档目录 文档声明.2 最佳实践.4 第3页共5页 版权所有:腾讯云计算(北京)有限责任公司 最佳实践产品文档 最佳实践 基本指导原则 1.开启 MFA 保护 建议您为所有帐号绑定 MFA;
为根帐号开启登陆保护和敏感操作保护;
为所有子账号都开启敏感操作保护.对 于支持邮箱登陆或者微信登陆的强烈推荐进行 MFA 二次验证. 2.使用子账号访问腾讯云 请尽量不要使用根帐号的身份凭证访问腾讯云,更不要将身份凭证共享给他人.一般情况下,应该为所有访问 腾讯云的用户创建子账号,同时授权该子帐号相应的管理权限. 3.使用组给子帐号分配权限 按照工作职责定义好组,并给组分配相应的管理权限.然后把用户分配到对应的组里.这样,当您修改了组的 权限时,组里相关用户的权限随即发生了变更.另外,当组织架构发生调整时,只需要更新用户和组的关系即 可. 4.最小权限原则 最小权限原则是一项标准的安全原则.即仅授予执行任务所需的最小权限,不要授予更多无关权限.例如,一 个用户仅是 CDN 服务的使用者,那么不需要将其他服务的资源访问权限(如COS 读写权限)授予给该用户. 5.分子帐号管理用户、权限和资源 建议同一个子账号不同时管理用户、权限和资源.应该让部分子账户管理用户,部分子账号管理权限,部分子 账号管理其他云资源. 6.定期轮转身份凭证 建议您或 CAM 用户要定期轮换登录密码或云 API 密钥.这样可以让身份凭证泄漏情况下的影响时间受限. 第4页共5页 版权所有:腾讯云计算(北京)有限责任公司 最佳实践产品文档 7.删除不需要的证书和权限 删除用户不需要的证书以及用户不再需要的权限.尽量减少访问凭证泄漏后带来的安全风险. 8.使用策略条件来增强安全性 尽可能的为策略定义更精细化的条件,约束策略生效的场景,强化安全性.如约束用户必须在指定的时间,指 定的服务器上执行某些操作等. Powered by TCPDF (www.tcpdf.org) 第5页共5页 版权所有:腾讯云计算(北京)有限责任公司