适用于统一身份认证服务(IAM)的最佳实践
该示例模板中对应的合规规则的说明和修复项指导如下表所示:
合规规则 |
规则中文名称 |
涉及云服务 |
说明指导 |
规则描述 |
修复项指导 |
|---|---|---|---|---|---|
access-keys-rotated |
IAM用户的AccessKey在指定时间内轮换 |
iam |
企业用户通常都会使用访问密钥(AK/SK)的方式对云上资源的进行API访问,但是访问密钥需要做到定期的自动轮换,以降低密钥泄露等潜在的安全风险。 |
IAM用户的访问密钥未在指定天数内轮转,视为“不合规”. |
用户可以通过使用API调用的方式轮换访问密钥。 |
iam-group-has-users-check |
IAM用户组添加了IAM用户 |
iam |
管理员创建用户组并授权后,将用户加入用户组中,使用户具备用户组的权限,实现用户的授权。给已授权的用户组中添加或者移除用户,快速实现用户的权限变更。确保IAM组至少有一个用户,帮助您将最小权限和职责分离的原则与访问权限和授权结合起来。 |
IAM用户组未添加任意IAM用户,视为“不合规” |
管理员在用户组列表中,单击新建的用户组,选择“用户组管理”,在“可选用户”中选择需要添加至用户组中的用户。 |
iam-password-policy |
IAM用户密码策略符合要求 |
iam |
确保IAM用户密码强度满足密码强度要求。 |
IAM用户密码强度不满足密码强度要求,视为“不合规” |
用户可以根据提示修改密码达到需要的密码强度。 |
iam-root-access-key-check |
IAM账号存在可使用的访问密钥 |
iam |
确保根访问密钥已删除。 |
账号存在可使用的访问密钥,视为“不合规” |
用户可以根据规则评估结果删除账号可使用的访问密钥。 |
iam-user-console-and-api-access-at-creation |
IAM用户创建时设置AccessKey |
iam |
访问密钥即AK/SK(Access Key ID/Secret Access Key),是您通过开发工具(API、CLI、SDK)访问华为云时的身份凭证,不能登录控制台。 |
对于从Console侧访问的IAM用户,其创建时设置访问密钥,视为“不合规” |
用户可以根据规则评估结果删除或停用访问密钥。 |
iam-user-group-membership-check |
IAM用户归属用户组 |
iam |
管理员创建用户组并授权后,将用户加入用户组中,使用户具备用户组的权限,实现用户的授权。给已授权的用户组中添加或者移除用户,快速实现用户的权限变更。 |
IAM用户不属于任意一个IAM用户组,视为“不合规” |
可以选择一个用户组,以管理员的身份,将不合规的IAM用户添加到用户组中。 |
iam-user-last-login-check |
IAM用户在指定时间内有登录行为 |
iam |
管理员创建IAM用户后,这个新建的IAM用户可以登录华为云。避免IAM用户资源闲置。 |
IAM用户在指定时间范围内无登录行为,视为“不合规” |
您可以在华为云登录页面或者打开IAM用户专属链接,输入用户名和密码的方式登录IAM用户。 |
iam-user-mfa-enabled |
IAM用户开启MFA |
iam |
确保为所有IAM用户通过MFA方式进行多因素认证。MFA在用户名和密码的基础上增加了一层额外的保护,通过要求对用户进行MFA来减少账户被盗用的事件。 |
IAM用户未开启MFA认证,视为“不合规” |
您需要在智能设备上安装一个虚拟MFA应用程序后(例如:华为云App、Google Authenticator或Microsoft Authenticator),才能绑定虚拟MFA设备。 |
iam-user-single-access-key |
IAM用户单访问密钥 |
iam |
账号和IAM用户的访问密钥是单独的身份凭证,即账号和IAM用户仅能使用自己的访问密钥进行API调用。 |
IAM用户拥有多个处于“active”状态的访问密钥,视为“不合规” |
用户可以根据规则评估结果删除或停用多余的访问密钥。 |
mfa-enabled-for-iam-console-access |
Console侧密码登录的IAM用户开启MFA认证 |
iam |
确保为所有能通过控制台登录的IAM用户启用多因素认证(MFA),管理对华为云中资源的访问。MFA 在用户名和密码的基础上增加了一层额外的保护。通过要求对用户进行 MFA,您可以减少账户被盗用的事件,并防止敏感数据被未经授权的用户访问。 |
通过Console密码登录的IAM用户未开启MFA认证,视为“不合规” |
您需要在智能设备上安装一个虚拟MFA应用程序后(例如:华为云App、Google Authenticator或Microsoft Authenticator),才能绑定虚拟MFA设备。 |
root-account-mfa-enabled |
根账号开启MFA认证 |
iam |
确保为root用户启用多因素认证(MFA),管理对华为云中资源的访问。多因素认证Multi-Factor Authentication(MFA)是一种非常简单的安全实践方法,它能够在用户名称和密码之外再额外增加一层保护。启用多因素认证后,用户进行操作时,除了需要提供用户名和密码外(第一次身份验证),还需要提供验证码(第二次身份验证),多因素身份认证结合起来将为您的账号和资源提供更高的安全保护。 |
根账号未开启MFA认证,视为“不合规” |
您需要在智能设备上安装一个虚拟MFA应用程序后(例如:华为云App、Google Authenticator或Microsoft Authenticator),才能绑定虚拟MFA设备。 |
