身份認證安全

• 嚴控主賬號憑證：天翼云主賬號是資源歸屬與計費的核心主體，擁有全量資源訪問權限。建議僅使用密碼登錄控制臺，不創建主賬號訪問密鑰（AK/SK） ，減少因密鑰泄露導致的全局風險；若需通過 API/SDK 調用服務，請勿直接將訪問密鑰嵌入到代碼中，減少訪問密鑰被泄露的風險。

• 啟用多因素認證（MFA）：MFA是一種非常簡單的安全實踐方法，建議您給天翼云帳號以及您帳號中具備較高權限的用戶開啟MFA功能，它能夠在用戶名和密碼之外再額外增加一層保護。啟用MFA后，用戶登錄控制臺時，系統將要求用戶輸入用戶名和密碼（第一安全要素），以及來自其MFA設備的驗證碼（第二安全要素）。這些多重要素結合起來將為您的賬戶和資源提供更高的安全保護。

• 創建單獨的IAM用戶:天翼云統一身份認證（IAM）允許用戶創建多個子用戶，并為每個子用戶分配不同的權限策略。如果有任何人需要訪問您天翼云帳號中的資源，請不要將帳號的密碼共享給他們，而是在您的帳號中給他們創建單獨的IAM用戶并分配相應的權限，同時，作為天翼云帳號主體，建議您不使用帳號訪問天翼云，而是為自己創建一個IAM用戶，并授予該用戶管理權限，以使用該IAM用戶代替帳號進行日常管理工作，保護帳號的安全。

訪問控制安全

基于 “最小權限原則” 與 “職責分離原則”，通過 IAM 用戶組、策略配置等功能，實現權限的精細化管控與團隊間隔離。

• 授予最小權限：使用IAM提供的系統權限，或者自己創建自定義策略，給帳號中的用戶僅授予剛好能完成工作所需的權限，通過最小權限原則，可以幫助您安全地控制用戶對天翼云云資源的訪問。

• 人員授權 ：用戶可以為不同的用戶分配不同的角色和權限。例如，管理員可以擁有對所有資源的完全訪問權限，而普通用戶可能只能訪問特定的云服務器或存儲資源。通過合理分配權限，用戶可以確保每個用戶只能訪問他們需要的資源，從而降低安全風險。

• 資源組細粒度資源管理 ：天翼云支持資源組功能，用戶可以將資源分組管理，并為每個資源組設置不同的訪問策略。這樣，用戶可以更方便地管理資源，并確保只有授權用戶才能訪問特定資源組中的資源。

動態維護權限與憑證

• 定期修改身份憑證：定期進行密碼或密鑰修改可以將不小心泄露信息的風險降至最低。定期更改賬號密碼可以通過賬號中心-密碼修改進行。輪換訪問密鑰可以通過創建兩個訪問密鑰進行，將兩個訪問密鑰作為一主一備，一開始先使用主訪問密鑰一，一段時間后，使用備訪問密鑰二，然后在控制臺刪除主訪問密鑰一，并重新生成一個訪問密鑰，在您的應用程序中定期輪換使用。

• 定期審計權限配置：定期核查用戶組策略與用戶權限，清理冗余策略（如已停用服務的權限）、回收離職人員賬號，確保權限與當前業務匹配。

• 及時刪除不需要的身份憑證：對于僅需登錄控制臺的 IAM 用戶，不創建訪問密鑰，以降低安全風險。若已創建訪問密鑰，應及時刪除，避免不必要的安全隱患。此外，定期查看 IAM 用戶的“最近一次登錄時間”，判斷其憑證是否仍有必要保留。對于長期未登錄的用戶，應采取措施，及時修改其身份憑證，包括更新密碼和刪除訪問密鑰，以確保賬戶安全。