访问管理安全实践教程

安全设置概述
在企业的实际应用场景中，随着业务的开展，账号下会有越来越多的资源，也会有不同部门、不同岗位的员工需要访问腾讯云，这让企业对资源的安全管理有了强烈需求，需要建立安全、完善的资源控制体系。
不同岗位的员工分工不同，各司其职。
相同岗位的员工管理的资源可能不同。
员工对资源的访问方式多种多样，资源泄露风险高。
员工离开组织时，需要收回其对资源的访问权限。
员工账号使用情况需要进行回溯和审计。
通过访问管理 CAM，您可以统一分配账号权限、集中管控账号资源，遵循我们的安全设置建议，建立安全、完善的资源权限管理体系。
登录安全
1. 使用子账号访问腾讯云
请尽量不要使用主账号的身份凭证访问腾讯云，更不要将身份凭证共享给他人。一般情况下，应该为所有访问腾讯云的用户创建子账号，同时授权该子账号相应的管理权限。相关设置请参见 用户类型。
2. 使用组给子账号分配权限
按照工作职责定义好组，并给组分配相应的管理权限。然后把用户分配到对应的组里。这样，当您修改组的权限时，组里相关用户的权限随即发生变更。另外，当组织架构发生调整时，只需要更新用户和组的关系即可。相关设置请参见 用户组。
3. 使用不同的子账号管理用户、权限和资源
建议同一个子账号不同时管理用户、权限和资源。应该让部分子账号管理用户，部分子账号管理权限，部分子账号管理其他云资源。
不建议为一个 CAM 用户同时创建用于控制台操作的登录密码和用于 API 调用的访问密钥。具体如下：
编程访问：只需要通过 API 访问资源，创建访问密钥即可。
腾讯云控制台访问：只需要通过控制台操作资源，设置登录密码即可。
4. 使用子账号访问腾讯云
不要使用主账号的身份凭证访问腾讯云，更不要将身份凭证共享给他人。一般情况下，应该为所有访问腾讯云的用户创建子账号，同时授权该子账号相应的管理权限。相关设置请参见 用户类型。
5. 保护 CAM 用户凭证，以防止未经授权的使用
保护您的 CAM 用户凭证安全，防止未经授权的使用。请勿与任何人共享您的用户密码、MFA、访问密钥。
身份安全
1. 使用基于角色的访问控制
CAM 的角色是一种虚拟用户，与子账号、协作者或接收消息者这类实体用户不同。角色同样可被授予策略，使用基于角色的访问控制，根据实际场景进行合适的角色分配。详情请参见 角色概述。
腾讯云账号、产品服务、产品资源（例如工作负载、实例等） 身份提供商等均可作为角色载体，角色并不是唯一地与某个账号绑定关联。角色没有关联的持久证书（密码或访问密钥），主账号仅在申请角色时需要使用持久证书，在用户担任某个角色时，则会动态创建临时证书并为用户进行相应访问时提供该临时证书，即可通过临时密钥签名调用腾讯云基础服务的开放 API 来访问用户的云资源。
2. 勿为根用户创建访问密钥
访问密钥允许您在命令行界面中运行命令或使用其中一个腾讯云 SDK 中的 API 操作。强烈建议您不要为根用户创建访问密钥对，因为根用户对账户中的所有腾讯云服务和资源拥有完全访问权限，包括账单信息。
3. 降低特权账户的泄露风险
 通过如下方式降低特权云账户的泄露风险：
具有减少访问权限的人数以降低恶意用户窃取的可能性，或合法用户误操作导致的泄露风险。
清除离职员工管理员账户。设置账户清除流程，在员工离开组织时禁用或删除管理员账户。
关键管理员账户，不允许执行生产任务（例如，浏览和电子邮件）的管理工作站。 保护管理员账户免受使用浏览和电子邮件的攻击途径的侵害。
4. 为用户开启 SSO 单点登录功能
开启 SSO 单点登录后，企业内部账号进行统一的身份认证，实现使用企业本地账号登录并访问腾讯云云资源。
相关信息请参见 用户 SSO 概述。
5. 确保账户恢复机制可访问
请务必制定管理根用户凭证恢复机制的流程，以防在紧急情况（例如接管您的管理账户）下需要访问该机制。
确保您可以访问根用户电子邮件收件箱，以便可以重置丢失或忘记的 root 用户密码。相关设置请参见 重置登录密码。
权限安全
1. 最小权限原则
最小权限原则是一项标准的安全原则。即仅授予执行任务所需的最小权限，不要授予更多无关权限。例如，一个用户仅是 CDN 服务的使用者，那么不需要将其他服务的资源访问权限（如 COS 读写权限）授予给该用户。
2. 为 CAM 用户配置强密码策略
您可以通过 CAM 控制台设置密码策略，例如：密码长度、密码中必须包含元素等。如果允许 CAM 用户更改登录密码，则应该要求 CAM 用户创建强密码并且定期轮换登录密码或访问密钥。
3. 不要为腾讯云主账号创建访问密钥
访问密钥用于 API 调用访问，登录密码用于控制台访问，两者具有同样的权限。由于主账号对名下资源有完全控制权限，为了避免因访问密钥泄露带来的安全风险，不建议您为主账号创建访问密钥并使用该访问密钥进行日常工作。
您可以为 CAM 用户创建访问密钥，使用 CAM 用户进行日常工作。
相关操作请参见 子账号访问密钥管理。
4. 开启 MFA 保护
为增强账号安全性，建议您为所有账号绑定 MFA，为主账号及子账号都开启登录保护和敏感操作保护。对于支持邮箱登录或者微信登录的强烈推荐进行 MFA 二次验证。开启 MFA 后，账号登录及敏感操作需进行二次校验。相关设置请参见 为协作者设置安全保护、为子用户设置安全保护。
5. 定期轮换身份凭证
建议您或 CAM 用户要定期轮换登录密码或云 API 密钥。这样可以让身份凭证泄露情况下的影响时间受限。
主账号密码设置请参见 账号密码。
子用户密码设置请参见 子用户重置密码。
密钥安全
1. 删除不需要的证书和权限
删除用户不需要的证书以及用户不再需要的权限。尽量减少访问凭证泄露后带来的安全风险。
2. 启用条件访问
云上用户可能会从任意位置访问云上资源。 因此需要确保这些访问符合安全性。 仅从用户身份认证角度关注是否可访问资源并不全面。还应考虑谁（身份）可以且如何（条件）访问资源。 
常见的方式是通过 CAM Policy 中自定义策略 condition 条件来限制子账号访问条件，例如限制访问 IP，设置成功后，子账号将通过所设置的 IP 管理主账号下的资源，或者拒绝子账号通过设置的 IP 管理主账号下资源，详情请参见 限制 IP 访问。
3. 使用策略条件来增强安全性
尽可能的为策略定义更精细化的条件，约束策略生效的场景，强化安全性。如约束用户必须在指定的时间，指定的服务器上执行某些操作等。
相关设置请参见 元素参考 condition。
审计安全
1. 监控 CAM 账号的操作记录
您可以使用 腾讯云操作审计 的日志记录功能来确定 CAM 用户在您的账户中进行了哪些操作，以及使用了哪些资源。日志文件会显示操作的时间和日期、操作的源 IP、哪些操作因权限不足而失败等。相关信息请参见 查看操作记录。
遵循最佳安全设置建议，在使用腾讯云时，综合利用这些保护机制，建立安全完善的资源控制体系，可以更有效地保护账号及资产的安全。
更多信息
您可以通过下载用户凭证报告获取腾讯云所有子账号及其用户凭证状态，包含控制台登录密码、访问密钥和账号安全设置。您可以使用该报告进行合规性审计。相关信息请参见 下载安全分析报告。
安全实践教程

本页目录：

安全设置概述

登录安全

1. 使用子账号访问腾讯云

2. 使用组给子账号分配权限

3. 使用不同的子账号管理用户、权限和资源

4. 使用子账号访问腾讯云

5. 保护 CAM 用户凭证，以防止未经授权的使用

身份安全

1. 使用基于角色的访问控制

2. 勿为根用户创建访问密钥

3. 降低特权账户的泄露风险

4. 为用户开启 SSO 单点登录功能

5. 确保账户恢复机制可访问

权限安全

1. 最小权限原则

2. 为 CAM 用户配置强密码策略

3. 不要为腾讯云主账号创建访问密钥

4. 开启 MFA 保护

5. 定期轮换身份凭证

密钥安全

1. 删除不需要的证书和权限

2. 启用条件访问

3. 使用策略条件来增强安全性

审计安全

1. 监控 CAM 账号的操作记录

更多信息
