只有管理员可以设置敏感操作,普通IAM用户只有查看权限,不能对其进行设置,如需修改,请联系管理员为您操作或添加权限。
虚拟Multi-Factor Authentication (MFA) 是能产生6位数字认证码的设备,遵循基于时间的一次性密码 (TOTP)标准。MFA设备可以基于硬件也可以基于软件,目前仅支持基于软件的虚拟MFA,虚拟MFA应用程序可以在移动硬件设备(包括智能手机)上运行,非常方便,虚拟MFA是多因素认证方式中的一种。
本节以“华为云App”为例介绍如何绑定虚拟MFA,如果您已安装其他MFA应用程序,请根据应用程序指引添加用户。如需了解有关解绑虚拟MFA、重置虚拟MFA的操作,请参见:虚拟MFA。
暂未升级华为帐号、 已升级华为帐号绑定虚拟MFA的操作方法不同。
-
在“安全设置>敏感操作”页面,单击“虚拟MFA”右侧的“前往绑定”。
-
根据右侧弹出的绑定虚拟MFA页面,在您的MFA应用程序中添加用户。
您可以通过扫描二维码、手动输入两种方式绑定MFA设备,下面以“华为云”手机应用程序为例绑定虚拟MFA:
-
添加用户完成,在“华为云”手机应用程序“虚拟MFA页面”,查看虚拟MFA的动态口令页面。动态口令每30秒自动更新一次。
-
在“绑定虚拟MFA”页面输入连续的两组口令,然后单击“确定“,完成绑定虚拟MFA设备的操作。
-
在“安全设置>敏感操作”页面,单击“虚拟MFA”右侧的“前往绑定”。
-
跳转至“华为帐号>安全验证”页面,根据提示绑定虚拟MFA。
开启登录保护后,您或帐号中的IAM用户在登录华为云时,除了在登录页面输入用户名和密码外(第一次身份验证),还需要在登录验证页面输入验证码(第二次身份验证),该功能是一种安全实践,建议开启登录保护,多次身份认证可以提高帐号安全性。
帐号只能自己开启登录保护,帐号或管理员都可以为IAM用户开启登录保护。
-
管理员为IAM用户开启登录保护
管理员在IAM用户列表中,单击操作列的“安全设置”,单击“登录保护>验证方式”右侧的“”,选择验证方式为手机、邮件地址或虚拟MFA,为IAM用户开启登录保护。
- 登录保护仅影响使用管理控制台访问华为云的IAM用户,对编程访问用户无影响。
- 目前“华为云”手机应用程序暂不支持通过手机、邮件地址进行二次身份验证。如需登录“华为云”手机应用程序,建议选择MFA验证方式。
-
未升级华为帐号的华为云帐号开启登录保护
如果您的华为云帐号暂未升级华为帐号,进入安全设置后,帐号可以在“安全设置 > 敏感操作>登录保护 > “中单击“立即设置”,选择“开启”,并设置验证方式,开启登录保护。
-
华为帐号开启登录保护
如果您的华为云帐号已升级为华为帐号,将不支持在“安全设置”页面开启登录保护,请在“华为帐号中心>帐号与安全>安全验证>双重验证”中单击“开启”,输入验证信息,开启登录保护。
系统会对华为帐号登录进行安全认证,如果您更换终端,初次登录将进行安全认证(安全手机二次验证)。如果您没有开启“双重验证”,初次登录完成后,单击“信任”,将终端添加到信任列表中,后续将无需二次认证。
-
开启操作保护
开启后,帐号以及帐号中的IAM用户进行敏感操作时,例如删除弹性云服务器资源,需要输入验证码进行验证,避免误操作带来的风险和损失。“操作保护”默认为开启状态,为了您的资源安全,建议保持开启状态。
开启操作保护后,默认在敏感操作验证成功后的15分钟之内,进行敏感操作无需再次验证。
-
管理员进入安全设置。
-
在“安全设置 > 敏感操作>操作保护 > “中,单击“立即启用“。
-
在右侧弹窗中选择“开启”,勾选“操作员验证”或“指定人员验证”。
如选择“指定人员验证”,开启操作保护时,需要进行初次身份核验,确保指定人员验证方式可用。
- 操作员验证:触发敏感操作的帐号或IAM用户进行二次验证。
- 指定人员验证:帐号及IAM用户触发的敏感操作均由指定人员进行验证。支持手机号、邮件地址,不支持虚拟MFA验证。
-
单击“确定”开启操作保护。
- 关闭操作保护
关闭后,帐号以及帐号中的IAM用户进行敏感操作时,不需要输入验证码进行验证。
-
管理员进入安全设置。
-
管理员在“安全设置 > 敏感操作>操作保护 > “中,单击“立即修改“。
-
在右侧弹窗中选择“关闭”,并单击“确定”。
-
在“身份验证”弹窗中输入验证码。
- 操作员验证:关闭操作保护管理员本人进行二次验证。支持手机号、邮件地址、虚拟MFA。
- 指定人员验证:由指定人员进行验证。支持手机号、邮件地址,不支持虚拟MFA验证。
-
单击“确定”,关闭操作保护。
- 敏感操作由各个云服务单独定义。
- 用户如果进行敏感操作,将进入“操作保护”页面,选择认证方式,包括邮件地址、手机和虚拟MFA三种认证方式。
- 如果用户只绑定了手机号,则认证方式只能选择手机。
- 如果用户只绑定了邮件地址,则认证方式只能选择邮件地址。
- 如果用户未绑定邮件地址、手机和虚拟MFA,进行敏感操作时,将提示用户绑定邮件地址、手机或虚拟MFA。
- 使用邮件地址、手机进行认证可能出现收不到验证码故障,建议您使用MFA验证方式。
- 如需修改验证手机号、邮件地址,请在帐号中心修改;如需修改虚拟MFA设备,请在虚拟MFA中修改。
- 开启操作保护后,执行敏感操作时,需要输入验证码进行验证,此验证码将会发送至进行操作的IAM用户所绑定的手机号或邮件地址,而不是该IAM用户所属的帐号。
-
开启访问密钥保护
开启后,仅管理员才可以创建、启用/停用或删除IAM用户的访问密钥。由于“访问密钥保护”默认为关闭状态,为了保障资源安全,建议开启访问密钥保护功能。
管理员进入安全设置后,在“敏感操作>访问密钥保护 > “中,单击“”,开启访问密钥保护。
-
关闭访问密钥保护
关闭后,所有IAM用户可以创建、启用/停用或删除自己的访问密钥。
管理员进入安全设置后,在“敏感操作>访问密钥保护> “中,单击“”,关闭访问密钥保护。
-
开启自主管理用户属性
开启后,所有IAM用户可以管理自己的基本信息,可以根据场景选择IAM用户可以修改的属性信息,可以选择登录密码、手机号、邮件地址。默认开启,且支持IAM用户修改所有属性。
管理员进入安全设置后,在“安全设置 > 敏感操作>自主管理用户属性 > “中,单击“立即启用”。在“自主管理用户属性设置”弹窗中,选择“开启”并勾选支持IAM用户自主修改的属性,单击“确定”,开启IAM用户自主管理用户属性。
-
关闭自主管理用户属性
关闭后,仅管理员可以管理自己的基本信息。IAM用户如需修改登录密码、手机号、邮件地址,请联系管理员参考查看或修改IAM用户信息进行操作。
管理员进入安全设置后,在“安全设置 > 敏感操作>自主管理用户属性 > “中,单击“立即修改”。在“自主管理用户属性设置”弹窗中,选择“关闭”,单击“确定”,关闭IAM用户自主管理用户属性。
当您开启操作保护后,进行以下操作时,需要进行身份认证。
表 1 各云服务定义的敏感操作