检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
轮转策略 单用户轮转 单用户轮转策略适用于单一用户场景,多用于低频次轮转、可靠性要求不高的账号,这是最简单的轮换策略,适用于大多数用例。但是在密码重置切换的瞬间,凭据的当前版本可能暂时无法使用。 您可以使用单用户轮换来实现: 在创建时选择或者新建一个数据库账户作为凭据值储存。 访
组织”,默认进入“组织管理”界面。 单击左侧“策略管理”,进入策略管理页,单击“标签策略”,进入标签策略页面。 图1 进入标签策略 单击“创建”,进入标签策略创建页面。 图2 创建策略 输入策略名称。注意,创建的策略名称不能与已有策略名称重复。 根据标签策略语法,标签策略内容。填写时,系统会自动校验语法。如不正确,请根据提示进行修正。
DEW自定义策略 如果系统预置的DEW权限,不满足您的授权要求,可以创建自定义策略。自定义策略中可以添加的授权项(Action)请参见权限及授权项说明。 目前华为云支持以下两种方式创建自定义策略: 可视化视图创建自定义策略:无需了解策略语法,按可视化视图导航栏选择策略内容,可自动生成策略。
双用户凭据轮换策略 简介 双用户轮换策略是指在一个凭据中更新两个用户所保存的信息。 例如:您的应用程序需要保持高可用性,如果您使用单用户轮换,那么您在修改用户密码和更新凭据内容的过程中会出现访问应用失败的情况,这样您就需要使用双用户凭据轮换策略。 您需要有一个账号例如Admin有
单用户凭据轮换策略 简介 单用户凭据轮换是指一个凭据中更新一个用户所保存的信息。 这是最基础的凭据轮换策略,适用于大多数日常使用场景。 例如: 访问数据库。凭据轮换时不会删除数据库连接,轮换后的新连接使用新凭据。 访问允许用户创建一个用户账户的服务,例如以电子邮件地址作为用户名。
2。 如无系统策略,则为该用户添加系统策略。 如需添加管理员权限,则请参见创建用户并授权使用DEW进行处理。 如需添加自定义策略,则请参见DEW自定义策略进行处理。 父主题: 密钥管理类
设置告警规则 通过设置DEW告警规则,用户可自定义监控目标与通知策略,设置告警规则名称、监控对象、监控指标、告警阈值、监控周期和是否发送通知等参数,帮助您及时了解DEW使用状况,从而起到预警作用。 前提条件 已创建密钥或凭据实例 操作步骤 登录管理控制台。 单击管理控制台左上角,选择区域或项目。
RDS数据库加密 简介 关系型数据库支持MySQL、PostgreSQL、SQL Server引擎。 当启用加密功能后,用户创建数据库实例和扩容磁盘时,磁盘数据会在服务端加密成密文后存储。用户下载加密对象时,存储的密文会先在服务端解密为明文,再提供给用户。 约束条件 当前登录用户
查看监控指标 您可以通过管理控制台,查看DEW的相关指标,及时了解DEW使用状况,并通过指标设置防护策略。 前提条件 DEW已对接云监控,即已在云监控页面设置监控告警规则。有关设置监控告警规则的详细操作,请参见设置监控告警规则。 操作步骤 登录管理控制台。 单击管理控制台左上角,选择区域或项目。
等)的泄露风险也会增加,定期轮换凭据会增加所保护的明文信息安全性。 华为云为您提供了两种凭据轮换策略: 单用户凭据轮换 双用户凭据轮换 您可以根据您自己的实际需求,选择对应的轮换策略以进一步提高凭据的安全性。 轮换步骤 管理员通过凭据管理控制台或API接口新增凭据版本,更新凭据内容。
ms/default”作为当前凭据的加密密钥。您也可以前往KMS服务页面创建自定义对称密钥,并使用自定义加密密钥。 RDS凭据支持的数据库引擎为:MySQL。 GaussDB凭据支持选择GaussDB(for MySQL)类型数据库。 创建轮转凭据 登录管理控制台。 单击管理控制台左上角,选择区域或项目。
information: current ip:xx.xx.xx.xx refused。 可能原因 用户在IAM服务中设置了访问控制。 IAM控制策略默认范围为全地址访问,如果用户设置了允许访问的IP地址或者网段,则未允许的IP地址/网段均无法访问KMS,或无法使用云服务加密特性。 解决方法
个存储库最多添加10个标签。 如您的组织已经设定数据加密服务的相关标签策略,则需按照标签策略规则为密钥、凭据等添加标签。标签如果不符合标签策略的规则,则可能会导致密钥、凭据创建失败,请联系组织管理员了解标签策略详情。 表1 标签参数说明 参数 规则 样例 标签键 必填。 对于同一个自定义密钥,标签键唯一。
M用户被授予的策略中必须包含允许“kps:domainKeypairs:list”的授权项,该接口才能调用成功。 支持的授权项 策略包含系统策略和自定义策略,如果系统策略不满足授权要求,管理员可以创建自定义策略,并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应,授权项列表说明如下:
细粒度策略以API接口为粒度进行权限拆分,权限的最小粒度为API授权项(action)。DEW支持的API授权项请参见DEW权限及授权项。 如表 KMS系统策略、表 KPS系统策略、表 CSMS系统策略所示,包括了DEW的所有系统权限。 表1 KMS系统策略 系统角色/策略名称 描述
拥有该权限的用户可以完成基于策略授权的所有操作。 系统策略 无 KMS CMKReadOnlyAccess 密钥管理服务(KMS)的加密密钥只读权限。拥有该权限的用户可以完成基于策略授权的所有操作。 系统策略 无 表2 KPS系统策略 系统角色/策略名称 描述 类别 依赖关系 DEW
弹性文件服务SFS加密(SFS文件系统加密) 弹性文件服务SFS加密(SFS Turbo文件系统加密) 云数据库RDS(MySQL、PostgreSQL、SQL Server引擎)加密 文档数据库服务DDS加密 数据仓库服务DWS加密 数据加密密钥管理 创建、加密、解密数据加密密钥 说明: 仅支持通过API调用。 生成硬件真随机数
单击“下一步”,进入“授权”页面。 单击页面右上角“新建策略”,如果已存在需使用的策略忽略此步骤。 在“新建策略”页面配置参数,参数详情如表 新建策略参数说明所示。 图3 新建策略 表2 新建策略参数说明 参数名称 参数说明 策略名称 输入策略名称。 策略配置方式 选择“可视化视图”。 策略内容 允许:选择“允许”。
如何轮换凭据 概述 单用户凭据轮换策略 双用户凭据轮换策略 通过函数工作流轮转IAM凭证 父主题: 凭据管理
单击凭据名称,进入凭据详细信息页面。 单击右上角按钮“设置轮转策略”,在设置轮转策略页面,如图 自动轮转开关所示,打开自动轮转开关。 图1 自动轮转开关 选择自动轮转周期,勾选轮转提示,单击“确定”。待右上角出现提示设置轮转策略成功提示,即为设置成功。 开启自动轮转后,若凭据版本轮转失
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
