权限收紧前先摸清业务路径

我做过一次内部权限收紧，刚开始想得太简单，以为把高权限账号砍掉、强制 MFA、审计日志打开就行。结果第一周就被业务追着打，因为有些服务账号被人当成自动化脚本入口用了很多年，没人登记。 后面我改了做法。先拉登录日志和 API 调用日志，看哪些账号真的在用，哪些是长期不用但权限很高。对服务账号单独梳理 owner、用途、来源 IP、token 轮换周期。能改最小权限就改最小权限，不能马上改的先放到观察名单，不要一刀切把生产任务干停。 安全落地最难的是别只站在安全视角说话。你要告诉业务：这条权限为什么危险，改完会不会影响发布，出问题怎么临时恢复。审计也一样，日志要能查到人、时间、动作和资源，不然出了事只能猜。