文档首页/ 统一身份认证服务 IAM/ 用户指南/ 安全设置/ 敏感操作
更新时间:2024-09-20 GMT+08:00
编辑
查看PDF
分享

敏感操作

只有管理员可以设置敏感操作,普通IAM用户只有查看权限,不能对其进行设置,如需修改,请联系管理员为您操作或添加权限。

联邦用户在执行敏感操作时,不需要进行身份验证。

虚拟MFA

虚拟Multi-Factor Authentication (MFA) 是能产生6位数字认证码的设备,遵循基于时间的一次性密码 (TOTP)标准。MFA设备可以基于硬件也可以基于软件,目前仅支持基于软件的虚拟MFA,虚拟MFA应用程序可以在移动硬件设备(包括智能手机)上运行,非常方便,虚拟MFA是多因素认证方式中的一种。

本节以“华为云App”为例介绍如何绑定虚拟MFA,如果您已安装其他MFA应用程序,请根据应用程序指引添加用户。如需了解有关解绑虚拟MFA、重置虚拟MFA的操作,请参见:虚拟MFA

暂未升级华为账号已升级华为账号绑定虚拟MFA的操作方法不同。

您需要先在智能设备上安装一个MFA应用程序(例如: “华为云”手机应用程序),才能绑定虚拟MFA设备。

  • 暂未升级华为账号
  1. 进入安全设置
  2. 在“安全设置>敏感操作”页面,单击“虚拟MFA”右侧的“前往绑定”。

    图1 虚拟MFA

  3. 根据右侧弹出的绑定虚拟MFA页面,在您的MFA应用程序中添加用户。

    图2 绑定虚拟MFA

    您可以通过扫描二维码、手动输入两种方式绑定MFA设备,下面以“华为云”手机应用程序为例绑定虚拟MFA:

    • 扫描二维码

      打开手机上已安装好的“华为云”手机应用程序,选择“控制台-MFA-添加-扫码添加”,扫描“绑定虚拟MFA”弹窗中的二维码。扫描成功后,“华为云”手机应用程序会自动添加用户,虚拟MFA列表中出现账号/IAM用户名及对应的MFA动态码。

    • 手动输入

      打开手机上已安装好的“华为云”手机应用程序,选择“控制台-MFA-添加-手动输入”。账号绑定虚拟MFA,输入账号和密钥;IAM用户绑定虚拟MFA,输入IAM用户名和密钥。单击“添加”手动添加用户。

      手动输入添加用户方式只支持基于时间模式,建议在移动设备中开启自动设置时间功能。

  4. 添加用户完成,在“华为云”手机应用程序“虚拟MFA页面”,查看虚拟MFA的动态口令页面。动态口令每30秒自动更新一次。
  5. 在“绑定虚拟MFA”页面输入连续的两组口令,然后单击“确定”,完成绑定虚拟MFA设备的操作。
  • 已升级华为账号
  1. 进入安全设置
  2. 在“安全设置>敏感操作”页面,单击“虚拟MFA”右侧的“前往绑定”。

    图3 绑定虚拟MFA

  3. 跳转至“华为账号>安全验证”页面,根据提示绑定虚拟MFA。

登录保护

开启登录保护后,您或账号中的IAM用户在登录华为云时,除了在登录页面输入用户名和密码外(第一次身份验证),还需要在登录验证页面输入验证码(第二次身份验证),该功能是一种安全实践,建议开启登录保护,多次身份认证可以提高账号安全性。

账号只能自己开启登录保护,账号或管理员都可以为IAM用户开启登录保护。

  • 管理员为IAM用户开启登录保护

    管理员在IAM用户列表中,单击操作列的“安全设置”,单击“登录保护>验证方式”右侧的“”,选择验证方式为手机、邮件地址或虚拟MFA,为IAM用户开启登录保护。

    • 登录保护仅影响使用管理控制台访问华为云的IAM用户,对编程访问用户无影响。
    • 目前“华为云”手机应用程序暂不支持通过手机、邮件地址进行二次身份验证。如需登录“华为云”手机应用程序,建议选择MFA验证方式。
  • 未升级华为账号的华为云账号开启登录保护

    如果您的华为云账号暂未升级华为账号,进入安全设置后,账号可以在安全设置 > 敏感操作 > 登录保护中单击“立即设置”,选择“开启”,并设置验证方式,开启登录保护。

    图4 开启登录保护
  • 华为账号开启登录保护

    如果您的华为云账号已升级为华为账号,将不支持在“安全设置”页面开启登录保护,请在“华为账号中心>账号与安全>安全验证>双重验证”中单击“开启”,输入验证信息,开启登录保护。

    系统会对华为账号登录进行安全认证,如果您更换终端,初次登录将进行安全认证(安全手机二次验证)。如果您没有开启“双重验证”,初次登录完成后,单击“信任”,将终端添加到信任列表中,后续将无需二次认证。

      

操作保护

  • 开启操作保护

    开启后,账号以及账号中的IAM用户进行敏感操作时,例如删除弹性云服务器资源,需要输入验证码进行验证,避免误操作带来的风险和损失。“操作保护”默认为开启状态,为了您的资源安全,建议保持开启状态。

    开启操作保护后,默认在敏感操作验证成功后的15分钟之内,进行敏感操作无需再次验证。

  1. 管理员进入安全设置
  2. 敏感操作 > 操作保护 > 中,单击立即启用

    图5 开启操作保护

  3. 在右侧弹窗中选择“开启”,勾选“操作员验证”或“指定人员验证”。

    如选择“指定人员验证”,开启操作保护时,需要进行初次身份核验,确保指定人员验证方式可用。

    图6 操作保护设置
    • 操作员验证:触发敏感操作的账号或IAM用户进行二次验证。
    • 指定人员验证:账号及IAM用户触发的敏感操作均由指定人员进行验证。支持手机号、邮件地址,不支持虚拟MFA验证。

  4. 单击“确定”开启操作保护。
  • 关闭操作保护

关闭后,账号以及账号中的IAM用户进行敏感操作时,不需要输入验证码进行验证。

  1. 管理员进入安全设置
  2. 管理员在敏感操作>操作保护 > 中,单击立即修改

    图7 单击立即修改

  3. 在右侧弹窗中选择“关闭”,并单击“确定”。

    图8 关闭操作保护

  4. 在“身份验证”弹窗中输入验证码。

    • 操作员验证:关闭操作保护管理员本人进行二次验证。支持手机号、邮件地址、虚拟MFA。
    • 指定人员验证:由指定人员进行验证。支持手机号、邮件地址,不支持虚拟MFA验证。

  5. 单击“确定”,关闭操作保护。
  • 敏感操作由各个云服务单独定义。
  • 用户如果进行敏感操作,将进入“操作保护”页面,选择认证方式,包括邮件地址、手机和虚拟MFA三种认证方式。
    • 如果用户只绑定了手机号,则认证方式只能选择手机。
    • 如果用户只绑定了邮件地址,则认证方式只能选择邮件地址。
    • 如果用户未绑定邮件地址、手机和虚拟MFA,进行敏感操作时,将提示用户绑定邮件地址、手机或虚拟MFA。
  • 使用邮件地址、手机进行认证可能出现收不到验证码故障,建议您使用MFA验证方式。
  • 如需修改验证手机号、邮件地址,请在账号中心修改;如需修改虚拟MFA设备,请在虚拟MFA中修改。
  • 开启操作保护后,执行敏感操作时,需要输入验证码进行验证,此验证码将会发送至进行操作的IAM用户所绑定的手机号或邮件地址,而不是该IAM用户所属的账号。
  • 目前“华为云”手机应用程序暂不支持操作保护功能。

访问密钥保护

  • 开启访问密钥保护

    开启后,仅管理员才可以创建、启用/停用或删除IAM用户的访问密钥。由于“访问密钥保护”默认为关闭状态,为了保障资源安全,建议开启访问密钥保护功能。

    管理员进入安全设置后,在敏感操作>访问密钥保护 > 中,单击“”,开启访问密钥保护。

  • 关闭访问密钥保护

    关闭后,所有IAM用户可以创建、启用/停用或删除自己的访问密钥。

    管理员进入安全设置后,在敏感操作>访问密钥保护 中,单击“”,关闭访问密钥保护。

非对称签名

非对称签名功能启用时,所有用户的请求将使用派生密钥替代原始密钥(SK)做签名,对密钥提供更强的安全保护,默认关闭。

  • 开启非对称签名功能

    开启后,可以通过华为云SDK V3版本即可使用非对称签名功能。

  • 关闭非对称签名功能

    关闭后会导致正在使用非对称签名功能的访问失败。

自主管理用户属性

  • 开启自主管理用户属性

    开启后,所有IAM用户可以管理自己的基本信息,可以根据场景选择IAM用户可以修改的属性信息,可以选择登录密码、手机号、邮件地址。默认开启,且支持IAM用户修改所有属性。

    管理员进入安全设置后,在安全设置 > 敏感操作>自主管理用户属性 > 中,单击“立即启用”。在“自主管理用户属性设置”弹窗中,选择“开启”并勾选支持IAM用户自主修改的属性,单击“确定”,开启IAM用户自主管理用户属性。

  • 关闭自主管理用户属性

    关闭后,仅管理员可以管理自己的基本信息。IAM用户如需修改登录密码、手机号、邮件地址,请联系管理员参考查看或修改IAM用户信息进行操作。

    管理员进入安全设置后,在安全设置 > 敏感操作>自主管理用户属性 > 中,单击“立即修改”。在“自主管理用户属性设置”弹窗中,选择“关闭”,单击“确定”,关闭IAM用户自主管理用户属性。

USB KEY

根据界面实际情况进行配置,部分控制台暂不支持此功能。

USB KEY是一种通过硬件存储用户凭证的设备。使用USB KEY进行身份验证,无需输入密码,可以避免密码意外泄漏带来的账号安全问题。账号可以给账号和账号中的IAM用户绑定USB KEY,IAM用户无法给自己或他人进行绑定和解绑。

下面为您介绍账号为自己绑定和解绑USB KEY的操作方法。账号如需为IAM用户绑定或解绑USB KEY,请进入“统一身份认证控制台>用户”页面,单击用户名,在用户详情“安全设置”页签下的“USB KEY”中进行操作。

绑定后,该账号或IAM用户只能使用USB KEY登录,当前密码将立即失效,账号或用户将无法使用密码相关功能。

  1. 管理员进入安全设置
  2. 安全设置 > 敏感操作>USB KEY > 中,单击前往绑定
  3. 在右侧弹窗中勾选“绑定”,插入USB KEY设备,选择USB KEY型号、待绑定的USB KEY,输入该设备的PIN码,自定义证书显示名。

    若未输入证书显示名,系统将自动生成,建议输入。

  4. 单击“申请证书”。证书审批后,可获得USB KEY信息,请妥善保管证书显示名和PIN码,后续使用USB设备、证书显示名和PIN码登录。
  5. 单击“确定”,绑定成功。您的密码立即失效,无法使用密码登录控制台。

解绑后,该账号或IAM用户可以通过密码登录控制台。

安全设置 > 敏感操作>USB KEY > 中,单击立即解绑,插入USB KEY设备,系统将自动识别证书显示名,输入PIN码并设置新密码,单击“确定”,完成解绑。

敏感操作有哪些

当您开启操作保护后,进行以下操作时,需要进行身份认证。

表1 各云服务定义的敏感操作

类型

服务

敏感操作

计算

  

弹性云服务器(ECS)
  • 关闭、重启、删除弹性云服务器
  • 重置弹性云服务器密码
  • 卸载磁盘
  • 解绑弹性公网IP

裸金属服务器(BMS)
  • 关机、重启裸金属服务器
  • 重置裸金属服务器的密码
  • 卸载磁盘
  • 解绑弹性公网IP

弹性伸缩(AS)

删除伸缩组

存储

对象存储服务(OBS)
  • 删除桶
  • 创建、编辑、删除桶策略
  • 配置对象策略
  • 创建、编辑、删除桶ACL
  • 配置日志记录
  • 配置防盗链
  • 增加、编辑桶清单

云硬盘服务(EVS)

删除云硬盘

云备份(CBR)
  • 删除存储库
  • 删除备份
  • 备份恢复
  • 删除策略
  • 解绑资源
  • 接受备份

CDN与智能边缘

内容分发网络(CDN)

域名下线策略

容器

云容器引擎(CCE)

删除集群

应用编排服务(AOS)

删除堆栈

网络

云解析服务(DNS)
  • 修改、暂停、删除记录集
  • 修改、删除反向解析
  • 删除自定义线路

虚拟私有云(VPC)
  • 释放、解绑弹性公网IP
  • 删除对等连接
  • 安全组
    • 删除入(出)方向规则
    • 修改入(出)方向规则
    • 批量删除入(出)方向规则

弹性负载均衡(ELB)
  • 共享型负载均衡
    • 删除负载均衡器
    • 删除监听器
    • 删除证书
    • 删除后端云服务器
    • 解绑弹性公网IP
    • 解绑IPv4公网/私有IP
  • 独享型负载均衡
    • 删除负载均衡器
    • 删除监听器
    • 删除证书
    • 删除后端云服务器
    • 解绑弹性公网IP
    • 解绑IPv4公网/私有IP
    • 解绑IPv6地址
    • 移出IPv6共享带宽

弹性公网IP(EIP)
  • 删除共享带宽
  • 释放、解绑弹性公网IP
  • 批量释放、批量解绑弹性公网IP

网络

虚拟专用网络(VPN)
  • 删除VPN连接
  • 退订包周期VPN网关

云专线(DC)

删除虚拟接口

安全与合规

SSL证书管理(SCM)
  • 删除证书
  • 吊销证书

管理与监管

统一身份认证服务(IAM)
  • 关闭操作保护
  • 关闭登录保护
  • 修改手机号
  • 修改邮件地址
  • 修改登录密码
  • 修改登录保护验证方式
  • 删除IAM用户
  • 停用IAM用户
  • 删除委托
  • 删除用户组
  • 删除策略
  • 删除授权
  • 新增访问密钥
  • 删除访问密钥
  • 停用访问密钥
  • 删除项目
  • 修改访问密钥保护状态

管理与监管

云日志服务(LTS)
  • 删除日志流/组
  • 卸载ICAgent

应用服务

分布式缓存服务(DCS)
  • 重置密码
  • 删除实例
  • 清空数据

专属云

专属分布式存储服务(DSS)

删除磁盘

数据库

云数据库 RDS for MySQL
  • 重置管理员密码
  • 删除数据库实例
  • 删除数据库备份
  • 通过备份文件恢复到已有实例
  • 按指定时间点恢复到已有实例
  • 切换主备节点
  • 修改数据库端口
  • 删除数据库账号
  • 删除数据库
  • 修改实例内网IP
  • 解绑弹性公网IP
  • 下载全量备份文件

数据库

云数据库 RDS for PostgreSQL
  • 重置管理员密码
  • 删除数据库实例
  • 删除数据库备份
  • 切换主备节点
  • 修改数据库端口
  • 修改实例内网IP
  • 解绑弹性公网IP
  • 下载全量备份文件

数据库

云数据库 GaussDB(for MySQL)
  • 删除实例
  • 重启实例
  • 重启节点
  • 删除只读节点
  • 解绑弹性公网IP
  • 删除数据库
  • 重置数据库账号密码
  • 删除数据库账号
  • 重置管理员密码
  • 修改内网域名
  • 修改读写内网地址
  • 将数据库实例恢复到指定时间点

数据库

文档数据库服务(DDS)
  • 重置密码
  • 重启、删除实例
  • 重启节点
  • 副本集主备切换
  • 删除安全组规则
  • 申请Shard或Config节点IP
  • 备份恢复到当前实例
  • 备份恢复到已有实例
  • 包周期实例转按需计费

EI 企业智能

数据仓库服务 GaussDB(DWS)
  • 扩容、调整大小
  • 重启
  • 节点修复
  • 重置密码

MapReduce服务(MRS)
  • 集群
    • 删除集群
    • 按需转包周期集群
    • 停止所有组件
    • 同步配置
  • 节点
    • 停止所有角色
    • 隔离主机
    • 取消隔离主机
  • 组件:
    • 停止服务
    • 重启服务
    • 滚动重启服务
    • 停止实例
    • 重启实例
    • 滚动重启实例
    • 入服
    • 退服
    • 保存服务配置
  • 补丁:
    • 安装补丁
    • 卸载补丁
    • 回滚补丁

云通信

消息&短信 (Message&SMS)
  • 签名删除
  • 模板删除
  • 获取app_secret
  • 指定手机号、邮件地址绑定华为账号
  • 指定IP白名单
  • 续订套餐包

软件开发生产线

需求管理 CodeArts Req
  • 删除项目
  • 删除项目成员
  • 修改成员信息
  • 修改、删除权限
  • 修改项目基本信息
  • 删除工作项

用户服务

费用中心
  • 订单支付
  • 订单退订
  • 资源释放
父主题: 安全设置

相关文档