賬號登陸保護

一、建議啟用【虛擬MFA認證】(多因素認證)，在登入時進行二次身份驗證；

二、建議啟用【密碼策略設定】，要求密碼長度10位以上，包含大小寫字母、數字、特殊符號，並且設定密碼有效期、歷史密碼檢查策略、密碼重置約束策略、子使用者登入過期時間；

三、建議啟用【登入IP保護】，設定登入IP白名單，只允許白名單範圍IP能夠登入控制檯；

四、建議僅允許透過堡壘機對內部專區的雲主機進行遠端管理。

賬號操作保護

建議啟用【操作保護】，在控制檯進行關鍵操作時對操作人進行驗證，進一步提高賬號安全性。

一、建議使用IAM(身份管理與資源訪問控制)建立子賬號將使用者管理、許可權管理與資源管理分離；

二、建議主/子賬號繫結使用者的員工郵箱及手機號，可定位具體自然人；

三、子賬號遵循最小授權原則，應授予剛好滿足使用者工作所需許可權，不宜過度授權，一旦遇到風險及時撤銷使用者許可權，例如：

四、不再需要的的使用者許可權應及時撤銷處理。

建議啟用【操作審計】(Audit Trail)，儲存內部重點賬號的所有操作記錄，實現精確追蹤、還原使用者行為審計、資源變更追查及合規審查。

一、禁止為根賬號建立AK，由於根賬號對名下資源有完全控制許可權，為避免因AK洩露所帶來的災難性損失；

二、控制檯使用者與API使用者分離,禁止一個IAM使用者同時建立用於控制檯操作的登入密碼和用於API操作的訪問金鑰，應只給使用者建立登入密碼，只給系統或應用程式建立訪問金鑰；

三、子賬號AK遵循最小授權原則，應授予剛好滿足使用者工作所需許可權，不宜過度授權，例如：

四、應用程式建議啟用【IP白名單】，限制應用程式的訪問IP，所有的資料訪問請求應來自於企業內部網路；

五、不再需要的的使用者許可權應及時撤銷處理。

本文介紹了京東雲提供的一些賬號安全管理最佳實踐能力，請掌握並持續遵循這些最佳實踐。

點選“ 閱讀原文 ”

使用京東雲來體驗最佳實踐