應用場景

通過配置子用戶相關設置，實現訪問控制管理，提升賬號和數據安全。

前提條件

已開通對象存儲（經典版）Ⅰ型服務。

具體方法

創建獨立的IAM子用戶

一個賬戶可以建立多個子用戶，您可以通過IAM為不同的操作人員創建獨立的IAM子用戶。根據操作人員的職能范圍，授予相應的管理權限。同時建議您也為根用戶創建子用戶，并授予該子用戶管理權限，使用該用戶進行日常管理工作，保護賬戶安全。

控制臺登錄用戶與編程用戶分離

建議通過控制臺登錄用戶與編程用戶分離，以便更好的分配權限：

• 控制臺登錄用戶：通過控制臺登錄的用戶，只需設置控制臺登錄密碼。
• 編程用戶：通過API訪問的用戶，只需創建訪問密鑰。

分組進行授權

賬戶有多個用戶時，通過用戶組將用戶進行分類，同類權限的用戶分到一組。通過為用戶組授權，使組內用戶獲取用戶組具有的權限。

授予最小權限

建議您為IAM用戶授予最小權限，您可以使用IAM用戶制定策略，給IAM用戶僅授予完成工作所需的權限，通過授予最小權限，可以幫您安全的控制IAM用戶對OOS的管理。

為IAM用戶配置強密碼策略

通過IAM可以為控制臺登錄的用戶設置強密碼策略。例如密碼最小長度、密碼中必須包含元素、密碼不與歷史密碼相同、強制定期更換密碼等，確保用戶使用復雜度高的強密碼。

開啟MFA認證

為IAM用戶開啟多因子認證（Multi-factor authentication，MFA），提高賬號的安全性，在用戶名和密碼之外再增加一層安全保護。

使用策略限制條件

您可以在IAM策略中設置用戶在特定時間、特定請求IP的條件下才能操作指定的OOS資源，而其他情況下不能操作。

根賬戶不使用訪問密鑰

由于根賬戶對名下資源有完全的控制權，為了避免因訪問密鑰泄露帶來的風險，不建議根用戶使用訪問密鑰。

建議您創建子用戶，并授予該子用戶管理權限，使用該用戶進行日常管理工作，保護賬戶安全。

開啟操作跟蹤功能

開啟OOS的操作跟蹤功能，記錄用戶在賬戶中做了哪些操作、使用了哪些資源。操作跟蹤日志會記錄操作的類型、時間、操作的源IP、操作人員等，并且可以長久的保存在OOS存儲桶中。

將IAM與操作跟蹤功能結合使用，您可以從控制和監控兩個層面進行賬戶管理。