tocdepth

2

Рекомендации по обеспечению безопасности

На этой странице собраны основные рекомендации по обеспечению безопасной работы с аккаунтами IAM-пользователей и способы их реализации.

Внимание

При подозрении на несанкционированный доступ к учетной записи сбросьте пароли и ключи AK/SK IAM-пользователей.

Выполнять рекомендации по безопасности может только IAM-пользователь, входящий в группу «admin». Подробнее о создании IAM-пользователя и добавлении его в нужную группу.

Critical Operations

В консоли Identity and Access Management есть несколько способов защиты критических операций:

Virtual MFA Device

Многофакторная аутентификация (MFA) — дополнительная защита при входе в консоль или для подтверждения критических операций. Если MFA активирована, во время входа в консоль пользователь, помимо логина и пароля, должен ввести одноразовый код подтверждения. Одноразовый код генерируется виртуальным MFA-устройством.

Виртуальное MFA-устройство — приложение, которое генерирует шестизначный код в соответствии с алгоритмом создания одноразовых паролей (TOTP). MFA-приложения можно запускать на смартфонах и других мобильных устройствах.

Чтобы привязать MFA-устройство к аккаунту:

  1. В консоли Identity and Access Management в списке слева выберите Security Settings.

  2. Перейдите на вкладку Critical Operations.

  3. Напротив Virtual MFA device нажмите Bind.

  4. В MFA-приложении отсканируйте QR-код или введите Secret Key вручную.

  5. Введите два кода подтверждения, которые сгенерировало приложение. Код обновляется каждые 30 секунд.

    ../_images/s__security-recommendations__mfa.png
  6. Нажмите OK.

Виртуальное MFA-устройство привязано к аккаунту.

Login Protection

Защита авторизации — дополнительная защита при входе в консоль. Если активировать Login Protection, для авторизации пользователь вместе с логином и паролем должен ввести код подтверждения, полученный из привязанного виртуального MFA-устройства или по email.

Для учетной записи активировать Login Protection может только администратор учетной записи. Для IAM-пользователей эту функцию могут включить как администратор учетной записи, так и другие администраторы.

Чтобы включить защиту авторизации для IAM-пользователей:

  1. В консоли Identity and Access Management на вкладке Users в строке с IAM-пользователем нажмите More → Security Settings.

  2. В блоке Login Protection нажмите Редактирование настроек.

  3. В поле Verification Method выберите способ верификации: Email или Virtual MFA device.

    Внимание

    В данный момент авторизация по номеру телефона и SMS не поддерживается.

  4. Нажмите OK.

Чтобы включить защиту авторизации для основного аккаунта:

  1. В консоли Identity and Access Management в списке слева выберите Security Settings.

  2. Перейдите на вкладку Critical Operations.

  3. В блоке Login Protection нажмите Enable.

  4. В поле Verification Method выберите способ верификации: Email или Virtual MFA device.

    Внимание

    В данный момент авторизация по номеру телефона и SMS не поддерживается.

  5. В поле Verification Code нажмите Send Code и введите полученный шестизначный код.

  6. Нажмите OK.

Operation Protection

Защита операций предотвращает ошибочное выполнение действий. Если включить Operation Protection, при выполнении критических операций, таких как удаление виртуальной машины, пользователь должен ввести код подтверждения. Каждое подтверждение действует 15 минут, поэтому в течение этого времени не нужно проходить повторную проверку. Этот способ защиты не действует для операций с API.

Чтобы включить защиту операций:

  1. В консоли Identity and Access Management в списке слева выберите Security Settings.

  2. Перейдите на вкладку Critical Operations.

  3. В блоке Operation Protection нажмите Enable.

  4. Выберите того, кто будет подтверждать операции:

    • Self-verification — пользователь, который настраивает защиту операций.

    • Verification by another person — другой пользователь.

      Поддерживается только email-верификация. Введите email пользователя и полученный шестизначный код.

  5. Нажмите OK.

Access Key Management

По умолчанию эта опция выключена. Все пользователи учетной записи могут управлять своими ключами доступа. Если включить Access Key Management, только администратор сможет создавать, включать, отключать или удалять ключи доступа IAM-пользователей.

Чтобы включить управление ключами доступа:

  1. В консоли Identity and Access Management в списке слева выберите Security Settings.

  2. Перейдите на вкладку Critical Operations.

  3. В блоке Access Key Management нажмите на переключатель.

Information Self-Management

По умолчанию эта опция включена. Все IAM-пользователи учетной записи могут управлять адресом электронной почты и паролем для входа в консоль. Если отключить эту опцию, только администратор сможет менять информацию IAM-пользователя.

Чтобы включить управление информацией:

  1. В консоли Identity and Access Management в списке слева выберите Security Settings.

  2. Перейдите на вкладку Critical Operations.

  3. В блоке Information Self-Management нажмите Enable.

  4. Выберите информацию, которую может менять IAM-пользователь.

  5. Нажмите OK.

См.также

Critical Operations (en)

Login Authentication Policy

Login Authentication Policy предлагает дополнительные возможности по повышению безопасности, такие как настройка времени жизни сессии или политики блокировки аккаунта. Установленные параметры действует на аккаунт и IAM-пользователей, созданных через него.

Чтобы изменить политику аутентификации:

  1. В консоли Identity and Access Management в списке слева выберите Security Settings.

  2. Перейдите на вкладку Login Authentication Policy.

  3. Задайте политики:

    Параметр

    Описание

    Значение

    Session Timeout

    Период времени, по истечении которого в случае бездействия пользователю нужно будет снова войти в консоль.

    1–24 часов.

    Account Lockout

    Количество неудачных попыток входа, после которых учетная запись пользователя блокируется на заданное время.

    Продолжительность блокировки: 15–30 минут.

    Количество неудачных попыток входа: 3–10.

    Время сброса счетчика блокировки учетной записи: 15–60 минут.

    Account Disabling

    Срок, по истечении которого в случае бездействия учетная запись пользователя блокируется.

    1–240 дней.

    Recent Login Information

    Отображение информации о последнем успешном входе в консоль.

    Активировано/деактивировано

    Custom Information

    Дополнительная информация, которая отображается при успешном входе в консоль.

  4. Чтобы сохранить изменения, нажмите Save.

Password Policy

Password Policy определяет требования к паролю, параметры повторного использования пароля и истечения его срока действия, а также запрет на ранее используемые пароли.

Чтобы изменить политику использования паролей:

  1. В консоли Identity and Access Management в списке слева выберите Security Settings.

  2. Перейдите на вкладку Password Policy.

  3. Задайте политики:

    Параметр

    Описание

    Значение

    Password Composition & Reuse

    Требования к паролю и возможность повторного использования паролей.

    Количество типов специальных символов в пароле: 2–4.

    Количество символов в пароле: 6–32.

    Количество последовательных одинаковых символов в пароле: 1–32.

    Количество запрещенных ранее использованных паролей: 1–10.

    Password Expiration

    Срок действия пароля и требование сменить пароль за 15 дней до истечения срока действия пароля и принудительная смена пароля по истечении срока действия.

    Срок действия пароля: 1–180 дней

    Minimum Password Age

    Минимальный период, по истечении которого пользователь может изменить пароль.

    0–1 440 минут.

  4. Чтобы сохранить изменения, нажмите Save.

См.также

Password Policy (en)

Список управления доступом ACL

С помощью ACL можно предоставить доступ к ресурсам только с определенных диапазонов IP-адресов, CIDR-блоков или конечных точек VPC Endpoints (только для доступа к API).

Чтобы изменить список управления доступом:

  1. В консоли Identity and Access Management в списке слева выберите Security Settings.

  2. Перейдите на вкладку ACL.

  3. Укажите диапазон IP-адресов, CIDR-блок или VPC Endpoints (только для API).

  4. Чтобы сохранить изменения, нажмите Save.

Отслеживание действий в CTS

Сервис Cloud Trace Service (CTS) позволяет отслеживать все действия пользователей. Для записи операций включите и настройте CTS.

Запустили Evolution free tier
для Dev & Test
Получить