文档首页/ 裸金属服务器 BMS/ 产品介绍/ 安全/ 身份认证与访问控制
更新时间:2024-03-04 GMT+08:00

身份认证与访问控制

统一身份认证(Identity and Access Management,IAM)提供用户身份认证、权限分配、访问控制等功能,您可以使用IAM安全地控制用户对您裸金属服务器资源的访问。裸金属服务器支持通过IAM权限策略进行访问控制。IAM权限是作用于云资源的,IAM权限定义了允许和拒绝的访问操作,以此实现云资源权限访问控制。管理员创建IAM用户后,需要将用户加入到一个用户组中,IAM可以对这个组授予BMS所需的权限,组内用户自动继承用户组的所有权限。

账户安全性

如果您是企业管理员,企业中有不同的员工需要使用您在云上购买的资源,为了避免您将自己账号的密码/访问密钥共享给员工,建议您使用IAM创建用户并授予对应权限,员工可以使用新创建的用户账号访问系统,帮助您高效的管理资源。您还可以设置账号安全策略确保这些用户账号的安全,从而降低您的企业信息安全风险。

细粒度授权

您可以对员工的用户账号授予精细的操作权限,确保云服务被合理使用。BMS所需的权限请参见BMS权限管理

安全组

安全组是一种虚拟防火墙,具备状态检测和数据包过滤功能,用于设置弹性云服务器、裸金属服务器、负载均衡、数据库等实例的网络访问控制,是重要的网络安全隔离手段。

您可以通过配置安全组规则,允许安全组内的实例对公网或私网的访问。

  • 安全组是一个逻辑上的分组,您可以将同一区域内具有相同安全保护需求的裸金属服务器加入到同一个安全组内。
  • 同一安全组内的BMS实例之间默认内网网络互通,不同安全组内的实例之间默认内网不通。
  • 您可以随时修改安全组的规则,新规则立即生效。

默认安全组

在一个区域创建BMS实例时,如果当前账号在这个区域尚未创建安全组,系统会为您创建一个默认安全组。

安全组的默认规则是在出方向上的数据报文全部放行,入方向访问受限,安全组内的裸金属服务器无需添加规则即可互相访问,如图 默认安全组所示。

图1 默认安全组

默认安全组Sys-default规则如表1所示:

表1 默认安全组规则

方向

优先级

策略

协议

端口范围

目的地址/源地址

说明

出方向

100

允许

全部

全部

目的地址:0.0.0.0/0

允许所有出站流量的数据报文通过。

入方向

100

允许

全部

全部

源地址:当前安全组名称

允许同样使用当前安全组的裸金属服务器之间通过任意端口和规则互访。

入方向

100

允许

TCP

22

源地址:0.0.0.0/0

允许所有IP地址通过SSH远程连接到Linux裸金属服务器。

入方向

100

允许

TCP

3389

源地址:0.0.0.0/0

允许所有IP地址通过RDP远程连接到Windows裸金属服务器。

了解更多信息,请参阅“安全组简介”。

密钥对与密码

  • 什么是密钥对

密钥对,也称SSH密钥对,是区别于用户名+密码的远程登录Linux实例的认证方式。通过加密算法生成一对密钥,一个对外界公开,称为公钥,另一个由用户自己保留,称为私钥。公钥和私钥组成密钥对。密钥对的工作原理是使用公钥加密某个数据(例如一个密码),用户可以使用私钥解密数据。

华为云只会存储公钥,您需要存储私钥。拥有您的私钥的任何人都可以解密您的登录信息,因此将您的私钥保存在一个安全的位置非常重要。

  • 功能优势

相比用户名+密码认证方式,密钥对在安全性和便捷性上都更具优势,如表 密钥对与密码对比所示。

表2 密钥对与密码对比

对比项

密钥对

用户名+密码

安全性

  • 安全强度远高于常规用户口令,可以杜绝暴力破解威胁。
  • 不可能通过公钥推导出私钥。

安全性较低。

便捷性

便于远程登录大量Linux实例,方便管理。

一次只能登录一台Linux实例,不利于批量维护。

  • 使用限制
    • 仅支持Linux实例。
    • 仅支持的RSA密钥对,支持的长度:1024、2048和4096。
    • 一台Linux实例只能拥有一个密钥对。如果您的实例已绑定密钥,绑定新的密钥会替换原来的密钥。
  • 生成方式
    • 通过管理控制台创建密钥对

      在首次生成密钥对时,务必下载并妥善保存私钥。

    • 通过PuTTYgen等工具创建密钥对,并导入华为云

相关操作

使用SSH密钥对