Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.

Central de ajuda/ Identity and Access Management/ Melhores práticas/ Recomendações para usar o IAM

Atualizado em 2024-08-30 GMT+08:00

Ver PDF

Recomendações para usar o IAM

Para estabelecer acesso seguro aos seus recursos da Huawei Cloud, siga estas recomendações para o serviço Identity and Access Management (IAM).

Não crie chaves de acesso para sua conta

Sua conta tem todas as permissões necessárias para acessar recursos e fazer pagamentos pelo uso de recursos. A senha e as chaves de acesso (AKs/SKs) são credenciais de identidade para sua conta. A senha é necessária para efetuar logon no console, e as chaves de acesso são suas credenciais de identidade secundárias que permitem solicitações programáticas com ferramentas de desenvolvimento. As chaves de acesso são complementares à senha e não são obrigatórias. As chaves de acesso podem ser perdidas ou divulgadas acidentalmente. Para melhorar a segurança da conta, não crie chaves de acesso para sua conta.

Não grave chaves de acesso no código

Se você usar APIs, CLI ou SDKs para acessar serviços em nuvem, não grave suas chaves de acesso no código.

Criar usuários individuais do IAM

Se alguém precisar acessar recursos em sua conta, não compartilhe sua senha com essa pessoa. Em vez disso, crie um usuário individual do IAM para eles e conceda as permissões necessárias ao usuário do IAM. Você também pode criar um usuário do IAM para si mesmo, conceder permissões de administrador ao usuário do IAM e realizar o gerenciamento de rotina usando o usuário do IAM.

Definir tipo de acesso adequado

Você pode definir o tipo de acesso dos usuários do IAM, incluindo acesso programático e acesso ao console de gerenciamento. Observe o seguinte quando você definir o tipo de acesso:

Se o usuário acessar os serviços da Huawei Cloud somente usando o console de gerenciamento, selecione Management console access para Access Type e Password para Credential Type.
Se o usuário acessar os serviços da Huawei Cloud somente por meio de chamadas programáticas, selecione Programmatic access para Access Type e Access key para Credential Type.
Se o usuário precisar usar uma senha como credencial para acesso programático a determinadas APIs, selecione Programmatic access para Access Type e Password para Credential Type.
Se o usuário precisar executar a verificação da chave de acesso ao usar determinados serviços no console, como criar um trabalho de migração de dados no console do Cloud Data Migration (CDM), selecione Programmatic access e Management console access para Access Type e Access key e Password para Credential Type.

Conceder privilégio mínimo

É uma medida de segurança padrão para conceder aos usuários apenas as permissões necessárias para executar tarefas específicas. Você pode conseguir isso usando as políticas personalizadas ou definidas pelo sistema do IAM. O princípio do privilégio mínimo (PoLP) ajuda você a estabelecer acesso seguro aos seus recursos da Huawei Cloud.

Para usuários do IAM que acessam serviços em nuvem usando APIs, CLI ou SDKs, conceda permissões aos usuários usando políticas personalizadas para evitar perdas devido à divulgação ou perda acidental da chave de acesso.

Ativar MFA virtual

A autenticação multifator (MFA) adiciona uma camada adicional de proteção de segurança às credenciais de identidade de uma conta. É recomendável que você ative a autenticação MFA para sua conta e usuários privilegiados criados usando sua conta. Para efetuar logon no console de gerenciamento, os usuários devem inserir seus nomes de usuário e senhas e um código de verificação gerado pelo dispositivo de MFA virtual vinculado.

Um dispositivo de MFA pode ser baseado em hardware ou software. Atualmente, a Huawei Cloud suporta dispositivos de MFA virtuais baseados em software. É um programa que é executado em um dispositivo portátil (como um celular) e gera um código de verificação de seis dígitos para autenticação de identidade.

Definir uma política de senha forte

Para garantir que os usuários do IAM usem somente senhas complexas e as alterem periodicamente, defina uma política de senhas para definir requisitos de senhas fortes, como o comprimento mínimo de senha, se devem ser permitidos caracteres idênticos consecutivos em uma senha e se devem ser permitidas senhas usadas anteriormente.

Ativar proteção contra operação crítica

Ative a proteção de operações críticas para evitar operações incorretas. Quando você ou usuários criados usando sua conta executam uma operação crítica, como excluir um recurso ou gerar uma chave de acesso, você e os usuários precisam fornecer a senha e um código de verificação para prosseguir com a operação.

Alterar periodicamente suas credenciais de identidade

A alteração periódica de sua senha e chaves de acesso pode evitar riscos causados por sua divulgação ou perda acidental.

Defina um período de validade de senha para exigir que você e os usuários criados usando sua conta alterem senhas. O IAM começará a exibir um prompt 15 dias antes de a senha expirar.
Você pode criar duas chaves de acesso e usá-las de forma intercambiável. Por exemplo, você pode usar a chave de acesso 1 para um determinado período e, em seguida, usar a chave de acesso 2 para o próximo período. Você também pode excluir a chave de acesso 1 e gerar outra chave de acesso.

Excluir credenciais de identidade desnecessárias

Para os usuários que só precisam usar o console, é recomendável não criar chaves de acesso para eles e excluir as chaves de acesso que já foram criadas. Se um usuário não tiver efetuado logon por um longo período, altere a senha do usuário e exclua as chaves de acesso do usuário. Além disso, defina um período de validade da conta para desativar automaticamente as contas de usuário que não são usadas há muito tempo.

Delegar acesso a recursos para aplicações executadas em ECSs

As aplicações executadas em Elastic Cloud Servers (ECSs) podem acessar outros serviços da Huawei Cloud somente com uma credencial fornecida. Para fornecer credenciais de forma segura às aplicações, crie uma agência no IAM para conceder as permissões necessárias ao ECS em que as aplicações são executadas e configure a agência para o ECS para que as aplicações possam obter chaves de acesso temporárias. O ECS solicita uma credencial temporária do IAM para acessar com segurança os recursos com base nas permissões concedidas pela agência. O ECS rotaciona automaticamente as credenciais temporárias para garantir que elas sejam seguras e válidas.

Ao iniciar um ECS, você pode especificar uma agência para o ECS como um parâmetro de inicialização. As aplicações executadas no ECS podem acessar os recursos da Huawei Cloud fornecendo a chave de acesso temporária obtida usando a agência. A agência determina quais aplicações podem acessar recursos específicos.

Ativação de CTS

Cloud Trace Service (CTS) é um serviço de auditoria de logs fornecido pela Huawei Cloud. Ele coleta, armazena e consulta registros de operações no IAM, facilitando a análise de segurança, a auditoria de conformidade, o rastreamento de recursos e a localização de falhas. É recomendável ativar o serviço CTS para registrar as principais operações do IAM, como criar e excluir usuários do IAM.

Próximo tópico: Atribuição de permissões ao pessoal de O&M

Feedback

Esta página foi útil?

Sim Não

Deixar um comentário

Obrigado por seus comentários. Estamos trabalhando para melhorar a documentação.

O sistema está ocupado. Tente novamente mais tarde.

Quais dos seguintes problemas você encontrou?

O conteúdo é inconsistente com a UI do produto

Descrições pouco claras

Falta de exemplos ou código

Passos incorretos

Não encontro o que preciso

Falta de melhores práticas

Feedback (opcional)

0/500

Selecione pelo menos um tipo de problema e insira seus comentários ou sugestões.

Insira um máximo de 500 caracteres.

Enviar Cancelar