阿里云 访问控制RAM

https://help.aliyun.com/product/28625.html为用户分配最小权限

别名主要用于 RAM 用户登录以及成功登录后的显示名。强烈建议您给主账号绑定多因素认证。设置MFAhttps://help.aliyun.com/document_detail/28635.html安装虚拟MFA应用程序基于TOTP(Time-Based One-Time Password)的动态密码生成器.动态口令生成

建议您为应用程序周期性更换AK，避免因为AK泄露导致风险。
创建自定义授权策略如果您有更细粒度的授权需求，比如授权用户bob只能对oss://sample_bucket/bob/下的所有对象执行只读操作、而且限制IP来源必须为您的公司网络(可以通过搜索引擎查询“我的IP”来获知您的公司网络IP地址)，那么您可以通过创建自定义授权策略来进行访问控制。在创建自定义授权策略时，您需要了解授权策略语言的基本结构和语法，相关内容的详细描述请参考授权策略语言描述。给RAM用户授权选择“用户管理”，选择相应的用户，点击“授权”。或者，进入用户详情页面-> 用户授权策略，在弹窗中选择合适的授权策略名称进行授权即可。安全实践：为根账户绑定MFA，每次使用根账户时都强制使用多因素认证。如果您创建了RAM用户，并且给用户授予了高风险操作权限（比如，停止虚拟机，删除存储桶），那么建议您给RAM用户绑定MFA。为用户登录配置强密码策略遵循最小授权原则使用策略限制条件来增强安全性比如，授权用户Alice可以关停ECS实例，限制条件是Alice必须在指定时间、并且您公司网络中执行该操作。不要为根账户创建访问密钥由于根账户对名下资源有完全控制权限，所以为了避免因访问密钥泄露所带来的灾难性损失，不建议您创建根账号访问密钥并使用该密钥进行日常工作。将控制台用户与API用户分离不建议给一个RAM用户同时创建用于控制台操作的登录密码和用于API操作的访问密钥。通常只给员工创建登录密码，给系统或应用程序只创建访问密钥。使用带IP限制条件的授权策略进行授权授予所有的特权操作必须受IP条件限制（acs:SourceIp）。那么，即使RAM用户的登录密码或AccessKey泄露，只有攻击者没有渗透进入您的可信网络，那么攻击者也无能为力。