检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
安全 责任共担 身份认证与访问控制 数据保护技术 审计与日志 服务韧性 认证证书
父主题: 安全
安全 消息通知服务数据安全是基于Topic进行安全隔离,用户未经授权不能访问队列消息,有效保护用户业务安全。 业务数据访问需要有安全保护措施,没有认证授权的系统随意获取消息会导致严重的数据安全和隐私风险。
数据保护技术 静态数据保护 传输中的数据保护 数据销毁机制 父主题: 安全
审计关键操作 云审计服务是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 开启了云审计服务后,系统开始记录镜像服务相关的操作。云审计服务管理控制台保存最近7天的操作记录。
静态数据保护 存储在消息通知服务中的订阅信息将会被SHA256方式加密保存。 订阅信息包括: 手机号码 邮件地址 Http/Https地址 即时通信工具群机器人地址 父主题: 数据保护技术
父主题: 安全
父主题: 安全
图3 销售许可证&软件著作权证书 父主题: 安全
传输中的数据保护 传输中数据保护指在数据传输(发往和离开消息通知服务时)期间保护数据。 向消息通知服务发送消息时,您可以使用Https协议请求消息通知服务接口进行传输加密。消息通知服务向外部系统发送消息时,也支持Https协议发送消息。 父主题: 数据保护技术
数据销毁机制 客户删除数据后,为了避免误删除会在数据库标记为软删除,保留72小时。72小时之后系统会彻底删除。 父主题: 数据保护技术
华为云租户的安全责任在于对使用的IaaS、PaaS和SaaS类云服务内部的安全以及对租户定制配置进行安全有效的管理,包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统,虚拟防火墙、API网关和高级安全服务,各项云服务,租户数据,以及身份账号和密钥管理等方面的安全配置。
角色并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。
推荐使用AK/SK认证,其安全性比Token认证要高。 Token认证:通过Token认证调用请求。 AK/SK认证 AK/SK签名认证方式仅支持消息体大小在12MB以内,12MB以上的请求请使用Token认证。
基于网络安全考虑,SMN默认不支持使用华为云内网地址接收消息。 消息通知服务SMN对某些具体指标进行了约束和规范,您在使用时注意不要超过相应的限制值,以免程序出现异常。 针对主题的限制项和限制值请参见表1。
如果使用“HTTP”或“HTTPS”协议接收消息,用户的HTTP(S)要开通防火墙策略,允许SMN访问,SMN通过公网发送消息到HTTP(S)终端节点。消息通知服务会自动组装消息,用户接收到整条消息由消息头和消息体组成,具体参数含义请参考HTTP(S)消息格式。
校验消息签名 操作场景 为了确保安全,提供订阅确认、取消订阅和消息的签名认证,在消息的接收方需要对SMN发送的消息进行校验,消息类型包括订阅确认消息、通知消息和取消订阅通知消息。使用SMN消息中的信息,您可以通过签名串验证消息的合法性。
创建用户并授权使用SMN 如果您需要对您所拥有的SMN进行精细的权限管理,您可以使用统一身份认证服务(Identity and Access Management,简称IAM),通过IAM,您可以: 根据企业的业务组织,在您的华为云账号中,给企业中不同职能部门的员工创建IAM用户,让员工拥有唯一安全凭证
由于账号是付费主体,为了确保账号安全,建议您不要直接使用账号进行日常管理工作,而是创建用户并使用用户进行日常管理工作。 用户 由账号在IAM中创建的用户,是云服务的使用人员,具有身份凭证(密码和访问密钥)。 在我的凭证下,您可以查看账号ID和IAM用户ID。
建议在配置文件或者环境变量中密文存放,使用时解密,确保安全。 图1 管理员创建IAM用户响应消息头 响应消息体(可选) 该部分可选。响应消息体通常以结构化格式(如JSON或XML)返回,与响应消息头中Content-Type对应,传递除响应消息头之外的内容。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
