基本ガイドライン
1.MFA保護を有効化する
アカウントのセキュリティ強化のため、すべてのアカウントにMFAの紐付けをお勧めします。ルートアカウント及びサブアカウントに対して、ログイン保護とセンシティブ操作保護を有効化してください。メールログインをサポートするアカウントには、MFAによる二段階認証を強く推奨します。MFA有効化後、アカウントログイン及び機密操作には二段階認証が必要となります。関連設定については、協作者へのセキュリティ保護設定及びサブユーザーへのセキュリティ保護設定を参照してください。 2.サブアカウントを使用してTencent Cloudにアクセスする
ルートアカウントの認証情報を使用してTencent Cloudにアクセスしないでください。さらに、認証情報を他人と共有しないでください。一般的に、Tencent Cloudにアクセスするすべてのユーザーに対してサブアカウントを作成し、同時にそのサブアカウントに適切な管理権限を付与することをお勧めします。関連設定については、ユーザータイプを参照してください。 3.グループを使用してサブアカウントに権限を割り当てる
職務内容に基づいてグループを定義し、グループに適切な管理権限を割り当てます。次に、ユーザーを対応するグループに割り当てます。これにより、グループの権限を変更すると、関連するユーザーの権限が即座に変更されます。さらに、組織構造が調整される場合、ユーザーとグループの関係を更新するだけで済みます。関連設定については、ユーザーグループを参照してください。 4.最小権限の原則
最小権限の原則は標準的なセキュリティ原則です。つまり、タスクを実行するために必要な最小限の権限のみを付与し、それ以上の無関係な権限を付与しないことです。例えば、あるユーザーが単にCDNサービスの利用者である場合、他のサービス(例:COSの読み書き権限)へのリソースアクセス権限をそのユーザーに付与する必要はありません。
5.サブアカウントによるユーザー、権限、リソースの管理
同じサブアカウントがユーザー、権限、およびリソースを同時に管理しないことを推奨します。一部のサブアカウントにユーザー管理を担当させ、一部のサブアカウントに権限管理を担当させ、一部のサブアカウントに他のクラウドリソース管理を担当させるべきです。
6.認証情報の定期ローテーション
アカウントのセキュリティ向上のため、ご自身またはCAMユーザーは定期的にログインパスワードまたはTencentCloud APIキーのローテーションを行うことをお勧めします。これにより、認証情報が漏洩した場合の影響時間を制限できます。
ルートアカウントのパスワード設定については、アカウントパスワードを参照してください。
サブユーザーのパスワード設定については、サブユーザーのパスワードリセットを参照してください。 7.不要な証明書と権限を削除する
ユーザーが不要な証明書および不要になった権限を削除することをお勧めします。これにより、認証情報が漏洩した場合のセキュリティリスクを最小限に抑えられます。
8.ポリシー条件を使用してセキュリティを強化する
ポリシーに対して可能な限り細かい条件を定義し、ポリシーが有効となるシナリオを制約することで、セキュリティを強化します。例えば、ユーザーが特定の時間帯や指定されたサーバー上でのみ特定の操作を実行できるように制限するなどが挙げられます。
関連設定については、要素リファレンス conditionを参照してください。