凭据管理（CSMS）安全最佳实践

安全性是华为云与您的共同责任。华为云负责云服务自身的安全，提供安全的云；作为租户，您需要合理使用云服务提供的安全能力对数据进行保护，安全地使用云。详情请参见责任共担。

本文提供了CSMS使用过程中的安全最佳实践，旨在为提高整体安全能力提供可操作的规范性指导。根据该指导文档您可以持续评估CSMS的安全状态，提高对CSMS的整体安全防御能力，保护存储在CSMS的数据不泄露、不被篡改，以及数据在传输过程中不泄露、不被篡改。

本文从以下几个维度给出建议，您可以评估CSMS使用情况，并根据业务需要在本指导的基础上进行安全配置。

• 加强权限管理，减少相关风险

  如果不限定自定义策略中所配置的凭据资源范围，则拥有该授权的用户可获得所有凭据的管理权限，无法达到最小化的安全管控要求。您可以参考DEW自定义策略，在“选择资源”选项填入仅需授权的凭据名称，确保该策略仅对特定凭据生效。

• 完善凭据管理相关配置，减少凭据泄露风险
  1. 建议配置轮转函数定期轮换凭据

     长期使用同一个密码会增加密码泄露的风险。您可以通过函数工作流和凭据管理服务自动轮转所托管的密码，以定期生成强安全密码。

  2. 建议开启操作保护

     当存入凭据中存在敏感信息时，建议您开启操作保护，以减少未经操作验证带来的信息泄露风险。

  3. 启用事件通知功能，及时查看轮转情况

     您可以创建并开启事件通知，及时发现轮转凭据是否轮转成功，减少凭据长时间未轮转带来的泄露风险。