APM安全配置建议
本文提供了APM使用过程中的安全最佳实践,旨在为提高整体安全能力提供可操作的规范性指导。根据该指导文档您可以持续评估APM资源的安全状态,更好地组合使用APM提供的多种安全能力,提高对运维数据的整体安全防御能力,保护存储在平台内的运维数据不泄露、不被篡改,以及数据传输过程中不泄露、不被篡改。
本文从以下几个维度给出建议,您可以评估使用情况,并根据业务需要在本指导的基础上进行安全配置。
正确使用APM访问密钥并进行自定义加密
- 建议妥善保管并轮换APM访问密钥
APM访问密钥(AK/SK,Access Key ID/Secret Access Key)是您在华为云APM服务的长期身份凭证,探针携带密钥ID(AK)上报数据,华为云通过该AK识别访问用户的身份,通过SK对请求数据进行签名认证,用于确保上报请求的机密性、完整性和请求者身份的正确性。建议您妥善保管APM访问密钥;同时您可以通过访问密钥界面的创建、删除与禁用功能进行密钥轮换操作。
- 建议自定义函数对认证信息进行自定义加密
为了更好地保护您的身份认证信息,华为APM服务提供了一个密钥自定义加密通道。您可以通过自定义函数对AK/SK进行加密,并将解密函数放置到探针指定目录中。业务启动时探针将通过您提供的自定义解密函数进行密钥解析,从而更好地保护用户隐私,防止身份认证信息泄露。详情请参见访问密钥。
通过APM提供的访问控制能力合理分配用户权限
- 建议对不同角色的IAM用户设置不同的权限,避免权限过大导致数据泄露或被误操作
为更好地进行权限隔离和管理,建议您配置独立的IAM管理员,授予IAM管理员IAM策略的管理权限。IAM管理员可以根据您业务的实际诉求创建不同的用户组,用户组对应不同的数据访问场景,通过将用户添加到用户组并将IAM策略绑定到对应用户组,IAM管理员可以为不同职能部门的员工按照最小权限原则授予不同的数据访问权限。详情请参见登录保护及登录验证策略。
- 建议通过企业项目进行业务逻辑隔离
您在华为云账号中给员工创建IAM用户组后,可以在企业管理服务控制台创建企业项目,并在企业项目中为用户组授予相应的权限,实现人员授权及权限控制。企业项目可将企业分布在不同区域的资源按照企业项目进行统一管理,同时可以为每个企业项目设置拥有不同权限的用户组。详情请参见通过IAM为企业中的用户和用户组进行授权
