检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
认证鉴权 调用接口有如下两种认证方式,您可以选择其中一种进行认证鉴权。 Token认证:通过Token认证调用请求。 AK/SK认证:通过AK(Access Key ID)/SK(Secret Access Key)加密调用请求。推荐使用AK/SK认证,其安全性比Token认证要高。
根用户开启MFA认证 规则详情 表1 规则详情 参数 说明 规则名称 root-account-mfa-enabled 规则展示名 根用户开启MFA认证 规则描述 根用户未开启MFA认证,视为“不合规”。 标签 iam 规则触发方式 周期触发 规则评估的资源类型 account 规则参数
Console侧密码登录的IAM用户开启MFA认证 规则详情 表1 规则详情 参数 说明 规则名称 mfa-enabled-for-iam-console-access 规则展示名 Console侧密码登录的IAM用户开启MFA认证 规则描述 通过Console密码登录的IAM用户未开启MFA认证,视为“不合规”。
MRS集群开启kerberos认证 规则详情 表1 规则详情 参数 说明 规则名称 mrs-cluster-kerberos-enabled 规则展示名 MRS集群开启kerberos认证 规则描述 MRS集群未开启kerberos认证,视为“不合规”。 标签 mrs 规则触发方式
IAM用户归属指定用户组 IAM用户在指定时间内有登录行为 IAM用户开启MFA IAM用户单访问密钥 Console侧密码登录的IAM用户开启MFA认证 根用户开启MFA认证 IAM策略使用中 IAM权限使用中 IAM用户开启登录保护 IAM委托绑定策略检查 IAM用户admin权限检查 IAM用户不直接附加策略或权限
APIG专享版实例配置安全认证类型 规则详情 表1 规则详情 参数 说明 规则名称 apig-instances-authorization-type-configured 规则展示名 APIG专享版实例配置安全认证类型 规则描述 APIG专享版实例中如果存在API安全认证为“无认证”,则视为“不合规”。
IAM权限附加到IAM用户、用户组或委托,视为“合规”。 IAM权限未附加到IAM用户、用户组或委托,视为“不合规”。 父主题: 统一身份认证服务 IAM
IAM策略附加到IAM用户、用户组或委托,视为“合规”。 IAM策略未附加到IAM用户、用户组或委托,视为“不合规”。 父主题: 统一身份认证服务 IAM
面输入用户名和密码外(第一次身份验证),还需要在登录验证页面输入验证码(第二次身份验证),该功能是一种安全实践,建议开启登录保护,多次身份认证可以提高安全性。当前可以选择通过手机、邮箱、虚拟MFA进行登录验证。 修复项指导 账号或管理员为相关IAM用户开启的登录保护状态,详见登录保护。
操作权限,当所有用户全部属于admin用户组或共用一个企业管理员账号是不安全的。为更好的管控人员或应用程序对云资源的使用,可以使用统一身份认证服务(IAM)的用户管理功能,给员工或应用程序创建IAM用户。 修复项指导 进入IAM的“admin”用户组,删除企业管理员以外的IAM用户,详见用户组添加/移除用户。
IAM委托未绑定所有指定的IAM策略和权限,视为“不合规”。 IAM委托绑定所有指定的IAM策略和权限,视为“合规”。 父主题: 统一身份认证服务 IAM
IAM用户为“启用”状态,且未同时配置登录密码和访问密钥,视为“合规”。 IAM用户不满足以上场景,视为“不合规”。 父主题: 统一身份认证服务 IAM
阻拦action列表,数组类型。 应用场景 帮助您将最小权限和职责分离的原则与访问权限和授权结合起来,限制策略在数据加密服务上包含阻止的操作,防止非预期的身份拥有对数据的解密或加密能力。 修复项指导 用户可以根据合规评估结果修改IAM策略配置,详见修改、删除自定义策略。 检测逻辑
检测逻辑 IAM用户为“停用”状态,视为“合规”。 IAM用户为“启用”状态且开启了MFA认证,视为“合规”。 IAM用户为“启用”状态且未开启MFA认证,视为“不合规”。 父主题: 统一身份认证服务 IAM
IAM的用户、用户组、委托使用指定权限或策略,视为“不合规”。 IAM的用户、用户组、委托未使用指定权限或策略,视为“合规”。 父主题: 统一身份认证服务 IAM
Console侧密码登录的IAM用户开启MFA认证 iam 通过Console密码登录的IAM用户未开启MFA认证,视为“不合规” root-account-mfa-enabled 根账号开启MFA认证 iam 根账号未开启MFA认证,视为“不合规” iam-policy-in-use
*”或“*:*”或“*”),视为“不合规”。 IAM自定义策略未配置Allow的全部云服务的全部权限,视为“合规”。 父主题: 统一身份认证服务 IAM
e”状态的访问密钥,视为“合规”。 IAM用户为“启用”状态且拥有两个“active”状态的访问密钥,视为“不合规”。 父主题: 统一身份认证服务 IAM
满足密码强度要求,视为“合规”。 IAM用户为“启用”状态且已设置密码,若密码强度不满足密码强度要求,视为“不合规”。 父主题: 统一身份认证服务 IAM
规”。 IAM用户为“启用”状态,且规则参数非空列表,若IAM用户不属于任意一个指定视为IAM用户组,视为“不合规”。 父主题: 统一身份认证服务 IAM