<p class="shortdesc"></p> <section class="section" id="bestpractices2__section_jbl_4qx_kmb"><h2 class="doc-tairway">创建单独的RAM用户</h2> <p class="p">作为主账号的拥有者，为了保障主账号的安全，请您尽量不要使用主账号及登录凭证访问云平台，更不能将主账号的身份信息，尤其是登录凭证共享给任何其他人。通常情况下，我们建议您为其他用户创建RAM用户，每个RAM用户都有其独立的访问凭证。主账号可以为RAM用户赋予不同的管理权限，并且随时更改或者删除RAM用户的权限。请参见<a class="xref" href="/ssr/help/manage/ram/manual.usermgt.creatlogin.creatuser" target="_blank" rel="external noopener">创建子账号</a>和<a class="xref" href="/ssr/help/manage/ram/manual.usermgt.creatlogin.Authorization" target="_blank" rel="external noopener">为子账号授权</a>。</p> </section> <section class="section" id="bestpractices2__section_avn_4qx_kmb"><h2 class="doc-tairway">使用群组为RAM用户分配权限</h2> <p class="p">通常，一个组织内会有多个人具有相同的职责。为了方便对职责相同的用户进行分类管理，您可以通过群组来管理具备相同权限的一组用户。每个群组授予其相关的权限，然后将用户添加到该群组中。群组中的所有用户将继承该群组所具有的权限。这样，您就可以通过修改群组的权限来批量更改群组内所有用户的权限。请参见<a class="xref" href="/ssr/help/manage/ram/manual.groupmgt.creategroup" target="_blank" rel="external noopener">创建群组</a>和<a class="xref" href="/ssr/help/manage/ram/manual.groupmgt.Authorization2" target="_blank" rel="external noopener">为群组授权</a>。</p> </section> <section class="section" id="bestpractices2__section_ld4_4qx_kmb"><h2 class="doc-tairway">授予最小权限</h2> <p class="p">当您为用户或者群组授权时，请您遵循<strong class="ph b">最小权限</strong>这一标准安全原则，仅授予该用户或者该群组执行其职责范围内任务所需的最小权限。您可以使用系统提供的授权策略授权，若其无法满足您的授权需求时，您还可以自定义授权策略，进行更加精细化的权限控制，帮助您安全地控制RAM用户对云资源的访问或操作。</p> </section> <section class="section" id="bestpractices2__section_zpf_rvy_kmb"><h2 class="doc-tairway">控制台用户及API用户分离</h2> <p class="p">在创建用户时，您可以根据用户访问云资源的方式来创建相应的登录凭证，例如，</p> <ul class="ul"> <li class="li">若该RAM用户只需要通过控制台操作云资源，设置登录密码即可。</li> <li class="li">若该RAM用户为应用程序用户，需要通过OpenAPI访问云资源，创建访问密钥即可。</li> </ul> <p class="p">通常，不建议您同时为一个RAM用户同时创建用于控制台操作的登录密码和用于API操作的访问密钥。</p> </section> <section class="section" id="bestpractices2__section_ak4_4qx_kmb"><h2 class="doc-tairway">配置强密码策略</h2> <p class="p">为了RAM用户密码安全，您可以为RAM用户配置强密码策略。例如，设置密码最小长度、密码中同一字符连续出现的最大次数限制、密码不能与历史密码相同、密码有效期。请参见<a class="xref" href="/ssr/help/account/accoutc/accout_safe.acc_password.Set_policy" target="_blank" rel="external noopener">设置密码策略</a>。</p> </section> <section class="section" id="bestpractices2__section_pr4_4qx_kmb"><h2 class="doc-tairway">开启多因素认证</h2> <p class="p">为了提高安全性，我们建议您要求所有RAM用户启用 Multi-Factor Authentication (MFA) ，它是账号和密码之外再额外增加一层安全保护。 启用 MFA 后，在登录控制台时，系统除了要求输入用户名和密码之外，还需要输入 MFA 的动态验证码，通过双重安全认证为您的账户提供更高的安全保护。即时发生了泄露用户的密码或访问密钥的情况，由于需要额外的身份验证，非法用户仍然无法登录。</p> </section> <section class="section" id="bestpractices2__section_nj4_5sy_kmb"><h2 class="doc-tairway">开启联合认证</h2> <p class="p">壹账通金融云支持基于SAML2.0协议的单点登录，支持您使用已有的身份认证系统中的账号，单点登录壹账通金融云，管理壹账通金融云中的资源。</p> </section>