服务的访问控制

身份认证

• 身份凭证及其安全性

  MPC支持通过账号和IAM用户两种身份访问，并且均支持通过用户名密码、访问密钥和临时访问密钥进行身份认证。如表1所示，每一种身份凭证，MPC都对其进行安全性设计，目的是保护用户数据，让用户更安全地访问MPC。

  表1 表1 MPC身份凭证和安全性设计

  访问凭证	安全性简要说明	详细介绍
  用户名、密码	按需配置用户密钥字符种类和最小长度，支持配置密码有效期策略和密码最短使用时间策略。	密码策略
  访问密钥	华为云通过AK识别访问用户的身份，通过SK对请求数据进行签名验证，用于确保请求的机密性、完整性和请求者身份的正确性。	访问密钥
  临时访问密钥	临时访问密钥除了具备访问密钥特性，还具备时效性，可对有效期进行设置，到期后无法重复使用，只能重新获取。	临时访问密钥

• 登录保护及登录验证策略

  如表2所示，除了要求用户登录出示凭证并验证合法性，MPC还提供登录保护机制，支持登录验证策略，防止用户信息被非法盗用。

  表2 表2 登录保护和登录验证策略

  登录保护手段	简要说明	详细介绍
  登录保护	除了在登录页面输入用户名和密码外（第一次身份验证），用户登录华为云还需要在登录验证页面输入验证码（第二次身份验证）。 验证设备支持手机、邮箱和虚拟MFA设备，详见多因素认证。	登录保护
  登录验证策略	MPC支持会话超时策略，超过规定时长未操作界面需重新登录；支持账号锁定策略，登录失败次数过多触发账号锁定；支持账号停用策略，长时间未登录触发账号停用；支持最近登录提示，用户可查看上次登录时间。	登录验证策略

访问控制

MPC服务支持通过IAM细粒度授权策略进行访问控制。