用户与组管理
通过阿里云控制台可快速创建服务器用户,建议为每个业务场景创建独立用户账户。操作路径:控制台 > 计算 > 实例 > 实例详情 > 用户列表,点击创建用户并设置密码策略。用户组管理功能允许批量设置权限,例如将开发人员加入「开发组」统一授予测试环境访问权限。
- 使用
useradd命令创建系统用户 - 通过
usermod将用户加入指定组 - 配置用户SSH密钥登录方式
角色与权限分配
角色管理支持精细化权限控制,典型场景包括数据库管理员角色(DBA Role)和运维监控角色(Ops Role)。建议遵循最小权限原则,通过预置策略模板实现:
- 只读权限:
AliyunECSReadOnlyAccess - 运维权限:
AliyunECSFullAccess - 自定义策略:组合API操作权限
安全组配置
安全组作为虚拟防火墙,需根据业务需求设置入方向/出方向规则。建议采用分层安全策略:
| 协议类型 | 端口范围 | 授权对象 |
|---|---|---|
| SSH | 22 | 企业办公IP段 |
| HTTP | 80 | 0.0.0.0/0 |
| HTTPS | 443 | 0.0.0.0/0 |
通过安全组ID实现跨实例权限继承,避免重复配置。
权限审核与撤销
定期执行权限审计是安全运维的重要环节,推荐操作流程:
- 使用RAM的访问控制日志分析异常操作
- 通过策略模拟验证权限有效性
- 执行
RemoveUserFromGroup移除离职人员权限
紧急情况下可通过「立即生效」功能实时撤销高危权限。
阿里云服务器权限管理体系通过用户组、角色、安全组的三层控制架构,实现从账号到资源的立体化防护。建议结合RAM策略版本控制功能,确保权限变更可追溯、可回滚。定期执行权限审查(建议季度周期)可有效降低越权访问风险。
