Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Cómputo
Elastic Cloud Server
Bare Metal Server
Auto Scaling
Image Management Service
Dedicated Host
FunctionGraph
Cloud Phone Host
Huawei Cloud EulerOS
Redes
Virtual Private Cloud
Elastic IP
Elastic Load Balance
NAT Gateway
Direct Connect
Virtual Private Network
VPC Endpoint
Cloud Connect
Enterprise Router
Enterprise Switch
Global Accelerator
Gestión y gobernanza
Cloud Eye
Identity and Access Management
Cloud Trace Service
Resource Formation Service
Tag Management Service
Log Tank Service
Config
Resource Access Manager
Simple Message Notification
Application Performance Management
Application Operations Management
Organizations
Optimization Advisor
Cloud Operations Center
Resource Governance Center
Migración
Server Migration Service
Object Storage Migration Service
Cloud Data Migration
Migration Center
Cloud Ecosystem
KooGallery
Partner Center
User Support
My Account
Billing Center
Cost Center
Resource Center
Enterprise Management
Service Tickets
HUAWEI CLOUD (International) FAQs
ICP Filing
Support Plans
My Credentials
Customer Operation Capabilities
Partner Support Plans
Professional Services
Análisis
MapReduce Service
Data Lake Insight
CloudTable Service
Cloud Search Service
Data Lake Visualization
Data Ingestion Service
GaussDB(DWS)
DataArts Studio
IoT
IoT Device Access
Otros
Product Pricing Details
System Permissions
Console Quick Start
Common FAQs
Instructions for Associating with a HUAWEI CLOUD Partner
Message Center
Seguridad y cumplimiento
Security Technologies and Applications
Web Application Firewall
Host Security Service
Cloud Firewall
SecMaster
Data Encryption Workshop
Database Security Service
Cloud Bastion Host
Data Security Center
Cloud Certificate Manager
Situation Awareness
Managed Threat Detection
Blockchain
Blockchain Service
Servicios multimedia
Media Processing Center
Video On Demand
Live
SparkRTC
Almacenamiento
Object Storage Service
Elastic Volume Service
Cloud Backup and Recovery
Storage Disaster Recovery Service
Scalable File Service
Volume Backup Service
Cloud Server Backup Service
Data Express Service
Dedicated Distributed Storage Service
Contenedores
Cloud Container Engine
SoftWare Repository for Container
Application Service Mesh
Ubiquitous Cloud Native Service
Cloud Container Instance
Bases de datos
Relational Database Service
Document Database Service
Data Admin Service
Data Replication Service
GeminiDB
GaussDB
Distributed Database Middleware
Database and Application Migration UGO
TaurusDB
Middleware
Distributed Cache Service
API Gateway
Distributed Message Service for Kafka
Distributed Message Service for RabbitMQ
Distributed Message Service for RocketMQ
Cloud Service Engine
EventGrid
Dedicated Cloud
Dedicated Computing Cluster
Aplicaciones empresariales
ROMA Connect
Message & SMS
Domain Name Service
Edge Data Center Management
Meeting
AI
Face Recognition Service
Graph Engine Service
Content Moderation
Image Recognition
Data Lake Factory
Optical Character Recognition
ModelArts
ImageSearch
Conversational Bot Service
Speech Interaction Service
Huawei HiLens
Developer Tools
SDK Developer Guide
API Request Signing Guide
Terraform
Koo Command Line Interface
Distribución de contenido y cómputo de borde
Content Delivery Network
Intelligent EdgeFabric
CloudPond
Soluciones
SAP Cloud
High Performance Computing
Servicios para desarrolladores
ServiceStage
CodeArts
CodeArts PerfTest
CodeArts Req
CodeArts Pipeline
CodeArts Build
CodeArts Deploy
CodeArts Artifact
CodeArts TestPlan
CodeArts Check
Cloud Application Engine
aPaaS MacroVerse
KooPhone
KooDrive
Centro de ayuda/ Bare Metal Server/ Descripción general del servicio/ Seguridad/ Autenticación de identidad y control de acceso

Autenticación de identidad y control de acceso

Actualización más reciente 2024-06-25 GMT+08:00

Identity and Access Management (IAM) proporciona las funciones como la autenticación de identidad de usuario, la asignación de permisos y el control de acceso. Puede utilizar IAM para controlar de forma segura el acceso de los usuarios a sus BMS. Los permisos de IAM definen qué acciones en los recursos de la nube están permitidas o denegadas. Después de crear un usuario de IAM, agréguelo a un grupo de usuarios y conceda los permisos requeridos por BMS al grupo de usuarios. A continuación, todos los usuarios de este grupo recibirán automáticamente estos permisos.

Seguridad de la cuenta

Si es un administrador de empresa, puede usar IAM para crear un usuario y conceder permisos al usuario. Los empleados de empresa pueden usar la cuenta de usuario para acceder al sistema y no es necesario compartir la contraseña de la cuenta o el par de claves con ellos. Esto le ayuda a gestionar los recursos de manera eficiente. También puede configurar políticas de seguridad de cuentas para proteger estas cuentas de usuario y reducir los riesgos de seguridad para la información de su empresa.

Autorización de grano fino

Puede conceder permisos refinados a las cuentas de los empleados para garantizar que los servicios en la nube se utilicen correctamente. Para obtener más información, consulte Políticas de permisos y acciones admitidas de BMS.

Grupo de seguridad

Un grupo de seguridad es un firewall virtual que detecta el estado y filtra los paquetes de datos. Es un método de aislamiento de red importante utilizado para el control de acceso de ECS, BMS, balanceadores de carga y bases de datos.

Puede configurar reglas de grupo de seguridad para permitir que las instancias de un grupo de seguridad accedan a la red pública o privada.

  • El grupo de seguridad es un grupo lógico. Puede agregar BMS que tengan los mismos requisitos de protección de seguridad dentro de una región al mismo grupo de seguridad.
  • De forma predeterminada, los BMS del mismo grupo de seguridad pueden comunicarse entre sí a través de una red interna, mientras que los BMS de diferentes grupos de seguridad no pueden.
  • Puede modificar una regla de grupo de seguridad en cualquier momento y la modificación surte efecto inmediatamente.

Grupo de seguridad predeterminado

Cuando se crea un BMS en una región, el sistema creará un grupo de seguridad predeterminado si no hay ningún grupo de seguridad en la región.

La regla de grupo de seguridad predeterminada permite todos los paquetes de datos salientes y bloquea los paquetes de datos entrantes. Los BMS de este grupo de seguridad ya pueden acceder entre sí. No es necesario agregar las reglas adicionales.

Figura 1 Grupo de seguridad predeterminado

Tabla 1 describe las reglas del grupo de seguridad predeterminado (Sys-default).

Tabla 1 Reglas en el grupo de seguridad predeterminado

Dirección

Prioridad

Acción

Protocolo

Puerto/Rango

Origen/Destino

Descripción

Saliente

100

Permitir

Todos

Todos

Destino: 0.0.0.0/0

Permite todo el tráfico de salida.

Entrante

100

Permitir

Todos

Todos

Origen: nombre del grupo de seguridad actual

Permite las comunicaciones entre los BMS dentro del mismo grupo de seguridad en cualquier puerto.

Entrante

100

Permitir

TCP

22

Origen: 0.0.0.0/0

Permite que todas las direcciones IP accedan a los BMS de Linux a través de SSH.

Entrante

100

Permitir

TCP

3389

Origen: 0.0.0.0/0

Permite que todas las direcciones IP accedan a los BMS de Windows a través de RDP.

Para obtener más información, consulte la Guía del usuario de Security Group.

Autenticación de pares de claves

  • ¿Qué es un par de claves?

Un par de claves, o par de claves SSH, es un método de autenticación que se utiliza cuando se inicia sesión de forma remota en instancias de Linux. Se genera un par de claves usando un algoritmo de encriptación. Contiene una clave pública y una clave privada reservada para usted. La clave pública se utiliza para cifrar datos (por ejemplo, una contraseña), y la clave privada se utiliza para descifrar los datos.

Huawei Cloud almacena la clave pública y necesita almacenar la clave privada. No comparta su clave privada con nadie. Mantenga su clave privada segura.

  • Ventajas

Un par de claves es más seguro y más fácil de usar que el nombre de usuario/contraseña en la autenticación.

Tabla 2 Comparación entre el par de claves y nombre de usuario/contraseña

Concepto

Par de claves

Nombre de usuario y contraseña

Seguridad

  • Más seguro que el nombre de usuario/contraseña y libre de ataques de fuerza bruta
  • No se puede derivar de la clave pública

Menos seguro

Fácil de usar

Inicio de sesión simultáneo a un gran número de instancias de Linux, lo que simplifica la gestión

Inicie sesión en una sola instancia de Linux a la vez, sin posibilidad de mantenimiento por lotes

  • Restricciones
    • Solo las instancias de Linux admiten el método de par de claves.
    • Solo se admiten pares de claves de RSA. Las claves de RSA tienen típicamente 1024, 2048 o 4096 bits de longitud.
    • Una instancia de Linux puede tener solo un par de claves. Si un par de claves se ha enlazado a su BMS y usted enlaza un nuevo par de claves al BMS, el nuevo par de claves reemplazará al original.
  • Generación
    • Cree un par de claves en la consola de gestión.
      NOTA:

      Cuando se genera un par de claves, descárguelo y guárdelo correctamente.

    • Utilice PuTTYgen para crear un par de claves e importar el par de claves en Huawei Cloud.

Utilizamos cookies para mejorar nuestro sitio y tu experiencia. Al continuar navegando en nuestro sitio, tú aceptas nuestra política de cookies. Descubre más

Comentarios

Comentarios

Comentarios

0/500

Seleccionar contenido

Enviar el contenido seleccionado con los comentarios