检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
Console侧密码登录的IAM用户开启MFA认证 规则详情 表1 规则详情 参数 说明 规则名称 mfa-enabled-for-iam-console-access 规则展示名 Console侧密码登录的IAM用户开启MFA认证 规则描述 通过Console密码登录的IAM用户未开启MFA认证,视为“不合规”。
确保IAM用户密码强度满足密码强度要求,详见设置强密码策略。 修复项指导 用户可以根据要求修改密码达到需要的密码强度,详见修改IAM用户密码。 检测逻辑 IAM用户未设置密码,视为“合规”。 IAM用户为“停用”状态,视为“合规”。 IAM用户为“启用”状态且已设置密码,若密码强度满足密码强度要求,视为“合规”。
简单的安全实践方法,建议您给华为账号以及您账号中具备较高权限的用户开启MFA功能,它能够在用户名和密码之外再额外增加一层保护。启用MFA后,用户登录控制台时,系统将要求用户输入用户名和密码(第一安全要素),以及来自其MFA设备的验证码(第二安全要素)。这些多重要素结合起来将为您的账户和资源提供更高的安全保护。
标签 iam 规则触发方式 周期触发 规则评估的资源类型 account 规则参数 无 应用场景 为了提高根用户的安全性,建议您仅使用密码登录控制台即可,不要给根用户创建访问密钥,避免因访问密钥泄露带来的信息安全风险。 修复项指导 删除或停用根用户下的访问密钥,详见管理IAM用户访问密钥。
LI、SDK等开发工具访问华为云服务。 管理控制台访问:启用登录密码,用户仅能登录华为云管理控制台访问云服务。 请用户不要通过密码方式进行编程访问。 修复项指导 修改IAM用户,访问方式只允许编程访问和管理控制台访问中的一种,并确保一个IAM用户上只配置登录密码和访问密钥中的一种。
DCS Redis实例需要密码访问 规则详情 表1 规则详情 参数 说明 规则名称 dcs-redis-password-access 规则展示名 DCS Redis实例需要密码访问 规则描述 DCS Redis资源不需要密码访问,视为“不合规”。 标签 dcs 规则触发方式 配置变更
DCS Memcached资源需要密码访问 规则详情 表1 规则详情 参数 说明 规则名称 dcs-memcached-password-access 规则展示名 DCS Memcached资源需要密码访问 规则描述 DCS Memcached资源不需要密码访问,视为“不合规”。 标签
IAM用户在指定时间内有登录行为 规则详情 表1 规则详情 参数 说明 规则名称 iam-user-last-login-check 规则展示名 IAM用户在指定时间内有登录行为 规则描述 IAM用户在指定时间范围内无登录行为,视为“不合规”。 标签 iam 规则触发方式 周期触发
为了进一步提高账号安全性,有效避免钓鱼式攻击或者用户密码意外泄漏,建议账号或管理员为IAM用户开启登录保护。开启登录保护后,IAM用户登录时,除了在登录页面输入用户名和密码外(第一次身份验证),还需要在登录验证页面输入验证码(第二次身份验证),该功能是一种安全实践,建议开启登录保护,多次身份认证可以提高安
简单的安全实践方法,建议您给华为账号以及您账号中具备较高权限的用户开启MFA功能,它能够在用户名和密码之外再额外增加一层保护。启用MFA后,用户登录控制台时,系统将要求用户输入用户名和密码(第一安全要素),以及来自其MFA设备的验证码(第二安全要素)。这些多重要素结合起来将为您的账户和资源提供更高的安全保护。
DELETE操作正常返回。 异常 返回值 说明 400 Bad Request 服务器未能处理请求。 401 Unauthorized 被请求的页面需要用户名和密码。 403 Forbidden 对被请求页面的访问被禁止。 404 Not Found 服务器无法找到被请求的页面。 405 Method
配置变更 规则评估的资源类型 iam.users 规则参数 无 应用场景 为了提高账号资源的安全性,建议在设置初始IAM用户时,对具有控制台密码的IAM用户,不能设置访问密钥。 修复项指导 根据规则评估结果删除相关IAM用户被创建时设置的访问密钥。 检测逻辑 IAM用户为“停用”状态,视为“合规”。
0,21,3306,3389)。 20:文件传输协议-数据端口。 21:文件传输协议-控制端口。 3306:mysql端口。 3389:远程桌面协定端口。 检测逻辑 当安全组的入站流量未放通参数指定端口的所有IPv4地址(0.0.0.0/0)和所有IPv6地址(::/0),视为“合规”。
视为“不合规” mfa-enabled-for-iam-console-access Console侧密码登录的IAM用户开启MFA认证 iam 通过Console密码登录的IAM用户未开启MFA认证,视为“不合规” root-account-mfa-enabled 根账号开启MFA认证
在调用接口的时候,部分URL中需要填入账号ID(domain-id),所以需要先在管理控制台上获取到账号ID。账号ID获取步骤如下: 登录管理控制台。 鼠标悬停在右上角的用户名,选择下拉列表中的“我的凭证”。 在“API凭证”页面查看账号ID。 图1 获取账号ID 父主题: 附录
iam-user-last-login-check IAM用户在指定时间内有登录行为 iam IAM用户在指定时间范围内无登录行为,视为“不合规” vpc-sg-restricted-ssh 安全组入站流量限制SSH端口 vpc 当安全组入方向源地址设置为0.0.0.0/0或::/0,且开放TCP
限和职责分离的原则与访问权限和授权结合起来。 1.2 vpc-sg-restricted-ssh 当外部任意IP可以访问安全组内云服务器的SSH(22)端口时认为不合规,确保对服务器的远程访问安全性。 1.2 smn-lts-enable 确保为指定SMN主题绑定一个云日志,用于记录主题消息发送状态等信息。
确保IAM用户密码强度满足密码强度要求。 CRY-01 iam-password-policy 确保IAM用户密码强度满足密码强度要求。 IDM-09 iam-user-mfa-enabled 确保为所有IAM用户通过MFA方式进行多因素认证。MFA在用户名和密码的基础上增加了一
SOLUTIONS 中小企业应定期审查任何远程访问工具,以确保它们的安全,特别是:1、确保所有远程访问软件都已修补和更新。2、限制来自可疑地理位置或某些IP地址的远程访问。3、限制员工仅远程访问他们工作所需的系统和计算机。4、强制使用强密码进行远程访问,并在可能的情况下启用多因素身份验
2.3 密码/密码必须满足以下条件:要求最小长度至少为7个字符。包含数字和字母字符。或者,密码/密码短语的复杂性和强度必须至少与上述指定的参数相当。 iam-password-policy 确保IAM用户密码强度满足密码强度要求。 8.2.4 至少每90天更改一次用户密码/密码。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
