阿里云配置之加固RAM账号

这篇具有很好参考价值的文章主要介绍了阿里云配置之加固RAM账号。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

概述

RAM用户是RAM的一种实体身份类型,有确定的身份ID和身份凭证,它通常与某个确定的人或应用程序一一对应。RAM用户具备以下特点:

  • RAM用户由阿里云账号(主账号)或具有管理员权限的其他RAM用户、RAM角色创建,创建成功后,归属于该阿里云账号,它不是独立的阿里云账号。
  • RAM用户不拥有资源,不能独立计量计费,由所属的阿里云账号统一付费。
  • RAM用户必须在获得授权后,才能登录控制台或使用API访问阿里云账号下的资源。
  • RAM用户拥有独立的登录密码或访问密钥。
  • 一个阿里云账号下可以创建多个RAM用户,对应企业内的员工、系统或应用程序。

可以创建RAM用户并为其授权,实现不同RAM用户拥有不同资源访问权限的目的。当企业存在多用户协同访问资源的场景时,使用RAM可以按需为用户分配最小权限,避免多用户共享阿里云账号密码或访问密钥,从而降低企业的安全风险。

通过如下操作可以针对RAM用户做安全加固:

  • 加固密码强度设置;
  • 加固登录安全设置;
  • MFA多因素认证设置;

操作步骤

1. 加固密码强度设置;

RAM按需为用户分配最小权限,解决所有用户都使用主账号带来的风险。然而RAM用户的密码强度不够,仍然会给你的云上应用带来风险,造成业务中断等资产损失。设置一个高强度的密码规则,并限定密码使用期限,是保证账号安全的常用方法。
常见的加固方案:

  • 密码中必须包含小写字母、大写字母、数字、符号 ,长度至少8位
  • 密码有效期 90天
  • 密码过期后不可登录
  • 历史密码检查策略 禁止使用前4次密码
  • 一小时内密码错误5次,禁止登录
aliyun ram SetPasswordPolicy --MinimumPasswordLength 8 --RequireLowercaseCharacters true --RequireUppercaseCharacters true --RequireNumbers true --RequireSymbols true --HardExpiry true --MaxPasswordAge 90 --PasswordReusePrevention 4 --MaxLoginAttemps 5

参数说明:

  • MinimumPasswordLength为最小密码长度
    RequireLowercaseCharacters指定必须包含小写字母
    RequireUppercaseCharacters指定必须包含大写字母
    RequireNumbers指定必须包含数字
    RequireSymbols指定必须包含符合
    HardExpiry指定密码过期后不可登录
    MaxPasswordAge指定密码有效期,单位为天
    PasswordReusePrevention指定新设密码不能和前4次密码重复
    MaxLoginAttemps指定一小时内密码错误5次,禁止登录

2. 加固登录安全设置;

在密码强度的基础上,我们进一步的通过限制可以访问控制台的IP地址,提升安全性。一个企业的办公网络出口IP数量是有限的,这样通过设置登录掩码进一步减少风险。

aliyun ram SetSecurityPreference --EnableSaveMFATicket false --AllowUserToChangePassword true --AllowUserToManageAccessKeys false --AllowUserToManageMFADevices true --LoginSessionDuration 6 --LoginNetworkMasks 1.1.1.1

参数说明:

  • EnableSaveMFATicket表示是否允许RAM用户登录时保存多因素认证设备登录状态,有效期为7天,默认为不允许。
  • AllowUserToChangePassword表示是否允许RAM用户修改密码。
  • AllowUserToManageAccessKeys表示是否允许RAM用户管理访问密钥。
  • AllowUserToManageMFADevices表示是否允许RAM用户绑定或解绑多因素认证设备。
  • LoginSessionDuration表示RAM用户登录有效期,单位为小时。
  • LoginNetworkMasks:登录掩码决定哪些IP地址会受到登录控制台的影响。默认为空字符串,不限制登录IP。如果设置了登录掩码,使用密码登录或单点登录(SSO)时会受到影响,但使用访问密钥发起的API访问不受影响。

3. MFA多因素认证设置;

多因素认证MFA(Multi Factor Authentication)是一种简单有效的最佳安全实践,在用户名和密码之外再增加一层安全保护。这些多重要素结合起来将为您的账号提供更高的安全保护。

启用多因素认证后,再次登录阿里云时,系统将要求输入两层安全要素:

第一层安全要素:输入用户名和密码。
第二层安全要素:输入虚拟MFA设备生成的验证码文章来源地址https://www.toymoban.com/news/detail-811726.html

到了这里,关于阿里云配置之加固RAM账号的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 阿里云RAM访问控制

    本文原创作者:谷哥的小弟 作者博客地址:http://blog.csdn.net/lfdfhl 访问控制 RAM(Resource Access Management)是阿里云为客户提供的用户身份管理与访问控制服务。使用 RAM您可以创建、管理用户账号(比如员工、系统或应 用程序),并可以控制这些用户账号对您名下资源具有的操作

    2024年01月21日
    浏览(20)
  • 实现Android深度加固:代码加密隐藏、资源加密隐藏、so库加密隐藏。附免费加固工具地址。兼容unity引擎。

    0.1.可自动批量循环改包 改包包括:自动换包名(可选),自动改类,清单处理等 使用场景:原包为母包,争取处理出来的包没有容易被标记的地方 0.2.可自动批量循环加固,改包后自动加固 使用场景:原包为母包,争取处理出来的包每个包都不一样 0.3 改包加固效果 原包代码不可见,原包

    2024年02月05日
    浏览(45)
  • 阿里云大数据实战记录9:MaxCompute RAM 用户与授权

    先抛一个问题: 作为 maxcompute 的管理员,拥有较高的权限,为什么访问不了设置了敏感列的数据? 这个问题是我最近遇到的一个难题之一。 一开始我以为作为 maxcompute 管理员,应该可以“畅通无阻”,却没想到,敏感列迟迟无法访问,中间做了很多功夫,读了很多官方文档

    2024年02月10日
    浏览(58)
  • 计算机组成原理(期末或考研备考)- 主存储器,DRAM,SRAM,ROM

    SRAM VS DRAM DRAM采用栅极电容上的电荷存储信息,由于DRAM上的电容电荷一般只能维持1-2ms,即使电源不断电,信息也会自动消失。因此每隔一定时间必须刷新。 集中刷新,利用固定的时间对所有的行进行刷新,刷新期间内停止对存储器的读写操作(死区,死时间) 分散刷新,延

    2024年02月12日
    浏览(52)
  • MobaXterm监控服务器的资源(CPU、RAM、Network、disk...) 使用情况

    使用服务器的时候比较喜欢随时查看的服务器资源使用情况,比如内存,CPU,网速,磁盘使用等情况,一次偶然的机会发现了MobaXterm提供有这项功能,在会话窗口底部: 完整窗口示意图 如果你发现你的会话窗口底部没有,可以这样开启: Settings→SSH→勾选Remote-monitoring 参考

    2024年02月14日
    浏览(44)
  • Hive调优之计算资源配置(一)

    计算资源的调整主要包括Yarn和MR。 1、Yarn配置说明   需要调整的Yarn参数均与CPU、内存等资源有关,核心配置参数如下 (1)yarn.nodemanager.resource.memory-mb   该参数的含义是,一个NodeManager节点分配给Container使用的内存。该参数的配置,取决于NodeManager所在节点的总内存容量

    2024年02月16日
    浏览(34)
  • 计算机网络原理 实验 网络协议配置及网络资源共享

    1. 熟悉Windows中的网络协议的配置。 2. 掌握局域网在资源共享方面的应用。 1.网络协议三要素:语法、语义、同步 2. ISO/OSI模型(七层结构)、TCP/IP模型(五层结构) 3. 网络资源共享:其他用户可以通过网络查看用户计算机的共享资源 安装Windows Server 2003的计算机、交换机(

    2024年02月04日
    浏览(51)
  • 云计算:OpenStack 配置云主机实例的资源实现内网互通

    目录 一、实验 1. 环境 2.配置项目及用户 3.配置规格实例与镜像 4.配置VPC 5. 配置安全组 6. 创建云主机 cs_01 (cirros系统) 7.创建云主机 cs_02 (cirros系统) 8.创建云主机 cs_03 (cirros系统) (1)宿主机 表1 宿主机  主机 架构 IP地址 openstack all in one 192.168.199.201 (2)云主机 表

    2024年02月03日
    浏览(49)
  • 实现Android APK加固:代码加密隐藏、资源加密隐藏、so库加密隐藏。兼容unity引擎。附加固工具链接。

    0.1.可自动批量循环改包 改包包括:自动换包名(可选),自动改类,清单处理等 使用场景:原包为母包,争取处理出来的包没有容易被标记的地方 0.2.可自动批量循环加固,改包后自动加固 使用场景:原包为母包,争取处理出来的包每个包都不一样 0.3 改包加固效果 原包代码不可见,原包

    2024年02月09日
    浏览(60)
  • 【Amazon】跨AWS账号资源授权存取访问

    本次实验,将允许指定的一个AWS账号访问另一个AWS账号中的资源(如,S3资源),且其他AWS账号均无法进行访问。 在A账号创建S3存储桶 xybaws-account-access-s3 在A账号创建S3存储桶访问策略 xybaws_cross_account_access_s3_policy 在A账号创建信任开发账号的角色,并赋予S3访问策略 xybaws_cr

    2024年02月07日
    浏览(38)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包