SEC03-02 按需分配合适的权限

权限管理应遵循按需分配、最小授权、职责分离原则。需要根据工作职责限定人员对于关键业务系统的访问权限，以免非必要人员或非授权人员访问到关键系统和敏感数据。如需要临时权限，应仅向用户授予有限的时间段内执行特定任务的权限，并且在任务完成后，应撤销访问权限。

• 风险等级

  高

• 关键策略
  • 按照IT工作职能划分用户组，将用户加入到与其匹配的用户组中。用户组是IAM用户的集合，IAM可以通过用户组功能实现用户的授权。
  • 优先基于用户组授权，而不是基于用户授权。
  • “admin”为系统缺省提供的管理员用户组，具有所有云服务资源的操作权限。避免将所有用户都加入admin用户组。
  • 遵循最小权限原则，仅授予用户组必要的最小权限，如某些用户组只能访问特定的云服务或者某些用户组仅有云服务资源的只读权限。
  • 避免IAM自定义策略中包含“*:*”管理权限。
  • 如果使用了企业项目，优先在企业项目中对用户组进行授权。如果需要针对账号内所有区域或特定区域内的所有资源进行统一授权，如将账号内所有企业项目的所有资源的访问权限授予统一资源管理组，则可以使用IAM项目进行授权，避免在各个企业项目中逐一授权，简化授权操作。
• 相关云服务和工具
  • 统一身份认证服务 IAM
  • 企业项目 EPS
  • 云堡垒机CBH：使用CBH限制对运维账号的使用和访问。CBH可用于集中管控运维账号访问系统和资源的权限，对系统和资源的访问权限进行细粒度设置。
  • 组织 Organizations：多账号场景使用Organizations云服务的服务控制策略（SCP）。组织管理账号可以使用SCP指定组织中成员账号的权限边界，限制账号内用户的操作。服务控制策略可以关联到组织、组织单元和成员账号。当服务控制策略关联到组织或组织单元时，该组织或组织单元下所有账号受到该策略影响。