Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Centro de ayuda> Bare Metal Server> Descripción general del servicio> Seguridad> Autenticación de identidad y control de acceso
Actualización más reciente 2024-06-25 GMT+08:00

Autenticación de identidad y control de acceso

Identity and Access Management (IAM) proporciona las funciones como la autenticación de identidad de usuario, la asignación de permisos y el control de acceso. Puede utilizar IAM para controlar de forma segura el acceso de los usuarios a sus BMS. Los permisos de IAM definen qué acciones en los recursos de la nube están permitidas o denegadas. Después de crear un usuario de IAM, agréguelo a un grupo de usuarios y conceda los permisos requeridos por BMS al grupo de usuarios. A continuación, todos los usuarios de este grupo recibirán automáticamente estos permisos.

Seguridad de la cuenta

Si es un administrador de empresa, puede usar IAM para crear un usuario y conceder permisos al usuario. Los empleados de empresa pueden usar la cuenta de usuario para acceder al sistema y no es necesario compartir la contraseña de la cuenta o el par de claves con ellos. Esto le ayuda a gestionar los recursos de manera eficiente. También puede configurar políticas de seguridad de cuentas para proteger estas cuentas de usuario y reducir los riesgos de seguridad para la información de su empresa.

Autorización de grano fino

Puede conceder permisos refinados a las cuentas de los empleados para garantizar que los servicios en la nube se utilicen correctamente. Para obtener más información, consulte Políticas de permisos y acciones admitidas de BMS.

Grupo de seguridad

Un grupo de seguridad es un firewall virtual que detecta el estado y filtra los paquetes de datos. Es un método de aislamiento de red importante utilizado para el control de acceso de ECS, BMS, balanceadores de carga y bases de datos.

Puede configurar reglas de grupo de seguridad para permitir que las instancias de un grupo de seguridad accedan a la red pública o privada.

  • El grupo de seguridad es un grupo lógico. Puede agregar BMS que tengan los mismos requisitos de protección de seguridad dentro de una región al mismo grupo de seguridad.
  • De forma predeterminada, los BMS del mismo grupo de seguridad pueden comunicarse entre sí a través de una red interna, mientras que los BMS de diferentes grupos de seguridad no pueden.
  • Puede modificar una regla de grupo de seguridad en cualquier momento y la modificación surte efecto inmediatamente.

Grupo de seguridad predeterminado

Cuando se crea un BMS en una región, el sistema creará un grupo de seguridad predeterminado si no hay ningún grupo de seguridad en la región.

La regla de grupo de seguridad predeterminada permite todos los paquetes de datos salientes y bloquea los paquetes de datos entrantes. Los BMS de este grupo de seguridad ya pueden acceder entre sí. No es necesario agregar las reglas adicionales.

Figura 1 Grupo de seguridad predeterminado

Tabla 1 describe las reglas del grupo de seguridad predeterminado (Sys-default).

Tabla 1 Reglas en el grupo de seguridad predeterminado

Dirección

Prioridad

Acción

Protocolo

Puerto/Rango

Origen/Destino

Descripción

Saliente

100

Permitir

Todos

Todos

Destino: 0.0.0.0/0

Permite todo el tráfico de salida.

Entrante

100

Permitir

Todos

Todos

Origen: nombre del grupo de seguridad actual

Permite las comunicaciones entre los BMS dentro del mismo grupo de seguridad en cualquier puerto.

Entrante

100

Permitir

TCP

22

Origen: 0.0.0.0/0

Permite que todas las direcciones IP accedan a los BMS de Linux a través de SSH.

Entrante

100

Permitir

TCP

3389

Origen: 0.0.0.0/0

Permite que todas las direcciones IP accedan a los BMS de Windows a través de RDP.

Para obtener más información, consulte la Guía del usuario de Security Group.

Autenticación de pares de claves

  • ¿Qué es un par de claves?

Un par de claves, o par de claves SSH, es un método de autenticación que se utiliza cuando se inicia sesión de forma remota en instancias de Linux. Se genera un par de claves usando un algoritmo de encriptación. Contiene una clave pública y una clave privada reservada para usted. La clave pública se utiliza para cifrar datos (por ejemplo, una contraseña), y la clave privada se utiliza para descifrar los datos.

Huawei Cloud almacena la clave pública y necesita almacenar la clave privada. No comparta su clave privada con nadie. Mantenga su clave privada segura.

  • Ventajas

Un par de claves es más seguro y más fácil de usar que el nombre de usuario/contraseña en la autenticación.

Tabla 2 Comparación entre el par de claves y nombre de usuario/contraseña

Concepto

Par de claves

Nombre de usuario y contraseña

Seguridad

  • Más seguro que el nombre de usuario/contraseña y libre de ataques de fuerza bruta
  • No se puede derivar de la clave pública

Menos seguro

Fácil de usar

Inicio de sesión simultáneo a un gran número de instancias de Linux, lo que simplifica la gestión

Inicie sesión en una sola instancia de Linux a la vez, sin posibilidad de mantenimiento por lotes

  • Restricciones
    • Solo las instancias de Linux admiten el método de par de claves.
    • Solo se admiten pares de claves de RSA. Las claves de RSA tienen típicamente 1024, 2048 o 4096 bits de longitud.
    • Una instancia de Linux puede tener solo un par de claves. Si un par de claves se ha enlazado a su BMS y usted enlaza un nuevo par de claves al BMS, el nuevo par de claves reemplazará al original.
  • Generación
    • Cree un par de claves en la consola de gestión.

      Cuando se genera un par de claves, descárguelo y guárdelo correctamente.

    • Utilice PuTTYgen para crear un par de claves e importar el par de claves en Huawei Cloud.