统一身份认证服务 IAM统一身份认证服务 IAM

计算
弹性云服务器 ECS
云耀云服务器 HECS
裸金属服务器 BMS
弹性伸缩 AS
镜像服务 IMS
专属主机 DeH
函数工作流 FunctionGraph
云手机 CPH
VR云渲游平台 CVR
特惠算力专区
存储
对象存储服务 OBS
云硬盘 EVS
云备份 CBR
内容分发网络 CDN
存储容灾服务 SDRS
弹性文件服务 SFS
云服务器备份 CSBS
云硬盘备份 VBS
数据快递服务 DES
专属企业存储服务
智能边缘
智能边缘云 IEC
EI 企业智能
EI安视服务
AI开发平台ModelArts
数据湖治理中心 DGC
数据仓库服务 GaussDB(DWS)
企业级AI应用开发专业套件 ModelArts Pro
数据湖探索 DLI
华为HiLens
云搜索服务 CSS
数据接入服务 DIS
表格存储服务 CloudTable
数据湖工厂 DLF
图引擎服务 GES
推荐系统 RES
文字识别 OCR
内容审核 Moderation
图像识别 Image
图像搜索 ImageSearch
人脸识别服务 FRS
对话机器人服务 CBS
视频分析服务 VAS
数据可视化 DLV
视频接入服务 VIS
自然语言处理 NLP
语音交互服务 SIS
知识图谱 KG
医疗智能体 EIHealth
可信智能计算服务 TICS
园区智能体 CampusGo
实时流计算服务 CS
人证核身服务 IVS
IoT物联网
设备接入 IoTDA
IoT物联网
全球SIM联接 GSL
设备发放 IoTDP
IoT开发者服务
IoT边缘 IoTEdge
IoT数据分析
路网数字化服务 DRIS
开发与运维
项目管理 ProjectMan
代码托管 CodeHub
流水线 CloudPipeline
代码检查 CodeCheck
编译构建 CloudBuild
部署 CloudDeploy
云测 CloudTest
发布 CloudRelease
移动应用测试 MobileAPPTest
CloudIDE
Classroom
软件开发平台 DevCloud
开源镜像站 Mirrors
视频
媒体处理 MPC
视频点播 VOD
视频直播 Live
实时音视频 SparkRTC
管理与部署
统一身份认证服务 IAM
云监控服务 CES
应用运维管理 AOM
应用性能管理 APM
云审计服务 CTS
云日志服务 LTS
标签管理服务 TMS
资源管理服务 RMS
应用身份管理服务 OneAccess
专属云
专属计算集群 DCC
专属分布式存储服务 DSS
域名与网站
域名注册服务 Domains
云速建站 CloudSite
企业协同
华为云WeLink
会议
ISDP
解决方案
全栈专属服务
高性能计算 HPC
SAP
游戏云
混合云灾备
快视频
华为工业云平台 IMC
价格
价格原则
成本优化最佳实践
昇腾
昇腾MindX SDK (20.3)
其他
管理控制台
消息中心
产品价格详情
系统权限
我的凭证
客户关联华为云合作伙伴须知
公共问题
宽限期保留期
奖励推广计划
活动
容器
云容器引擎 CCE
云容器实例 CCI
容器镜像服务 SWR
应用编排服务 AOS
容器交付流水线 ContainerOps
应用服务网格 ASM
多云容器平台 MCP
基因容器 GCS
容器洞察引擎 CIE
容器批量计算 BCE
云原生服务中心 OSC
网络
虚拟私有云 VPC
弹性公网IP EIP
弹性负载均衡 ELB
NAT网关 NAT
云专线 DC
虚拟专用网络 VPN
云连接 CC
VPC终端节点 VPCEP
数据库
云数据库 RDS
文档数据库服务 DDS
分布式数据库中间件 DDM
数据复制服务 DRS
数据管理服务 DAS
云数据库 GaussDB(for MySQL)
云数据库 GaussDB NoSQL
云数据库 GaussDB (for openGauss)
数据库和应用迁移 UGO
大数据
MapReduce服务 MRS
应用中间件
应用管理与运维平台 ServiceStage
分布式缓存服务 DCS
分布式消息服务Kafka版
分布式消息服务RabbitMQ版
消息通知服务 SMN
微服务引擎 CSE
云性能测试服务 CPTS
区块链服务 BCS
API网关 APIG
应用魔方 AppCube
分布式消息服务RocketMQ版
多云高可用服务 MAS
可信跨链数据链接服务 TCDAS
企业应用
云桌面 Workspace
云解析服务 DNS
应用与数据集成平台 ROMA Connect
ROMA资产中心 ROMAExchange
ROMA API
鸿源云道
华为乾坤
安全与合规
Web应用防火墙 WAF
漏洞扫描服务 VSS
企业主机安全 HSS
容器安全服务 CGS
数据加密服务 DEW
数据库安全服务 DBSS
态势感知 SA
云堡垒机 CBH
SSL证书管理 SCM
云证书管理服务 CCM
管理检测与响应 MDR
数据安全中心 DSC
威胁检测服务 MTD
DDoS防护 ADS
云防火墙 CFW
应用信任中心 ATC
安全技术与应用
迁移
主机迁移服务 SMS
对象存储迁移服务 OMS
云数据迁移 CDM
智能协作
IdeaHub
企业网络
云管理网络
SD-WAN 云服务
边缘数据中心管理 EDCM
废弃-华为乾坤安全云服务
云通信
语音通话 VoiceCall
消息&短信 MSGSMS
隐私保护通话 PrivateNumber
开发者工具
SDK开发指南
API签名指南
DevStar
HCloud CLI
Terraform
Ansible
云生态
云市场
鲲鹏
昇腾
合作伙伴中心
华为云培训中心
用户服务
帐号中心
费用中心
成本中心
资源中心
企业管理
工单管理
客户运营能力
国际站常见问题
网站备案
支持计划
专业服务
合作伙伴支持计划
更新时间:2021/09/30 GMT+08:00
分享

敏感操作

只有管理员可以设置敏感操作,普通IAM用户只有查看权限,不能对其进行设置,如需修改,请联系管理员为您操作或添加权限。

联邦用户在执行敏感操作时,不需要进行身份验证。

虚拟MFA

虚拟Multi-Factor Authentication (MFA) 是能产生6位数字认证码的设备,遵循基于时间的一次性密码 (TOTP)标准。MFA设备可以基于硬件也可以基于软件,目前仅支持基于软件的虚拟MFA,虚拟MFA应用程序可以在移动硬件设备(包括智能手机)上运行,非常方便,虚拟MFA是多因素认证方式中的一种。

本节为您介绍如何绑定虚拟MFA,如需了解有关解绑虚拟MFA、重置虚拟MFA的操作,请参见:虚拟MFA

暂未升级华为帐号 已升级华为帐号绑定虚拟MFA的操作方法不同。

您需要先在智能设备上安装一个MFA应用程序(例如: “华为云”手机应用程序),才能绑定虚拟MFA设备。

  • 暂未升级华为帐号
  1. 进入安全设置
  2. 在“安全设置>敏感操作”页面,单击“虚拟MFA”右侧的“前往绑定”。虚拟MFA

    图1 虚拟MFA

  3. 根据右侧弹出的绑定虚拟MFA页面,在您的MFA应用程序中添加用户。

    图2 绑定虚拟MFA

    您可以通过扫描二维码、手动输入两种方式绑定MFA设备,下面以“华为云”手机应用程序为例绑定虚拟MFA:

    • 扫描二维码

      打开手机上已安装好的“华为云”手机应用程序,选择“控制台-MFA-添加-扫码添加”,扫描“绑定虚拟MFA”弹窗中的二维码。扫描成功后,“华为云”手机应用程序会自动添加用户,虚拟MFA列表中出现帐号/IAM用户名及对应的MFA动态码。

    • 手动输入

      打开手机上已安装好的“华为云”手机应用程序,选择“控制台-MFA-添加-手动输入”。帐号绑定虚拟MFA,输入帐号和密钥;IAM用户绑定虚拟MFA,输入IAM用户名和密钥。单击“添加”手动添加用户。

      手动输入添加用户方式只支持基于时间模式,建议在移动设备中开启自动设置时间功能。

  4. 添加用户完成,在“华为云”手机应用程序“虚拟MFA页面”,查看虚拟MFA的动态口令页面。动态口令每30秒自动更新一次。
  5. 在“绑定虚拟MFA”页面输入连续的两组口令,然后单击“确定”,完成绑定虚拟MFA设备的操作。
  • 已升级华为帐号
  1. 进入安全设置
  2. 在“安全设置>敏感操作”页面,单击“虚拟MFA”右侧的“前往绑定”。

    图3 绑定虚拟MFA

  3. 跳转至“华为帐号>安全验证”页面,根据提示绑定虚拟MFA。

登录保护

开启登录保护后,您或帐号中的IAM用户在登录华为云时,除了在登录页面输入用户名和密码外(第一次身份验证),还需要在登录验证页面输入验证码(第二次身份验证),该功能是一种安全实践,建议开启登录保护,多次身份认证可以提高帐号安全性。

帐号只能自己开启登录保护,帐号或管理员都可以为IAM用户开启登录保护。

  • 管理员为IAM用户开启登录保护

    管理员在IAM用户列表中,单击操作列的“安全设置”,单击“登录保护>验证方式”右侧的“”,选择验证方式为手机、邮件地址或虚拟MFA,为IAM用户开启登录保护。

    • 登录保护仅影响使用管理控制台访问华为云的IAM用户,对编程访问用户无影响。
    • 目前“华为云”手机应用程序暂不支持通过手机、邮件地址进行二次身份验证。如需登录“华为云”手机应用程序,建议选择MFA验证方式。
  • 未升级华为帐号的华为云帐号开启登录保护

    如果您的华为云帐号暂未升级华为帐号,进入安全设置后,帐号可以在安全设置 > 敏感操作>登录保护 > 中单击“立即设置”,选择“开启”,并设置验证方式,开启登录保护。

    图4 开启登录保护
  • 华为帐号开启登录保护

    如果您的华为云帐号已升级为华为帐号,将不支持在“安全设置”页面开启登录保护,请在“华为帐号中心>帐号与安全>安全验证>双重验证”中单击“开启”,输入验证信息,开启登录保护。

操作保护

  • 开启操作保护

开启后,帐号以及帐号中的IAM用户进行敏感操作时,例如删除弹性云服务器资源,需要输入验证码进行验证,避免误操作带来的风险和损失。“操作保护”默认为开启状态,为了您的资源安全,建议保持开启状态。

  1. 管理员进入安全设置
  2. 安全设置 > 敏感操作>操作保护 > 中,单击立即启用

    图5 开启操作保护

  3. 在右侧弹窗中选择“开启”,勾选“操作员验证”或“指定人员验证”。

    如选择“指定人员验证”,开启操作保护时,需要进行初次身份核验,确保指定人员验证方式可用。

    图6 操作保护设置
    • 操作员验证:触发敏感操作的帐号或IAM用户进行二次验证。
    • 指定人员验证:帐号及IAM用户触发的敏感操作均由指定人员进行验证。支持手机号、邮件地址,不支持虚拟MFA验证。

  4. 单击“确定”开启操作保护。
  • 关闭操作保护

关闭后,帐号以及帐号中的IAM用户进行敏感操作时,不需要输入验证码进行验证。

  1. 管理员进入安全设置
  2. 安全设置 > 敏感操作>操作保护 > 中,单击立即修改

    图7 单击立即修改

  3. 在右侧弹窗中选择“关闭”,并单击“确定”。

    图8 关闭操作保护

  4. 在“身份验证”弹窗中输入验证码。

    • 操作员验证:关闭操作保护管理员本人进行二次验证。支持手机号、邮件地址、虚拟MFA。
    • 指定人员验证:由指定人员进行验证。支持手机号、邮件地址,不支持虚拟MFA验证。

  5. 单击“确定”,关闭操作保护。
  • 敏感操作由各个云服务单独定义。
  • 用户如果进行敏感操作,将进入“操作保护”页面,选择认证方式,包括邮件地址、手机和虚拟MFA三种认证方式。
    • 如果用户只绑定了手机号,则认证方式只能选择手机。
    • 如果用户只绑定了邮件地址,则认证方式只能选择邮件地址。
    • 如果用户未绑定邮件地址、手机和虚拟MFA,进行敏感操作时,将提示用户绑定邮件地址、手机或虚拟MFA。
  • 使用邮件地址、手机进行认证可能出现收不到验证码故障,建议您使用MFA验证方式。
  • 如需修改验证手机号、邮件地址,请在帐号中心修改;如需修改虚拟MFA设备,请在虚拟MFA中修改。
  • 开启操作保护后,执行敏感操作时,需要输入验证码进行验证,此验证码将会发送至进行操作的IAM用户所绑定的手机号或邮件地址,而不是该IAM用户所属的帐号。

访问密钥保护

  • 开启访问密钥保护

    开启后,仅管理员才可以创建、启用/停用或删除IAM用户的访问密钥。由于“访问密钥保护”默认为关闭状态,为了帐号资源的安全,建议开启访问密钥保护功能。

    管理员进入安全设置后,在安全设置 > 敏感操作>访问密钥保护 > 中,单击“”,开启访问密钥保护。

  • 关闭访问密钥保护

    关闭后,所有IAM用户可以创建、启用/停用或删除自己的访问密钥。

    管理员进入安全设置后,在安全设置 > 敏感操作 > 访问密钥保护 中,单击“”,关闭操作保护。

敏感操作有哪些

当您开启操作保护后,进行以下操作时,需要进行身份认证。

表1 各云服务定义的敏感操作

类型

服务

敏感操作

计算

  

弹性云服务器(ECS)

  • 关闭、重启、删除弹性云服务器
  • 重置弹性云服务器密码
  • 卸载磁盘
  • 解绑弹性公网IP

裸金属服务器(BMS)

  • 关机、重启裸金属服务器
  • 重置裸金属服务器的密码
  • 卸载磁盘
  • 解绑弹性公网IP

弹性伸缩(AS)

  • 删除伸缩组

存储

对象存储服务(OBS)

  • 删除桶
  • 创建、编辑、删除桶策略
  • 配置对象策略
  • 创建、编辑、删除桶ACL
  • 配置日志记录
  • 配置防盗链
  • 增加、编辑桶清单

云硬盘服务(EVS)

  • 删除云硬盘

内容分发网络(CDN)

  • 域名下线策略

容器

云容器引擎(CCE)

  • 删除集群

网络

云解析服务(DNS)

  • 修改、暂停、删除域名
  • 修改、暂停、删除记录集
  • 修改、删除反向解析
  • 删除自定义线路

虚拟私有云(VPC)

  • 解绑弹性公网IP
  • 删除对等连接
  • 安全组
    • 删除入(出)方向规则
    • 修改入(出)方向规则
    • 批量删除入(出)方向规则

弹性负载均衡(ELB)

  • 经典型负载均衡
    • 删除负载均衡器
    • 删除监听器
    • 删除证书
    • 停用负载均衡器
  • 共享型负载均衡
    • 删除负载均衡器
    • 删除监听器
    • 删除证书
    • 删除后端云服务器
    • 解绑弹性公网IP
    • 解绑IPv4公网/私有IP
    • 解绑IPv6地址
    • 移出IPv6共享带宽

弹性公网IP(EIP)

  • 删除共享带宽
  • 释放、解绑弹性公网IP
  • 批量释放、批量解绑弹性公网IP

虚拟专用网络(VPN)

  • 删除VPN连接
  • 退订包周期VPN网关

云专线(DC)

  • 删除虚拟接口

安全与合规

SSL证书管理(SCM)

  • 删除证书
  • 吊销证书

管理与监管

统一身份认证服务(IAM)

  • 关闭操作保护
  • 关闭登录保护
  • 修改手机号
  • 修改邮件地址
  • 修改登录密码
  • 修改登录保护验证方式

云审计服务(CTS)

  • 停用system追踪器

云日志服务(LTS)

  • 删除日志流/组
  • 卸载ICAgent

应用服务

分布式缓存服务(DCS)

  • 重置密码
  • 删除实例
  • 清空数据

专属云

专属分布式存储服务(DSS)

  • 删除磁盘

数据库

云数据(RDS)

  • 重置管理员密码
  • 重启、删除、批量恢复数据库实例
  • 删除数据库备份
  • 通过备份文件恢复到当前实例
  • 通过备份文件恢复到已有实例
  • 按指定时间点恢复到当前实例
  • 按指定时间点恢复到已有实例
  • 表级时间点恢复
  • 切换主备节点
  • 修改数据库端口
  • 删除数据库帐号
  • 删除数据库
  • 重置数据库帐号的密码
  • 修改实例内网IP
  • 解绑弹性公网IP
  • 开启、关闭一键告警

文档数据库服务(DDS)

  • 重置密码
  • 重启、删除实例
  • 重启节点
  • 副本集主备切换
  • 删除安全组规则
  • 申请Shard或Config节点IP
  • 备份恢复到当前实例
  • 备份恢复到已有实例
  • 包周期实例转按需计费
  • 开启、关闭一键告警

EI 企业智能

数据仓库服务 GaussDB(DWS)

  • 扩容、调整大小
  • 重启
  • 节点修复
  • 重置密码

MapReduce服务(MRS)

  • 集群
    • 删除集群
    • 按需转包周期集群
    • 停止所有组件
    • 同步配置
  • 节点
    • 停止所有角色
    • 隔离主机
    • 取消隔离主机
  • 组件:
    • 停止服务
    • 重启服务
    • 滚动重启服务
    • 停止实例
    • 重启实例
    • 滚动重启实例
    • 入服
    • 退服
    • 保存服务配置
  • 补丁:
    • 安装补丁
    • 卸载补丁
    • 回滚补丁

云通信

消息&短信 (Message&SMS)

  • 签名删除
  • 模板删除
  • 获取app_secret
  • 指定手机号、邮件地址绑定华为云帐号
  • 指定IP白名单
  • 续订套餐包

软件开发平台

项目管理 (ProjectMan)

  • 删除项目
  • 删除项目成员
  • 修改成员信息
  • 修改、删除权限
  • 修改项目基本信息
  • 删除工作项
分享:

    相关文档

    相关产品