检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
无 应用场景 IAM用户的访问密钥是单独的身份凭证,即IAM用户仅能使用自己的访问密钥进行API调用。为了提高账号资源的安全性,建议单个IAM用户仅有一个可用的活动访问密钥。 修复项指导 根据规则评估结果删除或停用IAM用户多余的访问密钥,详见管理IAM用户访问密钥。 检测逻辑
应用场景 确保IAM用户不能同时通过控制台和API访问云服务,同时赋予一个IAM用户两种访问方式将增加安全风险。访问方式分为如下两种: 编程访问:启用访问密钥,用户仅能通过API、CLI、SDK等开发工具访问华为云服务。 管理控制台访问:启用登录密码,用户仅能登录华为云管理控制台访问云服务。
应用场景 为了提高根用户的安全性,建议您仅使用密码登录控制台即可,不要给根用户创建访问密钥,避免因访问密钥泄露带来的信息安全风险。 修复项指导 删除或停用根用户下的访问密钥,详见管理IAM用户访问密钥。 检测逻辑 根用户未配置“启用”状态的访问密钥,视为“合规”。 根用户配置了“启用”状态的访问密钥,视为“不合规”。
为了提高账号资源的安全性,建议在设置初始IAM用户时,对具有控制台密码的IAM用户,不能设置访问密钥。 修复项指导 根据规则评估结果删除相关IAM用户被创建时设置的访问密钥。 检测逻辑 IAM用户为“停用”状态,视为“合规”。 IAM用户未开启“管理控制台访问”,视为“合规”。 IAM用户不具有创建时就存在的访问密钥,视为“合规”。
Authentication(简称MFA)是一种非常简单的安全实践方法,建议您给华为账号以及您账号中具备较高权限的用户开启MFA功能,它能够在用户名和密码之外再额外增加一层保护。启用MFA后,用户登录控制台时,系统将要求用户输入用户名和密码(第一安全要素),以及来自其MFA设备的验证码(第二安全
管理员创建用户组并授权后,将用户加入用户组中,使用户具备用户组的权限,实现用户的授权。给已授权的用户组中添加或者移除用户,快速实现用户的权限变更,详见用户组添加/移除用户。 检测逻辑 IAM用户组未添加IAM用户,视为“不合规”。 IAM用户组添加任意IAM用户,视为“合规”。 父主题: 统一身份认证服务 IAM
groupIds:指定的用户组ID列表,如果列表为空,表示允许所有值;数组类型,最多包含10个元素。 应用场景 管理员创建用户组并授权后,将用户加入用户组中,使用户具备用户组的权限,实现用户的授权。给已授权的用户组中添加或者移除用户,快速实现用户的权限变更。 修复项指导 选择合适的用户组,将不合
Authentication(简称MFA)是一种非常简单的安全实践方法,建议您给华为账号以及您账号中具备较高权限的用户开启MFA功能,它能够在用户名和密码之外再额外增加一层保护。启用MFA后,用户登录控制台时,系统将要求用户输入用户名和密码(第一安全要素),以及来自其MFA设备的验证码(第二安全
users 规则参数 无 应用场景 为了进一步提高账号安全性,有效避免钓鱼式攻击或者用户密码意外泄漏,建议账号或管理员为IAM用户开启登录保护。开启登录保护后,IAM用户登录时,除了在登录页面输入用户名和密码外(第一次身份验证),还需要在登录验证页面输入验证码(第二次身份验证),该
用程序中定期轮换使用,详见定期修改身份凭证。 检测逻辑 IAM用户未配置AccessKey,视为“合规”。 IAM用户为“停用”状态,视为“合规”。 IAM用户为“启用”状态,且其AccessKey在指定时间内轮换,视为“合规”。 IAM用户为“启用”状态,且其AccessKey在指定时间内未轮换,视为“不合规”。
Authentication(简称MFA)是一种非常简单的安全实践方法,建议您给华为账号以及您账号中具备较高权限的用户开启MFA功能,它能够在用户名和密码之外再额外增加一层保护。启用MFA后,用户登录控制台时,系统将要求用户输入用户名和密码(第一安全要素),以及来自其MFA设备的验证码(第二安全
进入IAM的“admin”用户组,删除企业管理员以外的IAM用户,详见用户组添加/移除用户。 检测逻辑 IAM用户为根用户,视为“合规”。 IAM用户为“停用”状态,视为“合规”。 根用户以外的“启用”状态的IAM用户加入admin用户组,视为“不合规”。 根用户以外的“启用”状态的IAM用户未加入admin用户组,视为“合规”。
给IAM用户授权时建议您使用“继承所选用户组的策略”的方式,而不是“直接给用户授权”。这可以降低访问管理的复杂性,并减少IAM用户无意中接收或保留过多权限的风险。详见给IAM用户授权。 修复项指导 请创建IAM用户组,并将策略挂载到该用户组,然后将用户添加到用户组,删除用户上直接附加的策略或权限。
应用场景 确保IAM用户密码强度满足密码强度要求,详见设置强密码策略。 修复项指导 用户可以根据要求修改密码达到需要的密码强度,详见修改IAM用户密码。 检测逻辑 IAM用户未设置密码,视为“合规”。 IAM用户为“停用”状态,视为“合规”。 IAM用户为“启用”状态且已设置密
华为云架构可靠性最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 apig-instances-execution-logging-enabled APIG专享版实例配置访问日志 apig APIG专享版实例未配置访问日志,视为“不合规”
获取用户的合规结果 功能介绍 查询用户所有的合规结果。 调用方法 请参见如何调用API。 URI GET /v1/resource-manager/domains/{domain_id}/policy-states 表1 路径参数 参数 是否必选 参数类型 描述 domain_id
查询用户可见的区域 功能介绍 查询用户可见的区域。 调用方法 请参见如何调用API。 URI GET /v1/resource-manager/domains/{domain_id}/regions 表1 路径参数 参数 是否必选 参数类型 描述 domain_id 是 String
确保不创建管理员权限的 IAM 用户 iam-user-check-non-admin-group IAM用户admin权限检查 iam 根用户以外的IAM用户加入admin用户组,视为“不合规” C.CS.FOUNDATION.G_1.R_9 启用用户登录保护 iam-user-l
华为云安全配置基线指南的标准合规包(level 1) 本文为您介绍华为云安全配置基线指南的标准合规包(level 1)的应用场景以及合规包中的默认规则。 应用场景 华为云安全配置基线指南为您提供重要云服务的基线配置指导,开启云上服务安全建设的第一步,更多信息见华为云信任中心。 免责条款
iam-group-has-users-check IAM用户组添加了IAM用户 iam IAM用户组未添加任意IAM用户,视为“不合规” iam-password-policy IAM用户密码策略符合要求 iam IAM用户密码强度不满足密码强度要求,视为“不合规” iam-root-access-key-check
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
