前言
云端安全小建议的系列文章,是由腾讯云账号与权限团队的一线开发人员推出的关于用户安全的小建议。该系列文章旨在帮助腾讯云用户能够充分利用腾讯云提供的产品特性,安全的解决自己在实际生产中的遇到的问题。文章中会提到很多应用场景以及错误的解决方法和正确的安全的解决方法。该系列文章不仅会有场景分析还会有技术分析,所以只要是腾讯云的用户,无论是技术小白用户还是技术大神都可以一起来讨论和实践。对于用户提出的安全问题,我们会第一时间跟进,站在平台方的角度给出安全合理的解决方案。
万事俱备就差个程序员了
在实际应用场景中,我们经常会遇到"就差一个程序员了"的激动时刻。在使用腾讯云的过程中我们也会遇到这样的情形,服务器也买好了,数据库也买好了,但是少了一个会使用这些资源的"关键人物",于是我们就通过各种途径找到了这个"关键人物",我们暂且称这个关键认为为K。K这个时候提出,让他帮忙也可以,但是必须要把这些资源交到他手上才行。我们仔细一想,K的这个条件很合理,没有理由拒绝。于是就答应了K的条件,那么问题来了,我们应该怎么把K需要的资源给他呢?
这个时候,我们想到的方法可能就是把账号的用户名和密码给到K,这样既简单有体现出了自己的诚意。但是这样做真的合理吗?这样的诚意真能换来K的忠诚吗?
真实案例
某天下午我们正在开心的码着代码,忽然接到一线人员的电话,电话那头很紧张的说:不好了,我们有个用户的账号被盗了。听到这个消息我们马上放下手中钟爱的代码,马上投入到帮助用户解决问题的漫漫之路。这个时候我们甚至比用户还要紧张,毕竟我们是一家后起之秀的ToB的公司,最注重的便是用户在我们平台上的安全。经过与用户的短暂沟通,我们发现了一个细节,用户说自己在网上找到了一个自称可以帮助自己建设网站的工程人员。用户说自己有腾讯云的账号,并且也购买了机器。于是没有多想就把自己的腾讯云账号给到了这个人。但是第二天用户便发现自己的账号登不上了,并且自己的CVM的密码也被修改了。
正确的处理姿势
首先我们要有一个意识,腾讯云是一个ToB的服务提供商,我们在上面购买的服务也是为了做生意的。所以此时此刻你已不再是一个Client,而是一个Group,你是这个Group的Owner。万事俱备就差的那个程序员只不过是你这个Group的一个Member,作为Owner的你怎么能轻易的把自己的盟主地位让给别人呢?所以按照正常的思维,你应该是在你的Group中找到一个合适的职位给到这个不可替代的程序员,同时他也不会威胁到你的盟主地位。
账号密码就是象征着你盟主的地位的玉玺,所以不可以轻易告诉别人,就算是腾讯云的工作人员也不能给。总之这个玉玺只能掌握在你自己的手中。
对于用户这种要找程序员搞事情的场景,腾讯云也早有合理和科学的解决方案,你说巧不巧。这个方案不仅能稳固你的盟主地位,还能很好的制衡这个Group中的各个Member的权利。
第一步:登录腾讯云官网,跳转至访问管理页面。(https://console.cloud.tencent.com/cam/overview)
第二步:创建子账号(https://console.cloud.tencent.com/cam)
第三步:给子账号确定使用我们这个Group的资源方式,编程访问或者登录控制台。
第四步:给子账号授予特定的权限。
第五步:把这个子账号给到那个必不可少的程序员。
(第六步):在云审计上看到这个程序员可能有不轨的行为,怎么办?
下期预告
如何正确的使用云审计,发现不轨的member。
