只有管理员可以设置敏感操作,普通IAM用户只有查看权限,不能对其进行设置,如需修改,请联系管理员为您操作或添加权限。
联邦用户在执行敏感操作时,不需要进行身份验证。
虚拟MFA虚拟Multi-Factor Authentication (MFA) 是能产生6位数字认证码的设备,遵循基于时间的一次性密码 (TOTP)标准。MFA设备可以基于硬件也可以基于软件,目前仅支持基于软件的虚拟MFA,虚拟MFA应用程序可以在移动硬件设备(包括智能手机)上运行,非常方便,虚拟MFA是多因素认证方式中的一种。
本节以“华为云App”为例介绍如何绑定虚拟MFA,如果您已安装其他MFA应用程序,请根据应用程序指引添加用户。如需了解有关解绑虚拟MFA、重置虚拟MFA的操作,请参见:虚拟MFA。
暂未升级华为账号、已升级华为账号绑定虚拟MFA的操作方法不同。
您需要先在智能设备上安装一个MFA应用程序(例如: “华为云”手机应用程序),才能绑定虚拟MFA设备。
暂未升级华为账号 进入安全设置。 在“安全设置>敏感操作”页面,单击“虚拟MFA”右侧的“前往绑定”。 图1 虚拟MFA 根据右侧弹出的绑定虚拟MFA页面,在您的MFA应用程序中添加用户。 图2 绑定虚拟MFA您可以通过扫描二维码、手动输入两种方式绑定MFA设备,下面以“华为云”手机应用程序为例绑定虚拟MFA:
扫描二维码打开手机上已安装好的“华为云”手机应用程序,选择“控制台-MFA-添加-扫码添加”,扫描“绑定虚拟MFA”弹窗中的二维码。扫描成功后,“华为云”手机应用程序会自动添加用户,虚拟MFA列表中出现账号/IAM用户名及对应的MFA动态码。
手动输入打开手机上已安装好的“华为云”手机应用程序,选择“控制台-MFA-添加-手动输入”。账号绑定虚拟MFA,输入账号和密钥;IAM用户绑定虚拟MFA,输入IAM用户名和密钥。单击“添加”手动添加用户。
手动输入添加用户方式只支持基于时间模式,建议在移动设备中开启自动设置时间功能。
添加用户完成,在“华为云”手机应用程序“虚拟MFA页面”,查看虚拟MFA的动态口令页面。动态口令每30秒自动更新一次。 在“绑定虚拟MFA”页面输入连续的两组口令,然后单击“确定”,完成绑定虚拟MFA设备的操作。 已升级华为账号 进入安全设置。 在“安全设置>敏感操作”页面,单击“虚拟MFA”右侧的“前往绑定”。 图3 绑定虚拟MFA 跳转至“华为账号>安全验证”页面,根据提示绑定虚拟MFA。 登录保护开启登录保护后,您或账号中的IAM用户在登录华为云时,除了在登录页面输入用户名和密码外(第一次身份验证),还需要在登录验证页面输入验证码(第二次身份验证),该功能是一种安全实践,建议开启登录保护,多次身份认证可以提高账号安全性。
账号只能自己开启登录保护,账号或管理员都可以为IAM用户开启登录保护。
管理员为IAM用户开启登录保护管理员在IAM用户列表中,单击操作列的“安全设置”,单击“登录保护>验证方式”右侧的“”,选择验证方式为手机、邮件地址或虚拟MFA,为IAM用户开启登录保护。
登录保护仅影响使用管理控制台访问华为云的IAM用户,对编程访问用户无影响。 目前“华为云”手机应用程序暂不支持通过手机、邮件地址进行二次身份验证。如需登录“华为云”手机应用程序,建议选择MFA验证方式。 未升级华为账号的华为云账号开启登录保护如果您的华为云账号暂未升级华为账号,进入安全设置后,账号可以在“安全设置 > 敏感操作 > 登录保护”中单击“立即设置”,选择“开启”,并设置验证方式,开启登录保护。
图4 开启登录保护 华为账号开启登录保护如果您的华为云账号已升级为华为账号,将不支持在“安全设置”页面开启登录保护,请在“华为账号中心>账号与安全>安全验证>双重验证”中单击“开启”,输入验证信息,开启登录保护。
系统会对华为账号登录进行安全认证,如果您更换终端,初次登录将进行安全认证(安全手机二次验证)。如果您没有开启“双重验证”,初次登录完成后,单击“信任”,将终端添加到信任列表中,后续将无需二次认证。
操作保护 开启操作保护
开启后,账号以及账号中的IAM用户进行敏感操作时,例如删除弹性云服务器资源,需要输入验证码进行验证,避免误操作带来的风险和损失。“操作保护”默认为开启状态,为了您的资源安全,建议保持开启状态。
开启操作保护后,默认在敏感操作验证成功后的15分钟之内,进行敏感操作无需再次验证。
管理员进入安全设置。 在“敏感操作 > 操作保护 > ”中,单击“立即启用”。 图5 开启操作保护 在右侧弹窗中选择“开启”,勾选“操作员验证”或“指定人员验证”。如选择“指定人员验证”,开启操作保护时,需要进行初次身份核验,确保指定人员验证方式可用。
图6 操作保护设置 操作员验证:触发敏感操作的账号或IAM用户进行二次验证。 指定人员验证:账号及IAM用户触发的敏感操作均由指定人员进行验证。支持手机号、邮件地址,不支持虚拟MFA验证。 单击“确定”开启操作保护。 关闭操作保护关闭后,账号以及账号中的IAM用户进行敏感操作时,不需要输入验证码进行验证。
管理员进入安全设置。 管理员在“敏感操作>操作保护 > ”中,单击“立即修改”。 图7 单击立即修改 在右侧弹窗中选择“关闭”,并单击“确定”。 图8 关闭操作保护 在“身份验证”弹窗中输入验证码。 操作员验证:关闭操作保护管理员本人进行二次验证。支持手机号、邮件地址、虚拟MFA。 指定人员验证:由指定人员进行验证。支持手机号、邮件地址,不支持虚拟MFA验证。 单击“确定”,关闭操作保护。 敏感操作由各个云服务单独定义。 用户如果进行敏感操作,将进入“操作保护”页面,选择认证方式,包括邮件地址、手机和虚拟MFA三种认证方式。 如果用户只绑定了手机号,则认证方式只能选择手机。 如果用户只绑定了邮件地址,则认证方式只能选择邮件地址。 如果用户未绑定邮件地址、手机和虚拟MFA,进行敏感操作时,将提示用户绑定邮件地址、手机或虚拟MFA。 使用邮件地址、手机进行认证可能出现收不到验证码故障,建议您使用MFA验证方式。 如需修改验证手机号、邮件地址,请在账号中心修改;如需修改虚拟MFA设备,请在虚拟MFA中修改。 开启操作保护后,执行敏感操作时,需要输入验证码进行验证,此验证码将会发送至进行操作的IAM用户所绑定的手机号或邮件地址,而不是该IAM用户所属的账号。 目前“华为云”手机应用程序暂不支持操作保护功能。 访问密钥保护 开启访问密钥保护开启后,仅管理员才可以创建、启用/停用或删除IAM用户的访问密钥。由于“访问密钥保护”默认为关闭状态,为了保障资源安全,建议开启访问密钥保护功能。
管理员进入安全设置后,在“敏感操作>访问密钥保护 > ”中,单击“”,开启访问密钥保护。
关闭访问密钥保护关闭后,所有IAM用户可以创建、启用/停用或删除自己的访问密钥。
管理员进入安全设置后,在“敏感操作>访问密钥保护 ”中,单击“”,关闭访问密钥保护。
非对称签名非对称签名功能启用时,所有用户的请求将使用派生密钥替代原始密钥(SK)做签名,对密钥提供更强的安全保护,默认关闭。
开启非对称签名功能开启后,可以通过华为云SDK V3版本即可使用非对称签名功能。
关闭非对称签名功能关闭后会导致正在使用非对称签名功能的访问失败。
自主管理用户属性 开启自主管理用户属性开启后,所有IAM用户可以管理自己的基本信息,可以根据场景选择IAM用户可以修改的属性信息,可以选择登录密码、手机号、邮件地址。默认开启,且支持IAM用户修改所有属性。
管理员进入安全设置后,在“安全设置 > 敏感操作>自主管理用户属性 > ”中,单击“立即启用”。在“自主管理用户属性设置”弹窗中,选择“开启”并勾选支持IAM用户自主修改的属性,单击“确定”,开启IAM用户自主管理用户属性。
关闭自主管理用户属性关闭后,仅管理员可以管理自己的基本信息。IAM用户如需修改登录密码、手机号、邮件地址,请联系管理员参考查看或修改IAM用户信息进行操作。
管理员进入安全设置后,在“安全设置 > 敏感操作>自主管理用户属性 > ”中,单击“立即修改”。在“自主管理用户属性设置”弹窗中,选择“关闭”,单击“确定”,关闭IAM用户自主管理用户属性。
USB KEY根据界面实际情况进行配置,部分控制台暂不支持此功能。
USB KEY是一种通过硬件存储用户凭证的设备。使用USB KEY进行身份验证,无需输入密码,可以避免密码意外泄漏带来的账号安全问题。账号可以给账号和账号中的IAM用户绑定USB KEY,IAM用户无法给自己或他人进行绑定和解绑。
下面为您介绍账号为自己绑定和解绑USB KEY的操作方法。账号如需为IAM用户绑定或解绑USB KEY,请进入“统一身份认证控制台>用户”页面,单击用户名,在用户详情“安全设置”页签下的“USB KEY”中进行操作。
绑定后,该账号或IAM用户只能使用USB KEY登录,当前密码将立即失效,账号或用户将无法使用密码相关功能。
管理员进入安全设置。 在“安全设置 > 敏感操作>USB KEY > ”中,单击“前往绑定”。 在右侧弹窗中勾选“绑定”,插入USB KEY设备,选择USB KEY型号、待绑定的USB KEY,输入该设备的PIN码,自定义证书显示名。若未输入证书显示名,系统将自动生成,建议输入。
单击“申请证书”。证书审批后,可获得USB KEY信息,请妥善保管证书显示名和PIN码,后续使用USB设备、证书显示名和PIN码登录。 单击“确定”,绑定成功。您的密码立即失效,无法使用密码登录控制台。解绑后,该账号或IAM用户可以通过密码登录控制台。
在“安全设置 > 敏感操作>USB KEY > ”中,单击“立即解绑”,插入USB KEY设备,系统将自动识别证书显示名,输入PIN码并设置新密码,单击“确定”,完成解绑。
敏感操作有哪些当您开启操作保护后,进行以下操作时,需要进行身份认证。
表1 各云服务定义的敏感操作类型
服务
敏感操作
计算
弹性云服务器(ECS)
关闭、重启、删除弹性云服务器 重置弹性云服务器密码 卸载磁盘 解绑弹性公网IP裸金属服务器(BMS)
关机、重启裸金属服务器 重置裸金属服务器的密码 卸载磁盘 解绑弹性公网IP弹性伸缩(AS)
删除伸缩组
存储
对象存储服务(OBS)
删除桶 创建、编辑、删除桶策略 配置对象策略 创建、编辑、删除桶ACL 配置日志记录 配置防盗链 增加、编辑桶清单云硬盘服务(EVS)
删除云硬盘
云备份(CBR)
删除存储库 删除备份 备份恢复 删除策略 解绑资源 接受备份CDN与智能边缘
内容分发网络(CDN)
域名下线策略
容器
云容器引擎(CCE)
删除集群
应用编排服务(AOS)
删除堆栈
网络
云解析服务(DNS)
修改、暂停、删除记录集 修改、删除反向解析 删除自定义线路虚拟私有云(VPC)
释放、解绑弹性公网IP 删除对等连接 安全组 删除入(出)方向规则 修改入(出)方向规则 批量删除入(出)方向规则弹性负载均衡(ELB)
共享型负载均衡 删除负载均衡器 删除监听器 删除证书 删除后端云服务器 解绑弹性公网IP 解绑IPv4公网/私有IP 独享型负载均衡 删除负载均衡器 删除监听器 删除证书 删除后端云服务器 解绑弹性公网IP 解绑IPv4公网/私有IP 解绑IPv6地址 移出IPv6共享带宽弹性公网IP(EIP)
删除共享带宽 释放、解绑弹性公网IP 批量释放、批量解绑弹性公网IP网络
虚拟专用网络(VPN)
删除VPN连接 退订包周期VPN网关云专线(DC)
删除虚拟接口
安全与合规
SSL证书管理(SCM)
删除证书 吊销证书管理与监管
统一身份认证服务(IAM)
关闭操作保护 关闭登录保护 修改手机号 修改邮件地址 修改登录密码 修改登录保护验证方式 删除IAM用户 停用IAM用户 删除委托 删除用户组 删除策略 删除授权 新增访问密钥 删除访问密钥 停用访问密钥 删除项目 修改访问密钥保护状态管理与监管
云日志服务(LTS)
删除日志流/组 卸载ICAgent应用服务
分布式缓存服务(DCS)
重置密码 删除实例 清空数据专属云
专属分布式存储服务(DSS)
删除磁盘
数据库
云数据库 RDS for MySQL
重置管理员密码 删除数据库实例 删除数据库备份 通过备份文件恢复到已有实例 按指定时间点恢复到已有实例 切换主备节点 修改数据库端口 删除数据库账号 删除数据库 修改实例内网IP 解绑弹性公网IP 下载全量备份文件数据库
云数据库 RDS for PostgreSQL
重置管理员密码 删除数据库实例 删除数据库备份 切换主备节点 修改数据库端口 修改实例内网IP 解绑弹性公网IP 下载全量备份文件数据库
云数据库 GaussDB(for MySQL)
删除实例 重启实例 重启节点 删除只读节点 解绑弹性公网IP 删除数据库 重置数据库账号密码 删除数据库账号 重置管理员密码 修改内网域名 修改读写内网地址 将数据库实例恢复到指定时间点数据库
文档数据库服务(DDS)
重置密码 重启、删除实例 重启节点 副本集主备切换 删除安全组规则 申请Shard或Config节点IP 备份恢复到当前实例 备份恢复到已有实例 包周期实例转按需计费EI 企业智能
数据仓库服务 GaussDB(DWS)
扩容、调整大小 重启 节点修复 重置密码MapReduce服务(MRS)
集群 删除集群 按需转包周期集群 停止所有组件 同步配置 节点 停止所有角色 隔离主机 取消隔离主机 组件: 停止服务 重启服务 滚动重启服务 停止实例 重启实例 滚动重启实例 入服 退服 保存服务配置 补丁: 安装补丁 卸载补丁 回滚补丁云通信
消息&短信 (Message&SMS)
签名删除 模板删除 获取app_secret 指定手机号、邮件地址绑定华为账号 指定IP白名单 续订套餐包软件开发生产线
需求管理 CodeArts Req
删除项目 删除项目成员 修改成员信息 修改、删除权限 修改项目基本信息 删除工作项用户服务
费用中心
订单支付 订单退订 资源释放