【最佳实践】巡检项：对象存储（COS）子账号访问不受限制

问题描述

某客户使用COS存储进行一些文件的存储，近期发现桶中出现了一些不是自己上传的文件、一些文件被删除了、桶的一些配置被篡改，用户反馈没有开放公有写的权限。经排查是由于给子账户开通了完全控制的权限。

该巡检项用于检查 COS 存储桶子账号权限范围，若子账号具有完全控制存储桶的权限，则存储桶可能存在安全风险。

解决方案

建议客户依据最小化权限原则为子账户赋予权限

[ 创建 CAM 子账号 ](https://cloud.tencent.com/document/product/598/13674)，

并为存储桶[ 授权子账号访问 COS ](https://cloud.tencent.com/document/product/436/11714)，

这样就可以收紧COS读写、基础配置等权限，杜绝了篡改的现象，保证了数据安全与业务合规。