应用场景
通过配置子用户相关设置,实现访问控制管理,提升账号和数据安全。
前提条件
已开通对象存储(经典版)Ⅰ型服务。
具体方法
创建独立的IAM子用户
一个账户可以建立多个子用户,您可以通过IAM为不同的操作人员创建独立的IAM子用户。根据操作人员的职能范围,授予相应的管理权限。同时建议您也为根用户创建子用户,并授予该子用户管理权限,使用该用户进行日常管理工作,保护账户安全。
控制台登录用户与编程用户分离
建议通过控制台登录用户与编程用户分离,以便更好的分配权限:
- 控制台登录用户:通过控制台登录的用户,只需设置控制台登录密码。
- 编程用户:通过API访问的用户,只需创建访问密钥。
分组进行授权
账户有多个用户时,通过用户组将用户进行分类,同类权限的用户分到一组。通过为用户组授权,使组内用户获取用户组具有的权限。
授予最小权限
建议您为IAM用户授予最小权限,您可以使用IAM用户制定策略,给IAM用户仅授予完成工作所需的权限,通过授予最小权限,可以帮您安全的控制IAM用户对OOS的管理。
为IAM用户配置强密码策略
通过IAM可以为控制台登录的用户设置强密码策略。例如密码最小长度、密码中必须包含元素、密码不与历史密码相同、强制定期更换密码等,确保用户使用复杂度高的强密码。
开启MFA认证
为IAM用户开启多因素认证(Multi-factor authentication,MFA),提高账号的安全性,在用户名和密码之外再增加一层安全保护。
使用策略限制条件
您可以在IAM策略中设置用户在特定时间、特定请求IP的条件下才能操作指定的OOS资源,而其他情况下不能操作。
根账户不使用访问密钥
由于根账户对名下资源有完全的控制权,为了避免因访问密钥泄露带来的风险,不建议根用户使用访问密钥。
建议您创建子用户,并授予该子用户管理权限,使用该用户进行日常管理工作,保护账户安全。
开启操作跟踪功能
开启OOS的操作跟踪功能,记录用户在账户中做了哪些操作、使用了哪些资源。操作跟踪日志会记录操作的类型、时间、操作的源IP、操作人员等,并且可以长久的保存在OOS存储桶中。
将IAM与操作跟踪功能结合使用,您可以从控制和监控两个层面进行账户管理。