一、定期更换登录密码，密码最好包括大小写字母、数字、特殊字符，不包含常见英文单词。管理员可以为指定账号开启定期更改密码功能，请参考：定期更改密码

二、遵循最小授权原则。在授权一个成员角色时，请授予刚好满足他工作所需的角色。如您公司的某运维人员工作职责只需要查看所有云主机的负载情况，那就只授予其“云主机只读”的角色。

三、开启API访问控制，只允许您公司的出口IP通过API管理云资源,而不是所有IP。您可以进入API产品，在API密钥中设置

小明是某高科技公司的技术骨干，后决定和几个老朋友一起出来创业。公司成立伊始，小明经朋友的推荐在Ucloud注册了一个账户（devops@xnasa.com），试用了uhost、eip、udb等云产品，几经评估，最终选择了云知芯作为其云服务提供商，并将之前试用的uhost、eip、udb正式续费一年，以此享受买10个月送2个月的优惠。

创业的艰辛自不必多谈，七八个人窝在一间几十平米的房子里，经过几个月的奋斗，新产品终于面世，外界反响还不错。考虑到帐号密码被泄露的可能性非常大，而一旦被泄露，对公司的前途影响简直不可想象。

小明在咨询了云知芯的技术支持后，知道云知芯提供微信动态密保和手机扫码登录两种双因子安全登录服务，其中微信密保支持使用微信绑定帐号，每次登录时除了要输入帐号密码，必须从微信获取动态验证码输入方可登录，不必安装或购买任何MFA设备。扫码登录更加便捷，只需要安装洋葱APP，每次登录时只需要使用洋葱APP扫码便可登录，完全免费。

几经考虑，小明选择了扫码登录的方案。手机随身携带，并在洋葱APP中开启了人脸识别，只有小明才可以启动洋葱APP，相对微信验证码，安全级别更加高而且算是正式告别了密码时代。

在对产品做了多次优化和升级后，用户数量越来越多，公司也进入了快速发展阶段，研发团队也已经高大数十人，所有人都使用devops@xnasa.com管理云资源既不方便，也不安全。

小明便启用了账号与权限管理服务，为每个有管理云资源需求的小伙伴都创建了一个帐号，并将这些帐号加入到devops@xnasa.com账户的唯一项目"x计划"内，这样每位小伙伴都能用自己的账号登陆云知芯的云控制台管理云资源，小明只要查看操作日志，就能知道哪位小伙伴对那些资源做了哪些操作。

后续小明又在项目管理员这个初始角色的基础下，创建了其他角色，并将其授予对应的子帐号。每个角色拥有特定的权限，比如web开发工程师这个角色只有Uhost这个产品的查看及操作权限，但没有创建与删除权限。如果某个帐号在『x计划』中的角色是web开发工程师，那么这个帐号便只有uhost这个产品的查看与操作权限。

在进行『x计划』的过程中，小明团队的几个小伙伴发现了一个新兴的市场机会，并将其命名为『y任务』。

为了确保业务安全，小明创建了一个新项目并命名为"y任务"。将负责『y任务』的小伙伴移入到"y任务"，由于这群不小伙伴不在负责x计划，因此也将他们移出"x计划"项目。

这样负责y任务的小伙伴便只能管理用于部署y任务的云资源，且y任务和x计划在不同的基础网络下，互不影响。