为确保您的天翼云账号及云资源使用安全,如非必要都应避免直接使用天翼云账号(即主账号)来访问函数计算。推荐的做法是使用IAM身份(即IAM用户和IAM委托)来访问函数计算。
IAM用户
IAM用户需要由天翼云账号(即主账号)或拥有管理员权限的IAM用户、IAM委托来创建,且必须在获得授权后才能登录控制台或使用API访问天翼云账号下的资源。
对于IAM用户的使用,建议您:
-
使用天翼云账号创建一个IAM用户,并为IAM用户授予管理员权限,后续使用有管理员权限的IAM用户创建并管理其他IAM用户。
-
将人员用户和程序用户分离。
创建IAM用户时,支持设置控制台访问和OpenAPI调用访问两种访问方式。控制台用户使用账号密码访问云产品控制台,API用户使用访问密钥AK(AccessKey)调用API访问云资源。建议您将两个不同的使用场景分离,避免误操作导致服务受到影响。对于通过控制台访问的用户,推荐为其开启MFA多因素认证。
-
按需为IAM用户分配最小权限。
最小权限是指授予用户执行某项任务所需的权限,不授予其他无需用到的权限。最小授权可以避免用户操作权限过大,提高数据安全性,减少因权限滥用导致的安全风险。
-
不要把IAM用户的AccessKey ID和AccessKey Secret保存在工程代码中,否则可能导致AK泄露,威胁您账号下所有资源的安全。建议您使用STS或环境变量等方式获取访问授权。
-
满足条件时对IAM用户设置SSO单点登录功能,实现直接使用企业自有的身份登录并访问天翼云资源。
IAM用户组
当您的天翼云账号下有多个IAM用户时,可以通过创建用户组对职责相同的IAM用户进行分组管理和批量授权,实现高效地管理IAM用户及其权限。对于IAM用户组的使用,建议您:
- 在对IAM用户组授权时遵循最小权限策略原则。
- 在IAM用户职责发生变化时将其从不再归属的用户组中移除,避免权限滥用。
- 在某个用户组不再需要某些权限时移除用户组对应的权限。
IAM委托
RAM委托是一种虚拟用户,可以被授予一组权限策略。与IAM用户不同,IAM委托没有永久身份凭证(登录密码或访问密钥),需要被一个可信实体扮演。扮演成功后,可信实体将获得IAM角色的临时身份凭证,即安全令牌(STS Token),使用该安全令牌就能以IAM角色身份访问被授权的资源。