云服务器内容精选

  • 命名空间权限 Kubernetes RBAC API定义了四种类型:Role、ClusterRole、RoleBinding与ClusterRoleBinding。当前CCI仅支持ClusterRole、RoleBinding,这两种类型之间的关系和简要说明如下: ClusterRole:描述角色和权限的关系。在Kubernetes的RBAC API中,一个角色定义了一组特定权限的规则。整个Kubernetes集群范围内有效的角色则通过ClusterRole对象实现。 RoleBinding:描述subjects(包含users,groups)和角色的关系。角色绑定将一个角色中定义的各种权限授予一个或者一组用户,该用户或用户组则具有对应绑定ClusterRole定义的权限。 表1 RBAC API所定义的两种类型 类型名称 说明 ClusterRole ClusterRole对象可以授予整个集群范围内资源访问权限。 RoleBinding RoleBinding可以将同一Namespace中的subject(用户)绑定到某个具有特定权限的ClusterRole下,则此subject即具有该ClusterRole定义的权限。 当前仅支持用户使用ClusterRole在Namespace下创建RoleBinding。
  • 身份认证 用户访问云数据库 GaussDB 时支持对数据库用户进行身份验证,包含密码验证和 IAM 验证两种方式。 密码验证 您需要对数据库实例进行管理,使用数据管理服务(Data Admin Service)登录数据库时,需要对账号密码进行验证,验证成功后方可进行操作。 IAM验证 您可以使用 统一身份认证 服务(Identity and Access Management, IAM)进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全地控制华为云资源的访问。您创建的IAM用户,需要通过验证用户和密码才可以使用GaussDB资源。具体请参见创建IAM用户并登录。
  • 访问控制 权限控制 购买实例之后,您可以使用IAM为企业中的员工设置不同的访问权限,以达到不同员工之间的权限隔离,通过IAM进行精细的权限管理。具体内容请参见权限管理。 VPC和子网 虚拟私有云(Virtual Private Cloud, VPC)为云数据库构建隔离的、用户自主配置和管理的虚拟网络环境,提升用户云上资源的安全性,简化用户的网络部署。您可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性,方便管理、配置内部网络,进行安全、快捷的网络变更。 子网提供与其他网络隔离的、可以独享的网络资源,以提高网络安全性。 具体内容请参见创建虚拟私有云和子网。 安全组 安全组是一个逻辑上的分组,为同一个虚拟私有云内具有相同安全保护需求并相互信任的和 GaussDB数据库 实例提供访问策略。为了保障数据库的安全性和稳定性,在使用GaussDB数据库实例之前,您需要设置安全组,开通需访问数据库的IP地址和端口。 具体请参见设置安全组规则。
  • CloudPond基础设施安全 华为云致力于打造可信云平台,CloudPond整体上继承了华为 云安全 建设规范,具体安全方案细节请参见华为云安全白皮书。 CloudPond用户侧和平台侧分别实施了严格的安全隔离策略,华为云负责CloudPond平台的运维和安全运营,提供7*24小时安全监控运营服务。 CloudPond平台侧默认全部部署了主机安全服务,华为云会定期对平台侧执行 漏洞扫描 ,并按照SLA(Service-Level Agreement)的要求及时安装补丁修复漏洞。 华为云对CloudPond平台侧的账号权限进行集中管理,并定期进行账号密钥轮换,以防止未经授权的访问。
  • 通信安全 中心云与CloudPond之间存在如下两类网络线路通信: 运维管理线路:该线路通过CloudPond内置VPN(Virtual Private Network)实现传输加密,保证网络通信安全。其相关数据为平台运维和服务管控层数据,不涉及用户业务数据通信。 业务互联线路:该线路通过网络加密技术实现传输加密,保证网路通信安全。其相关数据为CloudPond本地实例和中心云服务之间的通信数据,该传输数据和传输策略由用户VPC进行控制。
  • 企业项目 CloudPond支持通过企业项目对资源进行分组、管理和隔离,实现按照企业、部门或者项目组等不同组织对资源的管理和访问控制。 企业项目是对多个资源进行分组和管理,不同区域的资源可以划分到一个企业项目中。企业可以根据不同的部门或项目组,将相关的资源放置在相同的企业项目内进行管理,并支持资源在企业项目之间迁移。 企业项目可以授权给一个或者多个用户组进行管理,管理企业项目的用户归属于用户组。通过给用户组授予策略,用户组中的用户就能在所属企业项目中获得策略中定义的权限。 关于如何创建企业项目,以及如何授权,请参阅企业项目。
  • 行级访问控制 在业务开发过程中,存在多个用户共同访问和维护同一张表的场景,需要针对不同用户设置不同行数据的访问权限。例如只允许用户A查看跟自己相关的行数据,即相对于表的管理员能看到全部表数据而言,用户A执行SELECT * FROM table_name的时候,只能看到部分行数据,不能看到所有,以行级进行数据访问控制,对此GaussDB(DWS)行级访问控制特性实现了这一功能。将数据库访问控制精确到数据表行级别,使数据库达到行级访问控制的能力。不同用户执行相同的SQL查询操作,读取到的结果是不同的。 用户可以在数据表创建行访问控制(Row Level Security)策略,该策略是指针对特定数据库用户、特定SQL操作生效的表达式。当数据库用户对数据表访问时,若SQL满足数据表特定的Row Level Security策略,在查询优化阶段将满足条件的表达式,按照属性(PERMISSIVE | RESTRICTIVE)类型,通过AND或OR方式拼接,应用到执行计划上。 行级访问控制的目的是控制表中行级数据可见性,通过在数据表上预定义Filter,在查询优化阶段将满足条件的表达式应用到执行计划上,影响最终的执行结果。当前受影响的SQL语句包括SELECT,UPDATE,DELETE。 了解更多请参见行级访问控制。 父主题: 身份认证与访问控制
  • 访问控制 虚拟私有云 虚拟私有云(Virtual Private Cloud,以下简称VPC)为边缘服务构建了一个逻辑上完全隔离的专有区域,您可以在自己的逻辑隔离区域中定义虚拟网络,为边缘业务构建一个逻辑上完全隔离的专有区域。您还可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性,方便管理、配置内部网络,进行安全、快捷的网络变更。同时,您可以自定义安全组内与组间边缘业务的访问规则,加强边缘业务的安全保护。 安全组 安全组是一个逻辑上的分组,为具有相同安全保护需求并相互信任的边缘业务提供访问策略。安全组创建后,用户可以在安全组中定义各种访问规则,当边缘业务加入该安全组后,即受到这些访问规则的保护。 如何设置虚拟私有云和安全组,请参见边缘网络。
  • 密钥对 密钥对,也称SSH密钥对,是区别于用户名+密码的远程登录Linux实例的认证方式。通过加密算法生成一对密钥,一个对外界公开,称为公钥,另一个由用户自己保留,称为私钥。公钥和私钥组成密钥对。密钥对的工作原理是使用公钥加密某个数据(例如一个密码),用户可以使用私钥解密数据。 华为云只会存储公钥,您需要存储私钥。拥有您的私钥的任何人都可以解密您的登录信息,因此将您的私钥保存在一个安全的位置非常重要。 如何创建使用密钥对,请参见表3 高级配置参数说明。
  • 访问控制 虚拟私有云 虚拟私有云(Virtual Private Cloud,以下简称VPC)为云手机服务器构建了一个逻辑上完全隔离的专有区域,您可以在自己的逻辑隔离区域中定义虚拟网络,为云手机服务器构建一个逻辑上完全隔离的专有区域。您还可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性,方便管理、配置内部网络,进行安全、快捷的网络变更。同时,您可以自定义安全组内与组间云手机服务器的访问规则,加强云手机服务器的安全保护。 安全组 安全组是一个逻辑上的分组,为具有相同安全保护需求并相互信任的云手机服务器提供访问策略。安全组创建后,用户可以在安全组中定义各种访问规则,当云手机服务器加入该安全组后,即受到这些访问规则的保护。 如何设置虚拟私有云和安全组,请参见表2 自定义网络配置。
  • IAM身份认证 云手机服务器支持通过IAM进行精细的权限管理,实现用户身份认证、权限分配、访问控制等功能,可以帮助您安全地控制资源的访问。 您可以在账号中创建IAM用户,并授权控制他们对资源的访问范围。IAM权限是作用于云资源的,IAM权限定义了允许和拒绝的访问操作,以此实现云资源权限访问控制。 权限管理简介,请参见CPH权限管理。 授权使用CPH,请参见创建用户并授权使用CPH。 自定义策略,请参见权限配置示例。 策略及授权项详情,请参见权限及授权项说明。
  • 身份认证 身份凭证及其安全性 MPC支持通过账号和IAM用户两种身份访问,并且均支持通过用户名密码、访问密钥和临时访问密钥进行身份认证。如表1所示,每一种身份凭证,MPC都对其进行安全性设计,目的是保护用户数据,让用户更安全地访问MPC。 表1 表1 MPC身份凭证和安全性设计 访问凭证 安全性简要说明 详细介绍 用户名、密码 按需配置用户密钥字符种类和最小长度,支持配置密码有效期策略和密码最短使用时间策略。 密码策略 访问密钥 华为云通过AK识别访问用户的身份,通过SK对请求数据进行签名验证,用于确保请求的机密性、完整性和请求者身份的正确性。 访问密钥 临时访问密钥 临时访问密钥除了具备访问密钥特性,还具备时效性,可对有效期进行设置,到期后无法重复使用,只能重新获取。 临时访问密钥 登录保护及登录验证策略 如表2所示,除了要求用户登录出示凭证并验证合法性,MPC还提供登录保护机制,支持登录验证策略,防止用户信息被非法盗用。 表2 表2 登录保护和登录验证策略 登录保护手段 简要说明 详细介绍 登录保护 除了在登录页面输入用户名和密码外(第一次身份验证),用户登录华为云还需要在登录验证页面输入验证码(第二次身份验证)。 验证设备支持手机、邮箱和虚拟MFA设备,详见多因素认证。 登录保护 登录验证策略 MPC支持会话超时策略,超过规定时长未操作界面需重新登录;支持账号锁定策略,登录失败次数过多触发账号锁定;支持账号停用策略,长时间未登录触发账号停用;支持最近登录提示,用户可查看上次登录时间。 登录验证策略
  • 身份认证 统一身份认证服务(Identity and Access Management,简称IAM)提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全的控制华为云资源的访问。 通过IAM,您可以在账号中给员工创建IAM用户,并授权控制他们对华为云资源的访问范围。例如您的员工中有负责软件开发的人员,您希望他们拥有AS的使用权限,但是不希望他们拥有删除伸缩组等高危操作的权限,那么您可以使用IAM为开发人员创建用户,通过授予仅能使用伸缩组,但是不允许删除伸缩组的权限策略,控制他们对AS资源的使用范围。
  • 访问控制 AS支持通过权限控制(IAM权限)、项目和企业项目、敏感操作、安全组进行访问控制。 表1 AS访问控制 访问控制方式 简要说明 详细介绍 权限控制(IAM权限) 默认情况下,管理员创建的IAM用户没有任何权限,需要将其加入用户组,并给用户组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。 权限管理 项目和企业项目 项目和企业项目都可以授权给一个或者多个用户组进行管理,管理企业项目的用户归属于用户组。通过给用户组授予策略,用户组中的用户就能在所属项目/企业项目中获得策略中定义的权限。 管理项目和企业项目 敏感操作 当您开启操作保护后,进行删除伸缩组操作时,需要进行身份认证。 敏感操作 安全组 安全组是一个逻辑上的分组,为具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组创建后,用户可以在安全组中定义各种访问规则,当云服务器加入该安全组后,即受到这些访问规则的保护。 系统会为每个用户默认创建一个默认安全组,默认安全组的规则是在出方向上的数据报文全部放行,入方向访问受限,安全组内的云服务器无需添加规则即可互相访问。 配置安全组规则
  • 服务的访问控制 SFS对接了IAM服务,支持给企业中的员工设置不同的访问权限功能,以达到不同员工之间的权限隔离,用户可以通过IAM服务进行精细化的资源管控。详情请参见SFS的权限策略。 SFS支持通过IAM权限进行访问控制。 表1 SFS访问控制 访问控制方式 简要说明 详细介绍 权限控制 IAM权限 IAM权限是作用于云资源的,IAM权限定义了允许和拒绝的访问操作,以此实现云资源权限访问控制。管理员创建IAM用户后,需要将用户加入到一个用户组中,IAM可以对这个组授予SFS所需的权限,组内用户自动继承用户组的所有权限。 权限管理 父主题: 身份认证与访问控制