更新时间:2024-07-16 GMT+08:00
分享

SEC02-03 安全管理及使用凭证

在进行身份验证时,首要选择使用临时凭证而非长期或永久性凭证,以减少或消除因凭证意外泄露、共享或被盗而带来的风险。

  • 风险等级

  • 关键策略
    • 长期凭证如用户的登录密码、永久AK/SK,短期凭证如临时AK/SK、通过委托获取的权限等。禁止将长期凭证硬编码到代码中,以免泄露。优先使用临时凭证调用华为云的SDK或API。
    • 如果某些情况下不能选择临时凭证,才使用长期凭证。在此情况下,建议将长期凭证放置到代码之外的文件或由第三方托管,将长期凭证作为变量传入使用。要定期审计和实施凭证轮换,以帮助降低长期凭证相关风险。
    • 对您的身份提供者和IAM中配置的身份进行审计,这有助于验证只有经过授权的身份才能访问您的工作负载。
    • 使用数据加密服务DEW托管凭据。实现对数据库账号口令、服务器口令、SSH Key、访问密钥等各类型凭据的统一管理、检索与安全存储。
    • 使用数据加密服务DEW中的凭据管理服务(CSMS)定期轮换凭证。
    • 使用IAM委托。委托操作权限给云服务或者其它账号。
  • 相关云服务和工具
    • 数据加密服务 DEW
    • 统一身份认证服务 IAM

相关文档