SEC02-01 对账号进行保护

账号是华为云租户的账号体系中权限最高的用户，拥有对整个云环境的最高权限。一旦账号受到攻击或泄露，可能导致严重的安全问题和数据泄露。因此，身份认证的安全性首先要考虑对此账号进行保护。

• 风险等级

  高

• 关键策略
  • 强密码：使用强密码来保护账号，包括数字、字母、特殊字符的组合，并确保密码足够长且复杂。
  • 多因素认证（MFA）：启用多因素认证为保护账号提供了额外的安全层次。除了密码之外，MFA需要额外的身份验证信息，提高了账号的安全性。
  • 限制日常操作：避免直接使用账号进行日常操作，而是创建并使用IAM用户进行日常的管理操作。账号应仅用于关键操作，如创建新的IAM用户或修改权限。
  • 优先使用临时凭证并定期轮换凭证：定期更改账号的密码，并定期更新MFA设备。这有助于减少被猜测或盗用的风险。
  • 启用审计日志：启用审计日志功能，以监控账号的活动。审计日志可以帮助检测异常行为并及时采取措施。
  • 多账号管理场景：需指定一个账号作为中央账号（企业主账号），由这个账号再添加成员账号（企业子账号）。优先保证中央账号的安全，再考虑成员账号。
• 相关云服务和工具
  • 统一身份认证服务 IAM
  • 组织 Organizations
  • 企业管理
  • 云审计服务 CTS