本文为您介绍了在火山引擎多云CDN产品中管理第三方云服务商账号时，应遵循的最佳实践，以保障您的云上资源与数据安全。

1. 禁止使用主账号（根用户）凭证

在任何情况下，都严禁使用您的云服务商主账号（或根用户）的 API 访问凭证（例如，AccessKey/SecretKey）接入多云CDN。
主账号是云账户的最高权限所有者，拥有对账户下所有资源的完全控制权，包括但不限于资源的创建、修改、删除，以及财务信息和用户身份的管理。将主账号凭证提供给任何第三方平台，都意味着将云环境的最高管理权限完全交出，这将使您的云资产面临极大的、不可估量的安全风险。
标准操作建议：
务必通过创建专用的访问控制子账号（例如，阿里云 RAM 用户、AWS IAM 用户）进行授权。为多云CDN创建一个专用子账号，您可以精确地控制其权限范围，从而将潜在风险降至最低。

2. 遵循最小权限原则

为多云CDN专用子账号授权时，必须严格遵循最小权限原则。这意味着您仅应授予该账号执行其在多云CDN上预定任务所需的最小权限集。

示例：
如果您的使用场景仅为通过多云CDN监控各云服务商的加速域名状态和流量数据，那么您只需授予该子账号相关的只读权限（例如，读取域名列表、查询监控数据），而无需授予创建域名、修改配置或删除资源等写入权限。

为了简化授权流程，多云CDN内置了权限检查功能。在您添加云服务商账号时，可以使用该功能检测当前凭证所关联的权限。如果检测到权限不足，系统将生成一份推荐的自定义权限策略，其中仅包含运行所有读取功能所必需的最小权限集。您可以直接复制此策略，到相应的云服务商平台为子账号进行配置。
标准操作建议：

• 从只读权限起步：初次配置时，应优先授予只读权限，以满足基本的域名同步和数据监控需求。
• 按需提升权限：当您需要在多云CDN上执行写操作（例如，批量刷新缓存、预热文件、新增域名）时，再逐步为子账号添加相应的写权限。
• 运用平台推荐策略：善用多云CDN提供的权限检查和策略推荐功能，以便快速、准确地完成授权。

3. 定期轮换访问凭证

API 访问凭证是访问您云资源的密钥。长期使用的凭证，即便是遵循了最小权限原则，也存在因意外暴露（例如，代码提交、日志记录）而被泄露的风险。
定期轮换 API 访问凭证是一项至关重要的安全措施。通过定期创建新凭证并停用旧凭证，可以显著缩短凭证泄露可能带来的风险窗口期。
标准操作建议：

• 建立轮换策略：根据您组织的安全要求，设定一个合理的凭证轮换周期，例如每 90 天轮换一次。
• 安全更新凭证：在多云CDN的 厂商管理 页面，您可以便捷地修改已添加账号的 API 访问凭证。在云服务商侧生成新凭证后，请立即在此处更新，并尽快在云服务商平台禁用或删除旧凭证。
• 监控凭证活动：利用云服务商提供的审计服务（例如，阿里云操作审计、AWS CloudTrail），定期检查凭证的使用情况，及时发现并移除不再使用的凭证。

4. 启用只读访问模式

为防止在多云CDN上对云服务商资源产生意外的写入操作，多云CDN为所有添加的账号默认启用了 只读访问 模式。
在此模式下，即便您为子账号授予了包含写操作的权限策略，多云CDN仍会主动阻止所有写操作的执行（例如，创建域名、修改配置、提交刷新/预热任务）。这为防止误操作提供了一层额外的安全保障。
当您确实需要通过多云CDN执行写操作时，可以暂时禁用该账号的只读模式。操作完成后，我们强烈建议您立即重新启用，以恢复至最安全状态。
在多云CDN的 厂商管理 页面，通过点击目标云服务商账号对应的 只读模式 开关，即可切换状态。

5. 确保数据同步功能开启

为确保多云CDN能够准确地展示和管理您在各个云服务商平台上的资源，必须保持数据同步功能的开启状态。
该功能使多云CDN可以定期从您的云服务商账号中拉取最新的加速域名列表、配置信息以及监控数据。关闭此功能将导致以下问题：

• 域名信息不一致：在云服务商平台新增或变更的域名无法同步至多云CDN，导致管理视图与实际情况不符。
• 监控数据缺失：无法在多云CDN的统一视图中查看各云服务商的流量、带宽等性能数据。
• 流量调度失效：依赖于准确域名信息的流量调度将无法正常工作。