Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Centro de ayuda/ Identity and Access Management/ Guía del usuario/ Configuraciones de seguridad/ Protección de operaciones críticas
Actualización más reciente 2024-07-30 GMT+08:00
Ver PDF
Compartir

Protección de operaciones críticas

Solo un administrador puede configurar la protección de operaciones críticas y los usuarios de IAM solo pueden ver las configuraciones. Si un usuario de IAM necesita modificar las configuraciones, el usuario puede solicitar al administrador que realice la modificación o conceder los permisos necesarios.

Los usuarios federados no necesitan verificar su identidad cuando realizan operaciones críticas.

Dispositivo MFA virtual

Un dispositivo MFA genera códigos de verificación de 6 dígitos de acuerdo con el algoritmo de contraseña de un solo uso basado en tiempo (TOTP). Los dispositivos MFA pueden estar basados en hardware o software. Actualmente, solo se admiten dispositivos MFA virtuales basados en software, y son programas de aplicación que se ejecutan en dispositivos inteligentes como teléfonos móviles.

Esta sección describe cómo vincular un dispositivo MFA virtual, por ejemplo, la aplicación de Huawei Cloud. Si ha instalado otra aplicación MFA, agregue un usuario siguiendo las indicaciones en pantalla. Para obtener más información sobre cómo enlazar o quitar un dispositivo MFA virtual, consulte Dispositivo MFA virtual.

El método para vincular un dispositivo MFA virtual varía dependiendo de si su cuenta de Huawei Cloud se ha actualizado a un ID de HUAWEI.

Antes de vincular un dispositivo MFA virtual, asegúrese de haber instalado una aplicación MFA (como una aplicación Authenticator) en su dispositivo móvil.

  • Cuenta de Huawei Cloud
  1. Vaya a la página Configuración de seguridad.
  2. Haga clic en la pestaña Critical Operations y haga clic en Bind en la fila Virtual MFA Device.

    Figura 1 Dispositivo MFA virtual

  3. Configure la aplicación MFA escaneando el código QR o introduciendo manualmente la clave secreta.

    Puede vincular un dispositivo MFA virtual a su cuenta escaneando el código QR o introduciendo la clave secreta.

    • Escanear el código QR

      Abra la aplicación MFA en su teléfono móvil y utilice la aplicación para escanear el código QR que se muestra en la página Bind Virtual MFA Device. Su cuenta o usuario de IAM se agrega a la aplicación.

    • Introducir manualmente la clave secreta

      Abra la aplicación MFA en su teléfono móvil e introduzca la clave secreta.

      El usuario solo se puede agregar manualmente utilizando contraseñas de un solo uso basadas en el tiempo (TOTP). Se recomienda activar la configuración automática de la hora en su teléfono móvil.

  4. Vea los códigos de verificación en la aplicación MFA. El código se actualiza automáticamente cada 30 segundos.
  5. En la página Bind Virtual MFA Device, introduzca dos códigos de verificación consecutivos y haga clic en OK.
  • HUAWEI ID
  1. Vaya a la página Configuración de seguridad.
  2. Haga clic en la pestaña Critical Operations y haga clic en Bind en la fila Virtual MFA Device.

    Figura 2 Vinculación de un dispositivo MFA virtual

  3. En la página de Account & security del centro de cuentas de ID de HUAWEI, asocie un autenticador con su ID de HUAWEI según las instrucciones.

Protección de inicio de sesión

Después de habilitar la protección de inicio de sesión, usted y los usuarios de IAM creados con su cuenta deberán ingresar un código de verificación además del nombre de usuario y la contraseña durante el inicio de sesión. Habilite esta función para la seguridad de la cuenta.

Para la cuenta, solo el administrador de la cuenta puede habilitar la protección de inicio de sesión para ella. Para los usuarios de IAM, tanto el administrador de la cuenta como otros administradores pueden habilitar esta función para los usuarios.

  • (Administrador) Habilitar la protección de inicio de sesión para un usuario de IAM

    Para habilitar la protección de inicio de sesión para un usuario de IAM, vaya a la página Users y elija More > Security Settings en la fila que contiene el usuario de IAM. En el área Login Protection de sesión en la pestaña Security Settings mostrada, haga clic en junto a Verification Method y seleccione un método de verificación de SMS, correo electrónico o dispositivo MFA virtual.

    Después de habilitar la protección de inicio de sesión, los usuarios de IAM deben realizar una verificación de identidad cuando acceden a Huawei Cloud mediante la consola de gestión. La configuración no se aplica si los usuarios de IAM usan acceso mediante programación.

  • Activar la protección de inicio de sesión para su cuenta de Huawei Cloud

    Si su cuenta de Huawei Cloud no se ha actualizado a un ID de HUAWEI, puede habilitar la protección de inicio de sesión en la página Security Settings. Vaya a la página Security Settings y haga clic en la pestaña Critical Operations. Haga clic en Enable junto a Login Protection, seleccione un método de verificación, introduzca el código de verificación y haga clic en OK.

    Figura 3 Habilitación de la protección de inicio de sesión
  • Habilitar la protección de inicio de sesión para su ID de HUAWEI

    Si su cuenta de Huawei Cloud se ha actualizado a un ID de HUAWEI, habilite la protección de inicio de sesión en el centro de cuentas de ID de HUAWEI. Vaya al centro de cuentas de ID de HUAWEI, seleccione Account & security, busque Two-step verification en el área Security verification, haga clic en ENABLE, complete la verificación y haga clic en OK.

    El sistema autentica tu identidad cuando inicias sesión con un ID de HUAWEI. Si utiliza un nuevo terminal para iniciar sesión, se autenticará con su número de teléfono de seguridad en el primer inicio de sesión. Si la verificación en dos pasos no está habilitada, haga clic en Trust para agregar su terminal a la lista de confianza. Entonces ya no necesitará realizar autenticación cuando inicie sesión con este terminal la próxima vez.

Protección de operaciones

  • Habilitación de la protección de la operación

    Después de habilitar la protección de operaciones, usted y los usuarios de IAM creados con su cuenta deben introducir un código de verificación al realizar una operación crítica, como la eliminación de un ECS. Esta función está habilitada por defecto. Para garantizar la seguridad de los recursos, manténgala habilitada.

    La verificación es válida durante 15 minutos y no es necesario que se vuelva a verificar al realizar operaciones críticas dentro del período de validez.

  1. Vaya a la página Security Settings.
  2. En la pestaña Critical Operations, busque la fila Operation Protection y haga clic en Enable.

    Figura 4 Habilitación de la protección de la operación

  3. Seleccione Enable y, a continuación, seleccione Self-verification o Verification by another person.

    Si selecciona Verification by another person, se requiere una verificación de identidad para asegurarse de que este método de verificación está disponible.

    Figura 5 Configuración de la protección de la operación
    • Self-verification: Usted o los propios usuarios de IAM realizan la verificación cuando realizan una operación crítica.
    • Verification by another person: La persona especificada completa la verificación cuando usted o los usuarios de IAM realizan una operación crítica. Solo se admite la verificación por SMS y correo electrónico.

  4. Haga clic en OK.
  • Deshabilitación de la protección de operación

Si la protección de la operación está deshabilitada, usted y los usuarios de IAM creados con su cuenta no necesitan introducir un código de verificación al realizar una operación crítica.

  1. Vaya a la página Security Settings.
  2. En la pestaña Critical Operations, busque la fila Operation Protection y haga clic en Change.

    Figura 6 Deshabilitación de la protección de operaciones

  3. Seleccione Disable y haga clic en OK.

    Figura 7 Deshabilitación de la protección de operaciones

  4. Ingrese un código de verificación.

    • Self-verification: El administrador que desea deshabilitar la protección de operación completa la verificación. Se admite la verificación de SMS, correo electrónico y MFA virtual.
    • Verification by another person: La persona especificada completa la verificación. Solo se admite la verificación por SMS y correo electrónico.

  5. Haga clic en OK.
  • Cada servicio en la nube define sus propias operaciones críticas.
  • Cuando los usuarios de IAM creados con su cuenta realizan una operación crítica, se les pedirá que elijan un método de verificación de correo electrónico, SMS y dispositivo MFA virtual.
    • Si un usuario solo está asociado con un número de móvil, sólo está disponible la verificación por SMS.
    • Si un usuario solo está asociado con una dirección de correo electrónico, solo está disponible la verificación por correo electrónico.
    • Si un usuario no está asociado con una dirección de correo electrónico, número móvil o dispositivo MFA virtual, el usuario necesitará asociar al menos uno de ellos antes de que el usuario pueda realizar cualquier operación crítica.
  • Es posible que no pueda recibir códigos de verificación de correo electrónico o SMS debido a errores de comunicación. En este caso, se recomienda utilizar un dispositivo MFA virtual para la verificación.
  • Puede cambiar el número de celular o la dirección de correo electrónico en My Account y cambiar el dispositivo virtual MFA en la página de Security Settings de la consola de IAM.
  • Si la protección de operación está habilitada, los usuarios de IAM deben introducir códigos de verificación cuando realizan una operación crítica. Los códigos de verificación se envían al número móvil o a la dirección de correo electrónico vinculada a los usuarios de IAM.

Gestión de claves de acceso

  • Habilitación de la gestión de claves de acceso

    Después de habilitar la gestión de claves de acceso, solo el administrador puede crear, habilitar, deshabilitar o eliminar claves de acceso de los usuarios de IAM. Esta función está deshabilitada por defecto. Para garantizar la seguridad de los recursos, habilite esta función.

    Para habilitar la gestión de claves de acceso, haga clic en la pestaña Critical Operations de la página Security Settings y haga clic en en la fila Access Key Management.

  • Deshabilitación de la gestión de claves de acceso

    Después de deshabilitar la gestión de claves de acceso, todos los usuarios de IAM pueden crear, habilitar, deshabilitar o eliminar sus propias claves de acceso.

    Para habilitar la gestión de claves de acceso, haga clic en la pestaña Critical Operations de la página Security Settings y haga clic en en la fila Access Key Management.

Autogestión de la información

  • Habilitación de la autogestión de la información

    De forma predeterminada, la autogestión de la información está habilitada, lo que indica que todos los usuarios de IAM pueden gestionar su propia información básica (contraseña de inicio de sesión, número de teléfono móvil y dirección de correo electrónico). Determinar si permitir que los usuarios de IAM gestionen su propia información y qué información pueden modificar.

    Para habilitar la autogestión de la información, haga clic en la pestaña Critical Operations de la página Configuración de seguridad, y haga clic en Enable junto a Information Self-Management. Seleccione Enable, seleccione los tipos de información que los usuarios de IAM pueden modificar y haga clic en OK.

  • Deshabilitación de la autogestión de la información

    Después de deshabilitar la autogestión de la información, solo los administradores pueden gestionar su propia información básica. Si los usuarios de IAM necesitan modificar su contraseña de inicio de sesión, número de teléfono móvil o dirección de correo electrónico, pueden ponerse en contacto con el administrador. Para obtener más información, véase Consulta o modificación de información de usuario de IAM.

    Para deshabilitar la autogestión de información, haga clic en la pestaña Operaciones críticas de la página Configuración de seguridad y haga clic en Change en la fila Information Self-Management. En el panel mostrado, seleccione Disable y haga clic en OK.

Operaciones críticas

En las siguientes tablas se enumeran las operaciones críticas definidas por cada servicio en la nube.

Tabla 1 Operaciones críticas definidas por los servicios en la nube

Categoría de servicio

Servicio

Operación crítica

Cómputo

Elastic Cloud Server (ECS)
  • Detener, reiniciar o eliminar un ECS
  • Restablecimiento de la contraseña del inicio de sesión de un ECS
  • Separación de un disco
  • Desvinculación de una EIP

Bare Metal Server (BMS)
  • Detener o reiniciar un BMS
  • Restablecimiento de la contraseña del BMS
  • Separación de un disco
  • Desvinculación de una EIP

Auto Scaling (AS)

Eliminación de un grupo de AS

Almacenamiento

Object Storage Service (OBS)
  • Eliminación de un bucket
  • Creación, edición o eliminación de una política de bucket
  • Configuración de una política de objeto
  • Creación, edición o eliminación de una ACL de bucket
  • Configuración del registro de acceso
  • Configuración de la validación de URL
  • Creación o edición de un inventario de buckets

Elastic Volume Service (EVS)

Eliminación de un disco EVS

Cloud Backup and Recovery (CBR)
  • Eliminación de un almacén
  • Eliminación de una copia de respaldo
  • Restauración de una copia de respaldo
  • Eliminación de una política
  • Disociación de un recurso
  • Aceptación de una copia de respaldo

CDN y Intelligent Edge

Content Delivery Network (CDN)

Configuración de la política de terminación del servicio

Contenedores

Cloud Container Engine (CCE)

Eliminación de un clúster

Application Orchestration Service (AOS)

Eliminación de una pila

Red

Domain Name Service (DNS)
  • Modificación, deshabilitación o eliminación de un conjunto de registros
  • Modificación o eliminación de un registro PTR
  • Eliminación de una línea personalizada

Virtual Private Cloud (VPC)
  • Liberación o desvinculación de una EIP
  • Eliminación de una interconexión de VPC
  • Operaciones de grupo de seguridad
    • Eliminación de una regla entrante o saliente
    • Modificación de una regla entrante o saliente
    • Eliminación de reglas entrantes o salientes

Elastic Load Balance (ELB)
  • Balanceador de carga compartidos
    • Eliminación de un balanceador de carga
    • Eliminación de un oyente
    • Eliminación de un certificado
    • Eliminación de un servidor backend
    • Desvinculación de una EIP
    • Desvinculación de una dirección IPv4 pública o privada
  • Balanceadores de carga dedicados
    • Eliminación de un balanceador de carga
    • Eliminación de un oyente
    • Eliminación de un certificado
    • Eliminación de un servidor backend
    • Desvinculación de una EIP
    • Desvinculación de una dirección IPv4 pública o privada
    • Desvinculación de una dirección IPv6
    • Eliminación del ancho de banda compartido IPv6

Elastic IP (EIP)
  • Eliminación de un ancho de banda compartido
  • Liberación o desvinculación de una EIP
  • Liberación o desvinculación de las EIP

Red

Virtual Private Network (VPN)
  • Eliminación de una conexión VPN
  • Cancelación de la suscripción de un gateway de VPN anual/mensual

Seguridad & Cumplimiento

SSL Certificate Manager (SCM)
  • Eliminación de un certificado
  • Revocación de un certificado

Gestión & Gobernanza

Identity and Access Management (IAM)
  • Deshabilitación de la protección de operaciones
  • Deshabilitación de la protección de inicio de sesión
  • Cambio del número de teléfono móvil
  • Cambio de la dirección de correo electrónico
  • Cambio de la contraseña de inicio de sesión
  • Cambio del método de autenticación de inicio de sesión
  • Eliminación de un usuario de IAM
  • Deshabilitación de un usuario de IAM
  • Eliminación de una delegación
  • Eliminación de un grupo de usuarios
  • Eliminación de una política
  • Eliminación de permisos
  • Creación de una clave de acceso
  • Eliminación de una clave de acceso
  • Desactivación de una clave de acceso
  • Eliminación del proyecto
  • Modificación del estado de la gestión de claves de acceso

Gestión & Gobernanza

Cloud Trace Service (CTS)

Deshabilitación de un rastreador del sistema

Gestión & Gobernanza

Log Tank Service (LTS)
  • Eliminación de un flujo de registro o grupo de registro
  • Desinstalación del ICAgent

Aplicación

Distributed Cache Service (DCS)
  • Restablecimiento de la contraseña de una instancia DCS
  • Eliminación de una instancia de DCS
  • Eliminación de datos de instancia de DCS

Nube dedicada

Dedicated Distributed Storage Service (DSS)

Eliminación de un disco

Base de datos

RDS for MySQL
  • Restablecimiento de la contraseña del administrador
  • Eliminación de una instancia de base de datos
  • Eliminación de una copia de respaldo de base de datos
  • Restauración de una instancia de base de datos existente desde un archivo de copia de respaldo
  • Restauración de una instancia de base de datos existente a un punto en el tiempo
  • Cambio entre instancias de base de datos primarias y en espera
  • Cambio del puerto de la base de datos
  • Eliminación de cuenta de base de datos
  • Eliminación de una base de datos
  • Cambio de una dirección IP flotante
  • Desvinculación de una EIP
  • Descarga de una copia de respaldo completa

Base de datos

RDS for PostgreSQL
  • Restablecimiento de la contraseña del administrador
  • Eliminación de una instancia de base de datos
  • Eliminación de una copia de respaldo de base de datos
  • Cambio entre instancias de base de datos primarias y en espera
  • Cambio del puerto de la base de datos
  • Cambio de una dirección IP flotante
  • Desvinculación de una EIP
  • Descarga de una copia de respaldo completa

Base de datos

GaussDB(for MySQL)
  • Eliminación de una instancia de base de datos
  • Reinicio de una instancia de base de datos
  • Reinicio de un nodo
  • Eliminación de una réplica de lectura
  • Desvinculación de una EIP
  • Eliminación de una base de datos
  • Restablecimiento de una contraseña para una cuenta de base de datos
  • Eliminación de cuenta de base de datos
  • Restablecimiento de la contraseña del administrador
  • Cambio de un nombre de dominio privado
  • Cambio de una dirección IP privada
  • Restauración de datos a un punto específico en el tiempo

Bases de datos

Document Database Service (DDS)
  • Restablecimiento de la contraseña
  • Reinicio o eliminación de una instancia de base de datos
  • Reinicio de un nodo
  • Cambio de los nodos primario y secundario de un conjunto de réplicas
  • Eliminación de una regla de grupo de seguridad
  • Habilitación de direcciones IP de nodos shard y config
  • Restauración de la instancia de base de datos actual desde una copia de respaldo
  • Restauración de una instancia de base de datos existente a partir de una copia de respaldo
  • Cambio de una instancia anual/mensual a pago por uso

Inteligencia empresarial

Data Warehouse Service (DWS)
  • Escalamiento o cambio del tamaño de un clúster
  • Reinicio de un clúster
  • Reparación de un nodo
  • Restablecimiento de la contraseña

MapReduce Service (MRS)
  • Clústeres
    • Eliminación de un clúster
    • Cambio de un clúster de pago por uso a facturación anual/mensual
    • Detener todos los componentes
    • Sincronización de configuraciones de clúster
  • Nodos
    • Detener todos los roles
    • Aislamiento de un host
    • Cancelación del aislamiento de un host
  • Componentes
    • Deshabilitación de un servicio
    • Reinicio de un servicio
    • Realización de un reinicio de servicio continuo
    • Detener una instancia de rol
    • Reinicio de una instancia de rol
    • Realización de un reinicio continuo de instancia
    • Reiniciación de una instancia de rol
    • Retiración del servicio de una instancia de rol
    • Guardar configuraciones de servicio
  • Parches
    • Instalación de un parche
    • Desinstalación de un parche
    • Retroceder un parche

Comunicaciones en la nube

Message&SMS
  • Eliminación de una firma
  • Eliminación de una plantilla
  • Obtención de una app_secret
  • Vinculación de un número de teléfono móvil o una dirección de correo electrónico a su cuenta de Huawei Cloud
  • Configuración de una lista blanca de direcciones IP
  • Renovación de un paquete

Desarrollo de software DevCloud

Gestión de proyecto (ProjectMan)
  • Eliminación de un proyecto
  • Eliminación de un miembro del proyecto
  • Modificación de la información del miembro
  • Modificación o eliminación de permisos
  • Modificación de la información básica del proyecto
  • Eliminación de un elemento de trabajo

Soporte para el usuario

Centro de facturación
  • Pago por un pedido
  • Darse de baja de un pedido
  • Liberación de recursos