更新时间:2024-04-15 GMT+08:00
个人数据保护机制
为了确保您的个人数据(例如用户名、密码、手机号码等)不被未经过认证、授权的实体或者个人获取,IAM通过加密存储个人数据、控制个人数据访问权限以及记录操作日志等方法防止个人数据泄露,保证您的个人数据安全。
收集范围
IAM收集及产生的个人数据如表1所示:
类型 |
收集方式 |
是否可以修改 |
是否必须 |
---|---|---|---|
用户名 |
|
否 |
是 用户名是用户的身份标识信息 |
密码 |
|
是 |
否 用户可以选择使用AK/SK方式 |
邮箱 |
在创建用户、修改用户凭证、修改邮箱时由用户在界面输入邮箱 |
是 |
否 |
手机号 |
在创建用户、修改用户凭证、修改手机时由用户在界面输入手机号 |
是 |
否 |
AK(Access Key ID)/SK(Secret Access Key) |
在“我的凭证”页面或者在IAM设置用户凭证时创建生成AK/SK |
否 AK/SK不能直接修改,可以删除旧的AK/SK后重新创建AK/SK。 |
否 调用API接口时,需要使用AK/SK对请求进行签名 |
存储方式
IAM通过加密算法对用户个人敏感数据加密后进行存储。
- 用户名、AK:不属于敏感数据,明文存储
- 密码、邮箱、手机、SK:加密存储
访问权限控制
用户个人数据通过加密后存储在IAM数据库中,数据库的访问需要通过白名单的认证与授权。
二次认证
用户可以在“IAM>安全设置>敏感操作”中开启登录保护和操作保护,用户登录系统以及进行敏感操作时,需要二次认证(二次认证方式支持短信、邮箱,MFA验证码),有效保护用户敏感信息。
API接口限制
- 用户调用API接口时,需要使用AK/SK进行认证。用户的AK/SK只能在首次创建时获取,如果没有获取或者遗失,只能重新创建AK/SK,保证使用AK/SK的为用户本人,有效防止个人数据泄露。
- IAM不提供批量查询和修改个人数据的API接口。
日志记录
用户个人数据的所有操作,包括增加、修改、查询和删除,IAM都会记录审计日志并上传至云审计服务(CTS),用户可以并且仅可以查看自己的审计日志。
父主题: 产品简介