/DOCS
Облачная платформаAdvanced

Critical Operation Protection

Эта статья полезна?
Язык статьи: Русский
Показать оригинал
Страница переведена автоматически и может содержать неточности. Рекомендуем сверяться с английской версией.

Только администратор может настроить защиту критических операций, а пользователи IAM могут только просматривать конфигурации. Если пользователю IAM необходимо изменить конфигурации, пользователь может запросить у администратора выполнить изменение или предоставить необходимые разрешения.

Note

Пользователи федерации не должны подтверждать свою личность при выполнении критических операций.

Virtual MFA Device

Устройство MFA генерирует 6-значные коды подтверждения в соответствии с алгоритмом Time-based One-time Password (TOTP). Устройства MFA могут быть аппаратными или программными. В настоящее время поддерживаются только программные виртуальные устройства MFA, которые являются приложениями, работающими на умных устройствах, таких как мобильные телефоны.

В этом разделе описывается, как привязать виртуальное устройство MFA. Если вы установили другое приложение MFA, добавьте пользователя, следуя подсказкам на экране. Подробную информацию о том, как привязать или удалить виртуальное устройство MFA, см. Virtual MFA Device.

Note

Прежде чем привязать виртуальное устройство MFA, убедитесь, что вы установили приложение MFA на своё мобильное устройство.

  1. Перейдите к Настройки безопасности странице.
  2. Щелкните по Критические операции вкладке, и нажмите Привязать в Виртуальное устройство MFA строке.

    Рисунок 1 Виртуальное устройство MFA


  3. Настройте приложение MFA, сканируя QR‑код или вручную введя секретный ключ.

    Рисунок 2 Привязка виртуального устройства MFA


    Вы можете привязать виртуальное устройство MFA к своей учётной записи, сканируя QR‑код или вводя секретный ключ.

    • Сканирование QR‑кода

      Откройте приложение MFA на вашем мобильном телефоне и используйте приложение для сканирования QR‑кода, отображаемого на Bind Virtual MFA Device страница. Затем ваш аккаунт добавляется в приложение.

    • Ввод секретного ключа вручную

      Откройте приложение MFA на вашем мобильном телефоне и введите секретный ключ.

      Note

      Ваш аккаунт добавляется вручную с использованием временного алгоритма. Убедитесь, что автоматическая настройка времени включена на вашем мобильном телефоне.

  4. Просмотрите коды подтверждения в приложении MFA. Код автоматически обновляется каждые 30 секунд.
  5. На Bind Virtual MFA Device страница, введите два последовательных кода подтверждения и нажмите OK.

Login Protection

После включения защиты входа вам и пользователям IAM, созданным с помощью вашей учётной записи, потребуется вводить код подтверждения в дополнение к имени пользователя и паролю при входе. Включите эту функцию для защиты учетной записи.

Для учетной записи только администратор учетной записи может включить защиту входа для неё. Для IAM‑пользователей как администратор учетной записи, так и другие администраторы могут включить эту функцию для пользователей.

  • (Administrator) Включение защиты входа для пользователя IAM

    Чтобы включить защиту входа для пользователя IAM, перейдите к Пользователи странице и выберите Еще > Security Settings в строке, содержащей пользователя IAM. В Login Protection область на отображаемом Security Settings вкладке, нажмите рядом с Verification Method, и выберите метод проверки из SMS, email или виртуального MFA‑устройства.

  • Включение защиты входа для вашей учётной записи

    Чтобы включить защиту входа, нажмите Critical Operations вкладку Security Settings странице, нажмите Включить рядом с Login Protection, выберите метод проверки, введите коды подтверждения и нажмите OK.

    Figure 3 Включение защиты входа


Operation Protection

  • Включение защиты операций

    После включения защиты операций, вам и пользователям IAM, созданным в вашей учётной записи, необходимо вводить код подтверждения при выполнении критической операции, такой как удаление ECS. Эта функция включена по умолчанию. Чтобы обеспечить безопасность ресурсов, оставьте её включённой.

    Проверка действительна в течение 15 минут, и вам не нужно проходить проверку повторно при выполнении критических операций в течение срока действия.

  1. Перейдите к Настройки безопасности странице.
  2. На Критические операции вкладке, найдите Защита операций строку и нажмите Включить.
  3. Выберите Включить.

    Рисунок 4 Настройка защиты операций


  4. Нажмите OK.
  • Отключение защиты операций

Если защита операции отключена, вам и пользователям IAM, созданным с помощью вашей учетной записи, не нужно вводить проверочный код при выполнении критической операции.

  1. Перейдите к Настройки безопасности страница.
  2. На Критические операции вкладке, найдите Защита операции строку и нажмите Изменить.

    Рисунок 5 Отключение защиты операции


  3. Выберите Отключить и нажмите OK.

    Рисунок 6 Отключение защиты операции


  4. Введите проверочный код.

    • Самостоятельная проверка: Администратор, который хочет отключить защиту операций, проходит проверку. Поддерживается проверка по SMS, email и виртуальному MFA.
    • Проверка другим лицом: Указанное лицо проходит проверку. Поддерживается только проверка по SMS и email.

  5. Нажмите ОК.
Note
  • Каждый облачный сервис определяет свои критические операции.
  • Когда IAM‑пользователи, созданные в вашей учётной записи, выполняют критическую операцию, им будет предложено выбрать метод проверки из email, SMS и виртуального MFA‑устройства.
    • Если пользователь связан только с мобильным номером, доступна только проверка по SMS.
    • Если пользователь связан только с адресом электронной почты, доступна только проверка по email.
    • Если пользователь не связан ни с адресом электронной почты, ни с мобильным номером, ни с виртуальным MFA‑устройством, ему необходимо связать хотя бы один из них, прежде чем пользователь сможет выполнять какие-либо критические операции.
  • Возможно, вы не сможете получать коды подтверждения по электронной почте или SMS из‑за ошибок связи. В этом случае рекомендуется использовать виртуальное устройство MFA для подтверждения.
  • Если защита операций включена, пользователям IAM необходимо вводить коды подтверждения при выполнении критической операции. Коды подтверждения отправляются на мобильный номер или адрес электронной почты, привязанные к пользователям IAM.

Управление ключами доступа

  • Включение управления ключами доступа

    После включения управления ключами доступа только администратор может создавать, включать, отключать или удалять ключи доступа пользователей IAM. Эта функция по умолчанию отключена. Чтобы обеспечить безопасность ресурсов, включите эту функцию.

    Чтобы включить управление ключами доступа, нажмите Критические операции вкладку Настройки безопасности странице, и нажмите в Управление ключами доступа строке.

  • Отключение управления ключами доступа

    После отключения управления ключами доступа все IAM пользователи могут создавать, включать, отключать или удалять свои собственные ключи доступа.

    Чтобы включить управление ключами доступа, нажмите Critical Operations вкладку Security Settings странице, и нажмите в Access Key Management строку.

Information Self-Management

  • Включение самоуправления информацией

    По умолчанию самоуправление информацией включено, что указывает на то, что все IAM пользователи могут управлять своей основной информацией (пароль входа, номер мобильного телефона и адрес электронной почты). Определите, разрешать ли IAM пользователям управлять своей информацией и какую информацию они могут изменять.

    Чтобы включить самоуправление информацией, нажмите Critical Operations вкладка на Security Settings странице, и нажмите Включить рядом с Information Self-Management. Выбрать Включить, выберите типы информации, которые пользователи IAM могут изменять, и нажмите OK.

  • Отключение управления информацией

    После отключения управления информацией только администраторы могут управлять своей базовой информацией. Если пользователям IAM необходимо изменить пароль входа, мобильный номер или адрес электронной почты, они могут обратиться к администратору. Для получения подробной информации см. Viewing or Modifying IAM User Information.

    Чтобы отключить управление информацией, нажмите Критические операции вкладка Настройки безопасности страница, и нажмите Изменить в Самоуправление информацией строка. На отображаемой панели выберите Отключить и нажмите OK.

Критические операции

В следующих таблицах перечислены критические операции, определённые для каждого облачного сервиса.

Таблица 1 Критические операции, определённые облачными сервисами

Тип сервиса

Сервис

Критическая операция

Вычисления

Elastic Cloud Server (ECS)

  • Остановка, перезапуск или удаление ECS
  • Сброс пароля для входа в ECS
  • Отсоединение диска
  • Отвязывание EIP

Bare Metal Server (BMS)

  • Остановка или перезапуск BMS
  • Сброс пароля BMS
  • Отсоединение диска
  • Отвязывание EIP

Auto Scaling (AS)

Удаление группы AS

Хранилище

Object Storage Service (OBS)

  • Удаление бакета
  • Создание, редактирование или удаление политики бакета
  • Настройка политики объекта
  • Создание, редактирование или удаление ACL бакета
  • Настройка журналирования доступа
  • Настройка проверки URL
  • Создание или редактирование инвентаря Бакет

Elastic Volume Service (EVS)

Удаление диска EVS

Cloud Backup and Recovery (CBR)

  • Удаление хранилища
  • Удаление резервной копии
  • Восстановление резервной копии
  • Удаление политики
  • Отсоединение ресурса
  • Принятие резервной копии

Сеть

Domain Name Service (DNS)

  • Изменение, отключение или удаление набора записей

Virtual Private Cloud (VPC)

  • Освобождение или отвязка EIP
  • Удаление совместной пропускной способности
  • Пакетное освобождение или отвязка EIPs

Elastic Load Balance (ELB)

  • Классические балансировщики нагрузки
    • Удаление балансировщика нагрузки
    • Удаление слушателя
    • Удаление сертификата
    • Отключение балансировщика нагрузки
  • Совместные балансировщики нагрузки
    • Удаление балансировщика нагрузки
    • Удаление слушателя
    • Удаление сертификата
    • Удаление сервера бэкенда
    • Отвязывание EIP
    • Отвязать публичный или приватный IPv4-адрес
    • Отвязывание IPv6-адреса
    • Удаление из совместной пропускной способности IPv6

Elastic IP (EIP)

  • Удаление совместной пропускной способности
  • Освобождение или отвязывание EIP
  • Освобождение или отвязывание EIPs

Управление & Развертывание

Identity and Access Management (IAM)

  • Отключение защиты операции
  • Отключение защиты входа
  • Изменение мобильного номера
  • Изменение адреса электронной почты
  • Изменение пароля входа
  • Изменение метода аутентификации при входе
  • Удаление IAM‑пользователя
  • Отключение IAM‑пользователя
  • Удаление агентства
  • Удаление группы пользователей
  • Удаление политики
  • Удаление разрешений
  • Создание ключа доступа
  • Удаление ключа доступа
  • Отключение ключа доступа
  • Удаление проекта
  • Изменение статуса управления ключами доступа

Приложение

Distributed Cache Service (DCS)

  • Сброс пароля инстанса DCS
  • Удаление инстанса DCS
  • Очистка данных инстанса DCS

База данных

RDS for MySQL

  • Сброс пароля администратора
  • Удаление инстанса DB
  • Удаление Бэкапа базы данных
  • Переключение между основным и резервным инстансами DB
  • Изменение порта базы данных
  • Удаление учётной записи базы данных
  • Удаление базы данных
  • Отвязка EIP
  • Скачивание полного Бэкапа

Базы данных

Document Database Service (DDS)

  • Сброс пароля
  • Перезапуск или удаление инстанса DB
  • Перезапуск узла
  • Переключение первичного и вторичного узлов репликационного набора
  • Удаление правила группы безопасности
  • Включение IP-адресов шарда и конфигурационных узлов
  • Восстановление текущего экземпляра БД из бэкапа
  • Восстановление существующего экземпляра БД из бэкапа
Родительская тема: Настройки безопасности
Поддержка Юридические документы
© 2025 Cloud.ru