SEC02-03 安全管理及使用凭证

在进行身份验证时，首要选择使用临时凭证而非长期或永久性凭证，以减少或消除因凭证意外泄露、共享或被盗而带来的风险。

• 风险等级

  高

• 关键策略
  • 长期凭证如用户的登录密码、永久AK/SK，短期凭证如临时AK/SK、通过委托获取的权限等。禁止将长期凭证硬编码到代码中，以免泄露。优先使用临时凭证调用华为云的SDK或API。
  • 如果某些情况下不能选择临时凭证，才使用长期凭证。在此情况下，建议将长期凭证放置到代码之外的文件或由第三方托管，将长期凭证作为变量传入使用。要定期审计和实施凭证轮换，以帮助降低长期凭证相关风险。
  • 对您的身份提供者和IAM中配置的身份进行审计，这有助于验证只有经过授权的身份才能访问您的工作负载。
  • 使用数据加密服务DEW托管凭据。实现对数据库账号口令、服务器口令、SSH Key、访问密钥等各类型凭据的统一管理、检索与安全存储。
  • 使用数据加密服务DEW中的凭据管理服务（CSMS）定期轮换凭证。
  • 使用IAM委托。委托操作权限给云服务或者其它账号。
• 相关云服务和工具
  • 数据加密服务 DEW
  • 统一身份认证服务 IAM