為了幫助您安全地控制對天翼云云資源的訪問，請您遵循安全使用IAM的建議。

不給天翼云帳號創建訪問密鑰

天翼云帳號是您天翼云云資源歸屬、資源使用計費的主體，對其所擁有的資源及云服務具有完全的訪問權限。密碼與訪問密鑰（AK/SK）都是帳號的身份憑證，具有同等效力，密碼用于登錄界面控制臺，是您必須具備的身份憑證，訪問密鑰用于使用開發工具進行編程調用，是第二個身份憑證，為輔助性質，非必須具備。為了提高帳號安全性，建議您僅使用密碼登錄控制臺即可，不要給帳號創建第二個身份憑證（訪問密鑰），避免因訪問密鑰泄露帶來的信息安全風險。

不將訪問密鑰嵌入到代碼中

當您使用API、CLI、SDK等開發工具來訪問云服務時，請勿直接將訪問密鑰嵌入到代碼中，減少訪問密鑰被泄露的風險。

創建單獨的IAM用戶

如果有任何人需要訪問您天翼云帳號中的資源，請不要將帳號的密碼共享給他們，而是在您的帳號中給他們創建單獨的IAM用戶并分配相應的權限，同時，作為天翼云帳號主體，建議您不使用帳號訪問天翼云，而是為自己創建一個IAM用戶，并授予該用戶管理權限，以使用該IAM用戶代替帳號進行日常管理工作，保護帳號的安全。

授予最小權限

最小權限原則是標準的安全建議，您可以使用IAM提供的系統權限，或者自己創建自定義策略，給帳號中的用戶僅授予剛好能完成工作所需的權限，通過最小權限原則，可以幫助您安全地控制用戶對天翼云云資源的訪問。

同時，建議為使用API、CLI、SDK等開發工具訪問云服務的IAM用戶，授予自定義策略，通過精細的權限控制，減小因訪問密鑰泄露對您的帳號造成的影響。

開啟虛擬MFA功能

Multi-Factor Authentication (簡稱MFA) 是一種非常簡單的安全實踐方法，建議您給天翼云帳號以及您帳號中具備較高權限的用戶開啟MFA功能，它能夠在用戶名和密碼之外再額外增加一層保護。啟用MFA后，用戶登錄控制臺時，系統將要求用戶輸入用戶名和密碼（第一安全要素），以及來自其MFA設備的驗證碼（第二安全要素）。這些多重要素結合起來將為您的賬戶和資源提供更高的安全保護。

MFA設備可以基于硬件也可以基于軟件，系統目前僅支持基于軟件的虛擬MFA，虛擬MFA是能產生6位數字認證碼的應用程序，此類應用程序可在移動硬件設備（包括智能手機）上運行，非常方便。

設置敏感操作

設置敏感操作后，如果您或者您帳號中的用戶進行敏感操作時，例如刪除資源，需要進行驗證碼驗證，避免誤操作帶來的風險和損失。

定期修改身份憑證

如果您不知道自己的密碼或訪問密鑰已泄露，定期進行修改可以將不小心泄露的風險降至最低。

• 定期更改賬號密碼可以通過賬號中心-密碼修改進行。
• 輪換訪問密鑰可以通過創建兩個訪問密鑰進行，將兩個訪問密鑰作為一主一備，一開始先使用主訪問密鑰一，一段時間后，使用備訪問密鑰二，然后在控制臺刪除主訪問密鑰一，并重新生成一個訪問密鑰，在您的應用程序中定期輪換使用。

刪除不需要的身份憑證

對于僅需要登錄控制臺的IAM用戶，不需要使用訪問密鑰，請不要給他們創建，或者及時刪除訪問密鑰。您還可以通過帳號中IAM用戶的“最近一次登錄時間”，來判斷該用戶的憑證是否已經屬于不需要的范疇，對于長期未登錄的用戶，請及時修改他們的身份憑證，包括修改密碼和刪除訪問密鑰。