为了帮助您安全地控制对华为云资源的访问,请您遵循安全使用IAM的建议。
华为云帐号是您华为云资源归属、资源使用计费的主体,对其所拥有的资源及云服务具有完全的访问权限。密码与访问密钥(AK/SK)都是帐号的身份凭证,具有同等效力,密码用于登录界面控制台,是您必须具备的身份凭证,访问密钥用于使用开发工具进行编程调用,是第二个身份凭证,为辅助性质,非必须具备。为了提高帐号安全性,建议您仅使用密码登录控制台即可,不要给帐号创建第二个身份凭证(访问密钥),避免因访问密钥泄露带来的信息安全风险。
当您使用API、CLI、SDK等开发工具来访问云服务时,请勿直接将访问密钥嵌入到代码中,减少访问密钥被泄露的风险。
如果有任何人需要访问您华为云帐号中的资源,请不要将帐号的密码共享给他们,而是在您的帐号中给他们创建单独的IAM用户并分配相应的权限,同时,作为华为云帐号主体,建议您不使用帐号访问华为云,而是为自己创建一个IAM用户,并授予该用户管理权限,以使用该IAM用户代替帐号进行日常管理工作,保护帐号的安全。
IAM支持为用户设置编程访问、管理控制台访问方式,请参考如下说明为IAM用户设置访问方式:
最小权限原则是标准的安全建议,您可以使用IAM提供的系统权限,或者自己创建自定义策略,给帐号中的用户仅授予刚好能完成工作所需的权限,通过最小权限原则,可以帮助您安全地控制用户对华为云资源的访问。
同时,建议为使用API、CLI、SDK等开发工具访问云服务的IAM用户,授予自定义策略,通过精细的权限控制,减小因访问密钥泄露对您的帐号造成的影响。
Multi-Factor Authentication (简称MFA) 是一种非常简单的安全实践方法,建议您给华为云帐号以及您帐号中具备较高权限的用户开启MFA功能,它能够在用户名和密码之外再额外增加一层保护。启用MFA后,用户登录控制台时,系统将要求用户输入用户名和密码(第一安全要素),以及来自其MFA设备的验证码(第二安全要素)。这些多重要素结合起来将为您的账户和资源提供更高的安全保护。
MFA设备可以基于硬件也可以基于软件,系统目前仅支持基于软件的虚拟MFA,虚拟MFA是能产生6位数字认证码的应用程序,此类应用程序可在移动硬件设备(包括智能手机)上运行,非常方便。
在IAM控制台设置强密码策略,例如密码最小长度、密码中同一字符连续出现的最大次数、密码不能与历史密码相同,保证用户使用复杂程度高的强密码。
设置敏感操作后,如果您或者您帐号中的用户进行敏感操作时,例如删除资源、生成访问密钥等,需要输入密码和验证码进行验证,避免误操作带来的风险和损失。
如果您不知道自己的密码或访问密钥已泄露,定期进行修改可以将不小心泄露的风险降至最低。
对于仅需要登录控制台的IAM用户,不需要使用访问密钥,请不要给他们创建,或者及时删除访问密钥。您还可以通过帐号中IAM用户的“最近一次登录时间”,来判断该用户的凭证是否已经属于不需要的范畴,对于长期未登录的用户,请及时修改他们的身份凭证,包括修改密码和删除访问密钥,您还可以设置“帐号停用策略”来控制长期未使用的帐号到期自动停用。
在华为云ECS实例上运行的应用程序需要凭证才能访问其他华为云服务。若要以安全的方式提供应用程序所需的凭证,可使用ECS委托获取临时访问密钥。在ECS获取临时访问密钥,需要在IAM上对ECS授权,并对相应的弹性云服务器资源进行授权委托管理。ECS通过向IAM申请指定委托的临时凭证,从而安全访问资源。ECS会为您自动轮换这些临时凭证,从而确保每次申请的临时凭证安全、有效。
当您启动 ECS 实例时,您可指定实例的委托,以作为启动参数。在 ECS 实例上运行的应用程序在访问华为云资源时可使用委托的临时访问密钥,同时委托的权限将确定允许访问资源的应用程序。
您可以通过云审计服务(Cloud Trace Service,CTS)对IAM的关键操作事件进行收集、存储和查询,用于安全分析、合规审计、资源跟踪和问题定位等。为了方便查看IAM的关键操作事件,例如创建用户、删除用户等,建议您开启云审计服务。
您可以通过Maven的 toolkit-maven-plugin 插件完成SAE应用的自动化部署。本文介...
1、英特尔(R)至强(R)处理器5600系列 英特尔(R)至强(R) 5600 系列处理器...
本节通过调用一系列API使用2048镜像创建一个游戏工作负载为例,介绍使用CCE API...
一、前言 最近在用 Python 写一个小工具,这个工具主要就是用来管理各种资源的信...
详细的服务资费和费率标准,请参见 产品价格详情 。 密钥管理 用户需要为自己创...
TOP云 (west.cn)8月11日消息,最近 域名 圈内知名经纪人Jamie Zoch在其个人网...
问题现象 部署在SAE应用访问公网超时。 可能原因 SAE中的应用默认是不能出公网。...
调用BindSlb接口为应用绑定SLB。 调试 您可以在OpenAPI Explorer中直接运行该接...
怎么用 虚拟主机 做网站步骤?做网站可以用 云服务器 ,也可以用虚拟主机。下面...
在各行各业中,我们都得一直学习,无论你是编程新手还是经验丰富的开发人员,了...