基于阿里云的企业安全最佳实践

账户安全管理
1、为云账户和高风险权限RAM用户启用多因素认证（MFA）。
2、授权予高风险特权操作时，使用带IP和MFA限制条件的授权策略进行授权。
3、分离用户管理、权限管理与资源管理的RAM用户，分权制衡。
4、使用群组给RAM用户分配权限。
5、善用STS安全令牌服务，为临时用户提供短期访问资源的权限凭证。
6、为云账户和RAM登录用户配置强密码策略。
7、不要为云账户（主账号）创建Access Key，避免AK泄漏的巨大风险。
8、定期轮转用户登录密码和Access Key。
9、将控制台用户与API用户分离。
10、使用策略限制条件来增强安全性，比如访问源IP，时间等。比如，授权用户Alice可以关停ECS实例，限制条件是Alice必须在指定时间、并且用户公司网络中执行该操作。
11、及时调整和撤销RAM用户不再需要的权限。
12、遵循最小授