1.3 账号与权限管理规范

一、适用范围与目标

• 适用于所有IT系统、云平台、自动化工具、数据库等涉及账号与权限的场景。
• 目标：实现账号全生命周期管理，权限最小化，提升安全性与合规性。

二、管理原则

1. 账号唯一、实名、可追溯
2. 权限分级、最小授权、定期复查
3. 严禁共用账号，敏感操作需多因子认证
4. 账号与权限变更需审批、留痕

三、详细规范

• 账号申请：需工单/流程，实名登记，指定用途与责任人
• 权限分级：RBAC模型，按业务、环境、操作类型分级授权
• 密码与密钥：强密码策略，定期更换，密钥集中管理，禁止明文存储
• 2FA与认证：关键系统强制开启二次认证，异常登录告警
• 账号回收：离职、岗位变动、长期不活跃账号需及时回收
• 审计与日志：所有账号操作全量审计，日志保留≥180天

四、操作流程

1. 账号申请 → 审批 → 创建 → 权限分配 → 通知责任人
2. 权限变更申请 → 审批 → 权限调整 → 审计记录
3. 账号回收申请/自动检测 → 审批 → 回收/禁用 → 审计记录
4. 定期权限复查 → 发现异常及时整改

五、实际案例

• 新员工入职，申请云平台账号，审批后分配只读权限，离职时账号回收
• 生产数据库操作需临时授权，操作后权限自动回收
• 检查发现某账号6个月未登录，自动禁用并通知责任人

六、账号申请模板

# 账号申请单
- 申请人：
- 申请系统：
- 用途说明：
- 责任人：
- 申请权限：
- 申请日期：
- 审批人：
- 备注：

七、注意事项

• 禁止共用账号，禁止弱密码，禁止明文存储密钥
• 账号与权限变更需全链路同步，防止遗留风险
• 定期复查权限，及时回收无用账号

八、参考资料

• 《阿里云账号与权限最佳实践》
• 《NIST 身份与访问管理指南》
• 团队内部账号管理制度