Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.

Central de ajuda/ Identity and Access Management/ Guia de usuário/ Configurações de segurança/ Proteção de operações críticas

Atualizado em 2024-08-31 GMT+08:00

Ver PDF

Proteção de operações críticas

Somente um administrador pode configurar a proteção de operação crítica, e os usuários do IAM só podem visualizar as configurações. Se um usuário do IAM precisar modificar as configurações, ele poderá solicitar que o administrador execute a modificação ou conceda as permissões necessárias.

Usuários federados não precisam verificar sua identidade ao executar operações críticas.

Dispositivo de MFA virtual

Um dispositivo de MFA gera códigos de verificação de 6 dígitos em conformidade com o TOTP (Algoritmo de senha de uso único baseado em tempo). Os dispositivos de MFA podem ser baseados em hardware ou software. Atualmente, apenas dispositivos de MFA virtuais baseados em software são suportados e são programas de aplicações executados em dispositivos inteligentes, como telefones celulares.

Esta seção descreve como vincular um dispositivo de MFA virtual, por exemplo, o aplicativo Huawei Cloud. Se você instalou outro aplicativo de MFA, adicione um usuário seguindo as instruções na tela. Para obter detalhes sobre como vincular ou remover um dispositivo de MFA virtual, consulte Dispositivo de MFA virtual.

O método para vincular um dispositivo de MFA virtual varia dependendo se sua conta da Huawei Cloud foi atualizada para uma HUAWEI ID.

Antes de vincular um dispositivo de MFA virtual, verifique se você instalou um aplicativo de MFA (como um aplicativo Autenticador) em seu dispositivo móvel.

Conta da Huawei Cloud

Vá para a página Configurações de segurança.
Clique na guia Critical Operations e clique em Bind na linha Virtual MFA Device.

Figura 1 Dispositivo de MFA virtual
Configure o aplicativo de MFA digitalizando o código QR ou inserindo manualmente a chave secreta.

Você pode vincular um dispositivo de MFA virtual à sua conta digitalizando o código QR ou inserindo a chave secreta.
- Digitalizar o código QR
  Abra o aplicativo de MFA em seu telefone celular e use-o para digitalizar o código QR exibido na página Bind Virtual MFA Device. Sua conta ou usuário IAM é então adicionado à aplicação.
- Inserir manualmente a chave secreta
  Abra o aplicativo de MFA no seu celular e digite a chave secreta.
  
  O usuário só pode ser adicionado manualmente usando senhas de uso único baseadas em tempo (TOTP). É aconselhável ativar a definição automática da hora no seu telefone celular.
Visualize os códigos de verificação no aplicativo de MFA. O código é atualizado automaticamente a cada 30 segundos.
Na página Bind Virtual MFA Device, insira dois códigos de verificação consecutivos e clique em OK.

HUAWEI ID

Vá para a página Configurações de segurança.
Clique na guia Critical Operations e clique em Bind na linha Virtual MFA Device.

Figura 2 Vincular um dispositivo de MFA virtual
Na página Account & security da central de contas da HUAWEI ID, vincule um autenticador à sua HUAWEI ID conforme as instruções.

Proteção de logon

Depois que a proteção de logon estiver ativada, você e os usuários do IAM criados usando sua conta precisarão inserir um código de verificação além do nome de usuário e senha durante o logon. Ative esta função para a segurança da conta.

Para a conta, apenas o administrador da conta pode ativar a proteção de logon para ela. Para usuários do IAM, o administrador da conta e outros administradores podem ativar esse recurso para os usuários.

(Administrador) Ativação da proteção de logon para um usuário do IAM
Para ativar a proteção de logon para um usuário do IAM, acesse a página Users e escolha More > Security Settings na linha que contém o usuário do IAM. Na área Login Protection na guia Security Settings exibida, clique em ao lado de Verification Method e selecione um método de verificação de SMS, e-mail ou dispositivo de MFA virtual.

Depois de ativar a proteção de logon, os usuários do IAM precisam executar a verificação de identidade quando acessarem a Huawei Cloud usando o console de gerenciamento. A configuração não se aplica se os usuários do IAM usarem acesso programático.
Ativação da proteção de logon para sua conta da Huawei Cloud
Se a sua conta da Huawei Cloud não tiver sido atualizada para uma HUAWEI ID, você poderá ativar a proteção de logon na página Security Settings. Vá para a página Security Settings e clique na guia Critical Operations. Clique em Enable ao lado de Login Protection, selecione um método de verificação, digite o código de verificação e clique em OK.

Figura 3 Ativação da proteção de logon
Ativação da proteção de logon para sua HUAWEI ID
Se a sua conta da Huawei Cloud tiver sido atualizada para uma HUAWEI ID, ative a proteção de logon na central de contas da HUAWEI ID. Vá para a central de contas da HUAWEI ID, escolha Account & security, localize Two-step verification na área Security verification, clique em ENABLE, conclua a verificação e clique em OK.

O sistema autentica sua identidade quando você faz logon com uma HUAWEI ID. Se você usar um novo terminal para fazer logon, você será autenticado com seu número de telefone de segurança no primeiro logon. Se a verificação em duas etapas não estiver ativada, clique em Trust para adicionar seu terminal à lista de confiança. Então você não precisará mais realizar a autenticação ao fazer logon usando este terminal na próxima vez.

Proteção da operação

Ativação da proteção da operação
Depois que a proteção de operação é ativada, você e os usuários do IAM criados usando sua conta precisam inserir um código de verificação ao executar uma operação crítica, como a exclusão de um ECS. Essa função está ativada por padrão. Para garantir a segurança do recurso, mantenha-a ativada.

A verificação é válida por 15 minutos e você não precisa ser verificado novamente ao realizar operações críticas dentro do período de validade.

Vá para a página Configurações de segurança.
Na guia Critical Operations, localize a linha Operation Protection e clique em Enable.

Figura 4 Ativar a proteção de operação
Selecione Enable e, em seguida, selecione Self-verification ou Verification by another person.

Se você selecionar Verification by another person, uma verificação de identidade será necessária para garantir que esse método de verificação esteja disponível.

Figura 5 Configuração da proteção da operação
- Self-verification: você ou os próprios usuários do IAM executam a verificação ao executar uma operação crítica.
- Verification by another person: a pessoa especificada conclui a verificação quando você ou os usuários do IAM executam uma operação crítica. Somente a verificação por SMS e e-mail é suportada.
Clique em OK.

Desativação da proteção de operação

Se a proteção da operação estiver desativada, você e os usuários do IAM criados usando sua conta não precisarão inserir um código de verificação ao executar uma operação crítica.

Vá para a página Configurações de segurança.
Na guia Critical Operations, localize a linha Operation Protection e clique em Change.

Figura 6 Desativação da proteção de operação
Selecione Disable e clique em OK.

Figura 7 Desativação da proteção de operação
Insira um código de verificação.
- Self-verification: o administrador que deseja desativar a proteção de operação conclui a verificação. SMS, e-mail e verificação de MFA virtual são suportados.
- Verification by another person: a pessoa especificada completa a verificação. Somente a verificação por SMS e e-mail é suportada.
Clique em OK.

Cada serviço de nuvem define suas próprias operações críticas.
Quando os usuários do IAM criados usando sua conta executam uma operação crítica, eles serão solicitados a escolher um método de verificação de e-mail, SMS e dispositivo de MFA virtual.
- Se um usuário estiver vinculado apenas a um número de celular, apenas a verificação por SMS estará disponível.
- Se um usuário estiver vinculado apenas a um endereço de e-mail, apenas a verificação de e-mail estará disponível.
- Se um usuário não estiver vinculado a um endereço de e-mail, número de celular ou dispositivo de MFA virtual, o usuário precisará vincular pelo menos um deles antes que ele possa executar quaisquer operações críticas.
Talvez você não consiga receber códigos de verificação por e-mail ou SMS devido a erros de comunicação. Nesse caso, é aconselhável usar um dispositivo de MFA virtual para verificação.
Você pode alterar o número de celular ou endereço de e-mail em Minha conta e alterar o dispositivo de MFA virtual na página Configurações de segurança do console do IAM.
Se a proteção de operação estiver ativada, os usuários do IAM precisarão inserir códigos de verificação ao executar uma operação crítica. Os códigos de verificação são enviados para o número de celular ou endereço de e-mail vinculado aos usuários do IAM.

Gerenciamento de chaves de acesso

Ativação do gerenciamento de chaves de acesso
Após a ativação do gerenciamento de chaves de acesso, somente o administrador pode criar, ativar, desativar ou excluir chaves de acesso de usuários do IAM. Esta função está desativada por padrão. Para garantir a segurança dos recursos, ative essa função.

Para ativar o gerenciamento de chaves de acesso, clique na guia Critical Operations na página Configurações de segurança e clique em na linha Access Key Management.
Desativação do gerenciamento de chaves de acesso
Depois que o gerenciamento de chaves de acesso é desativado, todos os usuários do IAM podem criar, ativar, desativar ou excluir suas próprias chaves de acesso.

Para ativar o gerenciamento de chaves de acesso, clique na guia Critical Operations na página Configurações de segurança e clique em na linha Access Key Management.

Autogerenciamento de informações

Ativação do autogerenciamento de informações
Por padrão, o autogerenciamento de informações é ativado, indicando que todos os usuários do IAM podem gerenciar suas próprias informações básicas (senha de logon, número de celular e endereço de e-mail). Determine se permitir que os usuários do IAM gerenciem suas próprias informações e quais informações eles podem modificar.

Para ativar o autogerenciamento de informações, clique na guia Critical Operations na página Configurações de segurança e clique em Enable na linha Information Self-Management. Selecione Enable, selecione os tipos de informações que os usuários do IAM podem modificar e clique em OK.
Desativação do autogerenciamento de informações
Depois de desativar o autogerenciamento de informações, somente os administradores podem gerenciar suas próprias informações básicas. Se os usuários do IAM precisarem modificar a senha de logon, o número de celular ou o endereço de e-mail, eles poderão entrar em contato com o administrador. Para mais detalhes, consulte Visualização ou modificação das informações do usuário do IAM.

Para desativar o autogerenciamento de informações, clique na guia Critical Operations na página Configurações de segurança e clique em Change na linha Information Self-Management. No painel exibido, selecione Disable e clique em OK.

Operações críticas

As tabelas a seguir listam as operações críticas definidas por cada serviço de nuvem.

**Tabela 1** Operações críticas definidas pelos serviços de nuvem
Categoria de serviço	Serviço	Operação crítica
Computação	Elastic Cloud Server (ECS)	Interromper, reiniciar ou excluir um ECS Redefinir a senha para fazer logon em um ECS Desanexar um disco Desvincular um EIP
	Bare Metal Server (BMS)	Interromper ou reiniciar um BMS Redefinir a senha do BMS Desanexar um disco Desvincular um EIP
	Auto Scaling (AS)	Excluir um grupo de AS
Armazenamento	Object Storage Service (OBS)	Excluir um bucket Criar, editar ou excluir uma política de bucket Configurar uma política de objetos Criar, editar ou excluir uma ACL de bucket Configurar o registro de acesso Configurar a validação de URL Criar ou editar um inventário de bucket
	Elastic Volume Service (EVS)	Excluir um disco de EVS
	Cloud Backup and Recovery (CBR)	Excluir um cofre Excluir um backup Restaurar um backup Excluir uma política Desvincular um recurso Aceitar um backup
CDN e Intelligent Edge	Content Delivery Network (CDN)	Configurar a política de encerramento de serviço
Containers	Cloud Container Engine (CCE)	Excluir um cluster
Containers	Application Orchestration Service (AOS)	Excluir uma pilha
Rede	Domain Name Service (DNS)	Modificar, desativar ou excluir um conjunto de registros Modificar ou excluir um registro PTR Excluir uma linha personalizada
	Virtual Private Cloud (VPC)	Liberar ou desvincular um EIP Excluir uma conexão de emparelhamento de VPC Operações de grupo de segurança Excluir uma regra de entrada ou de saída Modificar uma regra de entrada ou de saída Excluir regras de entrada ou de saída em lote
	Elastic Load Balance (ELB)	Balanceadores de carga compartilhados Excluir um balanceador de carga Excluir um ouvinte Excluir um certificado Remover um servidor back-end Desvincular um EIP Desvincular um endereço IPv4 público ou privado Balanceadores de carga dedicados Excluir um balanceador de carga Excluir um ouvinte Excluir um certificado Remover um servidor back-end Desvincular um EIP Desvincular um endereço IPv4 público ou privado Desvincular um endereço IPv6 Remover da largura de banda compartilhada IPv6
	Elastic IP (EIP)	Excluir uma largura de banda compartilhada Liberar ou desvincular um EIP Liberar ou desvincular EIPs em lote
Rede	Virtual Private Network (VPN)	Excluir uma conexão de VPN Cancelar a assinatura de um gateway de VPN anual/mensal
Segurança e conformidade	SSL Certificate Manager (SCM)	Excluir um certificado Revogar um certificado
Gerenciamento e governança	Identity and Access Management (IAM)	Desativar a proteção de operação Desativar a proteção de logon Alterar o número de celular Alterar o endereço de e-mail Alterar a senha de logon Alterar o método de autenticação de logon Excluir um usuário do IAM Desativar um usuário do IAM Excluir uma agência Excluir um grupo de usuários Excluir uma política Excluir permissões Criar uma chave de acesso Excluir uma chave de acesso Desativar uma chave de acesso Excluir um projeto Modificar o status do gerenciamento de chaves de acesso
Gerenciamento e governança	Cloud Trace Service (CTS)	Desativar um rastreador do sistema
Gerenciamento e governança	Log Tank Service (LTS)	Excluir um fluxo de logs ou grupo de logs Desinstalar o ICAgent
Aplicação	Distributed Cache Service (DCS)	Redefinir a senha de uma instância de DCS Excluir uma instância de DCS Limpar dados de instância do DCS
Nuvem dedicada	Dedicated Distributed Storage Service (DSS)	Excluir um disco
Banco de dados	RDS for MySQL	Redefinir a senha de administrador Excluir uma instância de banco de dados Excluir um backup de banco de dados Restaurar uma instância de banco de dados existente a partir de um arquivo de backup Restaurar uma instância de banco de dados existente para um ponto no tempo Alternar entre instâncias de banco de dados primárias e em espera Alterar a porta do banco de dados Excluir uma conta de banco de dados Excluir um banco de dados Alterar um endereço IP flutuante Desvincular um EIP Baixar um backup completo
Banco de dados	RDS for PostgreSQL	Redefinir a senha de administrador Excluir uma instância de banco de dados Excluir um backup de banco de dados Alternar entre instâncias de banco de dados primárias e em espera Alterar a porta do banco de dados Alterar um endereço IP flutuante Desvincular um EIP Baixar um backup completo
Banco de dados	GaussDB(for MySQL)	Excluir uma instância de BD Reiniciar uma instância de BD Reiniciar um nó Excluir uma réplica de leitura Desvincular um EIP Excluir um banco de dados Redefinir uma senha para uma conta de banco de dados Excluir uma conta de banco de dados Redefinir a senha de administrador Alterar um nome de domínio privado Alterar um endereço IP privado Restaurar dados para um ponto específico no tempo
Banco de dados	Document Database Service (DDS)	Redefinir a senha Reiniciar ou excluir uma instância de banco de dados Reiniciar um nó Alternar os nós primário e secundário de um conjunto de réplicas Excluir uma regra de grupo de segurança Ativar endereços IP de nós shard e config Restaurar a instância de banco de dados atual a partir de um backup Restaurar uma instância de banco de dados existente a partir de um backup Alterar uma instância anual/mensal para pagamento por uso
Inteligência empresarial	GaussDB(DWS)	Dimensionar ou redimensionar um cluster Reinicializar um cluster Reparar um nó Redefinir a senha
Inteligência empresarial	MapReduce Service (MRS)	Clusters Excluir um cluster Alterar um cluster de pagamento por uso para cobrança anual/mensal Parar todos os componentes Sincronizar configurações de cluster Nós Interromper todas as funções Isolar um host Cancelar o isolamento de um host Componentes Desativar um serviço Reiniciar um serviço Executar uma reinicialização contínua do serviço Interromper uma instância de função Reiniciar uma instância de função Executar uma reinicialização contínua da instância Recomissionar uma instância de função Desativar uma instância de função Salvar configurações de serviço Patches Instalar um patch Desinstalar um patch Reverter um patch
Comunicações em nuvem	Message&SMS	Excluir uma assinatura Excluir um modelo Obter um app_secret Vincular um número de celular ou um endereço de e-mail à sua conta da Huawei Cloud Configurar uma lista branca de endereços IP Renovar um pacote
Desenvolvimento de software DevCloud	Project management (ProjectMan)	Excluir um projeto Excluir um membro do projeto Modificar informações do membro Modificar ou excluir permissões Modificar informações básicas do projeto Excluir um item de trabalho
Suporte ao usuário	Central de cobrança	Pagar um pedido Cancelar a assinatura de um pedido Liberar recursos