身份认证

华为云IAM服务要求访问请求方出示身份凭证，并进行身份合法性校验，同时提供登录保护和登录验证策略加固身份认证安全。

IAM服务支持通过账号和IAM用户两种身份访问，并且均支持通过用户名密码、访问密钥和临时访问密钥进行身份认证。详见表1，每一种身份凭证，IAM都对其进行安全性设计，目的是保护用户数据，让用户更安全地访问IAM。

表1 IAM身份凭证和安全性设计
访问凭证	安全性简要说明	详细介绍
用户名、密码	按需配置用户密钥字符种类和最小长度，支持配置密码有效期策略和密码最短使用时间策略。	密码策略
访问密钥	华为云通过AK识别访问用户的身份，通过SK对请求数据进行签名验证，用于确保请求的机密性、完整性和请求者身份的正确性。	访问密钥
临时访问密钥	临时访问密钥除了具备访问密钥特性，还具备时效性，可对有效期进行设置，到期后无法重复使用，只能重新获取。	临时访问密钥

如表2所示，除了要求用户登录出示凭证并验证合法性，IAM还提供登录保护机制，支持登录验证策略，防止用户信息被非法盗用。

表2 登录保护和登录验证策略
登录保护手段	简要说明	详细介绍
登录保护	除了在登录页面输入用户名和密码外（第一次身份验证），用户登录华为云还需要在登录验证页面输入验证码（第二次身份验证）。验证设备支持手机、邮箱和虚拟MFA设备，详见多因素认证。	登录保护
登录验证策略	IAM支持会话超时策略，超过规定时长未操作界面需重新登录；支持账号锁定策略，登录失败次数过多触发账号锁定；支持账号停用策略，长时间未登录触发账号停用；支持最近登录提示，用户可查看上次登录时间。	登录验证策略